Win2003安全加固方案的研究

【 摘 要 】 信息系统安全加固本质上是解决信息系统安全风险评估过程中发现的信息系统存在的潜在的可预防、可控制、可规避、可转移的安全风险，依据国家的相关标准规范来进行合理的安全配置，以提高操作系统运行的安全性。从安全加固最基本的基线安全——技术管理方面来对Win2003服务器提出了安全加固方案。通过安全加固，实现了网络运营环境的相对安全。

【 关键词 】 信息系统；安全风险；Win2003；加固方案

The Study of Win2003 Safety Strengthening Scheme

Li Huan-shuang Pan Ping Luo Hui

(College of Computer Science & Information ,Guizhou University GuizhouGuiyang 550025)

【 Abstract 】 Information system security strengthening essence is to solve the information system security risk assessment process was found in the information system in the presence of potentially preventable, can be controlled, can avoid, can transfer the security risks，according to the national related standard to carry on the reasonable safety configuration, in order to improve the safety of operating system operation. From the security of the most basic Baseline Security –technical management of Win2003 server presents a safety strengthening scheme.

【 Keywords 】 information system; security risk; win2003; strengthening scheme

0 引言

随着全球信息化进程的不断推进，网络安全问题已成为信息安全领域探讨和研究的热点问题。目前，信息安全风险评估项目已经提升到一定的高度，通过评估尽早认识、发现和解决问题，防患于未然。

操作系统是一个平台，要支持各种各样的应用，用的人越多，找出漏洞的可能性越大；用的越广泛，漏洞曝光的概率就越大。黑客攻击防火墙或内部主机，一般都是先攻击操作系统。我国绝大多数的计算机安装了Win2003操作系统，Win2003操作系统也是安全加固人员最有可能遇到的操作系统。任何信息系统都存在安全风险，在针对Win2003系统安全加固的过程中，加固人员通常根据系统本身的特点确定相应的安全加固方法，使系统残余风险降低到可接受的范围内。

1 Win2003安全加固背景

通过对2011年重大安全事故回顾，信息系统安全加固方案的提出成为一项势在必行的事情。安全加固人员通过分析对Win2003安全加固的目的和意义，实施安全加固的依据和具体的安全加固流程来细化整个方案。

此加固方案的设计依据是国家相关信息安全服务器操作系统测评要求，结合信息系统安全风险评估报告所发现的潜在安全隐患（如表1所示）而设计。

信息系统安全加固的目的是对信息系统安全风险评估活动中发现的潜在风险进行安全操作，在综合考虑成本与效益的前提下，通过安全措施来控制风险，使残余风险降低到可接受的范围内。通过对Win2003安全加固可以进一步改善其所在网络环境，保证系统信息正常传输及网络设备正常运行。

2 Win2003安全加固方案

为了有效地减轻、转移、分散、规避信息系统中的潜在安全风险，安全加固方案以对最基本的技术管理的潜在风险进行安全设置为例，使之达到系统的基本安全要求，减轻系统的安全风险。

2.1 Win2003安全加固流程及步骤

图1为Win2003服务器安全加固流程图。用户对于流程的了解总是多于对其他策略和标准的了解，这是因为流程所提供的流程就是实施安全工程各个环节的操作细节。由图可清晰看出整个安全加固过程的操作环节。

根据Win2003服务器安全加固流程得出安全加固步骤，如表2所示；同时我们以贵州省某厅级单位Win2003服务器安全加固为例，来说明理论方法的可行性。

安全加固是一种战略性考虑。主要包括六个步骤，即应急响应、数据备份、杀毒与补丁、进行安全配置、再次杀毒、进行测试。应急响应是整个信息安全加固过程的准备阶段。简单对安全配置中的注册表配置的必要性进行阐述，注册表是Windows系统的核心，是一个有层次结构的庞大数据库，存储着系统本身以及所有硬件、软件和组件的信息。修改注册表可达到开启远程终端的目的，而且使用这种方法有很大的优势，无须上传任何文件，适用于Win2003系统。因此加固人员应关注对注册表的安全配置。

