信息安全配置基線整理匯編

1、學(xué)習(xí)-好資料Win2003 & 2008操作系統(tǒng)安全配置要求帳戶口令安全帳戶分配：應(yīng)為不同用戶分配不同的帳戶，不允許不同用戶間共享同一帳戶。帳戶鎖定：應(yīng)刪除或鎖定過期帳戶、無用帳戶。用戶訪問權(quán)限指派：應(yīng)只允許指定授權(quán)帳戶對主機(jī)進(jìn)行遠(yuǎn)程訪問。帳戶權(quán)限最小化：應(yīng)根據(jù)實(shí)際需要為各個(gè)帳戶分配最小權(quán)限。默認(rèn)帳戶管理：應(yīng)對 Administrator帳戶重命名，并禁用 Guest （來賓）帳戶。口令長度及復(fù)雜度： 應(yīng)要求操作系統(tǒng)帳戶口令長度至少為8位，且應(yīng)為數(shù)字、字母和特殊符號中至少2類的組合?？诹钭铋L使用期限：應(yīng)設(shè)置口令的最長使用期限小于90天。口令歷史有效次數(shù)： 應(yīng)配置操作系統(tǒng)用戶不能重復(fù)使用最近5次

2、（含5次）已使用過的口令。口令鎖定策略：應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)為5次，鎖定該帳戶 30分鐘。服務(wù)及授權(quán)安全服務(wù)開啟最小化：應(yīng)關(guān)閉不必要的服務(wù)。SNMP服務(wù)接受團(tuán)體名稱設(shè)置：應(yīng)設(shè)置SNMP接受團(tuán)體名稱不為 public或弱字符串。系統(tǒng)時(shí)間同步：應(yīng)確保系統(tǒng)時(shí)間與NTP服務(wù)器同步。DNS服務(wù)指向：應(yīng)配置系統(tǒng) DNS指向企業(yè)內(nèi)部 DNS服務(wù)器。補(bǔ)丁安全系統(tǒng)版本：應(yīng)確保操作系統(tǒng)版本更新至最新。補(bǔ)丁更新：應(yīng)在確保業(yè)務(wù)不受影響的情況下及時(shí)更新操作系統(tǒng)補(bǔ)丁。日志審計(jì)日志審核策略設(shè)置：應(yīng)合理配置系統(tǒng)日志審核策略。日志存儲規(guī)則設(shè)置：應(yīng)設(shè)置日志存儲規(guī)則，保證足夠的日志存儲空間。日志存儲路徑：應(yīng)更改日志默認(rèn)存放

3、路徑。日志定期備份：應(yīng)定期對系統(tǒng)日志進(jìn)行備份。系統(tǒng)防火墻：應(yīng)啟用系統(tǒng)自帶防火墻，并根據(jù)業(yè)務(wù)需要限定允許通訊的應(yīng)用程序或端口。防病毒軟件：應(yīng)安裝由總部統(tǒng)一部署的防病毒軟件，并及時(shí)更新。關(guān)閉自動播放功能：應(yīng)關(guān)閉 Windows自動播放功能。共享文件夾刪除本地默認(rèn)共享：應(yīng)關(guān)閉Windows本地默認(rèn)共享。共享文件權(quán)限限制：應(yīng)設(shè)置共享文件夾的訪問權(quán)限，僅允許授權(quán)的帳戶共享此文件夾。登錄通信安全禁止遠(yuǎn)程訪問注冊表：應(yīng)禁止遠(yuǎn)程訪問注冊表路徑和子路徑。登錄超時(shí)時(shí)間設(shè)置：應(yīng)設(shè)置遠(yuǎn)程登錄帳戶的登錄超時(shí)時(shí)間為30分鐘。限制匿名登錄：應(yīng)禁用匿名訪問命名管道和共享。更多精品文檔學(xué)習(xí)-好資料Red Hat Linux 5

4、 & 6 Solaris 9 & 10、HP-UNIX 11 操作系統(tǒng)安全配置要求帳戶口令安全帳戶共用：應(yīng)為不同用戶分配不同系統(tǒng)帳戶，不允許不同用戶間共享同一系統(tǒng)帳戶。帳戶鎖定：應(yīng)刪除或鎖定過期帳戶或無用帳戶。超級管理員遠(yuǎn)程登錄限制：應(yīng)限制root帳戶遠(yuǎn)程登錄。8位，且應(yīng)為數(shù)字、字母和特90天。5次（含5次）內(nèi)已使用的帳戶權(quán)限最小化：應(yīng)根據(jù)實(shí)際需要為各個(gè)帳戶設(shè)置最小權(quán)限。 口令長度及復(fù)雜度：應(yīng)要求操作系統(tǒng)帳戶口令長度至少為 殊符號中至少2類的組合。5次（不含5次），鎖定該帳戶30口令最長使用期限：應(yīng)設(shè)置口令的最長生存周期小于等于 口令歷史有次數(shù)：應(yīng)配置操作系統(tǒng)用戶不能重復(fù)使用最近 口令。口令鎖

