主机安全加固报告

关闭不必要的服务

下载防恶意代码软件，定时更新7.

安装检测软件，并设置报警方式

下载GHOST软件，有备份和恢复功能

网络安全主机安全加固

网络安全主机安全加固一、安全加固概述网络与应用系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务，将在客户信息系统的网络层、主机层和应用层等层次建立符合客户安全需求的安全状态，并以此作为保证客户信息系统安全的起点。网络与应用系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作： ●? 正确的安装； ●? 安装最新和全部OS和应用软件的安全补丁； ●? 操作系统和应用软件的安全配置； ●? 系统安全风险防范； ●? 提供系统使用和维护建议； ●? 系统功能测试； ●? 系统安全风险测试； ●? 系统完整性备份； ●? 必要时重建系统等。上述工作的结果决定了网络与应用系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说，则可以归纳为：（1）加固目标也就是确定系统在做过加固和优化后，达到的安全级别，通常不同环境下的系统对安全级别的要求不同，由此采用的加固方案也不同。（2）明确系统运行状况的内容包括: ●? 系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。

●? 系统上运行的应用系统及其正常所必需的服务。 ●? 我们是从网络扫描及人工评估里来收集系统的运行状况的。（3）明确加固风险：网络与应用系统加固是有一定风险的，一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致，也有因为加固方案的代价分析不准确，误操作引起。因此在加固前做好系统备份是非常重要的。（4）系统备份：备份内容包括：文件系统、关键数据、配置信息、口令、用户权限等内容；最好做系统全备份以便快速恢复。二．加固和优化流程概述网络与应用系统加固和优化的流程主要由以下四个环节构成： 1. 状态调查对系统的状态调查的过程主要是导入以下服务的结果： ●? 系统安全需求分析 ●? 系统安全策略制订 ●? 系统安全风险评估(网络扫描和人工评估) 对于新建的系统而言，主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后，应确定被加固系统的安全级别，即确定被加固系统所能达到的安全程度。同时，也必须在分析上述服务结果的基础上确定对网络与应用系统加固和优化的代价。 2. 制订加固方案制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的内容、步骤和时间表。

Linux 系统主机安全加固

Linux主机安全加固 V1.0 hk有限公司二零一五年二月

一、修改密码策略 1、cp /etc/login.defs /etc/login.defs.bak 2、vi /etc/login.defs PASS_MAX_DAYS 90 （用户的密码不过期最多的天数） PASS_MIN_DAYS 0 （密码修改之间最小的天数） PASS_MIN_LEN 8 （密码最小长度） PASS_WARN_AGE 7 (口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项，修改完之后保存（：wq!）退出即可。二、查看系统是否已设定了正确UMASK值（022） 1、用命令umask查看umask值是否是 022，如果不是用下面命令进行修改： cp/etc/profile/etc/profile.bak vi/etc/profile 找到umask 022，修改这个数值即可。三、锁定系统中不必要的系统用户和组 1、cp /etc/passwd /etc/passwd.bak cp /etc/shadow /etc/shadow.bak 锁定下列用户 2、for i in admlp sync news uucp games ftp rpcrpcusernfsnobodymailnullgdm do usermod -L $i done 3、检查是否锁定成功 more /etc/shadow 如：lp:!*:15980:0:99999:7:::lp帐户后面有！号为已锁定。 4、禁用无关的组：备份： cp /etc/group /etc/group.bak

Windows系统安全加固技术指导书

甘肃海丰信息科技有限公司Windows系统安全加固技术指导书 ◆版本◆密级【绝密】 ◆发布甘肃海丰科技◆编号GSHF-0005-OPM- ?2006-2020 HIGHFLYER INFORMATION TECHNOLOGY ,INC.

目录文档信息 (2) 前言 (3) 一、编制说明 (3) 二、参照标准文件 (3) 三、加固原则 (3) 1.业务主导原则 (3) 2.业务影响最小化原则 (4) 3.实施风险控制 (4) (一)主机系统 (4) (二)数据库或其他应用 (4) 4.保护重点 (5) 5.灵活实施 (5) 6.周期性的安全评估 (5) 四、安全加固流程 (5) 1.主机分析安全加固 (6) 2.业务系统安全加固 (7) 五、W INDOWS 2003操作系统加固指南 (8) 1.系统信息 (8) 2.补丁管理 (8) (一)补丁安装 (8) 3.账号口令 (8) (一)优化账号 (8) (二)口令策略 (8) 4.网络服务 (9) (三)优化服务 (9) (四)关闭共享 (9) (五)网络限制 (10) 5.文件系统 (10) (一)使用NTFS (10) (二)检查Everyone权限 (10) (三)限制命令权限 (10) 6.日志审核 (11) (一)增强日志 (11) (二)增强审核 (11)

文档信息 ■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属甘肃海丰所有，受到有关产权及版权法保护。任何个人、机构未经甘肃海丰的书面授权许可，不得以任何方式复制或引用本文的任何片断。 ■变更记录时间版本说明修改人 2008-07-09新建本文档郑方 2009-05-27修正了4处错误、删除了IIS5加固部分郑方 2010-10-11新增加固IIS6、SQL2000加固操作指南郑方

