2023年整理安全加固方案模板.docx

《2023年整理安全加固方案模板.docx》由会员分享，可在线阅读，更多相关《2023年整理安全加固方案模板.docx（63页珍藏版）》请在第一文库网上搜索。

1、XXXXX公司安全加固方案文档日期：XXX文档版本：XXX本文档所包含的信息是受XXX公司和XXX公司所签署的“保密信息交换协议”保护和限制。在未事先得到XXX公司和XXX公司书面同意之前，本文档全部或部份内容不得用于其他任何用途或交与第三方。第1章概述51.1.工作目的51. 2.加固方法51.3. 风险的应对措施51. 4.加固步骤7第2章加固内容82. 1.主机加固82. 2.网络加固92. 3.未加固项说明9第3章加固列表113. 1.主机加固列表114. 2.数据库加固列表115. 3.网络加固列表11第4章加固操作136. 1.网络安全加固131.1.1. 1.1.高等级弱点131

2、.1.2. 中等级弱点141.1.3. 低等级弱点154.2.XX统一视频监视平台安全加固操作164. 2.1.WindoWS主机165. 2.2.OraC1e数据库214.3.输XX设备状态在线监测系统安全加固操作234.3.1.AIX主机234.3.2.1inUX主机284.3.3.WindOWS主机314.3.4.OraCIe数据库364.4.用XX信息采集系统安全加固操作384.4.1.AIX主机384.4.2.1inUX主机434.4.3.WindOWS主机474.4.4.OraCIe数据库524.5.95598XX互动XX安全加固操作544.5.1.1inux主机544.5.2.O

3、rae1e数据库574.6.XXXX平台安全加固操作594.6.1.1inux主机59时间：2023年X月X日书山有路勤为径，学海无涯苦作舟页码：第3页共62页文档信息表文档基本信息项目名称XXXXXX文档名称安全加固方案文档版本是否为正式交付件是文档创建日期当前修订日期文档审批信息审阅人职务审阅时间审阅意见文档修订信息版本修正章节日期作者变更记录时间：2023年X月X日书山有路勤为径，学海无涯苦作舟页码：第4页共62页时间：2023年X月X日书山有路勤为径，学海无涯苦作舟页码：第5页共62页第1章概述1.1. 工作目的在前期安全评估过程中，发现XXXX主机系统，包括业务主机、数据库、中间件的

4、多处安全弱点，为降低这些弱点所带来的安全风险，需要针对上述设备进行相应的安全加固工作，修复已发现的安全弱点，进一步提高XXXX的整体安全性。为确保安全加固工作能够顺利进行并达到目标，特制定本安全加固方案以指导该项工作。1.2. 加固方法为验证和完善主机系统安全加固方案中的内容，尽早规避加固工作中存在的风险，最终保证XXXX系统业务主机顺利完成加固。将首先选取XXXX系统测试机进行安全加固，待加固完成并通过观察确认无影响后再进行XXXX系统业务主机的加固工作。安全加固工作将由xxxx（甲方）提供加固操作步骤，由XXXX（甲方）根据加固操作步骤对确认后的加固项进行逐项设置。若涉及操作系统、数据库、

5、中间件补丁的升级，软件版本的升级，需由XXXX（甲方）协调相关设备售后服务合同方人员进行。加固过程中xxxx（甲方）负责现场指导。1.3. 风险的应对措施 为防止在加固过程中出现的异常状况，所有被加固系统均应在加固操作开始前进行完整的数据备份。 安全加固时间应尽量选择业务可中止的时段。 加固过程中，涉及修改文件等内容时，将备份源文件在同级目录中，以便回退操作。 安全加固完成后，需重启主机进行，因此需要xxxx（甲方）提前申请业务时间；2023年X月X日书山有路勤为径，学海无涯苦作舟页码：第6页共62页停机时间并进行相应的人员安排。 在加固完成后，如果出现被加固系统无法正常工作，应立即恢复所做各

6、项配置变更，待业务应用正常运行后，再行协商后续加固工作的进行方式。时间：2023年X月X日书山有路勤为径，学海无涯苦作舟页码：第7页共62页1.4.加固步骤时间：2023年X月X日书山有路勤为径，学海无涯苦作舟页码：第8页共62页第2章加固内容2.1.主机加固对WindoWs、HP-UX.AIX、1inUX等操作系统和OraC1e数据库进行加固。序号加固项加固内容1帐号权限加固对操作系统用户、用户组进行权限设置，应用系统用户和系统普通用户权限的定义遵循最小权限原则。删除系统多余用户，设置应用系统用户的权限只能做与应用系统相关的操作；设置普通系统用户的权限为只能执行系统日常维护的必要操作2网络服

7、务加固关闭系统中不安全的服务，确保操作系统只开启承载业务所必需的网络服务和网络端口3访问控制加固合理设置系统中重要文件的访问权限只授予必要的用户必要的访问权限。限制特权用户在控制台登录，远程控制有安全机制保证，限制能够访问本机的用户和IP地址4口令策略加固对操作系统设置口令策略，设置口令复杂性要求，为所有用户设置强壮的口令，禁止系统伪帐号的登录5用户鉴别加固设置操作系统用户不成功的鉴别失败次数以及达到此阀值所采取的措施，设置操作系统用户交互登录失败、管理控制台自锁，设置系统超时自动注销功能6审计策略加固配置操作系统的安全审计功能，使系统对用户登录、系统管理行为、入侵攻击行为等重要事件进行审计，

