【正文】 業(yè)務系統(tǒng)安全加固實施方案 業(yè)務系統(tǒng)安全加固實施方案目 錄1 加固目的 42 加固范圍 43 加固前準備工作 4 加固前檢查 4 加固前備份 5 影響分析 6 加固操作流程 74 加固實施 7 賬號管理、認證授權 7 賬號 7 口令 11 授權 13 日志審計 17 登錄日志（必選） 17 操作審計 18 本地記錄系統(tǒng)日志 18 遠程記錄日志 19 SU操作日志 20 應用日志 20 IP協(xié)議安全 21 使用SSH協(xié)議登錄 21 關閉不需要的IP服務端口 22 鑒權遠程登錄的主機IP 23 禁止ICMP重定向 24 屏幕保護 25 超時退出登錄界面 25 定時鎖屏 26 文件系統(tǒng)及訪問權限 27 重要文件權限加固 27 限制FTP等應用的訪問目錄 27 補丁管理 28 軟件包裁減 28 補丁包 29 服務 29 關閉不需要的服務 29Email Server 31 NTP服務的安全配置 31 NFS服務的安全配置 32 內核調整 33 防止堆棧緩沖溢出 33 啟動項 34 啟動項的安全配置 345 加固后檢查驗證 35 操作系統(tǒng)健康檢查 35 業(yè)務檢查 366 失敗處理 36 失敗定義 36 回退操作 361 加固目的隨著電信業(yè)務不斷發(fā)展，系統(tǒng)信息安全方面的投入的不斷增多，在信息系統(tǒng)各個層面都采取一些安全防護策略。而由于網(wǎng)絡系統(tǒng)本身的復雜性，各種應用系統(tǒng)繁多，設備采用通用操作系統(tǒng)、數(shù)據(jù)庫和IP協(xié)議，設備自身存在的安全問題日益突出。同時，一些現(xiàn)網(wǎng)設備不符合必要的安全要求，存在較大安全隱患。針對上述問題，中國移動集團根據(jù)設備的安全現(xiàn)狀，制定了統(tǒng)一的《中國移動設備安全規(guī)范》，要求設備必須符合規(guī)范的相關要求。本次安全加固項目目的在于降低風險，提高系統(tǒng)的穩(wěn)定性和安全性，符合中國移動通信集團與山東移動對業(yè)務系統(tǒng)設備的安全要求。2 加固范圍設備名設備管理IP地址設備用途3 加固前準備工作 加固前檢查1）、檢查需要加固的主機是否滿足下列條件：序號檢查項目檢查結果確認責任人時間1檢查業(yè)務主機的硬件情況執(zhí)行/usr/platform/sun4u/sbin/prtdiag v檢查是否有硬件故障2檢查業(yè)務主機日志執(zhí)行more /var/adm/message*及/var/log/syslog*檢查是否有報錯3檢查系統(tǒng)性能情況vmstat 5 10sar 5 10并把相關結果記錄下來4遠程登錄環(huán)境檢查確保能夠進行遠程登錄，登錄方式不限于telnet、ssh5本地登錄檢查檢查是否具備本地登錄操作的環(huán)境，如鼠標與鍵盤是否可用2）、檢查需要加固的主機承載業(yè)務是否正常序號檢查項目檢查結果確認責任人時間1GPRS應用在做加固之前，做一次巡檢檢查系統(tǒng)狀態(tài)是否都正常2Cluster應用查看Cluster狀態(tài)： scstat 加固前備份(時間點: 晚上10:00以后，具體時間點請和客戶協(xié)商)序號檢查項目檢查結果確認責任人時間1對實施過程需修改的安全配置文件進行備份mkdir p /etc/backupmkdir p /etc/backup/default/etc/passwd cp /etc/passwd /etc/backup//etc/group cp /etc/group /etc/backup//etc/shadow cp /etc/shadow /etc/backup//etc/default/su cp /etc/default/su /etc/backup/default//etc/default/passwd cp /etc/default/passwd /etc/backup/default//etc/default/login cp /etc/default/login /etc/backup/default//etc/ cp /etc/ /etc/backup//etc/services cp /etc/services /etc/backup//etc/system cp /etc/system /etc/backup/ 影響分析序號被影響環(huán)境名稱影響結果應對措施需要對方的配合1GPRS系統(tǒng)涉及的業(yè)務（因被加固主機加固前需要進行主備倒換以及重啟，重啟前需要退出Cluster）業(yè)務暫時會中斷按流程操作，降低風險需要總部提供業(yè)務保障支持 加固操作流程主機加固整體流程如下： 1）、檢查當前需加固主機業(yè)務應用正常后，重啟機器，再次確認業(yè)務狀態(tài)正常。