國產(chǎn)系統(tǒng)的安全利器，高效加固工具鑄就銅墻鐵壁

當(dāng)今數(shù)字化時代，系統(tǒng)安全的重要性不言而喻。為應(yīng)對網(wǎng)絡(luò)安全風(fēng)險、滿足用戶高等級安全訴求，麒麟軟件打造了滿足用戶高等級安全訴求的 “麒麟安全加固工具”，實現(xiàn)服務(wù)器操作系統(tǒng)安全配置的規(guī)范化、標(biāo)準(zhǔn)化、制度化，為系統(tǒng)安全打造堅固“金鐘罩”！

什么是“操作系統(tǒng)安全等級”？

操作系統(tǒng)安全技術(shù)要求的五個等級，分別是用戶自主保護級、系統(tǒng)審計保護級、安全標(biāo)記保護級、結(jié)構(gòu)化保護級和訪問驗證保護級。等保四級即結(jié)構(gòu)化保護級，適用于國家重要領(lǐng)域、涉及國家安全、國計民生的核心系統(tǒng)。

安全加固依據(jù)等保四級要求，對系統(tǒng)安全服務(wù)、內(nèi)核參數(shù)、安全網(wǎng)絡(luò)、系統(tǒng)命令、系統(tǒng)審計、系統(tǒng)設(shè)置、潛在風(fēng)險、文件權(quán)限、風(fēng)險賬戶、磁盤檢查、密碼強度、賬戶鎖定、系統(tǒng)安全、系統(tǒng)維護、資源分配、身份鑒別、入侵檢測、數(shù)據(jù)安全、可信計算、國密配置、用戶權(quán)限等多方面進行安全掃描及加固，從而提升系統(tǒng)的安全防護能力。

便捷操作，安全加固輕松實現(xiàn)

銀河麒麟高級服務(wù)器操作系統(tǒng)“安全加固工具”包含了操作系統(tǒng)完整的安全配置要求和建議?？梢詭椭脩粼谕度胱钌俟ぷ髁康那闆r下，顯著提升系統(tǒng)的整體安全防護能力，滿足國內(nèi)外各種安全配置核查訴求。

通過安全中心首頁入口，進入安全加固頁面。系統(tǒng)從未加固時，點擊“開始掃描”進行系統(tǒng)安全加固掃描，動態(tài)顯示加固掃描進度，同步顯示各加固項信息及掃描結(jié)果。掃描發(fā)現(xiàn)風(fēng)險問題項將以紅色字體提示且顯示風(fēng)險問題小項數(shù)目，用戶可以通過點擊“一鍵加固”按鈕可對所有風(fēng)險問題項進行一鍵式加固處理。

加固完成后，用戶可以在安全報告中查看加固結(jié)果統(tǒng)計，支持對加固狀態(tài)進行篩選，并支持導(dǎo)出安全報告。如果需要對加固后的系統(tǒng)進行恢復(fù)，還可以點擊“一鍵還原”按鈕可對所有已加固風(fēng)險問題項進行一鍵式還原處理。

在安全加固工具中，預(yù)置了“全部項”、“三級項”兩個加固模板。另外，用戶還可以設(shè)置自定義模板，按需進行掃描加固操作。

善用命令行，自定義加固配置

為便于系統(tǒng)管理員進行高效維護管理，銀河麒麟高級服務(wù)器操作系統(tǒng)支持通過安全加固命令，提供安全服務(wù)、安全網(wǎng)絡(luò)、磁盤檢查、潛在危險、系統(tǒng)安全等15大類安全加固檢查項，同時符合操作系統(tǒng)安全三級技術(shù)要求，為用戶提供加固掃描、一鍵加固、一鍵還原和安全報告等功能。

#security-reinforce參數(shù)說明：

-h,--help 

顯示幫助信息

-s,--scan   

掃描當(dāng)前模板的所有加固項

-f,--reinforce     

掃描并加固當(dāng)前模板的所有加固項

-r,--restore

還原當(dāng)前模板的所有加固項

-t,--template     

選擇模板，參數(shù)是-l選項列出來的模板編號

-e,--export     

導(dǎo)出模板設(shè)置，參數(shù)是導(dǎo)出路徑

-i,--import     

導(dǎo)入模板設(shè)置，參數(shù)是模板設(shè)置文件全路徑

-d,--delete     

刪除模板，參數(shù)是-l選項列出來的模板編號

-l,--list     

列出當(dāng)前選擇模板和所有模板列表

-p,--report     

顯示加固報告概要

-o,--out     

導(dǎo)出加固報告明細(xì)

在命令行工具下，管理員用戶也可以通過調(diào)整配置文件進行自定義的加固配置。

首先，輸入以下命令獲取初始模板配置文件。

security-reinforce --export  /root

初始沒有自定義模板時，系統(tǒng)會在指定的目錄（如 /root）下導(dǎo)出三個基礎(chǔ)模板：

初始模板文件

麒麟安全.conf

側(cè)重于麒麟操作系統(tǒng)的特點和安全要求。適用于部署了銀河麒麟操作系統(tǒng)的服務(wù)器，特別是那些需要遵循特定行業(yè)標(biāo)準(zhǔn)或規(guī)定的環(huán)境。

安全三級.conf

專注于滿足國家信息安全等級保護第三級的標(biāo)準(zhǔn)。適用于需要遵守中國國家信息安全等級保護制度的組織和機構(gòu)，特別是需要處理敏感信息的政府部門、金融機構(gòu)和其他關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域。

default_template.conf

通用的基礎(chǔ)模板，適合于大多數(shù)場景，用戶可以根據(jù)需要進行個性化調(diào)整。通過自定義加固策略，添加或刪除加固項的操作，以適應(yīng)特定的應(yīng)用場景或安全需求。

用戶可根據(jù)需求自定義default_template.conf模板數(shù)據(jù)，從而形成符合特定環(huán)境的新模板。每個模板文件都包含了所有可用的安全加固選項，通過配置按需啟用或禁用。

default_template.conf 模板文件

在default_template.conf 模板文件的頭部，可以看到可修改的自定義參數(shù)說明。對于每項加固項，可以通過設(shè)置 ITEM_ENABLE 參數(shù)來決定是否應(yīng)用加固項（設(shè)置為 0 表示不應(yīng)用，設(shè)置為 1 表示應(yīng)用）。模板文件編輯好后，執(zhí)行以下命令行導(dǎo)入到系統(tǒng)：

security-reinforce--import  /root/default_template.conf

完成導(dǎo)入后，就可以選擇使用這個自定義模板進行安全掃描、加固，系統(tǒng)將會按照定制的安全策略進行強化。

麒麟軟件以安全可信操作系統(tǒng)技術(shù)為核心，為黨政、行業(yè)信息化及國家重大工程建設(shè)提供安全可信的操作系統(tǒng)支撐。未來，麒麟軟件將繼續(xù)打磨維護系統(tǒng)安全的產(chǎn)品技術(shù)，夯實數(shù)字安全底座，并加強與安全伙伴協(xié)作，共同完善安全漏洞檢測、報告和處置機制和標(biāo)準(zhǔn)規(guī)范等，賦能重點行業(yè)數(shù)字化轉(zhuǎn)型，為確保重要產(chǎn)業(yè)鏈供應(yīng)鏈自主創(chuàng)新提供科技支撐。