【正文】 _________________________________xxxxx 公司安全加固方案_________________________________文檔日期: xxx 文檔版本: xxx 本文檔所包含的信息是受 xxx 公司和 xxx 公司所簽署的“保密信息交換協(xié)議”保護和限制。在未事先得到 xxx 公司和 xxx 公司書面同意之前，本文檔全部或部份內容不得用于其他任何用途或交與第三方。目 錄第 1 章 概述 ....................................................................................................4. 工作目的 .........................................................................................4. 加固方法 .........................................................................................4. 風險的應對措施 ..............................................................................4. 加固步驟 .........................................................................................5第 2 章 加固內容 .............................................................................................7. 主機加固 .........................................................................................7. 網(wǎng)絡加固 .........................................................................................8. 未加固項說明 ..................................................................................9第 3 章 加固列表 ...........................................................................................10. 主機加固列表 ................................................................................10. 數(shù)據(jù)庫加固列表 ............................................................................10. 網(wǎng)絡加固列表 ................................................................................10第 4 章 加固操作 ...........................................................................................12. 網(wǎng)絡安全加固 ................................................................................12. 高等級弱點 ...........................................................................................12. 中等級弱點 ...........................................................................................13. 低等級弱點 ...........................................................................................14. XX 統(tǒng)一視頻監(jiān)視平臺安全加固操作 ..............................................15. Windows 主機 ........................................................................................15. Oracle 數(shù)據(jù)庫 .......................................................................................20. 輸 XX 設備狀態(tài)在線監(jiān)測系統(tǒng)安全加固操作 ...................................22. AIX 主機 ................................................................................................22. Linux 主機 ............................................................................................27. Windows 主機 ........................................................................................30. Oracle 數(shù)據(jù)庫 .......................................................................................35. 用 XX 信息采集系統(tǒng)安全加固操作 .................................................37. AIX 主機 ................................................................................................37. Linux 主機 ............................................................................................41. Windows 主機 ........................................................................................45. Oracle 數(shù)據(jù)庫 .......................................................................................49. 