linux系统安全加固技术方案

1概述- 1 -

1.1适用范围- 1 -

2用户账户安全加固- 1 -

2.1修改用户密码策略- 1 -

2.2锁定或删除系统中与服务运行，运维无关的的用户- 1 -

2.3锁定或删除系统中不使用的组- 2 -

2.4限制密码的最小长度- 2 -

3用户登录安全设置- 3 -

3.1禁止root用户远程登录- 3 -

3.2设置远程ssh登录超时时间- 4 -

3.3设置当用户连续登录失败三次，锁定用户30分钟- 5 -

3.4设置用户不能使用最近五次使用过的密码- 5 -

3.5设置登陆系统账户超时自动退出登陆- 6 -

4系统安全加固- 6 -

4.1关闭系统中与系统正常运行、业务无关的服务- 6 -

4.2禁用“CTRL+ALT+DEL”重启系统- 7 -

4.3加密grub菜单- 7 -

1概述

1.1适用范围

本方案适用于银视通信息科技有限公司linux主机安全加固，供运维人员参考对linux 主机进行安全加固。

2用户账户安全加固

2.1修改用户密码策略

（1）修改前备份配置文件：/etc/login.defs

（2）修改编辑配置文件：vi /etc/login.defs，修改如下配置：

（3）回退操作

2.2锁定或删除系统中与服务运行，运维无关的的用户

（1）查看系统中的用户并确定无用的用户

（2）锁定不使用的账户（锁定或删除用户根据自己的需求操作一项即可）锁定不使用的账户：

或删除不使用的账户：

（3）回退操作

用户锁定后当使用时可解除锁定，解除锁定命令为：

2.3锁定或删除系统中不使用的组

（1）操作前备份组配置文件/etc/group

（2）查看系统中的组并确定不使用的组

（3）删除或锁定不使用的组

锁定不使用的组：

修改组配置文件/etc/group，在不使用的组前加“#”注释掉该组即可删除不使用的组：

（4）回退操作

2.4限制密码的最小长度

（1）操作前备份组配置文件/etc/pam.d/system-auth

（2）设置密码的最小长度为8

修改配置文件/etc/pam.d,在行”password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=”中添加“minlen=8”，或使用sed修改：

（3）回退操作

3用户登录安全设置

3.1禁止root用户远程登录

（1）修改前备份ssh配置文件/etc/ssh/sshd_conf

（2）修改ssh服务配置文件不允许root用户远程登录

编辑/etc/ssh/sshd_config找到“#PermitRootLogin yes”去掉注释并修改为“PermitRootLogin no”或者使用sed修改，修改命令为：

（3）修改完成后重启ssh服务

Centos6.x为：

Centos7.x为：

（4）回退操作

3.2设置远程ssh登录超时时间

（1）修改前备份ssh服务配置文件/etc/ssh/sshd_config

（2）设置远程ssh登录长时间不操作退出登录

编辑/etc/ssh/sshd_conf将”#ClientAliveInterval 0”修改为”ClientAliveInterval 180”，将”#ClientAliveCountMax 3”去掉注释，或执行如下命令：

（3）配置完成后保存并重启ssh服务

Centos6.x为：

Centos7.x为：

（4）回退操作

3.3设置当用户连续登录失败三次，锁定用户30分钟

（1）配置前备份配置文件/etc/pam.d/sshd

（2）设置当用户连续输入密码三次时，锁定该用户30分钟

修改配置文件/etc/pam.d/sshd,在配置文件的第二行添加内容:

（3）若修改配置文件出现错误，回退即可，回退操作：

3.4设置用户不能使用最近五次使用过的密码

（1）配置前备份配置文件/etc/pam.d/sshd

（2）配置用户不能使用最近五次使用的密码

修改配置文件/etc/pam.d/sshd,找到行”password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authto k”，在最后加入remember=10，或使用sed修改

（3）回退操作

3.5设置登陆系统账户超时自动退出登陆

（1）设置登录系统的账号长时间不操作时自动登出

修改系统环境变量配置文件/etc/profile,在文件的末尾加入”TMOUT=180”,使登录系统的用户三分钟不操作系统时自动退出登录。

（2）使配置生效

执行命令：

（3）回退操作

删除在配置文件”/etc/profile”中添加的”TMOUT=180”，执行命令. /etc/profile 使配置生效。

4系统安全加固

4.1关闭系统中与系统正常运行、业务无关的服务

（1）查看系统中的所有服务及运行级别，并确定哪些服务是与系统的正常运行及业务无关的服务。

（2）关闭系统中不用的服务

（3）回退操作，如果意外关闭了与系统业务运行相关的服务，可将该服务开启

4.2禁用“CTRL+ALT+DEL”重启系统

（1）rhel6.x中禁用“ctrl+alt+del”键重启系统

修改配置文件“/etc/init/control-alt-delete.conf”，注释掉行“start on control-alt-delete ”。或用sed命令修改：

（2）rhel7.x中禁用“ctrl+alt+del”键重启系统

修改配置文件“/usr/lib/systemd/system/ctrl-alt-del.target”，注释掉所有内容。

（3）使修改的配置生效

4.3加密grub菜单

1、加密Redhat6.x grub菜单

（1）备份配置文件/boot/grub/grub.conf

（2）将密码生成秘钥

（3）为grub加密

修改配置文件/boot/grub/grub.conf,在”timeout=5”行下加入”password --md5 $1$CgxdR/$9ipaqi8aVriEpF0nvfd8x.”，”$1$CgxdR/$9ipaqi8aVriEpF0nvfd8x.”为加密后的密码。

（4）回退

或者删除加入行”password --md5 $1$CgxdR/$9ipaqi8aVriEpF0nvfd8x.”