5、定策略：應(yīng)配置用戶當(dāng)連續(xù)認(rèn)證失敗次數(shù)超過分鐘。（Solaris 9 & 10、Red Hat Linux 5 & 6、AIX 5）應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過5次（不含5次），鎖定該帳戶。（UNIX 11）服務(wù)及授權(quán)安全重要文件目錄權(quán)限：應(yīng)根據(jù)用戶的業(yè)務(wù)需要，配置文件及目錄所需的最小權(quán)限。應(yīng)對文件和目錄進(jìn)行權(quán)限設(shè)置，合理設(shè)置重要目錄和文件的權(quán)限（AIX 5）用戶缺省訪問權(quán)限：應(yīng)配置用戶缺省訪問權(quán)限，屏蔽掉新建文件和目錄不該有的訪問允許權(quán)限。（UNIX 11、Red Hat Linux 5 & 6、AIX 5無屏蔽權(quán)限）服務(wù)開啟最小化：應(yīng)關(guān)閉不必要的服務(wù)。系統(tǒng)時(shí)間同步：應(yīng)確保系統(tǒng)時(shí)間與NTP

6、服務(wù)器同步。DNS服務(wù)器指定：應(yīng)配置系統(tǒng)DNS指向企業(yè)內(nèi)部DNS服務(wù)器。補(bǔ)丁安全：應(yīng)在確保業(yè)務(wù)不受影響的情況下及時(shí)更新操作系統(tǒng)補(bǔ)丁。日志審計(jì)日志審計(jì)功能設(shè)置：應(yīng)配置日志審計(jì)功能。日志權(quán)限設(shè)置：應(yīng)合理配置日志文件的權(quán)限。（Solaris 9 & 10、Red Hat Linux 5 & 6）應(yīng)配置帳戶對日志文件讀取、修改和刪除等操作權(quán)限進(jìn)行限制。（UNIX 11、AIX 5）日志定期備份：應(yīng)定期對系統(tǒng)日志進(jìn)行備份。網(wǎng)絡(luò)日志服務(wù)器設(shè)置（可選）：應(yīng)配置統(tǒng)一的網(wǎng)絡(luò)日志服務(wù)器。防止堆棧溢出設(shè)置：應(yīng)設(shè)置防止堆棧緩沖溢出。登錄通信安全遠(yuǎn)程管理加密協(xié)議：應(yīng)配置使用SSH等加密協(xié)議進(jìn)行遠(yuǎn)程管理，禁止使用Teln

7、et等明文 傳輸協(xié)議。登錄超時(shí)時(shí)間設(shè)置：應(yīng)設(shè)置登錄帳戶的登錄超時(shí)為30分鐘。SQL Server 2005 & 200嗷據(jù)庫安全配置要求帳戶口令安全更多精品文檔學(xué)習(xí)-好資料帳戶共用：應(yīng)為不同用戶分配不同的數(shù)據(jù)庫帳戶，不允許多個(gè)用戶共用同一個(gè)數(shù)據(jù)庫帳戶。帳戶鎖定：應(yīng)刪除或禁用無關(guān)帳戶。禁止管理員帳戶啟動 SQL Server服務(wù)：應(yīng)禁止使用管理員帳戶啟動SQL server服務(wù)。帳戶策略：應(yīng)在SQL Server帳戶策略中啟用操作系統(tǒng)帳戶策略，即繼承操作系統(tǒng)帳戶策略。權(quán)限最小化：應(yīng)根據(jù)用戶的業(yè)務(wù)需要，配置其數(shù)據(jù)庫所需的最小權(quán)限。日志審計(jì)登錄審核：配置登錄審核，記錄用戶登錄操作。C2審核跟蹤：啟用

