信息安全配置基线(整理)

千里之行，始于足下。第2页/共2页精品文档推荐信息安全配置基线(整理)Win2003&2008操作系统安全配置要求

2.1.帐户口令安全

帐户分配：应为别同用户分配别同的帐户，别允许别同用户间共享同一帐户。

帐户锁定：应删除或锁定过期帐户、无用帐户。

用户拜访权限指派：应只允许指定授权帐户对主机举行远程拜访。

帐户权限最小化：应依照实际需要为各个帐户分配最小权限。

默认帐户治理：应对Administrator帐户重命名，并禁用Guest（宾客）帐户。

口令长度及复杂度：应要XXX作系统帐户口令长度至少为8位，且应为数字、字母和特别符号中至少2类的组合。

口令最长使用期限：应设置口令的最长使用期限小于90天。

口令历史有效次数：应配置操作系统用户别能重复使用最近5次（含5次）已使用过的口令。

口令锁定策略：应配置当用户延续认证失败次数为5次，锁定该帐户30分钟。

2.2.服务及授权安全

服务开启最小化：应关闭别必要的服务。

SNMP服务同意团体名称设置：应设置SNMP同意团体名称别为public或弱字符串。

系统时刻同步：应确保系统时刻与NTP服务器同步。

DNS服务指向：应配置系统DNS指向企业内部DNS服务器。

2.3.补丁安全

系统版本：应确保操作系统版本更新至最新。

补丁更新：应在确保业务别受妨碍的事情下及时更新操作系统补丁。

2.4.日志审计

日志审核策略设置：应合理配置系统日志审核策略。

日志存储规则设置：应设置日志存储规则，保证脚够的日志存储空间。

日志存储路径：应更明天志默认存放路径。

日志定期备份：应定期对系统日志举行备份。

2.5.系统防火墙：应启用系统自带防火墙，并依照业务需要限定允许通讯的应用程序或端口。

2.6.防病毒软件：应安装由总部统一部署的防病毒软件，并及时更新。

2.7.关闭自动播放功能：应关闭Windows自动播放功能。

2.8.共享文件夹

删除本地默认共享：应关闭Windows本地默认共享。

共享文件权限限制：应设置共享文件夹的拜访权限，仅允许授权的帐户共享此文件夹。

2.9.登录通信安全

禁止远程拜访注册表：应禁止远程拜访注册表路径和子路径。

登录超时时刻设置：应设置远程登录帐户的登录超时时刻为30分钟。

限制匿名登录：应禁用匿名拜访命名管道和共享。

RedHatLinux5&6、Solaris9&10、HP-UNIX11操作系统安全配置要求

2.1.帐户口令安全

帐户共用：应为别同用户分配别同系统帐户，别允许别同用户间共享同一系统帐户。

帐户锁定：应删除或锁定过期帐户或无用帐户。

超级治理员远程登录限制：应限制root帐户远程登录。

帐户权限最小化：应依照实际需要为各个帐户设置最小权限。

口令长度及复杂度：应要XXX作系统帐户口令长度至少为8位，且应为数字、字母和特别符号中至少2类的组合。

口令最长使用期限：应设置口令的最长生存周期小于等于90天。

口令历史有次数：应配置操作系统用户别能重复使用最近5次（含5次）内已使用的口令。

口令锁定策略：应配置用户当延续认证失败次数超过5次（别含5次），锁定该帐户30分钟。（Solaris9&10、RedHatLinux5&6、AIX5）

应配置当用户延续认证失败次数超过5次（别含5次），锁定该帐户。（UNIX11）2.2.服务及授权安全

重要文件名目权限：应依照用户的业务需要，配置文件及名目所需的最小权限。

应对文件和名目举行权限设置，合理设置重要名目和文件的权限（AIX5）用户缺省拜访权限：应配置用户缺省拜访权限，屏蔽掉新建文件和名目别该有的拜访允许权限。（UNIX11、RedHatLinux5&6、AIX5无屏蔽……权限）