网络安全防护技术

《网络安全防护技术》课程标准一、课程基本信息课程名称网络安全防护技术先修课计算机组网技术、网络操作系统、网络管理学分 4 学时建议68学时授课对象网络专业三年级学生后续课攻防对抗、网络安全检测与评估课程性质专业核心课二、课程定位计算机网络技术专业从“组网、管网、用网”三个方向分别设置课程，《网络安全防护技术》则是其中承上启下，为这三个专业方向提供支撑，是计算机网络技术专业的核心课程。《网络安全防护技术》课程通过三大应用情境的12个典型工作任务的学习，帮助学生学会正确使用各娄安全技术：加密、身份认证、资源权限管理、操作系统加固、病毒防范、链路加密、漏洞修补、安全检测等，能实施包括防水墙、入侵检测等安全产品配置，更能根据不同应用网络环境规划安全方案及应急响应策略。从内容上看，它涵盖了个人主机、办公网络和企业网络在安全防范中最常用的技术，也是网络安全工程师NCSE一、二级职业资格考试的重要内容，在整个课程体系中具有重要的作用。学生学习了这门课程，既有助于学生深化前导的《网络操作系统》、《网络管理》、《计算机组网技术》等专业课程，又能辅助学生学习后续的《攻防对抗》、《网络安全检测与评估》的理解，提高学生的网络安全管理能力，培养更适应计算机网络相关岗位的合格从业人员。三、课程设计（参照信息产业部NCSE一、二级证书的考试大纲） 1、课程目标设计（1）能力目标能够解决不同的网络应用环境中遇到的信息安全问题，成为具备基本安全知识和技能的安全应用型人才。能正确配置网络安全产品、实施应用安全技术、熟练掌握各类安全工具的使用方法，并能规划不同应用网络环境中的安全方案及应急响应策略。（2）知识目标掌握网络安全技术的概念与相关知识，了解网络安全相关标准，对于各类网络环境所使用的各类防护技术原理有正确的认识。（3）态度目标遵守国家关于信息安全的相关法律法规，不利用所掌握的技术进行入侵攻击方面的活动；正确认识攻击事件，有应急处理维护和恢复信息系统的意识。（4）终极目标培养掌握较全面的网络安全防护技能，同时具备较高的安全素养，能够从事企事业单位的网络安全与管理的合格从业人员。

加固主机安全的五大绝招

从实际运作的层面来看，IT安全问题围绕三个基本事实：其一，IT系统不可能绝对可靠地识别用户的身份。其二，授权用户可能会被利用；其三，如果黑客获得了对主机的访问权，那么该主机就可能被闯入。后者，即为主机加固安全，是极其重要的一道防线。方面，主机等高价值目标往往吸引的是黑客中的高手；另一方面，如果保存在主机上的数据越重要，用户对它的安全投入就越大，正所谓是“魔高一尺，道高一丈”的较量。在过去的几年间，现实世界的一些犯罪组织一直在积极招揽黑客，从事针对某些目标的犯罪活动，比如最近黑客试图从住友银行的英国分行盗窃约2亿英镑。此类犯罪活动结合了对IT系统获得物理访问权和黑客行为，这意味着单单在主机和因特网之间设置性能可靠的防火墙已不足以保护你的数据。如今，黑客完全有可能透过防火墙将黑客工具装入网络发动内部进攻。由于众多黑客工具在网上能够免费获得，加上USB存储设备随手可得，只要闲置的USB端口能够实际访问公共场所（比如接待处），就有可能利用网络上的任何PC发动攻击。为此，你要开始考虑对主机进行加固，以防直接从网络内部发动的攻击。断开网络连接要加强主机安全，最明显的一个办法就是，把主机与不需要连接的部分断开。如果黑客无法碰到主机，非法闯入也就无从谈起。关闭端口提高主机安全的第二个办法就是，真正使用主机内置的安全特性。比如，默认配置的Windows服务器允许任何用户完全可以访问任何目录下的任何文件。对这种配置进行修改非常容易，但取很少有网络管理员去修改。如果用户对某个文件没有拥有权，就不应该享有自动访问该文件的权限。如果你改了配置，那么即便黑客闯入了某个账户，他也未必能够访问该主机上的所有文件。另外，对外开的端口越少，黑客用来危及系统安全的办法也就越少。进入Windows MMC管理器禁用不需要的服务，主机上运行的进程越少，意味着黑客可以利用的潜在故障以及安全漏洞就越少。限制访问你可以采取的另一个措施就是切断主机验证和应用管理的联系。拥有管理主机的权限，并不意味着有权可以管理其他功能，比如主机运行的数据库引擎或者其他应用。这可能会给需要全局管理权限的用户带来不便，但它却使非法闯入数据库的难度加大了一倍，因为黑客必须攻破两个用户身份和口令。同样，你可以把其他管理任务授权给特定的用户组，但不授予主机（或者网络）的全局管理权限。比如说，你可以允许用户管理打印机，但不授予控制打印机的主机的全部管理权限。你还可以禁止没要求加班的员工下班后登录主机。其实，大多数操作系统都内置了所有这些特性，你根本用不着投入资金，需要的

