信息安全配置基線(整理)

千里之行，始于足下。第2頁/共2頁精品文檔推薦信息安全配置基線(整理)Win2003&2008操作系統(tǒng)安全配置要求

2.1.帳戶口令安全

帳戶分配：應(yīng)為別同用戶分配別同的帳戶，別允許別同用戶間共享同一帳戶。

帳戶鎖定：應(yīng)刪除或鎖定過期帳戶、無用帳戶。

用戶拜訪權(quán)限指派：應(yīng)只允許指定授權(quán)帳戶對(duì)主機(jī)舉行遠(yuǎn)程拜訪。

帳戶權(quán)限最小化：應(yīng)依照實(shí)際需要為各個(gè)帳戶分配最小權(quán)限。

默認(rèn)帳戶治理：應(yīng)對(duì)Administrator帳戶重命名，并禁用Guest（賓客）帳戶。

口令長(zhǎng)度及復(fù)雜度：應(yīng)要XXX作系統(tǒng)帳戶口令長(zhǎng)度至少為8位，且應(yīng)為數(shù)字、字母和特別符號(hào)中至少2類的組合。

口令最長(zhǎng)使用期限：應(yīng)設(shè)置口令的最長(zhǎng)使用期限小于90天。

口令歷史有效次數(shù)：應(yīng)配置操作系統(tǒng)用戶別能重復(fù)使用最近5次（含5次）已使用過的口令。

口令鎖定策略：應(yīng)配置當(dāng)用戶延續(xù)認(rèn)證失敗次數(shù)為5次，鎖定該帳戶30分鐘。

2.2.服務(wù)及授權(quán)安全

服務(wù)開啟最小化：應(yīng)關(guān)閉別必要的服務(wù)。

SNMP服務(wù)同意團(tuán)體名稱設(shè)置：應(yīng)設(shè)置SNMP同意團(tuán)體名稱別為public或弱字符串。

系統(tǒng)時(shí)刻同步：應(yīng)確保系統(tǒng)時(shí)刻與NTP服務(wù)器同步。

DNS服務(wù)指向：應(yīng)配置系統(tǒng)DNS指向企業(yè)內(nèi)部DNS服務(wù)器。

2.3.補(bǔ)丁安全

系統(tǒng)版本：應(yīng)確保操作系統(tǒng)版本更新至最新。

補(bǔ)丁更新：應(yīng)在確保業(yè)務(wù)別受妨礙的事情下及時(shí)更新操作系統(tǒng)補(bǔ)丁。

2.4.日志審計(jì)