服务开启最小化：应关闭别必要的服务。

系统时刻同步：应确保系统时刻与NTP服务器同步。

DNS服务器指定：应配置系统DNS指向企业内部DNS服务器。

2.3.补丁安全：应在确保业务别受妨碍的事情下及时更新操作系统补丁。

2.4.日志审计

日志审计功能设置：应配置日志审计功能。

日志权限设置：应合理配置日志文件的权限。（Solaris9&10、RedHatLinux5&6）应配置帐户对日志文件读取、修改和删除等操作权限举行限制。（UNIX11、AIX5）日志定期备份：应定期对系统日志举行备份。

网络日志服务器设置（可选）：应配置统一的网络日志服务器。

2.5.防止堆栈溢出设置：应设置防止堆栈缓冲溢出。

2.6.登录通信安全

远程治理加密协议：应配置使用SSH等加密协议举行远程治理，禁止使用Telnet等明文传输协议。

登录超时时刻设置：应设置登录帐户的登录超时为30分钟。

SQLServer2005&2008数据库安全配置要求

2.1.帐户口令安全

帐户共用：应为别同用户分配别同的数据库帐户，别允许多个用户共用同一具数据库帐户。

帐户锁定：应删除或禁用无关帐户。

禁止治理员帐户启动SQLServer服务：应禁止使用治理员帐户启动SQLserver服务。

帐户策略：应在SQLServer帐户策略中启用操作系统帐户策略，即继承操作系统帐户策略。

2.2.权限最小化：应依照用户的业务需要，配置其数据库所需的最小权限。

2.3.日志审计

登录审核：配置登录审核，记录取户登录操作。

C2审核跟踪：启用C2审核跟踪。

2.4.禁用别必要的存储过程：应禁用别必要的存储过程。

2.5.补丁安全：应在确保业务别受妨碍的事情下及时安装更新操作系统和SQLServer补丁。

2.6.拜访IP限制：应只允许信任的IP地址经过监听器拜访数据库。配置防火墙限制，只允许与指定的IP地址建立1433的通讯（从更为安全的角度思考，可将1433端口改为其他的端口）。

