堡壘機(jī)安全基線技術(shù)手冊

1、1.1 運(yùn)維管控與安全審計系統(tǒng)1.1.1 綠盟堡壘機(jī)安全基線技術(shù)要求設(shè)備管理轉(zhuǎn)變傳統(tǒng)IT安全運(yùn)維被動響應(yīng)的模式，建立面向用戶的集中、主動的運(yùn)維安全管控模式，降低人為安全風(fēng)險，滿足合規(guī)要求，保障公司效益?；€標(biāo)準(zhǔn)要求基線技術(shù)點(diǎn)（參數(shù)）說明遠(yuǎn)程管理使用瀏覽器或第三方工具，采用HTTPS安全連接至堡壘機(jī)，進(jìn)行對堡壘機(jī)的安全管理和審計， 以及運(yùn)維人員采用此方式登錄堡壘機(jī)來操作目 標(biāo)設(shè)備。除初次設(shè)置堡壘機(jī)時，利用Console機(jī)的連接設(shè)置和管理外，主要是采用 接的。口完成對堡壘HTTPS安全連參考配置操作：HTTPS是堡壘機(jī)系統(tǒng)默認(rèn)協(xié)議。遠(yuǎn)程管理限制登錄閑置超時時間設(shè)置登錄閑置超時時間為5

2、分鐘參考配置操作：以堡壘機(jī)管理員（weboper）身份超時時間設(shè)置為600秒，確定。web方式登陸堡壘機(jī),系統(tǒng)-»系統(tǒng)配置-»認(rèn)證配置，webSAS H * Wt"黑融凱:說廿支. 第崎認(rèn)怔艮蕓那間中女苴廿嗎吒渝爸，備自仔_ * 在豐PT"1，認(rèn)T- ； , > 2JTSf梟.文NS U SAKE YULE3地認(rèn)il*一兩西工具聚苣點(diǎn)室明任相工具F朝a二匚口峭時呷間L討、生成|500生CA后i '二1隼白奇浦S,若更面岸電刷新F面岫正遠(yuǎn)程管理限制數(shù)據(jù)庫審計外的其他無關(guān)服務(wù)限制無關(guān)網(wǎng)絡(luò)服務(wù)，增強(qiáng)堡壘機(jī)的安全。參考配置操作：以堡壘機(jī)管理員（we

3、boper）身份，web方式登陸堡壘機(jī) 庫審計服務(wù)開啟外，其他服務(wù)均關(guān)閉，確定。,系統(tǒng)-系統(tǒng)配置-引擎，除數(shù)據(jù)拄:Sts4厘5證c!H認(rèn)證倒.卷制步邇郵阱趣syfiiag-dtaE不楨再程帆助C開啟尸ingi imnm。開行兇苦用SniTipTi &口O"啟血工徹 is- lift-Ll JH.誣悵骨件Bn msAg ant。開目率蠅行動1C釬©一工具十鮑熱后車Hi1JT H。共打用戶賬號與口令安全應(yīng)配置用戶賬號與口令安全策略，提高設(shè)備賬戶與口令安全?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明賬號和密碼管理更改系統(tǒng)初始帳號和密碼系統(tǒng)內(nèi)置賬號 weboper、w

4、ebaudit 和 conadmin不能更改用戶名，但必須在完成初始配置后，盡快修改缺省密碼。1參考配置操作：1、以堡壘機(jī)管理員（weboper）身份，web方式登陸堡壘機(jī)：，對象 一用戶，選擇 weboper,點(diǎn)右邊的操作按鈕，在彈出的對話框中，更改 weboper的密碼，確定。，月降專K黑手30 引注序明 £ H Lr1.1 Y-ri h求更群1新才| 03 U證書拜上 Ei mm -1甲戶多解門 角色作許量希產(chǎn)乾號F初叫天部司f書IMF阻焉 何#聿 國用 情卡1!與國F-史:T麗per wbnper昆三亂 *爭知目定義出2、以堡壘機(jī)審計員（webaudit ）身份，web方式登

