中间件安全基线配置标准

Tomcat中间件安全配置基线加固操作指导书
佛山供电局信息中心
2014年4月
目录
1.1 Tomcat安全基线要求 (3)
1.1.1 对登录Tomcat的用户进行身份鉴别 (3)
1.1.2 限制管理中间件用户权限 (3)
1.1.3 修改默认口令 (4)
1.1.4 访问日志审计功能 (4)
1.1.5 保护日志审计 (5)
1.1.6 限制超时连接 (5)
1.1.7 修改SHUTDOWN字符串 (5)
1.1.8 禁止目录遍历操作 (6)
1.1.9 防止版本信息泄漏 (6)
1.1.10 自定义错误信息 (7)
1.1 Tomcat安全基线要求
1.1.1 对登录Tomcat的用户进行身份鉴别
1.1.2 限制管理中间件用户权限
1.1.3 修改默认口令
1.1.4 访问日志审计功能
1.1.5 保护日志审计
1.1.6 限制超时连接
1.1.7 修改SHUTDOWN字符串
1.1.8 禁止目录遍历操作
1.1.9 防止版本信息泄漏
1.1.10 自定义错误信息。

（安全管理）中国移动管理信息系统安全基线规范vQB-╳╳-╳╳╳-╳版本号：1.0.0前言本规范是针对操作系统、网络设备、数据库、中间件和WEB应用的系列安全基线,是各系统安全配置检查的基准，是中国移动管理信息系统产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的权威性指南。

本规范由中国移动通信集团公司管理信息系统部提出并归口管理。

本规范的解释权属于中国移动通信集团公司管理信息系统部。

本规范起草单位：中国移动通信集团公司管理信息系统部本规范主要起草人：起草人1姓名、起草人2姓名、……目录1概述41.1目标和适用范围41.2引用标准41.3术语和定义42安全基线框架52.1背景52.2安全基线制定的方法论62.3安全基线框架说明63安全基线范围及内容73.1覆盖范围73.2安全基线组织及内容83.2.1 安全基线编号说明93.2.2 Web应用安全基线示例93.2.3 中间件、数据库、主机及设备示例93.3安全基线使用要求104评审与修订101概述1.1目标和适用范围本规范对各类操作系统、网络设备、数据库、中间件和WEB应用的安全配置和检查明确了基本的要求。

本规范适用于中国移动管理信息系统的各类操作系统、网络设备、数据库、中间件和WEB应用，可以作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的依据。

1.2引用标准◆《中国移动网络与信息安全总纲》◆《中国移动内部控制手册》◆《中国移动标准化控制矩阵》◆《中国移动操作系统安全功能和配置规范》◆《中国移动路由器安全功能和配置规范》◆《中国移动数据库安全功能和配置规范》◆《中国移动网元通用安全功能和配置规范》◆FIPS199《联邦信息和信息系统安全分类标准》◆FIPS200《联邦信息系统最小安全控制标准》1.3术语和定义2安全基线框架2.1背景中国移动管理信息系统的设备、主机、应用等多采购自第三方，在部署之前往往只执行了功能测试，各个系统安全水平不一，容易遭受黑客攻击，存在很多安全隐患。

各类操作系统安全配置要求及操作指南检查模块支持系统版本号Windows Windows 2000 以上Solaris Solaris 8 以上AIX AIX 5.X以上HP-UNIX HP-UNIX 11i以上Linux 内核版本2.6以上Oracle Oracle 8i以上SQLServerMicrosoft SQL Server 2000 以上MySQL MySQL 5.x以上IIS IIS 5.x以上Apache Apache 2.x 以上Tomcat Tomcat 5.x以上WebLogic WebLogic 8.X以上Windows操作系统安全配置要求及操作指南I目录目录 (I)前言 (II)1 范围 (1)2 规范性引用文件 (1)3 缩略语 (1)4 安全配置要求 (2)4.1 账号 (2)4.2 口令 (3)4.3 授权 (5)4.4 补丁 (7)4.5 防护软件 (8)4.6 防病毒软件 (8)4.7 日志安全要求 (9)4.8 不必要的服务 (11)4.9 启动项 (12)4.10 关闭自动播放功能 (13)4.11 共享文件夹 (13)4.12 使用NTFS 文件系统 (14)4.13 网络访问 (15)4.14 会话超时设置 (16)4.15 注册表设置 (17)附录A：端口及服务 (18)II前言为了在工程验收、运行维护、安全检查等环节，规范并落实安全配置要求，编制了一系列的安全配置要求及操作指南，明确了操作系统、数据库、应用中间件在内的通用安全配置要求及参考操作。

