网络安全运维服务方案
时间:2021年7月
目录
项目概述 2
11项目背景 2
12项目现状 2
13项目目标 2
二安全运维方案设计 3
31日常基础运维 3
基础设施巡检服务 3
基础设施运维服务 4
日常技术支持维护 5
安全性维护 6
安全整改 6
相关配合服务 7
32网络安全运维服务 8
安全咨询服务 8
渗透测试修复服务 9
基线加固服务 14
漏洞扫描服务 33
新系统线前安全评估服务 33
网络安全应急响应服务 34
33安全运维驻场求 35
项目概述
11项目背景
网络安全运维服务企事业单位信息化建设信息系统安全体系中缺部分整IT环境成熟度衡量指标完整网络安全运维服务仅帮助单位解决现类安全隐患够帮助预计未趋势规划信息系统安全稳定长期发展
响应国家网络安全等级保护求2017年6月1日中华民国网络安全法正式实行中第二十条:国家实行网络安全等级保护制度网络运营者应网络安全等级保护制度求履行列安全保护义务保障网络免受干扰破坏者未授权访问防止网络数泄露者窃取篡改全面解身信息安全隐患物理网络机应数安全理安全运维层面分析系统存风险判断系统面安全威胁加强信息系统安全保障工作
12项目现状
xxx局身网络包含互联网环境专网电子政务外网3张网络整体网络已参网络安全等级保护制度求进行建设基确保整体具支持业务稳定持续安全运行力整体网络信息系统xxx局网络信息科室行提供安全运维日常维护等保20求xxx局员数量配备专业技术力方面尚存定差距时十四五期间生态环境数字化转型继续深化
基智慧环保生态环境数物联网数享纸化会议视频会议等越越信息化建设容维护需求更日常运维安全保障工作带巨压力
13项目目标
托第三运维服务机构提供专业化运维服务咨询建议建立完善安全运维安全保障体系增强信息化建设安全防护力隐患检测力恢复力确保信息化安全建设满足国家行业相关政策求满足事前预防事中控制事恢复网络安全保障需求造信控视网络环境确保重信息系统业务应持续安全稳定运行步骤计划安全运维安全整改期安全建设保护组织核心业务网络攻击中断保障组织核心业务数窃取已知威胁较强防御力外未知威胁具定防御力xxx局业务高效利开展提供强力技术支撑
二安全运维方案设计
31日常基础运维
311基础设施巡检服务
基础设施巡检维护容
序号
服务容
常规
服务
时间
服务说明
服务求
周期
次数
1
资产梳理
5*8
收集梳理数中心信息化资产信息建立档根梳理排查情况采购提供服务功设备等信息编制设备资产表设备资产表包括型号数量配置功机名称IP址位置等信息调整变动时立更新
固定
需提供 限次数
2
服务器健康巡检
5*8
利数中心现监控设备工具定期服务器进行健康巡检发现异常情况进行排查针异常情况提出解决方案建议
天
≥1
3
存储设备健康巡检
5*8
存储设备系统运行状态包括设备指示灯存储存储光纤链路等发现异常情况进行排查针异常情况提出解决方案建议
天
≥1
4
数库健康巡检
5*8
定期进行数库健康巡检监控容包括数库健康状态数库空间情况等发现异常情况进行排查针异常情况提出解决方案建议
月
≥1
5
安全设备健康巡检
5*8
定期安全设备病毒库特征库更新情况检查安全设备异常安全告警进行日志审核分析安全设备机控制面板状态指示灯检查CPU利率存利率磁盘率电源情况巡检异常情况进行排查针异常情况提出解决方案建议
天
≥1
6
核心网络设备健康巡检
5*8
定期核心网络设备CPU利率存利率电源状态风扇状态巡检错误事件日志异常情况进行分析维护提供巡检报告异常情况进行排查针异常情况提出解决方案建议
天
≥1
7
UPS精密空调健康巡检
5*8
检查UPS机精密空调工作状态板件指示灯状态发现异常情况进行排查针异常情况提出解决方案建议
天
≥1
8
月度汇报
5*8
月采购整体基础设施巡检情况进行总结汇报
月
≥1
312基础设施运维服务
包括采购工作员桌面PC机板电脑印机复印机日常维护 包括桌面操作系统方面办公网络方面运维障处理工作具体服务容:
基础设施运维服务容
序号
服务容
常规
服务
时间
服务说明
服务求
周期
次数
1
硬件维护
5*8
负责采购桌面电脑板电脑印机复印机网络设备等信息终端设备维护工作包含设备安装调试障检测配件更换(配件采购提供)障处置等涉硬件维修设备根实际情况书面申请维修费采购意联系送修维修完成设备进行测试确定障交采购做记录
固定
需提供 限次数
2
软件维护
5*8
负责桌面操作系统安装修复常软件业务软件防病毒软件安装(软件采购提供)等处置操作系统升级数备份系统障软件障等问题
固定
需提供 限次数
3
网络维护
5*8
负责采购办公区域网络障排查处理
固定
需提供 限次数
4
信息资产清理理
5*8
配合采购终端计算机进行资产清理包括型号数量位置等信息资产信息电子表格形式进行保存
固定
需提供 限次数
312日常技术支持维护
1日常技术支持:建新建信息化系统提供服务器存储虚拟机数库中间件网络等基础IT环境配合等服务采购日常发生网络设备调试安全设备调试服务器调试数库调试视频会议调试终端系统调试等提供技术支持服务
服务次数:需提供限次数
常规服务时间:5×8应急服务时间:7×8
2日常技术维护:
