Win2003 & 2008操作系统安全配置要求
2.1. 帐户口令安全
帐户分配:应为不同用户分配不同的帐户,不允许不同用户间共享同一帐户。
帐户锁定:应删除或锁定过期帐户、无用帐户。
用户访问权限指派:应只允许指定授权帐户对主机进行远程访问。
帐户权限最小化:应根据实际需要为各个帐户分配最小权限。
默认帐户管理:应对Administrator帐户重命名,并禁用Guest(来宾)帐户。
口令长度及复杂度:应要求操作系统帐户口令长度至少为8位,且应为数字、字母和特殊符号中至少2类的组合。
口令最长使用期限:应设置口令的最长使用期限小于90天。
口令历史有效次数:应配置操作系统用户不能重复使用最近5 次(含5 次)已使用过的口令。
口令锁定策略:应配置当用户连续认证失败次数为5次,锁定该帐户30分钟。
2.2. 服务及授权安全
服务开启最小化:应关闭不必要的服务。
SNMP服务接受团体名称设置:应设置SNMP接受团体名称不为public或弱字符串。
系统时间同步:应确保系统时间与NTP服务器同步。
DNS服务指向:应配置系统DNS指向企业内部DNS服务器。
2.3. 补丁安全
系统版本:应确保操作系统版本更新至最新。
补丁更新:应在确保业务不受影响的情况下及时更新操作系统补丁。
2.4. 日志审计
日志审核策略设置:应合理配置系统日志审核策略。
日志存储规则设置:应设置日志存储规则,保证足够的日志存储空间。
日志存储路径:应更改日志默认存放路径。
日志定期备份:应定期对系统日志进行备份。
2.5. 系统防火墙:应启用系统自带防火墙,并根据业务需要限定允许通讯的应用程序或端口。
2.6. 防病毒软件:应安装由总部统一部署的防病毒软件,并及时更新。
2.7. 关闭自动播放功能:应关闭Windows 自动播放功能。
2.8. 共享文件夹
删除本地默认共享:应关闭Windows本地默认共享。
共享文件权限限制:应设置共享文件夹的访问权限,仅允许授权的帐户共享此文件夹。
2.9. 登录通信安全
禁止远程访问注册表:应禁止远程访问注册表路径和子路径。
登录超时时间设置:应设置远程登录帐户的登录超时时间为30 分钟。
限制匿名登录:应禁用匿名访问命名管道和共享。
Red Hat Linux 5 & 6、Solaris 9 & 10、HP-UNIX 11操作系统安全配置要求
2.1. 帐户口令安全
帐户共用:应为不同用户分配不同系统帐户,不允许不同用户间共享同一系统帐户。
帐户锁定:应删除或锁定过期帐户或无用帐户。
超级管理员远程登录限制:应限制root帐户远程登录。
帐户权限最小化:应根据实际需要为各个帐户设置最小权限。
口令长度及复杂度:应要求操作系统帐户口令长度至少为8位,且应为数字、字母和特殊符号中至少2类的组合。
口令最长使用期限:应设置口令的最长生存周期小于等于90天。
口令历史有次数:应配置操作系统用户不能重复使用最近5次(含5次)内已使用的口令。
口令锁定策略:应配置用户当连续认证失败次数超过5次(不含5次),锁定该帐户30分钟。(Solaris 9 & 10、Red Hat Linux 5 & 6、AIX 5)
应配置当用户连续认证失败次数超过5次(不含5 次),锁定该帐户。(UNIX 11)2.2. 服务及授权安全
重要文件目录权限:应根据用户的业务需要,配置文件及目录所需的最小权限。
应对文件和目录进行权限设置,合理设置重要目录和文件的权限(AIX 5)用户缺省访问权限:应配置用户缺省访问权限,屏蔽掉新建文件和目录不该有的访问允许权限。(UNIX 11、Red Hat Linux 5 & 6 、AIX 5无屏蔽……权限)
服务开启最小化:应关闭不必要的服务。
系统时间同步:应确保系统时间与NTP服务器同步。
DNS服务器指定:应配置系统DNS指向企业内部DNS服务器。
2.3. 补丁安全:应在确保业务不受影响的情况下及时更新操作系统补丁。
2.4. 日志审计
日志审计功能设置:应配置日志审计功能。
日志权限设置:应合理配置日志文件的权限。(Solaris 9 & 10、Red Hat Linux 5 & 6)应配置帐户对日志文件读取、修改和删除等操作权限进行限制。(UNIX 11、AIX 5)日志定期备份:应定期对系统日志进行备份。
网络日志服务器设置(可选):应配置统一的网络日志服务器。
2.5. 防止堆栈溢出设置:应设置防止堆栈缓冲溢出。
2.6. 登录通信安全
远程管理加密协议:应配置使用SSH等加密协议进行远程管理,禁止使用Telnet等明文传输协议。
登录超时时间设置:应设置登录帐户的登录超时为30 分钟。
SQL Server 2005 & 2008数据库安全配置要求
2.1. 帐户口令安全
帐户共用:应为不同用户分配不同的数据库帐户,不允许多个用户共用同一个数据库帐户。
帐户锁定:应删除或禁用无关帐户。
禁止管理员帐户启动SQL Server服务:应禁止使用管理员帐户启动SQL server服务。
帐户策略:应在SQL Server帐户策略中启用操作系统帐户策略,即继承操作系统帐户策略。
2.2. 权限最小化:应根据用户的业务需要,配置其数据库所需的最小权限。
2.3. 日志审计
登录审核:配置登录审核,记录用户登录操作。
C2审核跟踪:启用C2 审核跟踪。
2.4. 禁用不必要的存储过程:应禁用不必要的存储过程。
2.5. 补丁安全:应在确保业务不受影响的情况下及时安装更新操作系统和SQL Server补丁。
2.6. 访问IP限制:应只允许信任的IP地址通过监听器访问数据库。配置防火墙限制,只允许与指定的IP地址建立1433的通讯(从更为安全的角度考虑,可将1433端口改为其他的端口)。
2.7. 连接数设置:应根据服务器性能和业务需求,设置最大并发连接数。
2.8. 数据库备份:应每周对数据库进行一次完整备份。
Oracle 9i & 10g & 11g数据安全配置要求
2.1. 帐户口令安全
禁止帐户共用:应为不同用户分配不同的数据库帐户,不允许多个用户共用同一数据库帐户。
帐户锁定:应锁定或删除无关帐户。
限制DBA组帐户:DBA组仅添加Oracle帐户。
口令长度及复杂度:应要求数据库系统口令长度至少为8位,且应为数字、字母和特殊符号中至少2类的组合。
口令过期警告天数:应将口令过期警告天数设置为不少于7天(提前7天通知更改口令)。
口令最长使用天数:应将口令最长生存期不长于90天。
口令历史有效次数:应配置数据库帐户不能重复使用最近5 次(含5 次)内已使用的口令。
口令锁定策略:对于采用静态口令认证的系统,应配置当用户连续认证失败次数超过5次(不含5次),锁定该帐户。
帐户锁定时间:当用户连续认证失败次数超过5次(不含5次),锁定该帐户30分钟。
系统帐户口令安全:应修改数据库系统帐户的默认口令。
2.2. 服务及授权
权限最小化:应根据用户的业务需要,配置数据库帐户所需的最小权限。
限制特权帐户远程登录:应限制特权帐户远程登录。
2.3. 日志审计:应启用数据库审计功能。
2.4. 补丁安全:应在确保业务不受影响的情况下及时更新数据库补丁。
2.5. 访问IP限制:应只允许信任的IP地址通过监听器访问数据库。
2.6. 连接数设置:应根据服务器性能和业务需求,设置最大并发连接数。
2.7. 数据库备份:应定期对数据库进行备份。
IIS 6 & 7安全配置要求
