摘 要：安全加固是對(duì)信息系統(tǒng)中的主機(jī)系統(tǒng)、運(yùn)行在主機(jī)上的各種軟件系統(tǒng)、與網(wǎng)絡(luò)設(shè)備的脆弱性進(jìn)行分析并修補(bǔ)，更強(qiáng)調(diào)針對(duì)主機(jī)和系統(tǒng)的安全保護(hù)加強(qiáng)。生產(chǎn)環(huán)境下安全加固操作的規(guī)范性與應(yīng)急措施完備性對(duì)業(yè)務(wù)的正常運(yùn)行至關(guān)重要，本文詳細(xì)描述了在實(shí)際工作中安全加固實(shí)施規(guī)范及具體應(yīng)用。

【關(guān)鍵詞】安全加固 Windows 防火墻 漏洞修復(fù)

1 概述

隨著互聯(lián)網(wǎng)應(yīng)用的縱深演進(jìn)，網(wǎng)絡(luò)安全的概念已經(jīng)不僅僅限于單一的安全產(chǎn)品和技術(shù)，而是涉及到企業(yè)和組織范圍內(nèi)網(wǎng)絡(luò)體系各個(gè)層面的動(dòng)態(tài)防護(hù)與安全管理。通過(guò)安全加固能夠修補(bǔ)系統(tǒng)中的安全漏洞，同時(shí)也優(yōu)化配置，加強(qiáng)網(wǎng)絡(luò)體系的安全性。

2 目標(biāo)

安全加固是對(duì)信息系統(tǒng)中的主機(jī)系統(tǒng)與網(wǎng)絡(luò)設(shè)備的脆弱性進(jìn)行分析并修補(bǔ)，更強(qiáng)調(diào)針對(duì)主機(jī)和系統(tǒng)的安全保護(hù)加強(qiáng)。安全加固通常建立在安全風(fēng)險(xiǎn)評(píng)估的結(jié)果基礎(chǔ)之上，對(duì)評(píng)估對(duì)象進(jìn)行安全加固。

安全加固工作的目標(biāo)是解決在安全評(píng)估中發(fā)現(xiàn)的技術(shù)性安全問(wèn)題。這對(duì)于安全保護(hù)來(lái)說(shuō)，是非常必要的。要求在安全加固完全成后，所有被加固的目標(biāo)系統(tǒng)不再存在高風(fēng)險(xiǎn)漏洞和中風(fēng)險(xiǎn)漏洞（高風(fēng)險(xiǎn)漏洞和中風(fēng)險(xiǎn)漏洞，根據(jù)CVE標(biāo)準(zhǔn)定義）。對(duì)相關(guān)的漏洞安全加固與現(xiàn)有應(yīng)用沖突或已被證實(shí)會(huì)導(dǎo)致不良后果的情況除外。安全加固的基本原則如下：

安全加固內(nèi)容不能影響目標(biāo)系統(tǒng)所承載的業(yè)務(wù)運(yùn)行；

安全加固不能嚴(yán)重影響目標(biāo)系統(tǒng)的自身性能；

安全加固操作不能影響與目標(biāo)系統(tǒng)以及與之相連的其它系統(tǒng)的安全性，也不能造成性能的明顯下降。

3 原則

3.1 標(biāo)準(zhǔn)性原則

加固方案的設(shè)計(jì)與實(shí)施應(yīng)依據(jù)國(guó)內(nèi)或國(guó)際的相關(guān)標(biāo)準(zhǔn)進(jìn)行。

3.2 規(guī)范性原則

安全加固項(xiàng)目形成規(guī)范性文檔：

（1）項(xiàng)目計(jì)劃；

（2）工作確認(rèn)單；

（3）階段工作完成單；

（4）安全加固服務(wù)報(bào)告；

（5）災(zāi)難恢復(fù)計(jì)劃。

3.3 可控性原則

加固的方法和過(guò)程要在客戶認(rèn)可的范圍之內(nèi)，加固服務(wù)的實(shí)際進(jìn)度與進(jìn)度表安排一致，保證客戶對(duì)于加固工作的可控性。

3.4 整體性原則

加固的范圍和內(nèi)容應(yīng)當(dāng)整體全面，包括安全涉及的各個(gè)層面，以免由于遺漏造成未來(lái)的安全隱患。

3.5 最小影響原則

加固工作應(yīng)盡可能小的影響系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行，不能對(duì)正在的運(yùn)行和業(yè)務(wù)的正常提供產(chǎn)生顯著不利影響。