a)策略调优优化:资产情况业务系统网络流日常安全监测情况期风险通报结果安全设备实际策略配置情况安全设备协助开展策略配置调优持续提升安全运行防护力(安全设备包含限防火墙入侵防御WAF防病毒系统安全网关等)
b)配置备份:定期核心交换机汇聚交换机防火墙WEB应防火墙入侵防御系统等关键节点设备系统配置策略配置进行完整备份设备发生障提供配置快速导入等恢复措施服务期需提供策略配置系统配置备份周次
c)安全设备软件特征库更新升级:巡检结果定期进行特征库病毒库威胁情报库漏洞库等特征库升级安全设备进行更新升级(更新升级原步产品厂商官网更新情况)针已授权许时间安全设备提供
处置建议服务期需提供(安全设备包含限防火墙入侵防御WAF防病毒系统安全网关等)
3障处置支持:
a)采购出现类障情况提供技术支持服务(非硬件层面)包括服务器系统障安全设备系统障核心网络设备系统障UPS精密空调系统障等针未保设备障处置供应商协调设备属维护商进行维护进维修进度效果时采购汇报情况针已保设备障处置供应商进行维护针特殊情况供应商法维护障情况供应商出具实际行解决方案建议
b)采购出现类障情况提供技术咨询服务(硬件层面)未保类硬件维修供应商协调设备属维护商进行维修进维修进度效果已保设备具备维修价值硬件设备部件供应商提供处理建议采购评估根评估结果采购求设备进行处理
服务次数:需提供限次数
常规服务时间:5×8应急服务时间:7×8
313安全性维护
网络安全法网络安全等级保护基求(GBT 222392019)求信息系统基础IT设施进行安全性维护包括限提供操作系统升级补丁更新安全设备配置合规性配置针风险事件提供安全整改建议等
安全性维护服务容求
序
号
服务容
常规服
务时间
服务说明
服务求
1
操作系统升级补丁更新
5×8
机房现运行操作系统定期安全补丁更新提供配合协助服务配合采购安装升级操作系统
需提供限次数
2
安全设备配置
5×8
根采购需求现数中心机房安全设备进行优化中包括安全设备构架层安全设备策略层出合理化安全规划建议
需提供限次数
3
合规性配置
5×8
针应系统需求服务象中安全设备网络设备等基础
需提供限次数
IT设施进行防火墙堡垒机日志审计等合规性配置
314安全整改
运维服务期间级部门公安部门信息化部门等单位数中心(含信息系统软件身)进行安全扫描 根方安全评估结果协助修复安全漏洞加固系统台防止系统破坏数泄露安全整改评估会业务系统产生影响时需提出整改建议方案(方案中需注明风险)采购签字授权进行修复
安全整改服务容求
序号
服务容
常 规
服 务
时间
服务说明
服务求
周期
次数
1
修复安全漏洞加固系统防护
5×8
1时响应相关单位发出安全漏洞通报
2针风险等级严重漏洞收报告三工作日修复解决提出整改建议方案 针风险等级中低漏洞须收报告两周修复解决提出整改建议方案
3针紧急漏洞(勒索病毒)需相关单位发出安全漏洞通报中解决方案立解决
4修复解决提交安全整改报告(遇系统较版升级改动等特殊情况需延期解决须安全整改报告中说明)
安全通告通知文件
需提供 限次数
315相关配合服务
采购级单位求做正版化检查网络安全检查保密检查业务接区县单位技术支撑采购交办相关事宜等配合服务
服务次数:需提供限次数
常规服务时间:5×8应急服务时间:7×8
32网络安全运维服务
321安全咨询服务
3211日常安全问题咨询服务
服务容
结合单位实际需求参考国外安全标准提供日常安全咨询服务包括网络安全规划安全决策安全事件处理等提供完整全面处理方案求方案具操作性够指导采购进行事件处理应
服务次数:需提供限次数
常规服务时间:5×8应急服务时间:7×8
交付成果
日常安全问题咨询反馈记录
3212网络安全规划服务
服务容
结合采购实际需求参考国外安全标准国新技术研究(等保20关键信息基础设施保护条例商密码体系云计算数物联网移动安全)采购网络安全方案设计网络安全建设包括网络安全结构设计系统安全设计网络安全方案设计提供网络安全远景规划设计未网络信息安全工作开展提供力指导支撑
服务次数:需提供限次数
交付成果
安全远景规划建议书
3213等级保护咨询服务
服务容
深化网络安全等级保护工作基网络安全深刻理解等级保护框架构建安全灵活持续改进网络安全体系等级保护阶段工作重点客户提供全方位支持服务协助完成定级备案差距分析安全整改安全建议协助接等保测评工作
服务次数:需提供限次数
交付成果
网络系统等级保护咨询记录
322渗透测试修复服务
3221渗透测试服务
服务容
针渗透测试服务范围结合等级保护合规性测评等项检查工作成果采外部渗透方式部渗透方式应系统进行非破坏性质模拟入侵者攻击测试检测外部威胁源路径便掌握系统安全状况寻找系统存漏洞风险出具渗透测试报告
测试方法
渗透测试完全模拟黑客入侵思路技术手段黑客攻击入侵需利目标网络安全弱点渗透测试样道理工渗透辅助攻击工具样保证整渗透测试程控制调整范围
针应系统渗透测试方法包括方法局限方法:
测试方法
描述
信息收集
信息收集渗透攻击前提通信息收集针性制定模拟攻击测试计划提高模拟攻击成功率时效降低攻击测试系统正常运行造成利影响信息收集方法包括端口扫描操作系统指纹判应判账号扫描配置判等
端口扫描
