安全无死角 国产操作系统新守护:全方位加固工具解析

当今数字化时代,系统安全的重要性不言而喻。为应对网络安全风险、满足用户高等级安全诉求,麒麟软件打造了满足用户高等级安全诉求的 “麒麟安全加固工具”,实现服务器操作系统安全配置的规范化、标准化、制度化,为系统安全打造坚固“金钟罩”!

什么是“操作系统安全等级

操作系统安全技术要求的五个等级,分别是用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。等保四级即结构化保护级,适用于国家重要领域、涉及国家安全、国计民生的核心系统。

安全加固依据等保四级要求,对系统安全服务、内核参数、安全网络、系统命令、系统审计、系统设置、潜在风险、文件权限、风险账户、磁盘检查、密码强度、账户锁定、系统安全、系统维护、资源分配、身份鉴别、入侵检测、数据安全、可信计算、国密配置、用户权限等多方面进行安全扫描及加固,从而提升系统的安全防护能力。

便捷操作,安全加固轻松实现

银河麒麟高级服务器操作系统“安全加固工具”包含了操作系统完整的安全配置要求和建议。可以帮助用户在投入最少工作量的情况下,显著提升系统的整体安全防护能力,满足国内外各种安全配置核查诉求。

[MD:Title]

通过安全中心首页入口,进入安全加固页面。系统从未加固时,点击“开始扫描”进行系统安全加固扫描,动态显示加固扫描进度,同步显示各加固项信息及扫描结果。扫描发现风险问题项将以红色字体提示且显示风险问题小项数目,用户可以通过点击“一键加固”按钮可对所有风险问题项进行一键式加固处理。

[MD:Title]

加固完成后,用户可以在安全报告中查看加固结果统计,支持对加固状态进行筛选,并支持导出安全报告。如果需要对加固后的系统进行恢复,还可以点击“一键还原”按钮可对所有已加固风险问题项进行一键式还原处理。

[MD:Title]

在安全加固工具中,预置了“全部项”、“三级项”两个加固模板。另外,用户还可以设置自定义模板,按需进行扫描加固操作。

[MD:Title]

[MD:Title]

善用命令行,自定义加固配置

为便于系统管理员进行高效维护管理,银河麒麟高级服务器操作系统支持通过安全加固命令,提供安全服务、安全网络、磁盘检查、潜在危险、系统安全等15大类安全加固检查项,同时符合操作系统安全三级技术要求,为用户提供加固扫描、一键加固、一键还原和安全报告等功能。

[MD:Title]

#security-reinforce参数说明:

-h,--help 

显示帮助信息

-s,--scan   

扫描当前模板的所有加固项

-f,--reinforce     

扫描并加固当前模板的所有加固项

-r,--restore

还原当前模板的所有加固项

-t,--template     

选择模板,参数是-l选项列出来的模板编号

-e,--export     

导出模板设置,参数是导出路径

-i,--import     

导入模板设置,参数是模板设置文件全路径

-d,--delete     

删除模板,参数是-l选项列出来的模板编号

-l,--list     

列出当前选择模板和所有模板列表

-p,--report     

显示加固报告概要

-o,--out     

导出加固报告明细

在命令行工具下,管理员用户也可以通过调整配置文件进行自定义的加固配置。

首先,输入以下命令获取初始模板配置文件。

security-reinforce --export  /root

初始没有自定义模板时,系统会在指定的目录(如 /root)下导出三个基础模板:

[MD:Title]

初始模板文件

麒麟安全.conf

侧重于麒麟操作系统的特点和安全要求。适用于部署了银河麒麟操作系统的服务器,特别是那些需要遵循特定行业标准或规定的环境。

安全三级.conf

专注于满足国家信息安全等级保护第三级的标准。适用于需要遵守中国国家信息安全等级保护制度的组织和机构,特别是需要处理敏感信息的政府部门、金融机构和其他关键基础设施领域。

default_template.conf

通用的基础模板,适合于大多数场景,用户可以根据需要进行个性化调整。通过自定义加固策略,添加或删除加固项的操作,以适应特定的应用场景或安全需求。

用户可根据需求自定义default_template.conf模板数据,从而形成符合特定环境的新模板。每个模板文件都包含了所有可用的安全加固选项,通过配置按需启用或禁用。

[MD:Title]

default_template.conf 模板文件

在default_template.conf 模板文件的头部,可以看到可修改的自定义参数说明。对于每项加固项,可以通过设置 ITEM_ENABLE 参数来决定是否应用加固项(设置为 0 表示不应用,设置为 1 表示应用)。模板文件编辑好后,执行以下命令行导入到系统:

security-reinforce--import  /root/default_template.conf

完成导入后,就可以选择使用这个自定义模板进行安全扫描、加固,系统将会按照定制的安全策略进行强化。

麒麟软件以安全可信操作系统技术为核心,为党政、行业信息化及国家重大工程建设提供安全可信的操作系统支撑。未来,麒麟软件将继续打磨维护系统安全的产品技术,夯实数字安全底座,并加强与安全伙伴协作,共同完善安全漏洞检测、报告和处置机制和标准规范等,赋能重点行业数字化转型,为确保重要产业链供应链自主创新提供科技支撑。