隨著我國信息化建設的不斷深入，信息安全意識淡薄、信息安全防范能力不足、信息系統(tǒng)安全建設和管理目標不明確等問題逐步凸顯，同時信息安全監(jiān)管依據與標準較為缺乏、信息安全監(jiān)管措施不到位、信息安全監(jiān)管體系也有待完善。為解決上述信息安全問題，維護國家安全、公共利益和社會穩(wěn)定，有效地提高我國信息化建設的整體水平，需建立信息安全等級保護制度。信息安全等級保護制度是國家在國民經濟和社會信息化的發(fā)展過程中，保障和促進信息化建設健康發(fā)展的一項基本制度。

為了全面貫徹落實信息安全等級保護制度，公安部會同有關部門在全國范圍內組織開展了信息系統(tǒng)安全等級保護工作。該項工作主要分為定級、備案、建設整改、等級測評和監(jiān)督檢查五個環(huán)節(jié)。其中安全建設整改工作是信息安全等級保護工作的重要組成部分。主要內容包括制定信息系統(tǒng)安全建設整改工作規(guī)劃并部署；信息系統(tǒng)安全現狀分析；確定安全策略，制定安全建設整改方案；開展信息系統(tǒng)安全管理建設整改工作；開展信息系統(tǒng)安全技術建設整改工作；開展安全自查和等級測評。公安部于2009年發(fā)布了《關于開展信息安全等級保護安全建設整改工作的指導意見》（公信安[2009]1429號），強調依據信息安全等級保護有關政策和標準，開展信息安全等級保護安全建設整改工作。通過組織開展信息安全等級保護安全管理制度建設、技術措施建設和等級測評，落實等級保護制度的各項要求，使信息系統(tǒng)安全管理水平明顯提高，安全防范能力明顯增強，安全隱患和安全事故明顯減少。

本文主要依據信息系統(tǒng)安全等級保護基本要求，結合信息安全等級保護安全技術建設整改工作內容，提出了基于“安全建設整改”的服務器安全加固方案設計、安全加固流程和安全加固方法等?；凇鞍踩ㄔO整改”的服務器安全加固工作貫穿了安全技術建設整改工作的多個方面，主要內容涉及物理安全、主機安全、應用安全和數據安全及備份恢復等。下面重點對基于“安全建設整改”的服務器安全加固可行性分析、方案設計和加固內容進行詳細的敘述。

服務器安全加固以實際需求為牽引

首先服務器安全加固是以《信息系統(tǒng)安全等級保護基本要求》為依據，以信息系統(tǒng)為最小加固單位，對信息系統(tǒng)范圍內的服務器操作系統(tǒng)、數據庫、中間件以及虛擬機集群或小機分區(qū)，以技術手段通過更改安全配置、加強審計備份、升級補丁等直接操作方式，從而達到提升服務器自身的安全防護能力的目標。

其次，通過對等保要求類、等?？刂泣c和等保要求項的仔細分析、梳理，確定信息系統(tǒng)服務器加固項目中能夠執(zhí)行的等保要求項，并將這些加固項從技術實現角度分為可以實現的加固項，部分可加固項和安全建議項。

在此基礎上，進一步結合實際安全需求，分析現有安全技術和安全策略要求，從加固實施的角度，引入了“等保要求加固子項（簡稱加固子項）”的概念。所謂“加固子項”是對 “等保要求項”的進一步細分，將每一個檢查動作和加固動作相對應，達到每一個“加固子項”可以確定為一個獨立的檢查動作，并且有一個對應的加固動作，按照等?；疽螅瑢崿F每一個加固動作。

表1中列舉了適合于進行直接加固的操作項，主要包括了物理安全、主機安全、應用安全和數據安全及備份恢復四個方面。

服務器安全加固方案要構建閉環(huán)系統(tǒng)

基于“信息安全等級保護安全建設整改”的服務器安全加固方案設計是服務器安全加固實施過程中的關鍵環(huán)節(jié)，是做好服務器安全加固工作的基礎，其中的內容主要包括安全加固工作概述、安全加固工作的流程與方法、安全加固工作的準備、安全加固工作實施、安全加固工作總結等方面。

服務器安全加固工作概述主要將加固的目的和意義進行簡要的敘述，講明服務器安全加固需要遵循的原則，對服務器安全加固的依據進行說明，并進一步明確服務器加固的工作范圍、工作組織和工作安排等方面的內容。通過工作概述的描述，對服務器安全加固的工作概況有一個全面的了解。

通過對服務器安全加固的流程與方法描述，使得安全加固主線和脈絡有較為清晰。其中服務器安全加固的流程如圖1所示，主要包括加固準備、加固實施和加固總結三個方面的內容。服務器安全加固的方法主要采用文檔清分、人員訪談、信息采集、論證確認、現場加固和驗證審核等方式進行。

加固準備工作是以《信息安全等級保護基本要求》為指導形成服務器安全加固總體方案，依據總體方案對基本要求項進行梳理、拆分和論證確認需要加固的項目形成服務器加固可行性分析報告。進一步依據可行性分析報告編制服務器安全加固實施方案，在此基礎上依據基本要求編寫服務器安全加固操作表單和腳本，并在測試環(huán)境中對加固表單進行測試。通過對被加固單位信息系統(tǒng)安全等級保護測評的結果分析與整理，梳理出服務器的安全加固項，初步確認加固范圍，經過測試確認可加固項，進一步形成被加固單位服務器加固實施方案，對加固操作表單和腳本進行修改，制定被加固單位現場實施計劃。

加固實施工作主要包括加固范圍現場確認、加固方法和內容的現場確認、加固現場實施、加固過程中的異常處置、加固結果現場確認、加固后服務器的安全監(jiān)控、加固后服務器的試運行報告，在安全監(jiān)控期結束后應對加固的效果進行驗證分析。