网络安全主机安全加固

网络安全主机安全加固网络安全主机安全加固、安全加固概述网络与应用系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务，将在客户信息系统的网络层、主机层和应用层等层次建立符合客户安全需求的安全状态，并以此作为保证客户信息系统安全的起点。网络与应用系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作： ?正确的安装； ?安装最新和全部OS和应用软件的安全补丁； ?操作系统和应用软件的安全配置； ?系统安全风险防范； ?提供系统使用和维护建议； ?系统功能测试； ?系统安全风险测试； ?系统完整性备份；

?必要时重建系统等。上述工作的结果决定了网络与应用系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说，贝U可以归纳为： (1)加固目标也就是确定系统在做过加固和优化后，达到的安全级别，通常不同环境下的系统对安全级别的要求不同，由此采用的加固方案也不同。 (2 )明确系统运行状况的内容包括： ?系统的具体用途，即明确系统在工作环境下所必需开放的端口和服务等。 ?系统上运行的应用系统及其正常所必需的服务。 ?我们是从网络扫描及人工评估里来收集系统的运行状况的。（3）明确加固风险：网络与应用系统加固是有一定风险的，一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致，也有因为加固方案的代价分析不准确，误操作引起。因此在加固前做好系统备份是非常重要的。（4 ）系统备份：备份内容包括：文件系统、关键数据、配置信息、口令、用户权限等内容；最好做系统全备份以便快速恢复。二?加固和优化流程概述网络与应用系统加固和优化的流程主要由以下四个环节构成： 1. 状态调查对系统的状态调查的过程主要是导入以下服务的结果： ?系统安全需求分析 ?系统安全策略制订

Linu系统主机安全加固

L i n u系统主机安全加固 SANY标准化小组 #QS8QHH-HHGX8Q8-GNHHJ8-HHMHGN#

Linux主机安全加固 V1.0 hk有限公司二零一五年二月一、修改密码策略 1、cp/etc/login.defs/etc/ 2、vi/etc/login.defs PASS_MAX_DAYS90（用户的密码不过期最多的天数） PASS_MIN_DAYS0（密码修改之间最小的天数） PASS_MIN_LEN8（密码最小长度） PASS_WARN_AGE7(口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项，修改完之后保存（：wq!）退出即可。二、查看系统是否已设定了正确UMASK值（022） 1、用命令umask查看umask值是否是022，如果不是用下面命令进行修改： /etc/profile/etc/profile.bak vi/etc/profile 找到umask022，修改这个数值即可。三、锁定系统中不必要的系统用户和组 1、cp/etc/passwd/etc/passwd.bak cp/etc/shadow/etc/shadow.bak 锁定下列用户 2、foriinadmlpsyncnewsuucpgamesftprpcrpcusernfsnobodymailnullgdmdo usermod- L$idone 3、检查是否锁定成功 more/etc/shadow如：lp:!*:15980:0:99999:7:::lp帐户后面有！号为已锁定。 4、禁用无关的组：备份： cp/etc/group/etc/group.bak

服务器主机操作系统安全加固方案

主机问题解决方案部分主机未禁用GUEST 账户，需禁用所有主机Guest 账号（只适用于windows）。旗标曝露操作系统的版本： AIX : 修改/etc/motd 中的内容为“ hello ” “ welcome” 或其他，以覆盖系统版本信息。 HP-UNIX 修改/etc/issue 中的内容。超时退出功能，已加固部分服务器，剩余服务器，Windows 设置屏保，时间为10 分钟以内，启用屏保密码功能。HP-UNIX：修改/etc/profile 文件，增加TMOUT值，建议设定600以内。AIX：编辑/etc/profile 文件，添加TMOUT参数设置，例如TMOUT=600 以内，系统600 秒无操作后将自动执行帐户注销操作。明文管理方式，部分设备目前还需要使用TELNET 服务，逐步关闭，建议采用SSH ，在网络和主机层面逐步关闭TELNET协议，禁用TELNET启用SSH协议（适用于AIX与HP-UNIX）： 1.禁用telnet vi /etc/inetd.conf 把telnet 行注释掉，然后refresh -s inetd 2.加速ssh 的登录第一: 如有/etc/resolv.conf ，rm 掉第二：vi /etc/ssh/sshd_config 去掉注释userDns , 把yes 改

为no stopsrs -s sshd startsrc -s sshd 未关闭远程桌面，易受本地局域网恶意用户攻击，需转运行后，在网络层面增加访问控制策略。允许root 账户远程登录，各网省建立专用账号实现远程管理，关闭root 账号运程管理功能在。主机操作系统提供FTP 服务，匿名用户可访问，易导致病毒的传播，禁用AIX 自身的FTP 服务（适用于AIX 与HP-UNIX） 1、编辑/etc/inetd.conf 将ftpd 一项注释； 2、refresh -s inetd 。其它FTP服务软件使用注意：先关闭所有FTP服务，用时开启，用完后关闭。

