网站主机系统安全管理规范要点

文件名称主机系统完全管理规范密级文件编号版本号编写部门编写人审批人发布时间主机系统安全管理规范网络运行维护事业部目录一.主机系统安全概述 1二.操作系统安全 22.1补丁状况及安全防护 22.1.1系统补丁安装原则 22.1.2病毒防范 22.1.3入侵检测与防范 32.2鉴别与控制 32.2.1身份鉴别 32.2.2口令与帐号 32.2.3远程访问控制 42.3系统服务 42.4文件系统安全 42.5日志配置要求 52.6备份与恢复 5三.数据库安全 63.1账户策略 63.1.1口令管理 63.1.2远程访问控制 63.2审计策略 73.3补丁升级 73.4备份与恢复 7四.附录 84.1操作系统安全配置规范 84.2数据库安全配置规范 8主机系统安全概述主机系统作为信息存储、传输、应用处理的基础设施，其自身安全性可能影响整个业务平台的安全。作为业务平台系统中重要的组成部分，各种业务系统主机数量众多，资产价值高，面临的安全风险极大。一方面，主机系统是各类业务系统数据和信息的主要载体，这些业务数据和信息是系统信息资产的重要组成部分；另一方面，病毒、攻击入侵等安全威胁很容易通过访问主机系统的终端渗透到后台各种业务应用和服务主机中，从而对业务平台系统的整体安全带来危害。本规范制定的目标是统一业务平台的主机系统技术规范，指导业务平台主机的安全配置和维护，从而提高业务平台各系统总体安全水平。

操作系统安全补丁状况及安全防护系统补丁安装原则对于操作系统，安全漏洞的存在是不可避免的，因此需要针对系统的缺陷进行漏洞的修补，但考虑到补丁与现有业务系统的兼容性不能盲目的进行漏洞修补，漏洞的修复工作必须慎重操作，主机系统的漏洞补丁升级需要满足以下技术要求：应采用专业的漏洞扫描、评估技术对操作系统（如：Windows、Linux、Unix、第三方软件）进行定期安全评估，并根据结果对系统进行修复；在对操作系统的补丁进行更新前，应对补丁与现有业务系统的兼容性进行测试，确认后与系统提供厂商配合进行相应的修复；应对操作系统的漏洞发展情况进行跟踪，形成详细的安全更新状态报表。安装补丁软件包则以必要为原则，非必需的包就不装。病毒防范考虑现阶段类UNIX平台的病毒风险情况，暂时对UNIX平台病毒防护不作特别要求，但需要关注最新UNIX平台病毒发展状况和对已知病毒进行严格的防范。针对业务平台中windows平台主机系统需要采用适当的病毒防护系统进行病毒、恶意代码等的防治，防病毒系统应满足如下要求：主机系统必须安装统一的病毒防治产品，应在应用系统厂商指导下部署实时检测和查杀恶意代码的软件产品；支持通过防病毒服务器设置统一的防毒策略，实时防治病毒；防病毒系统应自动保持防病毒代码的更新，或者通过运维操作员进行手动更新。入侵检测与防范通过主机入侵检测系统、主机日志系统等主机安全技术，结合网络安全技术（如网络入侵检测系统、防火墙等），实现对各种已知入侵行为的检测，记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警。鉴别与控制身份鉴别身份鉴别用于验证实体身份（是用户、计算机、程序等）的过程，该过程确定实体是它所声称的身份。由于主机系统承载着应用系统重要的业务和数据信息，这对于业务平台系统资产重要性和保护力度来说是重中之重，因此应采用严格身份鉴别技术用于主机系统用户的身份鉴别，操作系统的身份鉴别应满足下列技术要求：应对登录操作系统的用户进行身份标识和鉴别；满足登录过程的身份认证，提供多种身份鉴别方式，如设置复杂的口令，数字证书，动态口令，PKI体系等主流的身份鉴别方式；对于重要业务系统可考虑对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别；口令与帐号操作系统安全的一个重要方面是对有管理权限访问计算机资源，或者服务的用户和组进行管理，从操作系统帐户角度出发，帐户管理应满足如下的要求：结合帐号密码管理策略，对帐号口令、登录策略等进行控制；应采用合适的安全措施，严格进行主机系统口令文件的保存；用户对操作系统文件的访问权限，应该进行严格的限制；能限制帐户的登录方式，例如桌面登录、服务登录、远程拨号，或者光驱CD-ROM、软驱FDD启动。远程访问控制远程访问用于服务器的远程控制，用户从任何一点就可以远程控制主机系统，但远程访问管理须具备较高的安全防护能力，防止受到恶意攻击或利用。考虑到远程访问控制的高风险性，需要应用安全的方式进行，因此远程访问控制应满足下列的安全要求：应严格限制匿名用户的访问权限；支持设置某一用户可以进行的最大连接数；远程访问的客户端和服务器端之间的数据传输应该进行加密；应对用户进行严格的访问控制，应采用最小授权原则，分别授予不同用户各自为完成自己承担任务所需的最小权限；主机系统应对连接超时进行限制，当用户登录设备后，一段时间未进行操作后，就将自动中断此用户的连接；应通过设定终端接入方式、网络地址、端口范围等条件限制终端登录。系统服务操作系统中默认开启很多不必要的服务,考虑到系统的安全性,系统服务应符合如下安全规范：禁用日常工作中不需要使用的服务，减小系统负荷，同时也能降低某些服务中未知的漏洞所带来的风险。通过SNMP服务，远程恶意用户可以列举本地的帐号、帐号组、运行的进程、安装的补丁和软件等敏感信息，禁用或修改SNMP配置可以有效防止远程恶意用户的这类行为。Windows自动播放功能存在安全隐患，需要关闭自动播放功能。Linux系统应检查系统openssh安全配置，禁止使用协议1，和使用root直接登录Linux和Unix系统应检查系统root用户环境变量path设置中是否包含”.”(root为了方便使用在他的当前路径末尾加了个点"."，存在安全隐患)Soloris系统中应配置使用SSH等加密协议代替Telnet。文件系统安全文件系统应符合如下安全规范：Windows操作系统应要确保服务器上的所有分区都使用NTFS格式化，NTFS分区提供访问控制和保护功能，这些都是FAT、FAT32或FAT32x文件系统所无法提供的。Linux和unix操作系统：检查关键文件的属性,把重要文件加上不可修改属性检查关键文件的权限，/etc/shadow文件属性应为400，/etc/xinetd.conf文件属性应为600检查系统umask设置，新创建的文件属主读写执行权限，同组用户读和执行权限，其他用户无权限日志配置要求操作系统日志配置应符合如下安全规范：Windows操作系统：加强审核策略，以便出现安全问题后进行追查。设置日志容量和覆盖规则，保证日志存储。启用IIS日志记录，并设置新日志时间间隔为每天。Linux和unix操作系统：检查系统日志审核，系统是否开启了日志审核设备应配置日志功能，记录对与设备相关的安全事件。系统日志应对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。备份与恢复操作系统的备份主要是指在系统正常、数据完好的情况下，对其进行备份；恢复是指由于各种原因导致数据的损坏、业务中断，将原备份的数据再恢复到当前运行的系统中来，恢复业务的正常运作。备份应该采用合适的技术手段，实现对主机系统进行备份，主要的技术要求如下：应对重要业务系统文件进行数据归档，用于日后的查询、分析；应该对系统进行恢复备份；应对主机系统进行统一的容灾备份；应具有对备份操作进行记录并可查询的功能。有测试环境的，应考虑每年做一次恢复性测试，以确保备份数据的可恢复性。备份内容应定期（<30天））转储存放到外部介质上（如磁带、光盘、服务器等），且上述外部介质应存放在应与业务系统不同的楼宇内。