该系列安全配置要求及操作指南的结构及名称预计如下：（1）《Windows 操作系统安全配置要求及操作指南》（本规范）（2）《AIX操作系统安全配置要求及操作指南》（3）《HP-UX 操作系统安全配置要求及操作指南》（4）《Linux操作系统安全配置要求及操作指南》（5）《Solaris操作系统安全配置要求及操作指南》（6）《MS SQL server数据库安全配置要求及操作指南》（7）《MySQL 数据库安全配置要求及操作指南》（8）《Oracle数据库安全配置要求及操作指南》（9）《Apache安全配置要求及操作指南》（10）《IIS安全配置要求及操作指南》（11）《Tomcat 安全配置要求及操作指南》（12）《WebLogic 安全配置要求及操作指南》11 范围适用于使用Windows 操作系统的设备。

1.操作系统安全基线技术要求1.1.AIX系统安全基线1.1.1.系统管理通过配置操作系统运维管理安全策略，提高系统运维管理安全性，详见表1。

表1 AIX系统管理基线技术要求1.1.2.用户账号与口令通过配置操作系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表2。

表2 AIX系统用户账户与口令基线技术要求1.1.3.日志与审计通过对操作系统的日志进行安全控制与管理，提高日志的安全性，详见表3。

1.1.4.服务优化通过优化操作系统资源，提高系统服务安全性，详见表4。

表4 AIX系统服务优化基线技术要求1.1.5.访问控制通过对操作系统安全权限参数进行调整，提高系统访问安全性，详见表5。

表5 AIX系统访问控制基线技术要求1.2.Windows系统安全基线1.2.1.用户账号与口令通过配置操作系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表6。

表6 Windows系统用户账号与口令基线技术要求1.2.2.日志与审计通过对操作系统日志进行安全控制与管理，提高日志的安全性与有效性，详见表7。

表7 Windows系统日志与审计基线技术要求1.2.3.服务优化通过优化系统资源，提高系统服务安全性，详见表8。

表8 Windows系统服务优化基线技术要求1.2.4.访问控制通过对系统配置参数调整，提高系统安全性，详见表9。

表9 Windows系统访问控制基线技术要求1.2.5.补丁管理通过进行定期更新，降低常见的漏洞被利用，详见表10。

1.3.Linux系统安全基线1.3.1.系统管理通过配置系统安全管理工具，提高系统运维管理的安全性，详见表11。

表11 Linux系统管理基线技术要求1.3.2.用户账号与口令通过配置Linux系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表12。

