IT系统安全基线规范V30.docx

1、IT系统安全基线规范V30中国xx公司IT技术规范IT系统安全基线规范 中国xx公司信息技术部 1.范围本规范对各类操作系统、网络设备、数据库、中间件和WEB应用的安全配置和检查明确了基本的要求。本规范适用于xxxIT系统的各类操作系统、网络设备、数据库、中间件和WEB应用，可以作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的依据。2.术语、定义和缩略语词语解释Security Baseline 安全基线：是设备功能和配置方面的基本安全要求，是信息系统的最小安全保证和最基本的、必须满足的安全要求。它适用于未上线和已上线系统，用于保障组织内IT系统安全水平。SHG安全加固手册

2、Security Harden Guideline SBL 安全基线Security Baseline 安全风险人为或自然的威胁可能利用IT系统中存在的脆弱性导致安全事件的发生及其对组织造成的影响。安全风险评估指运用科学的方法和手段，系统地分析IT系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全措施。防范和化解IT系统安全风险，或者将风险控制在可接受的水平，为最大限度地为保障IT系统的安全提供科学依据资产是安全防护保护的对象。IT系统的资产可能是以多种形式存在，无形的、有形的、硬件、软件，包括物理布局、通信设备、物理线路、数据、软

3、件、文档、规程、业务、人员、管理等各种类型的资源，如OA系统、ERP系统等。资产价值资产的重要程度或敏感程度。资产价值是资产的属性，也是进行资产识别的主要内容。威胁可能导致对IT系统产生危害的不希望事故潜在起因，它可能是人为的，也可能是非人为的；可能是无意失误，也可能是恶意攻击。常见的威胁有黑客入侵、硬件故障、人为操作失误、火灾、水灾等等。脆弱性是IT系统中存在的弱点、缺陷与不足，不直接对资产造成危害，但可能被威胁所利用从而危害资产的安全。3.总体说明3.1编写背景xxxIT系统的设备、主机、应用等多采购自第三方，在部署之前往往只执行了功能测试，各个系统安全水平不一，容易遭受黑客攻击，存在很多

4、安全隐患。为了保证整体安全水平，防止系统设备因为安全配置不到位而带来安全风险，有必要对系统设备的安全性进行检查和加固。若系统按照安全基线进行了检查和加固，则可以确保系统和设备安全符合性达到要求，杜绝大部分的安全隐患。为此，制定各系统的安全基线，作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固依据，同时也是满足内控管理要求的依据。此次系列安全基线规范覆盖了应用层、中间件层、操作系统层以及网络层，并依据这些安全基线建立准入措施，从源头和根本上控制和提高系统的安全性。此次项目对安全基线的要求如下：覆盖面广，涵盖常见IT系统和设备，并涵盖Web应用和源代码的安全基线；可操作性强，针对

5、每个检查项均有简洁的操作说明；定期更新，应当周期性的对基线进行补充和更新；成果可固化，基线可以被集成为检查工具；安全基线将作为系统和设备安全准入的必要条件。3.2安全基线制定的方法论安全基线制定主要基于以下方法：1.参考产品原厂商的技术资料2.参考安全服务及安全研究的成果3.参考国内外大型研究机构及企业现行的安全基线4.结合xxx集团总部下发的相关规范及xxx信息技术部的实际情况4.安全基线范围及内容概述4.1覆盖范围及适用版本目前省、市公司IT系统中部署了数量众多的IT设备和系统，主要包括网络设备、主机、数据库、中间件和应用系统等。此次安全基线制定的范围需要涵盖xxx常见的IT系统和设备，具

6、体包括：1、应用系统：Web应用层安全基线，针对Web应用的身份与访问控制、会话管理、代码质量、内容管理等方面制定安全检查项2、中间件：ApacheWebSphereTomcatIISWeblogic3、数据库：OracleDB2SQL Server4、主机：WindowsAIXHP-UXSolarisLinux5、设备：CiscoHuaWeiJuniper以上设备和系统之外的安全基线将根据需要进行补充。4.2安全基线编号说明安全基线采用SBL-设备系统名称-数字-数字-数字的方式命名，设备系统名称是指此基线适用的设备或系统，例如windows、oracle等，后续的数字编号指基线要求的具体项

