信息安全配置基线整理.docx

1、信息安全配置基线整理 信息安全配置基线(整理)xx 操作系统 安全配置要求 2、 1、帐户口令安全 帐户分配 ： 应为不同用户分配不同的帐户，不允许不同用户间共享同一帐户。 帐户锁定：应删除或锁定过期帐户、无用帐户。 用户访问权限指派：应只允许指定授权帐户对主机进行远程访问。 帐户权限最小化：应根据实际需要为各个帐户分配最小权限。 默认帐户管理：应对 Administrator 帐户重命名，并禁用 Guest（来宾）帐户。 口令长度及复杂度：应要求操作系统帐户口令长度至少为8 位，且应为数字、字母和特 殊符号中至少2 类的组合。 口令最长 使用期限：应设置口令的最长使用期限小于90 天。 口令

2、历史有效次数：应配置操作系统用户不能重复使用最近5 次（含5 次）已使用过 的口令。 口令锁定策略：应配置当用户连续认证失败次数为5 次，锁定该帐户30 分钟。 2、2、 服务及授权安全 服务开启最小化：应关闭不必要的服务。S NMP 服务接受团体名称设置：应设置 SNMP 接受团体名称不为 public 或弱字符串。 系统时间同步：应确保系统时间与 NTP 服务器同步。D NS 服务指向：应配置系统 DNS 指向企业内部 DNS 服务器。 2、3、 补丁安全 系统版本：应确 保操作系统版本更新至最新。 补丁更新：应在确保业务不受影响的情况下及时更新操作系统补丁。 2、4、 日志审计 日志审核

3、策略设置：应合理配置系统日志审核策略 。 日志存储规则设置：应设置日志存储规则，保证足够的日志存储空间。 日志存储路径：应更改日志默认存放路径。 日志定期备份：应定期对系统日志进行备份。 2、5、 系统防火墙：应启用系统自带防火墙，并根据业务需要限定允许通讯的应用程序或端口。 2、6、 防病毒软件：应安装由总部统一部署的防病毒软件，并及时更新。 2、7、 关闭自动播放功能：应关闭 Windows 自动播放功能。 2、8、 共享文件夹 删除本地默认共享：应关闭 Windows 本地默认共享。 共享文件权限限制：应设置共享文件夹的访问权限，仅允许授权的帐户共享此文件夹。 2、9、 登录通信安全 禁

4、止远程访问注册表：应禁止远程访问注册表路径和子路径。 登录超时时间设置：应设置远程登录帐户的登录超时时间为30 分钟。 限制匿名登录：应禁用匿名访问命名管道和共享。R ed Hat Linux5 & 6、 Solaris9 & 10、 HP-UNIX11 操作系统 安全 配置要求 2、 1、帐户口令安 全 帐户共用：应为不同用户分配不同系统帐户，不允许不同用户间共享同一系统帐户。 帐户锁定：应删除或锁定过期帐户或无用帐户。 超级管理员远程登录限制：应限制 root 帐户远程登录。 帐户权限最小化：应根据实际需要为各个帐户设置最小权限。 口令长度及复杂度：应要求操作系统帐户口令长度至少为8 位，

5、且应为数字、字母和特 殊符号中至少2 类的组合。 口令最长使用期限：应设置口令的最长生存周期小于等于90 天。 口令历史有次数：应配置操作系统用户不能重复使用最近5 次（含5 次）内已使用的 口令。 口令锁定策略：应配置用户当连续 认证失败次数超过5 次（不含5 次），锁定该帐户30 分钟。 （ Solaris9 & 10、 Red Hat Linux5 & 6、 AIX5） 应配置当用户连续认证失败次数超过5 次（不含5 次），锁定该帐户。 （ UNIX11） 2、2、 服务及授权安全 重要文件目录权限：应根据用户的业务需要，配置文件及目录所需的最小权限。 应对文件和目录进行权限设置，合理设