8、 C2審核跟蹤。禁用不必要的存儲過程：應(yīng)禁用不必要的存儲過程。補(bǔ)丁安全：應(yīng)在確保業(yè)務(wù)不受影響的情況下及時(shí)安裝更新操作系統(tǒng)和SQL Server補(bǔ)丁。訪問IP限制：應(yīng)只允許信任的IP地址通過監(jiān)聽器訪問數(shù)據(jù)庫。配置防火墻限制，只允 許與指定的IP地址建立1433的通訊（從更為安全的角度考慮，可將1433端口改為其他的端口）。連接數(shù)設(shè)置：應(yīng)根據(jù)服務(wù)器性能和業(yè)務(wù)需求，設(shè)置最大并發(fā)連接數(shù)。數(shù)據(jù)庫備份：應(yīng)每周對數(shù)據(jù)庫進(jìn)行一次完整備份。Oracle 9i & 10g & 11g數(shù)據(jù)安全配置要求帳戶口令安全禁止帳戶共用：應(yīng)為不同用戶分配不同的數(shù)據(jù)庫帳戶，不允許多個(gè)用戶共用同一數(shù)據(jù)庫帳戶。帳戶鎖定：應(yīng)鎖定或刪除

9、無關(guān)帳戶。限制DBA組帳戶：DBA組僅添加Oracle帳戶?？诹铋L度及復(fù)雜度： 應(yīng)要求數(shù)據(jù)庫系統(tǒng)口令長度至少為8位，且應(yīng)為數(shù)字、字母和特殊符號中至少2類的組合?？诹钸^期警告天數(shù)：應(yīng)將口令過期警告天數(shù)設(shè)置為不少于7天（提前7天通知更改口令）?？诹钭铋L使用天數(shù)：應(yīng)將口令最長生存期不長于90天?？诹顨v史有效次數(shù)： 應(yīng)配置數(shù)據(jù)庫帳戶不能重復(fù)使用最近5次（含5次）內(nèi)已使用的口令。口令鎖定策略：對于采用靜態(tài)口令認(rèn)證的系統(tǒng)，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過5次（不含5次），鎖定該帳戶。帳戶鎖定時(shí)間：當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過5次（不含5次），鎖定該帳戶30分鐘。系統(tǒng)帳戶口令安全：應(yīng)修改數(shù)據(jù)庫系統(tǒng)帳戶的默認(rèn)口

10、令。服務(wù)及授權(quán)權(quán)限最小化：應(yīng)根據(jù)用戶的業(yè)務(wù)需要，配置數(shù)據(jù)庫帳戶所需的最小權(quán)限。限制特權(quán)帳戶遠(yuǎn)程登錄：應(yīng)限制特權(quán)帳戶遠(yuǎn)程登錄。日志審計(jì)：應(yīng)啟用數(shù)據(jù)庫審計(jì)功能。補(bǔ)丁安全：應(yīng)在確保業(yè)務(wù)不受影響的情況下及時(shí)更新數(shù)據(jù)庫補(bǔ)丁。訪問IP限制：應(yīng)只允許信任的IP地址通過監(jiān)聽器訪問數(shù)據(jù)庫。連接數(shù)設(shè)置：應(yīng)根據(jù)服務(wù)器性能和業(yè)務(wù)需求，設(shè)置最大并發(fā)連接數(shù)。更多精品文檔學(xué)習(xí)-好資料數(shù)據(jù)庫備份：應(yīng)定期對數(shù)據(jù)庫進(jìn)行備份。IIS 6 & 7安全配置要求帳戶安全：應(yīng)根據(jù)實(shí)際情況，刪除或鎖定IIS自動生成的無用帳戶。（IIS 6）文件系統(tǒng)及訪問權(quán)限：更改站點(diǎn)路徑：應(yīng)更改站點(diǎn)路徑為非系統(tǒng)分區(qū)。站點(diǎn)目錄權(quán)限：應(yīng)確保站點(diǎn)目錄的所有權(quán)限不

11、分配給Everyone。主目錄權(quán)限配置：應(yīng)合理設(shè)置站點(diǎn)“主目錄”的權(quán)限。（IIS 6）禁止目錄瀏覽：應(yīng)禁止瀏覽站點(diǎn)目錄。（IIS 7）站點(diǎn)目錄的功能權(quán)限：應(yīng)禁止站點(diǎn)目錄的執(zhí)行權(quán)限。（IIS 7）站點(diǎn)上傳目錄的功能權(quán)限：應(yīng)禁止站點(diǎn)上傳目錄的執(zhí)行和腳本權(quán)限。最小化服務(wù)：匿名訪問權(quán)限：應(yīng)確保每個(gè)站點(diǎn)的匿名訪問帳戶是相互獨(dú)立的，且只存在于Guests組。IIS服務(wù)組件：應(yīng)刪除IIS應(yīng)用服務(wù)中不需要的組件服務(wù)。Web服務(wù)擴(kuò)展：應(yīng)禁用站點(diǎn)不需要的Web服務(wù)擴(kuò)展。（IIS 6）刪除不必要的腳本映射：應(yīng)刪除不必要的腳本映射。日志審計(jì)：日志啟用：應(yīng)啟用日志記錄功能。（IIS 6）日志存儲：應(yīng)更改日志默認(rèn)的存放路

