电网IT主流设备安全基线技术规范.docx

1、1 范围本规范适适用于中中国XXXx电网有有限责任任公司及及所属单单位管理理信息大大区所有有信息系系统相关关主流支支撑平台台设备。2 规范性引引用文件件下列文件件对于本本规范的应应用是必必不可少少的。凡凡是注日日期的引引用文件件，仅注注日期的的版本适适用于本本规范。凡凡是不注注日期的的引用文文件，其其最新版版本（包包括所有有的修改改单）适适用于本本规范。中华华人民共共和国计计算机信信息系统统安全保保护条例例中华华人民共共和国国国家安全全法中华华人民共共和国保保守国家家秘密法法计算算机信息息系统国国际联网网保密管管理规定定中华华人民共共和国计计算机信信息网络络国际联联网管理理暂行规规定ISSO2

2、770011标准/ISOO270002指指南公通通字220077433号信息安安全等级级保护管管理办法法GBB/T 210028-20007信息安安全技术术 服务务器安全全技术要要求GBB/T 202269-20006 信息安安全技术术 信息息系统安安全管理理要求GBB/T 222239-20008 信息息安全技技术 信信息系统统安全等等级保护护基本要要求GBB/T 222240-20008 信息息安全技技术 信信息系统统安全等等级保护护定级指指南3 术语和定定义安全基线线：指针针对ITT设备的的安全特特性，选选择合适适的安全全控制措措施，定定义不同同IT设设备的最最低安全全配置要要求，则则该

3、最低低安全配配置要求求就称为为安全基基线。管理信息息大区：发电企企业、电电网企业业、供电电企业内内部基于于计算机机和网络络技术的的业务系系统，原原则上划划分为生生产控制制大区和和管理信信息大区区。生产产控制大大区可以以分为控控制区(安全区区I)和和非控制制区(安安全区)；管管理信息息大区内内部在不不影响生生产控制制大区安安全的前前提下，可可以根据据各企业业不同安安全要求求划分安安全区。根根据应用用系统实实际情况况，在满满足总体体安全要要求的前前提下，可可以简化化安全区区的设置置，但是是应当避避免通过过广域网网形成不不同安全全区的纵纵向交叉叉连接。4 总则4.1 指导思想想围绕公司司打造经经营型

4、服服务型、一一体化、现现代化的的国内领领先、国国际著名名企业的的战略总总体目标标，为切切实践行行南网方方略，保保障信息息化建设设，提高高信息安安全防护护能力，通通过规范范IT主主流设备备安全基基线，建建立公司司管理信信息大区区IT主主流设备备安全防防护的最最低标准准，实现现公司IIT主流流设备整整体防护护的技术术措施标标准化、规规范化、指指标化。4.2 目标管理信息息大区内内IT主主流设备备安全配配置所应应达到的的安全基基线规范范，主要要包括针针对AIIX系统统、Wiindoows系系统、LLinuux系统统、HPP UNNIX系系统、OOraccle数数据库系系统、MMS SSQL数数据库

5、系系统,WWEB Loggic中中间件、AApacche HTTTP SServver中中间件、TTomccat中中间件、IIIS中中间件、CCiscco路由由器/交交换机、华华为网络络设备、CCiscco防火火墙、JJuniiperr防火墙墙和Nookiaa防火墙墙等的安全全基线设设置规范范。通过过该规范范的实施施，提升升管理信信息大区区内的信信息安全全防护能能力。5 安全基线线技术要要求5.1 操作系统统5.1.1 AIX系系统安全全基线技技术要求求5.1.1.1 设备管理理应通过配配置系统统安全管管理工具具，预防防远程访访问服务务攻击或或非授权权访问，提提高主机机系统远远程管理理安全。基

6、线技术术要求基线标准准点（参参数）说明管理远程程工具安装SSSHOpennSSHH为远程程管理高高安全性性工具，可可保护管管理过程程中传输输数据的的安全访问控制制安装TCCP WWrappperr，配置置/ettc/hhostts.aalloow,/etcc/hoostss.deeny配置本机机访问控控制列表表，提高高对主机机系统访访问控制制5.1.1.2 用户账号号与口令令安全应通过配配置用户户账号与与口令安安全策略略，提高高主机系系统账户户与口令令安全。基线技术术要求基线标准准点（参参数）说明限制系统统无用的的默认账账号登录录1) Daemmon2) Bin3) Sys4) Adm5) U