7、目编号，例如SBL-WebAPP-02-02-01是指Web应用的安全基线，属于此基线第二章身份与访问控制第二小节登录用图片验证码的第一项要求，因此后续数字编号为 02-02-01。4.3安全基线组织及内容xxx信息技术部制定的安全基线主要分为两大类，第一大类是应用层基线，由于此层的应用系统多为定制开发，因此重在考虑设计、开发、测试环节引入的安全问题。Web应用层安全基线通常包括以下九个范畴的要求：1)身份与访问控制2)会话管理3)代码质量4)内容管理5)防钓鱼与防垃圾邮件6)密码算法7)系统日志8)安装配置9)安全维护第二大类是通用的IT基础设施系统层基线，这类系统包括中间件、数据库、操作系

8、统和网络设备等，它们多为非定制标准化产品，原厂商技术支持较好，资料完整，因此这类安全基线的内容主要关注帐号口令、安全策略，补丁情况，网络协议，日志等问题。5.Web应用安全基线规范5.1身份与访问控制5.1.1账户锁定策略安全基线项目名称Web应用账户锁定策略安全基线要求项安全基线编号 SBL-WebAPP-02-01-01安全基线项说明 用户登录失败一定次数后系统自动锁定账号一段时间，以防止暴力猜测密码。检测操作步骤尝试使用错误用户名口令失败登录多次，基线符合性判定依据用户登录失败一定次数后系统自动锁定账号。备注5.1.2登录用图片验证码安全基线项目名称Web应用登录验证策略安全基线要求项安

9、全基线编号 SBL-WebAPP-02-02-01安全基线项说明 用户登录需提供图片验证码，以防止固定密码暴力猜测账号。检测操作步骤检查登录认证界面输入项，并右键点击图片查看链接属性。基线符合性判定依据要求包含图片验证码输入项，并且图片链接属性不得包含明文图片验证码。备注5.1.3口令传输安全基线项目名称Web应用口令传输策略安全基线要求项安全基线编号 SBL-WebAPP-02-03-01安全基线项说明 不能明文传输用户登录密码。检测操作步骤尝试登录系统，并使用抓包工具查看交互过程中在网络传输的内容。基线符合性判定依据要求不得出现明文口令备注5.1.4保存登录功能安全基线项目名称Web应用保

10、存登录安全基线要求项安全基线编号 SBL-WebAPP-02-04-01安全基线项说明 不能提供“保存登录”功能，该功能可能被利用于CSRF攻击。检测操作步骤检查登录界面是否提供了保存登录功能基线符合性判定依据不得提供该功能。备注5.1.5纵向访问控制安全基线项目名称Web应用纵向访问安全基线要求项安全基线编号 SBL-WebAPP-02-05-01安全基线项说明 合理进行纵向访问控制，不允许普通用户访问管理功能。检测操作步骤了解是否有不允许普通用户访问的功能，尝试直接在浏览器中访问功能链接。基线符合性判定依据用户不得跨权限访问受控页面备注5.1.6横向访问控制安全基线项目名称Web应用横向访

11、问安全基线要求项安全基线编号 SBL-WebAPP-02-06-01安全基线项说明 合理进行横向访问控制，不允许用户访问其他用户的敏感数据。检测操作步骤了解是否存在敏感信息，检查是否对个人敏感信息进行了有效保护基线符合性判定依据用户不得跨权限查看其它用户受保护敏感信息备注5.1.7敏感资源的访问安全基线项目名称Web应用敏感资源访问安全基线要求项安全基线编号 SBL-WebAPP-02-07-01安全基线项说明 需要限制对敏感资源的访问，例如后台管理，日志记录等。检测操作步骤检查服务器的文件是否存在敏感资源，测试是否限制了这些资源的访问。基线符合性判定依据对敏感资源的访问应当受控。备注5.2会