通目标址TCPUDP端口扫描确定开放服务数量类型渗透测试基础通端口扫描基确定系统基信息结合安全工程师验确定存利安全弱点进行深层次渗透提供
口令猜测
阶段暴露公网登陆口进行口令猜解测试找出系统存弱口令易猜解口令猜解成功继续系统进行渗透测试挖掘嵌套登录口背漏洞寻找新突破口泄漏敏感信息评估相应危害性猜解象包括:WEB登录口FTP端口数库端口远程理端口等
远程溢出
前出现频率高威胁严重时容易实现种渗透方法具般网络知识入侵者短时间利现成工具实现远程溢出攻击防火墙系统存样风险跨接防火墙外台机攻击成功通台机防火墙机进行攻击易反掌
溢出
溢出指拥普通户账号通段特殊指令代码获理员权限方法溢出前提首先获普通户密码说导致溢出关键条件设置密码策略年实践证明前期口令猜测阶段获取普通账号登录系统系统实施溢出攻击获取进行动安全防御系统控制理权限
脚测试
脚测试专门针Web服务器进行根新技术统计脚安全弱点前Web系统尤存动态容Web系统存较严重安全弱点利脚相关弱点轻获取系统目录访问权限重取系统控制权限含动态页面Web系统脚测试必少环节
权限获取
通初步信息收集分析存两种性种目标系统存重安全弱点测试直接控制目标系统种目标系统没远程重安全弱点获普通户权限时通该普通户权限进步收集目标系统信息接努力取超级户权限收集目标机资料信息寻求权
限提升机会样停进行信息收集分析权限提升结果形成整渗透测试程
测试容
项目渗透测试包括限容:
测试类
测试项
测试目
身份验证类
户注册
检查户注册功涉安全问题
户登录
检查户登录功涉安全问题
修改密码
检查户修改密码功涉安全问题
密码重置
检查忘记密码找回密码密码重置功涉安全问题
验证码绕
检测验证码机制否合理否绕
户锁定功
测试户锁定功相关安全问题
会话理类
Cookie重放攻击
检测目标系统否仅cookie确认会话身份易受cookie回放攻击
会话令牌分析
Cookie具明显含义预测逆攻击者分析出cookie结构
会话令牌泄露
测试会话令牌否存泄露
会话固定攻击
测试目标系统否存固定会话缺陷
跨站请求伪造
检测目标系统否存CSRF漏洞
访问控制类
功滥
测试目标系统否设计导致合法功非法利
垂直权限提升
测试出现垂直权限提升情况
水权限提升
测试出现水权限提升情况
输入处理类
SQL注入
检测目标系统否存SQL注入漏洞
文件传
检测目标系统文件传功否存缺陷 导致传非预期类型容文件
意文件载
检测目标系统加载载文件功否造成意文件载问题
XML注入
测试目标系统否存XML注入漏洞
目录穿越
测试目标系统否存目录穿越漏洞
SSRF
检测目标系统否存服务端跨站请求伪造漏洞
文件包含
测试目标站点否存LFI漏洞
远程文件包含
测试目标站点否存RFI漏洞
远程命令代码执行
测试目标系统否存命令代码注入漏洞
反射型跨站脚
检测目标系统否存反射型跨站脚漏洞
存储型跨站脚
检测目标系统否存存储型跨站脚漏洞
DOMbased跨站脚
检测目标系统否存DOMbased跨站脚漏洞
服务端URL重定
检查目标系统否存服务端URL重定漏洞
信息泄露类
error code
测试目标系统错误处理力否会输出详错误信息
Stack Traces
测试目标系统否开启Stack Traces 调试信息
敏感信息
量收集目标系统敏感信息
第三方应类
中间件
测试目标系统否存jbossweblogictomcat等中间件
CMS
测试目标系统否存dedecmsphpcms等CMS
测试方式
透测试服务根测试位置分现场测试远程测试根测试方法分黑盒测试白盒测试两类
现场测试指户授权测试员达户工作现场接入户工作网根户期测试目标直接接入户办公网络甚业务网络中种测试处免测试员外部绕防火墙入侵保护等安全设备工作般检测部威胁源路径
远程测试现场测试相反测试员需达客户现场接入户部网络直接互联网访问户某接入互联网系统进行测试种测试应关注门户站点互联网应户检测外部威胁源路径
黑盒测试指测试员目标系统IP域名外信息知情况系统发起测试工作种方式较模拟黑客行解外部恶意户系统带威胁
白盒测试指测试员通户授权获取部分信息情况进行测试:目标系统帐号配置甚源代码种情况户模拟检测部恶意户系统带威胁
测试流程
服务频率
服务期年次
服务范围
国控系统机动车尾气系统气预警台电子政务台OA系统
交付成果
渗透测试报告
2渗透测试漏洞修复服务
服务容
提供漏洞修复服务渗透测试结果发现应系统应系统承
载设施存安全风险出修复建议协助修复
服务频率
服务期季度次
服务范围
国控系统机动车尾气系统气预警台电子政务台OA系统
交付成果
渗透测试漏洞修复报告
基线加固服务
服务容
安全加固服务指根安全加固列表目标系统安全漏洞进行修复配置隐患进行优化程加固容包括限系统补丁防火墙防病毒危险服务享动播放密码安全针范围机提供基线安全加固服务遵循基线安全加固技术标准授权设备进行基线安全加固服务器具基安全防护力抵御操作系统直接攻击发生攻击时限制影响范围
基线加固容
安全加固操作系统包括WindowsLinuxAIXHPUnixSolaris操作系统加固容表示:
Ø Windows基线安全加固标准:
控制点
1应登录操作系统数库系统户进行身份标识鉴
目
防止未授权访问