数据库安全账户策略口令管理数据库的口令应符合如下要求：应按照用户分配账号，避免不同用户间共享账号；应删除或锁定与数据库运行、维护等工作无关的账号；对于采用静态口令进行认证的数据库，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类；<90天更新一次。更改数据库默认帐号的密码。应限制非法登录次数，通常设置为3次。在使用者尝试3次登录都未成功的情况下，就将直接中止连接；远程访问控制考虑到远程访问控制的高风险性，因此需要对远程访问控制进行严格限制，具体安全要求如下：应严格限制匿名用户的访问权限；应严格限制数据库管理员的远程访问权限，直接在业务平台中使用数据管理管理员帐号，如：mysql的root、mssql的sa、oracle的sysdba帐号；远程访问的客户端和服务器端之间的数据传输应该进行加密；应对用户进行严格的访问控制，应采用最小授权原则，分别授予不同用户各自为完成自己承担任务所需的最小权限；在某些应用环境下可设置数据库连接超时，比如数据库将自动断开超过10分钟的空闲远程连接。审计策略数据库应配置日志功能需满足一下技术要求：对用户登录进行记录，记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址。记录用户对数据库的操作，包括但不限于以下内容：账号创建、删除和权限修改、口令修改、读取和修改数据库配置、读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果。记录对与数据库相关的安全事件。应限制有DBA权限的用户访问敏感数据。数据库监听器（LISTENER）的关闭和启动设置密码。对无法实现上述功能的系统，应严格控制数据库帐号，限制直接登录数据库的帐号数量。一般人员数据操作应通过平台应用系统维护界面进行，并要求做好应用系统的登录操作日志管理。补丁升级数据库补丁升级应符合如下要求：升级前应当对数据库进行备份；应当安装最新的大版本补丁；应安装高危