2.0. 帐户安全:应根据实际情况,删除或锁定IIS自动生成的无用帐户。(IIS 6)
2.1. 文件系统及访问权限:
更改站点路径:应更改站点路径为非系统分区。
站点目录权限:应确保站点目录的所有权限不分配给Everyone。
主目录权限配置:应合理设置站点“主目录”的权限。(IIS 6)
禁止目录浏览:应禁止浏览站点目录。(IIS 7)
站点目录的功能权限:应禁止站点目录的执行权限。(IIS 7)
站点上传目录的功能权限:应禁止站点上传目录的执行和脚本权限。
2.2. 最小化服务:
匿名访问权限:应确保每个站点的匿名访问帐户是相互独立的,且只存在于Guests组。
IIS服务组件:应删除IIS应用服务中不需要的组件服务。
Web服务扩展:应禁用站点不需要的Web服务扩展。(IIS 6)
删除不必要的脚本映射:应删除不必要的脚本映射。
2.3. 日志审计:
日志启用:应启用日志记录功能。(IIS 6)
日志存储:应更改日志默认的存放路径。
2.4. 连接数限制:应合理设置最大并发连接数和最大带宽值。
连接数限制:应合理设置最大连接数和最大带宽值。(IIS 6)
2.5. 自定义错误页面:应自定义错误页面。
Tomcat 6 & 7安全配置要求
2.1. 帐户口令安全
帐户共用:应为不同的用户分配不同的Tomcat帐户,不允许不同用户间共享Tomcat 帐户。
帐户锁定:应删除过期、无用帐户。
口令复杂度:应要求Tomcat管理帐户口令长度至少8 位,且为数字、字母和特殊符号中至少2 类的组合。
2.2. 权限最小化:应仅允许超级管理员具有远程管理权限。
2.3. 日志审计:应为服务配置日志功能,对用户登录事件进行记录,记录内容包括用户登录使用的帐户,登录是否成功,登录时间,以及远程登录时使用的IP地址等信息。
2.4. 远程访问加密:应对Tomcat的远程访问进行加密。
2.5. 更改默认管理端口:应更改Tomcat服务默认管理端口。
2.6. 自定义错误页面:应重定向Tomcat的错误页面。
2.7. 目录浏览:应禁止站点目录浏览。
2.8. 连接数设置:应根据服务器性能和业务需求,设置最大连接数。
Apache2.2 & 2.4安全配置要求
2.1帐号安全:应以非系统帐号运行Apache。
2.2. 文件与目录安全
Apache主目录权限:应严格控制Apache主目录的访问权限,非系统特权用户不能修改该目录下的文件。
文件权限:应严格限制配置文件和日志文件的访问权限。
禁止访问外部文件:应禁止Apache访问Web目录之外的任何文件。
删除缺省安装无用文件:应删除缺省安装的无用文件。
禁止目录浏览:应禁止站点目录浏览。
2.3. 连接与通信安全
连接数设置:应合理设置最大并发连接数。
禁用危险HTTP方法:应禁用PUT、DELETE等危险的HTTP方法。
2.4. 信息泄露防范
隐藏Apache版本号:应隐藏Apache版本号信息。
自定义错误页面内容:应自定义错误页面。
2.5. 日志审计:应合理配置审计策略。
2.6. 补丁更新:应及时更新补丁。
2.7. 其他
禁用CG:应禁用CGI程序。
关闭TRACE:应关闭TRACE方法。
WebLogic 8 & 9 & 10安全配置要求
2.1. 帐户口令安全
帐户共用:应为不同的用户分配不同的Weblogic帐户,不允许多个用户共用同一个帐户。
帐户清理:应删除过期、无用帐户。
禁止以特权身份运行:应禁止以特权用户身份运行WebLogic。
口令长度:应设置Weblogic帐户口令长度至少为8位。
帐户封锁:应配置当帐户连续认证失败次数超过5次(不含 5 次),锁定该帐户30分钟。
2.2. 日志审计
日志启用:应启用日志功能。
审计策略:应合理配置审计策略。
2.3. Keystore和SSL设置:应合理设置Keystore 和SSL。
2.4. 运行模式:应更改运行模式为“Production Mode”。
2.5. Sender Server Header:应禁用Send Server header。
2.6. 删除Sample程序:应删除sample 程序。
2.7. 自定义错误页面:应自定义错误页面。
2.8. 超时时间策略:应根据具体应用,合理设置session超时时间。
2.9. 连接数设置:应合理设置最大连接数。
2.10.主机名认证:应开启主机名认证。
Web应用安全配置要求
2.1. 帐号口令安全
身份认证:应对应用系统用户登录进行身份认证。
帐号管理:应禁用或删除应用系统默认、无用或测试帐号。
帐号锁定策略:应设置帐户登录失败锁定策略。
口令策略:应要求应用系统中管理帐户的口令长度至少为8位,且为数字、字母和特殊符号中至少2类的组合。
定期更换口令策略:应设置口令定期更换策略。
2.2. 数据安全
敏感信息存储:应对应用系统中的敏感信息采用加密形式存储。
敏感信息传输:应对应用系统的敏感信息采用加密方式传输。
数据备份:应定期对应用系统程序及数据库进行备份。
2.3. 资源控制
权限分离:应对应用系统管理权限进行分离。
登录会话超时策略:应配置用户登录超时策略。
最大并发连接数限制:应设置应用系统最大并发连接数策略。
多重并发会话数限制:应限制单用户的多重并发会话数。
2.4. 日志审计:应对系统用户的所有操作进行日志审计。
2.5. 代码质量
跨站脚本攻击:检查系统是否存在跨站脚本攻击漏洞。
SQL注入攻击:检查系统是否存在SQL注入攻击漏洞。
路径遍历攻击:检查系统是否存在路径遍历攻击漏洞。
上传后门脚本:应对上传页面格式进行限制。
输入有效性:应对交互式页面上提交数据的有效性进行验证。
2.6. 第三方软件安全:应用系统使用的第三方软件的安全性检查。
Cisco、H3C设备安全配置要求
2.1. 帐号口令安全
帐户身份认证:应对登录帐户进行身份认证。
特权口令安全:应对帐号口令加密存储。该登录口令要求长度至少为8位, 应为字母、
数字、特殊符号中至少2类的组合。
Console模式口令安全:应为Console口模式设置登录口令,该登录口令要以密文存储,要求长度至少为8位, 应为字母、数字、特殊符号中至少2类的组合。
帐户登录地址限制:应对帐户登录地址进行限制。
登录会话超时:应对登录会话超时自动退出。
2.2. 安全配置
通讯加密:应采取必要措施防止帐户信息在网络传输过程中被窃听。
禁用CDP协议:应禁用设备上的CDP协议。(Cisco)
关闭缺省服务:应关闭缺省状态下开启的高危服务。
修改默认Banner login信息:应修改默认banner login信息。
修改SNMP服务:应修改SNMP服务,该字符串口令要求长度至少为8位, 应为字母、数字、特殊符号中至少2类的组合。
指定DNS服务器IP地址:应指定DNS服务器IP地址。
OSPF路由协议加密:应对OSPF路由协议进行加密。
禁止AUX端口:应禁止AUX端口。
NTP配置:应确保设备时间与内网NTP服务器同步。
2.3. 日志审计:应配置设备日志收集策略。
Apache系统安全配置基线