加固检查
查登录否需密码
加固标准
数库口令鉴机制户进行身份标识鉴
登录时提示输入户名口令错误口令空口令登录时提示登录失败验证登录控制功效性
控制点
2 操作系统数库系统理户身份标识应具易特点口令应复杂度求定期更换
目
防止弱口令
加固检查
查安全策略否启
密码复杂性策略
密码长度
密码短期限
密码长期限
强制密码历史
加固标准
启密码复杂性策略
密码长度8位
密码短期限0天
密码长期限90天
强制记住密码历史0
控制点
3启登录失败处理功采取结束会话限制非法登录次数动退出等措施
目
防止恶意猜解账户口令
加固检查
查安全策略否启
账户锁定时间
账户锁定阈值
重置账户锁定计数器
加固标准
账户锁定时间30分钟
账户锁定阈值5次效登陆
重置账户锁定计数器30分钟
控制点
4服务器进行远程理时应采取必措施防止鉴信息网络传输程中窃听
目
RDP加密传输防止身份鉴信息传输程中泄露
加固检查
点击[开始]>[运行]输入:gpeditmsc点击[计算机配置]>[理模板]>[Windows组件]>[远程桌面服务]>[远程桌面会话机]>[安全]双击[远程(rdp)连接求指定安全层]选择已启安全层选择SSL(TLS10)点击确定双击[设置客户端连接加密级]选择[已启]加密级[高级
]点击确定
加固标准
安全层ssL加密加密级高级
控制点
5 应操作系统数库系统户分配户名确保户名具唯性
目
防止账户滥
加固检查
次展开[开始]>([控制面板]>)[理工具]>[计算机理]>[户组]>[户]查户列表询问账户情况
加固标准
账号情况
控制点
6 系统敏感资源访问控制
目
限制系统敏感资源访问权限
加固检查
1)文件权限:
a)右键点击[开始]开[资源理器(X)][工具]>[文件夹选项]>[查]中简单文件享(推荐)否选中
b)右键单击面两文件夹[属性]>[安全]查users权限
2)户权限:
a)[开始]>([控制面板] >)[理工具]>[计算机理]>[户组]>[组]
b)双击名称列中Administrators户查成员
加固标准
未选中简单文件享(推荐)选项
program files文件夹users权限允许读取运行列出文件夹目录读取三种权限
普通户应账户等非理员账户属理员组
控制点
7 重命名系统默认账户修改默认口令
目
防止恶意攻击者通默认账户口令进行系统
加固检查
次点击[控制面板]>[户账户]>[更改账户类型]>[选择更改账号]时选择需更改账户继续选择[更改账户名称]重新输入账户名称
选择[更改密码]重新输入次密码
加固标准
存默认账户名默认口令
控制点
8 删余期账户
目
防止余期账户利
加固检查
次展开[开始]>([控制面板] >)[理工具]>[计算机理]>[户组]>[户]查否存期账户)户账户列表询问机理员账户否合法户
户账户列表询问机理员否存账户
加固标准
余期账户
控制点
9 端口限制
目
限制常见危险端口访问权限
加固检查
彻底关闭137138139端口:进入[控制面板]>[网络享中心]>[连接][属性]>[internet协议版4]>[高级]>[Wins]>[禁TCPIPNETBIOS]点击确定回连接属性中选中[Microsoft网络文件印机享]点击确定 关闭135445端口:点击[开始]>[运行]输入dcomcnfg开[组件服务]>[计算机]>[电脑]右键属性点击默认属性[计算机启分布式com]前面勾掉返回[默认协议]移[面连接TCPIP协议]点击确定重新[开始]>[运行]输入regedit进入注册表定位HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc右键Rpc新建项改internet关闭445:开始运行输入:regedit定位HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters右键新建dword值系统32位建32dword64位选择新建应64dword值然值设0重新开始运行输入servicesmsc进入服务找server服务双击进入启动类型禁服务状态改停止点击应重启服务器
ip安全策略关闭端口:次展开[开始]>[控制面板]>[理工具]>[安
全策略]选择[ip安全策略]点击右键选择[创建ip安全策略]直步程中进行重命名安全策略弹出属性里选择[添加]新规属性里选择[添加]ip筛选列表里选择[添加]ip筛选器里选择ip址ip址选择[协议]新属性里选择tcp协议意端口端口(135)点击[确定]时回新规属性面板新规命名(关闭135)ip筛选列表里选中[关闭135]筛选器操作面板双击[关闭135]关闭135属性面板中选择[安全方法]>[阻止]点击确定属性面板选择确定时回[ip安全策略面板]右键前新建安全策略选择分配 防火墙关闭端口:展开[控制面板]>[防火墙]>[高级设置]>[入站规]>[新建规]>新弹出属性面板中选择[端口]点击[步]选择[TCP][特定端口]输入135点击[步]选中[阻止连接]选中步规命名点击确定
加固标准
安装ms17010补丁确认135137138139445端口已关闭防火墙ipsec处配置相应策略限制端口