7、ucpp6) Nuuccp7) Lpd8) Imnaadm9) Ldapp10) Lp11) Snappp12) invsscouut清理多余余用户账账号，限限制系统统默认账账号登录录，同时时，针对对需要使使用的用用户，制制订用户户列表进进行妥善善保存roott远程登登录禁止禁止rooot远远程登录录口令策略略1) maxrrepeeatss=3 2) minllen=8 3) minaalphha=44 4) minootheer=11 5) minddifff=4 6) minaage=17) maxaage=25（可可选）8) histtsizze=1101) 口令中某某一字符符最多只只

8、能重复复3次2) 口令最短短为8个个字符3) 口令中最最少包含含4个字字母字符符4) 口令中最最少包含含一个非非字母数数字字符符5) 新口令中中最少有有4个字字符和旧旧口令不不同6) 口令最小小使用寿寿命1周周7) 口令的最最大寿命命25周周8) 口令不重重复的次次数100次FTP用用户账号号控制/etcc/fttpusserss禁止rooot用用户使用用FTPP5.1.1.3 日志与审审计应对系统统的日志志进行安安全控制制与管理理，保护护日志的的安全与与有效性性。基线技术术要求基线标准准点（参参数）说明日志记录录记录auuthllog、wtmmp.llog、sullog、faiileddlo

9、ggin记录必需需的日志志信息，以以便进行行审计日志存储储(可选选)日志必须须存储在在日志服服务器中中使用日志志服务器器接受与与存储主主机日志志日志保存存要求2个月日志必须须保存22个月日志系统统配置文文件保护护文件属性性4000（管理理员账号号只读）修改日志志配置文文件（ssysllog.connf）权权限为4400日志文件件保护文件属性性4000（管理理员账号号只读）修改日志志文件aauthhlogg、wttmp.logg、suulogg、faaileedlooginn的权限限为40005.1.1.4 服务优化化应提高系系统服务务安全，优优化系统统资源。基线技术术要求基线标准准点（参参数）

10、说明Fingger 服务禁止Fingger允允许远程程查询登登陆用户户信息telnnet 服务禁止远程访问问服务ftp 服务（可可选）禁止文件上传传服务（需需要经过过批准才才启用）senddmaiil 服服务（可可选）禁止邮件服务务Timee 服务务禁止远程查询询登陆用用户信息息服务Echoo 服务务禁止网络测试试服务，回回显字符符串, 为“拒绝服服务”攻击提提供机会会, 除除非正在在测试网网络，否否则禁用用Disccardd 服务务禁止网络测试试服务，丢丢弃输入入, 为为“拒绝服服务”攻击提提供机会会, 除除非正在在测试网网络，否否则禁用用Dayttimee 服务务禁止网络测试试服务，显显示

11、时间间, 为为“拒绝服服务”攻击提提供机会会, 除除非正在在测试网网络，否否则禁用用Charrgenn 服务务禁止网络测试试服务，回回应随机机字符串串, 为为“拒绝服服务”攻击提提供机会会, 除除非正在在测试网网络，否否则禁用用comssat 服务禁止comssat通通知接收收的电子子邮件，以以 rooot 用户身身份运行行，因此此涉及安安全性, 很少少需要的的,禁用用kloggin 服务（可可选）禁止 Kerrberros 登录，如如果您的的站点使使用 KKerbberoos 认认证则启启用（需需要经过过批准才才启用）ksheell 服务（可可选）禁止Kerbberoos sshelll，如

12、如果您的的站点使使用 KKerbberoos 认认证则启启用（需需要经过过批准才才启用）ntallk 服服务禁止ntallk允许许用户相相互交谈谈，以 rooot 用用户身份份运行，除除非绝对对需要，否否则禁用用talkk 服务务禁止在网上两两个用户户间建立立分区屏屏幕，不不是必需需服务，与与 taalk 命令一一起使用用，在端端口 5517 提供 UDPP 服务务tftpp 服务务禁止以 rooot 用户身身份运行行并且可可能危及及安全uucpp 服务务禁止除非有使使用 UUUCPP 的应应用程序序，否则则禁用dtsppc 服服务（可可选）禁止CDE 子过程程控制，不不用图形形管理则则禁用5