2、加密redhat7.xgrub菜单

（1）在”/etc/grub.d/00_header”文件末尾，添加以下内容

（2）重新编译生成grub.cfg文件

（3）回退操作

删除/etc/grub.d/00_header中添加的内容，并重新编译生成grub.cfg文件

Windows系统安全加固技术指导书

甘肃海丰信息科技有限公司Windows系统安全加固技术指导书 ◆版 本◆密级【绝密】 ◆发布甘肃海丰科技◆编号GSHF-0005-OPM- ?2006-2020 HIGHFLYER INFORMATION TECHNOLOGY ,INC.

目录 文档信息................................................................. 错误!未定义书签。前言.................................................................... 错误!未定义书签。 一、编制说明............................................................ 错误!未定义书签。 二、参照标准文件........................................................ 错误!未定义书签。 三、加固原则............................................................ 错误!未定义书签。 1.业务主导原则..................................................... 错误!未定义书签。 2.业务影响最小化原则............................................... 错误!未定义书签。 3.实施风险控制..................................................... 错误!未定义书签。 (一)主机系统............................................................. 错误!未定义书签。 (二)数据库或其他应用 ..................................................... 错误!未定义书签。 4.保护重点......................................................... 错误!未定义书签。 5.灵活实施......................................................... 错误!未定义书签。 6.周期性的安全评估................................................. 错误!未定义书签。 四、安全加固流程........................................................ 错误!未定义书签。 1.主机分析安全加固................................................. 错误!未定义书签。 2.业务系统安全加固................................................. 错误!未定义书签。 五、W INDOWS 2003操作系统加固指南......................................... 错误!未定义书签。 1.系统信息......................................................... 错误!未定义书签。 2.补丁管理......................................................... 错误!未定义书签。 (一)补丁安装............................................................. 错误!未定义书签。 3.账号口令......................................................... 错误!未定义书签。 (一)优化账号............................................................. 错误!未定义书签。 (二)口令策略............................................................. 错误!未定义书签。 4.网络服务......................................................... 错误!未定义书签。 (三)优化服务............................................................. 错误!未定义书签。 (四)关闭共享............................................................. 错误!未定义书签。 (五)网络限制............................................................. 错误!未定义书签。

Linux 系统主机安全加固

Linux主机安全加固 V1.0 hk有限公司 二零一五年二月

一、修改密码策略 1、cp /etc/login.defs /etc/login.defs.bak 2、vi /etc/login.defs PASS_MAX_DAYS 90 （用户的密码不过期最多的天数） PASS_MIN_DAYS 0 （密码修改之间最小的天数） PASS_MIN_LEN 8 （密码最小长度） PASS_WARN_AGE 7 (口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项，修改完之后保存（：wq!）退出即可。 二、查看系统是否已设定了正确UMASK值（022） 1、用命令umask查看umask值是否是 022， 如果不是用下面命令进行修改： cp/etc/profile/etc/profile.bak vi/etc/profile 找到umask 022，修改这个数值即可。 三、锁定系统中不必要的系统用户和组 1、cp /etc/passwd /etc/passwd.bak cp /etc/shadow /etc/shadow.bak 锁定下列用户 2、for i in admlp sync news uucp games ftp rpcrpcusernfsnobodymailnullgdm do usermod -L $i done 3、检查是否锁定成功 more /etc/shadow 如：lp:!*:15980:0:99999:7:::lp帐户后面有！号为已锁定。 4、禁用无关的组： 备份： cp /etc/group /etc/group.bak

信息系统网络安全设计方案

内外网安全等级保护建设项目初步设计方案 编制单位：

编制时间：二〇一五年三月

目录 1.信息安全概述 (77) 什么是信息安全？ (77) 为什么需要信息安全 (77) 1.1 安全理念 (88) 1.1.1系统生命周期与安全生命周期 (88) 1.1.2 ..........................3S安全体系－以客户价值为中心88 1.1.3关注资产的安全风险 (99) 1.1.4安全统一管理 (1010) 1.1.5安全 = 管理 + 技术 (1010) 1.2 计算机系统安全问题 (1010) 1.2.1 从计算机系统的发展看安全问题 (1111) 1.2.2 从计算机系统的特点看安全问题 (1111) 2.物理安全 (1212) 2.1 设备的安全 (1212) 3.访问控制 (1515) 3.1访问控制的业务需求 (1616) 3.2用户访问的管理 (1616) 3.3用户责任 (1818) 3.4网络访问控制 (2020) 3.5操作系统的访问控制 (2323) 3.6应用系统的访问控制 (2727) 3.7系统访问和使用的监控 (2727)