控制点
10 配置审计策略审计范围覆盖户
目
保证审计策略覆盖安全事件户
加固检查
安全系统扩展
系统完整性
系统事件
安全状态更改
登录
注销
帐户锁定
特殊登录
登录注销事件
网络策略服务器
户设备声明
文件系统
注册表
SAM
筛选台连接
象访问事件
移动存储
非敏感权限
敏感权限
进程创建
进程终止
身份验证策略更改
授权策略更改
MPSSVC 规级策略更改
筛选台策略更改
策略更改事件
审核策略更改
户帐户理
计算机帐户理
安全组理
应程序组理
帐户理事件
帐户登录事件
验证
加固标准
安全系统扩展 成功失败
系统完整性 成功失败
系统事件 成功失败
安全状态更改 成功失败
登录 成功失败
注销 成功失败
帐户锁定 成功失败
特殊登录 成功失败
登录注销事件 成功失败
网络策略服务器 成功失败
户设备声明 成功失败
文件系统 失败
注册表 成功失败
SAM 成功
筛选台连接 失败
象访问事件 成功失败
移动存储 成功失败
非敏感权限 成功失败
敏感权限 成功失败
进程创建 成功失败
进程终止 成功失败
身份验证策略更改 成功失败
授权策略更改 成功失败
MPSSVC 规级策略更改 成功失败
筛选台策略更改 成功失败
策略更改事件 成功失败
审核策略更改 成功失败
户帐户理 成功失败
计算机帐户理 成功失败
安全组理 成功失败
应程序组理 成功失败
帐户理事件 成功失败
帐户登录事件 成功
验证 成功
控制点
11 保护审计记录
目
防止审计记录受非预期删修改
加固检查
次展开[开始]>[控制面板]>[理工具]>[事件查器]>[Windows日志]>[应程序]右键属性设置日志20480kb需覆盖事件步骤应程序安全Setup系统选项进行配置
加固标准
Windows日志20480kb需覆盖日志
配置日志传输日志审计服务器
控制点
12 windows组策略安全选项配置
目
保护系统剩余资源防止漏洞危害扩
加固检查
Microsoft 网络服务器 暂停会话前需空闲时间数量
关机 清虚拟存页面文件
交互式登录 显示户名
交互式登录 锁定会话时显示户信息
设备 CDROM 访问权限仅限登录户
设备 软盘驱动器访问权限仅限登录户
设备 允许移动媒体进行格式化弹出
审核 备份原权限进行审核
审核 强制审核策略子类设置(Windows Vista 更高版)代审核策略类设置
网络访问 允许存储网络身份验证密码
网络访问 远程访问注册表路径
网络访问 远程访问注册表路径子路径
加固标准
Microsoft 网络服务器 暂停会话前需空闲时间数量 10分钟
关机 清虚拟存页面文件 已启
交互式登录 显示户名 已启
交互式登录 锁定会话时显示户信息 显示户信息
设备 CDROM 访问权限仅限登录户 已启
设备 软盘驱动器访问权限仅限登录户 已启
设备 允许移动媒体进行格式化弹出 理员
审核 备份原权限进行审核 已启
审核 强制审核策略子类设置(Windows Vista 更高版)代审核策略类设置 已启
网络访问 允许存储网络身份验证密码 已启
网络访问 远程访问注册表路径 路径
网络访问 远程访问注册表路径子路径 路径
控制点
13 SYN保护
目
防护SYN攻击
加固检查
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect 推荐值:2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted 推荐值:5
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen推荐值:500
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried推荐值:400
加固标准
SynAttackProtect 值:2
TcpMaxPortsExhausted 值:5
TcpMaxHalfOpen值:500
TcpMaxHalfOpenRetried值:400
控制点
14 关闭默认享
目
防止攻击者通网络享功获取敏感数
加固检查
进入开始->运行->Regedit进入注册表编辑器查 HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer值0
加固标准
进入开始->运行->Regedit进入注册表编辑器查 HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\Auto
ShareServer值0
控制点
15 数执行保护(DEP)
目
防止恶意应运行暂存指令部分存中数
加固检查
进入控制面板->系统高级选项卡 性设置进入 数执行保护选项卡查 仅基 Windows 操作系统程序服务启DEP
加固标准
基 Windows 操作系统程序服务启DEP
控制点
16 关闭余服务
目
关闭余服务
加固检查
关闭列服务:
BITS
BrowserD
DHCP(仅2012)
NlaSvc
Spooler
RemoteRegistry(仅2012)
seclogon