13、1.1.5 安全防护护应对系统统安全配配置参数数进行调调整，提提高系统统安全。基线技术术要求基线标准准点（参参数）说明Umassk权限限022修改默认认文件权权限控制用户户登录会会话设置为6600秒秒设置超时时时间，控控制用户户登录会会话5.1.1.6 其他 应对关关键文件件进行权权限调整整，提高高关键文文件的安安全。基线技术术要求基线标准准点（参参数）说明关键文件件的安全全保护a) /etcc/paasswwdb) /etcc/grrouppc) /etcc/seecurrityy目录设置paasswwd、ggrouup、ssecuuritty等关关键文件件和目录录的权限限5.1.2 Wi

14、nddowss系统安安全基线线技术要要求5.1.2.1 补丁管理理应使Wiindoows操操作系统统的补丁达到到管理基基线。基线技术术要求基线标准准点（参参数）说明安全服务务包win220033 SPP2，wwin220000 SPP4安装微软软最新的的安全服服务包安全补丁丁更新到最最新补丁更新新至最新新5.1.2.2 用户账号号与口令令安全应配置用用户账号号与口令令安全策策略，提提高主机机系统账账户与口口令安全全。基线技术术要求基线标准准点（参参数）说明密码必须须符合复复杂性要要求（可可选）启用密码安全全策略密码长度度最小值值8密码安全全策略密码最长长使用期期限（可可选）180天天密码安全全

15、策略密码最短短使用期期限1天密码安全全策略强制密码码历史5次密码安全全策略复位帐户户锁定计计数器3分钟帐户锁定定策略帐户锁定定时间5分钟帐户锁定定策略帐户锁定定阀值5次无效效登录帐户锁定定策略guesst账号号禁止禁用guuestt用户使使用admiinisstraatorr（可选选）重命名加强addminnisttrattor使使用帐号检查查与管理理禁用无需需使用帐帐号禁用无需需使用帐帐号5.1.2.3 日志与审审计应对系统统的日志志进行安安全控制制与管理理，保护护日志的的安全与与有效性性。基线技术术要求基线标准准点（参参数）说明审核帐号号登录事事件成功与失失败日志审核核策略审核帐号号管理成

16、功与失失败日志审核核策略审核目录录服务访访问成功日志审核核策略审核登录录事件成功与失失败日志审核核策略审核对象象访问无审核日志审核核策略审核策略略更改成功与失失败日志审核核策略审核特权权使用无审核日志审核核策略审核过程程跟踪无审核日志审核核策略审核系统统事件成功日志审核核策略应用日志志50-110244M最大日志志容量安全日志志50-110244M最大日志志容量系统日志志50-110244M最大日志志容量日志存储储（可选选）指定日志志服务器器日志存储储在日志志服务器器中日志保存存要求2个月日志必须须保存22个月5.1.2.4 服务优化化应提高系系统服务务安全，优优化系统统资源。基线技术术要求基

17、线标准准点（参参数）说明Alerrterr 服服务禁止Clippboook 服服务禁止Compputeer BBrowwserr禁止Messsengger 禁止Remoote Reggisttry Serrvicce禁止Routtingg annd RRemoote Acccesss 禁止Simpple Maiil TTrassferr Prrotoocoll(SMMTP) （可可选）禁止Simpple Nettworrk MManaagemmentt Prrotoocoll(SNNMP) Seerviice （可选选）禁止若网管管需要可可开放该该服务，但但需修改改缺省SSNMPP团体名名和仅

18、对对指定管管理IPP开放。Simpple Nettworrk MManaagemmentt Prrotoocoll(SNNMP) Trrap （可选选）禁止Telnnet 禁止Worlld WWidee Weeb PPubllishhingg Seerviice （可选选）禁止Prinnt SSpooolerr禁止Autoomattic Upddatees禁止Termminaal SServvicee禁止5.1.2.5 安全防护护应通过对对系统配配置参数数调整，提提高系统统安全。基线技术术要求基线标准准点（参参数）说明文件系统统格式NTFSS指定磁盘盘NTFFS文件件系统桌面屏保保3分钟桌面屏