日志審核策略設(shè)置：應(yīng)合理配置系統(tǒng)日志審核策略。

日志存儲(chǔ)規(guī)則設(shè)置：應(yīng)設(shè)置日志存儲(chǔ)規(guī)則，保證腳夠的日志存儲(chǔ)空間。

日志存儲(chǔ)路徑：應(yīng)更明天志默認(rèn)存放路徑。

日志定期備份：應(yīng)定期對(duì)系統(tǒng)日志舉行備份。

2.5.系統(tǒng)防火墻：應(yīng)啟用系統(tǒng)自帶防火墻，并依照業(yè)務(wù)需要限定允許通訊的應(yīng)用程序或端口。

2.6.防病毒軟件：應(yīng)安裝由總部統(tǒng)一部署的防病毒軟件，并及時(shí)更新。

2.7.關(guān)閉自動(dòng)播放功能：應(yīng)關(guān)閉Windows自動(dòng)播放功能。

2.8.共享文件夾

刪除本地默認(rèn)共享：應(yīng)關(guān)閉Windows本地默認(rèn)共享。

共享文件權(quán)限限制：應(yīng)設(shè)置共享文件夾的拜訪權(quán)限，僅允許授權(quán)的帳戶共享此文件夾。

2.9.登錄通信安全

禁止遠(yuǎn)程拜訪注冊(cè)表：應(yīng)禁止遠(yuǎn)程拜訪注冊(cè)表路徑和子路徑。

登錄超時(shí)時(shí)刻設(shè)置：應(yīng)設(shè)置遠(yuǎn)程登錄帳戶的登錄超時(shí)時(shí)刻為30分鐘。

限制匿名登錄：應(yīng)禁用匿名拜訪命名管道和共享。

RedHatLinux5&6、Solaris9&10、HP-UNIX11操作系統(tǒng)安全配置要求

2.1.帳戶口令安全

帳戶共用：應(yīng)為別同用戶分配別同系統(tǒng)帳戶，別允許別同用戶間共享同一系統(tǒng)帳戶。

帳戶鎖定：應(yīng)刪除或鎖定過期帳戶或無用帳戶。

超級(jí)治理員遠(yuǎn)程登錄限制：應(yīng)限制root帳戶遠(yuǎn)程登錄。

帳戶權(quán)限最小化：應(yīng)依照實(shí)際需要為各個(gè)帳戶設(shè)置最小權(quán)限。

口令長(zhǎng)度及復(fù)雜度：應(yīng)要XXX作系統(tǒng)帳戶口令長(zhǎng)度至少為8位，且應(yīng)為數(shù)字、字母和特別符號(hào)中至少2類的組合。

口令最長(zhǎng)使用期限：應(yīng)設(shè)置口令的最長(zhǎng)生存周期小于等于90天。

口令歷史有次數(shù)：應(yīng)配置操作系統(tǒng)用戶別能重復(fù)使用最近5次（含5次）內(nèi)已使用的口令。

口令鎖定策略：應(yīng)配置用戶當(dāng)延續(xù)認(rèn)證失敗次數(shù)超過5次（別含5次），鎖定該帳戶30分鐘。（Solaris9&10、RedHatLinux5&6、AIX5）

應(yīng)配置當(dāng)用戶延續(xù)認(rèn)證失敗次數(shù)超過5次（別含5次），鎖定該帳戶。（UNIX11）2.2.服務(wù)及授權(quán)安全

重要文件名目權(quán)限：應(yīng)依照用戶的業(yè)務(wù)需要，配置文件及名目所需的最小權(quán)限。

應(yīng)對(duì)文件和名目舉行權(quán)限設(shè)置，合理設(shè)置重要名目和文件的權(quán)限（AIX5）用戶缺省拜訪權(quán)限：應(yīng)配置用戶缺省拜訪權(quán)限，屏蔽掉新建文件和名目別該有的拜訪允許權(quán)限。（UNIX11、RedHatLinux5&6、AIX5無屏蔽……權(quán)限）

服務(wù)開啟最小化：應(yīng)關(guān)閉別必要的服務(wù)。

系統(tǒng)時(shí)刻同步：應(yīng)確保系統(tǒng)時(shí)刻與NTP服務(wù)器同步。

DNS服務(wù)器指定：應(yīng)配置系統(tǒng)DNS指向企業(yè)內(nèi)部DNS服務(wù)器。

2.3.補(bǔ)丁安全：應(yīng)在確保業(yè)務(wù)別受妨礙的事情下及時(shí)更新操作系統(tǒng)補(bǔ)丁。

2.4.日志審計(jì)

日志審計(jì)功能設(shè)置：應(yīng)配置日志審計(jì)功能。

日志權(quán)限設(shè)置：應(yīng)合理配置日志文件的權(quán)限。（Solaris9&10、RedHatLinux5&6）應(yīng)配置帳戶對(duì)日志文件讀取、修改和刪除等操作權(quán)限舉行限制。（UNIX11、AIX5）日志定期備份：應(yīng)定期對(duì)系統(tǒng)日志舉行備份。

