中国电信业务平台分等级安全基线规范（试行）.doc

中国电信业务平台分等级安全基线规范（试行）2011年12 月2 业务平台分等分级安全基线规范目录前言7适用范围7引用文献7术语、定义和缩略语8一、平台等级划分方案10二、各等级平台安全运维基线要求10三、业务平台安全基线规范细则12（一）安全防护管理121 安全域划分与防护规范131.1.概述131.1.1.背景131.1.2.划分目的131.2.安全域划分的必要性和原则131.2.1.安全域划分的必要性141.2.2.安全域划分原则141.3.安全域划分151.3.1.安全域划分总体思路及示例151.3.2.安全域划分方法151.4.安全域防护182 安全配置基线规范242.1.主机系统安全配置规范242.1.1.Windows系统安全配置规范242.1.2.Linux系统安全配置规范242.1.3.HP-UX系统安全配置规范242.1.4.Solaris系统安全配置规范242.1.5.AIX系统安全配置规范242.2.数据库安全配置规范242.2.1.MS SQL Server安全配置规范242.2.2.Oracle安全配置规范242.2.3.MySQL安全配置规范252.2.4.Informix安全配置规范252.3.中间件安全配置规范252.3.1.Apache安全配置规范252.3.2.TOMCAT安全配置规范252.3.3.IIS安全配置规范252.3.4.WebSphere安全配置规范252.3.5.Weblogic安全配置规范252.4.网络设备安全配置规范252.4.1.华为路由器安全配置规范252.4.2.CISCO路由器/交换机安全配置规范262.4.3.CISCO防火墙安全配置规范262.4.4.Juniper路由器安全配置规范262.4.5.NetScreen防火墙安全配置规范262.4.6.H3C交换机安全配置规范262.4.7.中兴交换机安全配置规范263主机端口安全规范273.1.高危端口273.2.数据库端口273.3.远程管理端口283.4.其他端口284 应用系统安全规范305 设备账号口令规范315.1.操作系统账号口令安全315.1.1.Windows系统315.1.2.Linux系统315.1.3.HP-UX系统325.1.4.Solaris系统335.1.5.AIX系统335.2.数据库账号口令安全345.2.1.Oracle345.2.2.MS SQL server355.2.3.Sybase355.2.4.DB2365.3.中间件账号口令安全365.3.1.FTP365.3.2.Apache375.3.3.IIS375.3.4.Tomcat375.3.5.WebLogic38（二）容灾备份规范391 业务平台灾备能力要求391.1备份功能391.1.1软件及数据备份功能3文件备份功能3目录备份功能3逻辑分区备份功能391.1.2硬件冗余功能3基础设施冗余3核心设备的冗余3配件资源冗余401.2恢复功能401.2.1软件及数据恢复40文件恢复功能40目录恢复功能40逻辑分区恢复功能401.2.2硬件恢复功能401.3管理功能401.3.1管理员身份鉴别401.3.2报警功能4事件实时报警4报警方式411.3.3审计功能4可审计事件4审计跟踪管理411.4备份数据安全保护411.4.1还原数据所在区域保护411.4.2完整性校验412业务平台主要灾备应用及策略选择422.1日常维护中突发故障处理422.1.1设备自动切换422.1.2设备手动切换422.1.3系统人工切换422.1.4人工恢复数据422.1.5市电保障422.2升级割接432.2.1系统割接前备份432.2.2可主备分离的升级割接432.2.3无法实施主备分离的升级割接432.2.4无热备设备的升级割接432.2.5系统遭到攻击或者人为损害432.3备份及恢复策略考虑因素442.3.1备份因素分析4业务平台重要性4硬件设备、基础运行系统（操作系统、中间件、数据库）重要性442.3.2恢复因素分析4灾难危害程度4恢复方案选择443 业务平台主要备份策略453.1基础设施冗余策略453.2硬件设备冗余策略453.3软件及数据备份策略463.4系统级的集中备份策略483.4.1远程集中备份系统483.4.2系统异地灾备484 业务平台恢复时间计算484.1确定容灾切换时间目标（RTO）及容灾切换点目标（RPO）484.2容灾切换时间和切换点目标规范49（三）应急预案规范501.1.应急资源配套501.1.1.人员和组织保障501.1.2.网络保障501.2.应急预案制定511.2.1.应急预案的编制要求511.2.2.应急预案主要内容511.2.3.应急预案的更新521.3.应急预案演练531.3.1.