SCardSvr
lmhosts
LanmanWorkstation
Audiosrv
W32Time
加固标准
关闭列服务:
BITS
BrowserD
DHCP(仅2012)
NlaSvc
Spooler
RemoteRegistry(仅2012)
seclogon
SCardSvr
lmhosts
LanmanWorkstation
Audiosrv
W32Time
控制点
17 设置屏保
目
设置屏保长时间未进行户鉴
加固检查
进入控制面板->显示->屏幕保护程序:
启屏幕保护程序设置等时间5分钟启恢复时密码保护
加固标准
设置等时间5分钟启恢复时密码保护
控制点
18 修改3389端口
目
防止恶意攻击者通默认端口账户口令进行暴力破解
加固检查
第步:进入[开始]>[运行]>regedit进入注册表编辑器次展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp 双击文件[PortNumber]选择10进制修改端口
第二步:[开始]>[运行]>regedit进入注册表编辑器展开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDPTcp双击文件[portNumber]选择10进制修改端口
加固标准
修改默认RDP端口
控制点
19 死网关检测
目
防止单点障影响业务性
加固检查
进入[开始]>[运行]>regedit进入注册表编辑器次展开hkey_local_machine\system\currentcontrolset\services\Tcpip\parameters
enabledeadgwdetectreg_dword 0x0(默认值ox1)
加固标准
hkey_local_machine\system\currentcontrolset\services\Tcpip\parameters
enabledeadgwdetectreg_dword 0x0(
控制点
20 禁webdav
目
防止通webdav组件功入侵服务器
加固检查
HKEY_LOCAL_MACHINE\SYSTE\MCurrentControlSet\Services\W3SVC\Parameters添加注册表值:
数值名称:DisableWebDAV
数类型:DWORD
数值数:1
加固标准
HKEY_LOCAL_MACHINE\SYSTE\MCurrentControlSet\Services\W3SVC\Parameters添加注册表值:
数值名称:DisableWebDAV
数类型:DWORD
数值数:1
控制点
21 机防病毒
目
安装机防病毒产品防御已知病毒
加固检查
安装防病毒软件(安全狗火绒)启安全功配置安全策略限制135137139445端口检测恶意文件时进行隔离
加固标准
安装防病毒软件启安全功配置相应策略限制135137139445端口检测恶意文件时进行隔离
控制点
22 数库访问控制
目
避免数库外部恶意员直接访问
加固检查
防火墙否数库端口访问配置策略进行控制
加固标准
配置策略仅允许应应访问数库
Ø Linux基线安全加固标准:
控制点
1应登录操作系统数库系统户进行身份标识鉴
目
防止未授权访问
加固检查
1询问理员否存类似简单户密码配置:
rootroot testtest rootroot1234
2执行:more etclogindefs检查PASS_MAX_DAYS PASS_MIN_DAYSPASS_WARN_AGE参数
3执行:awk F '(2 ) { print 1 }' etcshadow 检查否存空口令帐号
加固标准
建议etclogindefs文件中配置:
PASS_MAX_DAYS 90 #新建户密码长天数
PASS_MIN_DAYS 0 #新建户密码短天数PASS_WARN_AGE 7 #新建户密码期提前提醒天数
存空口令帐号
控制点
2密码复杂性求
目
账户口令复杂性防止暴力猜解
加固检查
1询问理员否存类似简单户密码配置:
rootroot testtest rootroot1234
2执行:more etclogindefs检查PASS_MAX_DAYS PASS_MIN_DAYSPASS_WARN_AGEPASS_MIN_LEN参数
加固标准
建议etcpamdsystemauth 文件中配置:
password requisite pam_cracklibso difok3 minlen8 ucredit1 lcredit1 dcredit1
少8位包含位写字母位写字母位数字
控制点
3错误登录锁定策略检查
目
防止未授权访问
加固检查
etcpamdsystemauth文件中否pam_tallyso参数进行正确设置
加固标准
设置连续输错10次密码帐号锁定5分钟
命令vi etcpamd systemauth修改配置文件添加
auth required pam_tallyso onerrfail deny10 unlock_time300
注:解锁户faillog u <户名> r
