安全加固方案模板.doc
《安全加固方案模板.doc》由会员分享,可在线阅读,更多相关《安全加固方案模板.doc(59页珍藏版)》请在麦多课文档分享上搜索。
1、 _ xxxxx 公司 安全加固方案_ 文档日期 : xxx 文档版本 : xxx 本文档所包含的信息是受 xxx 公司 和 xxx 公司所签署的 “ 保密信息交换协议 ” 保护和限制。在未事先得到 xxx 公司 和 xxx 公司书面同意之前,本文档全部或部份内容不得用于其他任何用途或交与第三方。第 2 页,共 59 页 目 录 第 1章 概述 . 4 1.1. 工作目的 4 1.2. 加固方法 4 1.3. 风险的应对措施 . 4 1.4. 加固步骤 5 第 2章 加固内容 7 2.1. 主机加固 7 2.2. 网络加固 8 2.3. 未加固项说明 . 9 第 3章 加固列表 10 3.1.
2、 主机加固列表 . 10 3.2. 数据库加固列表 . 10 3.3. 网络加固列表 . 10 第 4章 加固操 作 12 4.1. 网络安全加固 . 12 4.1.1. 高等级弱点 12 4.1.2. 中等级弱点 13 4.1.3. 低等级弱点 14 4.2. XX统一视频监视平台安全加固操作 15 4.2.1. Windows 主机 . 15 4.2.2. Oracle 数据库 . 20 4.3. 输 XX设备状态在线监测系统安全加固操作 22 4.3.1. AIX 主机 22 4.3.2. Linux主机 . 27 4.3.3. Windows 主机 . 30 4.3.4. Oracle
3、 数据库 . 35 4.4. 用 XX信息采集系统安全加固操作 37 4.4.1. AIX 主机 37 4.4.2. Linux主机 . 41 4.4.3. Windows 主机 . 45 4.4.4. Oracle 数据库 . 49 4.5. 95598XX 互动 XX安全加固操作 . 51 4.5.1. Linux主机 . 51 4.5.2. Oracle 数据库 . 54 4.6. XXXX平台安全加固操作 . 56 4.6.1. Linux主机 . 56 XXXXXXX安全加固方案 3 / 59 文档信息表 文档基本信息 项目名称 xxxxxx 文档名称 安全加固方案 文档版本 是否为
4、正式交付件 是 文档创建日期 当前修订日期 文档审批信息 审阅人 职务 审阅时间 审阅意见 文档修订信息 版本 修正章节 日期 作者 变更记录 XXXXXXX安全加固方案 4 / 59 第 1章 概述 1.1. 工作目的 在前期安全评估过程中,发现 xxxx主机系统 ,包括业务主机、数据库、中间件的多处安全弱点 ,为降低这些弱点所带来的安全风险,需要针对上述设备进行相应的安全加固工作,修复已发现的安全弱点,进一步提高 xxxx 的整体安全性。 为确保安全加固工作能够顺利进行并达到目标,特制定本安全加固方案以指导该项工作。 1.2. 加固方法 为验证和完善 主机系统 安全加固方案中的内容,尽早规
5、避加固工作中存在的风险, 最终 保证 xxxx 系统业务主机顺利完成加固 。将首先选取 xxxx 系统测试机进行安全加固,待加固完成并通过观察确认无影响 后再进行 xxxx 系统业务主机的加固工作。 安全加固工作将由 xxxx(甲方 )提供加固操作步骤,由 xxxx(甲方) 根据加固操作步骤对确认后的加固项进行逐项设置。若涉及操作系统、数据库、中间件补丁的升级,软件版本的升级,需由 xxxx(甲方) 协调相关设备售后服务合同方人员进行。 加固过程中 xxxx(甲方 )负责现场指导。 1.3. 风险的应对措施 为防止在加固过程中出现的异常状况,所有被加固系统均应在加固操作开始前进行完整的数据备份
6、。 安全加固时间应尽量选择业务可中止的时段。 加固过程中,涉及修改文件等内容时,将备份源文件在同 级目录中,以便回退操作。 安全加固完成后,需重启主机进行,因此需要 xxxx(甲方 )提前申请业务停机时间并进行相应的人员安排。 XXXXXXX安全加固方案 5 / 59 在加固完成后,如果出现被加固系统无法正常工作,应立即恢复所做各项配置变更,待业务应用正常运行后,再行协商后续加固工作的进行方式。 1.4. 加固步骤 开 始管 理 员 / 开 发商 确 认 加 固项介 绍 加 固 步 骤结 束制 订 加 固 项加 固 完 成 ,重 启 后 正 常系 统 回 退否填 写 加 固 记 录填 写 加
7、固 确认 单记 录 重 启 后 可能 需 要 的 应 用启 动 脚 本管 理 员 做 重 要数 据 的 异 地 备份确 认 机 器 前 有人 值 班备 份 系 统 主 要配 置 文 件按 照 加 固 手 册执 行 加 固不 通 过通 过XXXXXXX安全加固方案 6 / 59 图 1-1安全加固步骤 XXXXXXX安全加固方案 7 / 59 第 2章 加固内容 2.1. 主机加固 对 Windows、 HP-UX、 AIX、 Linux等操作 系统和 Oracle数据库进行加固。 序号 加固项 加固内容 1 帐号权限加固 对操作系统用户、用户组进行权限设置,应用系统用户和系统普通用户权限的定义
