安全加固技術在各類主機和系統中的應用

摘 要：安全加固是對信息系統中的主機系統、運行在主機上的各種軟件系統、與網絡設備的脆弱性進行分析并修補，更強調針對主機和系統的安全保護加強。生產環境下安全加固操作的規范性與應急措施完備性對業務的正常運行至關重要，本文詳細描述了在實際工作中安全加固實施規范及具體應用。

【關鍵詞】安全加固 Windows 防火墻 漏洞修復

1 概述

隨著互聯網應用的縱深演進，網絡安全的概念已經不僅僅限于單一的安全產品和技術，而是涉及到企業和組織范圍內網絡體系各個層面的動態防護與安全管理。通過安全加固能夠修補系統中的安全漏洞，同時也優化配置，加強網絡體系的安全性。

2 目標

安全加固是對信息系統中的主機系統與網絡設備的脆弱性進行分析并修補，更強調針對主機和系統的安全保護加強。安全加固通常建立在安全風險評估的結果基礎之上，對評估對象進行安全加固。

安全加固工作的目標是解決在安全評估中發現的技術性安全問題。這對于安全保護來說，是非常必要的。要求在安全加固完全成后，所有被加固的目標系統不再存在高風險漏洞和中風險漏洞（高風險漏洞和中風險漏洞，根據CVE標準定義）。對相關的漏洞安全加固與現有應用沖突或已被證實會導致不良后果的情況除外。安全加固的基本原則如下：

安全加固內容不能影響目標系統所承載的業務運行；

安全加固不能嚴重影響目標系統的自身性能；

安全加固操作不能影響與目標系統以及與之相連的其它系統的安全性，也不能造成性能的明顯下降。

3 原則

3.1 標準性原則

加固方案的設計與實施應依據國內或國際的相關標準進行。

3.2 規范性原則

安全加固項目形成規范性文檔：

（1）項目計劃；

（2）工作確認單；

（3）階段工作完成單；

（4）安全加固服務報告；

（5）災難恢復計劃。

3.3 可控性原則

加固的方法和過程要在客戶認可的范圍之內，加固服務的實際進度與進度表安排一致，保證客戶對于加固工作的可控性。

3.4 整體性原則

加固的范圍和內容應當整體全面，包括安全涉及的各個層面，以免由于遺漏造成未來的安全隱患。

3.5 最小影響原則

加固工作應盡可能小的影響系統和網絡的正常運行，不能對正在的運行和業務的正常提供產生顯著不利影響。

3.6 保密原則

加固的過程數據和結果數據嚴格保密。

4 加固流程

4.1 前期準備

首先應該成立由業務系統運維人員，網絡運維人員，安全專責，部門領導等組成的項目組，同時確認加固的范圍、確認加固的對象、確認加固的內容、開工條件確認、確認加固工作的技術資料、人員配合、場地環境等條件是否符合要求。

然后進行報告收集，收集前期安全評估輸出的漏掃、滲透、基線檢查等報告，收集安全運維中輸出的相關報告，為方案細化做前期準備。

4.2 方案細化

閱讀前期漏掃、滲透、基線檢查、漏洞通報報告，從而細化加固的目標和現有系統的安全狀況；收集被加固設備信息，系統情況：被加固設備的操作系統類型、應用需求：被加固設備上啟用了哪些應用，這些應用需要哪些權限（文件、網絡等）環境情況：被加固設備的運行環境，包括網絡環境及其它應用聯系，根據收集的信息制定合理的加固方案，包括時間安排、流程、操作方法等。

為防止加固可能引起的不良后果，因此需要制定回退方案和應急方案，回退方案用于加固導致系統不可用時將系統回退到加固前的狀態，應急方案用于處理其他不可控的情況（包括加固失敗后無法回退）。