Apache安全配置基线 目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 第2章账号管理、认证授权 (1) 2.1账号 ....................................................................................................... 错误!未定义书签。 2.1.1用户帐号设置............................................................................... 错误!未定义书签。 2.1.2删除或锁定无效账号 ................................................................... 错误!未定义书签。 2.2认证 (1) 2.2.1密码复杂度................................................................................... 错误!未定义书签。 2.2.2权限最小化 (1) 第3章日志审计 (2) 3.1日志审核 (2) 第4章其他配置操作 (3) 4.1.1登陆超时退出............................................................................... 错误!未定义书签。 4.1.2自定义错误信息 (3) 4.1.3限制访问IP .................................................................................. 错误!未定义书签。 4.1.4禁止目录遍历............................................................................... 错误!未定义书签。 第5章持续改进 (5) ii
XXXX农商银行 信息系统安全配置基线规范 1范围 本规范适用于XXXX农商银行所有信息系统相关主流支撑平台设备。 2规范性引用文件 下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本规范。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本规范。 ——中华人民共和国计算机信息系统安全保护条例 ——中华人民共和国国家安全法 ——中华人民共和国保守国家秘密法 ——计算机信息系统国际联网保密管理规定 ——中华人民共和国计算机信息网络国际联网管理暂行规定 ——ISO27001标准/ISO27002指南 ——公通字[2007]43号信息安全等级保护管理办法 ——GB/T 21028-2007 信息安全技术服务器安全技术要求 ——GB/T 20269-2006 信息安全技术信息系统安全管理要求 ——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 ——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南 3术语和定义 安全基线:指针对IT设备的安全特性,选择合适的安全控制措施,定义不同IT设备的最低安全配置要求,则该最低安全配置要求就称为安全基线。 管理信息大区:发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统,原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各企业不同安全要求划分安全区。根据应用系统实际情况,在满足总体安全要求的前提下,可以简化安全区的设置,但是应当避免通过广域网形成不同安全区的纵向交叉连接。 4总则 4.1指导思想 围绕公司打造经营型、服务型、一体化、现代化的国内领先、国际著名企业的战略总体目标,为切实践行南网方略,保障信息化建设,提高信息安全防护能力,通过规范IT主流设备安全基线,建立公司管理信息大区IT主流设备安全防护的最低标准,实现公司IT主流设备整体防护的技术措施标准化、规范化、指标化。 4.2目标
TongWeb服务器安全配置基线 TongWeb服务器 安全配置基线 中国移动通信有限公司管理信息系统部 2012年 04月
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 1.4实施 (1) 1.5例外条款 (1) 第2章账号管理、认证授权 (2) 2.1帐号 (2) 2.1.1应用帐号分配 (2) 2.1.2用户口令设置 (3) 2.1.3用户帐号删除 (3) 2.2认证授权 (4) 2.2.1控制台安全 (4) 第3章日志配置操作 (7) 3.1日志配置 (7) 3.1.1日志与记录 (7) 第4章备份容错 (9) 4.1备份容错 (9) 第5章IP协议安全配置 (10) 5.1IP通信安全协议 (10) 第6章设备其他配置操作 (12) 6.1安全管理 (12) 6.1.1禁止应用程序可显 (12) 6.1.2端口设置* (13) 6.1.3错误页面处理 (14) 第7章评审与修订 (16)
第1章概述 1.1 目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的TongWeb服务器应当遵循的安全性设置标准,本文档旨在指导系统管理人员进行TongWeb服务器的安全配置。 1.2 适用范围 本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的TongWeb 服务器系统。 1.3 适用版本 5.x版本的TongWeb服务器。 1.4 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。 本标准发布之日起生效。 1.5 例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
Win2003 & 2008操作系统安全配置要求 2.1. 帐户口令安全 帐户分配:应为不同用户分配不同的帐户,不允许不同用户间共享同一帐户。 帐户锁定:应删除或锁定过期帐户、无用帐户。 用户访问权限指派:应只允许指定授权帐户对主机进行远程访问。 帐户权限最小化:应根据实际需要为各个帐户分配最小权限。 默认帐户管理:应对Administrator帐户重命名,并禁用Guest(来宾)帐户。 口令长度及复杂度:应要求操作系统帐户口令长度至少为8位,且应为数字、字母和特殊符号中至少2类的组合。 口令最长使用期限:应设置口令的最长使用期限小于90天。 口令历史有效次数:应配置操作系统用户不能重复使用最近 5 次(含 5 次)已使用过的口令。 口令锁定策略:应配置当用户连续认证失败次数为 5次,锁定该帐户30分钟。 2.2. 服务及授权安全 服务开启最小化:应关闭不必要的服务。 SNMP服务接受团体名称设置:应设置SNMP接受团体名称不为public或弱字符串。 系统时间同步:应确保系统时间与NTP服务器同步。 DNS服务指向:应配置系统DNS指向企业内部DNS服务器。 2.3. 补丁安全 系统版本:应确保操作系统版本更新至最新。 补丁更新:应在确保业务不受影响的情况下及时更新操作系统补丁。 2.4. 日志审计 日志审核策略设置:应合理配置系统日志审核策略。 日志存储规则设置:应设置日志存储规则,保证足够的日志存储空间。 日志存储路径:应更改日志默认存放路径。 日志定期备份:应定期对系统日志进行备份。 2.5. 系统防火墙:应启用系统自带防火墙,并根据业务需要限定允许通讯的应用程序或端口。 2.6. 防病毒软件:应安装由总部统一部署的防病毒软件,并及时更新。 2.7. 关闭自动播放功能:应关闭 Windows 自动播放功能。 2.8. 共享文件夹 删除本地默认共享:应关闭 Windows本地默认共享。 共享文件权限限制:应设置共享文件夹的访问权限,仅允许授权的帐户共享此文件夹。 2.9. 登录通信安全 禁止远程访问注册表:应禁止远程访问注册表路径和子路径。 登录超时时间设置:应设置远程登录帐户的登录超时时间为30 分钟。 限制匿名登录:应禁用匿名访问命名管道和共享。