網(wǎng)絡(luò)日志服務(wù)器設(shè)置（可選）：應(yīng)配置統(tǒng)一的網(wǎng)絡(luò)日志服務(wù)器。

2.5.防止堆棧溢出設(shè)置：應(yīng)設(shè)置防止堆棧緩沖溢出。

2.6.登錄通信安全

遠(yuǎn)程治理加密協(xié)議：應(yīng)配置使用SSH等加密協(xié)議舉行遠(yuǎn)程治理，禁止使用Telnet等明文傳輸協(xié)議。

登錄超時(shí)時(shí)刻設(shè)置：應(yīng)設(shè)置登錄帳戶的登錄超時(shí)為30分鐘。

SQLServer2005&2008數(shù)據(jù)庫(kù)安全配置要求

2.1.帳戶口令安全

帳戶共用：應(yīng)為別同用戶分配別同的數(shù)據(jù)庫(kù)帳戶，別允許多個(gè)用戶共用同一具數(shù)據(jù)庫(kù)帳戶。

帳戶鎖定：應(yīng)刪除或禁用無關(guān)帳戶。

禁止治理員帳戶啟動(dòng)SQLServer服務(wù)：應(yīng)禁止使用治理員帳戶啟動(dòng)SQLserver服務(wù)。

帳戶策略：應(yīng)在SQLServer帳戶策略中啟用操作系統(tǒng)帳戶策略，即繼承操作系統(tǒng)帳戶策略。

2.2.權(quán)限最小化：應(yīng)依照用戶的業(yè)務(wù)需要，配置其數(shù)據(jù)庫(kù)所需的最小權(quán)限。

2.3.日志審計(jì)

登錄審核：配置登錄審核，記錄取戶登錄操作。

C2審核跟蹤：?jiǎn)⒂肅2審核跟蹤。

2.4.禁用別必要的存儲(chǔ)過程：應(yīng)禁用別必要的存儲(chǔ)過程。

2.5.補(bǔ)丁安全：應(yīng)在確保業(yè)務(wù)別受妨礙的事情下及時(shí)安裝更新操作系統(tǒng)和SQLServer補(bǔ)丁。

2.6.拜訪IP限制：應(yīng)只允許信任的IP地址經(jīng)過監(jiān)聽器拜訪數(shù)據(jù)庫(kù)。配置防火墻限制，只允許與指定的IP地址建立1433的通訊（從更為安全的角度思考，可將1433端口改為其他的端口）。

2.7.連接數(shù)設(shè)置：應(yīng)依照服務(wù)器性能和業(yè)務(wù)需求，設(shè)置最大并發(fā)連接數(shù)。

2.8.數(shù)據(jù)庫(kù)備份：應(yīng)每周對(duì)數(shù)據(jù)庫(kù)舉行一次完整備份。

Oracle9i&10g&11g數(shù)據(jù)安全配置要求

2.1.帳戶口令安全

禁止帳戶共用：應(yīng)為別同用戶分配別同的數(shù)據(jù)庫(kù)帳戶，別允許多個(gè)用戶共用同一數(shù)據(jù)庫(kù)帳戶。

帳戶鎖定：應(yīng)鎖定或刪除無關(guān)帳戶。

限制DBA組帳戶：DBA組僅添加Oracle帳戶。

口令長(zhǎng)度及復(fù)雜度：應(yīng)要求數(shù)據(jù)庫(kù)系統(tǒng)口令長(zhǎng)度至少為8位，且應(yīng)為數(shù)字、字母和特別符號(hào)中至少2類的組合。

口令過期警告天數(shù)：應(yīng)將口令過期警告天數(shù)設(shè)置為很多于7天（提早7天通知更改口令）。

口令最長(zhǎng)使用天數(shù)：應(yīng)將口令最長(zhǎng)生存期別長(zhǎng)于90天。

口令歷史有效次數(shù)：應(yīng)配置數(shù)據(jù)庫(kù)帳戶別能重復(fù)使用最近5次（含5次）內(nèi)已使用的口令。

口令鎖定策略：關(guān)于采納靜態(tài)口令認(rèn)證的系統(tǒng)，應(yīng)配置當(dāng)用戶延續(xù)認(rèn)證失敗次數(shù)超過5次（別含5次），鎖定該帳戶。

帳戶鎖定時(shí)刻：當(dāng)用戶延續(xù)認(rèn)證失敗次數(shù)超過5次（別含5次），鎖定該帳戶30分鐘。

系統(tǒng)帳戶口令安全：應(yīng)修改數(shù)據(jù)庫(kù)系統(tǒng)帳戶的默認(rèn)口令。

2.2.服務(wù)及授權(quán)