应急预案的培训531.3.2.应急预案的演练531.3.3.应急预案演练要求531.3.4.应急预案演练内容53附录一 Windows配置规范54附录二 Linux配置规范78附录三 HP-UX配置规范87附录四 Solaris配置规范104附录五 AIX配置规范120附录六 MS SQL Server配置规范132附录七 Oracle配置规范140附录八 MySQL配置规范149附录九 Informix配置规范155附录十 Apache配置规范166附录十一 IIS配置规范173附录十二 Tomcat配置规范182附录十三 WebSphere配置规范18753前言为进一步提高业务网络安全维护水平，解决目前平台及业务数量不断增加、安全隐患风险不断加大与人员配套相对乏力的问题，从而保障重点业务平台网络安全、稳定、高效运行，明确相应的差异化维护原则，使得平台的投入、产出相一致，最大化发挥维护效益。本规范针对上述情况，提出中国电信业务平台分等级安全基线规范（试行）。首先以电信核心业务流程为出发点，按照不同的安全要求级别，将业务平台划分安全等级，然后针对不同安全等级的业务平台提出了详细的安全要求，同时为业务平台建设和维护单位提供了相应的配置基线和指南。本规范主要包括以下几方面内容：平台等级划分方案、各等级平台安全运维基线要求、业务平台安全基线规范细则等。本规范由江苏省电信，福建省电信，浙江省电信，广西省电信，广东省电信，中国电信北京研究院协助编制。规范编写成员：渠凯，陈军，王渭清，杨晓光，魏渊，陈凯，李深，潘梁，邓志红，陈聪，林贵东，庞浩本规范的最终解释权归中国电信集团公司网络运行维护事业部。适用范围本规范聚焦于中国电信业务平台安全要求的等级划分，适用于中国电信各集团、基地和省级业务平台，为中国电信业务平台实施安全等级防护提供了依据和指导。引用文献中国电信通信网络安全防护管理办法（中国电信2010531号）中国电信增值业务平台安全管理办法(试行)（电信运维20101261号）关于印发操作系统等安全配置要求的通知（中国电信2011555 号）中国电信网管系统安全技术规范（即将下发）中国电信互联网及相关网络安全域划分与边界整合技术要求（即将下发）中国电信新建业务平台安全验收管理办法（即将下发）计算机信息系统安全保护等级划分准则（GB 17859-1999）术语、定义和缩略语1、 安全域 security domain指在安全策略的统一指导下，根据各套系统的工作属性、组成设备、所携带的信息性质、使用主体、安全目标等，将相关的网络单元、平台单元划分成不同的域，并将不同单元中具有相近安全属性的组成部分归纳在同级或者同一域中。安全域可根据其管理需求的不同（如：维护管理部门的不同）、地域的不同（如：一个网络或系统的不同物理节点）、数据分类的不同（如：安全域中的核心计算域、 核心网络域），进一步划分为若干安全子域。2、关键业务功能critical business functions如果中断一定时间，将显著影响单位运作的服务或职能。3、恢复时间目标（RTO） recovery time objective灾难发生后，信息系统或业务功能从停顿到必须恢复的时间要求。4、恢复点目标（RPO） recovery point objective灾难发生后，系统和数据必须恢复到的时间点要求。5、灾难备份backup for disaster recovery为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、技术支持能力和运行管理能力进行备份的过程。6、灾难恢复预案disaster recovery plan信息系统灾难恢复过程中所需的任务、行动、数据和资源的文件，用于指导相关人员在预定的灾难恢复目标内恢复信息系统支持的关键业务功能。缩写英文描述中文描述ACLAccess Control List访问控制列表CN2Chinatelecom Next Carrier Network中国电信下一代承载网络DCNData Communication Network数据通信网络IDSIntrusion Detection System入侵检测系统VLANVirtual Local Area Network虚拟局域网DDOSDistributed Denial of service分布式拒绝服务攻击DMZdemilitarized zone非军事化区一、平台等级划分方案根据现有业务平台用户规模、收入情况、设备数量、业务重要性、故障影响程度等多维度划分安全等级，分为A、B、C、D四类。原则如下：A类：承载业务重要性高，业务不可替代性强，业务发展需求强，平台设备数量多，投资额大，平台用户数量多，平台用户重要程度高，平台年收入高，故障影响程度大。