文档介绍:该【IT主流设备安全基线技术规范 】是由【百里登峰】上传分享,文档一共【4】页,该文档可以免费在线阅读,需要了解更多关于【IT主流设备安全基线技术规范 】的内容,可以使用淘豆网的站内搜索功能,选择自己适合的文档,以下文字是截取该文章内的部分文字,如需要获得完整电子版,请下载此文档到您的设备,方便您编辑和打印。IT主流设备安全基线技术规范□
1范围n
本规范适用于中国XX电网有限责任公司及所属单位管理信息大区所有信息系统相关主流支撑平台设备。勿
规范性引用文件n
下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本规范。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本规范。n
――中华人民共和国计算机信息系统安全保护条例一一中华人民共和国国家安全法一一中华人民共和国保守国家秘密法一一计算机信息系统国际联网保密管理规定n
――中华人民共和国计算机信息网络国际联网管理暂行规定一一ISO27001标准/ISO27002指南n
――公通字[2021]43号信息安全等级保护管理办法n
――GB/T21028-2021信息安全技术服务器安全技术要求一一GB/T20269�2021信息安全技术信息系统安全管理要求n
――GB/T22239-2021信息安全技术信息系统安全等级保护基本要求一一GB/T22240-2021 信息安全技术信息系统安全等级保护定级指南3n
术语和定义n
安全基线:指针对IT设备的安全特性,选择合适的安全控制措施,定义不同IT设备的最低安全配置要求,则该最低安全配置要求就称为安全基线。n
管理信息大区:发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统,原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区I)和非控制区(安全区II);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各企业不同安全要求划分安全区。根据应用系统实际情况,在满足总体安全要求的前提下,可以简化安全区的设置,但是应当避免通过广域网形成不同安全区的纵向交叉连接。
4n
总则n
围绕公司打造经营型、服务型、一体化、现代化的国内领先、国际著名企业的战略总体目标,为切实践行南网方略,保障信息化建设,提高信息安全防护能力,通过规范it主流设备安全基线,建立公司管理信息大区IT主流设备安全防护的最低标准,实现公司IT主流设备整体防护的技术措施标准化、规范化、指标化。
管理信息大区内IT主流设备安全配置所应达到的安全基线规范,主要包括针对AIX系统、Windows系统、Linux系统、HPUNIX系统、Oracle数据库系统、MSSQL数据库系统,WEBLogic中间件、ApacheHTTPServer中间件、Tomcat中间件、IIS中间件、Cisco路由器/□
交换机、华为网络设备、Cisco防火墙、Juniper防火墙和Nokia防火墙等的安全基线设置规范。通过该规范的实施,提升管理信息大区内的信息安全防护能力。5D
安全基线技术要求n
应通过配置系统安全管理工具,预防远程访问服务攻击或非授权访问,提高主机系统远程管理安全。n
基线技术要求管理远程工具基线标准点(参数)安装SSH理过程中传输数据的安全安装TCPWrapper,配置配置本机访问控制列表,提高对主机系统访访问控制/etc/,/etc/,
应通过配置用户账号与口令安全策略,提高主机系统账户与口令安全。n
基线技术要求1)2)3)4)5)限制系统无用的默认账号登录6)7)8)9)基线标准点(参数)DaemonBinSysAdmUucp清理多余用户账号,限制系统默认账号登录,Nuucp同时,针对需要使用的用户,制订用户列表Lpd进行妥善保存ImnadmLdap说明10)Lp11)Snapp12)invscoutroot远程登录禁止禁止root远程登录基线技术要求1)2)3)4)口令策略5)6)7)8)FTP用户账号控制基线标准点(参数)maxrepeats=3minlen=8minalpha=4minother=1mindiff=4minage=1maxage=25(可选)histsize=101)2)3)4)5)6)7)8)说明口令中某一字符最多只能重复3次口令最短为8个字符口令中最少包含4个字母字符口令中最少包含一个非字母数字字符新口令中最少有4个字符和旧口令不同口令最小使用寿命1周口令的最大寿命25周口令不重复的次数10次/etc/
