信息安全配置基线

Win2003&2008操作系统安全配置要求

.帐户口令安全

帐户分配：应为不同样样用户分配不同样样的帐户，不同样样意不同样样用户间共享同一帐户。

帐户锁定：应删除或锁定过期帐户、无用帐户。

用户接见权限指派：应只同意指定授权帐户对主机进行远程接见。

帐户权限最小化：应依照实质需要为各个帐户分配最小权限。

默认帐户管理：对付Administrator帐户重命名，并禁用Guest（嘉宾）帐户。

口令长度及复杂度：应要求操作系统帐户口令长度最少为8位，且应为数字、字母和特

殊符号中最少2类的组合。

口令最长使用限时：应设置口令的最长使用限时小于90天。

口令历史有效次数：应配置操作系统用户不能够重复使用近来5次（含5次）已使用过

的口令。

口令锁定策略：应配置当用户连续认证失败次数为5次，锁定该帐户30分钟。

.服务及授权安全

服务开启最小化：应关闭不用要的服务。

SNMP服务接受集体名称设置：应设置SNMP接受集体名称不为public或弱字符串。

系统时间同步：应保证系统时间与NTP服务器同步。

DNS服务指向：应配置系统DNS指向企业内部DNS服务器。

.补丁安全

系统版本：应保证操作系统版本更新至最新。

补丁更新：应在保证业务不受影响的情况下及时更新操作系统补丁。

.日志审计

日志审察策略设置：应合理配置系统日志审察策略。

日志积蓄规则设置：应设置日志积蓄规则，保证足够的日志积蓄空间。

日志积蓄路径：应更改日志默认存放路径。

日志如期备份：应如期对系统日志进行备份。

.系统防火墙：应启用系统自带防火墙，并依照业务需要限制同意通讯的应用程序或

端口。

.防病毒软件：应安装由总部一致部署的防病毒软件，并及时更新。

.关闭自动播放功能：应关闭Windows自动播放功能。

.共享文件夹

删除当地默认共享：应关闭Windows当地默认共享。

共享文件权限限制：应设置共享文件夹的接见权限，仅同意授权的帐户共享此文件夹。

.登录通讯安全

禁止远程接见注册表：应禁止远程接见注册表路径和子路径。

登录超时时间设置：应设置远程登录帐户的登录超时时间为30分钟。

限制匿名登录：应禁用匿名接见命名管道和共享。

1

RedHatLinux5&6、Solaris9&10、HP-UNIX11

操作系统安全配置要求

.口令安全共用：不同样样用分配不同样样系，不允不同样样用共享同一系。定：除或如期或无用。超管理程登限制：限制root程登。限最小化：依照需要各个置最小限。口令度及复度：要求操作系口令度最少8位，且数字、字母和特别符号中最少2的合。口令最使用限时：置口令的最生计周期小于等于90天。口令史有次数：配置操作系用不能够重复使用近来5次（含5次）内已使用的口令。口令定策略：配置用当失次数超5次（不含5次），定30分。（Solaris9&10、RedHatLinux5&6、AIX5）配置当用失次数超5次（不含5次），定。（UNIX11）.服及授安全重要文件目限：依照用的需要，配置文件及目所需的最小限。文件和目行限置，合理置重要目和文件的限（AIX5）用缺省限：配置用缺省限，障蔽掉新建文件和目不有的允限。（UNIX11、RedHatLinux5&6、AIX5无障蔽⋯⋯限）服开启最小化：关不用要的服。系同步：保证系与NTP服器同步。DNS服器指定：配置系DNS指向企内部DNS服器。.丁安全：在保证不受影响的情况下及更新操作系丁。.日志日志功能置：配置日志功能。