表12 Linux系统用户账号与口令基线技术要求1.3.3.日志与审计通过对Linux系统的日志进行安全控制与管理，提高日志的安全性与有效性，详见表13。

操作系统安全基线配置要求为不同用户分配独立的帐户，不允许多个用户共享同一帐户。

应删除或锁定过期或无用的帐户。

只允许指定授权帐户对主机进行远程访问。

应根据实际需要为各个帐户分配最小权限。

应对Administrator帐户进行重命名，并禁用Guest（来宾）帐户。

要求操作系统帐户口令长度至少为8位，且应为数字、字母和特殊符号中至少2类的组合。

设置口令的最长使用期限小于90天，并配置操作系统用户不能重复使用最近5次（含5次）已使用过的口令。

当用户连续认证失败次数为5次时，应锁定该帐户30分钟。

2.2.服务及授权安全应关闭不必要的服务。

应设置SNMP接受团体名称不为public或弱字符串。

确保系统时间与NTP服务器同步。

配置系统DNS指向企业内部DNS服务器。

2.3.补丁安全应确保操作系统版本更新至最新。

应在确保业务不受影响的情况下及时更新操作系统补丁。

2.4.日志审计应合理配置系统日志审核策略。

应设置日志存储规则，保证足够的日志存储空间。

更改日志默认存放路径，并定期对系统日志进行备份。

2.5.系统防火墙应启用系统自带防火墙，并根据业务需要限定允许通讯的应用程序或端口。

2.6.防病毒软件应安装由总部统一部署的防病毒软件，并及时更新。

2.7.关闭自动播放功能应关闭Windows自动播放功能。

2.8.共享文件夹应关闭Windows本地默认共享。

设置共享文件夹的访问权限，仅允许授权的帐户共享此文件夹。

2.9.登录通信安全应禁止远程访问注册表路径和子路径。

设置远程登录帐户的登录超时时间为30分钟。

禁用匿名访问命名管道和共享。

1.帐户共用：每个用户应分配一个独立的系统帐户，不允许多个用户共享同一个帐户。

2.帐户锁定：过期或无用的帐户应该被删除或锁定。

3.超级管理员远程登录限制：应限制root帐户的远程登录。

4.帐户权限最小化：为每个帐户设置最小权限，以满足其实际需求。

5.口令长度及复杂度：操作系统帐户口令长度应至少为8位，且应包含数字、字母和特殊符号中的至少2种组合。

中间件weblogic安全基线配置标准目录第1章账号管理、认证授权 (3)1.1账号管理 (3)1.1.1系统启动账号 (3)1.1.2帐号锁定策略 (3)1.2口令 (4)1.2.1密码复杂度 (4)第2章日志配置操作 (4)2.1日志配置 (4)2.1.1审核登录 (4)第3章IP协议安全配置 (6)3.1IP 协议 (6)3.1.1支持加密协议 (6)3.1.2限制应用服务器Socket数量 (7)3.1.3禁用Send ServerHeader (7)第4章其他配置操作 (8)4.1登录安全管理 (8)4.1.1定时登出 (8)4.1.2更改默认端口 (8)4.1.3错误页面处理 (9)4.1.4目录列表访问限制 (9)第1章账号管理、认证授权1.1账号管理1.1.1系统启动账号1.1.2帐号锁定策略1.2 口令1.2.1密码复杂度第2章日志配置操作2.1日志配置2.1.1审核登录第3章IP协议安全配置3.1IP协议3.1.1支持加密协议3.1.2限制应用服务器Socket数量3.1.3禁用Send Server Header第4章其他配置操作4.1登录安全管理4.1.1定时登出4.1.2更改默认端口4.1.3错误页面处理4.1.4目录列表访问限制中间件tomcat安全基线配置标准第1章账号管理、认证授权 (12)1.1账号管理 (12)1.1.1共享帐号管理 (12)1.1.2无关帐号管理 (12)1.2口令 (13)1.2.1密码复杂度 (13)1.3授权 (13)1.3.1用户权利指派 (13)第2章日志配置操作 (14)2.1日志配置 (14)2.1.1审核登录 (14)第3章其他配置操作 (15)3.1访问权限 (15)3.1.1定时登出 (15)3.2防攻击管理 (15)3.2.1错误页面处理 (15)3.2.2目录列表访问限制 (16)3.2.3禁用危险HTTP方法 (17)11第1章账号管理、认证授权1.1账号管理1.1.1共享帐号管理1.1.2无关帐号管理121.2 口令1.2.1密码复杂度1.3授权1.3.1用户权利指派第2章日志配置操作2.1日志配置2.1.1审核登录第3章其他配置操作3.1访问权限3.1.1定时登出3.2防攻击管理3.2.1错误页面处理153.2.2目录列表访问限制3.2.3禁用危险HTTP方法17。