等级保护-主机加固方案

h主机安全一、身份鉴别（S3）本项要求包括： a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别；设置登陆密码 b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；依次展开[开始]->（[控制面板] ->）[管理工具]->[本地安全策略]->[账户策略]->[密码策略]，查看以下项的情况：1)复杂性要求-启用、2)长度最小值-大于8、3)最长存留期-不为0、4)最短存留期-不为0、5)强制密码历史-大于3。 c) 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；依次展开[开始]->（[控制面板] ->）[管理工具]->[本地安全策略]->[账户策略]->[账户锁定策略]； d) 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；如果是本地管理或KVM等硬件管理方式，此要求默认满足；如果采用远程管理，则需采用带加密管理的远程管理方式，如启用了加密功能的3389(RDP 客户端使用ssl加密)远程管理桌面或修改远程登录端口。

e) 应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。Windows Server 2003默认不存在相同用户名的用户，但应防止多人使用同一个账号。（访谈时无多人共用一个账号） f) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。动态口令、数字证书、生物信息识别等二、访问控制（S3）本项要求包括： a) 应启用访问控制功能，依据安全策略控制用户对资源的访问；制定用户权限表，管理员账号仅由系统管理员登陆删除默认共享？ b) 应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；系统管理员、安全管理员、安全审计员由不同的人员和用户担当 c) 应实现操作系统和数据库系统特权用户的权限分离；应保证操作系统管理员和审计员不为同一个账号，且不为同一个人访谈时候注意 d) 应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；重命名系统默认账户，禁用guest、SUPPORT_388945a0这些用户名 e) 应及时删除多余的、过期的帐户，避免共享帐户的存在。清理已离职员工的账户确保木有多余账号，确保木有多人共享账号 f) 应对重要信息资源设置敏感标记； Server2003无法做到 g) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作； Server2003无法做到三、安全审计（G3）本项要求包括： a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户； b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；依次展开[开始]->([控制面板] ->) [管理工具]->[本地安全策略]->[本地策略]->[审核策略]；全部开启

网络安全实验报告 - 主机加固

一实验名称系统主机加固二实验目的熟悉windows操作系统的漏洞扫描工具了解Linux操作系统的安全操作三实验步骤 Windows主机加固一．漏洞扫描及测试 2.漏洞测试（1）主机A建立ipc$空连接 net use \\100.10.1.2\ipc$“” /user:”” （2）主机A通过NetBIOS获得主机B信息主机A在命令行下执行如下命令：nbtstat –A 100.10.1.2 获得主机B的信息包括：主机名：HOST7D MAC地址：00-0C-29-31-8D-8F （3）主机A通过telnet远程登录主机B 主机A在命令行下执行如下命令：telnet 100.10.1.2 输入“n”|“Enter”，利用扫描到的弱口令用户，登录主机B。在主机B的D盘下新建名称为“jlcss”的文件夹，命令为d: 和mkdir jlcss 主机B查看D盘出现了名为“jlcss”的文件夹，文件夹创建时间为2016-5-16 9:30 （4）主机A通过ftp访问主机B 主机A打开IE浏览器，在地址栏中输入“ftp://主机B的IP地址”，可以访问二．安全加固实施 1.分析检测报告 2.关闭ipc$空连接主机A建立ipc$空连接，命令如下：net use \\100.10.1.2\ipc$“” /user:”” 出现提示：命令成功完成 3.禁用NetBIOS

主机A通过NetBIOS获取主机B信息，在命令行下执行如下命令： nbtstat –A 100.10.1.2 出现提示：Host not found 4.关闭445端口（1）验证445端口是否开启主机B在命令行中输入如下命令：netstat -an 查看到445端口处于Listening：（2）若主机不需要文件共享服务，可以通过修改注册表来屏蔽445端口主机B执行如下命令：netstat -an 此时445端口未开启 5.禁止Telnet服务。主机A重新telnet 主机B，出现提示 6.禁止ftp服务主机B查看21端口是否关闭，在命令行下执行如下命令: netstat –an 主机B的21端口已关闭主机A通过ftp访问主机B 提示无法与服务器建立连接 7.修改存在弱口令账号：net user test jlcssadmin 三．加固测试（1）主机A使用X-Scan再次对主机B进行扫描，根据本次检测报告，对比第一次生成的检测报告，完成下表： Linux主机加固一．使用xinetd实施主机访问控制 1．telnet服务的参数配置（1）telnet远程登录同组主机（用户名guest，口令guestpass），确定登录成功。（2）查看本机网络监听状态，输入命令netstat -natp。回答下列问题： telnet监听端口：23 telnet服务守护进程名：xinetd

Linux系统主机安全加固

L i n u x系统主机安全加固集团企业公司编码：（LL3698-KKI1269-TM2483-LUI12689-ITT289-

Linux主机安全加固 V1.0 hk有限公司二零一五年二月一、修改密码策略 1、cp/etc/login.defs/etc/ 2、vi/etc/login.defs PASS_MAX_DAYS90（用户的密码不过期最多的天数） PASS_MIN_DAYS0（密码修改之间最小的天数） PASS_MIN_LEN8（密码最小长度） PASS_WARN_AGE7(口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项，修改完之后保存（：wq!）退出即可。二、查看系统是否已设定了正确UMASK值（022） 1、用命令umask查看umask值是否是022，如果不是用下面命令进行修改： /etc/profile/etc/profile .bak vi/etc/profile 找到umask022，修改这个数值即可。三、锁定系统中不必要的系统用户和组 1、cp/etc/passwd/etc/passwd.bak cp/etc/shadow/etc/shadow.bak 锁定下列用户 2、foriinadmlpsyncnewsuucpgamesftprpcrpcusernfsnobodymailnullgd mdo

usermod- L$idone 3、检查是否锁定成功 more/etc/shadow如：lp:!*:15980:0:99999:7:::lp帐户后面有！号为已锁定。 4、禁用无关的组：备份： cp/etc/group/etc/group.bak

