操作系統安全加固技術研究

◆莫懷海

?

操作系統安全加固技術研究

◆莫懷海

（國家計算機網絡應急技術處理協調中心廣東分中心 廣東 510665）

隨著計算機網絡技術的飛躍發展，特別近年來大數據和云計算技術的創新演進，信息系統的安全面臨嚴峻挑戰，對作為信息系統主要組成部分的服務器與終端操作系統進行安全加固已是信息系統安全必不可少的防御措施，本文結合重要信息系統等級保護及系統安全實際運維的安全加固經驗，對信息系統安全加固的原理、方法、流程進行了分析，并專門針對Windows操作系統和Linux操作系統常用安全加固技術手段進行了研究。

安全加固；操作系統；系統安全

0 引言

隨著計算機網絡與應用技術的不斷發展，信息系統安全問題越來越引起人們的關注，信息系統一旦遭受破壞，用戶及單位將受到重大的損失，對信息系統進行有效的保護，是必須面對和解決的迫切課題，而操作系統安全在計算機系統整體安全中至關重要，加強操作系統安全加固和優化服務是實現信息系統安全的關鍵環節。我國目前所使用的操作系統，基本上是國外的，而且是Ｃ2級以下的，安全機制不符合國家等級保護的要求，也不符合信息系統實際的安全需求[1]。當前，操作系統安全構成威脅的問題主要有系統漏洞、脆弱的登錄認證方式、訪問控制形同虛設、計算機病毒、特洛伊木馬、隱蔽通道、系統后門惡意程序和代碼感染等，加強操作系統安全加固工作是整個信息系統安全的基礎。

1 安全加固技術概述

1.1 安全加固原理

安全加固是指按照系統安全配置標準，結合用戶信息系統實際情況，對信息系統涉及的終端主機、服務器、網絡設備、數據庫及應用中間件等軟件系統進行安全配置加固、漏洞修復和安全設備調優。通過安全加固，可以合理加強信息系統安全性，提高其健壯性，增加攻擊入侵的難度，可以使信息系統安全防范水平得到大幅提升。

1.2 安全加固方法

安全加固主要通過人工對系統進行漏洞掃描，針對掃描結果使用打補丁、強化賬號安全、修改安全配置、優化訪問控制策略、增加安全機制等方法加固系統以及堵塞系統漏洞、“后門”，完成加固工作。

1.3 安全加固流程

安全加固主要包含以下幾個環節：

（1）安全加固范圍確定

收集需要進行安全加固的信息系統所涉及的計算機設備、網絡、數據庫及應用中間件的設備情況。

（2）制訂安全加固方案

根據信息系統的安全等級劃分和具體要求，利用網絡安全經驗和漏洞掃描技術和工具，對加固范圍內的計算機操作系統、網絡設備、數據庫系統及應用中間件系統進行安全評估，從內、外部對信息系統進行全面的評估，檢查這些系統目前安全狀況，根據現狀制定相應的安全加固措施，形成安全加固方案。

（3）安全加固方案實施

根據制定的安全加固實施方案實施加固，完成后對加固后的系統進行全面的測試和檢查，確保加固對系統業務無影響，并填寫加固實施記錄。

（4）安全加固報告輸出

根據安全加固實施記錄，編寫最終的安全加固實施報告，對加固工作進行總結，對已加固的項目、加固效果、遺留問題進行匯總統計。

1.4 信息安全等級保護與安全加固

信息系統安全等級保護是指對信息以及信息系統分等級進行安全保護和監管;對信息安全產品的使用進行分等級管理;對信息系統中發生的信息安全事件分等級響應、處置的綜合性工作制度[2]。信息安全等級保護是我國信息安全保障的一項基本制度，是國家通過制定統一的信息安全等級保護管理規范和技術標準。對信息系統所依賴的服務器操作系統、數據庫、網絡及安全設備進行安全加固是信息安全等級保護標準中的重要技術措施。

Windows和Linux系統是目前主流的終端和服務器操作系統，下面結合重要信息系統等級保護、系統運維的經驗，分析這兩種操作系統的常用安全加固技術。

2 Windows操作系統安全加固技術

2.1 Windows系統版本號和最新補丁檢查

在Windows系統下可運行winver 命令或使用其他方法檢查操作系統的版本；運行systeminfo命令或使用控制面板的“添加或刪除程序”的“顯示更新”功能進行檢查重要檢查補丁安裝日期以及重要的補丁號；安全加固應確保操作系統的重要補丁及時更新，其他補丁可定期更新。

