堡壘機(jī)安全基線(xiàn)技術(shù)手冊(cè)

堡壘機(jī)安全基線(xiàn)技術(shù)手冊(cè)堡壘機(jī)安全基線(xiàn)技術(shù)手冊(cè)全文共4頁(yè)，當(dāng)前為第1頁(yè)。運(yùn)維管控與安全審計(jì)系統(tǒng)堡壘機(jī)安全基線(xiàn)技術(shù)手冊(cè)全文共4頁(yè)，當(dāng)前為第1頁(yè)。綠盟堡壘機(jī)安全基線(xiàn)技術(shù)要求設(shè)備管理轉(zhuǎn)變傳統(tǒng)IT安全運(yùn)維被動(dòng)響應(yīng)的模式，建立面向用戶(hù)的集中、主動(dòng)的運(yùn)維安全管控模式，降低人為安全風(fēng)險(xiǎn)，滿(mǎn)足合規(guī)要求，保障公司效益?；€(xiàn)標(biāo)準(zhǔn)要求基線(xiàn)技術(shù)點(diǎn)（參數(shù)）說(shuō)明遠(yuǎn)程管理使用瀏覽器或第三方工具，采用HTTPS安全連接至堡壘機(jī)，進(jìn)行對(duì)堡壘機(jī)的安全管理和審計(jì)，以及運(yùn)維人員采用此方式登錄堡壘機(jī)來(lái)操作目標(biāo)設(shè)備。除初次設(shè)置堡壘機(jī)時(shí)，利用Console口完成對(duì)堡壘機(jī)的連接設(shè)置和管理外，主要是采用HTTPS安全連接的。參考配置操作：HTTPS是堡壘機(jī)系統(tǒng)默認(rèn)協(xié)議。遠(yuǎn)程管理限制登錄閑置超時(shí)時(shí)間設(shè)置登錄閑置超時(shí)時(shí)間為5分鐘參考配置操作：以堡壘機(jī)管理員（weboper）身份，web方式登陸堡壘機(jī)：，系統(tǒng)---》系統(tǒng)配置---》認(rèn)證配置，web超時(shí)時(shí)間設(shè)置為600秒，確定。遠(yuǎn)程管理限制數(shù)據(jù)庫(kù)審計(jì)外的其他無(wú)關(guān)服務(wù)限制無(wú)關(guān)網(wǎng)絡(luò)服務(wù)，增強(qiáng)堡壘機(jī)的安全。參考配置操作：以堡壘機(jī)管理員（weboper）身份，web方式登陸堡壘機(jī)：，系統(tǒng)---》系統(tǒng)配置---》引擎，除數(shù)據(jù)庫(kù)審計(jì)服務(wù)開(kāi)啟外，其他服務(wù)均關(guān)閉，確定。用戶(hù)賬號(hào)與口令安全堡壘機(jī)安全基線(xiàn)技術(shù)手冊(cè)全文共4頁(yè)，當(dāng)前為第2頁(yè)。應(yīng)配置用戶(hù)賬號(hào)與口令安全策略，提高設(shè)備賬戶(hù)與口令安全。堡壘機(jī)安全基線(xiàn)技術(shù)手冊(cè)全文共4頁(yè)，當(dāng)前為第2頁(yè)?；€(xiàn)技術(shù)要求基線(xiàn)標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明賬號(hào)和密碼管理更改系統(tǒng)初始帳號(hào)和密碼系統(tǒng)內(nèi)置賬號(hào)weboper、webaudit和conadmin不能更改用戶(hù)名，但必須在完成初始配置后，盡快修改缺省密碼。參考配置操作：1、以堡壘機(jī)管理員（weboper）身份，web方式登陸堡壘機(jī)：，對(duì)象---》用戶(hù)，選擇weboper，點(diǎn)右邊的操作按鈕，在彈出的對(duì)話(huà)框中，更改weboper的密碼，確定。2、以堡壘機(jī)審計(jì)員（webaudit）身份，web方式登陸堡壘機(jī)：，對(duì)象---》用戶(hù)，選擇webaudit，點(diǎn)右邊的操作按鈕，在彈出的對(duì)話(huà)框中，更改webaudit的密碼，確定。3、在初次用console方式對(duì)堡壘機(jī)進(jìn)行配置時(shí)，使用conadmin賬號(hào)登陸后，應(yīng)先修改conadmin用戶(hù)的密碼。賬號(hào)和密碼管理限制密碼最短長(zhǎng)度應(yīng)將帳戶(hù)密碼最短長(zhǎng)度設(shè)置為8位賬號(hào)和密碼管理控制密碼復(fù)雜度密碼必須是字母、數(shù)字和特殊字符任意兩種組合賬號(hào)和密碼管理密碼有效期每3個(gè)月更換一次用戶(hù)密碼賬號(hào)登錄最大登錄嘗試設(shè)置最大登錄嘗試次數(shù)參考配置操作：以堡壘機(jī)管理員（weboper）身份，web方式登陸堡壘機(jī)：，系統(tǒng)---》系統(tǒng)配置---》參數(shù)配置，登陸嘗試次數(shù)設(shè)置為5次，確定。