8、遵循最小权限原则。删除系统多余用户,设置应用系统用户的权限只能做与应用系统相关的操作;设置普通系统用户的权限为只能执行系统日常维护的必要操作 2 网络服务加固 关闭系统中不安全的服务,确保操作系统只开启承载业务所必需的网络服务和网络端口 3 访问控制加固 合理设置系统中重要文件的访问权限只授予必要的用户必要的访问权限。限制特权用户在控制台登录 ,远程控制有 安全机制保证,限制能够访问本机的用户和 IP地址 4 口令策略加固 对操作系统设置口令策略,设置口令复杂性要求,为所有用户设置强壮的口令,禁止系统伪帐号的登录 5 用户鉴别加固 设置操作系统用户不成功的鉴别失败次数以及达到此阀值所采取的措施
9、,设置操作系统用户交互登录失败、管理控制台自锁,设置系统超时自动注销功能 6 审计策略加固 配置操作系统的安全审计功能,使系统对用户登录、系统管理行为、入侵攻击行为等重要事件进行XXXXXXX安全加固方案 8 / 59 审计,确保每个审计记录中记录事件的日期和时间、事件类型、主体身份、事件的结果(成功或失败) , 对审计产生的数据分配空间存储,并制定和实施必要的备份、清理措施,设置审计存储超出限制时的覆盖或转储方式,防止审计数据被非法删除、修改 2.2. 网络加固 对宁夏 XX力 公司 XXXX 五个应用 系统的 内网出口交换机、核心交换机、核心路由器、综合区汇聚交换机、办公区汇聚交换机、 D
10、MZ区 交换机 以及各接入交换机进加固。 序号 加固项 加固内容 1 帐号权限加固 对交换机远程访问用户进行权限设置,对管理员用户和审计用户权限的定义遵循最小权限原则;设置管理员用户对设备进行配置修改,审计用户 2 网络服务加固 关闭交换机中不安 全的服务,确保操作系统只开启承载业务所必需的网络服务和网络端口 3 访问控制加固 限制用户对网络设备的远程登录 IP 地址和超时设置;加强远程控制安全机制的保证,如配置 SSH 4 口令策略加固 对网络设备的口令进行加固,确保符合口令复杂度要求 5 用户鉴别加固 设置设备登录不成功的鉴别失败次数以及达到此阀值所采取的措施 6 审计策略加固 配置交换机
11、的安全审计功能,日志关联审计服务器中 XXXXXXX安全加固方案 9 / 59 7 关键服务器访控、接入策略加固 配置交换机的 IP-MAC 绑定策略,关闭交换机空闲端口,增强服务器接入策略 2.3. 未加固 项说明 各接入交换机的 IOS版本不具备端口与 MAC绑定功能。 Windows主机系统中未关闭远程桌面,考虑到带外管理区未建立,暂时未关闭。 Windows 主机系统中未修改匿名空连接,由于涉及业务应用正常运行,暂时未关闭。 Windows 主机系统中未更新补丁,由于操作系统版本较低,且补丁升级服务器未部署,故暂未进行升级。 AIX、 HP和 Linux主机中未关闭 FTP,由于现处于
12、数据验证阶段,FTP 做为验证方式之一,暂未关闭。 Oracle 数据库中未开启日志审计功能,考虑到开启此功能,势必影响数据库的性能。 Oracle 数据库中未更新补丁,由于数据库版本较低,且补丁升级风险较大,故暂未进行升级。 各设备和系统中未加固项具体情况及原因详见加固列表。 XXXXXXX安全加固方案 10 / 59 第 3章 加固列表 3.1. 主机加固列表 序号 操作系统名称 加固项 弱点等级 1 Windows Windows 服务器服务漏洞 (MS08-067) 高 2 删除服务器上的管理员共享 中 3 禁止在任何驱动器上自动运行任何程序 中 4 禁用无关的 windows 服务
13、中 5 设置密码策略 中 6 设置审计和账号策略 中 7 禁止 CD自动运行 低 8 设置交互式 登录:不显示上次用户名 低 9 设置关机:清除虚拟内存页面文件 低 10 AIX 限制 root用户远程登录 中 11 禁用 ntalk/cmsd服务 中 12 禁用或删除不必要的帐号 中 13 限制 ftp服务的使用 中 14 设置登陆策略 低 15 设置密码策略 低 XX 禁用 TimeDayTime 服务 低 17 设置系统口令策略 中 18 Linux 限制能 su为 root的用户 中 19 禁止 root用户远程登录 中 20 限定信任主机 中 21 限制 Alt+Ctrl+Del 命
14、令 低 3.2. 数据库加固列表 序号 Oracle 加固项 弱点等级 1 修改数据库弱口令账户 中 2 限制客户端连接 IP 中 3 设置 oracle 密码策略 中 3.3. 网络加固列表 序号 H3C 加固项 弱点等级 1 配置默认级别账户 高 2 开启密码加密保存服务 中 XXXXXXX安全加固方案 11 / 59 3 配置失败登陆退出机制 中 4 部署日志服务器 低 XXXXXXX安全加固方案 12 / 59 第 4章 加固操作 4.1. 网络安全加固 4.1.1. 高等级弱点 4.1.1.1. 配置默认级别 账户 漏洞名称 配置默认级别账户 漏洞描述 一旦网路设备密码被攻破,直接提