95598XX 互動 XX 安全加固操作 .....................................................51. Linux 主機 ............................................................................................51. Oracle 數(shù)據(jù)庫 .......................................................................................54. XXXX 平臺安全加固操作 ................................................................56. Linux 主機 ............................................................................................563 / 59文檔信息表文檔基本信息項目名稱 xxxxxx文檔名稱 安全加固方案文檔版本 是否為正式交付件 是文檔創(chuàng)建日期 當前修訂日期文檔審批信息審閱人 職務 審閱時間 審閱意見文檔修訂信息版本 修正章節(jié) 日期 作者 變更記錄4 / 59第 1 章 概述. 工作目的在前期安全評估過程中，發(fā)現(xiàn) xxxx 主機系統(tǒng)，包括業(yè)務主機、數(shù)據(jù)庫、中間件的多處安全弱點,為降低這些弱點所帶來的安全風險，需要針對上述設備進行相應的安全加固工作，修復已發(fā)現(xiàn)的安全弱點，進一步提高 xxxx 的整體安全性。為確保安全加固工作能夠順利進行并達到目標，特制定本安全加固方案以指導該項工作。. 加固方法為驗證和完善主機系統(tǒng)安全加固方案中的內容，盡早規(guī)避加固工作中存在的風險，最終保證 xxxx 系統(tǒng)業(yè)務主機順利完成加固。將首先選取 xxxx 系統(tǒng)測試機進行安全加固，待加固完成并通過觀察確認無影響后再進行 xxxx 系統(tǒng)業(yè)務主機的加固工作。安全加固工作將由 xxxx(甲方)提供加固操作步驟，由 xxxx（甲方）根據(jù)加固操作步驟對確認后的加固項進行逐項設置。若涉及操作系統(tǒng)、數(shù)據(jù)庫、中間件補丁的升級，軟件版本的升級，需由 xxxx（甲方）協(xié)調相關設備售后服務合同方人員進行。加固過程中 xxxx(甲方)負責現(xiàn)場指導。. 風險的應對措施? 為防止在加固過程中出現(xiàn)的異常狀況，所有被加固系統(tǒng)均應在加固操作開始前進行完整的數(shù)據(jù)備份。? 安全加固時間應盡量選擇業(yè)務可中止的時段。? 加固過程中，涉及修改文件等內容時，將備份源文件在同級目錄中，以便回退操作。? 安全加固完成后，需重啟主機進行，因此需要 xxxx(甲方)提前申請業(yè)務停機時間并進行相應的人員安排。5 / 59? 在加固完成后，如果出現(xiàn)被加固系統(tǒng)無法正常工作，應立即恢復所做各項配置變更，待業(yè)務應用正常運行后，再行協(xié)商后續(xù)加固工作的進行方式。. 加固步驟開始管理員 / 開發(fā)商確認加固項介紹加固步驟結束制訂加固項加固完成 ，重啟后正常系統(tǒng)回退否填寫加固記錄填寫加固確認單記錄重啟后可能需要的應用啟動腳本管理員做重要數(shù)據(jù)的異地備份確認機器前有人值班備份系統(tǒng)主要配置文件按照加固手冊執(zhí)行加固不通過通過6 / 59圖 11 安全加固步驟7 / 59第 2 章 加固內容. 主機加固對 Windows、HPUX、AIX、Linux 等操作系統(tǒng)和 Oracle 數(shù)據(jù)庫進行加固。序號 加固項 加固內容1 帳號權限加固對操作系統(tǒng)用戶、用戶組進行權限設置，應用系統(tǒng)用戶和系統(tǒng)普通用戶權限的定義遵循最小權限原則。刪除系統(tǒng)多余用戶，設置應用系統(tǒng)用戶的權限只能做與應用系統(tǒng)相關的操作；設置普通系統(tǒng)用戶的權限為只能執(zhí)行系統(tǒng)日常維護的必要操作2 網(wǎng)絡服務加固關閉系統(tǒng)中不安全的服務，確保操作系統(tǒng)只開啟承載業(yè)務所必需的網(wǎng)絡服務和網(wǎng)絡端口3 訪問控制加固合理設置系統(tǒng)中重要文件的訪問權限只授予必要的用戶必要的訪問權限。限制特權用戶在控制臺登錄,遠程控制有安全機制保證，限制能夠訪問本機的用戶和 IP 地址4 口令策略加固對操作系統(tǒng)設置口令策略，設置口令復雜性要求，為所有用戶設置強壯的口令，禁止系統(tǒng)偽帳號的登錄5 用戶鑒別加固設置操作系統(tǒng)用戶不成功的鑒別失敗次數(shù)以及達到此閥值所采取的措施，設置操作系統(tǒng)用戶交互登錄失敗、管理控制臺自鎖，設置系統(tǒng)超時自動注銷功能6 審計策略加固 配置操作系統(tǒng)的安全審計功能，使系統(tǒng)對用戶登8 / 59錄、系統(tǒng)管理行為、入侵攻擊行為等重要事件進行審計，確保每個審計記錄中記錄事件的日期和時間、事件類型、主體身份、事件的結果（成功或失?。? 對審計產生的數(shù)據(jù)分配空間存儲，并制定和實施必要的備份、清理措施，設置審計存儲超出限制時的覆蓋或轉儲方式，防止審計數(shù)據(jù)被非法刪除、修改. 網(wǎng)絡加固對寧夏 XX 力公司 XXXX 五個應用系統(tǒng)的內網(wǎng)出口交換機、核心交換機、核心路由器、綜合區(qū)匯聚交換機、辦公區(qū)匯聚交換機、DMZ 區(qū)交換機以及各接入交換機進加固。序號 加固項 加固內容1 帳號權限加固對交換機遠程訪問用戶進行權限設置，對管理員用戶和審計用戶權限的定義遵循最小權限原則；設置管理員用戶對設備進行配置修改，審計用戶2 網(wǎng)絡服務加固關閉交換機中不安全的服務，確保操作系統(tǒng)只開啟承載業(yè)務所必需的網(wǎng)絡服務和網(wǎng)絡端口3 訪問控制加固限制用戶對網(wǎng)絡設備的遠程登錄 IP 地址和超時設置；加強遠程控制安全機制的保證，如配置 SSH 4 口令策略加固對網(wǎng)絡設備的口令進行加固，確保符合口令復雜度要求5 用戶鑒別加固設置設備登錄不成功的鑒別失敗次數(shù)以及達到此閥值所采取的措施6 審計策略加固配置交換機的安全審計功能，日志關聯(lián)審計服務器中9 / 597關鍵服務器訪控、接入策略加固配置交換機的 IP