网络信息安全加固方案

XXXX业务网网络信息安全加固项目案例介绍一、概述随着信息化技术的深入和互联网的迅速发展，整个世界正在迅速地融为一体，IT系统已经成为XXX整合、共享内部资源的核心平台，同时，随着XXX经营理念的不断深化，利用各种各样的业务平台来为XXX提供更多的增值业务服务的情况越来越多，因此IT系统及各种各样的业务平台在XXX系统内的地位越来越重要，更为XXX提供的新业务利润增长做出了不可磨灭的贡献。伴随着网络的发展，也产生了各种各样的安全风险和威胁，网络中蠕虫、病毒及垃圾邮件肆意泛滥，木马无孔不入，DDOS攻击越来越常见、WEB应用安全事件层出不穷、，黑客攻击行为几乎每时每刻都在发生，而伴随着上级主管部门对于信息安全的重视及审查工作愈加深化，所有这些风险防范及安全审查工作极大的困扰着XXX运维人员，能否及时发现网络黑客的入侵，有效地检测出网络中的异常流量，并同时在“事前”、“事中”及“事后”都能主动协助XXX完成自身信息安全体系的建设以及满足上级部门审查规范，已成为XXX运维人员所面临的一个重要问题。本方案针对XXXX公司业务平台的安全现状进行分析，并依据我公司安全体系建设的总体思路来指导业务平台信息安全体系建设解决方案的制作，从安全技术体系建设的角度给出详细的产品及服务解决方案。

二、网络现状及风险分析 2.1 网络现状业务平台拓扑图 XXXX公司业务平台网络共有包括XXX、XXX、XXX平台等四十余个业务系统，（因涉及客户信息，整体网络架构详述略）业务平台内部根据业务种类的不同，分别部署有数据库、报表、日志等相应业务系统服务器。 2.2 风险及威胁分析根据上述网络架构进行分析，我们认为该业务平台存在如下安全隐患： 1.随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯XX的已经无法满足信息安全防护的需要，部署了×XX的安全保障体系仍需要进一步完善，防火墙系统的不足主要有以下几个方面（略） 2.当前网络不具备针对X攻击专项的检测及防护能力。（略） 3.对正常网络访问行为导致的信息泄密事件、网络资源滥用行为等方面难以实现针对内容、行为的监控管理及安全事件的追查取证。 4.当前XX业务平台仍缺乏针对网络内容及已经授权的正常内部网络访问行为的有效监控技术手段，因此对正常网络访问行为导致的信息泄密事件、网络资源滥用

主机安全加固方案

目录 1.安装最新安全补丁地址: RedHat Linux: Caldera OpenLinux: Conectiva Linux: Debian GNU/Linux: Mandrake Linux: LinuxPPC: Yellow Dog Linux : 2.网络和系统服务先把所有通过ineted/xineted 运行的网络服务关闭,再打开确实需要的服务服务都可以被禁止,比如echo, exec, login, shell,who,finger 等.对于telnet, r 系列服务, ftp 等, 强烈建议使用SSH 来代替. 2 设置xinetd 访问控制在 /etc/xinetd.conf 文件的”default {}”块中加入如下行: only_from=/ / … 运行 chkconfig nfs off 件和系统访问. 2 关闭NFS 客户端进程: 运行 chkconfig nfslock off chkconfig autofs off

3 关闭NIS客户端进程: chkconfig ypbind off NIS系统在设计时就存在安全隐患 4 关闭NIS服务器进程: 运行 chkconfig ypserv off chkconfig yppasswd off 5 关闭其它基于RPC的服务: 运行 chkconfig portmap off 基于RPC的服务通常非常脆弱或者缺少安全的认证,但是还可能共享敏感信息.除非确实必需,否则应该完全禁 chkconfig netfs off 8 关闭打印机守护进程 chkconfig lpd off 如果用户从来不通过该机器打印文件则应该禁止该服务.Unix的打印服务有糟糕的安全记录. 9 关闭启动时运行的 X Server sed 's/id:5:initdefault:/id:3:initdefault:/' \ < /etc/inittab > /etc/inittab.new mv /etc/inittab.new /etc/inittab chown root:root /etc/inittab chmod 0600 /etc/inittab 对于专门的服务器没有理由要运行X Server, 比如专门的Web服务器 10 关闭Mail Server chkconfig postfix off 多数Unix/Linux系统运行Sendmail作为邮件服务器, 而该软件历史上出现过较多安全漏洞,如无必要,禁止该服务 11 关闭Web Server chkconfig httpd off 可能的话,禁止该服务. 12 关闭SNMP chkconfig snmpd off 如果必需运行SNMP的话,应该更改缺省的community string 13 关闭DNS Server chkconfig named off 可能的话,禁止该服务 14 关闭 Database Server chkconfig postgresql off Linux下常见的数据库服务器有Mysql, Postgre, Oracle等, 没有必要的话,应该禁止这些服务 15 关闭路由守护进程 chkconfig routed off chkconfig gated off 组织里仅有极少数的机器才需要作为路由器来运行.大多数机器都使用简单的”静态路由”, 并且它不需要运行特殊的守护进程 16 关闭Webmin远程管理工具 chkconfig webmin off Webmin是一个远程管理工具,它有糟糕的认证和会话管理历史, 所以应该谨慎使用 17 关闭Squid Web Cache chkconfig squid off 如果必需使用, 应该谨慎配置 18 可能的话禁止inetd/xinetd chkconfig inetd off 或如果没有网络服务通过inetd/xinetd运行则可以禁止它们