（對于雙機類應用，檢查主備機承擔業(yè)務均正常后，重啟備機，對備機執(zhí)行加固） 2）、設備加固實施。 3）、加固后重啟，業(yè)務驗證。提供相應的加固操作說明，腳本等等4 加固實施預計操作時間: 120分鐘操作人員:操作影響：部分策略實施可能會造成業(yè)務中斷, 在雙機系統(tǒng)中，實施時需先實施備機，確保備機沒問題后，再實施主機. 賬號管理、認證授權 賬號1. 賬號專人專用（必選）編號：安全要求設備SOLARISACCT01 要求內容： 應按照不同的用戶分配不同的賬號，避免不同用戶間共享賬號，避免用戶賬號和設備間通信使用的賬號共享。 操作方法： 為用戶創(chuàng)建賬號：useradd m username 創(chuàng)建賬號passwd username 設置密碼修改權限：chmod 750 user directory 其中755為設置的權限，可根據(jù)實際情況設置相應的權限，directory是要更改權限的目錄) 操作驗證:：以新增的用戶登錄：登錄成功,并能進行常用操作2. 刪除無關用戶（必選）編號：安全要求設備SOLARISACCT02 要求內容： 應刪除或鎖定與設備運行、維護等工作無關的賬號。系統(tǒng)內存在不可刪除的內置賬號，包括root,bin等。 操作方法：需要鎖定的用戶：daemon、bin、sys、adm、smmsp 、listen、gdm、webservd、nobody、noaccess。需要刪除的用戶：lp、uucp、nuucp、nobody4刪除用戶：userdel username。 鎖定用戶：1)修改/etc/shadow文件，用戶名后加*LK*2)將/etc/passwd文件中的shell域設置成/bin/false修改密碼文件?usermod s /bin/false USERNAME3)passwd l username只有具備超級用戶權限的使用者方可使用，passwd l username鎖定用戶,用passwd –d username解鎖后原有密碼失效，登錄需輸入新密碼，修改/etc/shadow能保留原有密碼。 操作驗證:：使用刪除或鎖定的與工作無關的賬號登錄系統(tǒng)；：被刪除或鎖定的賬號無法登錄成功；3. root用戶不能遠程登錄（必選）編號：安全要求設備SOLARISACCT03 要求內容： 限制具備超級管理員權限的用戶遠程登錄。遠程執(zhí)行管理員權限操作，應先以普通權限用戶遠程登錄后，再切換到超級管理員權限賬號后執(zhí)行相應操作。 操作方法：編輯/etc/default/login，加上：CONSOLE=/dev/console If CONSOLE is set, root can only login on that device.此項只能限制root用戶遠程使用telnet登錄。用ssh登錄，修改此項不會看到效果的如果限制root從遠程ssh登錄，修改/etc/ssh/sshd_config文件，將PermitRootLogin yes改為PermitRootLogin no，重啟sshd服務。重啟sshd服務：Solaris10以前：/etc//etc/Solaris10：svcadm disable sshsvcadm enable ssh補充命令操作驗證:：root從遠程使用telnet登錄；普通用戶從遠程使用telnet登錄；root從遠程使用ssh登錄；普通用戶從遠程使用ssh登錄；：root遠程登錄不成功，提示“Not on system console”；普通用戶可以登錄成功，而且可以切換到root用戶；4. 用戶賬號分組編號：安全要求設備SOLARISACCT04 要求內容： 根據(jù)系統(tǒng)要求及用戶的業(yè)務需求，建立多帳戶組，將用戶賬號分配到相應的帳戶組。 操作方法： 創(chuàng)建帳戶組：groupadd –g