19、保保设置为为3分钟钟防病毒软软件安装防病病毒软件件安装防病病毒软件件防病毒代代码库及时更新新更新到最最新版本本文件共享享（可选选）控制原则上禁禁止配置置文件共共享，但但因工作作需要必必须配置置共享，须须设置帐帐户与口口令系统自带带防火墙墙（可选选）启用启用默认共享享禁止IPPC$、AADMIIN$、CC$、DD$等 禁止网络访问问: 不不允许匿匿名枚取取SAMM帐号与与共享启用安全控制制选项优优化网络访问问: 不不允许匿匿名枚取取ASMM帐号启用安全控制制选项优优化交互式登登录：不不显示上上次的用用户名启用安全控制制选项优优化控制驱动动器自动动运行禁止禁止自动动运行控制在蓝蓝屏后自自动启动动机

20、器禁止禁止蓝屏屏后自动动启动机机器5.1.3 Linuux系统统安全基基线技术术要求5.1.3.1 设备管理理应配置系系统安全全管理工工具，预预防远程程访问服服务攻击击或非授授权访问问，提高高主机系系统远程程管理安安全。基线技术术要求基线标准准点（参参数）说明管理远程程工具安装SSSHOpennSSHH为远程程管理高高安全性性工具，可可保护管管理过程程中传输输数据的的安全,linnux当当前版本本都已默默认安装装访问控制制配置/eetc/hossts.alllow、/etcc/hoostss.deeny配置本机机访问控控制列表表，提高高主机系系统安全全访问5.1.3.2 用户账号号与口令令安全

21、应配置用用户账号号与口令令安全策策略，提提高主机机系统账账户与口口令安全全。基线技术术要求基线标准准点（参参数）说明限制系统统无用的的默认帐帐号登录录a) Daemmonb) Binc) Sysd) Adme) Uucppf) Lpg) noboody清理多余余用户帐帐号，限限制系统统默认帐帐号登录录，同时时，针对对需要使使用的用用户，制制订用户户列表进进行妥善善保存roott远程登登录禁止禁止rooot远远程登录录口令策略略a) PASSS_MAAX_DDAYSS 1880（可可选）b) PASSS_MIIN_DDAYSS 1c) PASSS_WAARN_AGEE 288d) PASSS_M

22、IIN_LLEN 8a) 密码使用用最长期期限为1180天天b) 密码1天天之内不不能更改改c) 密码过期期之前228天提提示修改改d) 密码长度度最小88位字符符控制用户户登录会会话设置为6600秒秒设置超时时时间，控控制用户户登录会会话FTP用用户帐号号控制/etcc/fttpusserss禁止rooot用用户使用用FTPP5.1.3.3 日志与审审计应对系统统的日志志进行安安全控制制与管理理，保护护日志的的安全与与有效性性。基线技术术要求基线标准准点（参参数）说明捕获auuthpprivv消息authhpriiv日志志记录有关关安全方方面日志志消息(如网络络设备启启动、uuserrmod

23、d、chhangge等)日志存储储（可选选）指定日志志服务器器使用日志志服务器器接受与与存储主主机日志志日志保存存要求2个月日志必须须保存22个月日志系统统配置文文件保护护文件属性性4000（管理理员账号号只读）修改日志志配置文文件（ssysllog.connf）权权限为44005.1.3.4 服务优化化应提高系系统服务务安全，优优化系统统资源。基线技术术要求基线标准准点（参参数）说明telnnet 服务禁止远程访问问服务ftp 服务（可可选）禁止文件上传传服务（需需要经过过批准才才启用）senddmaiil 服服务（可可选）禁止邮件服务务kloggin 服务禁止 Kerrberros 登录，

24、如如果您的的站点使使用 KKerbberoos 认认证则启启用（需需要经过过批准才才启用）ksheell 服务禁止Kerbberoos sshelll，如如果您的的站点使使用 KKerbberoos 认认证则启启用（需需要经过过批准才才启用）ntallk 服服务禁止new tallktftpp 服务务禁止以 rooot 用户身身份运行行并且可可能危及及安全imapp 服务务（可选选）禁止邮件服务务pop33服务（可可选）禁止邮件服务务GUI服服务（可可选）禁止图形管理理服务X wiindoows服服务（可可选）禁止通用的wwinddowss界面xineetd启启动服务务（可选选）禁止系统自动动

