1、一平安加固概述網絡設備與操作系統加固和優化效勞是實現客戶信息系統平安的關鍵環節。通過使用該項效勞，將在客戶信息系統的網絡層、主機層等層次建立符合客戶平安需求的平安狀態，并以此作為保證客戶信息系統平安的起點。網絡設備與操作系統加固和優化效勞的目的是通過對主機和網絡設備所存在平安問題執行以下操作：  網絡設備與操作系統的平安配置；  系統平安風險防范；  提供系統使用和維護建議；  安裝最新平安補丁根據風險決定是否打補丁；上述工作的結果斷定了網絡設備與操作系統加固和優化的流程、實施的內容、步驟和復雜程度。具體說，那么可以歸納為：1加固目標也就是確定系統在做過

2、加固和優化后，到達的平安級別，通常不同環境下的系統對平安級別的要求不同，由此采用的加固方案也不同。2明確系統運行狀況的內容包括:  系統的具體用途,即明確系統在工作環境下所必需開放的端口和效勞等。  系統上運行的應用系統及其正常所必需的效勞。  我們是從網絡掃描及人工評估里來收集系統的運行狀況的。3明確加固風險：網絡設備與操作系統加固是有一定風險的，一般可能的風險包括停機、應用程序不能正常使用、最嚴重的情況是系統被破壞無法使用。這些風險一般是由于系統運行狀況調查不清導致，也有因為加固方案的代價分析不準確，誤操作引起。因此在加固前做好系統備份是非常重要的。二加固和優

3、化流程概述網絡設備與操作系統加固和優化的流程主要由以下四個環節構成：1. 狀態調查對系統的狀態調查的過程主要是導入以下效勞的結果：  系統平安需求分析  系統平安策略制訂  系統平安風險評估(網絡掃描和人工評估)對于新建的系統而言，主要是導入系統平安需求分析和系統平安策略制訂這兩項效勞的結果。在導入上述效勞的結果后，應確定被加固系統的平安級別，即確定被加固系統所能到達的平安程度。同時，也必須在分析上述效勞結果的根底上確定對網絡與應用系統加固和優化的代價。2. 制訂加固方案制訂加固方案的主要內容是根據系統狀態調查所產生的結果制訂對系統實施加固和優化的內容、步驟。3.

4、 實施加固對系統實施加固和優化主要內容包含以下兩個方面：  對系統進行加固  對系統進行測試對系統進行測試的目的是檢驗在對系統實施平安加固后，系統在平安性和功能性上是否能夠滿足客戶的需求。上述兩個方面的工作是一個反復的過程，即每完成一個加固或優化步驟后就要測試系統的功能性要求和平安性要求是否滿足客戶需求；如果其中一方面的要求不能滿足，該加固步驟就要重新進行。對有些系統會存在加固失敗的情況，如果發生加固失敗，那么根據客戶的選擇，要么放棄加固，要么重建系統。4. 生成加固報告加固報告是向用戶提供完成網絡與應用系統加固和優化效勞后的最終報告。其中包含以下內容：  加固過

5、程的完整記錄  有關系統平安管理方面的建議或解決方案  對加固系統平安審計結果三平安加固技術1.網絡設備加固路由器作為網絡邊界最重要的設備，也是進入內網的第一道防線。邊界路由器的平安缺陷來源于操作系統，路由協議、硬件、配置。路由器上運行的操作系統通常存在平安隱患，主要表現為遠程溢出漏洞和默認開放的效勞。除了及時下載補丁修復漏洞外，路由器操作系統默認開放的許多效勞通常存在著平安風險，加固的方法是根據最小特權原那么關閉不需要的效勞，同時對用戶和進程賦予完成任務所需的最小權限。一些路由協議，如RIP，對收到的路由信息不進行任何校驗和認證，由此能造成網絡拓撲信息泄露或因收到惡意路由