应对系统的日志进行安全控制与管理,保护日志的安全与有效性。n
基线技术要求日志记录sulog、failedlogin日志必须存储在日志服务器日志存储(可选)中日志保存要求日志系统配置文件保护2个月文件属性400(管理员账号只修改日志配置文件()权限为400读)文件属性400(管理员账号只日志文件保护读)failedlogin的权限为400修改日志文件authlog、、sulog、日志必须保存2个月使用日志服务器接受与存储主机日志基线标准点(参数)记录authlog、、记录必需的日志信息,
应提高系统服务安全,优化系统资源。□
基线技术要求Finger服务telnet服务ftp服务(可选)sendmail服务(可选)Time服务基线标准点(参数)禁止禁止禁止禁止禁止说明Finger允许远程查询登陆用户信息远程访问服务文件上传服务(需要经过批准才启用)邮件服务远程查询登陆用户信息服务网络测试服务,回显字符串,为“拒绝服务”Echo服务禁止攻击提供机会,除非正在测试网络,否则禁用基线技术要求基线标准点(参数)说明网络测试服务,丢弃输入,为“拒绝服务”Discard服务禁止攻击提供机会,除非正在测试网络,否则禁用网络测试服务,显示时间,为“拒绝服务"Daytime服务禁止攻击提供机会,除非正在测试网络,否则禁用网络测试服务,回应随机字符串,为“拒绝Chargen服务禁止服务”攻击提供机会,除非正在测试网络,否则禁用comsat通知接收的电子邮件,以root用户comsat服务禁止身份运行,因此涉及安全性,很少需要的,禁用Kerberos登录,如果您的站点使用klogin服务(可选)禁止Kerberos认证则启用(需要经过批准才启用)Kerberosshell,如果您的站点使用kshell服务(可选)禁止Kerberos认证则启用(需要经过批准才启用)ntalk允许用户相互交谈,以root用户身份ntalk服务禁止运行,除非绝对需要,否则禁用在网上两个用户间建立分区屏幕,不是必需talk服务禁止服务,与talk命令一起使用,在端口517提供UDP服务tftp服务uucp服务dtspc服务(可选)禁止禁止禁止以root用户身份运行并且可能危及安全除非有使用UUCP的应用程序,否则禁用CDE子过程控制,
应对系统安全配置参数进行调整,提高系统安全。n
基线技术要求Umask权限控制用户登录会话基线标准点(参数)022设置为600秒修改默认文件权限设置超时时间,
应对关键文件进行权限调整,提高关键文件的安全。n
基线技术要求a)关键文件的安全保护b)c)基线标准点(参数)/etc/passwd说明设置passwd、group、security等关键文件和/etc/group目录的权限/etc/
应使Windows操作系统的补丁达到管理基线。n
基线技术要求安全服务包安全补丁基线标准点(参数)win2021SP2,
应配置用户账号与口令安全策略,提高主机系统账户与口令安全。n
基线技术要求密码必须符合复杂性启用要求(可选)密码长度最小值密码最长使用期限(可180天选)密码最短使用期限强制密码历史复位帐户锁定计数器帐户锁定时间帐户锁定阀值guest账号administrator(可选)帐号检查与管理1天5次3分钟5分钟5次无效登录密码安全策略密码安全策略帐户锁定策略帐户锁定策略帐户锁定策略禁用guest用户使用加强administrator使用禁用无需使用帐号密码安全策略8密码安全策略密码安全策略基线标准点(参数)
应对系统的日志进行安全控制与管理,保护日志的安全与有效性。□
基线技术要求审核帐号登录事件审核帐号管理审核目录服务访问基线标准点(参数)成功与失败成功与失败成功日志审核策略日志审核策略日志审核策略说明n
□
□
□
□
^^感谢您的阅读,祝您生活愉快。n