權(quán)限最小化：應(yīng)依照用戶的業(yè)務(wù)需要，配置數(shù)據(jù)庫(kù)帳戶所需的最小權(quán)限。

限制特權(quán)帳戶遠(yuǎn)程登錄：應(yīng)限制特權(quán)帳戶遠(yuǎn)程登錄。

2.3.日志審計(jì)：應(yīng)啟用數(shù)據(jù)庫(kù)審計(jì)功能。

2.4.補(bǔ)丁安全：應(yīng)在確保業(yè)務(wù)別受妨礙的事情下及時(shí)更新數(shù)據(jù)庫(kù)補(bǔ)丁。

2.5.拜訪IP限制：應(yīng)只允許信任的IP地址經(jīng)過監(jiān)聽器拜訪數(shù)據(jù)庫(kù)。

2.6.連接數(shù)設(shè)置：應(yīng)依照服務(wù)器性能和業(yè)務(wù)需求，設(shè)置最大并發(fā)連接數(shù)。

2.7.數(shù)據(jù)庫(kù)備份：應(yīng)定期對(duì)數(shù)據(jù)庫(kù)舉行備份。

IIS6&7安全配置要求

2.0.帳戶安全：應(yīng)依照實(shí)際事情，刪除或鎖定IIS自動(dòng)生成的無用帳戶。（IIS6）2.1.文件系統(tǒng)及拜訪權(quán)限：

更改站點(diǎn)路徑：應(yīng)更改站點(diǎn)路徑為非系統(tǒng)分區(qū)。

站點(diǎn)名目權(quán)限：應(yīng)確保站點(diǎn)名目的所有權(quán)限別分配給Everyone。

主名目權(quán)限配置：應(yīng)合理設(shè)置站點(diǎn)“主名目”的權(quán)限。（IIS6）

禁止名目掃瞄：應(yīng)禁止掃瞄站點(diǎn)名目。（IIS7）

站點(diǎn)名目的功能權(quán)限：應(yīng)禁止站點(diǎn)名目的執(zhí)行權(quán)限。（IIS7）

站點(diǎn)上傳名目的功能權(quán)限：應(yīng)禁止站點(diǎn)上傳名目的執(zhí)行和足本權(quán)限。

2.2.最小化服務(wù)：

匿名拜訪權(quán)限：應(yīng)確保每個(gè)站點(diǎn)的匿名拜訪帳戶是相互獨(dú)立的，且只存在于Guests組。

IIS服務(wù)組件：應(yīng)刪除IIS應(yīng)用服務(wù)中別需要的組件服務(wù)。

Web服務(wù)擴(kuò)展：應(yīng)禁用站點(diǎn)別需要的Web服務(wù)擴(kuò)展。（IIS6）

刪除別必要的足本映射：應(yīng)刪除別必要的足本映射。

2.3.日志審計(jì)：

日志啟用：應(yīng)啟用日志記錄功能。（IIS6）

日志存儲(chǔ)：應(yīng)更明天志默認(rèn)的存放路徑。

2.4.連接數(shù)限制：應(yīng)合理設(shè)置最大并發(fā)連接數(shù)和最大帶寬值。

連接數(shù)限制：應(yīng)合理設(shè)置最大連接數(shù)和最大帶寬值。（IIS6）

2.5.自定義錯(cuò)誤頁面：應(yīng)自定義錯(cuò)誤頁面。

Tomcat6&7安全配置要求

2.1.帳戶口令安全

帳戶共用：應(yīng)為別同的用戶分配別同的Tomcat帳戶，別允許別同用戶間共享Tomcat帳戶。

帳戶鎖定：應(yīng)刪除過期、無用帳戶。

口令復(fù)雜度：應(yīng)要求Tomcat治理帳戶口令長(zhǎng)度至少8位，且為數(shù)字、字母和特別符號(hào)中至少2類的組合。

2.2.權(quán)限最小化：應(yīng)僅允許超級(jí)治理員具有遠(yuǎn)程治理權(quán)限。

2.3.日志審計(jì)：應(yīng)為服務(wù)配置日志功能，對(duì)用戶登錄事件舉行記錄，記錄內(nèi)容包括用戶登錄使用的帳戶，登錄是否成功，登錄時(shí)刻，以及遠(yuǎn)程登錄時(shí)使用的IP地址等信息。