6、置重要目录和文件的权限 （ AIX5） 用户缺省访问权限：应配置用户缺省访问权限，屏蔽掉新建文件和目录不该有的访问允 许权限。 （ UNIX1 1、Red Hat Linux5 &6 、 AIX5 无屏蔽 权限） 服务开启最小化：应关闭不必要的服务。 系统时间同步：应确保系统时间与 NTP 服务器同步。D NS 服务器指定：应配置系统 DNS 指向企业内部 DNS 服务器。 2、3、 补丁安全：应在确保业务不受影响的情况下及时更新操作系统补丁。 2、4、 日志审计 日志审计功能设置：应配置日志审计功能。 日志权限设置：应合理配置日志文件的权限。 （ Solaris9 & 10、 Red Hat

7、 Linux5 &6） 应配置帐户对日志文件读取、修改和删除等操作权限进行限制。 （ UNIX1 1、AIX5） 日志定期备份：应定期对系统日志进行备份。 网络日志服务器设置（可选）：应配置统一的网络日志服务器。 2、5、 防止堆栈溢出设置：应设置防止堆栈缓冲溢出。 2、6、 登录通信安全 远程管理加密协议：应配置使用 SSH 等加密协议进行远程管理，禁止使用 Telnet 等明文 传输协议。 登录超时时间设置：应设置登录帐户的登录超时为30 分钟。S QL Server全文结束 &全文结束 数据库安全配置要求 2、 1、帐户口令安全 帐户共用：应为不同用户分配不同的数据库帐户，不允许多个用

8、户共用同一个数据库帐 户。 帐户锁定：应删除或禁用无关帐户。 禁止管理员帐户启动 SQL Server 服务：应禁止使用管理员帐户启动 SQL server 服务。 帐户策略：应在 SQL Server 帐户策略中启用操作系统帐户策略，即继承操作系统帐户策 略。 2、2、 权限最小化：应根据用户的业务需要，配置其数据库所需的最小权限。 2、3、 日志审计 登录审核：配置登录审核 ， 记录用户登录操作。C2 审核跟踪：启用 C2 审核跟踪。 2、4、 禁用不必要的存储过程 ： 应禁用不必要的存储过程。 2、5、 补丁安全：应在确保 业务不受影响的情况下及时安装更新操作系统和 SQL Server

9、 补丁。 2、6、 访问 IP限制：应只允许信任的 IP地址通过监听器访问数据库。配置防火墙限制，只允 许与指定的 IP地址建立1433 的通讯（从更为安全的角度考虑，可将1433 端口改为其他的 端口）。 2、7、 连接数设置：应根据服务器性能和业务需求，设置最大并发连接数。 2、8、 数据库备份：应每周对数据库进行一次完整备份。O racle9i &10g &11g数据安全配置要求 2、 1、帐户口令安全 禁止帐户共用： 应为不同用户分配不同的数据库 帐户，不允许多个用户共用同一数据库 帐户。 帐户锁定：应锁定或删除无关帐户。 限制 DBA组帐户： DBA组仅添加 Oracle帐户。 口令

10、长度及复杂度：应要求数据库系统口令长度至少为8 位，且应为数字、字母和特殊 符号中至少2 类的组合。 口令过期警告天数：应将口令过期警告天数设置为不少于7天（ 提前7天通知更改口令 ） 。 口令最长使用天数：应将口令最长生存期不长于90 天。 口令历史有效次数：应配置数据库帐户不能重复使用最近5 次（含5 次）内已使用的 口令。 口令锁定策略：对于采用静态口令认证的系统，应配置当 用户连续认证失败次数超过5 次（不含5 次），锁定该帐户。 帐户锁定时间：当用户连续认证失败次数超过5 次（不含5 次），锁定该帐户30 分钟。 系统帐户口令安全：应修改数据库系统帐户的默认口令。 2、2、 服务及授