12、徑。連接數(shù)限制：應(yīng)合理設(shè)置最大并發(fā)連接數(shù)和最大帶寬值。連接數(shù)限制：應(yīng)合理設(shè)置最大連接數(shù)和最大帶寬值。（IIS 6）自定義錯(cuò)誤頁面：應(yīng)自定義錯(cuò)誤頁面。Tomcat 6 & 7安全配置要求帳戶口令安全帳戶共用：應(yīng)為不同的用戶分配不同的Tomcat帳戶，不允許不同用戶間共享 Tomcat帳戶。帳戶鎖定：應(yīng)刪除過期、無用帳戶。口令復(fù)雜度：應(yīng)要求 Tomcat管理帳戶口令長度至少 8位，且為數(shù)字、字母和特殊符號中至少2類的組合。權(quán)限最小化：應(yīng)僅允許超級管理員具有遠(yuǎn)程管理權(quán)限。日志審計(jì)：應(yīng)為服務(wù)配置日志功能，對用戶登錄事件進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的帳戶，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)使用

13、的IP地址等信息。遠(yuǎn)程訪問加密：應(yīng)對 Tomcat的遠(yuǎn)程訪問進(jìn)行加密。更改默認(rèn)管理端口：應(yīng)更改Tomcat服務(wù)默認(rèn)管理端口。自定義錯(cuò)誤頁面：應(yīng)重定向 Tomcat的錯(cuò)誤頁面。目錄瀏覽：應(yīng)禁止站點(diǎn)目錄瀏覽。更多精品文檔學(xué)習(xí)-好資料連接數(shù)設(shè)置：應(yīng)根據(jù)服務(wù)器性能和業(yè)務(wù)需求，設(shè)置最大連接數(shù)。Apache2.2 & 2.4安全配置要求號安全：應(yīng)以非系統(tǒng)帳號運(yùn)行Apache o文件與目錄安全Apache主目錄權(quán)限：應(yīng)嚴(yán)格控制Apache主目錄的訪問權(quán)限， 非系統(tǒng)特權(quán)用戶不能修改 該目錄下的文件。文件權(quán)限：應(yīng)嚴(yán)格限制配置文件和日志文件的訪問權(quán)限。禁止訪問外部文件：應(yīng)禁止 Apache訪問Web目錄之外的任何

14、文件。刪除缺省安裝無用文件：應(yīng)刪除缺省安裝的無用文件。禁止目錄瀏覽：應(yīng)禁止站點(diǎn)目錄瀏覽。連接與通信安全連接數(shù)設(shè)置：應(yīng)合理設(shè)置最大并發(fā)連接數(shù)。禁用危險(xiǎn) HTTP方法：應(yīng)禁用 PUT、 DELETEe?M險(xiǎn)的HTTP方法。信息泄露防范隱藏Apache版本號：應(yīng)隱藏 Apache版本號信息。自定義錯(cuò)誤頁面內(nèi)容：應(yīng)自定義錯(cuò)誤頁面。日志審計(jì)：應(yīng)合理配置審計(jì)策略。補(bǔ)丁更新：應(yīng)及時(shí)更新補(bǔ)丁。其他禁用CG:應(yīng)禁用CGI程序。關(guān)閉TRACE應(yīng)關(guān)閉TRACER法。WebLogic 8 & 9 & 10安全配置要求帳戶口令安全帳戶共用：應(yīng)為不同的用戶分配不同的Weblogic帳戶，不允許多個(gè)用戶共用同一個(gè)帳戶。帳戶