5、陸堡壘機(jī)：,對象-用戶，選擇 webaudit ,點(diǎn)右邊的操作按鈕，在彈出的對話框中，更改webaudit的密碼，確定。器 窗"號五有回“羯生記錄-L/1 1 -一 1近二1罌|_| iaal|St用F宕工 ffi 1諾電tt在片錄IP帕弓百寸 天"口li之刊用有自找MfE7welLaiiin卜日乏Tflr3、在初次用console方式對堡壘機(jī)進(jìn)行配置時，1 戶的密碼。審計員-更用 conadmin賬號登陸后，應(yīng)先修改 conadmin用賬號和密碼管理限制密碼最短長度應(yīng)將帳戶密碼最短長度設(shè)置為8位賬號和密碼管理控制密碼復(fù)雜度密碼必須是字母、數(shù)字和特殊字符任意兩種組合賬號和密

6、碼管理密碼有效期每3個月更換一次用戶密碼賬號登錄最大登錄嘗試設(shè)置最大登錄嘗試次數(shù)參考配置操作：以堡壘機(jī)管理員（weboper）身份，web方式登陸堡壘機(jī)：，系統(tǒng)-»系統(tǒng)配置-»參數(shù)配置，登陸嘗試次數(shù)設(shè)置為5次，確定。苜貝-東猊-東獨(dú)一斗線 一卷的性豆-某蛻a己曾證書管理-本行定制-工具下就認(rèn)諦服學(xué)器茅不用百弓顰以訐酊可日志與審計堡壘機(jī)支持“日志零管理”技術(shù)0提供：日志信息自動備份維護(hù)、提供多種詳細(xì)的日志報表模板、全程運(yùn)維行為審計（包括字符會話審計、圖形操作審計、數(shù)據(jù)庫運(yùn)維審計、文件傳輸審計）基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明管理配置堡壘機(jī)審計員（webaudi

7、t ）有權(quán)限審計堡壘 機(jī)的操作日志，其他用戶無權(quán)限。webaudit是堡壘機(jī)的內(nèi)置審計員賬號，負(fù)載堡壘機(jī) 的日志和運(yùn)維審計。參考配置操作：以webaudit身份，web登陸：，進(jìn)行日志審計操作。安全審計堡壘機(jī)系統(tǒng)自動存儲和備份日志信息。參考配置操作：無。堡壘機(jī)系統(tǒng)默認(rèn)自動對日志和運(yùn)維記錄進(jìn)行存儲和備份。日志保存要求長期堡壘機(jī)內(nèi)置2TB硬盤，可以保存3年以內(nèi)的日志信息； 硬盤空間滿后可以將日志信息導(dǎo)出至其他存儲介質(zhì)進(jìn) 行長期保存。 安全防護(hù)堡壘機(jī)采用專門設(shè)計的安全、可靠、高效的硬件平臺。該硬件平臺采用嚴(yán)格的設(shè)計和工藝標(biāo)準(zhǔn)，保證高可靠性 。操作系統(tǒng)經(jīng)過優(yōu)化和安全性處理，保證系統(tǒng)的安全

8、性。采用強(qiáng)加密的 SSL專輸控制命令，完全避免可能存在的嗅探行為，確保數(shù)據(jù)傳輸安全?；€標(biāo)準(zhǔn)要求基線技術(shù)點(diǎn)（參數(shù)）說明安全設(shè)置僅開放443和22端口。在防火墻上設(shè)置阻止 443和22端口外的其他端口訪問堡壘機(jī)，以增強(qiáng)堡 壘機(jī)的安全性。參考配置操作：參考防火墻配置手冊。1.1 運(yùn)維監(jiān)控系統(tǒng)1.1.1 Nagios和Centreon安全基線技術(shù)要求監(jiān)控工作主要由nagios完成，再通過nd02db寫入數(shù)據(jù)庫，最后由centreon調(diào)用顯示出來。有了 centreon后就可以用web來操作了?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明訪問目錄安全隱藏訪問目錄JMX-Console控制臺密碼設(shè)置JMX-Console控制臺密碼設(shè)置登錄控制臺的用戶名和密碼Web-Console登錄密碼設(shè)置Web-Console登錄密碼設(shè)置Web-Console登錄的用戶名和密碼Web服務(wù)端口號（可選）修改,默認(rèn)8080端口號如果端口號與其他服務(wù)沖突