2.2 審計及賬號策略加固

Windows系統審計及賬號策略加固主要包括密碼、賬號鎖定、審核策略、日志文件大小、用戶權限分配及安全選項等安全加固。

（1）密碼、賬號鎖定：根據信息系統保護以及用戶安全要求，密碼、賬號鎖定可運行gpedit.msc命令進入相關配置選項進行設置。

(2) 審核策略設置：運行gpedit.msc命令進入本地策略下的審核策略頁面，檢查以下9項內容的“安全設置”是否都包括了“成功”和“失敗”：審核策略更改、審核登錄事件、審核對象訪問、審核過程追蹤、審核目錄服務訪問、審核特權使用、審核系統事件、審核賬戶登錄事件、審核賬戶管理。

(3) 日志文件大小:進入系統工具下的事件查看器，應包括：應用程序、安全、Setup、系統等4項或更多項，檢查每一項的屬性中 “日志最大大小”是否符合要求。

(4) 本地策略：運行gpedit.msc命令進入本地策略下的“安全選項”，按表1進行安全設置。

表1 安全設置

2.3 系統服務加固

運行net start命令檢查運行的系統服務，對不必要的服務及危險服務手動修改為停止及禁用，可對DHCP Client、DNS Client、Remote Access Auto Connection Manager、Remote Registry、Routing and Remote Access、Server、Worksation等系統服務按實際需求進行檢查。

2.4 注冊表項加固

通過修改注冊表相應表項值，常用的可以設置禁止自動登錄、禁止CD自動運行、刪除操作系統默認隱藏的共享等注冊表項值進行安全加固；運行net start命令檢查運行的系統服務，對不必要的服務及危險服務手動修改為停止及禁用。

2.5 防火墻和殺毒安全加固

檢查防火墻的安裝和設置情況；檢查殺毒軟件的安裝、設置為自動更新以及特征碼和檢查引擎已經更新到最新；打開殺毒軟件殺毒歷史記錄，檢查是否存在沒被清除的病毒。

2.6 后門排查

后門查找可通過檢查系統賬號、端口服務(運行netstat -an命令)、系統服務(運行net start命令)檢查是否存在異常以及運行msconfig命令檢查自動運行項中是否存在異常程序等方法進行一一排查。

3 Linux操作系統安全加固技術

Linux的核心安全機制是身份認證、授權與訪問控制、安全審計三部分[3]。Linux的安全加固應根據用戶和系統的安全需要圍繞核心安全機制進行配置。

3.1 Linux版本及內核檢查

可運行lsb_release -a命令查看發行版本，用uname -a檢查內核版本；Linux應使用最新的穩定版內核版本。

3.2 賬號及賬號策略加固

檢查/etc/passwd文件中root賬號是否唯一以及是否有不必要用戶。

3.3 訪問控制加固

Liunx系統訪問控制加固常做以下檢查：

（1）運行umask命令查看系統是否設定了正確UMASK值0022；

（2）查看/etc/passwd是否鎖定系統中不必要的系統用戶；

（3）查看系統中是否刪除了不必要的系統用戶組；

（4）禁止root用戶遠程登錄；

（5）系統重要文件訪問權限是否為644或600；

（6）系統與其他主機不存在信任關系，檢查系統中是否存在.rhosts、.netrc、hosts.equiv等文件，以及內容是否為空。

3.4 禁止不必要的系統服務

使用chkconfig --list命令列出系統所有的服務啟動情況，禁止不必要的系統服務。

3.5 文件目錄控制加固

對/tmp和/var/tmp目錄設置粘滯位，防止非授權用戶去刪除這些文件里的內容

4 結束語

本文分析了信息系統安全加固原理、方法、流程，并研究了Windows、Linux系統系統的安全加固技術。目前，隨著大數據和云計算等新技術不斷發展，在新的時代下，進一步加強安全加固工作是信息系統安全防范工作新的挑戰和課題。

[1]李科.操作系統安全加固技術在重要信息系統安全保護中的作用[A].首屆全國信息安全等級保護技術大會論文集，2012.

[2]張偉麗.信息安全等級保護現狀淺析[J].信息安全與技術，2014.

[3]劉仁維，李杜，翟琛.Linux系統安全與加固[J].網絡安全技術與應用，2018．