信息安全配置基线整理.docx
《信息安全配置基线整理.docx》由会员分享,可在线阅读,更多相关《信息安全配置基线整理.docx(10页珍藏版)》请在冰豆网上搜索。
信息安全配置基线整理
信息安全配置基线(整理)
xx操作系统安全配置要求
2、
1、帐户口令安全帐户分配:
应为不同用户分配不同的帐户,不允许不同用户间共享同一帐户。
帐户锁定:
应删除或锁定过期帐户、无用帐户。
用户访问权限指派:
应只允许指定授权帐户对主机进行远程访问。
帐户权限最小化:
应根据实际需要为各个帐户分配最小权限。
默认帐户管理:
应对Administrator帐户重命名,并禁用Guest(来宾)帐户。
口令长度及复杂度:
应要求操作系统帐户口令长度至少为8位,且应为数字、字母和特殊符号中至少2类的组合。
口令最长使用期限:
应设置口令的最长使用期限小于90天。
口令历史有效次数:
应配置操作系统用户不能重复使用最近5次(含5次)已使用过的口令。
口令锁定策略:
应配置当用户连续认证失败次数为5次,锁定该帐户30分钟。
2、2、服务及授权安全服务开启最小化:
应关闭不必要的服务。
SNMP服务接受团体名称设置:
应设置SNMP接受团体名称不为public或弱字符串。
系统时间同步:
应确保系统时间与NTP服务器同步。
DNS服务指向:
应配置系统DNS指向企业内部DNS服务器。
2、3、补丁安全系统版本:
应确保操作系统版本更新至最新。
补丁更新:
应在确保业务不受影响的情况下及时更新操作系统补丁。
2、4、日志审计日志审核策略设置:
应合理配置系统日志审核策略。
日志存储规则设置:
应设置日志存储规则,保证足够的日志存储空间。
日志存储路径:
应更改日志默认存放路径。
日志定期备份:
应定期对系统日志进行备份。
2、5、系统防火墙:
应启用系统自带防火墙,并根据业务需要限定允许通讯的应用程序或端口。
2、6、防病毒软件:
应安装由总部统一部署的防病毒软件,并及时更新。
2、7、关闭自动播放功能:
应关闭Windows自动播放功能。
2、8、共享文件夹删除本地默认共享:
应关闭Windows本地默认共享。
共享文件权限限制:
应设置共享文件夹的访问权限,仅允许授权的帐户共享此文件夹。
2、9、登录通信安全禁止远程访问注册表:
应禁止远程访问注册表路径和子路径。
登录超时时间设置:
应设置远程登录帐户的登录超时时间为30分钟。
限制匿名登录:
应禁用匿名访问命名管道和共享。
RedHatLinux5&
6、Solaris9&
10、HP-UNIX11操作系统安全配置要求
2、
1、帐户口令安全帐户共用:
应为不同用户分配不同系统帐户,不允许不同用户间共享同一系统帐户。
帐户锁定:
应删除或锁定过期帐户或无用帐户。
超级管理员远程登录限制:
应限制root帐户远程登录。
帐户权限最小化:
应根据实际需要为各个帐户设置最小权限。
口令长度及复杂度:
应要求操作系统帐户口令长度至少为8位,且应为数字、字母和特殊符号中至少2类的组合。
口令最长使用期限:
应设置口令的最长生存周期小于等于90天。
口令历史有次数:
应配置操作系统用户不能重复使用最近5次(含5次)内已使用的口令。
口令锁定策略:
应配置用户当连续认证失败次数超过5次(不含5次),锁定该帐户30分钟。
(Solaris9&
10、RedHatLinux5&
6、AIX5)应配置当用户连续认证失败次数超过5次(不含5次),锁定该帐户。
(UNIX11)
2、2、服务及授权安全重要文件目录权限:
应根据用户的业务需要,配置文件及目录所需的最小权限。
应对文件和目录进行权限设置,合理设置重要目录和文件的权限(AIX5)用户缺省访问权限:
