堡垒机安全基线技术手册.docx

1.1 运维管控与安全审计系统1.1.1 绿盟堡垒机安全基线技术要求 设备管理转变传统IT 安全运维被动响应的模式，建立面向用户的集中、主动的运维安全管控模式，降低人为安全风险，满足合规要求，保障公司效益。基线标准要求基线技术点（参数）说明远程管理使用浏览器或第三方工具，采用HTTPS安全连接至堡垒机，进行对堡垒机的安全管理和审计，以及运维人员采用此方式登录堡垒机来操作目标设备。除初次设置堡垒机时，利用Console口完成对堡垒机的连接设置和管理外，主要是采用HTTPS安全连接的。参考配置操作：HTTPS是堡垒机系统默认协议。远程管理限制登录闲置超时时间设置登录闲置超时时间为5分钟参考配置操作：以堡垒机管理员（weboper）身份，web方式登陆堡垒机：，系统-系统配置-认证配置，web超时时间设置为600秒，确定。远程管理限制数据库审计外的其他无关服务限制无关网络服务，增强堡垒机的安全。参考配置操作：以堡垒机管理员（weboper）身份，web方式登陆堡垒机：，系统-系统配置-引擎，除数据库审计服务开启外，其他服务均关闭，确定。 用户账号与口令安全应配置用户账号与口令安全策略，提高设备账户与口令安全。基线技术要求基线标准点（参数）说明账号和密码管理更改系统初始帐号和密码系统内置账号weboper、webaudit和conadmin不能更改用户名，但必须在完成初始配置后，尽快修改缺省密码。参考配置操作：1、以堡垒机管理员（weboper）身份，web方式登陆堡垒机：，对象-用户，选择weboper，点右边的操作按钮，在弹出的对话框中，更改weboper的密码，确定。2、以堡垒机审计员（webaudit）身份，web方式登陆堡垒机：，对象-用户，选择webaudit，点右边的操作按钮，在弹出的对话框中，更改webaudit的密码，确定。3、在初次用console方式对堡垒机进行配置时，使用conadmin账号登陆后，应先修改conadmin用户的密码。账号和密码管理限制密码最短长度应将帐户密码最短长度设置为8位账号和密码管理控制密码复杂度密码必须是字母、数字和特殊字符任意两种组合账号和密码管理密码有效期每3个月更换一次用户密码账号登录最大登录尝试设置最大登录尝试次数参考配置操作：以堡垒机管理员（weboper）身份，web方式登陆堡垒机：，系统-系统配置-参数配置，登陆尝试次数设置为5次，确定。 日志与审计堡垒机支持“日志零管理”技术。提供：日志信息自动备份维护、提供多种详细的日志报表模板、全程运维行为审计（包括字符会话审计、图形操作审计、数据库运维审计、文件传输审计）基线技术要求基线标准点（参数）说明管理配置堡垒机审计员（webaudit）有权限审计堡垒机的操作日志，其他用户无权限。webaudit是堡垒机的内置审计员账号，负载堡垒机的日志和运维审计。参考配置操作：以webaudit身份，web登陆：，进行日志审计操作。安全审计堡垒机系统自动存储和备份日志信息。参考配置操作：无。堡垒机系统默认自动对日志和运维记录进行存储和备份。日志保存要求长期堡垒机内置2TB硬盘，可以保存3年以内的日志信息；硬盘空间满后可以将日志信息导出至其他存储介质进行长期保存。 安全防护堡垒机采用专门设计的安全、可靠、高效的硬件平台。该硬件平台采用严格的设计和工艺标准，保证高可靠性。操作系统经过优化和安全性处理，保证系统的安全性。采用强加密的SSL传输控制命令，完全避免可能存在的嗅探行为，确保数据传输安全。基线标准要求基线技术点（参数）说明安全设置仅开放443和22端口。在防火墙上设置阻止443和22端口外的其他端口访问堡垒机，以增强堡垒机的安全性。参考配置操作：参考防火墙配置手册。1.1 运维监控系统1.1.1 Nagios和Centreon安全基线技术要求监控工作主要由nagios完成，再通过ndo2db写入数据库，最后由centreon调用显示出来。有了centreon后就可以用web来操作了。基线技术要求基线标准点（参数）说明访问目录安全隐藏访问目录JMX-Console控制台密码设置JMX-Console控制台密码设置登录控制台的用户名和密码Web-Console登录密码设置Web-Console登录密码设置Web-Console登录的用户名和密码Web服务端口号（可选）修改默认8080端口号如果端口号与其他服务冲突，可修改此端口号日志文件设置设置自动清理规则，定期