3.8移动操作及远程办公 (3030) 4.网络与通信安全 (3131) 4.1网络中面临的威胁 (3232) 5.系统安全设计方案............ 错误!未定义书签。错误!未定义书签。 5.1系统安全设计原则........... 错误!未定义书签。错误!未定义书签。 5.2建设目标................... 错误!未定义书签。错误!未定义书签。 5.3总体方案................... 错误!未定义书签。错误!未定义书签。 5.4总体设计思想............... 错误!未定义书签。错误!未定义书签。 5.4.1内网设计原则..... 错误!未定义书签。错误!未定义书签。 5.4.2有步骤、分阶段实现安全建设错误!未定义书签。错误!未定义书签。 5.4.3完整的安全生命周期错误!未定义书签。错误!未定义书签。 5.5网络区域划分与安全隐患.. 错误!未定义书签。错误!未定义书签。 6.0网络安全部署............... 错误!未定义书签。错误!未定义书签。 保护目标.............. 错误!未定义书签。错误!未定义书签。 威胁来源.............. 错误!未定义书签。错误!未定义书签。 安全策略.............. 错误!未定义书签。错误!未定义书签。 6.1防火墙系统................. 错误!未定义书签。错误!未定义书签。 6.1.1防火墙系统的设计思想错误!未定义书签。错误!未定义书签。 6.1.2 防火墙的目的.... 错误!未定义书签。错误!未定义书签。 6.1.3 防火墙的控制能力错误!未定义书签。错误!未定义书签。 6.1.4 防火墙特征...... 错误!未定义书签。错误!未定义书签。 6.1.5 第四代防火墙的抗攻击能力错误!未定义书签。错误!未定义书签。 6.1.6 防火墙产品的选型与推荐错误!未定义书签。错误!未定义书签。

网络安全设计方案

1.1?某市政府网络系统现状分析 《某市电子政务工程总体规划方案》主要建设内容为：一个专网(政务通信专网)，一个平台(电子政务基础平台)，一个中心(安全监控和备份中心)，七大数据库(经济信息数据库、法人单位基础信息数据库、自然资源和空间地理信息数据库、人口基础信息库、社会信用数据库、海洋经济信息数据库、政务动态信息数据库)，十二大系统(政府办公业务资源系统、经济管理信息系统、政务决策服务信息系统、社会信用信息系统、城市通卡信息系统、多媒体增值服务信息系统、综合地理信息系统、海洋经济信息系统、金农信息系统、金水信息系统、金盾信息系统、社会保障信息系统)。主要包括： 政务通信专网 电子政务基础平台 安全监控和备份中心 政府办公业务资源系统 政务决策服务信息系统 综合地理信息系统 多媒体增值服务信息系统 某市政府中心网络安全方案设计 1.2?安全系统建设目标 本技术方案旨在为某市政府网络提供全面的网络系统安全解决方案，包括安全管理制度策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施，以及长期的合作和技术支持服务。系统建设目标是在不影响当前业务的前提下，实现对网络的全面安全管理。 1)?将安全策略、硬件及软件等方法结合起来，构成一个统一的防御系统，有效阻止非法用户进入网络，减少网络的安全风险； 2)?通过部署不同类型的安全产品，实现对不同层次、不同类别网络安全问题的防护； 3)?使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态。最大限度地减少损失。 具体来说，本安全方案能够实现全面网络访问控制，并能够对重要控制点进行细粒度的访问控制； 其次，对于通过对网络的流量进行实时监控，对重要服务器的运行状况进行全面监控。 1.2.1?防火墙系统设计方案 1.2.1.1?防火墙对服务器的安全保护

Linu系统主机安全加固

L i n u系统主机安全加 固 SANY标准化小组 #QS8QHH-HHGX8Q8-GNHHJ8-HHMHGN#

Linux主机安全加固 V1.0 hk有限公司 二零一五年二月 一、修改密码策略 1、cp/etc/login.defs/etc/ 2、vi/etc/login.defs PASS_MAX_DAYS90（用户的密码不过期最多的天数） PASS_MIN_DAYS0（密码修改之间最小的天数） PASS_MIN_LEN8（密码最小长度） PASS_WARN_AGE7(口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项，修改完之后保存（：wq!）退出即可。 二、查看系统是否已设定了正确UMASK值（022） 1、用命令umask查看umask值是否是022， 如果不是用下面命令进行修改： /etc/profile/etc/profile.bak vi/etc/profile 找到umask022，修改这个数值即可。 三、锁定系统中不必要的系统用户和组 1、cp/etc/passwd/etc/passwd.bak cp/etc/shadow/etc/shadow.bak 锁定下列用户 2、foriinadmlpsyncnewsuucpgamesftprpcrpcusernfsnobodymailnullgdmdo usermod- L$idone 3、检查是否锁定成功 more/etc/shadow如：lp:!*:15980:0:99999:7:::lp帐户后面有！号为已锁定。 4、禁用无关的组： 备份： cp/etc/group/etc/group.bak

网络安全主机安全加固

网络安全主机安全加固 一、安全加固概述 网络与应用系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务，将在客户信息系统的网络层、主机层和应用层等层次建立符合客户安全需求的安全状态，并以此作为保证客户信息系统安全的起点。 网络与应用系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作： ●? 正确的安装； ●? 安装最新和全部OS和应用软件的安全补丁； ●? 操作系统和应用软件的安全配置； ●? 系统安全风险防范； ●? 提供系统使用和维护建议； ●? 系统功能测试； ●? 系统安全风险测试； ●? 系统完整性备份； ●? 必要时重建系统等。 上述工作的结果决定了网络与应用系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说，则可以归纳为： （1）加固目标也就是确定系统在做过加固和优化后，达到的安全级别，通常不同环境下的系统对安全级别的要求不同，由此采用的加固方案也不同。 （2）明确系统运行状况的内容包括: ●? 系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。 ●? 系统上运行的应用系统及其正常所必需的服务。