操作系统安全加固与信息安全

操作系统安全与信息安全信息安全体系相当于整个信息系统的免疫系统，免疫系统不健全，信息系统不仅是低效的，甚至是危险的。党和国家领导人多次指示：信息安全是个大问题，必须把安全问题放到至关重要的位置上，信息安全问题解决不好，后果不堪设想。国家计算机信息系统安全保护条例要求，信息安全等级保护要实现五个安全层面（即物理层、网络层、系统层、应用层和管理层）的整体防护。其中系统层面所要求的安全操作系统是全部安全策略中的重要一环，也是国内外安全专家提倡的建立可信计算环境的核心。操作系统的安全是网络系统信息安全的基础。所有的信息化应用和安全措施都依赖操作系统提供底层支持。操作系统的漏洞或配置不当有可能导致整个安全体系的崩溃。各种操作系统之上的应用要想获得运行的高可靠性和信息的完整性、机密性、可用性和可控性，必须依赖于操作系统提供的系统软件基础，任何脱离操作系统的应用软件的安全性都是不可能的。目前，普遍采用的国际主流C级操作系统其安全性远远不够，访问控制粒度粗、超级用户的存在以及不断被发现的安全漏洞，是操作系统存在的几个致命性问题。中共中央办公厅、国务院办公厅近期印发的《2006-2020年国家信息化发展战略》中明确指出: “我国信息技术领域存在着自主创新技术不足，核心技术和关键设备主要依赖进口。”长期以来，我国广泛应用的主流操作系统都是进口产品，无安全性可言。如不从根本上解决，长此以往，就无法保障国家安全与经济社会安全。我们国家计算机信息系统中的主流操作系统基本采用的是国外进口的C级操作系统，即商用操作系统。商用操作系统不是安全的操作系统，它在为我们计算机信息系统带来无限便捷的同时，也为我们的信息安全、通信保密乃至国家安全带来了非常令人担忧的隐患！操作系统是计算机系统软硬件资源和数据的“总管”，担负着计算机系统庞大的资源管理，频繁的输入输出控制以及不可间断的用户与操作系统之间的通信等重要功能。一般来讲，包括病毒在内的各种网络安全问题的根源和症结，主要是由于商用操作系统的安全脆弱性。当今的信息系统产生安全问题的基本原因是操作系统的结构和机制不安全。这样就导致：资源配置可以被篡改、恶意程序被植入执行、利用缓冲区（栈）溢出攻击非法接管系统管理员权限等安全事故。病毒在世界范围内传播泛滥，黑客利用各种漏洞攻击入侵，

Windows主机安全加固

封面

作者：Pan Hongliang 仅供个人学习目录 1账户管理 (3) 1.1 1.2 1.3用户管理 (3) 弱口令修改 (4) 密码策略 (4)

1.4帐户锁定策略 (4) 2本地策略 (5) 2.1审核策略： (5) 3服务 (6) 3.1关闭不必须的服务 (6) 4网络协议 (8) 4.1 4.2 4.3删除TCP/IP外的其他网络协议： (8) 解除NetBios与TCP/IP协议的绑定： (8) 使用TCP/IP筛选限制端口： (8) 5注册表设置 (9) 5.1 5.2 5.3 5.4 5.5 5.6 5.7 5.8 5.9 5.10 5.11关闭默认共享 (9) 减少DDOS攻击的影响 (9) 处理HTTP/FTP半连接请求 (9) 禁用CD-ROM的自动运行 (9) 删除OS2、POSIX子系统 (10) 防止ICMP重定向报文的攻击 (10) 禁止响应ICMP路由通告报文 (10) 保护内核对象标志 (10) 禁止建立空连接 (10) 禁用路由功能 (10) 检查RUN (10) 6文件系统与权限 (11) 6.1 6.2 6.3 6.4 6.5 6.6使用NTFS文件系统 (11) 保护重要的EXE程序 (11) 删除无用的系统文件和目录 (11) 保护重要系统文件和目录 (12) 加密重要、敏感文件 (12) 系统、文件的备份： (12) 7常规安全 (13) 7.1 7.2 7.3 7.4 7.5更新Windows安全补丁： (13) 使用防病毒软件： (13) 使用木马扫描软件： (13) 使用个人防火墙： (13) 其他常规安全设置： (13) 1账户管理 1.1用户管理序号用户管理检查确认1停用gues t帐号：以防止未授权的用户访问。默认停用，检查确认。