B类：承载业务重要性中等，业务不可替代性一般，业务发展需求一般，平台设备数量中等，投资额一般，平台用户数量中等，平台用户重要程度中等，平台年收入中等，故障影响程度中等。C类：承载业务重要性低，业务不可替代性弱，业务发展需求弱，平台设备数量少，投资额小，平台用户数量少，平台用户重要程度低，平台年收入低，故障影响程度小。D类：承载业务重要性很低，业务不可替代性很弱，业务发展需求很弱，平台设备数量很少，投资额很小，平台用户数量很少，平台用户重要程度很低，平台年收入很低，故障影响程度很小。逐步迁移、淘汰、退网D类平台，原则上确定D类的不再进行新的投入，维持原状，逐步按计划归并、清退。注1：与本规范配套下发的中国电信增值业务平台分等级与安全域划分指引（试行稿）为等级划分提供了实施指南。注2：依据工信部关于开展通信网络单元安全防护定级备案调整工作的通知（工信保函【2010】14号）中对网络单元的定级要求。A类业务平台定为3.1级，B、C类业务平台定2级，D类业务平台定位1级。二、各等级平台安全运维基线要求鉴于目前各级业务平台存在单点、硬件质量差、应用软件隐患多、安全漏洞多、监控手段薄弱、安全防护措施少等多种问题，为集中精力做强做精重点业务平台，保证安全稳定运行，对于业务平台在建设初期必须具备的安全运维要求进行规范和明确，并且在业务平台运营维护阶段也应依据安全运维要求实施定期检查，以进一步提高安全维护水平。项目子项目基线标准A类B类C类D类安全防护管理安全域划分：分为网络外部域、网络接入域、核心保护域、运营支撑域4个域要求划分要求划分建议划分建议划分安全域防护：网络外部域、网络接入域、核心保护域、运营支撑域具备边界防护策略要求具备要求具备建议具备建议具备同一平台下DCN与163网任意互访禁止禁止禁止禁止漏洞扫描频度（要求整改所有高、中风险漏洞）每月每月每季度每季度安全配置基线核查频度每月每月每季度每季度安全配置基线核查整改不合规配置项级别要求最重要、重要和轻最重要、重要和轻最重要和重要最重要和重要主机端口检查频度（要求关闭不必要开放端口）每月执行每月执行每季度每季度应用系统安全检查频度（要求整改所有漏洞）每月每月每季度每季度设备账号口令选用强口令，强制3个月必须更换选用强口令，强制3个月必须更换选用强口令选用强口令设备系统日志审计频度每周每周每月每月安全接入审计手段要求具备要求具备建议具备建议具备入侵检测防护要求具备建议具备建议具备建议具备web应用防护系统手段建议具备建议具备可不具备可不具备抗拒绝服务防护手段建议具备建议具备可不具备可不具备容灾备份冗余备份：影响业务的单点要求消除要求消除要求消除建议消除异地容灾建议具备可不具备可不具备可不具备系统的关键数据备份要求具备要求具备要求具备建议具备应急预案制定应急预案要求制定要求制定要求制定建议制定 应急演练要求演练要求演练建议演练建议演练其他利旧设备要求2年以内，极少发生硬件故障3年以内，极少发生硬件故障5年以内，较少发生硬件故障无要求系统能力负荷忙时峰值负荷与设计能力关系应不超过80%应不超过85%应不超过90%无要求 人员要求：维护人员具备A、B角要求具备要求具备要求具备建议具备厂商支撑能力应配备驻本地厂商支撑人员，能随时响应现场支撑需求，且充分熟悉业务应配备驻本地厂商支撑人员，可及时响应现场支撑需求，且熟悉业务应配备厂商支撑人员，可及时响应现场支撑需求，且熟悉业务建议应能获取到一定的厂商技术支撑三、业务平台安全基线规范细则（一）安全防护管理安全域划分的目的是结合中国电信业务平台的系统现状，制定了安全域划分框架，并在此基础上制定了各安全域的安全防护策略。通过安全域划分和边界防护使中国电信业务平台形成清晰、简洁的网络和系统架构，实现相关网络与系统之间严格访问控制的安全互连，形成完善的信息安全体系。1 安全域划分与防护规范1.1. 概述1.1.1. 背景中国电信业务平台及相关网络的建设是由于不断增长的业务需求驱动建设而成，初始的网络建设大多没有统一规划，有些系统是独立的网络，有些系统又是共用一个网络。而这些系统在业务特性、安全需求、安全等级、使用的对象、面对的威胁和风险等方面表现各不相同。信息系统安全体系的最终目标就是在技术可行和管理可行的前提下，将安全风险和隐患降低到一个可以接受的水平。要实现这一目标，需要解决的问题不仅仅是选购何种品牌的防火墙、IDS和考虑在何处安装这些安全设备，更是需要综合考虑如何在现有网络架构上安装何种安全设备才能发挥最大的作用。如果没有一个结构清晰、可靠实用、扩展灵活的信息系统，依然沿袭各套系统的安全建设自成体系、分散单一的常规做法，即使选用最先进的安全设备，那么也只能是搭建了一个空中楼阁，无法从根本上减弱信息系统所受到的安全威胁和隐患。因此，克服和改造信息系统整体结构的不足是电信业务平台网络安全的首要工作。为规划和建设一个完善安全的信息系统，需要引入安全域。