●? 我们是从网络扫描及人工评估里来收集系统的运行状况的。 （3）明确加固风险：网络与应用系统加固是有一定风险的，一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致，也有因为加固方案的代价分析不准确，误操作引起。因此在加固前做好系统备份是非常重要的。 （4）系统备份：备份内容包括：文件系统、关键数据、配置信息、口令、用户权限等内容；最好做系统全备份以便快速恢复。 二．加固和优化流程概述 网络与应用系统加固和优化的流程主要由以下四个环节构成： 1. 状态调查 对系统的状态调查的过程主要是导入以下服务的结果： ●? 系统安全需求分析 ●? 系统安全策略制订 ●? 系统安全风险评估(网络扫描和人工评估) 对于新建的系统而言，主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后，应确定被加固系统的安全级别，即确定被加固系统所能达到的安全程度。同时，也必须在分析上述服务结果的基础上确定对网络与应用系统加固和优化的代价。 2. 制订加固方案 制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的 内容、步骤和时间表。 3. 实施加固 对系统实施加固和优化主要内容包含以下两个方面： ●? 对系统进行加固 ●? 对系统进行测试

园区网络系统安全设计方案

Vol.28No.2 Feb.2012 赤峰学院学报（自然科学版）Journal of Chifeng University （Natural Science Edition ）网络的日新月异，对实现资源共享、加快信息处理、信息资源分配和提高工作效率都在不同层度起到了不可估量的作用.但是，自互联网问世以来，信息安全与资源共享一直处于相对矛盾的状态，随着网络资源共享的进一步推广和加强，网络安全问题也日益突出.一个园区网络经常不可避免地受到恶意软件、病毒、黑客入侵等的安全威胁和攻击，造成数据篡改丢失、 网络瘫痪、系统崩溃等一系列严重后果.因此，如何确保园区网络正常、高效和相对安全地运行是所有企业园区、高校校园网都面临的问题，保证网络安全问题势在必行. 目前主流绝大数网络系统均采用一种分层次的拓扑结构，因此分层次的网络安全防护对园区网络来说也显得十分必要，即一个完整的园区网络安全设计方案应该覆盖网络的各个层次，同时必须考虑到安全管理等人为因素.根据当前园区网络的应用现状和网络的结构，本文提出一个分接入层、汇聚层、核心层、系统应用层和安全管理多个层次的安全设计方案.1接入层安全设计 1.1 物理层安全 物理安全是指保护计算机网络设备、设施以及 其它媒体免遭地震、水灾、火灾等自然环境事故以及人为操作失误或错误导致的破坏过程.物理层安全是保证网络系统安全的前提，在实践过程中，根据Sage Research 的一项研究，可达80%的网络故 障都归结于物理层连接.针对网络物理层存在的各种安全隐患，改善校园网的物理环境，主要需要做如下几项工作：（1）温度控制，增加湿度控制；完善防雷和防静电措施等保证设备环境良好；（2）对物理层实时监控，监视所有物理层链接，确保当发生故障时，管理员迅速了解故障位置并恢复故障；（3）保障和完善主机房电源供应，确保备用电源切换正常；（4）与保安等相关保全部门合作，监控保障通信线缆安全.1.2 使用虚拟局域网实现网络隔离 虚拟局域网VLAN （Virtual local area network ）是一种将局域网设备从逻辑上划分成多个网段，从而实现虚拟工作组的数据交换技术.通过VLAN 技术，网管可以根据实际应用需求，把同一个物理实际局域网中的用户从逻辑上划分成多个不同的广播域，这划分出的每个广播域即VLAN.不同的VLAN 是不能相互通信的，若需要通信必需得经过三层路由转发，这样从某种程度说保证了安全性.同时广播和组播流量也被限定在自己VLAN 中，不会转发到其它VLAN 中. 园区网可以根据网络用途或者不同楼宇和地理位置合理VLAN 划分，调整相关网络拓扑，使学生宿舍区、 网络中心、服务器群区、办公区等区域更明确的划分，这更有利于安全策略的实现和网络管理.例如宿舍楼每一楼层可以单独划到一个VLAN.VLAN 间相互通信可在汇聚层通过路由实现.通过 园区网络系统安全设计方案 商伶俐 （安徽农业大学 信息与计算机学院，安徽 合肥230036） 摘要：互联网的普及和大型企业园区、校园网络建设的不断发展，对加快信息处理、资源共享、充分利用资源和提高工作效率都起了不可估量的作用.但随着病毒的泛滥、 网络入侵的多样化、以及黑客的增多，园区网络的安全已成为不容忽视的问题，如何在开放网络环境中保证网络系统的安全性已经成为当今十分迫切的问题.本文针对园区网络中可能存在的安全风险，提出了多层次的园区网络安全系统的设计方案. 关键词：园区网络；虚拟局域网；访问控制列表；虚拟专用网中图分类号：TP393 文献标识码：A 文章编号：1673-260X （2012）02-0135-03 第28卷第2期（上） 2012年2月135--