应配置用户缺省访问权限,屏蔽掉新建文件和目录不该有的访问允许权限。
(UNIX1
1、RedHatLinux5&6、AIX5无屏蔽权限)服务开启最小化:
应关闭不必要的服务。
系统时间同步:
应确保系统时间与NTP服务器同步。
DNS服务器指定:
应配置系统DNS指向企业内部DNS服务器。
2、3、补丁安全:
应在确保业务不受影响的情况下及时更新操作系统补丁。
2、4、日志审计日志审计功能设置:
应配置日志审计功能。
日志权限设置:
应合理配置日志文件的权限。
(Solaris9&
10、RedHatLinux5&6)应配置帐户对日志文件读取、修改和删除等操作权限进行限制。
(UNIX1
1、AIX5)日志定期备份:
应定期对系统日志进行备份。
网络日志服务器设置(可选):
应配置统一的网络日志服务器。
2、5、防止堆栈溢出设置:
应设置防止堆栈缓冲溢出。
2、6、登录通信安全远程管理加密协议:
应配置使用SSH等加密协议进行远程管理,禁止使用Telnet等明文传输协议。
登录超时时间设置:
应设置登录帐户的登录超时为30分钟。
SQLServer全文结束》》&全文结束》》数据库安全配置要求
2、
1、帐户口令安全帐户共用:
应为不同用户分配不同的数据库帐户,不允许多个用户共用同一个数据库帐户。
帐户锁定:
应删除或禁用无关帐户。
禁止管理员帐户启动SQLServer服务:
应禁止使用管理员帐户启动SQLserver服务。
帐户策略:
应在SQLServer帐户策略中启用操作系统帐户策略,即继承操作系统帐户策略。
2、2、权限最小化:
应根据用户的业务需要,配置其数据库所需的最小权限。
2、3、日志审计登录审核:
配置登录审核,记录用户登录操作。
C2审核跟踪:
启用C2审核跟踪。
2、4、禁用不必要的存储过程:
应禁用不必要的存储过程。
2、5、补丁安全:
应在确保业务不受影响的情况下及时安装更新操作系统和SQLServer补丁。
2、6、访问IP限制:
应只允许信任的IP地址通过监听器访问数据库。
配置防火墙限制,只允许与指定的IP地址建立1433的通讯(从更为安全的角度考虑,可将1433端口改为其他的端口)。
2、7、连接数设置:
应根据服务器性能和业务需求,设置最大并发连接数。
2、8、数据库备份:
应每周对数据库进行一次完整备份。
Oracle9i&10g&11g数据安全配置要求
2、
1、帐户口令安全禁止帐户共用:
应为不同用户分配不同的数据库帐户,不允许多个用户共用同一数据库帐户。
帐户锁定:
应锁定或删除无关帐户。
限制DBA组帐户:
DBA组仅添加Oracle帐户。
口令长度及复杂度:
应要求数据库系统口令长度至少为8位,且应为数字、字母和特殊符号中至少2类的组合。
口令过期警告天数:
应将口令过期警告天数设置为不少于7天(提前7天通知更改口令)。
口令最长使用天数:
应将口令最长生存期不长于90天。
口令历史有效次数:
应配置数据库帐户不能重复使用最近5次(含5次)内已使用的口令。
口令锁定策略:
对于采用静态口令认证的系统,应配置当用户连续认证失败次数超过5次(不含5次),锁定该帐户。
帐户锁定时间:
当用户连续认证失败次数超过5次(不含5次),锁定该帐户30分钟。
系统帐户口令安全:
应修改数据库系统帐户的默认口令。
2、2、服务及授权权限最小化:
应根据用户的业务需要,配置数据库帐户所需的最小权限。
限制特权帐户远程登录:
应限制特权帐户远程登录。
2、3、日志审计:
应启用数据库审计功能。
2、4、补丁安全:
应在确保业务不受影响的情况下及时更新数据库补丁。
