信息系统安全加固描述.docx

信息系统安全加固描述
一．安全加固概述
网络设备与操作系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务，将在客户信息系统的网络层、主机层等层次建立符合客户安全需求的安全状态，并以此作为保证客户信息系统安全的起点。
网络设备与操作系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作：
●  网络设备与操作系统的安全配置；
●  系统安全风险防范；
●  提供系统使用和维护建议；
●  安装最新安全补丁（根据风险决定是否打补丁）；
上述工作的结果决定了网络设备与操作系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说，则可以归纳为：
（1）加固目标也就是确定系统在做过加固和优化后，达到的安全级别，通常不同环境下的系统对安全级别的要求不同，由此采用的加固方案也不同。
（2）明确系统运行状况的内容包括:
●  系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。
●  系统上运行的应用系统及其正常所必需的服务。
●  我们是从网络扫描及人工评估里来收集系统的运行状况的。
（3）明确加固风险：网络设备与操作系统加固是有一定风险的，一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致，也有因为加固方案的代价分析不准确，误操作引起。因此在加固前做好系统备份是非常重要的。
二．加固和优化流程概述
网络设备与操作系统加固和优化的流程主要由以下四个环节构成：
1. 状态调查
对系统的状态调查的过程主要是导入以下服务的结果：
●  系统安全需求分析
●  系统安全策略制订
●  系统安全风险评估(网络扫描和人工评估)
对于新建的系统而言，主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后，应确定被加固系统的安全级别，即确定被加固系统所能达到的安全程度。同时，也必须在分析上述服务结果的基础上确定对网络与应用系统加固和优化的代价。
2. 制订加固方案
制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的内容、步骤。
路由器作为网络边界最重要的设备，也是进入内网的第一道防线。边界路由器的安全缺陷来源于操作系统，路由协议、硬件、配置。路由器上运行的操作系统通常存在安全隐患，主要表现为远程溢出漏洞和默认开放的服务。除了及时下载补丁修复漏洞外，路由器操作系统默认开放的许多服务通常存在着安全风险，加固的方法是根据最小特权原则关闭不需要的服务，同时对用户和进程赋予完成任务所需的最小权限。一些路由协议，如RIP，对收到的路由信息不进行任何校验和认证，由此能造成网络拓扑信息泄露或因收到恶意路由而导致网络瘫痪。对此需要添加认证，确保通信对象是可信的。CDP协议(Cisco Discovery Protocal)会造成路由器操作系统版本等信息的泄露，一般应予以关闭。路由器硬件可能因发生故障或受到恶意攻击而停机，为此需要进行备份。
加固边界路由器最重要的方法是进行安全配置，建立合适的访问控制表(ACL)。ACL(Access Control List)规定哪些IP地址和协议可以通过边界路由器，而哪些被阻止，由此确保流量安全进出网络。定制访问