加固總結工作主要是對加固的結果進行驗收和確認，建立較為成熟的加固方法和流程，并對加固工作進行總結。

服務器安全加固的流程把控

通過上述對服務器安全加固的可行性分析以及對服務器安全加固的方案設計的描述，已對服務器安全加固的流程和方式有了初步了解。基于“安全建設整改”的服務器安全加固內容應與安全加固的流程相一致，具體分為三個階段，即安全加固準備階段工作內容、安全加固實施階段的工作內容和安全加固總結階段的工作內容。下面對服務器安全加固在三個階段的具體內容進行詳細敘述。

1.安全加固準備

成立加固實施團隊 在完成服務器安全加固實施工作時，實施團隊應負責完成服務器操作系統(tǒng)、數據庫和中間件等的加固任務，同時還需要信息系統(tǒng)開發(fā)、運維人員的配合。需要建立一支由加固實施人員、信息系統(tǒng)開發(fā)人員和信息系統(tǒng)運維人員共同組成的加固團隊。

加固對象清分 依據等級保護測評工作確認的范圍，確定實施加固的信息系統(tǒng)，并進一步提取出需要加固信息系統(tǒng)中的服務器信息，服務器信息主要包括操作系統(tǒng)類型及版本號、數據庫類型及版本號、中間件類型及版本號、是否采用虛擬技術、應用軟件使用服務和端口以及補丁更新情況等。

等保測評結果梳理 服務器安全加固主要是依據信息系統(tǒng)安全等級保護測評結果對服務器進行安全配置和補丁更新等操作，需要對等保測評結果進行較為深入的分析，并參照安全加固可行性分析結果梳理服務器加固的內容。

加固內容初步確認 由項目實施組對等級保護測評結果梳理中產生表單的內容進行逐項的測試，在測試中排除存在問題的加固項和加固內容，測試的內容主要包括服務器安全配置更改、補丁更新、加固操作后服務器重新啟動、加固后補丁卸載和加固異常后系統(tǒng)恢復等。

2.安全加固實施

安全加固內容現場確認 服務器安全加固現場確認工作主要是指對準備階段確定的服務器加固方法、加固內容和操作步驟，由被加固單位的服務器管理員、數據庫管理員和應用系統(tǒng)管理員共同確認可加固的內容與可實施的操作步驟。

安全加固現場實施 服務器安全加固應依據以下操作順序進行。首先對服務器操作系統(tǒng)、數據庫和中間件的補丁進行更新操作，補丁更新操作完成后重啟服務器，監(jiān)測服務器能否正常運行，如果正常運行則進入安全配置操作，如果運行出現異常則進行補丁回退等操作或啟動應急恢復流程。其次，對服務器操作系統(tǒng)、數據庫和中間件進行安全配置更新，并重啟服務器，監(jiān)測服務器能否正常運行，如果運行正常則對加固結果進行確認，如果運行出現異常則進行安全配置回退操作或啟動應急恢復流程。最后對不能實施加固的內容進行確認并提出安全建議。

安全加固結果分析 主要是對安全加固的內容進行的分析和總結，對每個服務器上安裝的操作系統(tǒng)、數據庫、中間件以及采用虛擬技術中已加固成功的項和未加固的成功項進行區(qū)分整理，進一步對照信息系統(tǒng)安全等級保護測評報告中服務器安全測評結果驗證加固的效果。

安全運行監(jiān)控 主要是對服務器安全加固后的工作進行監(jiān)控和確認。安全監(jiān)控的作用在于服務器進行加固處理后，某些隱藏的問題沒有當場暴露，而是運行一定時間后才顯露出來，影響業(yè)務系統(tǒng)的正常運行。因此加固人員需要在完成現場加固結果確認后，進行一定時間的服務器運行狀態(tài)監(jiān)控。

3.安全加固總結

安全加固效果驗證 安全加固效果驗證主要依據信息安全等級保護基本要求，對已經完成操作的加固項是否達到等級保護要求進行判定，對照被加固單位信息系統(tǒng)安全等級保護測評報告的結果，驗證原不符合項通過加固后成為符合項或部分符合項，以驗證結果為依據編寫服務器安全加固效果驗證報告。由于被加固單位的加固內容存在差異性，各單位服務器安全加固效果驗證應存在不同，安全加固效果驗證應在安全監(jiān)控期結束后進行。

安全加固工作完善 對安全加固的文檔、安全加固的方法和安全加固的內容進行修訂與完善，形成一套完整的安全加固措施。

服務器安全加固提升信息系統(tǒng)防護能力

目前服務器安全加固的方式多種多樣，主要包括服務器物理安全保護加固方式、服務器硬盤加固方式、通過第三方軟件對服務器操作系統(tǒng)和數據庫進行加固的方式、通過更改配置和補丁更新等進行直接加固的方式。

同時，加固的安全基線要求也不相同，有的是依據國家信息安全標準和制度要求，有的是依據本行業(yè)或本單位的信息安全標準和規(guī)范，有的則是針對性較強的加固內容。但從整體上看，服務器安全加固的目標是一致的，都是為提高服務器自身的安全防護能力，保護服務器的重要、核心數據安全。

服務器安全加固作為信息安全等級保護安全建設整改工作的重要組成部分，其涵蓋了較多的內容（涉及到信息安全等級保護技術要求的四個方面），并且與信息系統(tǒng)業(yè)務應用聯(lián)系緊密，對提高信息系統(tǒng)的整體安全性起到了關鍵作用，進一步提升了信息系統(tǒng)的安全防護能力，為信息安全保障工作打下了堅實的基礎。