网络安全解决方案

网络安全解决方案网络安全是一项动态的、整体的系统工程，从技术上来说，网络安全由安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成，一个单独的组件是无法确保信息网络的安全性。此处重点针对一些普遍性问题和所应采用的相应安全技术，主要包括：建立全面的网络防病毒体系；防火墙技术，控制访问权限，实现网络安全集中管理；应用入侵检测技术保护主机资源，防止内外网攻击；应用安全漏洞扫描技术主动探测网络安全漏洞，进行定期网络安全评估与安全加固；应用网站实时监控与恢复系统，实现网站安全可靠的运行；应用网络安全紧急响应体系，防范安全突发事件。 1．应用防病毒技术，建立全面的网络防病毒体系随着Internet的不断发展，信息技术已成为促进经济发展、社会进步的巨大推动力。不管是存储在工作站中、服务器里还是流通于Internet上的信息都已转变成为一个关系事业成败关键的策略点，这就使保证信息的安全变得格外重要。 1）采用多层的病毒防卫体系。网络系统可能会受到来自于多方面的病毒威胁，为了免受病毒所造成的损失，建议采用多层的病毒防卫体系。所谓的多层病毒防卫体系，是指在每台PC 机上安装单机版反病毒软件，在服务器上安装基于服务器的反病毒软件，在网关上安装基于网关的反病毒软件。因为防止病毒的攻击是每个员工的责任，人人都要做到自己使用的台式机上不受病毒的感染，从而保证整个企业网不受病毒的感染。

考虑到病毒在网络中存储、传播、感染的方式各异且途径多种多样，故相应地在构建网络防病毒系统时，应利用全方位的企业防毒产品，实施"层层设防、集中控制、以防为主、防杀结合"的策略。具体而言，就是针对网络中所有可能的病毒攻击设置对应的防毒软件，通过全方位、多层次的防毒系统配置，使网络没有薄弱环节成为病毒入侵的缺口。 2）选择合适的防病毒产品考虑防病毒产品的性能如下：价格：产品功能全面，价格合理，提供Internet的全面防毒功能及提供对各邮件系统的支持。全面：监控所有病毒入口：Internet、Email、光盘、软盘、网络等所有病毒入口并对宏病毒、特洛伊木马、黑客程序或有害软件全面进行实时监控。快速：及时更新病毒特征文件，全球每日达100种病毒，有快速的技术支持。强大：全面结合国内外病毒样本库，查杀能力直达黑客程序及有害软件；能够查杀多种压缩文件及多重压缩文件。智能：无须手工干预的全自动每日智能更新、升级，智能病毒扫描及启发式扫描能自动工作。兼容：支持各平台：Win9x、Win3x、Dos、OS/2、NT Workstation、Windows 2000、Microsoft Proxy Server、Firewall、Lotus Notes/Domino Servers，全面支持FTP、HTTP、SMTP、POP3、NNTP及MS- Exchange、Outlook Express、Outlook 邮件系统。紧密：与Windows 2000/XP紧密结合，深入操作系统内核，对各种文件鼠标操作方便。

服务器主机安全规范

服务器主机安全规范启用防火墙阿里云windows Server 2008 R2默认居然没有启用防火墙。2012可能也是这样的，不过这个一定要检查！补丁更新启用windows更新服务，设置为自动更新状态，以便及时打补丁。阿里云windows Server 2008 R2默认为自动更新状态，2012可能也是这样的，不过这个一定要检查！账号口令优化账号口令策略

网络服务优化服务（1）操作目的关闭不需要的服务，减小风险加固方法“Win+R”键调出“运行”->services.msc，以下服务改为禁用： Application Layer Gateway Service（为应用程序级协议插件提供支持并启用网络/协议连接） Background Intelligent Transfer Service（利用空闲的网络带宽在后台传输文件。如果服务被停用，例如Windows Update 和 MSN Explorer的功能将无法自动下载程序和其他信息） Computer Browser（维护网络上计算机的更新列表，并将列表提供给计算机指定浏览） DHCP Client Diagnostic Policy Service Distributed Transaction Coordinator DNS Client Distributed Link Tracking Client Remote Registry（使远程用户能修改此计算机上的注册表设置） Print Spooler（管理所有本地和网络打印队列及控制所有打印工作） Server（不使用文件共享可以关闭，关闭后再右键点某个磁盘选属性，“共享”这个页面就不存在了） Shell Hardware Detection TCP/IP NetBIOS Helper（提供 TCP/IP (NetBT) 服务上的NetBIOS 和网络上客户端的NetBIOS 名称解析的支持，从而使用户能够共享文件、打印和登录到网络）

7.主机安全评估及加固服务报告

xx 主机安全评估及加固服务报告

文档信息分发控制版本控制

1项目概述 1.1 评估范围本次对xxxx运营中心业务系统进行风险评估，xx业务系统资产列表清单如下：. 系统清单统计如表1-1所示：表1-1 评估主机设备数量 1.2 评估方法 1.2.1漏洞扫描弱点网络扫描评估指的是使用基于网络的安全弱点扫描工具，根据其内置的弱点测试方法、扫描策略，从网络侧对扫描对象进行系列的设置检查，从而发现弱点。使用弱点评估工具可以实现远程自动化扫描，显著降低安全评估的工作量，自动化程度高，并能根据需求输出评估结果或者报表。以下为弱点风险级别说明：在对xxxx网络设备进行安全评估时，使用了启明星辰的网络安全扫描器天镜及第三方扫描工具NESSUS。