25、启动服服务：nnfs、nnfsllockk、auutoffs、yypbiindyypseerv、yyppaasswwdd、pporttmappsmbb、neetfss、lppd、aapacchehhttppd、ttux、ssnmppd、nnameedpoostggressql、mmysqqld、wwebmmin、kudzu、squid、cups、ip6tablesiptables、pcmcia、bluetoothNSResponder、apmd、avahi-daemoncanna、cups-config-daemonFreeWnn、gpm、hidd等5.1.3.5 安全防护护应对Liinuxx

26、系统配配置参数数调整，提提高系统统安全。基线技术术要求基线标准准点（参参数）说明Umassk权限限022修改默认认文件权权限敏感文件件安全保保护a) /etcc/paasswwdb) /etcc/grrouppc) /etcc/shhadoow保护口令令文件5.1.4 HP UUNIXX系统安安全基线线技术要要求5.1.4.1 设备管理理应配置系系统安全全管理工工具，预预防远程程访问服服务攻击击或非授授权访问问，提高高主机系系统远程程管理安安全。基线技术术要求基线标准准点（参参数）说明管理远程程工具安装SSSHOpennSSHH为远程程管理高高安全性性工具，可可保护管管理过程程中传输输数据的的

27、安全访问控制制工具安装tccp_wwrappperrsTCP_Wraappeers为为访问控控制组件件，通过过配置访访问控制制列表，限限制利用用SSHH访问主主机控制远程程管理配置访问问管理IIP允许系统统管理员员IP可可访问SSSH服服务5.1.4.2 用户账号号与口令令安全应配置用用户账号号与口令令安全策策略，提提高主机机系统账账户与口口令安全全。基线技术术要求基线标准准点（参参数）说明禁用默认认无用用用户a) wwwb) sysc) smbnnullld) iwwwwe) owwwwf) sshddg) hpsmmhh) nameedi) uucppj) nuuccpk) adml) d

28、aemmonm) binn) lpo) noboodyp) noacccesssq) hpdbbr) userradmm系统管理理员应根根据系统统的具体体情况对对默认账账号进行行禁用或或控制roott远程登登录禁止禁止rooot远远程登录录口令策略略PASSSWORRD_MMAXDDAYSS=1880（可可选）PPASSSWORRD_MMINDDAYSS=1 PASSSWOORD_WARRNDAAYS=28MMIN_PASSSWOORD_LENNGTHH=8PPASSSWORRD_HHISTTORYY_DEEPTHH=100PASSSWOORD_MINN_UPPPERR_CAASE_CHAAR

29、S=1PAASSWWORDD_MIIN_DDIGIIT_CCHARRS=11PASSSWOORD_MINN_SPPECIIAL_CHAARS=1 PASSSWOORD_MINN_LOOWERR_CAASE_CHAARS=1 口令最长长有效期期为1880天口口令最短短有效期期为1天天口令到到期之前前28天天提示修修改口令令最短为为8个字字符口令令10次次不能重重复口令令中最少少有1个个大写字字母口令令中最少少包含11个数字字口令中中最少包包含1个个特殊字字符口令令中最少少包含11个小写写字母帐号策略略AUTHH_MAAXTRRIESS=5连续5次次登录失失败后锁锁定用户户帐号登登录失败败锁定为为

30、10分分钟FTP用用户帐号号控制禁止非FFTP账账号使用用修改fttpusserss文件5.1.4.3 日志与审审计应对系统统的日志志进行安安全控制制与管理理，保护护日志的的安全与与有效性性。基线技术术要求基线标准准点（参参数）说明inettd日志志开启记录日志志信息ftp日日志开启FTP日日志接受远程程日志禁止禁止接受受网络日日志日志保存存要求2个月日志必须须保存22个月日志系统统配置文文件保护护文件属性性4000控制日志志文件访访问5.1.4.4 服务优化化（可选选）应提高系系统服务务安全，优优化系统统资源。基线技术术要求基线标准准点（参参数）说明echoo服务 禁止字符回显显测试disc

31、cardd服务 禁止丢弃字符符测试dayttimee服务 禁止时间同步步charrgenn服务 禁止发送字符符测试execc服务 禁止提供reexecc远程执执行命令令ntallk服务务 禁止基于字符符的聊天天fingger服服务 禁止用户信息息查询uucpp服务 禁止unixx-too-unnix拷拷贝rpc.rsttat服服务 禁止查询服务务器内核核信息rpc.russerssd服务务禁止查询用户户信息rpc.rwaalldd服务 禁止用户信息息通告rpc.sprraydd服务 禁止系统性能能信息服服务rpc.cmssd服务务 禁止CDE环环境的的的日历服服务prinnterr服务 禁止打

