目录
1.服务概述
2.流程及工具
2.1服务流程
2.2服务工具
3.服务内容
4.服务方式
5.风险规避措施
6.服务输出
1.服务概述
安全加固服务是参照风险评估、等保测评、安全检查等工作的结果,基于科学的安全思维方式、长期的安全服务经验积累、对行业的深刻理解、处理安全事件的最佳实践,为客户提供完善的安全加固方案,并在客户侧反馈完成加固后,提供二次评估服务,从而帮助客户达到修补信息系统脆弱性,提高系统安全性,满足相关政策法规的目的。
2.流程及工具
2.1服务流程
协助安全加固流程图
1.协助加固准备阶段
待客户侧风险评估、等保测评、安全检查等工作结束后,我司协助安全加固小组根据上述工作中脆弱性识别和脆弱性分析结果,提出完善可行的安全加固方案以及风险规避方案,并向客户侧提交评审申请。待客户侧确认并认可安全加固方案后,进入加固实施阶段。
2.协助加固实施阶段
安全加固实施主要是针对风险评估、等保测评、安全检查等过程中可能存在安全脆弱点的WEB应用、数据库应用以及主机应用,客户侧根据安全加固列表进行现场安全加固。
3.二次评估
安全加固实施阶段完成后,安全评估小组将进行二次风险评估,发现客户未能整改的安全漏洞或新的安全漏洞,验证安全加固的有效性,并根据评估结果,编写二次评估报告。
2.2服务工具
我司在本次服务中,将使用我司自主研发工具自动化渗透平台、远程安全评估系统、WEB应用弱点扫描器(MatriXay)、数据库弱点扫描器(DAS-DBScan)等工具辅助验证加固结果。
3.服务内容
参照评估或检查工作的结果,我司协助安全加固小组编制安全加固方案并获得客户认可,在客户侧完成加固后,提供二次评估服务,并编写二次评估报告。安全加固方案包括不限于网络加固、主机加固、网站加固等,具体说明如下。
3.1设备加固
升级最新系统路由器类网络设备一般都提供给用户升级其操作系统的接口。旧的操作系统可能存在一些安全漏洞和应用BUG,如果不升级将可能导致性能低下,或者因为遭受攻击而拒绝服务,甚至被攻击者获得其配置文件、获得其管理权限,从而进一步威胁到网络内部的安全。
3.2设置普通密码
通常路由器类设备都提供一个普通远程登录或从CONSOLE上登录,对其进行配置管理的接口。设置一个普通登录密码,是保护路由器本身安全的最基本的配置。
3.3设置超级密码
为了安全,一般路由器都提供了一个超级用户。普通用户一般只对某些资源有读的权限,而超级用户能对所有资源有读和写的权限。所以超级用户的密码必须设置复杂,并定期更换。超级密码必须加密码存储在配置中。路由器设备必须选用支持配置文件密码加密存储的设备。
3.4设置访问控制列表
当该设备CPU、内存占用很小,网络流量也不大时,可以设置10条以内的访问控制列表,一般路由器都能支持设置访问控制列表。
3.5使用安全登录
如果设备支持,使用加密的远程登录方式或其它的安全登录方式。可以使用集中的认证,可以使用一次性密码(One Time Password)认证,也可以使用SSH等方式。
3.6其它访问控制配置
通常需要对边界路由器设置访问控制列表,防止一些伪造的IP攻击包在网络中流入或流出此路由器,当所有边界路由器做了此设置,能很快定位一个网络中受到DOS攻击的包来源。
3.7关闭不必要的服务
一般网络设备还提供了一些其它的服务,方便用户进行管理或调试,例如HTTP、TFTP、FINGER等等。可以关闭这些不必要的服务,在需要使用时再打开这些服务。
3.8设置snmp
snmp是简单网络管理协议,使网管系统能远程管理此设备。因为snmp协议本身的缺陷,一般来说如果此网络设备需要很强的安全性,最好关闭snmp的管理,如果一定要使用snmp进行管理时,一定得修改缺省的snmp的Community string,不能使用public、private、以及公司名称或部门名称等相关的字符串。
3.9配置日志
如果对网络流量影响无特别要求,而对安全需求更强,可以考虑设置对网络设备的特殊事件记录日志,日志可以通过syslog记录到其它的日志服务器。
参考举例如下:
网络加固针对各类网络设备进行安全配置。以Cisco产品为例,简要说明安恒网络加固建议。
针对Cisco交换机设备,我司提供的安全加固建议举例如下:
| 加固对象 | 加固项目 | 说明 |
| Cisco Catalyst 5500/6000/ | 补丁 | 从厂家网站或者可信任站点下载系统的补丁包,不同的操作系统版本以及运行不同的服务,都可能造成需要安装的补丁包不同,所以必须选择适合本机的补丁包安装。 |
| 访问控制 | 配置access-list,设置允许登录的IP地址和登录类型; 配置防ip spoof的access-list; 配置防CISCO漏洞的拒绝服务攻击。 | |
| 帐号管理 |