12、话管理5.2.1会话超时安全基线项目名称Web应用会话超时安全基线要求项安全基线编号 SBL-WebAPP-03-01-01安全基线项说明 当用户长时间不操作时，系统自动终止超时会话。检测操作步骤登录系统后不操作，等待合理的时间间隔。基线符合性判定依据要求预先设计的时间间隔后查看页面自动中止超时会话。备注5.2.2会话终止安全基线项目名称Web应用会话终止安全基线要求项安全基线编号 SBL-WebAPP-03-02-01安全基线项说明 系统需提供“退出”功能，允许用户强制终止当前的会话。检测操作步骤登录系统后点击系统提供的“退出”功能，然后在同一IE窗口下视图回退到登录后的页面，并访问相应的功

13、能基线符合性判定依据点击退出后，上述检测操作结果不成功备注5.2.3会话标识安全基线项目名称Web应用会话标识安全基线要求项安全基线编号 SBL-WebAPP-03-03-01安全基线项说明 会话标识必须足够随机，防止攻击者猜测标识或依据当前标识推导后续的标识。检测操作步骤检查多个会话标识的格式。基线符合性判定依据多个会话标识不得存在简单明了的逻辑关系，要求具有随机性备注5.2.4会话标识复用安全基线项目名称Web应用会话标识复用安全基线要求项安全基线编号 SBL-WebAPP-03-04-01安全基线项说明用户登录后必须分配新的会话标识，不能继续使用用户未登录前所使用的标识。检测操作步骤检查

14、登录前后是否使用相同的会话标识。基线符合性判定依据用户登录后必须分配新的会话标识，不能继续使用用户未登录前所使用的标识。备注5.3代码质量5.3.1防范跨站脚本攻击安全基线项目名称Web应用防范跨站脚本安全基线要求项安全基线编号 SBL-WebAPP-04-01-01安全基线项说明 系统要防止将用户输入未经检查就直接输出到用户浏览器，防范跨站脚本攻击。检测操作步骤检查系统是否存在跨站脚本攻击漏洞。例如在能够回显的输入框输入alert(“xss”)基线符合性判定依据要求系统能够将输入内容中的控制字当作纯文本内容处理备注5.3.2防范SQL注入攻击安全基线项目名称Web应用防范SQL注入安全基线要

15、求项安全基线编号 SBL-WebAPP-04-02-01安全基线项说明 系统要防止将用户输入未经检查就用于构造数据库查询，防范SQL注入攻击。检测操作步骤检查系统是否存在SQL注入漏洞。例如在输入框中输入基线符合性判定依据系统要使用诸如prepared statement等方式防止SQL注入，将输入内容中的控制字也当作纯文本处理备注5.3.3防止路径遍历攻击安全基线项目名称Web应用防范路径遍历安全基线要求项安全基线编号 SBL-WebAPP-04-03-01安全基线项说明 系统要防止将用户输入未经检查就用于构造文件路径，防止路径遍历攻击。检测操作步骤尝试在URL与输入中构造文件路径并查看页面

16、反应基线符合性判定依据不允许通过构造文件路径的方式直接查看文件备注5.3.4防止命令注入攻击安全基线项目名称Web应用防范命令注入安全基线要求项安全基线编号 SBL-WebAPP-04-04-01安全基线项说明 系统要防止将用户输入未经检查就用于构造操作系统命令并执行。检测操作步骤尝试在各个输入点进行命令注入攻击基线符合性判定依据命令注入攻击不得成功备注5.3.5防止其他常见的注入攻击安全基线项目名称Web应用防范其它注入安全基线要求项安全基线编号 SBL-WebAPP-04-05-01安全基线项说明 防止系统存在LDAP注入、XML注入、XPATH注入、SMTP注入等漏洞。检测操作步骤尝试在