Windows 系统安全配置基线 中国移动通信有限公司管理信息系统部 2012年 04月
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (5) 1.1目的 (5) 1.2适用范围 (5) 1.3适用版本 (5) 1.4实施 (5) 1.5例外条款 (5) 第2章帐户管理、认证授权 (6) 2.1帐户 (6) 2.1.1 管理缺省帐户 (6) 2.1.2 按照用户分配帐户* (6) 2.1.3 删除与设备无关帐户* (7) 2.2口令 (7) 2.2.1密码复杂度 (7) 2.2.2密码最长留存期 (8) 2.2.3帐户锁定策略 (8) 2.3授权 (8) 2.3.1远程关机 (8) 2.3.2本地关机 (9) 2.3.3用户权利指派* (9) 2.3.4授权帐户登陆* (10) 2.3.5授权帐户从网络访问* (10) 第3章日志配置操作 (11) 3.1日志配置 (11) 3.1.1审核登录 (11) 3.1.2审核策略更改 (11) 3.1.3审核对象访问 (11) 3.1.4审核事件目录服务器访问 (12) 3.1.5审核特权使用 (12) 3.1.6审核系统事件 (13) 3.1.7审核帐户管理 (13) 3.1.8审核过程追踪 (13) 3.1.9日志文件大小 (14) 第4章IP协议安全配置 (15) 4.1IP协议 (15) 4.1.1启用SYN攻击保护 (15) 第5章设备其他配置操作 (17) 5.1共享文件夹及访问权限 (17) 5.1.1关闭默认共享 (17)
5.1.2共享文件夹授权访问* (17) 5.2防病毒管理 (18) 5.2.1数据执行保护 (18) 5.3W INDOWS服务 (18) 5.3.1 SNMP服务管理 (18) 5.3.2系统必须服务列表管理* (19) 5.3.3系统启动项列表管理* (19) 5.3.4远程控制服务安全* (19) 5.3.5 IIS安全补丁管理* (20) 5.3.6活动目录时间同步管理* (20) 5.4启动项 (21) 5.4.1关闭Windows自动播放功能 (21) 5.5屏幕保护 (21) 5.5.1设置屏幕保护密码和开启时间* (21) 5.6远程登录控制 (22) 5.6.1限制远程登陆空闲断开时间 (22) 5.7补丁管理 (23) 5.7.1操作系统补丁管理* (23) 5.7.2操作系统最新补丁管理* (23) 第6章评审与修订 (24)
各类操作系统安全配 置要求及操作指南 检查模块支持系统版本号 Windows Windows 2000 以上 Solaris Solaris 8 以上 AIX AIX 5.X以上 HP-UNIX HP-UNIX 11i以上 Linux 内核版本2.6以上 Oracle Oracle 8i以上 SQL Server Microsoft SQL Server 2000 以上 MySQL MySQL 5.x以上 IIS IIS 5.x以上 Apache Apache 2.x 以上 Tomcat Tomcat 5.x以上 WebLogic WebLogic 8.X以上
Windows操作系统 安全配置要求及操作指南 I 目录 目录..................................................................... I 前言.................................................................... II 1 范围 (1) 2 规范性引用文件 (1) 3 缩略语 (1) 4 安全配置要求 (2) 4.1 账号 (2) 4.2 口令 (3) 4.3 授权 (5) 4.4 补丁 (7) 4.5 防护软件 (8) 4.6 防病毒软件 (8) 4.7 日志安全要求 (9) 4.8 不必要的服务 (11) 4.9 启动项 (12) 4.10 关闭自动播放功能 (13) 4.11 共享文件夹 (13) 4.12 使用NTFS 文件系统 (14) 4.13 网络访问 (15) 4.14 会话超时设置 (16)
Windows系统安全配置基线
目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 第2章安装前准备工作 (1) 2.1需准备的光盘 (1) 第3章操作系统的基本安装 (1) 3.1基本安装 (1) 第4章账号管理、认证授权 (2) 4.1账号 (2) 4.1.1管理缺省账户 (2) 4.1.2删除无用账户 (2) 4.1.3用户权限分离 (3) 4.2口令 (3) 4.2.1密码复杂度 (3) 4.2.2密码最长生存期 (4) 4.2.3密码历史 (4) 4.2.4帐户锁定策略 (5) 4.3授权 (5) 4.3.1远程关机 (5) 4.3.2本地关机 (6) 4.3.3隐藏上次登录名 (6) 4.3.4关机清理内存页面 (7) 4.3.5用户权利指派 (7) 第5章日志配置操作 (8) 5.1日志配置 (8) 5.1.1审核登录 (8) 5.1.2审核策略更改 (8) 5.1.3审核对象访问 (8) 5.1.4审核事件目录服务器访问 (9) 5.1.5审核特权使用 (9) 5.1.6审核系统事件 (10) 5.1.7审核账户管理 (10) 5.1.8审核过程追踪 (10) 5.1.9日志文件大小 (11) 第6章其他配置操作 (11)
6.1共享文件夹及访问权限 (11) 6.1.1关闭默认共享 (11) 6.2防病毒管理 (12) 6.2.1防病毒软件保护 (12) 6.3W INDOWS服务 (12) 6.3.1 系统服务管理 (12) 6.4访问控制 (13) 6.4.1 限制Radmin管理地址 (13) 6.5启动项 (13) 6.4.1关闭Windows自动播放功能 (13) 6.4.3配置屏保功能 (14) 6.4.4补丁更新 (14) 持续改进 (15)