11、权 权限最小化：应根据用户的业务需要，配置数据库帐户所需的最小权限。 限制特权帐户远程登录：应限制特权帐户远程登录。 2、3、 日志审计：应启用数据库审计功能。 2、4、 补丁安全：应在确保业务不受影响的情况下及时更新数据库补丁。 2、5、 访问 IP限制：应只允许信任的 IP地址通过监听器访问数据库。 2、6、 连接数设置：应根据服务器性能和业务需求，设置最大并发连接数。 2、7、 数据库备份：应定期对数据库进行备份。I IS6 &7 安全配置要求 2、0、 帐户安全：应根据实际情况，删除或锁定 IIS自动生成的无用帐户。（ IIS6） 2、 1、文件系统及访问权限 ： 更改站点路径 ： 应

12、更改站点路径为非系统分区。 站点目录权限 ： 应确保站点目录的所有权限不分配给 Everyone。 主目录权限配置：应合理设置站点“主目录”的权限。（ IIS6） 禁止目录浏览：应禁止浏览站点目录。 （ IIS7） 站点目录的 功能权限：应禁止站点目录的执行权限。 （ IIS7） 站点上传目录的功能权限：应禁止站点上传目录的执行和脚本权限。 2、2、 最小化服务 ： 匿名访问权限： 应确保每个站点的匿名访问帐户是相互独立的， 且只存在于 Guests 组。I IS服务组件：应删除 IIS应用服务中不需要的组件服务。W eb 服务扩展：应禁用站点不需要的 Web 服务扩展。（ IIS6） 删除不

13、必要的脚本映射：应删除不必要的脚本映射。 2、3、 日志审计： 日志启用 ：应启用日志记录功能。（ IIS6） 日志存储 ： 应更改日志默认的存放路径。 2、4、 连 接数限制：应合理设置最大并发连接数和最大带宽值。 连接数限制：应合理设置最大连接数和最大带宽值。（ IIS6） 2、5、 自定义错误页面：应自定义错误页面。T omcat6 &7 安全配置要求 2、 1、帐户口令安全 帐户共用：应为不同的用户分配不同的 Tomcat 帐户，不允许不同用户间共享 Tomcat 帐户。 帐户锁定：应删除过期、无用帐户。 口令复杂度：应要求 Tomcat 管理帐户口令长度至少8 位，且为数字、字母和特

14、殊符号中至 少2 类的组合。 2、2、 权限最小化：应仅允许超级管理员具有远程管理权限 。 2、3、 日志审计：应为服务配置日志功能，对用户登录事件进行记录，记录内容包括用户登录 使用的帐户，登录是否成功，登录时间，以及远程登录时使用的 IP地址等信息。 2、4、 远程访问加密：应对 Tomcat 的远程访问进行加密。 2、5、 更改默认管理端口：应更改 Tomcat 服务默认管理端口。 2、6、 自定义错误页面：应重定向 Tomcat 的错误页面。 2、7、 目录浏览：应禁止站点目录浏览。 2、8、 连接数设置：应根据服务器性能和业务需求，设置最大连接数。A pache 2、2 & 2、4

15、安全配置要求 2、1帐号安全 ： 应以非系统帐号运行 Apache。 2、2、 文件与目录安全 Apache 主目录权限：应严格控制 Apache 主目录的访问权限，非系统特权用户不能修改 该目录下的文件。 文件权限：应严格限制配置文件和日志文件的访问权限。 禁止访问外部文件：应禁止 Apache 访问 Web 目录之外的任何文件。 删除缺省安装无用文件：应删除缺省安装的无用文件。 禁止目录浏览：应禁止站点目录浏览。 2、3、 连接与通信安全 连接数设置：应合理设置最大并发连接数。 禁用危险 HTTP 方法：应禁用 PUT、 DELETE 等危险的 HTTP方法。 2、4、 信息泄露防范 隐藏

16、 Apache 版本号：应隐藏 Apache 版本号信息。 自定义错误页面内容：应自定义错误页面。 2、5、 日志审计：应合理配置审计策略。 2、6、 补丁更新：应及时更新补丁。 2、7、 其他 禁用 CG：应禁用 CGI 程序。 关闭 TRACE：应关闭 TRACE 方法。W ebLogic8 &9 &10 安全配置要求 2、 1、帐户口令安全 帐户共用： 应为不同的用户分配不同的 Weblogic 帐户，不允许多个用户共用同一个帐 户 。 帐户清理：应删除过期、无用帐户。 禁止以特权身 份运行：应禁止以特权用户身份运行 WebLogic。 口令长度：应设置 Weblogic 帐户口令长度至