15、取网络设备的特权账户权限 , 将严重影响设备的 安全性。 发现方式 人工评估 风险等级 高 影响范围 加固建议和步骤 1.首先备份设备配置; 2. 交换机命令级别共分为访问、 XX、系统、管理 4 个级别,分别对应标识 0、 1、 2、 3。配置登录默认级别为访问级( 0-VISIT) user-interface aux 0 8 authentication-mode password user privilege level 0 set authentication password cipher xxx user-interface vty 0 4 authentication-mode
16、 password user privilege level 0 set authentication password cipher xxx 加固风险 无 回退建议 根据原设备口令进行还原即可。 建议加固时 无加固时间限制 XXXXXXX安全加固方案 13 / 59 间 4.1.2. 中等级弱点 4.1.2.1. 未开启密码加密保存服务 漏洞名称 未开启密码加密保存服务 漏洞描述 明文密码容易被外部恶意人员获取,影响设备的安全。 发现方式 人工评估 风险等级 中 影响范围 加固建议和步骤 1.首先备份设备配置; 2.更 改配置: user-interface aux 0 8 user pri
17、vilege level 0 set authentication password cipher xxx user-interface vty 0 4 user privilege level 0 set authentication password cipher xxx super password level 1 cipher password1 super password level 2 cipher password2 super password level 3 cipher password3 加固风险 无 回退建议 1.更改配置: No service password-e
18、ncryption 2. copy run save 建议加固时间 无加固时间限制 XXXXXXX安全加固方案 14 / 59 4.1.2.2. 未配置失败登录退出机制 漏洞名称 未配置失败登录退出机制 漏洞描述 缺少该配置可能导致恶意攻击者进行口令暴力。 发现方式 人工评估 风险等级 中 影响范围 加固建议和步骤 1.首先备份设备配置; 2.更改配置,请厂家进行配置 加固风险 无 回退建议 清除原配置即可 建议加固时间 无加固时间限制 4.1.3. 低等级弱点 4.1.3.1. 缺少日志审计服务 漏洞名称 缺少日志审计服务 漏洞描述 目前 宁夏 XX 力公司网络 内部缺少集中的安全 XX 审
19、计措施,对于系统可能发生的安全问题不能有效的预警,不利于对安全事件的审计和分析。 发现方式 人工评估 风险等级 低 影响范围 加固建议和步骤 1.首先部署日志服务器; 2.备份设备配置; 3.更改配置: 检查配置文件中存在如下配置项:( 在系统模式下进行操作 ) XXXXXXX安全加固方案 15 / 59 h3c info-center enable h3c info-center loghost xxxxx channel loghost 参考检测操作: display current-configuration 加固风险 低 回退建议 还原备份配置即可 建议加固时间 无加固时间限制 4.2
20、. XX统一视频监视平台 安全加固 操作 4.2.1. Windows主机 4.2.1.1. 高等级弱点 WINDOWS 服务器服务漏洞 (MS08-067) 加固项 WINDOWS 服务器服务漏洞 (MS08-067) 描述 WINDOWS 系统上的服务器服务中存在一个远程执行代码漏洞。 该漏洞是由于服务不正确 地处理特制的 RPC 请求导致的。 成功利用此漏洞的攻击者可以完全控制受影响的系统。 加固风险 可能会 影响业务系统的应用。 弱点严重程度赋值 高 加固操作 更新补丁包: Windows Server 2003 SP1: Windows Server 2003 SP2: http:/
- 1.请仔细阅读文档,确保文档完整性,对于不预览、不比对内容而直接下载带来的问题本站不予受理。
- 2.下载的文档,不会出现我们的网址水印。
- 3、该文档所得收入(下载+内容+预览)归上传者、原创作者;如果您是本文档原作者,请点此认领!既往收益都归您。
下载文档到电脑,查找使用更方便
2000 积分 0人已下载
下载 | 加入VIP,交流精品资源 |
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全 加固 方案 模板 DOC