安全基线项目 项目简介: 安全基准项目主要帮助客户降低由于安全控制不足而引起的安全风险。安全基准项目在NIST、CIS、OVAL等相关技术的基础上,形成了一系列以最佳安全实践为标准的配置安全基准。 二. 安全基线的定义 2.1 安全基线的概念 安全基线是一个信息系统的最小安全保证, 即该信息系统最基本需要满足的安全要求。信息系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行平衡, 而安全基线正是这个平衡的合理的分界线。不满足系统最基本的安全需求, 也就无法承受由此带来的安全风险, 而非基本安全需求的满足同样会带来超额安全成本的付出, 所以构造信息系统安全基线己经成为系统安全工程的首要步骤, 同时也是进行安全评估、解决信息系统安全性问题 的先决条件。 2.2 安全基线的框架 在充分考虑行业的现状和行业最佳实践,并参考了运营商下发的各类安全政策文件,继承和吸收了国家等级保护、风险评估的经验成果等基础上,构建出基于业务系统的基线安全模型 如图2.1所示:
图 2.1 基线安全模型 基线安全模型以业务系统为核心,分为业务层、功能架构层、系统实现层三层架构: 1. 第一层是业务层,这个层面中主要是根据不同业务系统的特性,定义不同安 全防护的要求,是一个比较宏观的要求。 2. 第二层是功能架构层,将业务系统分解为相对应的应用系统、数据库、操作系统、网络设备、安全设备等不同的设备和系统模块,这些模块针对业务层定义的安全防护 要求细化为此层不同模块应该具备的要求。 3. 第三层是系统实现层,将第二层模块根据业务系统的特性进一步分解,如将操作系统可分解为Windows、Solaris等系统模块,网络设备分解为华为路由器、Cisco路由器等系统模块……这些模块中又具体的把第二层的安全防护要求细化到可执行和实现的要求,称为Windows安全基线、华为路由器安全基线等。 下面以运营商的WAP系统为例对模型的应用进行说明:
Oracle数据库系统安全配置基线 中国移动通信有限公司管理信息系统部 2009年 3月
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (4) 1.1目的 (4) 1.2适用范围 (4) 1.3适用版本 (4) 1.4实施 (4) 1.5例外条款 (4) 第2章账号 (5) 2.1账号安全 (5) 2.1.1 删除不必要账号 (5) 2.1.2 限制超级管理员远程登录 (5) 2.1.3 用户属性控制 (6) 2.1.4 数据字典访问权限 (6) 第3章口令 (7) 3.1口令安全 (7) 3.1.1 账户口令的生存期 (7) 3.1.2 重复口令使用 (7) 3.1.3 认证控制 (8) 3.1.4 更改默认帐户密码 (8) 3.1.5 密码更改策略 (9) 3.1.6 密码复杂度策略 (9) 第4章日志 (11) 4.1日志审计 (11) 4.1.1 数据库审计策略 (11) 第5章其他 (12) 5.1其他配置 (12) 5.1.1 设置监听器密码 (12) 5.1.2 加密数据 (12) 第6章评审与修订 (13)
第1章概述 1.1 目的 本文档规定了中国移动管理信息系统部所维护管理的ORACLE数据库系统应当遵循的数据库安全性设置标准,本文档旨在指导数据库管理人员进行ORACLE数据库系统的安全配置。 1.2 适用范围 本配置标准的使用者包括:数据库管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的ORACLE数据库系统。 1.3 适用版本 ORACLE数据库系统; 1.4 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。 本标准发布之日起生效。 1.5 例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
Linux系统安全配置基线 目录 第1章概述................................................... 错误!未指定书签。 1.1目的 .................................................... 错误!未指定书签。 1.2适用范围 ................................................ 错误!未指定书签。 1.3适用版本 ................................................ 错误!未指定书签。第2章安装前准备工作 ......................................... 错误!未指定书签。 2.1需准备的光盘 ............................................ 错误!未指定书签。第3章操作系统的基本安装 ..................................... 错误!未指定书签。 3.1基本安装 ................................................ 错误!未指定书签。第4章账号管理、认证授权 ..................................... 错误!未指定书签。 4.1账号 .................................................... 错误!未指定书签。 4.1.1用户口令设置........................................ 错误!未指定书签。 4.1.2检查是否存在除root之外UID为0的用户 ............... 错误!未指定书签。 4.1.3检查多余账户........................................ 错误!未指定书签。 4.1.4分配账户............................................ 错误!未指定书签。 4.1.5账号锁定............................................ 错误!未指定书签。 4.1.6检查账户权限........................................ 错误!未指定书签。 4.2认证 .................................................... 错误!未指定书签。 4.2.1远程连接的安全性配置 ................................ 错误!未指定书签。 4.2.2限制ssh连接的IP配置 ............................... 错误!未指定书签。 4.2.3用户的umask安全配置 ................................ 错误!未指定书签。 4.2.4查找未授权的SUID/SGID文件 .......................... 错误!未指定书签。 4.2.5检查任何人都有写权限的目录 .......................... 错误!未指定书签。 4.2.6查找任何人都有写权限的文件 .......................... 错误!未指定书签。 4.2.7检查没有属主的文件 .................................. 错误!未指定书签。 4.2.8检查异常隐含文件 .................................... 错误!未指定书签。第5章日志审计............................................... 