32、印服务务ksheell服服务 禁止kerbborees协议议的shhelll服务kloggin服服务 禁止kerbborees协议议的looginn服务nis.serrverr服务 禁止nis服服务端nis.cliientt服务 nisspluus.sservver服服务 nnisppluss.clliennt服务务 禁止nis客客户端nnis+服务端端niss+客户户端senddmaiil服务务禁止SMTPP服务lp服务务 禁止打印服务务tps.rc服服务 禁止打印服务务pd服务务 禁止打印服务务mrouutedd服务 禁止路由服务务rwhood服务务 禁止用户信息息查询nameed服务务

33、禁止DNS服服务sambba服务务禁止winddowss系统文文件共享享 ciffsclliennt服务务禁止访问wiindoows文文件系统统5.1.4.5 安全防护护应对系统统配置参参数进行行调整，提提高系统统安全。基线技术术要求基线标准准点（参参数）说明.nettrc、 .rhhostts、.shoostss 文件件禁用该服务存存在可以以绕过登登录cronn安全控制权限限为4000roott拥有只只读权限限Umassk权限限022修改默认认文件权权限SNMPP优化修改puubliic防止信息息泄漏5.2 数据库5.2.1 Oraccle 数据库库系统安安全基线线技术要要求5.2.1.1

34、用户账号号与口令令安全应配置用用户账号号与口令令安全策策略，提提高数据据库系统统账户与与口令安安全。基线技术术要求基线技术术点（参参数）说明数据库主主机管理理员帐号号控制默认认主机管管理员账账号禁止使用用oraaclee或addminnisttrattor作作为数据据库主机机管理员员帐号oraccle帐帐号删除无用用帐号清理帐号号，删除除无用帐帐号默认帐号号修改口令令如DBSSNMPPSCOOTT 数据库SSYSDDBA帐帐号禁止远程程登录修改配置置参数，禁禁止SYYSDBBA远程程登录禁止自动动登录修改配置置参数，禁禁止SYYSDBBA自动动登录口令策略略a) PASSSWORRD_VVER

35、IIFY_FUNNCTIION 8b) PASSSWORRD_LLIFEE_TIIME 1800(可选选）c) PASSSWORRD_RREUSSE_MMAX 5a) 密码复杂杂度8个个字符b) 口令有效效期1880天c) 禁止使用用最近55次使用用的口令令帐号策略略FAILLED_LOGGIN_ATTTEMPPTS 5连续5次次登录失失败后锁锁定用户户publlic权权限优化清理puubliic各种种默认权权限5.2.1.2 日志与审审计应对系统统的日志志进行安安全控制制与管理理，保护护日志的的安全与与有效性性。基线技术术要求基线标准准点（参参数）说明日志审核核启用启用数据据库审计计功能登录

36、日志志记录启动建立日志志表，启启动触发发器数据库操操作日志志（可选选）启动建立日志志表，启启动触发发器日志审计计策略（可可选）OS日志记录录在操作作系统中中日志保存存要求2个月日志必须须保存22个月日志文件件保护启用设置访问问日志文文件权限限5.2.1.3 安全防护护应对系统统配置参参数进行行调整，提提高数据据库系统统安全。基线技术术要求基线标准准点（参参数）说明数据字典典保护启用数据据字典保保护限制只有有SYSSDBAA权限的的用户才才能访问问数据字字典监听程序序加密设置监听听器口令令设置监听听器口令令监听服务务连接超超时编辑liisteenerr.orra文件件 coonneect_tim

37、meouut_llistteneer=110秒设置监听听器连接接超时服务监听听端口（可可选）在不影响响应用的的情况下下，更改改默认端端口修改默认认端口TTCP1152115.2.2 MS SSQL 数据库库系统安安全基线线技术要要求5.2.2.1 用户账号号与口令令安全应配置用用户账号号与口令令安全策策略，提提高数据据库系统统账户与与口令安安全。基线技术术要求基线标准准点（参参数）说明admiinisstraatorr（可选选）禁止登录录禁止通过过操作系系统直接接登录sa帐号号控制（可可选）重命名防止利用用SA攻攻击用户账号号权限最小化限制guuestt帐户对对数据库库的访问问口令策略略（20