2、5、访问IP限制:
应只允许信任的IP地址通过监听器访问数据库。
2、6、连接数设置:
应根据服务器性能和业务需求,设置最大并发连接数。
2、7、数据库备份:
应定期对数据库进行备份。
IIS6&7安全配置要求
2、0、帐户安全:
应根据实际情况,删除或锁定IIS自动生成的无用帐户。
(IIS6)
2、
1、文件系统及访问权限:
更改站点路径:
应更改站点路径为非系统分区。
站点目录权限:
应确保站点目录的所有权限不分配给Everyone。
主目录权限配置:
应合理设置站点“主目录”的权限。
(IIS6)禁止目录浏览:
应禁止浏览站点目录。
(IIS7)站点目录的功能权限:
应禁止站点目录的执行权限。
(IIS7)站点上传目录的功能权限:
应禁止站点上传目录的执行和脚本权限。
2、2、最小化服务:
匿名访问权限:
应确保每个站点的匿名访问帐户是相互独立的,且只存在于Guests组。
IIS服务组件:
应删除IIS应用服务中不需要的组件服务。
Web服务扩展:
应禁用站点不需要的Web服务扩展。
(IIS6)删除不必要的脚本映射:
应删除不必要的脚本映射。
2、3、日志审计:
日志启用:
应启用日志记录功能。
(IIS6)日志存储:
应更改日志默认的存放路径。
2、4、连接数限制:
应合理设置最大并发连接数和最大带宽值。
连接数限制:
应合理设置最大连接数和最大带宽值。
(IIS6)
2、5、自定义错误页面:
应自定义错误页面。
Tomcat6&7安全配置要求
2、
1、帐户口令安全帐户共用:
应为不同的用户分配不同的Tomcat帐户,不允许不同用户间共享Tomcat帐户。
帐户锁定:
应删除过期、无用帐户。
口令复杂度:
应要求Tomcat管理帐户口令长度至少8位,且为数字、字母和特殊符号中至少2类的组合。
2、2、权限最小化:
应仅允许超级管理员具有远程管理权限。
2、3、日志审计:
应为服务配置日志功能,对用户登录事件进行记录,记录内容包括用户登录使用的帐户,登录是否成功,登录时间,以及远程登录时使用的IP地址等信息。
2、4、远程访问加密:
应对Tomcat的远程访问进行加密。
2、5、更改默认管理端口:
应更改Tomcat服务默认管理端口。
2、6、自定义错误页面:
应重定向Tomcat的错误页面。
2、7、目录浏览:
应禁止站点目录浏览。
2、8、连接数设置:
应根据服务器性能和业务需求,设置最大连接数。
Apache
2、2&
2、4安全配置要求
2、1帐号安全:
应以非系统帐号运行Apache。
2、2、文件与目录安全Apache主目录权限:
应严格控制Apache主目录的访问权限,非系统特权用户不能修改该目录下的文件。
文件权限:
应严格限制配置文件和日志文件的访问权限。
禁止访问外部文件:
应禁止Apache访问Web目录之外的任何文件。
删除缺省安装无用文件:
应删除缺省安装的无用文件。
禁止目录浏览:
应禁止站点目录浏览。
2、3、连接与通信安全连接数设置:
应合理设置最大并发连接数。
禁用危险HTTP方法:
应禁用PUT、DELETE等危险的HTTP方法。
2、4、信息泄露防范隐藏Apache版本号:
应隐藏Apache版本号信息。
自定义错误页面内容:
应自定义错误页面。
2、5、日志审计:
应合理配置审计策略。
2、6、补丁更新:
应及时更新补丁。
2、7、其他禁用CG:
应禁用CGI程序。
关闭TRACE:
应关闭TRACE方法。
WebLogic8&9&10安全配置要求
2、
1、帐户口令安全帐户共用:
应为不同的用户分配不同的Weblogic帐户,不允许多个用户共用同一个帐户。
帐户清理:
应删除过期、无用帐户。
禁止以特权身份运行:
应禁止以特权用户身份运行WebLogic。
口令长度:
应设置Weblogic帐户口令长度至少为8位。
帐户封锁:
应配置当帐户连续认证失败次数超过5次(不含5次),锁定该帐户30分钟。
2、2、日志审计日志启用:
应启用日志功能。
审计策略:
应合理配置审计策略。
2、3、Keystore和SSL设置:
应合理设置Keystore和SSL。
2、4、运行模式:
应更改运行模式为“ProductionMode”。
2、5、SenderServerHeader:
应禁用SendServerheader。
2、6、删除Sample程序:
应删除sample程序。
2、7、自定义错误页面:
应自定义错误页面。
2、8、超时时间策略:
应根据具体应用,合理设置session超时时间。
2、9、连接数设置:
应合理设置最大连接数。
2、
10、主机名认证:
应开启主机名认证。
Web应用安全配置要求
2、
1、帐号口令安全身份认证:
应对应用系统用户登录进行身份认证。
帐号管理:
应禁用或删除应用系统默认、无用或测试帐号。
帐号锁定策略:
应设置帐户登录失败锁定策略。
口令策略:
应要求应用系统中管理帐户的口令长度至少为8位,且为数字、字母和特殊符号中至少2类的组合。
定期更换口令策略:
应设置口令定期更换策略。
2、2、数据安全敏感信息存储:
应对应用系统中的敏感信息采用加密形式存储。
敏感信息传输:
应对应用系统的敏感信息采用加密方式传输。
数据备份:
应定期对应用系统程序及数据库进行备份。
2、3、资源控制权限分离:
应对应用系统管理权限进行分离。
登录会话超时策略:
应配置用户登录超时策略。
最大并发连接数限制:
应设置应用系统最大并发连接数策略。
多重并发会话数限制:
应限制单用户的多重并发会话数。
2、4、日志审计:
应对系统用户的所有操作进行日志审计。
2、5、代码质量跨站脚本攻击:
检查系统是否存在跨站脚本攻击漏洞。
SQL注入攻击:
检查系统是否存在SQL注入攻击漏洞。
路径遍历攻击:
检查系统是否存在路径遍历攻击漏洞。
上传后门脚本:
应对上传页面格式进行限制。
输入有效性:
应对交互式页面上提交数据的有效性进行验证。
2、6、第三方软件安全:
应用系统使用的第三方软件的安全性检查。
Cisco、H3C设备安全配置要求
2、
1、帐号口令安全帐户身份认证:
应对登录帐户进行身份认证。
特权口令安全:
应对帐号口令加密存储。
该登录口令要求长度至少为8位,应为字母、数字、特殊符号中至少2类的组合。
Console模式口令安全:
应为Console口模式设置登录口令,该登录口令要以密文存储,要求长度至少为8位,应为字母、数字、特殊符号中至少2类的组合。
帐户登录地址限制:
应对帐户登录地址进行限制。
登录会话超时:
应对登录会话超时自动退出。
2、2、安全配置通讯加密:
应采取必要措施防止帐户信息在网络传输过程中被窃听。
禁用CDP协议:
应禁用设备上的CDP协议。
(Cisco)关闭缺省服务:
应关闭缺省状态下开启的高危服务。
修改默认Bannerlogin信息:
应修改默认bannerlogin信息。
修改SNMP服务:
应修改SNMP服务,该字符串口令要求长度至少为8位,应为字母、数字、特殊符号中至少2类的组合。
指定DNS服务器IP地址:
应指定DNS服务器IP地址。
OSPF路由协议加密:
应对OSPF路由协议进行加密。
禁止AUX端口:
应禁止AUX端口。
NTP配置:
应确保设备时间与内网NTP服务器同步。
2、3、日志审计:
应配置设备日志收集策略。
升级会员 