3.6 保密原則

加固的過(guò)程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格保密。

4 加固流程

4.1 前期準(zhǔn)備

首先應(yīng)該成立由業(yè)務(wù)系統(tǒng)運(yùn)維人員，網(wǎng)絡(luò)運(yùn)維人員，安全專責(zé)，部門領(lǐng)導(dǎo)等組成的項(xiàng)目組，同時(shí)確認(rèn)加固的范圍、確認(rèn)加固的對(duì)象、確認(rèn)加固的內(nèi)容、開工條件確認(rèn)、確認(rèn)加固工作的技術(shù)資料、人員配合、場(chǎng)地環(huán)境等條件是否符合要求。

然后進(jìn)行報(bào)告收集，收集前期安全評(píng)估輸出的漏掃、滲透、基線檢查等報(bào)告，收集安全運(yùn)維中輸出的相關(guān)報(bào)告，為方案細(xì)化做前期準(zhǔn)備。

4.2 方案細(xì)化

閱讀前期漏掃、滲透、基線檢查、漏洞通報(bào)報(bào)告，從而細(xì)化加固的目標(biāo)和現(xiàn)有系統(tǒng)的安全狀況；收集被加固設(shè)備信息，系統(tǒng)情況：被加固設(shè)備的操作系統(tǒng)類型、應(yīng)用需求：被加固設(shè)備上啟用了哪些應(yīng)用，這些應(yīng)用需要哪些權(quán)限（文件、網(wǎng)絡(luò)等）環(huán)境情況：被加固設(shè)備的運(yùn)行環(huán)境，包括網(wǎng)絡(luò)環(huán)境及其它應(yīng)用聯(lián)系，根據(jù)收集的信息制定合理的加固方案，包括時(shí)間安排、流程、操作方法等。

為防止加固可能引起的不良后果，因此需要制定回退方案和應(yīng)急方案，回退方案用于加固導(dǎo)致系統(tǒng)不可用時(shí)將系統(tǒng)回退到加固前的狀態(tài)，應(yīng)急方案用于處理其他不可控的情況（包括加固失敗后無(wú)法回退）。

4.3 方案審核

由用戶的安全負(fù)責(zé)人、網(wǎng)絡(luò)負(fù)責(zé)人和業(yè)務(wù)負(fù)責(zé)人一起對(duì)提交的加固方案進(jìn)行研討，確認(rèn)其可行性。

4.4 系統(tǒng)備份

對(duì)于重要的系統(tǒng)，為了能夠在加固失敗的情況下快速回退或恢復(fù)系統(tǒng)，必須在事前進(jìn)行相應(yīng)的備份，包括且不僅限于：重要系統(tǒng)的備份、重要配置的備份、重要數(shù)據(jù)的備份。

4.5 實(shí)施加固

系統(tǒng)加固和優(yōu)化的流程主要由以下四個(gè)環(huán)節(jié)構(gòu)成：狀態(tài)調(diào)查；制定加固方案；實(shí)施加固；生成加固報(bào)告。

上述這四個(gè)環(huán)節(jié)是完成加固必不可少的，就其中每個(gè)環(huán)節(jié)的具體內(nèi)容根據(jù)不同情況會(huì)有所不同。其中區(qū)別較大的是對(duì)新建系統(tǒng)和現(xiàn)存系統(tǒng)的加固和優(yōu)化。

新系統(tǒng)（或重新安裝的系統(tǒng)）與現(xiàn)存系統(tǒng)相比較，新系統(tǒng)的加固和優(yōu)化工作要相對(duì)簡(jiǎn)單些；現(xiàn)存系統(tǒng)的加固比較復(fù)雜，在一定情況下，現(xiàn)存系統(tǒng)必須完全重建，才能滿足客戶對(duì)系統(tǒng)的安全需求；新系統(tǒng)和舊系統(tǒng)的加固和優(yōu)化流程不同，兩者有各自的工作流程。

加固實(shí)施操作前，應(yīng)向客戶方提交加固方案書，作為加固操作申請(qǐng)。在客戶審核加固操作方案無(wú)誤的情況下，安排三方人員配合加固工作。

對(duì)系統(tǒng)實(shí)施加固和優(yōu)化主要內(nèi)容包含以下兩個(gè)方面：對(duì)系統(tǒng)進(jìn)行加固、對(duì)系統(tǒng)進(jìn)行測(cè)試。

對(duì)系統(tǒng)進(jìn)行測(cè)試的目的是檢驗(yàn)在對(duì)系統(tǒng)使是安全加固后，系統(tǒng)在安全性和功能性上是否能夠滿足客戶的需求。上述兩個(gè)方面的工作是一個(gè)反復(fù)的過(guò)程，即，每完成一個(gè)加固或優(yōu)化步驟后就要測(cè)試系統(tǒng)的功能性要求和安全性要求是否滿足客戶需求；如果其中一方面的要求不能滿足，該加固步驟就要重新進(jìn)行。對(duì)有些系統(tǒng)會(huì)存在加固失敗的情況，如果發(fā)生加固失敗，則根據(jù)客戶的選擇，要么放棄加固，要么重建系統(tǒng)。