6、而導致網絡癱瘓。對此需要添加認證，確保通信對象是可信的。CDP協議(Cisco Discovery Protocal)會造成路由器操作系統版本等信息的泄露，一般應予以關閉。路由器硬件可能因發生故障或受到惡意攻擊而停機，為此需要進行備份。加固邊界路由器最重要的方法是進行平安配置，建立適宜的訪問控制表(ACL)。ACL(Access Control List)規定哪些IP地址和協議可以通過邊界路由器，而哪些被阻止，由此確保流量平安進出網絡。定制訪問控制表通常應遵守這樣的原那么：流量如果不被明確允許，就應該被拒絕。值得注意的是，某些網絡設備可以通過物理的改變設備上的一些硬件開關來重置管理員口令字或恢

7、復出廠設置。從業務的連續性和系統可靠性上講，物理平安是用戶關鍵業務的重要前提保證。只要從物理上能接近設備，設備的平安性就無從談起，因為此時我們常提到的平安效勞，如訪問控制、鑒別效勞等就不能起到保護作用。2.網絡結構調整在網絡中我們已部署了防火墻、入侵檢測、認證系統等網絡平安設備，但是主要是側重于網絡層的攻擊檢測和防護，并且僅部署于企業公網的網絡出口，對于網絡的防護有一定的局限性。而近年來隨著網絡規模的不斷擴張，應用的不斷增多，連續爆發的沖擊波、震蕩波、CodeRed、Nimda等蠕蟲病毒以及最近大量出現的ARP病毒、DDOS分布式網絡攻擊、大量不請自來的垃圾郵件，已成為網絡當中最令管理員頭疼的

8、問題。3.效勞器系統加固效勞器系統平安加固是指通過一定的技術手段，提高系統的主機平安性和抗攻擊能力，通過對操作系統的平安加固，可以大大減少操作系統存在的平安漏洞，減少可能存在的平安風險，確保效勞器的正常運作。網絡中各種效勞器，如Web效勞器、FTP效勞器、E-mail效勞器，是黑客攻擊的重點目標，其平安性至關重要。雖然通過路由器的包過濾和防火墻的訪問控制，大大增強了平安性。但黑客還可以利用效勞器的漏洞或配置錯誤進行攻擊，以圖獲取系統控制權或實現拒絕效勞。例如UNIX、Windows NT、Linux都只能到達美國國防部提出可信計算機系統評測標準TCSEC的C2級。但對于開放源代碼的Linux操

9、作系統，可以很好的通過采取B級系統代替傳統的C級系統等措施來解決平安加固的問題?？梢允紫仍谧蠲舾械男谄骱途W絡隔離設備上及要害信息系統的效勞器中采用B級操作系統，并配備B級數據庫管理系統。將應用、效勞都建設在B級的根底上，這樣整個信息系統的平安性能才有根本性的保障。SELinux是由NSA美國國家平安局和SCCSecure Computing Corporation開發的Linux的一個擴張強制訪問控制平安模塊。2000年以GNU GPL發布。經過SELinux保護的Linux平安級別那么可以到達B1級。另外，國內在平安Linux內核技術方面的相關研究主要是LIDS工程，LIDS是一個在開放源

10、碼的Linux Kernel上進行平安加固的工程。目前已經得到了國內外的廣泛認同。LIDS工程在標準Linux內核源碼根底上，采用強制性訪問控制技術、類型保證和執行域等技術，對標準內核進行以平安增強為目的的修改，并提供了一個管理工具lidsadm。4. 數據庫加固主流數據庫系統包括Oracle、SQL Server、Sybase、MySQL、Informix的補丁、賬號管理、口令強度和有效期檢查、遠程登陸和遠程效勞、存儲過程、審核層次、備份過程、角色和權限審核、并發事件資源限制、訪問時間限制、審核跟蹤、特洛依木馬等。平安加固主要方式是補丁安裝及平安配置的調整，并不是所有的補丁包都可以隨便安裝、配置隨意調