信息系统安全加固描述

一．安全加固概述 网络设备与操作系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务，将在客户信息系统的网络层、主机层等层次建立符合客户安全需求的安全状态，并以此作为保证客户信息系统安全的起点。 网络设备与操作系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作： ●网络设备与操作系统的安全配置； ●系统安全风险防范； ●提供系统使用和维护建议； ●安装最新安全补丁（根据风险决定是否打补丁）； 上述工作的结果决定了网络设备与操作系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说，则可以归纳为： （1）加固目标也就是确定系统在做过加固和优化后，达到的安全级别，通常不同环境下的系统对安全级别的要求不同，由此采用的加固方案也不同。 （2）明确系统运行状况的内容包括: ●系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。 ●系统上运行的应用系统及其正常所必需的服务。 ●我们是从网络扫描及人工评估里来收集系统的运行状况的。 （3）明确加固风险：网络设备与操作系统加固是有一定风险的，一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致，也有因为加固方案的代价分析不准确，误操作引起。因此在加固前做好系统备份是非常重要的。 二．加固和优化流程概述 网络设备与操作系统加固和优化的流程主要由以下四个环节构成：

1. 状态调查 对系统的状态调查的过程主要是导入以下服务的结果： ●系统安全需求分析 ●系统安全策略制订 ●系统安全风险评估(网络扫描和人工评估) 对于新建的系统而言，主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后，应确定被加固系统的安全级别，即确定被加固系统所能达到的安全程度。同时，也必须在分析上述服务结果的基础上确定对网络与应用系统加固和优化的代价。 2. 制订加固方案 制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的内容、步骤。 3. 实施加固 对系统实施加固和优化主要内容包含以下两个方面： ●对系统进行加固 ●对系统进行测试 对系统进行测试的目的是检验在对系统实施安全加固后，系统在安全性和功能性上是否能够满足客户的需求。上述两个方面的工作是一个反复的过程，即每完成一个加固或优化步骤后就要测试系统的功能性要求和安全性要求是否满足客户需求；如果其中一方面的要求不能满足，该加固步骤就要重新进行。 对有些系统会存在加固失败的情况，如果发生加固失败，则根据客户的选择，要么放弃加固，要么重建系统。 4. 生成加固报告 加固报告是向用户提供完成网络与应用系统加固和优化服务后的最终报告。其中包含以下内容：

信息系统安全建设方案

信息系统安全建设方案 摘要从信息系统安全建设规划设计、技术体系以及运行管理等三个方面对信息系统安全建设技术要点进行了分析。 关键词信息系统安全系统建设 1 建设目标 当前，随着信息技术的快速发展及本公司信息系统建设的不断深化，公司运行及业务的开展越来越依赖信息网络，公司的信息安全问题日益突出，安全建设任务更加紧迫。 由于本公司的业务特殊性，我们必须设计并建设一个技术先进、安全高效、可靠可控的信息安全系统，在实现网络系统安全的基础上，保护信息在传输、交换和存储过程中的机密性、完整性和真实性。 2 设计要点 主要考虑两个要点：一是尽可能满足国家关于信息系统安全方面的有关政策要求，二是切合本公司信息安全系统建设内涵及特点。 国家在信息系统建设方面，比较强调信息安全等级保护和安全风险管理。针对本公司的涉密系统集成资质要求和软件开发、软件外包业务的开展，这个方面的硬性规定会越来越重要。目前正在与有关主管单位咨询。 信息系统等级划分需按照国家关于计算机信息系统等级划分指南，结合本本公司实际情况进行信息系统定级，实行分级管理。 信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。依据等级保护的思想和适度安全的原则，平衡成本与效益，合理部署和利用信息安全的信任体系、监控体系和应急处理等重要基础设施，确定合适的安全技术措施，从而确保信息安全保障能力建设的成效。 3 建设内容 信息系统的安全建设包括三方面：一是技术安全体系建设；二是管理安全体系建设；三是运行保障安全体系建设。其中，技术安全体系设计和建设是关键和重点。 按照信息系统的层次划分，信息系统安全建设技术体系包括物理层安全、网络安全、平台安全、应用安全以及用户终端安全等内容。 3.1 物理层安全 物理层的安全设计应从三个方面考虑：环境安全、设备安全、线路安全。采取的措施包括：机房屏蔽，电源接地，布线隐蔽，传输加密。对于环境安全和设备安全，国家都有相关标准和实施要求，可以按照相关要求具体开展建设。 3.2 网络安全 对于网络层安全，不论是安全域划分还是访问控制，都与网络架构设计紧密相关。网络