加固完成后，對(duì)加固過(guò)的目標(biāo)系統(tǒng)二次使用工具掃描，檢查原有的高級(jí)，中級(jí)漏洞是否解除。

對(duì)于特別重要的系統(tǒng)或特別危險(xiǎn)的加固操作，可以進(jìn)行加固測(cè)試，通過(guò)加固測(cè)試后才能在被加固設(shè)備上進(jìn)行操作，加固測(cè)試包括：補(bǔ)丁測(cè)試、加固方案測(cè)試、加固方案修正。實(shí)際操作時(shí)可以選擇同樣目的的不同加固方法同時(shí)進(jìn)行測(cè)試，根據(jù)測(cè)試結(jié)果選擇最優(yōu)的加固方法；收集相關(guān)補(bǔ)丁、收集升級(jí)軟件、收集加固工具根據(jù)具體的加固方案實(shí)施加固操作。

在加固完成后，需要與應(yīng)用人員確認(rèn)設(shè)備的可用性，并觀察一段時(shí)間，待確認(rèn)設(shè)備正常運(yùn)行后加固人員才可以離開現(xiàn)場(chǎng)。

4.6 效果檢驗(yàn)

為確保加固有效，在加固全部完成后，將對(duì)加固效果進(jìn)行檢驗(yàn)，檢驗(yàn)的方法如下：加固后對(duì)所有被加固設(shè)備進(jìn)行一次掃描；對(duì)重點(diǎn)設(shè)備進(jìn)行抽樣檢查；對(duì)加固日志和掃描結(jié)果進(jìn)行分析；提交殘余風(fēng)險(xiǎn)報(bào)告。

4.7 加固完成

生成加固報(bào)告，加固報(bào)告是向用戶提供完成系統(tǒng)加固和優(yōu)化服務(wù)后的最終報(bào)告。其中包含以下內(nèi)容：加固過(guò)程的完整記錄，有關(guān)系統(tǒng)安全管理方面的建議或解決方案，對(duì)加固系統(tǒng)安全審計(jì)結(jié)果。同時(shí)完善安全基線生成加固服務(wù)器、設(shè)備的安全基線文檔，描述當(dāng)前服務(wù)器的安全基線情況。

5 風(fēng)險(xiǎn)規(guī)避措施

5.1 加固實(shí)施策略

時(shí)間：為了避免加固過(guò)程影響系統(tǒng)業(yè)務(wù)運(yùn)行，加固時(shí)間應(yīng)該選擇在系統(tǒng)業(yè)務(wù)量最小，業(yè)務(wù)臨時(shí)中斷對(duì)外影響最小的時(shí)候。

操作：加固操作需要按照系統(tǒng)加固核對(duì)表，逐項(xiàng)按順序執(zhí)行操作。

記錄：對(duì)加固后的系統(tǒng)，全部復(fù)查一次所作加固內(nèi)容，確保正確無(wú)誤。

5.2 系統(tǒng)備份和恢復(fù)

系統(tǒng)加固之前，先對(duì)系統(tǒng)做完全備份，加固過(guò)程可能存在任何不可遇見的風(fēng)險(xiǎn)，當(dāng)加固失敗時(shí)，可以恢復(fù)到加固前狀態(tài)。

當(dāng)出現(xiàn)不可預(yù)料的后果時(shí)，首先使用備份恢復(fù)系統(tǒng)提供服務(wù)，同時(shí)與總部安全專家小組取得聯(lián)系，尋求幫助，解決問(wèn)題。

5.3 工程中合理溝通的保證

在工程實(shí)施過(guò)程中，確定不同階段的測(cè)試人員以及客戶方的配合人員，建立直接溝通的渠道，并在工程出現(xiàn)難題的過(guò)程中保持合理溝通。

6 Windows安全加固應(yīng)用實(shí)戰(zhàn)

Windows 操作系統(tǒng)由于其簡(jiǎn)單明了的圖形界面以及逐漸提高的系統(tǒng)穩(wěn)定性和性能而成為使用廣泛的網(wǎng)絡(luò)操作系統(tǒng)，并且在網(wǎng)絡(luò)中占有重要地位。

但是目前使用的 windows系統(tǒng)中存在大量已知和未知的漏洞，Microsoft公司（包括一些國(guó)際上的安全組織）已經(jīng)發(fā)布了大量的安全漏洞，其中一些漏洞可以導(dǎo)致入侵者獲得管理員的權(quán)限，而另一些漏洞則可以被用來(lái)實(shí)施拒絕服務(wù)攻擊，對(duì)網(wǎng)絡(luò)和信息的安全構(gòu)成巨大的威脅。

