IT主流设备安全基线技术规范-修编大纲.doc

Q/CSG XXXXXXXXXQ/CSG Q/CSG *中国南方电网责任有限公司企业标准中国南方电网责任有限公司 发 布201X-XX-XX 实施201X-XX-XX 发布IT主流设备安全基线技术规范IT Mainstream Devices Technical Security Baseline7目 次 前 言31范围42规范性引用文件43术语和定义44总则44.1指导思想44.2目标45安全基线技术要求55.1操作系统55.1.1AIX系统安全基线技术要求55.1.2Windows系统安全基线技术要求85.1.3Linux系统安全基线技术要求105.1.4HP UNIX系统安全基线技术要求135.2数据库165.2.1Oracle 数据库系统安全基线技术要求165.2.2MS SQL 数据库系统安全基线技术要求175.3中间件185.3.1WEB Logic中间件安全基线技术要求185.3.2Apache HTTP Server中间件安全基线技术要求195.3.3Tomcat中间件安全基线技术要求205.3.4IIS中间件安全基线技术要求215.4路由器/交换机215.4.1Cisco 路由器/交换机安全基线技术要求215.4.2华为网络设备安全基线技术要求235.4.3中兴路由器/交换机安全基线技术要求245.5防火墙265.5.1Cisco防火墙（Pix ASA FWSM）安全基线技术要求265.5.2Juniper(NetScreen系列)防火墙安全基线技术要求275.5.3Nokia(CheckPoint系列)防火墙安全基线技术要求285.5.4中兴通讯ICT（US系列）防火墙安全基线技术要求30前 言 为了规范中国南方电网有限责任公司（以下简称“公司”）IT主流设备安全管理，建立统一的IT主流设备安全防护技术要求，提高业务系统支撑平台的安全性，有效支持各业务系统安全、稳定的运行，特制定本规范。本规范适用于公司管理信息大区所有信息系统相关支撑平台设备。本规范由公司标准化委员会批准。 本规范由公司信息部组织编写并解释。 本规范起草单位：。本规范主要起草人：。本规范主要审查人：。1 范围 本规范适用于中国南方电网有限责任公司及所属单位管理信息大区所有信息系统相关主流支撑平台设备。2 规范性引用文件下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本规范。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本规范。中华人民共和国计算机信息系统安全保护条例中华人民共和国国家安全法中华人民共和国保守国家秘密法计算机信息系统国际联网保密管理规定中华人民共和国计算机信息网络国际联网管理暂行规定ISO27001标准/ISO27002指南公通字200743号信息安全等级保护管理办法GB/T 21028-2007 信息安全技术 服务器安全技术要求GB/T 20269-2006 信息安全技术 信息系统安全管理要求GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南3 术语和定义 安全基线：指针对IT设备的安全特性，选择合适的安全控制措施，定义不同IT设备的最低安全配置要求，则该最低安全配置要求就称为安全基线。管理信息大区：发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统，原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区I)和非控制区(安全区)；管理信息大区内部在不影响生产控制大区安全的前提下，可以根据各企业不同安全要求划分安全区。根据应用系统实际情况，在满足总体安全要求的前提下，可以简化安全区的设置，但是应当避免通过广域网形成不同安全区的纵向交叉连接。4 总则4.1 指导思想围绕公司打造经营型、服务型、一体化、现代化的国内领先、国际著名企业的战略总体目标，为切实践行南网方略，保障信息化建设，提高信息安全防护能力，通过规范IT主流设备安全基线，建立公司管理信息大区IT主流设备安全防护的最低标准，实现公司IT主流设备整体防护的技术措施标准化、规范化、指标化。4.2 目标 管理信息大区内IT主流设备安全配置所应达到的安全基线规范，主要包括针对AIX系统、Windows系统、Linux系统、HP UNIX系统、Oracle数据库系统、MS SQL数据库系统,WEB Logic中间件、Apache HTTP Server中间件、Tomcat中间件、IIS中间件、Cisco路由器/交换机、华为网络设备、Cisco防火墙、Juniper防火墙和Nokia防火墙等的安全基线设置规范。通过该规范的实施，提升管理信息大区内的信息安全防护能力。5 安全基线技术要求5.1 操作系统（服务器）5.1.1 AIX系统安全基线技术要求 身份鉴别（1）原IT基线的描述方式如下：基线技术要求基线标准点（参数）说明口令策略1) maxrepeats=3 2) minlen=8 3) minalpha=4 4) minother=1 5) mindiff=4 6) minage=17) maxage=25（可选）8) histsize=101) 口令中某一字符最多只能重复3次2) 口令最短为8个字符3) 口令中最少包含4个字母字符4) 口令中最少包含一个非字母数字字符5) 新口令中最少有4个字符和旧口令不同6) 口令最小使用寿命1周7) 口令的最大寿命25周8) 口令不重复的次数10次（1）建议修订后的描述方式如下：基线名称操作系统密码复杂度安全基线要求项基线编号IB-Windows-01-01适用范围全部（或等保三级系统）基线类型强制要求（或可选要求）基线要求 最短密码长度 6个字符，启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的三种： l 1、英语大写字母 A, B, C, Z l 2、英语小写字母 a, b, c, z l 3、西方阿拉伯数字 0, 1, 2, 94、非字母数字字符，如标点符号，, #, $, %, &, *等配置方法进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略” “密码必须符合复杂性要求”，选择“已启动”备注 访问控制 安全审计 入侵防范 恶意代码防范 资源控制 其他5.1.2 Linux系统安全基线技术要求5.1.3 HP UNIX系统安全基线技术要求5.1.4 Windows系统安全基线技术要求5.1.5 Sorlaris系统安全基线技术要求（待定）5.2 数据库5.2.1 Oracle数据库安全基线技术要求5.2.2 MS SQL Server数据库安全基线技术要求5.2.3 MySQL数据库安全基线技术要求5.3 中间件5.3.1 WebLogic中间件安全基线技术要求5.3.2 Apache HTTP Server中间件安全基线技术要求5.3.3 Tomcat中间件安全基线技术要求5.3.4 IIS中间件安全基线技术要求5.4 网络设备5.4.1 Cisco路由器/交换机安全基线技术要求5.4.2 华为路由器/交换机安全基线技术要求5.4.3 中兴路由器/交换机安全基线技术要求（缺）5.4.4 Juniper防火墙安全基线技术要求5.4.5 Cisco防火墙（Pix ASA FWSM）安全基线技术要求5.4.6 Nokia（CheckPoint）防火墙安全基线技术要求5.4.7 华为防火墙安全基线技术要求5.4.8 中兴防火墙安全基线技术要求（缺）5.4.9 迪普防火墙安全基线技术要求5.4.10 启明星辰防火墙安全基线技术要求（缺）5.4.11 Fortigate防火墙安全基线技术要求（缺）5.4.12 伟思网闸安全基线技术要求5.4.13 迪普IPS/IDS安全基线技术要求5.4.14 启明星辰IPS/IDS安全基线技术要求5.4.15 蓝盾IPS/IDS安全基线技术要求（缺）5.4.16 F5负载均衡设备安全基线技术要求（缺）5.4.17 深信