38、005、220088版本）8位字符符须有大大小写须须有字母母与数字字加强数据据库口令令安全5.2.2.2 日志与审审计应对系统统的日志志进行安安全控制制与管理理，保护护日志的的安全与与有效性性。基线技术术要求基线标准准点（参参数）说明登录日志志全部记录登录录日志日志保存存要求2个月日志必须须保存22个月5.2.2.3 安全防护护应对SQQL系统统配置调调整，提提高系统统安全。基线技术术要求基线标准准点（参参数）说明分离默认认安装数数据库pubss、NoorthhWinnd防止已知知攻击服务端口口tcpp14333（可可选）更改防止对TTCP114333端口攻攻击5.3 中间件5.3.1 WEB

39、 Loggic中中间件安安全基线线技术要要求5.3.1.1 设备管理理应配置管管理控制制台，提提高系统统远程管管理安全全。基线技术术要求基线标准准点（参参数）说明管理控制制台(可可选)重命名控控制台文文件夹（cconssolee）将控制台台connsolle重命命名，禁禁止默认认方式访访问5.3.1.2 用户账号号与口令令安全应配置用用户账号号与口令令安全策策略，提提高系统统账户与与口令安安全。基线技术术要求基线标准准点（参参数）说明口令策略略口令长度度最小88个字符符加强口令令设置账号策略略a) Lockkoutt Thhressholld(55)b) Lockkoutt Duurattio

40、nn(3)c) Lockkoutt Reesett Duurattionn(3)失败尝试试次数55次帐号号锁定时时间3分分钟失败败尝试时时间3分分钟5.3.1.3 日志与审审计应对系统统的日志志进行安安全控制制与管理理，保护护日志的的安全与与有效性性。基线技术术要求基线标准准点（参参数）说明webllogiin日志志记录定义日志志名称及及存储位位置记录相关关日志HTTPP日志记记录定义日志志名称及及存储位位置记录相关关日志日志保存存要求2个月日志必须须保存22个月5.3.1.4 安全防护护应通过对对Webbloggic系系统配置置参数调调整，提提高系统统安全。基线技术术要求基线标准准点（参参数

41、说明安装优化化(可选选)删除Coonfiigurratiion Wizzardd防止已知知攻击删除WeebLoogicc Buuildder防止已知知攻击删除jCCOM防止已知知攻击删除示例例域防止已知知攻击连接会话话超时控控制（110.33版本）5分钟设置超时时时间，控控制用户户登录会会话数据传输输安全SSL密密码在服务器器connsolle管理理中浏览览器与服服务器传传输信息息配置SSSL服务端口口修改默认认端口默认服务务端口TTCP770011修改为为其它端端口SSL保保护启用主机机名校验验通过禁用用”Hosstnaame Verrifiicattionn Iggnorred”保护SS

42、SL中中间人攻攻击Bannner信信息禁止发送送服务标标识通过禁用用配置文文件“Sennd SServver Heaaderr”，防止止信息泄泄漏5.3.1.5 其它内容容应限制服服务器的的Socckett数量。基线技术术要求基线标准准点（参参数）说明服务器SSockket数数量Maxiimumm Oppen Soccketts=2250限制应用用服务器器Socckett数量5.3.2 Apacche HTTTP SServver中中间件安安全基线线技术要要求5.3.2.1 用户账号号与口令令安全应配置用用户账号号与口令令安全策策略，提提高系统统账户与与口令安安全。基线技术术要求基线标准准点（

43、参参数）说明优化WEEB服务务账号建立新的的用户、组组作为AApacche的的服务帐帐号为WEBB服务提提供唯一一、最小小权限的的用户与与组5.3.2.2 日志与审审计应对系统统的日志志进行安安全控制制与管理理，保护护日志的的安全与与有效性性。基线技术术要求基线标准准点（参参数）说明日志级别别notiice采用nooticce日志志级别错误日志志及记录录ErroorLoog /varr/loog/hhttppd/eerroor_llog错误日志志保存访问日志志CusttomLLog /vaar/llog/htttpd/acccesss_loog ccombbineed配置访问问日志文文件名及及位置日志保存存要求2个月日志必须须保存22个月5.3.2.3 服务优化化应提高系系统服务务安全，优优化系统统资源。基线技术术要求基线标准准点（参参数）说明精简系统统模块