目前WINDOWS 操作系統(tǒng)面臨的安全威脅包括：

（1）沒有安裝最新的Service Pack.；

（2）沒有關(guān)閉不必要的系統(tǒng)服務(wù)；

（3）系統(tǒng)注冊(cè)表屬性安全問(wèn)題；

（4）文件系統(tǒng)屬性安全問(wèn)題；

（5）缺省帳號(hào)安全問(wèn)題；

（6）文件共享方面的安全問(wèn)題；

（7）其它方面的各種安全問(wèn)題。

因此，在一個(gè)未加保護(hù)的Windows 系統(tǒng)上運(yùn)行企業(yè)的核心業(yè)務(wù)會(huì)存在相當(dāng)大的風(fēng)險(xiǎn)。應(yīng)當(dāng)采取的系統(tǒng)加固包括見表1。

6.1 安裝補(bǔ)丁

首先在“開始/程序/附件/系統(tǒng)工具/系統(tǒng)信息”窗口的“系統(tǒng)摘要”項(xiàng)查看系統(tǒng)類型、版本、ServicePack安裝情況。也可以通過(guò)微軟提供的Windowsupdate工具或者360安全衛(wèi)士來(lái)檢查現(xiàn)有系統(tǒng)的補(bǔ)丁安裝情況。建議訪問(wèn)http：//www.microsoft.com安裝最新的servicepack和hotfix。

補(bǔ)丁安裝完成后，可執(zhí)行如下工具和命令檢查補(bǔ)丁安裝成功與否：

F：＼PsTools>psinfo-h

6.2 應(yīng)用軟件的優(yōu)化

6.2.1 刪除IIS默認(rèn)文件和目錄

IIS c：＼inetpub＼iissamples

AdminScripts c：＼inetpub＼scripts

AdminSamples %systemroot%＼system32＼inetsrv＼adminsamples

IISADMPWD %systemroot%＼system32＼inetsrv＼iisadmpwd

IISADMIN %systemroot%＼system32＼inetsrv＼iisadmin

Dataaccess c：＼ProgramFiles＼CommonFiles＼System＼msadc＼Samples

MSADC c：＼programfiles＼commonfiles＼system＼msadc

以及其他不需要的文件和目錄。

6.2.2 刪除不必要的IIS擴(kuò)展名映射

從“Internet服務(wù)管理器“中：選擇計(jì)算機(jī)名，點(diǎn)鼠標(biāo)右鍵，選擇屬性：

然后選擇編輯，然后選擇主目錄，點(diǎn)擊配置，選擇需要?jiǎng)h除的擴(kuò)展名，點(diǎn)擊刪除。

6.3 安全配置

（1）禁止如下的服務(wù)；

Alerter（disable）

ClipBookServer（disable）

ComputerBrowser（disable）

DHCPClient（disable）

DirectoryReplicator（disable）

FTPpublishingservice（disable）

LicenseLoggingService（disable）

Messenger（disable）

Netlogon（disable）

NetworkDDE（disable）

NetworkDDEDSDM（disable）

NetworkMonitor（disable）

PlugandPlay（disableafterallhardwareconfiguration）

RemoteAccessServer（disable）

RemoteProcedureCall（RPC）locater（disable）

Schedule（disable）

Server（disable）

SimpleServices（disable）

Spooler（disable）

TCP/IPNetbiosHelper（disable）

TelephoneService（disable）

在必要時(shí)禁止如下服務(wù)：

SNMPservice（optional）

SNMPtrap（optional）

UPS（optional）

設(shè)置如下服務(wù)為自動(dòng)啟動(dòng)：

Eventlog（required）

NTLMSecurityProvider（required）

RPCservice（required）

WWW（required）

Workstation（leaveserviceon：willbedisabledlaterinthedocument）

MSDTC（required）

ProtectedStorage（required）

（2）防火墻設(shè)置/系統(tǒng)自帶防火墻設(shè)置；

（3）過(guò)濾不常用端口；

（4）賬號(hào)安全。

6.4 安全輔助工具

在做設(shè)備加固的同時(shí)，我們可能需要一些工具來(lái)輔助，在這里主要推薦幾種常用的工具：

（1）SolarWinds；

（2）Cain；

（3）360安全衛(wèi)士。

作者簡(jiǎn)介

楊建康（1972-），男，白族，云南省大理市人。大學(xué)本科學(xué)歷。云南電網(wǎng)有限責(zé)任公司大理供電局主任、經(jīng)濟(jì)師。

作者單位

云南電網(wǎng)有限責(zé)任公司大理供電局 云南省大理白族自治州 671000