2.2 案例分析

根据2011年某月对贵州省某厅进行的非信息系统安全风险评估报告所发现的安全隐患，结合《GB/T 25063-2010信息安全技术服务器安全测评要求》，如下所示依次进行Win2003服务器安全加固。

1） 加固人员自带针对Win2003系统的应急响应预案。

2） 首先在贵州省某厅机房管理员以及第三监理方共同陪同下，加固人员对贵州省某厅局5台Win2003服务器进行数据备份，本地备份和异地备份。

3） 对5台Win2003服务器启用瑞星杀毒软件进行全盘杀毒，结果显示无高风险漏洞存在。

4）具体加固事项。

① 账户安全策略配置。

步骤：开始——控制面板——管理工具——本地安全策略——账户策略——密码策略

密码复杂性要求 启用

密码长度要求 8位

（此项配置完由安全管理员进行密码重新设置）

步骤：开始——控制面板——管理工具——本地安全策略——账户策略——账户锁定策略

账户锁定阈值 3次

账户锁定时间 30分钟

账户锁定计数器 30分钟

② 本地策略。

步骤：开始——控制面板——管理工具——本地安全策略——本地策略——审核策略

审核策略更改 成功、失败

审核登录事件 成功、失败

审核对象访问 失败

步骤：开始——控制面板——管理工具——本地安全策略——本地策略——安全选项

关机：清理内存页面文件 启用

③ 注册表安全配置。

a） 抑制Dr. Watson Crash

HKEY_LOCAL_MACHINE\Software\Microsoft\Dr Watson\Create Crash Dump (REG_DWORD) 0

b） 用星号掩藏任何的口令输入

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Network\HideSharePwds (REG_DWORD) 1

c） 源路由欺骗保护

HKEY_LOCAL_MACHINE\System\CurrentControSet\Services\Tcpip\Parameters\DisableIPSourceRouting (REG_DWORD) 2

d） 防止SYN Flood攻击

HKEY_LOCAL_MACHINE\System\CurrentControSet\Services\Tcpip\Parameters\SynAttackProtect (REG_DWORD) 2

e） 防止碎片包攻击

HKEY_LOCAL_MACHINE\System\CurrentControSet\Services\Tcpip\Parameters\EnablePMTUDiscovery (REG_DWORD) 1

f） SYN攻击保护-管理TCP半开sockets的最大数目

HKEY_LOCAL_MACHINE\System\CurrentControSet\Services\Tcpip\Parameters\TcpMaxHalfOpen (REG_DWORD)100或500 1F4

④ 关闭不必要的服务。

步骤：开始——控制面板——管理工具——服务

Alerter 禁用

Computer Browser 禁用

Internet Connection Sharing 禁用

Remote Registry Service 禁用

Telnet 禁用

⑤ 对实施安全加固的服务器进行再次杀毒，无异常发生。

⑥ 通过重启服务器对残余风险进行评估，无异常发生。

3 结论

信息系统安全风险评估是一项不断更新的动态的活动，随着科技的进步和各类软件的更新，攻击人员技术水平的提高，对Win2003安全加固的工作也要持续不断的改进。为防止重大安全事故的发生，建议定期对网络环境进行人工检测和软件扫描，加强对Win2003安全加固方案的改善，确保网络运营环境的安全。

参考文献

[1] 武春岭,李贺华.信息安全产品配置与应用[M].北京：电子工业出版社，2010；118-119.

[2] 范红.信息安全风险评估规范国家标准理解与实施[M].北京：中国标准出版社，2008；1-2..

[3] Yusuf Bhaiji，CCIE#work Security Technologies and Solutions [M].北京：人民邮电出版社，2011；6-8.

[4] 杨永川,顾益军,张培晶.计算机取证[M].北京：高等教育出版社,2008:191-195.

[5] 肖遥.网络渗透攻击与安防修炼[M].北京：电子工业出版社，2009；438.

基金项目：

教育部信息安全类教育教学改革项目（NO：JWZ201011）。

作者简介：

李换双（1986-），女，硕士研究生；主要研究方向：信息安全。

潘平（1962-），男，副教授；主要研究方向：信息安全、信息处理。

罗辉（1989-），男，硕士研究生；主要研究方向：信息安全、信息处理。