8、确保每个审计记录中记录事件的日期和时间、事件类型、主体身份、事件的结果（成功或失时间：2023年X月X日书山有路勤为径，学海无涯苦作舟页码：第9页共62页败），对审计产生的数据分配空间存储，并制定和实施必要的备份、清理措施，设置审计存储超出限制时的覆盖或转储方式，防止审计数据被非法删除、修改2.2.网络加固对宁夏XX力公司XXXX五个应用系统的内网出口交换机、核心交换机、核心路由器、综合区汇聚交换机、办公区汇聚交换机、DMZ区交换机以及各接入交换机进加固。序号加固项加固内容1帐号权限加固对交换机远程访问用户进行权限设置，对管理员用户和审计用户权限的定义遵循最小权限原则；设置管理员用户对设备进行

9、配置修改，审计用户2网络服务加固关闭交换机中不安全的服务，确保操作系统只开启承载业务所必需的网络服务和网络端口3访问控制加固限制用户对网络设备的远程登录IP地址和超时设置；加强远程控制安全机制的保证，如配置SSH4口令策略加固对网络设备的口令进行加固，确保符合口令复杂度要求5用户鉴别加固设置设备登录不成功的鉴别失败次数以及达到此阀值所采取的措施6审计策略加固配置交换机的安全审计功能，日志关联审计服务器中7关键服务器访控、接入策略加固配置交换机的IP-MAC绑定策略，关闭交换机空闲端口，增强服务器接入策略2.3.未加固项说明各接入交换机的IoS版本不具备端口与MAC绑定功能。 WirIdOwS主

10、机系统中未关闭远程桌面，考虑到带外管理区未建立，暂时未关闭。 WindOwS主机系统中未修改匿名空连接，由于涉及业务应用正常运行，暂时未关闭。 WindowS主机系统中未更新补丁，由于操作系统版本较低，且补丁升级服务器未部署，故暂未进行升级。 AIX、HP和1inUX主机中未关闭FTP,由于现处于数据验证阶段，FTP做为验证方式之一，暂未关闭。 OraC1e数据库中未开启日志审计功能，考虑到开启此功能，势必影响数据库的性能。 OraCIe数据库中未更新补丁，由于数据库版本较低，且补丁升级风险较大，故暂未进行升级。 各设备和系统中未加固项具体情况及原因详见加固列表。第3章加固列表3.1.主机加固

11、列表序号操作系统名称加固项弱点等级1WindowsWindows服务器服务漏洞(MS08-067)高2删除服务器上的管理员共享中3禁止在任何驱动器上自动运行任何程序中4禁用无关的windows服务中5设置密码策略中6设置审计和账号策略中7禁止CD自动运行低8设置交互式登录：不显示上次用户名低9设置关机：清除虚拟内存页面文件低10AIX限制root用户远程登录中11禁用nta1k/cmsd服务中12禁用或删除不必要的帐号中13限制ftp服务的使用中14设置登陆策略低15设置密码策略低XX禁用TimeXDayTime服务低17设置系统口令策略中181inux限制能su为root的用户中19禁止ro

12、ot用户远程登录中20限定信任主机中21限制A1t+Ctr1+De1命令低3.2.数据库加固列表序号Orac1e加固项弱点等级1修改数据库弱口令账户中2限制客户端连接IP中3设置orac1e密码策略中3.3.网络加固列表序号H3C加固项弱点等级1配置默认级别账户高编号：时间：2023年X月X日书山有路勤为径，学海无涯苦作舟页码：第12页共62页2开启密码加密保存服务中3配置失败登陆退出机制中4部署日志服务器低时间：2023年X月X日书山有路勤为径，学海无涯苦作舟页码：第13页共62页第4章加固操作4.1.网络安全加固4.1.1. 高等级弱点4.1.1.1. 配置默认级别账户漏洞名称配置默认级别

13、账户漏洞描述一旦网路设备密码被攻破，直接提取网络设备的特权账户权限，将严重影响设备的安全性。发现方式人工评估风险等级商影响范囤加固建议和步骤1 .首先备份设备配置；2 .交换机命令级别共分为访问、XX、系统、管理4个级别，分别对应标识0、1、2、3。配置登录默认级别为访问级(O-VISIT)user-interfaceaux08authentication-modepassworduserprivi1ege1eve10setauthenticationpasswordcipherxxxuser-interfacevty04authentication-modepassworduserprivi1ege1eve10setauthenticationpasswordcipherxxx加固风险无回退建议根据原设备口令进行还原即可。编号：时间：2023年X月X日书山有路勤为径，学海无涯苦作舟页码：第14页共62页建议加固时间无加固时间限制4.1.2.中等级弱点4.1.2.1未开启密码加密保存服务漏洞名称未开启密码加密保存服务漏洞描述明文密码容易被外部恶意人员获取，影响设备的安全。发现方式人工评估风险等级中影响范围加固建议和步骤1首先备份设备配置；2.更改配置：user-interfaceaux08userprivi1ege1eve10seta