17、各个输入点进行其它常见注入攻击基线符合性判定依据各类注入攻击不得成功备注5.3.6防止下载敏感资源文件安全基线项目名称Web应用防范下载漏洞安全基线要求项安全基线编号 SBL-WebAPP-04-06-01安全基线项说明 如果系统提供了下载功能，要防止用户通过路径遍历漏洞下载敏感资源文件。检测操作步骤如果系统提供了下载功能，试图通过路径遍历漏洞下载敏感资源文件。基线符合性判定依据各类下载攻击不得成功备注5.3.7防止上传后门脚本安全基线项目名称Web应用防范上传漏洞安全基线要求项安全基线编号 SBL-WebAPP-04-07-01安全基线项说明 如果系统提供了文件上传功能，要防止用户上传后门脚

18、本。检测操作步骤如果系统提供了上传功能，试图通过上传功能上传恶意文件。基线符合性判定依据各类上传攻击不得成功备注5.3.8保证多线程安全安全基线项目名称Web应用多线程安全基线要求项安全基线编号 SBL-WebAPP-04-08-01安全基线项说明 如果系统某资源可被多人同时修改，或被同一用户经过不同的方式同时修改，或被用户线程与系统线程同时修改，需要保证多线程安全。检测操作步骤如果系统存在多线程问题，分析保护多线程访问资源的安全解决方案基线符合性判定依据必须有适当的解决方案备注5.3.9保证释放资源安全基线项目名称Web应用释放资源基线要求项安全基线编号 SBL-WebAPP-04-09-0

19、1安全基线项说明 系统需保证在正常与异常流程时都能正确释放不需要的资源，例如打开的文件，数据库连接等。检测操作步骤分析正常与异常流程中资源释放的动作基线符合性判定依据资源释放覆盖所有流程分支备注5.4内容管理5.4.1加密存储敏感信息安全基线项目名称Web应用加密存储敏感信息基线要求项安全基线编号 SBL-WebAPP-05-01-01安全基线项说明 系统应当加密存储敏感信息，如密码、信用卡号等。检测操作步骤分析系统中敏感信息的存储与加密基线符合性判定依据要求加密算法安全，对信息有适当访问控制备注5.4.2避免泄露敏感技术细节安全基线项目名称Web应用信息泄漏基线要求项安全基线编号 SBL-W

20、ebAPP-05-02-01安全基线项说明 系统应当避免向用户提示过多的技术细节，防止被攻击者利用。例如错误信息中可能包含SQL语句，这有利于攻击者构造合法的攻击字串；又如Html中可能包含了技术性的注释语句，可能被攻击者利用。检测操作步骤分析各个页面的源码，查看提示页面，尤其是出错提示页面基线符合性判定依据各个页面不得包含技术性注释，各个提示页面不得包含Web服务器版本、源代码等信息备注5.5防钓鱼与防垃圾邮件5.5.1防钓鱼安全基线项目名称Web应用重定向基线要求项安全基线编号 SBL-WebAPP-06-01-01安全基线项说明 系统应当避免通过用户控制的参数来重定向或包含另外一个网站的

21、内容。检测操作步骤分析系统存在任意重定向或包含其它网站内容的控制基线符合性判定依据不得由用户控制的参数生成重定向备注5.5.2防垃圾邮件安全基线项目名称Web应用垃圾邮件基线要求项安全基线编号 SBL-WebAPP-06-02-01安全基线项说明 如果系统提供了发送邮件的功能，应当防止被利用于发送垃圾邮件。检测操作步骤检查系统发送邮件功能基线符合性判定依据不得存在滥用此功能的可能备注5.6密码算法5.6.1安全算法安全基线项目名称Web应用安全算法基线要求项安全基线编号 SBL-WebAPP-07-01-01安全基线项说明 如果系统采用了密码算法，应当采用安全的密码算法，且符合算法的应用场景。

22、检测操作步骤检查所有系统中使用的安全算法基线符合性判定依据不得使用已经被证明为不安全的算法或者自定义不安全算法备注5.6.2密钥管理安全基线项目名称Web应用密钥管理基线要求项安全基线编号 SBL-WebAPP-07-02-01安全基线项说明 如果系统采用了密码算法，且拥有密钥，那么应当有文档化的密钥管理办法并严格遵照执行。检测操作步骤检查所有系统中使用的密钥管理基线符合性判定依据不得使用不安全的密钥管理办法备注6.中间件安全基线内容6.1Apache安全配置基线6.1.1日志配置6.1.1.1审核登录安全基线项目名称Apache审核登录策略安全基线要求项安全基线编号SBL-Apache-02