1.1.2. 划分目的安全域划分的目的是结合中国电信业务平台的系统现状，制定了安全域划分框架，并在此基础上制定了各安全域的安全防护策略。通过安全域划分和边界防护使中国电信业务平台形成清晰、简洁的网络和系统架构，实现相关网络与系统之间严格访问控制的安全互连，形成完善的信息安全体系。1.2. 安全域划分的必要性和原则本文结合中国电信业务平台维护的实际情况，以及业界对安全域划分的实践经验，对业务网、业务系统及支撑系统确定了安全域划分的原则和方法。1.2.1. 安全域划分的必要性中国电信业务平台是一个较为复杂的系统，在支撑业务不断发展的前提下，如何保证网络、平台的安全性是一个巨大的挑战，对平台和网络进行区域划分，进行层次化、有重点的保护是保证系统与网络和信息安全的有效手段。目前中国电信业务平台主要存在以下问题： （1）随着中国电信业务的不断发展，业务平台的数量日益增多。相关平台的网络和系统在建设中缺乏科学、合理的安全建设思路，再加之网络和系统结构复杂，导致相关网络和系统的安全建设成效较低；（2）目前中国电信的业务平台存在边界不清晰、出口网络混乱的问题，业务领域之间的连接比较混乱，互连互通没有统一控制规范，随之带来安全防护困难，投资增大，而且容易产生疏漏。综上所述，只有通过明确安全域划分的原则，使之形成清晰、简洁的系统和网络构架，实现相关网络与网络、网络与系统及系统与系统之间的严格访问控制，才能更好的解决复杂系统的安全问题，提升安全建设的成效。1.2.2. 安全域划分原则中国电信业务平台安全域划分应循以下的基本原则：1） 结构合理原则根据系统在业务中承载的类型以及系统中设备所承担的工作角色，进行安全域划分，同时在安全域划分的基础上针对性的考虑安全产品的部署和安全防护策略设置；安全域的个数不应过多，否则在策略设置上过于复杂，会给今后管理带来很大不便，在划分的保证各个安全域之间路由或者交换跳数不应该过多。2） 投资保护原则安全域划分的目的是发挥安全产品的整体效能，在对网络结构改造的同时需要考虑保护已有投资，避免重复投入与建设。3） 可操作性原则安全域划分遵循可操作性原则，并不是对原有系统整体结构的彻底颠覆。4） 生命周期原则安全域的划分还要考虑到由于需求、环境不断变化带来的影响。因此，安全域的划分还需要考虑在相关网络及系统的需求设计、建设、运行维护等各个阶段进行审查，以保证安全域的有效性。1.3. 安全域划分1.3.1. 安全域划分总体思路及示例由于业务平台网络和系统结构的复杂性，安全域划分必须要基于对网络、系统与业务的充分理解，在保证业务正常开展的同时实现对安全域的有效隔离。根据安全域划分基本原则，中国电信业务平台安全域总体划分架构如图1.3-1。图1.31 安全域划分总体示意图将复杂的业务平台按照上图划分，可以得出以下优点：1) 维护界面清晰：属于业务平台范围的，由业务平台维护人员负责。2) 安全域边界清晰：按照物理结构和逻辑结构不同进行业务平台域划分，各域间边界清晰，易于部署各种安全防护策略。3) 可操作性强：对于安全等级不同的业务平台均可以参照套用。1.3.2. 安全域划分方法根据所处的运行环境划分信息系统。具有相同的或相似的运行环境意味着系统所面临的威胁相似，有利于采取统一策略的安全保护。根据中国电信业务系统的实际情况，划分为网络外部域、网络接入域、核心保护域和运营支撑域这四类安全域。在网络接入域、核心保护域这两类安全域内，根据系统结构、业务逻辑、安全威胁、风险大小、安全需求、控制成本等因素，继续划分安全子域，分别为网络设备域、网络保护域和核心网络域、核心计算域。核心保护域由多个业务平台组成，每个业务平台可细分为核心网络域和核心计算域这两个安全子域。核心网络域是在系统内部从网络架构上进行的划分，为网络层防护策略的具体落实提供基础；核心计算域落在核心保护域内，是数据处理和数据存储的区域，为主机系统层、应用层、数据层防护策略的具体落实提供基础。安全域划分示意图如图1.32图1.32 安全域划分示意图. 网络外部域网络外部域是整个业务平台网络的外部接入部分，包括互联网、CN2、DCN以及其他外部网络接入等。该域的主要功能是提供用户访问、网管数据传输、计费数据传输、业务数据传输等。. 网络接入域网络接入域是所有业务平台网络与其他外部接入网络进行通信的接入区域，是提供业务平台与外部网络互联的通道。主要功能包括路由汇聚转发，数据交换处理、访问控制限制和全网安全防护。依据对端网络功能和安全信任度的不同，网络接入域进一步划分为：网络设备子域、网络保护子域。.1 网络设备子域网络设备域是指为业务平台核心接入提供网络互联基础设施所在的区域。主要包括核心路由器、核心交换机、防火墙等与外部接入网络相连接的网络设备。