2.7.连接数设置：应依照服务器性能和业务需求，设置最大并发连接数。

2.8.数据库备份：应每周对数据库举行一次完整备份。

Oracle9i&10g&11g数据安全配置要求

2.1.帐户口令安全

禁止帐户共用：应为别同用户分配别同的数据库帐户，别允许多个用户共用同一数据库帐户。

帐户锁定：应锁定或删除无关帐户。

限制DBA组帐户：DBA组仅添加Oracle帐户。

口令长度及复杂度：应要求数据库系统口令长度至少为8位，且应为数字、字母和特别符号中至少2类的组合。

口令过期警告天数：应将口令过期警告天数设置为很多于7天（提早7天通知更改口令）。

口令最长使用天数：应将口令最长生存期别长于90天。

口令历史有效次数：应配置数据库帐户别能重复使用最近5次（含5次）内已使用的口令。

口令锁定策略：关于采纳静态口令认证的系统，应配置当用户延续认证失败次数超过5次（别含5次），锁定该帐户。

帐户锁定时刻：当用户延续认证失败次数超过5次（别含5次），锁定该帐户30分钟。

系统帐户口令安全：应修改数据库系统帐户的默认口令。

2.2.服务及授权

权限最小化：应依照用户的业务需要，配置数据库帐户所需的最小权限。

限制特权帐户远程登录：应限制特权帐户远程登录。

2.3.日志审计：应启用数据库审计功能。

2.4.补丁安全：应在确保业务别受妨碍的事情下及时更新数据库补丁。

2.5.拜访IP限制：应只允许信任的IP地址经过监听器拜访数据库。

2.6.连接数设置：应依照服务器性能和业务需求，设置最大并发连接数。

2.7.数据库备份：应定期对数据库举行备份。

IIS6&7安全配置要求

2.0.帐户安全：应依照实际事情，删除或锁定IIS自动生成的无用帐户。（IIS6）2.1.文件系统及拜访权限：

更改站点路径：应更改站点路径为非系统分区。

站点名目权限：应确保站点名目的所有权限别分配给Everyone。

主名目权限配置：应合理设置站点“主名目”的权限。（IIS6）

禁止名目扫瞄：应禁止扫瞄站点名目。（IIS7）

站点名目的功能权限：应禁止站点名目的执行权限。（IIS7）

站点上传名目的功能权限：应禁止站点上传名目的执行和足本权限。

2.2.最小化服务：

匿名拜访权限：应确保每个站点的匿名拜访帐户是相互独立的，且只存在于Guests组。

IIS服务组件：应删除IIS应用服务中别需要的组件服务。

Web服务扩展：应禁用站点别需要的Web服务扩展。（IIS6）

删除别必要的足本映射：应删除别必要的足本映射。

2.3.日志审计：

日志启用：应启用日志记录功能。（IIS6）

日志存储：应更明天志默认的存放路径。

2.4.连接数限制：应合理设置最大并发连接数和最大带宽值。

连接数限制：应合理设置最大连接数和最大带宽值。（IIS6）

2.5.自定义错误页面：应自定义错误页面。

Tomcat6&7安全配置要求

2.1.帐户口令安全

帐户共用：应为别同的用户分配别同的Tomcat帐户，别允许别同用户间共享Tomcat帐户。

帐户锁定：应删除过期、无用帐户。

口令复杂度：应要求Tomcat治理帐户口令长度至少8位，且为数字、字母和特别符号中至少2类的组合。

2.2.权限最小化：应仅允许超级治理员具有远程治理权限。

2.3.日志审计：应为服务配置日志功能，对用户登录事件举行记录，记录内容包括用户登录使用的帐户，登录是否成功，登录时刻，以及远程登录时使用的IP地址等信息。

2.4.远程拜访加密：应对Tomcat的远程拜访举行加密。

2.5.更改默认治理端口：应更改Tomcat服务默认治理端口。

2.6.自定义错误页面：应重定向Tomcat的错误页面。

2.7.名目扫瞄：应禁止站点名目扫瞄。

2.8.连接数设置：应依照服务器性能和业务需求，设置最大连接数。

Apache2.2&2.4安全配置要求

2.1帐号安全：应以非系统帐号运行Apache。

2.2.文件与名目安全

Apache主名目权限：应严格操纵Apache主名目的拜访权限，非系统特权用户别能修改该名目下的文件。

文件权限：应严格限制配置文件和日志文件的拜访权限。

禁止拜访外部文件：应禁止Apache拜访Web名目之外的任何文件。

删除缺省安装无用文件：应删除缺省安装的无用文件。

禁止名目扫瞄：应禁止站点名目扫瞄。

2.3.连接与通信安全

连接数设置：应合理设置最大并发连接数。

禁用惊险HTTP办法：应禁用PUT、DELETE等惊险的HTTP办法。

2.4.信息泄露防范

躲藏Apache版本号：应躲藏Apache版本号信息。

自定义错误页面内容：应自定义错误页面。

2.5.日志审计：应合理配置审计策略。

2.6.补丁更新：应及时更新补丁。

2.7.其他

禁用CG：应禁用CGI程序。

关闭TRACE：应关闭TRACE办法。

WebLogic8&9&10安全配置要求

2.1.帐户口令安全

帐户共用：应为别同的用户分配别同的Weblogic帐户，别允许多个用户共用同一具帐户。

帐户清理：应删除过期、无用帐户。

禁止以特权身份运行：应禁止以特权用户身份运行WebLogic。

口令长度：应设置Weblogic帐户口令长度至少为8位。

帐户封锁：应配置当帐户延续认证失败次数超过5次（别含5次），锁定该帐户30分钟。

2.2.日志审计

日志启用：应启用日志功能。

审计策略：应合理配置审计策略。

2.3.Keystore和SSL设置：应合理设置Keystore和SSL。

2.4.运行模式：应更改运行模式为“ProductionMode”。

2.5.SenderServerHeader：应禁用SendServerheader。

2.6.删除Sample程序：应删除sample程序。

2.7.自定义错误页面：应自定义错误页面。

2.8.超时时刻策略：应依照具体应用，合理设置session超时时刻。

2.9.连接数设置：应合理设置最大连接数。

2.10.主机名认证：应开启主机名认证。

Web应用安全配置要求

2.1.帐号口令安全

身份认证：应对应用系统用户登录举行身份认证。

帐号治理：应禁用或删除应用系统默认、无用或测试帐号。