【正文】 _________________________________xxxxx 公司安全加固方案_________________________________文檔日期: xxx 文檔版本: xxx 本文檔所包含的信息是受 xxx 公司和 xxx 公司所簽署的“保密信息交換協(xié)議”保護(hù)和限制。在未事先得到 xxx 公司和 xxx 公司書面同意之前，本文檔全部或部份內(nèi)容不得用于其他任何用途或交與第三方。目 錄第 1 章 概述 ....................................................................................................4. 工作目的 .........................................................................................4. 加固方法 .........................................................................................4. 風(fēng)險(xiǎn)的應(yīng)對(duì)措施 ..............................................................................4. 加固步驟 .........................................................................................5第 2 章 加固內(nèi)容 .............................................................................................7. 主機(jī)加固 .........................................................................................7. 網(wǎng)絡(luò)加固 .........................................................................................8. 未加固項(xiàng)說明 ..................................................................................9第 3 章 加固列表 ...........................................................................................10. 主機(jī)加固列表 ................................................................................10. 數(shù)據(jù)庫加固列表 ............................................................................10. 網(wǎng)絡(luò)加固列表 ................................................................................10第 4 章 加固操作 ...........................................................................................12. 網(wǎng)絡(luò)安全加固 ................................................................................12. 高等級(jí)弱點(diǎn) ...........................................................................................12. 中等級(jí)弱點(diǎn) ...........................................................................................13. 低等級(jí)弱點(diǎn) ...........................................................................................14. XX 統(tǒng)一視頻監(jiān)視平臺(tái)安全加固操作 ..............................................15. Windows 主機(jī) ........................................................................................15. Oracle 數(shù)據(jù)庫 .......................................................................................20. 輸 XX 設(shè)備狀態(tài)在線監(jiān)測(cè)系統(tǒng)安全加固操作 ...................................22. AIX 主機(jī) ................................................................................................22. Linux 主機(jī) ............................................................................................27. Windows 主機(jī) ........................................................................................30. Oracle 數(shù)據(jù)庫 .......................................................................................35. 用 XX 信息采集系統(tǒng)安全加固操作 .................................................37. AIX 主機(jī) ................................................................................................37. Linux 主機(jī) ............................................................................................41. Windows 主機(jī) ........................................................................................45. Oracle 數(shù)據(jù)庫 .......................................................................................49. 95598XX 互動(dòng) XX 安全加固操作 .....................................................51. Linux 主機(jī) ............................................................................................51. Oracle 數(shù)據(jù)庫 .......................................................................................54. XXXX 平臺(tái)安全加固操作 ................................................................56. Linux 主機(jī) ............................................................................................563 / 59文檔信息表文檔基本信息項(xiàng)目名稱 xxxxxx文檔名稱 安全加固方案文檔版本 是否為正式交付件 是文檔創(chuàng)建日期 當(dāng)前修訂日期文檔審批信息審閱人 職務(wù) 審閱時(shí)間 審閱意見文檔修訂信息版本 修正章節(jié) 日期 作者 變更記錄4 / 59第 1 章 概述. 