错误!未指定书签。 5.1日志 .................................................... 错误!未指定书签。 5.1.1syslog登录事件记录.................................... 错误!未指定书签。 5.2审计 .................................................... 错误!未指定书签。 5.2.1Syslog.conf的配置审核................................. 错误!未指定书签。 5.2.2日志增强............................................ 错误!未指定书签。 5.2.3syslog系统事件审计.................................... 错误!未指定书签。第6章其他配置操作 ........................................... 错误!未指定书签。 6.1系统状态 ................................................ 错误!未指定书签。 6.1.1系统超时注销........................................ 错误!未指定书签。 6.2L INUX服务................................................ 错误!未指定书签。
1范围 本规范适用于中国XX电网有限责任公司及所属单位管理信息大区所有信息系统相关主流支撑平台设备。 2规范性引用文件 下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本规范。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本规范。 ——中华人民共和国计算机信息系统安全保护条例 ——中华人民共和国国家安全法 ——中华人民共和国保守国家秘密法 ——计算机信息系统国际联网保密管理规定 ——中华人民共和国计算机信息网络国际联网管理暂行规定 ——ISO27001标准/ISO27002指南 ——公通字[2007]43号信息安全等级保护管理办法
——GB/T 21028-2007 信息安全技术服务器安全技术要求 ——GB/T 20269-2006 信息安全技术信息系统安全管理要求 ——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 ——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南 3术语和定义 安全基线:指针对IT设备的安全特性,选择合适的安全控制措施,定义不同IT设备的最低安全配置要求,则该最低安全配置要求就称为安全基线。 管理信息大区:发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统,原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各企业不同安全要求划分安全区。根据应用系统
实际情况,在满足总体安全要求的前提下,可以简化安全区的设置,但是应当避免通过广域网形成不同安全区的纵向交叉连接。4总则 4.1指导思想 围绕公司打造经营型、服务型、一体化、现代化的国内领先、国际著名企业的战略总体目标,为切实践行南网方略,保障信息化建设,提高信息安全防护能力,通过规范IT主流设备安全基线,建立公司管理信息大区IT主流设备安全防护的最低标准,实现公司IT主流设备整体防护的技术措施标准化、规范化、指标化。 4.2目标 管理信息大区内IT主流设备安全配置所应达到的安全基线规范,主要包括针对AIX系统、Windows系统、Linux系统、HP UNIX 系统、Oracle数据库系统、MS SQL数据库系统,WEB Logic中间件、Apache HTTP Server中间件、Tomcat中间件、IIS中间件、Cisco路由器/交换机、华为网络设备、Cisco防火墙、Juniper 防火墙和Nokia防火墙等的安全基线设置规范。通过该规范的实
信息安全配置基线(整理) xx 操作系统安全配置要求 2、 1、帐户口令安全帐户分配: 应为不同用户分配不同的帐户,不允许不同用户间共享同一帐户。 帐户锁定:应删除或锁定过期帐户、无用帐户。 用户访问权限指派:应只允许指定授权帐户对主机进行远程访问。 帐户权限最小化:应根据实际需要为各个帐户分配最小权限。 默认帐户管理:应对 Administrator 帐户重命名,并禁用 Guest(来宾)帐户。 口令长度及复杂度:应要求操作系统帐户口令长度至少为8 位,且应为数字、字母和特殊符号中至少2 类的组合。 口令最长使用期限:应设置口令的最长使用期限小于90 天。 口令历史有效次数:应配置操作系统用户不能重复使用最近5 次(含5 次)已使用过的口令。 口令锁定策略:应配置当用户连续认证失败次数为5 次,锁定该帐户30 分钟。 2、2、服务及授权安全服务开启最小化:应关闭不必要的服务。S NMP 服务接受团体名称设置:应设置 SNMP 接受团体名称不为 public 或弱字符串。 系统时间同步:应确保系统时间与 NTP 服务器同步。D NS 服务指向:应配置系统 DNS 指向企业内部 DNS 服务器。 2、3、补丁安全系统版本:应确保操作系统版本更新至最新。 补丁更新:应在确保业务不受影响的情况下及时更新操作系统补丁。
2、4、日志审计日志审核策略设置:应合理配置系统日志审核策略。 日志存储规则设置:应设置日志存储规则,保证足够的日志存储空间。 日志存储路径:应更改日志默认存放路径。 日志定期备份:应定期对系统日志进行备份。 2、5、系统防火墙:应启用系统自带防火墙,并根据业务需要限定允许通讯的应用程序或端口。 2、6、防病毒软件:应安装由总部统一部署的防病毒软件,并及时更新。 2、7、关闭自动播放功能:应关闭 Windows 自动播放功能。 2、8、共享文件夹删除本地默认共享:应关闭 Windows 本地默认共享。 共享文件权限限制:应设置共享文件夹的访问权限,仅允许授权的帐户共享此文件夹。 2、9、登录通信安全禁止远程访问注册表:应禁止远程访问注册表路径和子路径。 登录超时时间设置:应设置远程登录帐户的登录超时时间为30 分钟。 限制匿名登录:应禁用匿名访问命名管道和共享。R ed Hat Linux5 & 6、 Solaris9 & 10、 HP-UNIX11 操作系统安全配置要求
华为设备安全配置基线