17、少为8 位。 帐户封锁：应配置当帐户连续认证失败次数超过5 次（不含5 次），锁定该帐户30 分 钟。 2、2、 日志审计 日志启用：应启用日志功能。 审计策略：应合理配置审计策略。 2、3、 Keystore 和 SSL 设置：应合理设置 Keystore 和 SSL。 2、4、 运行模式：应更改运行模式为“ Production Mode”。 2、5、 Sender Server Header：应禁用 Send Server header。 2、6、 删除 Sample 程序：应删除 sample 程序。 2、7、 自定义错误页面：应自定义错误页面。 2、8、 超时时间策略：应根据具体应用

18、，合理设置 session 超时时间。 2、9、 连接数设置：应合理设置最大连接数。 2、 10、主机名认证：应开启主机名认证 。W eb 应用 安全配置要求 2、 1、帐号口令安全 身份认证：应对应用系统用户登录进行身份认证。 帐号管理：应禁用或删除应用系统默认、无用或测试帐号。 帐号锁定策略：应设置帐户登录失败锁定策略。 口令策略：应要求应用系统中 管理帐户的口令长度至少为8 位，且为数字、字母和特殊 符号中至少2 类的组合。 定期更换口令策略：应设置口令定期更换策略。 2、2、 数据安全 敏感信息存储：应对应用系统中的敏感信息采用加密形式存储。 敏感信息传输：应对应用系统的敏感信息采用加

19、密方式传输。 数据备份：应定期对应用系统程序及数据库进行备份。 2、3、 资源控制 权限分离：应对应用系统管理权限进行分离。 登录会话超时策略：应配置用户登录超时策略。 最大并发连接数限制：应设置应用系统最大并发连接数策略。 多重并发会话数限制：应限制单用户的多重并发会话数 。 2、4、 日志审计：应对系统用户的所有操作进行日志审计。 2、5、 代码质量 跨站脚本攻击：检查系统是否存在跨站脚本攻击漏洞。S QL 注入攻击：检查系统是否存在 SQL 注入攻击漏洞。 路径遍历攻击：检查系统是否存在路径遍历攻击漏洞。 上传后门脚本：应对上传页面格式进行限制。 输入有效性：应对交互式页面上提交数据的有

20、效性进行验证。 2、6、第三方软件安全：应用系统使用的第三方软件的安全性检查。C isco、 H3C设备 安全配置要求 2、 1、帐号口令安全 帐户身份认证：应对登录帐户进行身份认证。 特权口 令安全：应对帐号口令加密存储。该登录口令要求长度至少为8 位 , 应为字母、 数字、特殊符号中至少2 类的组合。C onsole 模式口令安全：应为 Console 口模式设置登录口令，该登录口令要以密文存储， 要求长度至少为8 位 , 应为字母、数字、特殊符号中至少2 类的组合。 帐户登录地址限制：应对帐户登录地址进行限制。 登录会话超时：应对登录会话超时自动退出。 2、2、 安全配置 通讯加密：应采

21、取必要措施防止帐户信息在网络传输过程中被窃听。 禁用 CDP 协议：应禁用设备上的 CDP 协议。 （ Cisco） 关闭缺省服务：应关 闭缺省状态下开启的高危服务。 修改默认 Banner login 信息：应修改默认 banner login 信息。 修改 SNMP 服务：应修改 SNMP 服务，该字符串口令要求长度至少为8 位 , 应为字母、 数字、特殊符号中至少2 类的组合。 指定 DNS 服务器 IP地址：应指定 DNS 服务器 IP 地址。O SPF 路由协议加密：应对 OSPF 路由协议进行加密。 禁止 AUX 端口：应禁止 AUX 端口。N TP 配置：应确保设备时间与内网 NTP 服务器同步。 2、3、 日志审计：应配置设备日志收集策略。