网络设备域是跟外部网络连接的边缘节点，该域的网络设备主要负责转发从互联网、CN2网络和DCN网络访问业务平台的数据流，以及汇聚转发业务平台访问外部网络的路由信息和数据流。 .2网络保护子域网络保护域是由为全网业务平台接入提供安全防护的设备组成。主要承担从外部网络访问业务平台的业务流过滤，防御外部网络病毒、黑客攻击以及保障业务平台内部系统、网元安全的作用。主要部署防火墙、抗DDOS设备、入侵检测设备、网络操作审计和病毒、补丁统一管理系统等设备。. 核心保护域核心保护域是整个业务平台网络的重点保护区域，由多个业务平台组成，涵盖该业务平台内的所有网元设备。它以单个业务平台为保护单位，每个业务平台网络内部可进一步细分为核心网络子域、核心计算子域。.1核心网络域核心网络域与网络接入域不同，主要负责业务平台所有网元与网络接入域相连接的通道，是外部网络数据流访问该域内业务平台设备的第二道关卡，同时也是核心保护域内部其他业务平台访问该域内业务平台设备的重要保护关卡。核心网络域以防火墙、二-四层交换机为主要使用设备，负责该域中设备内、外部地址转换、路由转发和精确化防护策略配置。.2核心计算域核心计算域是单个业务平台内的核心组成部分，该域包括了业务平台的应用软件、操作系统、各类服务器和存储介质等网元。通过以上网元组成一套电信级的业务平台，对外提供各种各样的应用服务，对内进行业务数据交换和用户和局数据等关键数据存储备份。该域的设备主要包括各应用服务器、前置机、接口机主备小型机、数据库、存储系统、光钎交换机、磁带库、磁带机、网管/报表服务器日志/话单服务器等。. 运营支撑域运营支撑域指对业务平台维护提供运营支撑的专用区域，该域包括维护操作管理、集中网络管理、业务报表分析、业务拨测、信令跟踪等功能，主要提供给业务平台维护人员操作使用。由于该域的设备不会直接影响到业务的正常运转，因此在安全防护策略上与其他域的安全防护要求有所不同。该域的设备主要包括有平台维护终端、平台操作终端、网元网管终端、故障分析工具、信令跟踪工具、相关仪器仪表等。注：与本规范配套下发的中国电信增值业务平台分等级与安全域划分指引（试行稿）为实际情况下现有机房的改造，新机房建设过程中的安全域划分提出了建议，探索了云计算环境下安全域划分新思路。同时给出了先进省份在典型业务平台（号码百事通、彩信、WAP网关等）安全域划分的成功案例，为开展分等级安全域划分工作提供了指南。1.4. 安全域防护1.4.1 安全域防护总体要求安全域边界防护的总体要求是在支撑业务不断发展的前提下，通过安全域边界防护使中国电信业务平台形成清晰、简洁的网络布局和系统架构，使其便于管理和控制、将其安全风险和隐患降低到一个可以接受的水平。从而实现相关网络与系统之间严格访问控制的安全互连，形成完善的信息安全体系。1.4.2 安全域防护思路在安全域划分完毕后，就需要进行安全域边界防护的设计。安全域边界防护设计一般按照如下思路进行： （1） 对防护目标进行分析明确各安全域所提供的业务后，需要全面并深入分析各种服务所对应的数据流及其数据活动情况。同时，需要识别出防护目标所包含的网络设备、服务器、应用及与其系统或网络的互联现状，分析各业务在网络、系统、应用层的承载情况。（2） 对防护目标分析安全威胁以业务所对应的各种数据、数据流以及数据处理情况为防护对象，全面识别并梳理各要素在网络、系统、应用、内容等层次受到的安全威胁及脆弱性情况，并对防护目标进行评估，分析其可能受到的威胁、侵害和影响。（3） 确定防护目标的安全需求a) 以安全域承载的业务为出发点，分析各种业务的功能要求、持续性要求以及安全要求；b) 从自身的安全威胁、脆弱性状况及安全趋势走向，分析并提出防护目标的风险控制要求；c) 从等级保护的要求，分析防护目标的合规性安全需求；汇总以上三个方面的安全需求，进行归纳、整理，以明确最终的安全需求。（4） 规划安全防护策略安全防护策略是为了满足防护目标安全需求，而制定的一系列安全防护要求。通常需要对防护目标的总体安全需求进行整理，再按照一定次序逐步细化，以明确各个安全域的安全防护策略。（5） 制定安全防护规范根据防护目标及各个安全域的安全防护策略，明确相应的安全防护手段及其部署方式，明确防护目标中，各个设备应部署的安全防护策略，并检查安全防护是否满足安全服务所需的性能和安全需求。1.4.3 安全域防护原则（1）集中防护原则：防火墙、入侵检测、异常流量检测和过滤等基础安全技术防护手段以安全域划分为基础，进行集中部署，对多个安全域或子域提供集中防护；（2）分等级防护原则：根据通信行业“电信网和互联网安全防护体系”系列标准中安全等级防护的要求，对系统所在的边界部署符合其防护等级的安全技术手段；（3）分层防护原则：通过安全域的划分，从外部网络到子域之间存在多层安全防护边界，分层防护就是在每层防护边界上部署侧重点不同的安全技术手段和安全策略来实现对关键设备或系统的高等级防护。