目录 第1章概述 (4) 1.1目的 (4) 1.2适用范围 (4) 1.3适用版本 (4) 第2章帐号管理、认证授权安全要求 (5) 2.1帐号管理 (5) 2.1.1用户帐号分配* (5) 2.1.2删除无关的帐号* (6) 2.2口令 (7) 2.2.1静态口令以密文形式存放 (7) 2.2.2帐号、口令和授权 ................................................................ 错误!未定义书签。 2.2.3密码复杂度 (8) 2.3授权 (8) 2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 (8) 第3章日志安全要求 (10) 3.1日志安全 (10) 3.1.1启用信息中心 (10) 3.1.2开启NTP服务保证记录的时间的准确性 (11) 3.1.3远程日志功能* (12) 第4章IP协议安全要求 (13) 4.1IP协议 (13) 4.1.1VRRP认证 (13) 4.1.2系统远程服务只允许特定地址访问 (13) 4.2功能配置 (15) 4.2.1SNMP的Community默认通行字口令强度 (15) 4.2.2只与特定主机进行SNMP协议交互 (16) 4.2.3配置SNMPV2或以上版本 (17) 4.2.4关闭未使用的SNMP协议及未使用write权限 (18) 第5章IP协议安全要求 (19)
5.1其他安全配置 (19) 5.1.1关闭未使用的接口 (19) 5.1.2修改设备缺省BANNER语 (20) 5.1.3配置定时账户自动登出 (20) 5.1.4配置console口密码保护功能 (21) 5.1.5端口与实际应用相符 (22)
四川长虹电器股份有限公司 虹微公司管理文件 信息安全基线管理办法 ××××–××–××发布××××–××–××实施 四川长虹虹微公司发布 第 I 页共 5 页
目录 1目的 (1) 2 正文 (1) 2.1术语定义 (1) 2.2职责分工 (1) 2.2.1信息安全服务部 (1) 2.2.2各职能部门 (1) 2.3管理内容 (2) 2.3.1 信息安全基线的编制 (2) 2.3.2 信息安全基线的评审 (2) 2.3.3 信息安全基线的发布 (2) 2.3.4信息安全基线的实施 (2) 2.3.5信息安全基线的修订 (2) 3 检查计划 (2) 4 解释 (2) 5 附录 (3)
1目的 明确公司各部门在业务开展、管理活动执行过程中的最低信息安全要求,有效防范信息安全风险,提高公司的抗风险能力。 2 正文 2.1 术语定义 信息安全:广义上是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,保证系统连续可靠正常地运行,信息服务不中断。 信息安全基线:信息安全基线是公司最低的信息安全保证,即公司在业务开展、管理活动执行过程中需要满足的最基本安全要求。信息安全基线是实现信息安全风险评估和风险管理的前提和基础。 2.2 职责分工 2.2.1信息安全服务部 负责本管理办法及附录安全基线的制定和发布,并定期维护和更新。 监督和指导本管理办法及附录安全基线在公司范围内的执行。 定期检查信息安全基线在公司各部门的落实情况,并向公司管理层汇报。 2.2.2各职能部门 根据本管理办法和安全基线要求,组织编制和优化本部门/事业群(以下统称“部门”)的安全管理制度和工作流程,保证安全基线在本部门的落地执行。 配合信息安全服务部确认信息安全基线内容,编制信息安全基线在本部门的落实计划。 协助和配合信息安全基线检查、风险整改等工作。 配合公司关于信息安全基线的宣贯和推广工作,并在本部门内进一步宣贯和落实。
AIX 系统安全配置基线 中国移动通信有限公司管理信息系统部 2009年 3月
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 1.4实施 (1) 1.5例外条款 (1) 第2章账号管理认证授权 (2) 2.1账号 (2) 2.1.1用户帐号设置 (2) 2.1.2用户组设置 (2) 2.1.3用户口令设置 (3) 2.1.4Root用户远程登录限制 (3) 2.1.5系统用户登录限制 (4) 2.2口令 (4) 2.2.1口令生存期安全要求 (4) 2.2.2口令历史安全要求 (4) 2.2.3用户口令锁定策略 (5) 2.2.4用户访问权限安全要求 (5) 2.2.5用户FTP访问的安全要求 (6) 第3章网络与服务 (7) 3.1服务 (7) 3.1.1远程维护安全要求 (7) 3.2网络 (7) 3.2.1 ICMP重定向安全要求 (7) 第4章日志审计 (8) 4.1日志 (8) 4.1.1添加认证日志 (8) 4.2审计 (8) 4.2.1安全事件审计 (8) 第5章设备其他安全配置要求 (10) 5.1设备 (10) 5.1.1屏幕保护 (10) 5.2缓冲区 (10) 5.2.1缓冲区溢出 (10) 第6章评审与修订 (12)
第1章概述 1.1 目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的AIX 操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行AIX 操作系统的安全合规性检查和配置。 1.2 适用范围 本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的AIX 服务器系统。 1.3 适用版本 AIX系列服务器; 1.4 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。 本标准发布之日起生效。 1.5 例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
DB2数据库系统安全配置基线 中国移动通信有限公司管理信息系统部 2012年 04月
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (4) 1.1适用范围 (4) 1.2适用版本 (4) 1.3实施 (4) 1.4例外条款 (4) 第2章帐号与口令 (5) 2.1帐号 (5) 2.1.1删除不必要的帐号* (5) 2.1.2分配数据库用户所需的最小权限* (5) 2.2口令 (6) 2.2.1DB2用户口令安全 (6) 第3章数据库权限 (7) 3.1从PUBLIC撤销隐式的权限和特权 (7) 3.1.1从PUBLIC撤销隐式的权限和特权 (7) 3.2跟踪隐式的特权 (9) 3.2.1跟踪隐式的特权 (9) 3.3检查用户许可和特权 (9) 3.3.1检查用户许可和特权* (9) 第4章DB2认证 (11) 4.1为SYS XXX_GROUP参数使用显式值 (11) 4.1.1为SYSxxx_GROUP 参数使用显式值 (11) 4.2使用加密的AUTHENTICATION模式 (11) 4.2.1使用加密的AUTHENTICATION模式 (11) 第5章DB2审计 (13) 5.1执行随机安全审计 (13) 5.1.1执行随机安全审计* (13) 第6章评审与修订 (14)
第1章概述 本文档规定了中国移动管理信息系统部所维护管理的DB2数据库系统应当遵循的数据库安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行DB2数据库系统的安全合规性检查和配置。 1.1 适用范围 本配置标准的使用者包括:数据库管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的DB2数据库系统。 1.2 适用版本 DB2数据库系统。 1.3 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。 本标准发布之日起生效。 1.4 例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