日志限置：合理配置日志文件的限。（Solaris9&10、RedHatLinux5&6）

配置日志文件取、更正和除等操作限行限制。（UNIX11、AIX5）

日志如期份：如期系日志行份。

网日志服器置（可）：配置一的网日志服器。

.防范堆溢出置：置防范堆冲溢出。

.登通讯安全

程管理加密：配置使用SSH等加密行程管理，禁止使用Telnet等明

文。

登超置：置登的登超30分。

SQLServer2005&2008数据库安全配置要求

.口令安全

2

帐户共用：应为不同样样用户分配不同样样的数据库帐户，不允很多个用户共用同一个数据库帐

户。

帐户锁定：应删除或禁用没关帐户。

禁止管理员帐户启动SQLServer服务：应禁止使用管理员帐户启动SQLserver服务。

帐户策略：应在SQLServer帐户策略中启用操作系统帐户策略，即继承操作系统帐户

策略。

.权限最小化：应依照用户的业务需要，配置其数据库所需的最小权限。.日志审计登录审察：配置登录审察，记录取户登录操作。C2审察追踪：启用C2审察追踪。.禁用不用要的积蓄过程：应禁用不用要的积蓄过程。.补丁安全：应在保证业务不受影响的情况下及时安装更新操作系统和SQLServer补丁。.接见IP限制：应只同意相信的IP地址经过监听器接见数据库。配置防火墙限制，只同意与指定的IP地址建立1433的通讯（从更为安全的角度考虑，可将1433端口改为其他的端口）。.连接数设置：应依照服务器性能和业务需求，设置最大并发连接数。.数据库备份：应每周对数据库进行一次圆满备份。

Oracle9i&10g&11g数据安全配置要求

.帐户口令安全禁止帐户共用：应为不同样样用户分配不同样样的数据库帐户，不允很多个用户共用同一数据库帐户。帐户锁定：应锁定或删除没关帐户。限制DBA组帐户：DBA组仅增加Oracle帐户。口令长度及复杂度：应要求数据库系统口令长度最少为8位，且应为数字、字母和特别符号中最少2类的组合。口令过期警告天数：应将口令过期警告天数设置为很多于7天（提前7天通知更正口令）。口令最长使用天数：应将口令最长生计期不善于90天。口令历史有效次数：应配置数据库帐户不能够重复使用近来5次（含5次）内已使用的口令。口令锁定策略：对于采用静态口令认证的系统，应配置当用户连续认证失败次数高出5次（不含5次），锁定该帐户。帐户锁准时间：当用户连续认证失败次数高出5次（不含5次），锁定该帐户30分钟。系统帐户口令安全：应更正数据库系统帐户的默认口令。.服务及授权权限最小化：应依照用户的业务需要，配置数据库帐户所需的最小权限。限制特权帐户远程登录：应限制特权帐户远程登录。.日志审计：应启用数据库审计功能。.补丁安全：应在保证业务不受影响的情况下及时更新数据库补丁。.接见IP限制：应只同意相信的IP地址经过监听器接见数据库。3

.连接数设置：应依照服务器性能和业务需求，设置最大并发连接数。

.数据库备份：应如期对数据库进行备份。

IIS6&7安全配置要求

.帐户安全：应依照实质情况，删除或锁定IIS自动生成的无用帐户。（IIS6）.文件系统及接见权限：更正站点路径：应更正站点路径为非系统分区。站点目录权限：应保证站点目录的所有权限不分配给Everyone。主目录权限配置：应合理设置站点“主目录”的权限。（IIS6）禁止目录阅读：应禁止阅读站点目录。（IIS7）站点目录的功能权限：应禁止站点目录的执行权限。（IIS7）站点上传目录的功能权限：应禁止站点上传目录的执行和脚本权限。.最小化服务：匿名接见权限：应保证每个站点的匿名接见帐户是相互独立的，且只存在于Guests组。IIS服务组件：应删除IIS应用服务中不需要的组件服务。Web服务扩展：应禁用站点不需要的Web服务扩展。（IIS6）删除不用要的脚本照射：应删除不用要的脚本照射。.日志审计：日志启用：应启用日志记录功能。（IIS6）日志积蓄：应更改日志默认的存放路径。.连接数限制：应合理设置最大并发连接数和最大带宽值。连接数限制：应合理设置最大连接数和最大带宽值。（IIS6）.自定义错误页面：应自定义错误页面。

Tomcat6&7安全配置要求

.帐户口令安全帐户共用：应为不同样样的用户分配不同样样的Tomcat帐户，不同样样意不同样样用户间共享Tomcat帐户。帐户锁定：应删除过期、无用帐户。口令复杂度：应要求Tomcat管理帐户口令长度最少8位，且为数字、字母和特别符号中最少2类的组合。.权限最小化：应仅同意超级管理员拥有远程管理权限。.日志审计：应为服务配置日志功能，对用户登录事件进行记录，记录内容包括用户登录使用的帐户，登录可否成功，登录时间，以及远程登录时使用的IP地址等信息。.远程接见加密：对付Tomcat的远程接见进行加密。.更正默认管理端口：应更正Tomcat服务默认管理端口。.自定义错误页面：应重定向Tomcat的错误页面。

