国产系统的安全利器，高效加固工具铸就铜墙铁壁

　　当今数字化时代，系统安全的重要性不言而喻。为应对网络安全风险、满足用户高等级安全诉求，麒麟软件打造了满足用户高等级安全诉求的 “麒麟安全加固工具”，实现服务器操作系统安全配置的规范化、标准化、制度化，为系统安全打造坚固“金钟罩”!

　　什么是“操作系统安全等级”？

　　操作系统安全技术要求的五个等级，分别是用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。等保四级即结构化保护级，适用于国家重要领域、涉及国家安全、国计民生的核心系统。

　　安全加固依据等保四级要求，对系统安全服务、内核参数、安全网络、系统命令、系统审计、系统设置、潜在风险、文件权限、风险账户、磁盘检查、密码强度、账户锁定、系统安全、系统维护、资源分配、身份鉴别、入侵检测、数据安全、可信计算、国密配置、用户权限等多方面进行安全扫描及加固，从而提升系统的安全防护能力。

　　便捷操作，安全加固轻松实现

　　银河麒麟服务器操作系统“安全加固工具”包含了操作系统完整的安全配置要求和建议。可以帮助用户在投入最少工作量的情况下，显著提升系统的整体安全防护能力，满足国内外各种安全配置核查诉求。

　　通过安全中心首页入口，进入安全加固页面。系统从未加固时，点击“开始扫描”进行系统安全加固扫描，动态显示加固扫描进度，同步显示各加固项信息及扫描结果。扫描发现风险问题项将以红色字体提示且显示风险问题小项数目，用户可以通过点击“一键加固”按钮可对所有风险问题项进行一键式加固处理。

　　加固完成后，用户可以在安全报告中查看加固结果统计，支持对加固状态进行筛选，并支持导出安全报告。如果需要对加固后的系统进行恢复，还可以点击“一键还原”按钮可对所有已加固风险问题项进行一键式还原处理。

　　在安全加固工具中，预置了“全部项”、“三级项”两个加固模板。另外，用户还可以设置自定义模板，按需进行扫描加固操作。

　　善用命令行，自定义加固配置

　　为便于系统管理员进行高效维护管理，银河麒麟服务器操作系统支持通过安全加固命令，提供安全服务、安全网络、磁盘检查、潜在危险、系统安全等15大类安全加固检查项，同时符合操作系统安全三级技术要求，为用户提供加固扫描、一键加固、一键还原和安全报告等功能。

　　#security-reinforce参数说明：

　　-h,--help

　　显示帮助信息

　　-s,--scan

　　扫描当前模板的所有加固项

　　-f,--reinforce

　　扫描并加固当前模板的所有加固项

　　-r,--restore

　　还原当前模板的所有加固项

　　-t,--template

　　选择模板，参数是-l选项列出来的模板编号

　　-e,--export

　　导出模板设置，参数是导出路径

　　-i,--import

　　导入模板设置，参数是模板设置文件全路径

　　-d,--delete

　　删除模板，参数是-l选项列出来的模板编号

　　-l,--list

　　列出当前选择模板和所有模板列表

　　-p,--report

　　显示加固报告概要

　　-o,--out

　　导出加固报告明细

　　在命令行工具下，管理员用户也可以通过调整配置文件进行自定义的加固配置。

　　首先，输入以下命令获取初始模板配置文件。

　　security-reinforce --export /root

　　初始没有自定义模板时，系统会在指定的目录(如 /root)下导出三个基础模板：

　　初始模板文件

　　麒麟安全.conf

　　侧重于麒麟操作系统的特点和安全要求。适用于部署了银河麒麟操作系统的服务器，特别是那些需要遵循特定行业标准或规定的环境。

　　安全三级.conf

　　专注于满足国家信息安全等级保护第三级的标准。适用于需要遵守中国国家信息安全等级保护制度的组织和机构，特别是需要处理敏感信息的政府部门、金融机构和其他关键基础设施领域。

　　default_template.conf

　　通用的基础模板，适合于大多数场景，用户可以根据需要进行个性化调整。通过自定义加固策略，添加或删除加固项的操作，以适应特定的应用场景或安全需求。

　　用户可根据需求自定义default_template.conf模板数据，从而形成符合特定环境的新模板。每个模板文件都包含了所有可用的安全加固选项，通过配置按需启用或禁用。

　　default_template.conf 模板文件

　　在default_template.conf 模板文件的头部，可以看到可修改的自定义参数说明。对于每项加固项，可以通过设置 ITEM_ENABLE 参数来决定是否应用加固项(设置为 0 表示不应用，设置为 1 表示应用)。模板文件编辑好后，执行以下命令行导入到系统：

　　security-reinforce--import /root/default_template.conf

　　完成导入后，就可以选择使用这个自定义模板进行安全扫描、加固，系统将会按照定制的安全策略进行强化。

　　麒麟软件以安全可信操作系统技术为核心，为党政、行业信息化及国家重大工程建设提供安全可信的操作系统支撑。未来，麒麟软件将继续打磨维护系统安全的产品技术，夯实数字安全底座，并加强与安全伙伴协作，共同完善安全漏洞检测、报告和处置机制和标准规范等，赋能重点行业数字化转型，为确保重要产业链供应链自主创新提供科技支撑。