控制点
4超级户远程登录终端限制
目
限制root户登录终端形式
加固检查
执行:more etcsecuretty检查Console参数
加固标准
建议etcsecuretty文件中配置:CONSOLE devtty01
控制点
5超级户环境变量安全性
目
确保root户系统路径中包含父目录非必情况应包含组权限777目录
加固检查
执行:echo PATH | egrep '(^|)(\||)'检查否包含父目录
执行:find `echo PATH | tr '' ' '` type d \( perm 002 o perm 020 \) ls检查否包含组目录权限777目录
加固标准
执行:echo PATH | egrep '(^|)(\||)'检查否包含父目录
执行:find `echo PATH | tr '' ' '` type d \( perm 002 o perm 020 \) ls检查否包含组目录权限777目录
返回值包含述条件
控制点
6账户权限控制
目
确保root户UID0
加固检查
执行:awk F '(3 0) { print 1 }' etcpasswd
加固标准
修改账户属性确保root户UID0
控制点
7登录终端操作超时锁定设置
目
配置终端操作超时
加固检查
开etcprofile文件否设置export TMOUTreadonly TMOUT
加固标准
建议etcprofile中增加:
readonly TMOUT
值设置readonly防止户更改
设置export TMOUT900
控制点
8远程连接安全性
目
检查远程连接安全性禁止动远程文件服务连接
加固检查
执行:find name netrc检查系统中否netrc文件
执行:find name rhosts 检查系统中否rhosts文件
加固标准
实际操作需求删netrcrhosts文件
控制点
9umask安全设置
目
设置户默认权限
加固检查
执行:more etcprofile more etccshlogin more etccshcshrc more etcbashrc检查否包含umask值umask027
加固标准
修改umask值027
控制点
10文件目录权限检查
目
设置文件目录权限权限限制系统敏感资源访问
加固检查
执行命令检查目录文件权限设置情况:
ls –l etc
ls –l etcrcdinitd
ls –l tmp
ls –l etcinetdconf
ls –l etcpasswd
ls –l etcshadow
ls –l etcgroup
ls –l etcsecurity
ls –l etcservices
ls l etcrc*d
加固标准
重目录建议权限设置750仅允许root户读写执行目录脚
控制点
11特殊权限SUIDSGID检查
目
查找未授权SUIDSGID文件
加固检查
面命令查找系统中SUIDSGID程序执行:
for PART in `grep v ^# etcfstab | awk '(6 0) {print 2 }'` do
find PART \( perm 04000 o perm 02000 \) type f xdev print
Done
查否具未授权SUID\SGID文件
加固标准
存未授权SUID\SGID文件
控制点
12目录写权限检查
目
防止存意户均具写权限目录
加固检查
系统中定位写权限目录面命令:
for PART in `awk '(3 ext2 || 3 ext3) \
{ print 2 }' etcfstab` do
find PART xdev type d \( perm 0002 a perm 1000 \) print
Done
查否结果返回
加固标准
存意户均具写权限目录
控制点
13文件写权限检查
目
防止存意户均具写权限文件
加固检查
系统中定位写权限文件面命令:
for PART in `grep v ^# etcfstab | awk '(6 0) {print 2 }'` do
find PART xdev type f \( perm 0002 a perm 1000 \) print
Done
查否结果返回
加固标准
存意户均具写权限文件
控制点
14空属文件检查
目
防止存空属文件
加固检查
定位系统中没属文件面命令:
for PART in `grep v ^# etcfstab | awk '(6 0) {print 2 }'` do
find PART nouser o nogroup print
done
注意:dev目录文件
加固标准
存空属文件
控制点
15异常隐含检查
目
防止存异常隐含文件
加固检查
find程序查找隐含文件例:
# find name * print –xdev
# find name …* print xdev | cat v
时注意象xxmail样文件名(文件名起
象正常文件名)
加固标准
存异常隐含文件
控制点
16登录超时检查
目
设置登录超时时间
加固检查