1.4.4 安全域防护策略安全域划分防护策略分等分级配置标准安全域安全子域防护策略A类B类C类D类网络接入域网络设备子域链路设备冗余要求具备要求具备要求具备建议具备路由协议加密要求具备要求具备要求具备建议具备ACL控制要求具备要求具备要求具备建议具备网络保护子域审计系统要求具备要求具备建议具备建议具备认证系统要求具备要求具备建议具备建议具备WEB防护设备要求具备要求具备建议具备建议具备补丁系统要求具备要求具备建议具备建议具备防病毒系统要求具备要求具备建议具备建议具备核心保护域核心网络子域链路设备冗余要求具备要求具备要求具备要求具备路由协议加密要求具备要求具备要求具备要求具备ACL控制要求具备要求具备要求具备要求具备VLAN划分要求具备要求具备要求具备要求具备防病毒系统要求具备要求具备要求具备要求具备补丁系统要求具备要求具备要求具备要求具备核心计算子域关键硬件冗余要求具备要求具备要求具备要求具备帐号审计要求具备要求具备要求具备要求具备数据库操作审计要求具备要求具备要求具备要求具备数据备份要求具备要求具备要求具备要求具备开启主机防火墙要求具备要求具备要求具备要求具备运营支撑域防病毒系统要求具备要求具备建议具备建议具备补丁系统要求具备要求具备建议具备建议具备帐号审计要求具备要求具备建议具备建议具备数据库操作审计要求具备要求具备建议具备建议具备ACL控制要求具备要求具备建议具备建议具备身份认证要求具备要求具备建议具备建议具备网络接入域防护策略网络接入域边界主要存在着拒绝服务攻击、漏洞利用、病毒蠕虫、口令猜测、防止恶意代码、黑客的攻击，以及审计和检测各种潜在的威胁。.1网络设备域防护策略（1） 边界的网络结构应设计合理，充分考虑可靠性、扩展性、可用性、安全性等要求，如提供链路冗余备份、设备冗余备份、合理设计网络带宽等，以避免单点故障的发生。（2） 对动态路由协议如OSPF,BGP要求启用加密认证机制，对静态路由协议要求遵循精细化配置原则，以保证网络协议的安全；（3） 在出口网络设备中与外部域连接的端口中启用ACL功能，针对基于网络传播的恶意代码（如冲击波）进行过滤。应用服务端口总体上要遵循最小化原则，只开放必要的应用端口，屏蔽其他端口，以防遭受攻击。.2网络保护域防护策略（1） 要求在安全保护域中部署入侵检测类（IDS类）产品和抗DDOS防护设备，提供对数据流的内容进行检测、发现、过滤和自动防护功能，以起到对数据流安全防护的作用。（2） 建议在安全保护域中部署操作审计和身份识别系统，提供维护分权认证管理和对全网设备相关事件、维护操作行为的安全审计。（3） 建议在安全保护域中部署WEB安全防护设备，对WEB应用提供防护。（4） 建议在安全保护域中部署补丁管理系统和病毒防护管理系统，提供对全网业务主机系统补丁更新管理和病毒防护工作。 核心保护域边界防护策略核心保护域主要承担本域内的主机、设备的互联和通信，以及与网络接入域内的主机、设备的通信功能。.1核心网络域边界防护策略（1） 要求核心网络域的边界结构应设计合理，充分考虑可靠性、扩展性、可用性、安全性等要求，如提供链路冗余备份、设备冗余备份、合理设计网络带宽等，以避免单点故障的发生。（2） 要求对动态路由协议如OSPF启用加密认证机制，对静态路由协议要求遵循精细化配置原则，以保证网络协议的安全，（3） 要求部署基于状态检测的防火墙进行访问控制。安全策略设置中，只允许特定的数据流通过防火墙，通信流控制要遵循访问控制配置最小化原则，除允许的业务通信外，严格禁止其他通信。安全策略设置可根据实际需要在防火墙上部署如地址映射、端口映射、主机映射等策略。（4） 要求核心网络域中使用的防火墙合理划分外部接口、内部接口和dmz等区域，并通过访问控制策略严格限制各区的互访要求。（5） 要求在核心网络域中的网络设备根据业务功能和安全等级的不同进行VLAN划分， VLAN跟VLAN之间根据具体的业务互访需要进行严格的访问控制限制。.2 核心计算域边界防护策略（1） 要求服务器上根据业务需求及时更新系统补丁，在条件允许的情况下要求操作系统升级到最新补丁。（2） 要求服务器上安装防病毒客户端软件，定时更新杀毒引擎和病毒库，实时监控主机的工作状况和网络访问情况，一旦发现有病毒发作，立即执行相应的操作，并进行告警处理。（3） 要求提供关键数据处理系统的硬件冗余。（4） 要求在主机操作系统和数据库管理系统上设置访问控制策略（或访问控制列表），控制主体（如用户）以用户和/或用户组的身份规定对客体（如文件或系统设备，目录表和存取控制表访问控制等）的访问行为。访问控制的覆盖范围应包括与信息安全直接相关的主体（如用户）和客体（如文件，数据库表等）及它们之间的操作（如读、写或执行）；访问控制的粒度应达到主体为用户级，客体为文件、数据库表级。