1.2.2配置评估收集各设备（包括其上所安装的各关键软件）可能存在的技术脆弱性信息，以便在分析阶段进行详细分析，手工评估提取的相关信息如下： ?用户与密码策略安全漏洞 ?远程登陆安全漏洞 ?系统版本信息 ?系统自身漏洞威胁 ?后门及远程控制威胁 ?未知进程威胁 ?协议安全弱点威胁 ?配置不当信息泄漏威胁 ?定时任务威胁 ?第三方软件威胁 ?安全策略配置弱点 ?端口开放威胁查看分析配置文件内容，使用命令行、抓取控制台操作界面最终分析。 1.2.3综合分析综合分析所获得的所有相关信息以发现被评估对象所存在的安全缺陷和风险。评估人员分析和整理通过上述评估过程所收集的各项信息，查找系统及相关的评估对象之间的相互关联、相互配合中所存在的缺陷和安全风险，并与系统管理人员核实所收集的信息是否真实的反映了系统的真实情况，确认有缺失、有疑问的信息。 1.2.4评估报告列出相关的已有控制措施，面临的风险和存在的问题，以及应采取的改进措施；创建评估报告，根据综合分析结果创建评估报告。

(完整版)安全加固解决方案.doc

1.1 安全加固解决方案 1.1.1 安全加固范围及方法确定加固的范围是陕西电视台全台网中的主机系统和网络设备，以及相关的数据库系统。主要有：服务器加固。主要包括对Windows服务器和 Unix 服务器的评估加固，其中还包括对服务器操作系统层面的评估和数据库层面的评估加固。网络设备加固。主要包括对防火墙，交换机的评估加固。安全加固服务主要以人工的方式实现。 1.1.2 安全加固流程

图错误 ! 文档中没有指定样式的文字。-1安全加固流程图

检查当前设备确定系统漏洞重新启动主机确定实施方法更改系统配置版本升级按方案下载最新实施加固步骤补丁软件重新启动系统观察系统运行图错误 ! 文档中没有指定样式的文字。-2系统加固实施流程图 2 1.1.3 安全加固步骤 1.准备工作一人操作，一人记录，尽量防止可能出现的误操作。 2.收集系统信息加固之前收集所有的系统信息和用户服务需求，收集所有应用和服务软件信息，做好加固前预备工作。 3.做好备份工作系统加固之前，先对系统做完全备份。加固过程可能存在任何不可遇见的风险，当加固失败时，可以恢复到加固前状态。

4.加固系统按照系统加固核对表，逐项按顺序执行操作。 5.复查配置对加固后的系统，全部复查一次所作加固内容，确保正确无误。 6.应急恢复当出现不可预料的后果时，首先使用备份恢复系统提供服务，同时与安全专家小组取得联系，寻求帮助，解决问题

1.1.4 安全加固内容表错误 ! 文档中没有指定样式的文字。 -1 安全加固内容说明表加固对象操作系统加固项目说明 UNIX 系统 Solaris ，从厂家网站或者可信任站点下载系统的补丁包，不同及类 UNIX HP-UX ，AIX ，的操作系统版本以及运行不同的服务，都可能造成需系统 linux 补丁要安装的补丁包不同，所以必须选择适合本机的补丁， FreeBSD ，包安装。 [ 视机器配置而定 ] OpenBSD ，SCO UNIX 文件系统的权限配置项目繁多，要求也很严格，文件系统不适当的配置可能造成用户非法取得操作系统超级用户的控制权，从而完全控制操作系统。 [ 有 30 项左右配置 ] UNIX 配置文件功能有点类似微软的注册表， UNIX 对操作系统配置基本上都是通过各种配置文件来完成，不合理的配置文件可能造成用户非法取得操作系统超级配置文件用户的控制权，从而完全控制操作系统。例如： /etc/inittab 文件是系统加载时首先自动执行的文件， /etc/hosts 。 equiv 是限制主机信任关系的文件等。 [ 有 20 项左右配置 ] 帐号口令是从网络访问 UNIX 系统的基本认证方式，很多系统被入侵都是因为帐号管理不善，设置超级用户帐号管理密码强度，密码的缺省配置策略 ( 例如：密码长度，更换时间，帐号所在组，帐号锁定等多方面 ) 。有些系统可以配置使用更强的加密算法。 [ 有 10 项左右配置 ] UNIX 有很多缺省打开的服务，这些服务都可能泄露本机信息，或存在未被发现的安全漏洞，关闭不必要的服务，能尽量降低被入侵的可能性。例如 r 系列服务网络及服和 rpc 的 rstatd 都出过不止一次远程安全漏洞。 UNIX 务缺省的网络配置参数也不尽合理，例如 TCP 序列号随机强度，对 D 。 o 。 S 攻击的抵抗能力等，合理配置网络参数，能优化操作系统性能，提高安全性。 [ 视机器配置而定 >30 项 ] 网络文件系统协议最早是 SUN 公司开发出来的，以实现文件系统共享。 NFS 使用 RPC 服务，其验证方式存 NFS 系统在缺陷， NFS 服务的缺省配置也很不安全，如果必须使用 NFS 系统，一定进行安全的配置。 [ 视操作系统而定 ]