信息安全配置基线(整 理) -CAL-FENGHAI-(2020YEAR-YICAI)_JINGBIAN
Win2003 & 2008操作系统安全配置要求 2.1. 帐户口令安全 帐户分配:应为不同用户分配不同的帐户,不允许不同用户间共享同一帐户。 帐户锁定:应删除或锁定过期帐户、无用帐户。 用户访问权限指派:应只允许指定授权帐户对主机进行远程访问。 帐户权限最小化:应根据实际需要为各个帐户分配最小权限。 默认帐户管理:应对Administrator帐户重命名,并禁用Guest(来宾)帐户。 口令长度及复杂度:应要求操作系统帐户口令长度至少为8位,且应为数字、字母和特殊符号中至少2类的组合。 口令最长使用期限:应设置口令的最长使用期限小于90天。 口令历史有效次数:应配置操作系统用户不能重复使用最近 5 次(含 5 次)已使用过的口令。 口令锁定策略:应配置当用户连续认证失败次数为 5次,锁定该帐户30分钟。 2.2. 服务及授权安全 服务开启最小化:应关闭不必要的服务。 SNMP服务接受团体名称设置:应设置SNMP接受团体名称不为public或弱字符串。 系统时间同步:应确保系统时间与NTP服务器同步。 DNS服务指向:应配置系统DNS指向企业内部DNS服务器。 2.3. 补丁安全 系统版本:应确保操作系统版本更新至最新。 补丁更新:应在确保业务不受影响的情况下及时更新操作系统补丁。 2.4. 日志审计 日志审核策略设置:应合理配置系统日志审核策略。 日志存储规则设置:应设置日志存储规则,保证足够的日志存储空间。 日志存储路径:应更改日志默认存放路径。 日志定期备份:应定期对系统日志进行备份。 2.5. 系统防火墙:应启用系统自带防火墙,并根据业务需要限定允许通讯的应用程序或端口。 2.6. 防病毒软件:应安装由总部统一部署的防病毒软件,并及时更新。 2.7. 关闭自动播放功能:应关闭 Windows 自动播放功能。 2.8. 共享文件夹 删除本地默认共享:应关闭 Windows本地默认共享。 共享文件权限限制:应设置共享文件夹的访问权限,仅允许授权的帐户共享此文件夹。 2.9. 登录通信安全 禁止远程访问注册表:应禁止远程访问注册表路径和子路径。 登录超时时间设置:应设置远程登录帐户的登录超时时间为30 分钟。 限制匿名登录:应禁用匿名访问命名管道和共享。
Win2003&2008操作系统安全配置要求 2.1.帐户口令安全 帐户分配:应为不同用户分配不同的帐户,不允许不同用户间共享同一帐户。 帐户锁定:应删除或锁定过期帐户、无用帐户。 ?用户访问权限指派:应只允许指定授权帐户对主机进行远程访问。 帐户权限最小化:应根据实际需要为各个帐户分配最小权限。 ?默认帐户管理:应对Administrator帐户重命名,并禁用Guest(来宾)帐户。 口令长度及复杂度:应要求操作系统帐户口令长度至少为8位,且应为数字、字母和特殊符号中至少2类的组合。 ?口令最长使用期限:应设置口令的最长使用期限小于90天。 口令历史有效次数:应配置操作系统用户不能重复使用最近5次(含 5 次)已使用过的口令。 口令锁定策略:应配置当用户连续认证失败次数为5次,锁定该帐户30分钟。 2.2.?服务及授权安全 服务开启最小化:应关闭不必要的服务。 SNMP服务接受团体名称设置:应设置SNMP接受团体名称不为public或弱字符串。 ?系统时间同步:应确保系统时间与NTP服务器同步。 DNS服务指向:应配置系统DNS指向企业内部DNS服务器。 2.3.?补丁安全 系统版本:应确保操作系统版本更新至最新。 补丁更新:应在确保业务不受影响的情况下及时更新操作系统补丁。 2.4.日志审计 日志审核策略设置:应合理配置系统日志审核策略。 日志存储规则设置:应设置日志存储规则,保证足够的日志存储空间。 日志存储路径:应更改日志默认存放路径。 日志定期备份:应定期对系统日志进行备份。 2.5.系统防火墙:应启用系统自带防火墙,并根据业务需要限定允许通讯的应用程序或端口。 2.6.防病毒软件:应安装由总部统一部署的防病毒软件,并及时更新。 2.7.?关闭自动播放功能:应关闭Windows自动播放功能。 2.8.共享文件夹 删除本地默认共享:应关闭Windows本地默认共享。 共享文件权限限制:应设置共享文件夹的访问权限,仅允许授权的帐户共享此文件夹。 2.9.?登录通信安全 禁止远程访问注册表:应禁止远程访问注册表路径和子路径。 ?登录超时时间设置:应设置远程登录帐户的登录超时时间为30 分钟。 限制匿名登录:应禁用匿名访问命名管道和共享。
中国移动通信企业标准 QB-╳╳-╳╳╳-╳╳╳╳ 中国移动管理信息系统 安全基线技术规范 T e c h n i c a l S p e c i f i c a t i o n s f o r S e c u r i t y B a s e l i n e o f C M C C M I S 版本号:1.0.0 ╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信集团公司发布
前言 本规范是针对操作系统、网络设备、数据库、中间件和WEB应用的系列安全基线,是各系统安全配置检查的基准,是中国移动管理信息系统产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的权威性指南。 本规范由中国移动通信集团公司管理信息系统部提出并归口管理。 本规范的解释权属于中国移动通信集团公司管理信息系统部。 本规范起草单位:中国移动通信集团公司管理信息系统部 本规范主要起草人:起草人1姓名、起草人2姓名、……
目录 1概述 (4) 1.1目标和适用范围 (4) 1.2引用标准 (4) 1.3术语和定义 (4) 2安全基线框架 (5) 2.1背景 (5) 2.2安全基线制定的方法论 (6) 2.3安全基线框架说明 (6) 3安全基线范围及内容 (7) 3.1覆盖范围 (7) 3.2安全基线组织及内容 (8) 3.2.1 安全基线编号说明 (9) 3.2.2 Web应用安全基线示例 (9) 3.2.3 中间件、数据库、主机及设备示例 (9) 3.3安全基线使用要求 (10) 4评审与修订 (10)
1概述 1.1目标和适用范围 本规范对各类操作系统、网络设备、数据库、中间件和WEB应用的安全配置和检查明确了基本的要求。本规范适用于中国移动管理信息系统的各类操作系统、网络设备、数据库、中间件和WEB应用,可以作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的依据。 1.2引用标准 ◆《中国移动网络与信息安全总纲》 ◆《中国移动内部控制手册》 ◆《中国移动标准化控制矩阵》 ◆《中国移动操作系统安全功能和配置规范》 ◆《中国移动路由器安全功能和配置规范》 ◆《中国移动数据库安全功能和配置规范》 ◆《中国移动网元通用安全功能和配置规范》 ◆FIPS 199 《联邦信息和信息系统安全分类标准》 ◆FIPS 200 《联邦信息系统最小安全控制标准》 1.3术语和定义