电力行业服务器加固系统,系统加固

介绍系统加固的定义、背景、内容、方法、对象和注意事项。

中文名

系统加固

外文名

Security reinforcement别    称

安全加固

应用学科

信息通讯

系统加固定义

语音

安全加固服务是指是根据专业安全评估结果，制定相应的系统加固方案，针对不同目标系统，通过打补丁、修改安全配置、增加安全机制等方法，合理进行安全性加强。其主要目的是：

·消除与降低安全隐患

·周期性的评估和加固工作相结合，尽可能避免安全风险的发生

系统加固背景

语音

随着IP技术的飞速发展，一个组织的信息系统经常会面临内部和外部威胁的风险，网络安全已经成为影响信息系统的关键问题。虽然传统的防火墙等各类安全产品能提供外围的安全防护，但并不能真正彻底的消除隐藏在信息系统上的安全漏洞隐患。信息系统上的各种网络设备、操作系统、数据库和应用系统，存在大量的安全漏洞，比如安装、配置不符合安全需求，参数配置错误，使用、维护不符合安全需求，被注入木马程序，安全漏洞没有及时修补，应用服务和应用程序滥用，开放不必要的端口和服务等等。这些漏洞会成为各种信息安全问题的隐患。一旦漏洞被有意或无意地利用，就会对系统的运行造成不利影响，如信息系统被攻击或控制，重要资料被窃取，用户数据被篡改，隐私泄露乃至金钱上的损失，网站拒绝服务。面对这样的安全隐患，该如何办呢？安全加固就是一个比较好的解决方案。

系统加固内容

语音

安全加固就像是给一堵存在各种裂缝的城墙进行加固，封堵上这些裂缝，使城墙固若金汤。实施安全加固就是消除信息系统上存在的已知漏洞，提升关键服务器、核心网络设备等重点保护对象的安全等级。安全加固主要是针对网络与应用系统的加固，是在信息系统的网络层、主机层和应用层等层次上建立符合安全需求的安全状态。安全加固一般会参照特定系统加固配置标准或行业规范，根据业务系统的安全等级划分和具体要求，对相应信息系统实施不同策略的安全加固，从而保障信息系统的安全。

具体来说，安全加固主要包含以下几个环节：

系统安全评估：包括系统安全需求分析，系统安全状况评估。安全状况评估利用大量安全行业经验和漏洞扫描技术和工具，从内、外部对企业信息系统进行全面的评估，确认系统存在的安全隐患。

制订安全加固方案：根据前期的系统安全评估结果制订系统安全加固实施方案。

安全加固实施：根据制定的加固方案，对系统进行安全加固，并对加固后的系统进行全面的测试，确保加固对系统业务无影响，并达到了安全提升的目的。安全加固操作涉及的范围比较广，比如正确的安装软硬件、安装最新的操作系统和应用软件的安全补丁、操作系统和应用软件的安全配置、系统安全风险防范、系统安全风险测试、系统完整性备份、系统账户口令加固等等。在加固的过程中，如果加固失败，则根据具体情况，要么放弃加固，要么重建系统。

输出加固报告：安全加固报告是提供完成信息系统安全加固后的最终报告，记录了加固的完整过程和有关系统安全管理方面的建议或解决方案。

系统加固对象

语音

安全加固的对象主要包括：

·操作系统，包括：windows系统——Windows 2000、Windows XP、Windows 2003等；主流UNIX系统——Solaris、AIX、IRIX、HP-UX、RedHat-linux、*BSD等

·网络设备，包括：主流网络设备——CISCO、华为、中兴等

·安全设备策略，包括：主流的防火墙设备——安氏领信防火墙、NetScreen、PIX等。

·网络架构，包括：网络拓扑分析、路由配置安全性评价、网络接入等。

·数据库，包括：主流的数据库系统——MS SQL Server、Oracle。

·通用应用软件，包括：IIS、Apache等常见应用。

系统加固方法

语音

安全加固工作主要是通过人工的方式进行的，也可以借助特定的安全加固工具进行。加固操作前应该做好相应充分的风险规避措施，加固活动会有跟踪记录，以确保系统的可用性。

系统加固注意事项

语音

当然，安全加固操作是有一定风险的，这些可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致，也可能是因为加固方案的不完善或者实施过程中的误操作引起。