什么是“操作系统安全等级”?
操作系统安全技术要求的五个等级,分别是用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。等保四级即结构化保护级,适用于国家重要领域、涉及国家安全、国计民生的核心系统。
安全加固依据等保四级要求,对系统安全服务、内核参数、安全网络、系统命令、系统审计、系统设置、潜在风险、文件权限、风险账户、磁盘检查、密码强度、账户锁定、系统安全、系统维护、资源分配、身份鉴别、入侵检测、数据安全、可信计算、国密配置、用户权限等多方面进行安全扫描及加固,从而提升系统的安全防护能力。
便捷操作,安全加固轻松实现
银河麒麟高级服务器操作系统“安全加固工具”包含了操作系统完整的安全配置要求和建议。可以帮助用户在投入最少工作量的情况下,显著提升系统的整体安全防护能力,满足国内外各种安全配置核查诉求。
通过安全中心首页入口,进入安全加固页面。系统从未加固时,点击“开始扫描”进行系统安全加固扫描,动态显示加固扫描进度,同步显示各加固项信息及扫描结果。扫描发现风险问题项将以红色字体提示且显示风险问题小项数目,用户可以通过点击“一键加固”按钮可对所有风险问题项进行一键式加固处理。
加固完成后,用户可以在安全报告中查看加固结果统计,支持对加固状态进行筛选,并支持导出安全报告。如果需要对加固后的系统进行恢复,还可以点击“一键还原”按钮可对所有已加固风险问题项进行一键式还原处理。
在安全加固工具中,预置了“全部项”、“三级项”两个加固模板。另外,用户还可以设置自定义模板,按需进行扫描加固操作。
善用命令行,自定义加固配置
为便于系统管理员进行高效维护管理,银河麒麟高级服务器操作系统支持通过安全加固命令,提供安全服务、安全网络、磁盘检查、潜在危险、系统安全等15大类安全加固检查项,同时符合操作系统安全三级技术要求,为用户提供加固扫描、一键加固、一键还原和安全报告等功能。
#security-reinforce参数说明:
-h,--help
显示帮助信息
-s,--scan
扫描当前模板的所有加固项
-f,--reinforce
扫描并加固当前模板的所有加固项
-r,--restore
还原当前模板的所有加固项
-t,--template
选择模板,参数是-l选项列出来的模板编号
-e,--export
导出模板设置,参数是导出路径
-i,--import
导入模板设置,参数是模板设置文件全路径
-d,--delete
删除模板,参数是-l选项列出来的模板编号
-l,--list
列出当前选择模板和所有模板列表
-p,--report
显示加固报告概要
-o,--out
导出加固报告明细
在命令行工具下,管理员用户也可以通过调整配置文件进行自定义的加固配置。
首先,输入以下命令获取初始模板配置文件。
security-reinforce --export /root
初始没有自定义模板时,系统会在指定的目录(如 /root)下导出三个基础模板:
初始模板文件
麒麟安全.conf
侧重于麒麟操作系统的特点和安全要求。适用于部署了银河麒麟操作系统的服务器,特别是那些需要遵循特定行业标准或规定的环境。
安全三级.conf
专注于满足国家信息安全等级保护第三级的标准。适用于需要遵守中国国家信息安全等级保护制度的组织和机构,特别是需要处理敏感信息的政府部门、金融机构和其他关键基础设施领域。
default_template.conf
通用的基础模板,适合于大多数场景,用户可以根据需要进行个性化调整。通过自定义加固策略,添加或删除加固项的操作,以适应特定的应用场景或安全需求。
用户可根据需求自定义default_template.conf模板数据,从而形成符合特定环境的新模板。每个模板文件都包含了所有可用的安全加固选项,通过配置按需启用或禁用。
default_template.conf 模板文件
在default_template.conf 模板文件的头部,可以看到可修改的自定义参数说明。对于每项加固项,可以通过设置 ITEM_ENABLE 参数来决定是否应用加固项(设置为 0 表示不应用,设置为 1 表示应用)。模板文件编辑好后,执行以下命令行导入到系统:
security-reinforce--import /root/default_template.conf
完成导入后,就可以选择使用这个自定义模板进行安全扫描、加固,系统将会按照定制的安全策略进行强化。
麒麟软件以安全可信操作系统技术为核心,为党政、行业信息化及国家重大工程建设提供安全可信的操作系统支撑。未来,麒麟软件将继续打磨维护系统安全的产品技术,夯实数字安全底座,并加强与安全伙伴协作,共同完善安全漏洞检测、报告和处置机制和标准规范等,赋能重点行业数字化转型,为确保重要产业链供应链自主创新提供科技支撑。