4.3 方案審核

由用戶的安全負責人、網絡負責人和業務負責人一起對提交的加固方案進行研討，確認其可行性。

4.4 系統備份

對于重要的系統，為了能夠在加固失敗的情況下快速回退或恢復系統，必須在事前進行相應的備份，包括且不僅限于：重要系統的備份、重要配置的備份、重要數據的備份。

4.5 實施加固

系統加固和優化的流程主要由以下四個環節構成：狀態調查；制定加固方案；實施加固；生成加固報告。

上述這四個環節是完成加固必不可少的，就其中每個環節的具體內容根據不同情況會有所不同。其中區別較大的是對新建系統和現存系統的加固和優化。

新系統（或重新安裝的系統）與現存系統相比較，新系統的加固和優化工作要相對簡單些；現存系統的加固比較復雜，在一定情況下，現存系統必須完全重建，才能滿足客戶對系統的安全需求；新系統和舊系統的加固和優化流程不同，兩者有各自的工作流程。

加固實施操作前，應向客戶方提交加固方案書，作為加固操作申請。在客戶審核加固操作方案無誤的情況下，安排三方人員配合加固工作。

對系統實施加固和優化主要內容包含以下兩個方面：對系統進行加固、對系統進行測試。

對系統進行測試的目的是檢驗在對系統使是安全加固后，系統在安全性和功能性上是否能夠滿足客戶的需求。上述兩個方面的工作是一個反復的過程，即，每完成一個加固或優化步驟后就要測試系統的功能性要求和安全性要求是否滿足客戶需求；如果其中一方面的要求不能滿足，該加固步驟就要重新進行。對有些系統會存在加固失敗的情況，如果發生加固失敗，則根據客戶的選擇，要么放棄加固，要么重建系統。

加固完成后，對加固過的目標系統二次使用工具掃描，檢查原有的高級，中級漏洞是否解除。

對于特別重要的系統或特別危險的加固操作，可以進行加固測試，通過加固測試后才能在被加固設備上進行操作，加固測試包括：補丁測試、加固方案測試、加固方案修正。實際操作時可以選擇同樣目的的不同加固方法同時進行測試，根據測試結果選擇最優的加固方法；收集相關補丁、收集升級軟件、收集加固工具根據具體的加固方案實施加固操作。

在加固完成后，需要與應用人員確認設備的可用性，并觀察一段時間，待確認設備正常運行后加固人員才可以離開現場。

4.6 效果檢驗

為確保加固有效，在加固全部完成后，將對加固效果進行檢驗，檢驗的方法如下：加固后對所有被加固設備進行一次掃描；對重點設備進行抽樣檢查；對加固日志和掃描結果進行分析；提交殘余風險報告。

4.7 加固完成

生成加固報告，加固報告是向用戶提供完成系統加固和優化服務后的最終報告。其中包含以下內容：加固過程的完整記錄，有關系統安全管理方面的建議或解決方案，對加固系統安全審計結果。同時完善安全基線生成加固服務器、設備的安全基線文檔，描述當前服務器的安全基線情況。

5 風險規避措施

5.1 加固實施策略

時間：為了避免加固過程影響系統業務運行，加固時間應該選擇在系統業務量最小，業務臨時中斷對外影響最小的時候。

操作：加固操作需要按照系統加固核對表，逐項按順序執行操作。

記錄：對加固后的系統，全部復查一次所作加固內容，確保正確無誤。

5.2 系統備份和恢復

系統加固之前，先對系統做完全備份，加固過程可能存在任何不可遇見的風險，當加固失敗時，可以恢復到加固前狀態。

當出現不可預料的后果時，首先使用備份恢復系統提供服務，同時與總部安全專家小組取得聯系，尋求幫助，解決問題。

5.3 工程中合理溝通的保證

在工程實施過程中，確定不同階段的測試人員以及客戶方的配合人員，建立直接溝通的渠道，并在工程出現難題的過程中保持合理溝通。

6 Windows安全加固應用實戰

Windows 操作系統由于其簡單明了的圖形界面以及逐漸提高的系統穩定性和性能而成為使用廣泛的網絡操作系統，并且在網絡中占有重要地位。

但是目前使用的 windows系統中存在大量已知和未知的漏洞，Microsoft公司（包括一些國際上的安全組織）已經發布了大量的安全漏洞，其中一些漏洞可以導致入侵者獲得管理員的權限，而另一些漏洞則可以被用來實施拒絕服務攻擊，對網絡和信息的安全構成巨大的威脅。