命令cat etcprofile |grep TMOUT查TMOUT否设置
加固标准
设置超时时间180
控制点
17SSH安全连接检查
目
远程连接加密协议
加固检查
查SSH服务状态:
# service ssh status
查telnet服务状态:
# service telnet status
加固标准
关闭telnet远程连接SSH协议
控制点
18超级户登录检查
目
禁止root户远程登录配置ssh协议版
加固检查
命令cat etcsshsshd_config查配置文件
(1)检查否允许root直接登录
检查PermitRootLogin 值否no
(2)检查SSH协议版
检查Protocol值
加固标准
命令vi etcsshsshd_config编辑配置文件
(1)允许root直接登录
设置PermitRootLogin 值no
(2)修改SSH协议版
设置Protocol版2
控制点
19关闭余服务
目
禁关闭余服务
加固检查
命令who r查前init级
命令chkconfig list <服务名>查服务状态
加固标准
存余服务
控制点
20登录审计检查
目
开启登录审计功记录登录事件
加固检查
执行命令:more etcrsyslogconf
查参数authpriv值(CentOS 6版etcsyslogconf已变更rsyslogconf(版Linux系统需行确认)
加固标准
syslog开启登录审计功
控制点
21审计记录保护检查
目
审计记录进行保护
加固检查
执行:more etcsyslogconf查否设置列项:
kernwarning*errauthprivnone\t@loghost
*infomailnoneauthprivnonecronnone\t@loghost
*emerg\t@loghost
local7*\t@loghost
加固标准
配置专门日志服务器
控制点
22core dump状态检查
目
关闭core dump防止恶意攻击者利
加固检查
执行:more etcsecuritylimitsconf 检查否包含列项:
* soft core 0
* hard core 0
加固标准
关闭core dump
服务频率
服务期提供1次基线加固服务
服务范围
国控系统机动车尾气系统气预警台电子政务台OA系统
交付成果
安全基线加固报告
漏洞扫描服务
周期开展全面漏洞扫描服务漏洞扫描系统结合工方式进行安全漏洞扫描扫描范围少包括核心业务系统数库操作系统中间件物联网设备等识出入侵者非法进入网络者非法获取信息资产漏洞提醒安全理员时完善安全策略降低安全风险查时发现新安全漏洞安全风险出具详细漏洞扫描报告修复建议
服务频率
服务期半年次1年2次
服务范围
xxx局
交付成果
漏洞扫描报告
325新系统线前安全评估服务
服务容
针新信息系统进行线重调整前开展安全评估服务风险理角度运科学方法手段系统分析网络信息系统面威胁存脆弱性评估安全事件旦发生造成危害程度提出针性抵御威胁防护策整改措施
确切真实反映服务器安全现状单位授权业务系统进行评估:员访谈数中心业务系统种配置进行员访谈确认项配置措施安全策略否符合安全求确认安全理否符合求工具扫描扫描系统机否存安全漏洞渗透测试渗透测试工程师模拟黑客攻击检查系统脆弱性
配置检查等
服务频率
服务期需提供服务期提供超2新线应系统安全评估服务
服务范围
xxx局新线业务系统
交付成果
新系统线安全评估报告
326网络安全应急响应服务
服务容
提供网络安全应急响应服务发生安全事件时提供现场远程技术支持面已发生安全事件事中事取证分析提供处置解决方案建议等工作具体服务容:
1)针问题进行入侵原分析找攻击路径入侵影响抑制:通事件检测分析提供抑制手段降低入侵影响协助快速恢复业务入侵威胁清:排查攻击路径恶意文件清入侵原分析:原攻击路径分析入侵事件原等包括限容:
l a判定安全事件类型
网络流量系统IDS日志记录桌面日志中判断安全事件类型查明安全事件原确定安全事件威胁破坏严重程度查明安全事件原确定安全事件威胁破坏严重程度
l b抑制事态发展
抑制事态发展事损害降低化步中通常会受影响系统服务隔离点保持系统性非常重
l c排系统障
针发现安全事件源排潜隐患消安全威胁彻底解决安全问题
l d恢复信息系统正常操作
根问题已攻击设备事造成系统损坏做恢复性工作
网络系统短时间恢复正常网络服务
l e客户信息系统安全加固
系统中发现漏洞进行安全加固消安全隐患
l f重新评估客户信息系统安全性
重新评价客户系统安全特性确保定时间范围发生类安全事件
2)应急响应流程包含容:障诊断障修复系统清理系统防护服务完成提交完整应急事件分析报告详细说明事件原处理方式等整改方提供适解决方案安全事件发生时 15分钟做出响应立提供线技术支持法通远程支持解决问题提供现场服务8 时抵达户现场解决问题
服务频率
服务期需提供限制次数
交付成果
应急事件分析报告应解决方案
33安全运维驻场求
运维服务期提供驻场运维服务服务时间5*8现场值守运维服务值守数1
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档