15、清理：應(yīng)刪除過期、無用帳戶。禁止以特權(quán)身份運(yùn)行：應(yīng)禁止以特權(quán)用戶身份運(yùn)行WebLogic。口令長度：應(yīng)設(shè)置 Weblogic帳戶口令長度至少為 8位。帳戶封鎖：應(yīng)配置當(dāng)帳戶連續(xù)認(rèn)證失敗次數(shù)超過5次（不含5次），鎖定該帳戶30分鐘。日志審計(jì)日志啟用：應(yīng)啟用日志功能。審計(jì)策略：應(yīng)合理配置審計(jì)策略。Keystore和SSL設(shè)置：應(yīng)合理設(shè)置 Keystore和SSL運(yùn)行模式：應(yīng)更改運(yùn)行模式為 Production Mode 。更多精品文檔學(xué)習(xí)-好資料Sender Server Header：應(yīng)禁用 Send Server header。刪除Sample程序：應(yīng)刪除 sample程序。自定義錯(cuò)誤頁面：應(yīng)

16、自定義錯(cuò)誤頁面。超時(shí)時(shí)間策略：應(yīng)根據(jù)具體應(yīng)用，合理設(shè)置session超時(shí)時(shí)間。連接數(shù)設(shè)置：應(yīng)合理設(shè)置最大連接數(shù)。主機(jī)名認(rèn)證：應(yīng)開啟主機(jī)名認(rèn)證。Web應(yīng)用安全配置要求帳號口令安全身份認(rèn)證：應(yīng)對應(yīng)用系統(tǒng)用戶登錄進(jìn)行身份認(rèn)證。帳號管理：應(yīng)禁用或刪除應(yīng)用系統(tǒng)默認(rèn)、無用或測試帳號。帳號鎖定策略：應(yīng)設(shè)置帳戶登錄失敗鎖定策略?？诹畈呗裕簯?yīng)要求應(yīng)用系統(tǒng)中管理帳戶的口令長度至少為8位,符號中至少2類的組合。定期更換口令策略：應(yīng)設(shè)置口令定期更換策略。數(shù)據(jù)安全敏感信息存儲：應(yīng)對應(yīng)用系統(tǒng)中的敏感信息采用加密形式存儲。敏感信息傳輸：應(yīng)對應(yīng)用系統(tǒng)的敏感信息采用加密方式傳輸。數(shù)據(jù)備份：應(yīng)定期對應(yīng)用系統(tǒng)程序及數(shù)據(jù)庫進(jìn)行備份。

17、資源控制權(quán)限分離：應(yīng)對應(yīng)用系統(tǒng)管理權(quán)限進(jìn)行分離。登錄會話超時(shí)策略：應(yīng)配置用戶登錄超時(shí)策略。最大并發(fā)連接數(shù)限制：應(yīng)設(shè)置應(yīng)用系統(tǒng)最大并發(fā)連接數(shù)策略。多重并發(fā)會話數(shù)限制：應(yīng)限制單用戶的多重并發(fā)會話數(shù)。日志審計(jì)：應(yīng)對系統(tǒng)用戶的所有操作進(jìn)行日志審計(jì)。代碼質(zhì)量跨站腳本攻擊：檢查系統(tǒng)是否存在跨站腳本攻擊漏洞。SQL注入攻擊：檢查系統(tǒng)是否存在SQL注入攻擊漏洞。路徑遍歷攻擊：檢查系統(tǒng)是否存在路徑遍歷攻擊漏洞。上傳后門腳本：應(yīng)對上傳頁面格式進(jìn)行限制。輸入有效性：應(yīng)對交互式頁面上提交數(shù)據(jù)的有效性進(jìn)行驗(yàn)證。第三方軟件安全：應(yīng)用系統(tǒng)使用的第三方軟件的安全性檢查。Cisco H3c設(shè)備安全配置要求帳號口令安全帳戶身份認(rèn)證：應(yīng)對登錄帳戶進(jìn)行身份認(rèn)證。且為數(shù)字、字母和特殊8位，應(yīng)為字母、特權(quán)口令安全：應(yīng)對帳號口令加密存儲。該登錄口令要求長度至少為 更多精品文檔學(xué)習(xí)-好資料數(shù)字、特殊符號中至少 2類的組合。Console模式口令安全：應(yīng)為Console 口模式設(shè)置登錄口令， 該登錄口令要以密文存儲， 要求長度至少為8位，應(yīng)為字母、數(shù)字、特殊符號中至少2類的組合。帳戶登錄地址限制：應(yīng)對帳戶登錄地址進(jìn)行限制。登錄會話超時(shí)：應(yīng)對登錄會話超時(shí)自動退出。安全配置通訊加密：應(yīng)采取必要措施防止帳戶信息在網(wǎng)絡(luò)