4

.目录阅读：应禁止站点目录阅读。

.连接数设置：应依照服务器性能和业务需求，设置最大连接数。

安全配置要求

帐号安全：应以非系统帐号运行Apache。

.文件与目录安全

Apache主目录权限：应严格控制Apache主目录的接见权限，非系统特权用户不能够更正

该目录下的文件。

文件权限：应严格限制配置文件和日志文件的接见权限。

禁止接见外面文件：应禁止Apache接见Web目录之外的任何文件。

删除缺省安装无用文件：应删除缺省安装的无用文件。

禁止目录阅读：应禁止站点目录阅读。

.连接与通讯安全

连接数设置：应合理设置最大并发连接数。

禁用危险HTTP方法：应禁用PUT、DELETE等危险的HTTP方法。

.信息泄露防范

隐蔽Apache版本号：应隐蔽Apache版本号信息。

自定义错误页面内容：应自定义错误页面。

.日志审计：应合理配置审计策略。

.补丁更新：应及时更新补丁。

.其他

禁用CG：应禁用CGI程序。

关闭TRACE：应关闭TRACE方法。

WebLogic8&9&10安全配置要求

.帐户口令安全帐户共用：应为不同样样的用户分配不同样样的Weblogic帐户，不允很多个用户共用同一个帐户。帐户清理：应删除过期、无用帐户。禁止以特权身份运行：应禁止以特权用户身份运行WebLogic。口令长度：应设置Weblogic帐户口令长度最少为8位。帐户关闭：应配置当帐户连续认证失败次数高出5次（不含5次），锁定该帐户30分钟。.日志审计日志启用：应启用日志功能。审计策略：应合理配置审计策略。.Keystore和SSL设置：应合理设置Keystore和SSL。

5

.运行模式：应更正运行模式为“ProductionMode”。.SenderServerHeader：应禁用SendServerheader。.删除Sample程序：应删除sample程序。.自定义错误页面：应自定义错误页面。.超时时间策略：应依照详尽应用，合理设置session超时时间。.连接数设置：应合理设置最大连接数。.主机名认证：应开启主机名认证。

Web应用安全配置要求

.帐号口令安全

身份认证：对付应用系统用户登录进行身份认证。

帐号管理：应禁用或删除应用系统默认、无用或测试帐号。

帐号锁定策略：应设置帐户登录失败锁定策略。

口令策略：应要求应用系统中管理帐户的口令长度最少为8位，且为数字、字母和特别

符号中最少2类的组合。

如期更换口令策略：应设置口令如期更换策略。

.数据安全

敏感信息积蓄：对付应用系统中的敏感信息采用加密形式积蓄。

敏感信息传输：对付应用系统的敏感信息采用加密方式传输。

数据备份：应如期对应用系统程序及数据库进行备份。

.资源控制

权限分别：对付应用系统管理权限进行分别。

登录会话超时策略：应配置用户登录超时策略。

最大并发连接数限制：应设置应用系统最大并发连接数策略。

多重并发会话数限制：应限制单用户的多重并发会话数。

.日志审计：对付系统用户的所有操作进行日志审计。

.代码质量

跨站脚本攻击：检查系统可否存在跨站脚本攻击漏洞。

SQL注入攻击：检查系统可否存在SQL注入攻击漏洞。

路径遍历攻击：检查系统可否存在路径遍历攻击漏洞。

上传后门脚本：对付上传页面格式进行限制。

输入有效性：对付交互式页面上提交数据的有效性进行考据。

.第三方软件安全：应用系统使用的第三方软件的安全性检查。

Cisco、H3C设备安全配置要求

.帐号口令安全

帐户身份认证：对付登录帐户进行身份认证。

6

特权口令安全：对付帐号口令加密积蓄。该登录口令要求长度最少为8位,应为字母、数字、特别符号中最少2类的组合。Console模式口令安全：应为Console口模式设置登录口令，该登录口令要以密文积蓄，要求长度最少为8位,应为字母、数字、特别符号中最少2类的组合。帐户登录地址限制：对付帐户登录地址进行限制。登录会话超时：对付登录会话超时自动退出。.安全配置通讯加密：应采用必要措施防范帐户信息在