Windows系统安全加固

第二章 Windows系统安全加固 Windows Server 2003操作系统，具有高性能、高可靠性和高安全性等特点。Windows Server 2003在默认安装的时候，基于安全的考虑已经实施了很多安全策略，但由于服务器操作系统的特殊性，在默认安装完成后还需要张先生对其进行安全加固，进一步提升服务器操作系统的安全性，保证应用系统以及数据库系统的安全。 在安装Windows Server 2003操作系统时，为了提高系统的安全性，张先生按系统建议，采用最小化方式安装，只安装网络服务所必需的组件。如果以后有新的服务需求，再安装相应的服务组件，并及时进行安全设置。 在完成操作系统安装全过程后，要对Windows系统安全性方面进行加固，系统加固工作主要包括账户安全配置、密码安全配置、系统安全配置、服务安全配置以及禁用注册表编辑器等内容，从而使得操作系统变得更加安全可靠，为以后的工作提供一个良好的环境平台。 操作系统的安全是整个计算机系统安全的基础，其安全问题日益引起人们的高度重视。作为用户使用计算机和网络资源的操作界面，操作系统发挥着十分重要的作用。因此，操作系统本身的安全就成了安全防护的头等大事。 一、操作系统安全的概念 操作系统的安全防护研究通常包括以下几个方面的内容： （1）操作系统本身提供的安全功能和安全服务。目前的操作系统本身往往要提供一定的访问控制、认证与授权等方面的安全服务，如何对操作系统本身的安全性能进行研究和开发使之符合选定的环境和需求； （2）针对各种常用的操作系统，进行相关配置，使之能正确对付和防御各种入侵； （3）保证操作系统本身所提供的网络服务能得到安全配置。 一般来说，如果说一个计算机系统是安全的，那么是指该系统能够控制外部对系统信息的访问。也就是说，只有经过授权的用户或代表该用户运行的进程才能读、写、创建或删除信息。操作系统内的活动都可以认为是主体对计算机系统内部所有客体的一系列操作。主体是指发出访问操作、存取请求的主动方，它包括用户、用户组、主机、终端或应用进程等。主体可以访问客体。客体是指被调用的程序或要存取的数据访问，它包括文件、程序、内存、目录、队列、进程间报文、I/O设备和物理介质等。 主体对客体的安全访问策略是一套规则，可用于确定一个主体是否对客体拥有访问能力。 一般所说的操作系统的安全通常包含两方面的含义：①操作系统在设计时通过权限访问控制、信息加密性保护、完整性鉴定等机制实现的安全；②操作系统在使用中，通过一系列的配置，保证操作系统避免由于实现时的缺陷或是应用环境因素产生的不安全因素。只有在这两方面同时努力，才能够最

网络安全加固最新解决方案模板

网络安全加固最新 解决方案

网络系统安全加固方案 北京*****有限公司 3月

目录 1 项目介绍 .............................................................. 错误!未定义书签。 1.1 项目背景................................................... 错误!未定义书签。 1.2 项目目标................................................... 错误!未定义书签。 1.3 参考标准................................................... 错误!未定义书签。 1.4 方案设计原则 ........................................... 错误!未定义书签。 1.5 网络系统现状 ........................................... 错误!未定义书签。 2 网络系统升级改造方案....................................... 错误!未定义书签。 2.1 网络系统建设要求 ................................... 错误!未定义书签。 2.2 网络系统升级改造方案 ........................... 错误!未定义书签。 2.3 网络设备部署及用途 ............................... 错误!未定义书签。 2.4 核心交换及安全设备UPS电源保证 ....... 错误!未定义书签。 2.5 网络系统升级改造方案总结.................... 错误!未定义书签。 3 网络系统安全加固技术方案............................... 错误!未定义书签。 3.1 网络系统安全加固建设要求.................... 错误!未定义书签。 3.2 网络系统安全加固技术方案.................... 错误!未定义书签。 3.3 安全设备部署及用途 ............................... 错误!未定义书签。 3.4 安全加固方案总结 ................................... 错误!未定义书签。 4 产品清单 .............................................................. 错误!未定义书签。

LINUX安全加固手册

LINUX安全加固手册

目录 1概述 (3) 2 安装 (3) 3 用户帐号安全Password and account security (4) 3.1 密码安全策略 (4) 3.2 检查密码是否安全 (4) 3.3 Password Shadowing (4) 3.4 管理密码 (4) 3.5 其它 (5) 4 网络服务安全(Network Service Security) (5) 4.1服务过滤Filtering (6) 4.2 /etc/inetd.conf (7) 4.3 R 服务 (7) 4.4 Tcp_wrapper (7) 4.5 /etc/hosts.equiv 文件 (8) 4.6 /etc/services (8) 4.7 /etc/aliases (8) 4.8 NFS (9) 4.9 Trivial ftp (tftp) (9) 4.10 Sendmail (9) 4.11 finger (10) 4.12 UUCP (10) 4.13 World Wide Web (WWW) – httpd (10) 4.14 FTP安全问题 (11) 5 系统设置安全(System Setting Security) (12) 5.1限制控制台的使用 (12) 5.2系统关闭Ping (12) 5.3关闭或更改系统信息 (12) 5.4 /etc/securetty文件 (13) 5.5 /etc/host.conf文件 (13) 5.6禁止IP源路径路由 (13) 5.7资源限制 (13) 5.8 LILO安全 (14) 5.9 Control-Alt-Delete 键盘关机命令 (14) 5.10日志系统安全 (15) 5.11修正脚本文件在“/etc/rc.d/init.d”目录下的权限 (15) 6 文件系统安全(File System Security) (15) 6.1文件权限 (15) 6.2控制mount上的文件系统 (16) 6.3备份与恢复 (16) 7 其它 (16) 7.1使用防火墙 (16)