（5） 要求设置主要服务器操作系统和主要数据库管理系统的特权用户权限分离，设置访问控制列表，严格限制匿名/默认用户的访问权限。同时启用操作系统和数据库系统的登录失败处理功能、非法登录的次数限制功能以及登录连接超时功能等。（6） 要求对业务系统上存储的重要用户数据、局数据和业务数据进行本地备份，并将本地备份列入日常维护作业计划。（7） 建议考虑在主机系统中部署基于系统的主机防火墙，对来访数据流IP地址、端口、协议等信息进行访问控制。（8） 建议提供异地数据备份功能，如利用通信网络将关键数据定时批量传送至备用场地业务系统上存储的重要数据应采用多种备份方式进行备份，如异地备份，外置存储备份等，以防护数据被破坏后无法及时恢复。 运营支撑域边界防护策略运营支撑域边界防护主要存在着系统自身漏洞、人员操作不当、恶意代码、病毒、数据安全等威胁。应采取的防护策略如下：（1） 要求运营支撑域中的终端要安装正版操作系统和应用软件，并及时更新系统补丁，在条件允许的情况下要求操作系统升级到最新补丁。（2） 要求终端上安装正版防病毒客户端软件，定时更新杀毒引擎和病毒库，实时监控主机的工作状况和网络访问情况，一旦发现有病毒发作，立即执行相应的操作，并进行告警处理。（3） 要求该域中的终端在纳入操作审计管理，设备上要开启日志审计功能，每次操作有记录保留可查。（4） 要求运营支撑域中的终端设备禁止访问互联网，只允许访问特定的业务平台服务器。终端和终端、终端和服务器之间的文件复制、拷贝和传送都要经过严格的病毒扫描和过滤。不得在运营支撑域中的终端上安装与生产无相关的软件。（5） 建议对登录操作系统和数据库系统的用户，采用动态口令认证系统实现身份认证，采用发放给用户的令牌和用户口令作为认证依据，通过应用服务器、接口主机中安装的认证代理与口令认证服务器联动实现动态身份认证。2 安全配置基线规范2.1. 主机系统安全配置规范2.1.1. Windows系统安全配置规范Windows系统安全配置规范的每项要求内容、操作方法、重要程度等，详见附录。2.1.2. Linux系统安全配置规范Linux系统安全配置规范的每项要求内容、操作方法、重要程度等，详见附录。2.1.3. HP-UX系统安全配置规范HP-UX系统安全配置规范的每项要求内容、操作方法、重要程度等，详见附录。2.1.4. Solaris系统安全配置规范Solaris系统安全配置规范的每项要求内容、操作方法、重要程度等，详见附录。2.1.5. AIX系统安全配置规范AIX系统安全配置规范的每项要求内容、操作方法、重要程度等，详见附录。2.2. 数据库安全配置规范2.2.1. MS SQL Server安全配置规范MS SQL Server数据库系统安全配置规范的每项要求内容、操作方法、重要程度等，详见附录。2.2.2. Oracle安全配置规范Oracle数据库系统安全配置规范的每项要求内容、操作方法、重要程度等，详见附录。2.2.3. MySQL安全配置规范MySQL数据库系统安全配置规范的每项要求内容、操作方法、重要程度等，详见附录。2.2.4. Informix安全配置规范Informix数据库系统安全配置规范的每项要求内容、操作方法、重要程度等，详见附录。2.3. 中间件安全配置规范2.3.1. Apache安全配置规范Apache安全配置规范的每项要求内容、操作方法、重要程度等，详见附录。2.3.2. TOMCAT安全配置规范TOMCAT安全配置规范的每项要求内容、操作方法、重要程度等，详见附录。2.3.3. IIS安全配置规范IIS安全配置规范的每项要求内容、操作方法、重要程度等，详见附录。2.3.4. WebSphere安全配置规范WebSphere安全配置规范的每项要求内容、操作方法、重要程度等，详见附录。2.3.5. Weblogic安全配置规范Weblogic安全配置规范的每项要求内容、操作方法、重要程度等，详见附录。2.4. 网络设备安全配置规范2.4.1. 华为路由器安全配置规范华为路由器安全配置规范的每项要求内容、操作方法、重要程度等，详见附录。2.4.2. CISCO路由器/交换机安全配置规范CISCO路由器/交换机安全配置规范的每项要求内容、操作方法、重要程度等，详见附录。2.4.3. CISCO防火墙安全配置规范CISCO防火墙安全配置规范的每项要求内容、操作方法、重要程度等，详见附录。2.4.4. Juniper路由器安全配置规范Juniper路由器安全配置规范的每项要求内容、操作方法、重要程度等，详见附录。2.4.5. NetScreen防火墙安全配置规范NetScreen防火墙安全配置规范的每项要求内容、操作方法、重要程度等，详见附录。2.4.6. H3C交换机安全配置规范H3C交换机安全配置规范的每项要求内容、操作方法、重要程度等，详见附录。2.4.7. 