文档介绍:范围
本规范适用于中国 XX 电网有限责任公司及所属单位管理信息大区所有信息系统相关主流支
撑平台设备。
规范性引用文件
下列文件对于本规范的应用是必不可少的。 凡是注日期的引用文件, 仅注日期的版本适
用于本规范。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本规范。
——中华人民共和国计算机信息系统安全保护条例
——中华人民共和国国家安全法
中华人民共和国保守国家秘密法
计算机信息系统国际联网保密管理规定
中华人民共和国计算机信息网络国际联网管理暂行规定
ISO27001 标准 /ISO27002 指南
[2007]43 号
信息安全等级保护管理办法
GB/T21028-2007
信息安全技术服务器安全技术要求
GB/T20269-2006
信息安全技术信息系统安全管理要求
GB/T22239-2008
信息安全技术信息系统安全等级保护基本要求
GB/T22240-2008
信息安全技术信息系统安全等级保护定级指南
术语和定义
安全基线 :指针对 IT 设备的安全特性,选择合适的安全控制措施,定义不同 IT 设备的最低
安全配置要求,则该最低安全配置要求就称为安全基线。
管理信息大区: 发电企业、 电网企业、 供电企业内部基于计算机和网络技术的业务系统,
原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区 (安全区I)和非 控制区(安全区n);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各企
业不同安全要求划分安全区。根据应用系统实际情况,在满足总体安全要求的前提下, 可以
简化安全区的设置,但是应当避免通过广域网形成不同安全区的纵向交叉连接。
4总则
指导思想
围绕公司打造经营型、服务型、 一体化、现代化的国内领先、 国际著名企业的战略总体
目标,为切实践行南网方略,保障信息化建设,提高信息安全防护能力,通过规范 IT主流
设备安全基线,建立公司管理信息大区 IT主流设备安全防护的最低标准,实现公司 IT主流
设备整体防护的技术措施标准化、规范化、指标化。
目标
管理信息大区内IT主流设备安全配置所应达到的安全基线规范,主要包括针对 AIX系统、
Windows 系统、Linux系统、HPUNIX 系统、Oracle数据库系统、MSSQL数据库系 统,WEBLogic 中间件、ApacheHTTPServer 中间件、Tomcat 中间件、IIS 中间件、Cisco 路由器/交换机、华为网络设备、 Cisco防火墙、Juniper防火墙和Nokia防火墙等的安全
基线设置规范。通过该规范的实施,提升管理信息大区内的信息安全防护能力。
5安全基线技术要求
操作系统
AIX 系统安全基线技术要求
设备管理
应通过配置系统安全管理工具, 预防远程访问服务攻击或非授权访问, 提高主机系统远
程管理安全。
基线技术要求
基线标准点(参数)
说明
管理远程工具
安装SSH
OpenSSH为远程管理高安全性工具,可保
护管理过程中传输数据的安全
访问控制
安装TCPWrapper ,配置 /etc/,/etc/hosts.
deny
配置本机访问控制列表,提高对主机系统访
问控制
应通过配置用户账号与口令安全策略,提高主机系统账户与口令安全。
基线技术要求
基线标准点(参数)
说明
限制系统无用的默认
账号登录
1)Daemon
2)Bin
3)Sys
4)Adm
5)Uucp
6)Nuucp
7)Lpd
8)Imnadm
9)Ldap
10)Lp
11)Snapp
12)invscout
清理多余用户账号,限制系统默认账号登录,
同时,针对需要使用的用户,制订用户列表
进行妥善保存
root远程登录
禁止
禁止root远程登录
口令策略
1)maxrepeats=3
2)minlen=8
3)minalpha=4
4)minother=1
5)mindiff=4
6)minage=1
7)maxage=25 (可选)
8)histsize=10
口令中某一字符最多只能重复 3次
口令最短为8个字符
口令中最少包含4个字母字符
口令中最少包含一个非字母数字字符
5)新口令中最少有4个字符和旧口令不同
口令最小使用寿命1周
口令的最大寿命25周
口令不重复的次数10次
FTP用户账号控制
/etc/ftpusers
禁止root用户使用FTP
应对系统的日志进行安全控制与管理,保护日志的