系统安全保护设施设计方案标准版本

文件编号：RHD-QB-K1517 （解决方案范本系列） 编辑：XXXXXX 查核：XXXXXX 时间：XXXXXX 系统安全保护设施设计方案标准版本

系统安全保护设施设计方案标准版 本 操作指导：该解决方案文件为日常单位或公司为保证的工作、生产能够安全稳定地有效运转而制定的，并由相关人员在办理业务或操作时进行更好的判断与管理。，其中条款可根据自己现实基础上调整，请仔细浏览后进行编辑与保存。 随着信息化的高速发展，信息安全已成为网络信息系统能否正常运行所必须面对的问题，它贯穿于网络信息系统的整个生命周期。是保障系统安全的重要手段，通过安全检测，我们可以提前发现系统漏洞，分析安全风险，及时采取安全措施。 1物理安全保护措施 物理安全是信息系统安全中的基础，如果无法保证实体设备的安全，就会使计算机设备遭到破坏或是被不法分子入侵，计算机系统中的物理安全，首先机房采用“门禁系统”配合“监控系统”等控制手段来

控制机房出入记录有效的控制接触计算机系统的人员，由专人管理周记录、月总结。确保计算机系统物理环境的安全；其次采取设备线路准确标记、计算机设备周维护、月巡检以及机房动力环境监测短信报警等安全措施，确保计算机设备的安全。另外，通信线路是网络信息系统正常运行的信息管道，物理安全还包括通信线路实体的安全。检测网络信息系统物理安全的主要方法采用现场检查、方案审查等。 2网络安全保护措施 网络的开放性带来了方便的可用性，但也使其更容易受到外界的攻击和威胁。入侵者可以利用系统中的安全漏洞，采用恶意程序来攻击网络，篡改、窃取网络信息，从而导致网络瘫痪、系统停止运行。在网络维护过程中，我们采用深信服多级防设备严格的与网络攻防行为对抗，保障网络安全。

安全加固手册

安全加固手册 8.2 系统安全值设置 8.2.1 查看目前系统值: WRKSYSV AL 一个一个顺序在终端上显示 或者 DSPSYSVAL SYSV AL （system value） 8.2.2 系统安全级别推荐设置为40 QSECURITY 40 10 没有用户认证，没有资源保护 20 用户使用密码认证，没有资源保护 30 用户认证和默认的资源保护 40 跟 30 相似，但是控制了特权指令和设备的接口 （在客户端被认为具有高的风险的时候应用安全级别40。他会限制对对象，其他工作的数据和系统内部程序的直接访问） 50 增强型的安全访问控制，达到真正的 C2 级安全控制 8.2.3 建议设置口令复杂度策略 QPWDVLDPGM *NONE 无密码检测 8.2.4 密码长度 最小密码长度 QPWDMINLEN 6 最大密码长度 QPWDMAXLEN 10 8.2.5 设置帐户最大尝试登陆次数 QMAXSIGN 3（默认值） 达到最大尝试次数措施 QMAXSGNACN 3（默认值） 1 禁用终端 2 禁用用户配置文件 3 全部

（注 :建议根据自己的情况选择，禁用终端后，可能会给别人的造成误解，怀疑设备损坏。管理员要十分清楚该参数的含义） 8.2.6 设置密码有效期 QPWDEXPITV 30-90 *NOMAX 不限 1-366 天 QPWDRQDDIF 1 0 可以和以前的历史记录中的 32 个密码一样 1 必须和以前的历史记录中的 3 2 个密码不同 8.2.7 限制安全设备登陆 QLMTSECOFR 1 0 允许所有有 *ALLOBJ 授权的用户在任意显示终端登陆，有 *SERVICE 授权的用户可以使用*CHANGE 公开认证手段登陆到任意显示终端 1 不允许有 *ALLOBJ 或 *SERVICE 的用户登陆到任一显示终端上（主控制台除外），除非他们有特别的授权允许访问 8.2.8 设置超时策略 QINACTITV 无活动的任务超时 *NONE: 无超时 5-300 超时最大允许时间（分钟）推荐 15 非授权用户在某个时间段无操作，系统将会根据该参数值决定是否断开当前的session。 认证用户通过再次登陆，可以继续以前session 所保留的屏幕。当设置中断连接任务 （*DSCJOB ）值去中断任意交互式登陆。 8.2.9 限制设备sessions QLMTDEVSSN 0 不限制一个终端的特定用户 ID 的在同一时刻的使用数 1 限制同一时刻只能有一个特定用户登录到这台工作站 8.2.10 用户登录信息是否显示在屏幕上 QDSPSGNINF 0 在用户登录时 ,登陆信息不显示 1 以下信息会被显示最后登陆时间 从上次登陆以来的失败登陆 密码 7 天或之内密码将要过期的警告

信息系统安全设计方案

XX公司 ××项目 安全设计方案 （模板） <备注：模板中斜体部分用于指导用户填写内容，在采用该模板完成交付物时，需要删除所有斜体内容> XX公司 二〇一X年X月

批准：审核：校核：编写：

版本记录

目录 1编写依据 0 2安全需求说明 0 2.1风险分析 0 2.2数据安全需求 0 2.3运行安全需求 0 3系统结构及部署 0 3.1系统拓扑图 0 3.2负载均衡设计 (2) 3.3网络存储设计 (2) 3.4冗余设计 (2) 3.5灾难备份设计 (3) 4系统安全设计 (3) 4.1网络安全设计 (3) 4.1.1访问控制设计 (3) 4.1.2拒绝服务攻击防护设计............................ 错误！未定义书签。 4.1.3嗅探（sniffer）防护设计 (4) 4.2主机安全设计 (5) 4.2.1操作系统 (5) 4.2.2数据库 (6) 4.2.3中间件 (8) 4.3应用安全设计 (10)