目前WINDOWS 操作系統面臨的安全威脅包括：

（1）沒有安裝最新的Service Pack.；

（2）沒有關閉不必要的系統服務；

（3）系統注冊表屬性安全問題；

（4）文件系統屬性安全問題；

（5）缺省帳號安全問題；

（6）文件共享方面的安全問題；

（7）其它方面的各種安全問題。

因此，在一個未加保護的Windows 系統上運行企業的核心業務會存在相當大的風險。應當采取的系統加固包括見表1。

6.1 安裝補丁

首先在“開始/程序/附件/系統工具/系統信息”窗口的“系統摘要”項查看系統類型、版本、ServicePack安裝情況。也可以通過微軟提供的Windowsupdate工具或者360安全衛士來檢查現有系統的補丁安裝情況。建議訪問http：//www.microsoft.com安裝最新的servicepack和hotfix。

補丁安裝完成后，可執行如下工具和命令檢查補丁安裝成功與否：

F：＼PsTools>psinfo-h

6.2 應用軟件的優化

6.2.1 刪除IIS默認文件和目錄

IIS c：＼inetpub＼iissamples

AdminScripts c：＼inetpub＼scripts

AdminSamples %systemroot%＼system32＼inetsrv＼adminsamples

IISADMPWD %systemroot%＼system32＼inetsrv＼iisadmpwd

IISADMIN %systemroot%＼system32＼inetsrv＼iisadmin

Dataaccess c：＼ProgramFiles＼CommonFiles＼System＼msadc＼Samples

MSADC c：＼programfiles＼commonfiles＼system＼msadc

以及其他不需要的文件和目錄。

6.2.2 刪除不必要的IIS擴展名映射

從“Internet服務管理器“中：選擇計算機名，點鼠標右鍵，選擇屬性：

然后選擇編輯，然后選擇主目錄，點擊配置，選擇需要刪除的擴展名，點擊刪除。

6.3 安全配置

（1）禁止如下的服務；

Alerter（disable）

ClipBookServer（disable）

ComputerBrowser（disable）

DHCPClient（disable）

DirectoryReplicator（disable）

FTPpublishingservice（disable）

LicenseLoggingService（disable）

Messenger（disable）

Netlogon（disable）

NetworkDDE（disable）

NetworkDDEDSDM（disable）

NetworkMonitor（disable）

PlugandPlay（disableafterallhardwareconfiguration）

RemoteAccessServer（disable）

RemoteProcedureCall（RPC）locater（disable）

Schedule（disable）

Server（disable）

SimpleServices（disable）

Spooler（disable）

TCP/IPNetbiosHelper（disable）

TelephoneService（disable）

在必要時禁止如下服務：

SNMPservice（optional）

SNMPtrap（optional）

UPS（optional）

設置如下服務為自動啟動：

Eventlog（required）

NTLMSecurityProvider（required）

RPCservice（required）

WWW（required）

Workstation（leaveserviceon：willbedisabledlaterinthedocument）

MSDTC（required）

ProtectedStorage（required）

（2）防火墻設置/系統自帶防火墻設置；

（3）過濾不常用端口；

（4）賬號安全。

6.4 安全輔助工具

在做設備加固的同時，我們可能需要一些工具來輔助，在這里主要推薦幾種常用的工具：

（1）SolarWinds；

（2）Cain；

（3）360安全衛士。

作者簡介

楊建康（1972-），男，白族，云南省大理市人。大學本科學歷。云南電網有限責任公司大理供電局主任、經濟師。

作者單位

云南電網有限責任公司大理供電局 云南省大理白族自治州 671000