2.4.遠(yuǎn)程拜訪加密：應(yīng)對(duì)Tomcat的遠(yuǎn)程拜訪舉行加密。

2.5.更改默認(rèn)治理端口：應(yīng)更改Tomcat服務(wù)默認(rèn)治理端口。

2.6.自定義錯(cuò)誤頁面：應(yīng)重定向Tomcat的錯(cuò)誤頁面。

2.7.名目掃瞄：應(yīng)禁止站點(diǎn)名目掃瞄。

2.8.連接數(shù)設(shè)置：應(yīng)依照服務(wù)器性能和業(yè)務(wù)需求，設(shè)置最大連接數(shù)。

Apache2.2&2.4安全配置要求

2.1帳號(hào)安全：應(yīng)以非系統(tǒng)帳號(hào)運(yùn)行Apache。

2.2.文件與名目安全

Apache主名目權(quán)限：應(yīng)嚴(yán)格操縱Apache主名目的拜訪權(quán)限，非系統(tǒng)特權(quán)用戶別能修改該名目下的文件。

文件權(quán)限：應(yīng)嚴(yán)格限制配置文件和日志文件的拜訪權(quán)限。

禁止拜訪外部文件：應(yīng)禁止Apache拜訪Web名目之外的任何文件。

刪除缺省安裝無用文件：應(yīng)刪除缺省安裝的無用文件。

禁止名目掃瞄：應(yīng)禁止站點(diǎn)名目掃瞄。

2.3.連接與通信安全

連接數(shù)設(shè)置：應(yīng)合理設(shè)置最大并發(fā)連接數(shù)。

禁用驚險(xiǎn)HTTP辦法：應(yīng)禁用PUT、DELETE等驚險(xiǎn)的HTTP辦法。

2.4.信息泄露防范

躲藏Apache版本號(hào)：應(yīng)躲藏Apache版本號(hào)信息。

自定義錯(cuò)誤頁面內(nèi)容：應(yīng)自定義錯(cuò)誤頁面。

2.5.日志審計(jì)：應(yīng)合理配置審計(jì)策略。

2.6.補(bǔ)丁更新：應(yīng)及時(shí)更新補(bǔ)丁。

2.7.其他

禁用CG：應(yīng)禁用CGI程序。

關(guān)閉TRACE：應(yīng)關(guān)閉TRACE辦法。

WebLogic8&9&10安全配置要求

2.1.帳戶口令安全

帳戶共用：應(yīng)為別同的用戶分配別同的Weblogic帳戶，別允許多個(gè)用戶共用同一具帳戶。

帳戶清理：應(yīng)刪除過期、無用帳戶。

禁止以特權(quán)身份運(yùn)行：應(yīng)禁止以特權(quán)用戶身份運(yùn)行WebLogic。

口令長(zhǎng)度：應(yīng)設(shè)置Weblogic帳戶口令長(zhǎng)度至少為8位。

帳戶封鎖：應(yīng)配置當(dāng)帳戶延續(xù)認(rèn)證失敗次數(shù)超過5次（別含5次），鎖定該帳戶30分鐘。

2.2.日志審計(jì)

日志啟用：應(yīng)啟用日志功能。

審計(jì)策略：應(yīng)合理配置審計(jì)策略。

2.3.Keystore和SSL設(shè)置：應(yīng)合理設(shè)置Keystore和SSL。

2.4.運(yùn)行模式：應(yīng)更改運(yùn)行模式為“ProductionMode”。

2.5.SenderServerHeader：應(yīng)禁用SendServerheader。

2.6.刪除Sample程序：應(yīng)刪除sample程序。

2.7.自定義錯(cuò)誤頁面：應(yīng)自定義錯(cuò)誤頁面。

2.8.超時(shí)時(shí)刻策略：應(yīng)依照具體應(yīng)用，合理設(shè)置session超時(shí)時(shí)刻。

2.9.連接數(shù)設(shè)置：應(yīng)合理設(shè)置最大連接數(shù)。

2.10.主機(jī)名認(rèn)證：應(yīng)開啟主機(jī)名認(rèn)證。

Web應(yīng)用安全配置要求

2.1.帳號(hào)口令安全

身份認(rèn)證：應(yīng)對(duì)應(yīng)用系統(tǒng)用戶登錄舉行身份認(rèn)證。

帳號(hào)治理：應(yīng)禁用或刪除應(yīng)用系統(tǒng)默認(rèn)、無用或測(cè)試帳號(hào)。