Nginx中间件配置安全基线标准与操作指南南京农业大学图书与信息中心2018年6月目录第1章概述 (1)1.1 安全基线概念 (1)1.2 文档编制目的 (1)1.3 文档适用范围 (1)1.4 文档修订 (1)第2章日志审计 (1)2.1 日志配置 (1)2.1.1 审核记录 (1)第3章服务管理 (1)3.1 IP管理 (1)3.1.1 限制IP 访问 (1)3.2 超时管理 (2)3.2.1 控制超时时间 (2)第4章其他配置操作 (3)4.1 访问权限 (3)4.1.1 错误页面处理 (3)4.1.2 防止目录遍历 (3)4.1.3 连接超时设置 (3)第1章概述1.1 安全基线概念安全基线是指满足最小安全保证的基本要求。

1.2 文档编制目的本文档针对安装运行Nginx中间件的服务器主机所应当遵循的基本安全设置要求提供了参考建议，供校园网用户在安装使用Nginx 中间件提供信息服务过程中进行安全合规性自查、检查、加固提供标准依据与操作指导。

1.3 文档适用范围本文档适用于Nginx的各类版本。

1.4 文档修订本文档的解释权和修改权属于南京农业大学图书与信息中心，欢迎校园网用户提供意见或建议，请发送至security@。

第2章日志审计2.1 日志配置2.1.1 审核记录第3章服务管理3.1 IP管理3.1.1 限制IP 访问3.2 超时管理3.2.1 控制超时时间第4章其他配置操作4.1 访问权限4.1.1 错误页面处理4.1.2 防止目录遍历4.1.3 连接超时设置（2）重新启动Nginx 服务。

华为设备安全配置基线目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)第2章帐号管理、认证授权安全要求 (5)2.1帐号管理 (5)2.1.1用户帐号分配* (5)2.1.2删除无关的帐号* (6)2.2口令 (7)2.2.1静态口令以密文形式存放 (7)2.2.2帐号、口令和授权 ................................................................ 错误！未定义书签。

2.2.3密码复杂度 (8)2.3授权 (8)2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 (8)第3章日志安全要求 (10)3.1日志安全 (10)3.1.1启用信息中心 (10)3.1.2开启NTP服务保证记录的时间的准确性 (11)3.1.3远程日志功能* (12)第4章IP协议安全要求 (13)4.1IP协议 (13)4.1.1VRRP认证 (13)4.1.2系统远程服务只允许特定地址访问 (13)4.2功能配置 (15)4.2.1SNMP的Community默认通行字口令强度 (15)4.2.2只与特定主机进行SNMP协议交互 (16)4.2.3配置SNMPV2或以上版本 (17)4.2.4关闭未使用的SNMP协议及未使用write权限 (18)第5章IP协议安全要求 (19)5.1其他安全配置 (19)5.1.1关闭未使用的接口 (19)5.1.2修改设备缺省BANNER语 (20)5.1.3配置定时账户自动登出 (20)5.1.4配置console口密码保护功能 (21)5.1.5端口与实际应用相符 (22)第1章概述1.1目的规范配置华为路由器、交换机设备，保证设备基本安全。

1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3适用版本华为交换机、路由器。

第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*1、安全基线名称：用户帐号分配安全2、安全基线编号：SBL-HUAWEI-02-01-013、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。