4.3.1身份鉴别防护设计 (10) 4.3.2访问控制防护设计 (11) 4.3.3自身安全防护设计 (12) 4.3.4应用审计设计 (12) 4.3.5通信完整性防护设计 (13) 4.3.6通信保密性防护设计 (13) 4.3.7防抵赖设计 (14) 4.3.8系统交互安全设计 (14) 4.4数据及备份安全设计 (15) 4.4.1数据的保密性设计 (15) 4.4.2数据的完整性设计 (15) 4.4.3数据的可用性设计 (16) 4.4.4数据的不可否认性设计 (16) 4.4.5备份和恢复设计 (17) 4.5管理安全设计..................................................... 错误！未定义书签。 4.5.1介质管理.................................................... 错误！未定义书签。 4.5.2备份恢复管理............................................ 错误！未定义书签。 4.5.3安全事件处置............................................ 错误！未定义书签。 4.5.4应急预案管理............................................ 错误！未定义书签。

信息系统安全整体解决设计方案

《安全系统整体解决方案设计》

第一章企业网络的现状描述 (3) 1.1企业网络的现状描述 (3) 第二章企业网络的漏洞分析 (4) 2.1物理安全 (4) 2.2主机安全 (4) 2.3外部安全 (4) 2.4内部安全 (5) 2.5内部网络之间、内外网络之间的连接安全 (5) 第三章企业网络安全整体解决方案设计 (5) 3.1企业网络的设计目标 (5) 3.2企业网络的设计原则 (6) 3.3物理安全解决方案 (6) 3.4主机安全解决方案 (7) 3.5网络安全解决方案 (7) 第四章方案的验证及调试 (8) 第五章总结 (9) 参考资料 ...................................................... 错误！未定义书签。

企业网络整体解决方案设计 第一章企业网络的现状描述 1.1企业网络的现状描述 网络拓扑图 以Internet发展为代表的全球性信息化浪潮日益深刻，信息网络技术的应用正日益普及和广泛，应用层次正在深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,以往一直保持独立的大型机和中-高端开放式系统（Unix和NT）部分迅速融合成为一个异构企业部分。 以往安全系统的设计是采用被动防护模式，针对系统出现的各种情况采取相应的防护措施，当新的应用系统被采纳以后、或者发现了新的系统漏洞，使系统在实际运行中遭受攻击，系统管理员再根据情况采取相应的补救措施。这种以应用处理为核心的安全防护方案使系统管理人员忙于处理不同系统产生的各种故障。人力资源浪费很大，而且往往是在系统破坏造

成以后才进行处理，防护效果不理想，也很难对网络的整体防护做出规划和评估。 安全的漏洞往往存在于系统中最薄弱的环节，邮件系统、网关无一不直接威胁着企业网络的正常运行;中小企业需要防止网络系统遭到非法入侵、未经授权的存取或破坏可能造成的数据丢失、系统崩溃等问题，而这些都不是单一的防病毒软件外加服务器就能够解决的。因此无论是网络安全的现状，还是中小企业自身都向广大安全厂商提出了更高的要求。 第二章企业网络的漏洞分析 2.1 物理安全 网络的物理安全的风险是多种多样的。 网络的物理安全主要是指地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。它是整个网络系统安全的前提，在这个企业区局域网内，由于网络的物理跨度不大，只要制定健全的安全管理制度，做好备份，并且加强网络设备和机房的管理，防止非法进入计算机控制室和各种盗窃，破坏活动的发生，这些风险是可以避免的。 2.2 主机安全 对于中国来说，恐怕没有绝对安全的操作系统可以选择，无论是Microsoft的Windows NT或者其他任何商用UNIX操作系统，其开发厂商必然有其Back-Door。我们可以这样讲：没有完全安全的操作系统。但是，我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制，提高系统的安全性。因此，不但要选用尽可能可靠的操作系统和硬件平台。而且，必须加强登录过程的认证，特别是在到达服务器主机之前的认证，确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。 与日常生活当中一样，企业主机也存在着各种各样的安全问题。使用者的使用权限不同，企业主机所付与的管理权限也不一样，同一台主机对不同的人有着不同的使用范围。同时，企业主机也会受到来自病毒，黑客等的袭击，企业主机对此也必须做好预防。在安装应用程序的时候，还得注意它的合法权限，以防止它所携带的一些无用的插件或者木马病毒来影响主机的运行和正常工作，甚至盗取企业机密。 2.3外部安全 拒绝服务攻击。值得注意的是，当前运行商受到的拒绝服务攻击的威胁正在变得越来越紧迫。对拒绝服务攻击的解决方案也越来越受到国际上先进电信提供商的关注。对大规模拒绝服务攻击能够阻止、减轻、躲避的能力是标志着一个电信企业可以向客户承诺更为健壮、具有更高可用性的服务，也是真个企业的网络安全水平进入一个新境界的重要标志。 外部入侵。这里是通常所说的黑客威胁。从前面几年时间的网络安全管理经验和渗透测试结果来看，当前大多数电信网络设备和服务都存在着被入侵的痕迹，甚至各种后门。这些是对网络自主运行的控制权的巨大威胁，使得客户在重要和关键应用场合没有信心，损失业务，甚至造成灾难性后果。