23、-01-01安全基线项说明 设备应配置日志功能，对运行错误、用户访问等进行记录，记录内容包括时间，用户使用的IP地址等内容。检测操作步骤1、参考配置操作编辑httpd.conf配置文件，设置日志记录文件、记录内容、记录格式。LogLevel notice ErrorLog logs/error_log LogFormat %h %l %u %t %r %s %b %Accepti %Refereri %User-Agenti combined CustomLog logs/access_log combinedErrorLog指令设置错误日志文件名和位置。错误日志是最重要的日志文件，Apach

24、e httpd将在这个文件中存放诊断信息和处理请求中出现的错误。若要将错误日志送到Syslog，则设置：ErrorLog syslog。CustomLog指令设置访问日志的文件名和位置。访问日志中会记录服务器所处理的所有请求。LogFormat设置日志格式。LogLevel用于调整记录在错误日志中的信息的详细程度，建议设置为notice。基线符合性判定依据1、判定条件查看logs目录中相关日志文件内容，记录完整。2、检测操作查看相关日志记录。3、补充说明备注6.1.2访问权限6.1.2.1禁止访问外部文件安全基线项目名称Apache目录访问权限安全基线要求项安全基线编号SBL-Apache-0

25、3-01-01安全基线项说明 禁止Apache访问Web目录之外的任何文件。检测操作步骤1、参考配置操作编辑httpd.conf配置文件， Order Deny,Allow Deny from all 2、补充操作说明设置可访问目录， Order Allow,Deny Allow from all 其中/web为网站根目录。基线符合性判定依据1、判定条件无法访问Web目录之外的文件。 2、检测操作访问服务器上不属于Web目录的一个文件，结果应无法显示。3、补充说明备注6.1.3防攻击管理6.1.3.1错误页面处理安全基线项目名称Apache错误页面安全基线要求项安全基线编号SBL-Apache

26、-03-02-01安全基线项说明 Apache错误页面重定向检测操作步骤1、参考配置操作(1) 修改httpd.conf配置文件：ErrorDocument 400 /custom400.htmlErrorDocument 401 /custom401.htmlErrorDocument 403 /custom403.htmlErrorDocument 404 /custom404.htmlErrorDocument 405 /custom405.html ErrorDocument 500 /custom500.htmlCustomxxx.html为要设置的错误页面。(2)重新启动Apach

27、e服务基线符合性判定依据1、判定条件指向指定错误页面2、检测操作URL地址栏中输入http:/ip/xxxxxxx（一个不存在的页面）备注6.1.3.2目录列表访问限制安全基线项目名称Apache目录列表安全基线要求项安全基线编号SBL-Apache-03-02-02安全基线项说明 禁止Apache列表显示文件检测操作步骤1、参考配置操作(1) 编辑httpd.conf配置文件， Options FollowSymLinks AllowOverride None Order allow,denyAllow from all将Options Indexes FollowSymLinks中的Ind

28、exes 去掉，就可以禁止 Apache 显示该目录结构。Indexes 的作用就是当该目录下没有 index.html文件时，就显示目录结构。 (2)设置Apache的默认页面，编辑%apache%confhttpd.conf配置文件， DirectoryIndex index.html其中index.html即为默认页面，可根据情况改为其它文件。(3)重新启动Apache服务基线符合性判定依据1、判定条件当WEB目录中没有默认首页如index.html文件时，不会列出目录内容2、检测操作直接访问http:/ip:8800/xxx（xxx为某一目录）备注6.1.3.3删除无用文件安全基线项目名称Apache无用文件安全基线要求项安全基线编号SBL-Apache-03-02-04安全基线项说明 删除缺省安装的无用文件。检测操作步骤1、参考配置操作删除缺省HTML文件：# rm -rf /usr/local/apache2/htdocs/* 删除缺省的CGI脚本：# rm rf /usr/local/