堡壘機(jī)安全基線(xiàn)技術(shù)手冊(cè)全文共4頁(yè)，當(dāng)前為第3頁(yè)。堡壘機(jī)安全基線(xiàn)技術(shù)手冊(cè)全文共4頁(yè)，當(dāng)前為第3頁(yè)。日志與審計(jì)堡壘機(jī)支持“日志零管理”技術(shù)。提供：日志信息自動(dòng)備份維護(hù)、提供多種詳細(xì)的日志報(bào)表模板、全程運(yùn)維行為審計(jì)（包括字符會(huì)話(huà)審計(jì)、圖形操作審計(jì)、數(shù)據(jù)庫(kù)運(yùn)維審計(jì)、文件傳輸審計(jì)）基線(xiàn)技術(shù)要求基線(xiàn)標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明管理配置堡壘機(jī)審計(jì)員（webaudit）有權(quán)限審計(jì)堡壘機(jī)的操作日志，其他用戶(hù)無(wú)權(quán)限。webaudit是堡壘機(jī)的內(nèi)置審計(jì)員賬號(hào)，負(fù)載堡壘機(jī)的日志和運(yùn)維審計(jì)。參考配置操作：以webaudit身份，web登陸：，進(jìn)行日志審計(jì)操作。安全審計(jì)堡壘機(jī)系統(tǒng)自動(dòng)存儲(chǔ)和備份日志信息。參考配置操作：無(wú)。堡壘機(jī)系統(tǒng)默認(rèn)自動(dòng)對(duì)日志和運(yùn)維記錄進(jìn)行存儲(chǔ)和備份。日志保存要求長(zhǎng)期堡壘機(jī)內(nèi)置2TB硬盤(pán)，可以保存3年以?xún)?nèi)的日志信息；硬盤(pán)空間滿(mǎn)后可以將日志信息導(dǎo)出至其他存儲(chǔ)介質(zhì)進(jìn)行長(zhǎng)期保存。安全防護(hù)堡壘機(jī)采用專(zhuān)門(mén)設(shè)計(jì)的安全、可靠、高效的硬件平臺(tái)。該硬件平臺(tái)采用嚴(yán)格的設(shè)計(jì)和工藝標(biāo)準(zhǔn)，保證高可靠性。操作系統(tǒng)經(jīng)過(guò)優(yōu)化和安全性處理，保證系統(tǒng)的安全性。采用強(qiáng)加密的SSL傳輸控制命令，完全避免可能存在的嗅探行為，確保數(shù)據(jù)傳輸安全。基線(xiàn)標(biāo)準(zhǔn)要求基線(xiàn)技術(shù)點(diǎn)（參數(shù)）說(shuō)明安全設(shè)置僅開(kāi)放443和22端口。在防火墻上設(shè)置阻止443和22端口外的其他端口訪(fǎng)問(wèn)堡壘機(jī)，以增強(qiáng)堡壘機(jī)的安全性。參考配置操作：參考防火墻配置手冊(cè)。堡壘機(jī)安全基線(xiàn)技術(shù)手冊(cè)全文共4頁(yè)，當(dāng)前為第4頁(yè)。堡壘機(jī)安全基線(xiàn)技術(shù)手冊(cè)全文共4頁(yè)，當(dāng)前為第4頁(yè)。運(yùn)維監(jiān)控系統(tǒng)Nagios和Centreon安全基線(xiàn)技術(shù)要求監(jiān)控工作主要由nagios完成，再通過(guò)ndo2db寫(xiě)入數(shù)據(jù)庫(kù)，最后由centreon調(diào)用顯示出來(lái)。有了centreon后就可以用web來(lái)操作了。基線(xiàn)技術(shù)要求基線(xiàn)標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明訪(fǎng)問(wèn)目錄安全隱藏訪(fǎng)問(wèn)目錄JMX-Console控制臺(tái)密碼設(shè)置JMX-Console控制臺(tái)密碼設(shè)置登錄控制臺(tái)的用戶(hù)名和密碼Web-Console登錄密碼設(shè)置Web-Console登錄密碼設(shè)置Web-Console登錄的用戶(hù)名和密碼Web服務(wù)端口號(hào)（可選）修改默認(rèn)8080端口號(hào)如果端口號(hào)與其他服務(wù)沖突，可修改此端口號(hào)日志文件設(shè)置設(shè)置自