工作目的在前期安全評(píng)估過程中，發(fā)現(xiàn) xxxx 主機(jī)系統(tǒng)，包括業(yè)務(wù)主機(jī)、數(shù)據(jù)庫、中間件的多處安全弱點(diǎn),為降低這些弱點(diǎn)所帶來的安全風(fēng)險(xiǎn)，需要針對(duì)上述設(shè)備進(jìn)行相應(yīng)的安全加固工作，修復(fù)已發(fā)現(xiàn)的安全弱點(diǎn)，進(jìn)一步提高 xxxx 的整體安全性。為確保安全加固工作能夠順利進(jìn)行并達(dá)到目標(biāo)，特制定本安全加固方案以指導(dǎo)該項(xiàng)工作。. 加固方法為驗(yàn)證和完善主機(jī)系統(tǒng)安全加固方案中的內(nèi)容，盡早規(guī)避加固工作中存在的風(fēng)險(xiǎn)，最終保證 xxxx 系統(tǒng)業(yè)務(wù)主機(jī)順利完成加固。將首先選取 xxxx 系統(tǒng)測(cè)試機(jī)進(jìn)行安全加固，待加固完成并通過觀察確認(rèn)無影響后再進(jìn)行 xxxx 系統(tǒng)業(yè)務(wù)主機(jī)的加固工作。安全加固工作將由 xxxx(甲方)提供加固操作步驟，由 xxxx（甲方）根據(jù)加固操作步驟對(duì)確認(rèn)后的加固項(xiàng)進(jìn)行逐項(xiàng)設(shè)置。若涉及操作系統(tǒng)、數(shù)據(jù)庫、中間件補(bǔ)丁的升級(jí)，軟件版本的升級(jí)，需由 xxxx（甲方）協(xié)調(diào)相關(guān)設(shè)備售后服務(wù)合同方人員進(jìn)行。加固過程中 xxxx(甲方)負(fù)責(zé)現(xiàn)場(chǎng)指導(dǎo)。. 風(fēng)險(xiǎn)的應(yīng)對(duì)措施? 為防止在加固過程中出現(xiàn)的異常狀況，所有被加固系統(tǒng)均應(yīng)在加固操作開始前進(jìn)行完整的數(shù)據(jù)備份。? 安全加固時(shí)間應(yīng)盡量選擇業(yè)務(wù)可中止的時(shí)段。? 加固過程中，涉及修改文件等內(nèi)容時(shí)，將備份源文件在同級(jí)目錄中，以便回退操作。? 安全加固完成后，需重啟主機(jī)進(jìn)行，因此需要 xxxx(甲方)提前申請(qǐng)業(yè)務(wù)停機(jī)時(shí)間并進(jìn)行相應(yīng)的人員安排。5 / 59? 在加固完成后，如果出現(xiàn)被加固系統(tǒng)無法正常工作，應(yīng)立即恢復(fù)所做各項(xiàng)配置變更，待業(yè)務(wù)應(yīng)用正常運(yùn)行后，再行協(xié)商后續(xù)加固工作的進(jìn)行方式。. 加固步驟開始管理員 / 開發(fā)商確認(rèn)加固項(xiàng)介紹加固步驟結(jié)束制訂加固項(xiàng)加固完成 ，重啟后正常系統(tǒng)回退否填寫加固記錄填寫加固確認(rèn)單記錄重啟后可能需要的應(yīng)用啟動(dòng)腳本管理員做重要數(shù)據(jù)的異地備份確認(rèn)機(jī)器前有人值班備份系統(tǒng)主要配置文件按照加固手冊(cè)執(zhí)行加固不通過通過6 / 59圖 11 安全加固步驟7 / 59第 2 章 加固內(nèi)容. 主機(jī)加固對(duì) Windows、HPUX、AIX、Linux 等操作系統(tǒng)和 Oracle 數(shù)據(jù)庫進(jìn)行加固。序號(hào) 加固項(xiàng) 加固內(nèi)容1 帳號(hào)權(quán)限加固對(duì)操作系統(tǒng)用戶、用戶組進(jìn)行權(quán)限設(shè)置，應(yīng)用系統(tǒng)用戶和系統(tǒng)普通用戶權(quán)限的定義遵循最小權(quán)限原則。刪除系統(tǒng)多余用戶，設(shè)置應(yīng)用系統(tǒng)用戶的權(quán)限只能做與應(yīng)用系統(tǒng)相關(guān)的操作；設(shè)置普通系統(tǒng)用戶的權(quán)限為只能執(zhí)行系統(tǒng)日常維護(hù)的必要操作2 網(wǎng)絡(luò)服務(wù)加固關(guān)閉系統(tǒng)中不安全的服務(wù)，確保操作系統(tǒng)只開啟承載業(yè)務(wù)所必需的網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)端口3 訪問控制加固合理設(shè)置系統(tǒng)中重要文件的訪問權(quán)限只授予必要的用戶必要的訪問權(quán)限。限制特權(quán)用戶在控制臺(tái)登錄,遠(yuǎn)程控制有安全機(jī)制保證，限制能夠訪問本機(jī)的用戶和 IP 地址4 口令策略加固對(duì)操作系統(tǒng)設(shè)置口令策略，設(shè)置口令復(fù)雜性要求，為所有用戶設(shè)置強(qiáng)壯的口令，禁止系統(tǒng)偽帳號(hào)的登錄5 用戶鑒別加固設(shè)置操作系統(tǒng)用戶不成功的鑒別失敗次數(shù)以及達(dá)到此閥值所采取的措施，設(shè)置操作系統(tǒng)用戶交互登錄失敗、管理控制臺(tái)自鎖，設(shè)置系統(tǒng)超時(shí)自動(dòng)注銷功能6 審計(jì)策略加固 配置操作系統(tǒng)的安全審計(jì)功能，使系統(tǒng)對(duì)用戶登8 / 59錄、系統(tǒng)管理行為、入侵攻擊行為等重要事件進(jìn)行審計(jì)，確保每個(gè)審計(jì)記錄中記錄事件的日期和時(shí)間、事件類型、主體身份、事件的結(jié)果（成功或失?。? 對(duì)審計(jì)產(chǎn)生的數(shù)據(jù)分配空間存儲(chǔ)，并制定和實(shí)施必要的備份、清理措施，設(shè)置審計(jì)存儲(chǔ)超出限制時(shí)的覆蓋或轉(zhuǎn)儲(chǔ)方式，防止審計(jì)數(shù)據(jù)被非法刪除、修改. 網(wǎng)絡(luò)加固對(duì)寧夏 XX 力公司 XXXX 五個(gè)應(yīng)用系統(tǒng)的內(nèi)網(wǎng)出口交換機(jī)、核心交換機(jī)、核心路由器、綜合區(qū)匯聚交換機(jī)、辦公區(qū)匯聚交換機(jī)、DMZ 區(qū)交換機(jī)以及各接入交換機(jī)進(jìn)加固。序號(hào) 加固項(xiàng) 加固內(nèi)容1 帳號(hào)權(quán)限加固對(duì)交換機(jī)遠(yuǎn)程訪問用戶進(jìn)行權(quán)限設(shè)置，對(duì)管理員用戶和審計(jì)用戶權(quán)限的定義遵循最小權(quán)限原則；設(shè)置管理員用戶對(duì)設(shè)備進(jìn)行配置修改，審計(jì)用戶2 網(wǎng)絡(luò)服務(wù)加固關(guān)閉交換機(jī)中不安全的服務(wù)，確保操作系統(tǒng)只開啟承載業(yè)務(wù)所必需的網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)端口3 訪問控制加固限制用戶對(duì)網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程登錄 IP 地址和超時(shí)設(shè)置；加強(qiáng)遠(yuǎn)程控制安全機(jī)制的保證，如配置 SSH 4 口令策略加固對(duì)網(wǎng)絡(luò)設(shè)備的口令進(jìn)行加固，確保符合口令復(fù)雜度要求5 用戶鑒別加固設(shè)置設(shè)備登錄不成功的鑒別失敗次數(shù)以及達(dá)到此閥值所采取的措施6 審計(jì)策略加固配置交換機(jī)的安全審計(jì)功能，日志關(guān)聯(lián)審計(jì)服務(wù)器中9 / 597關(guān)鍵服務(wù)器訪控、接入策略加固配置交換機(jī)的 IP