中兴交换机安全配置规范中兴交换机安全配置规范的每项要求内容、操作方法、重要程度等，详见附录。3主机端口安全规范3.1. 高危端口69端口（UDP）是TFTP简单文件传输协议的端口号，该协议端口的开放很容易被攻击者利用。建议关闭，如必须开启的要求做源地址访问控制。135端口（TCP、UDP）是微软RPC远程过程调用使用的端口号，该协议端口的开放很容易被攻击者执行远程代码。建议关闭，如必须开启的要求做源地址访问控制。137、138、139端口（TCP、UDP）是NetBIOS名称服务（NetBIOS Name Service）使用的端口号，用于局域网中提供计算机的名字或IP地址查询服务以及文件共享服务，该协议端口的开放很容易被攻击者获取到很多敏感信息，容易被攻击者执行远程代码。建议关闭，如必须开启的要求做源地址访问控制。445端口（TCP、UDP）是微软服务器系统用于文件共享服务，该协议端口的开放很容易被攻击者获取到很多敏感信息，容易被攻击者执行远程代码。建议关闭，如必须开启的要求做源地址访问控制。593端口（TCP、UDP）是DCOM分布式组件对象模型协议使用的端口号，它允许C/S结构的应用通过DCOM使用RPC over HTTP service，该协议端口的开放很容易被攻击者执行远程代码。建议关闭，如必须开启的要求做源地址访问控制。3333、4433、4444、6112端口（TCP、UDP）是病毒木马利用端口，要求在防火墙上做阻断。3.2. 数据库端口3306端口是MySQL数据库通信的默认端口，该端口的开发使得攻击者可以猜解密码、远程执行代码以及DDOS攻击影响业务使用，建议在防火墙上做源地址访问控制不对外开放，更改端口成其他端口号，必要时可以关闭该端口。1433、1434端口是MS-SQL数据库通信的默认端口，该端口的开发使得攻击者可以猜解密码、远程执行代码以及DDOS攻击影响业务使用，建议在防火墙上做源地址访问控制不对外开放，更改端口成其他端口号，必要时可以关闭该端口。2638、5000、4100端口是Sybase数据库通信的默认端口，该端口的开发使得攻击者可以猜解密码、远程执行代码以及DDOS攻击影响业务使用，建议在防火墙上做源地址访问控制或更改端口成其他端口号，必要时可以关闭该端口。1521端口是Oracle数据库通信的默认端口，该端口的开发使得攻击者可以猜解密码、远程执行代码以及DDOS攻击影响业务使用，建议在防火墙上做源地址访问控制不对外开放，更改端口成其他端口号，必要时可以关闭该端口。3.3. 远程管理端口22端口是SSH远程管理的默认端口，该端口的开发使得攻击者可以猜解密码、远程执行代码以及DDOS攻击影响业务使用，建议保持SSH版本为新版本，更改端口使用号，在防火墙上做源地址访问控制，必要时可以关闭该端口。23端口是Telnet远程管理默认端口，该端口的开放使得攻击者可以猜解密码，远程执行代码，且为明文传输，要求关闭该端口。3389端口是微软RDP远程桌面通信端口，该端口的开放使得攻击者可以猜解密码。建议增强账户登录密码强度，设置登录失败锁定时间，更改端口使用号，在防火墙上做源地址访问控制，必要时可以关闭该端口。 4899端口是Radmin软件远程管理通信端口，该端口的开放使得攻击者可以猜解密码。建议更改端口使用号，在防火墙上做源地址访问控制，必要时可以关闭该端口。 5631端口是pcanywhere软件远程管理通信端口，该端口的开放使得攻击者可以猜解密码。建议更改端口使用号，在防火墙上做源地址访问控制，必要时可以关闭该端口。 5900、5901端口是VNC软件远程管理通信端口，该端口的开放使得攻击者可以猜解密码。建议更改端口使用号，在防火墙上做源地址访问控制，必要时可以关闭该端口。 6000端口是X-windows软件远程管理通信端口，该端口的开放使得攻击者可以猜解密码。建议更改端口使用号，在防火墙上做源地址访问控制，必要时可以关闭该端口。3.4. 其他端口21端口是用于FTP服务端口，该端口的开放使得攻击者可以猜解密码，执行远程代码。建议增强账户登录密码强度，禁用匿名登录，更改端口使用号，在防火墙上做源地址访问控制，必要时可以关闭该端口。80、8000、8080、7001等端口是用于提供Web服务的端口，建议梳理业务是否需要对外开放，加强web应用系统自身安全性，考虑部署web应用防护手段。110端口是用于POP3邮件服务器使用端口，建议梳理业务是否需要对外开放，在防火墙上做源地址访问控制，必要时可以关闭该端口。161/UDP(服务端)和162/UDP（客户端）为SNMP默认通信端口。该端口的开放使得攻击者可以捕获服务的密码，并获有关操作系统和网络资源的重要信息。因此建议使用安全的SNMPv3协议通信，以及修改默认的“Community Strings”