工信部的基线配置核查标准概述及解释说明1. 引言1.1 概述在当今数字化时代，信息技术发展迅速，网络安全问题日益严峻。

为了确保国家信息基础设施的安全可靠，工信部（工业和信息化部）近年来发布了一系列的政策法规和标准，其中包括基线配置核查标准。

本文将对工信部的基线配置核查标准进行概述和解释说明。

1.2 文章结构本文按照如下顺序组织：引言、工信部的基线配置核查标准概述、工信部基线配置核查标准的解释说明、实际案例分析与应用实践、结论。

通过这样的结构布局，旨在系统全面地介绍和分析工信部的基线配置核查标准。

1.3 目的本文的目的是让读者深入了解工信部基线配置核查标准，并理解其定义、重要性以及工信部在此方面所扮演的角色和责任。

同时，文章还将详细解读该标准提出的具体要求，并对相关核查方法、流程以及常见问题进行分析和阐述。

通过实际案例分析与应用实践，读者可以进一步掌握该标准在不同行业领域的应用和效果评估。

最后，文章将总结主要观点和发现结果，并对未来工信部基线配置核查标准的发展做出展望，提出改进建议和实施策略推荐。

通过本文的阅读，读者将能够全面了解工信部的基线配置核查标准，掌握其实施要求和相关解释说明，并对其在实践中的应用与效果有所认识。

同时，本文也希望为相关行业提供借鉴与启示，促进网络安全事业的健康发展。

2. 工信部的基线配置核查标准概述：2.1 基线配置核查标准的定义工信部的基线配置核查标准是指在信息化建设中，为了确保计算机系统和网络安全，严格按照工信部的规范要求，对系统的基线配置进行检查和验证的过程。

基线配置是指计算机系统、网络设备以及软件应用中所必需具备并在合理设置条件下应该包含的一组通用安全策略、权限控制、服务配置等。

通过进行基线配置核查可以有效识别和解决可能存在的漏洞和风险，提高信息系统和网络的安全性。

2.2 基线配置核查的重要性基线配置核查对于保障信息系统和网络的安全至关重要。

首先，它能够及时发现并修复系统中可能存在的组件错误或者未修补漏洞，避免被黑客利用；其次，通过对基线配置进行检查验证，可以保证系统满足法律法规、行业标准等相关要求；最后，通过持续进行基线配置核查，能够提高信息系统运行效率，并有效预防潜在威胁。

安全基线管理规范安全基线管理是为了规范系统安全基线配置过程，加强系统安全配置的强度与质量，防⽌未经授权的访问、⿊客攻击等造成的系统故障与业务中断，保证系统运⾏安全。

▼▼安全配置基线定义安全配置基线是指系统实现安全运⾏所需要的最低安全配置，是系统所要达到的安全基本要求。

系统安全配置管理通⽤安全配置技术规范涉及五个⽅⾯，包括帐号管理、认证授权、审计⽇志、访问控制和服务配置，是编制各类系统安全配置技术规范的依据。

▼▼帐号管理⽅⾯的要求包括：应按照⽤户分配帐号；避免不同⽤户间共享帐号；避免员⼯⽤户帐号和系统间通信使⽤的帐号共享；应删除或锁定与系统运⾏、维护等⼯作⽆关的帐号。

▼▼认证授权⽅⾯的要求包括：对于采⽤静态⼝令认证技术的系统，⼝令长度⾄少10位，并包括数字、⼩写字母、⼤写字母和特殊符号4类中⾄少3类；帐号⼝令输⼊错误超过5次⾃动锁定⼀定时间；帐号⼝令的⽣存期不长于90天；系统权限应遵循“最⼩权限”原则，在系统配置能⼒内，根据⽤户需要，配置其所需的最⼩权限。

▼▼审计⽇志⽅⾯的要求包括：应配置⽇志功能对普通⽤户登录进⾏记录，记录内容包括但不限于⽤户登录使⽤的帐号，登录是否成功，登录时间；应配置⽇志功能记录管理员对系统的操作，包括但不限于以下内容：帐号创建、删除和权限修改，⼝令修改，读取和修改系统配置；⽇志记录中需要包含⽤户帐号，操作时间，操作内容以及操作结果；系统应配置权限，控制对⽇志⽂件读取、修改和删除权限操作。

▼▼访问控制⽅⾯的要求包括：⽹络系统应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、⽬的IP地址、源端⼝、⽬的端⼝的流量过滤，过滤所有和业务不相关的流量；对于使⽤IP协议远程维护的系统，系统应配置使⽤SSH等加密协议。

▼▼服务配置⽅⾯的要求包括：系统中应关闭不必要的服务，卸载不必要的组件；对于具有交互界⾯的系统，应开启操作空闲超时退出功能。

安全配置基线说明系统安全配置基线涉及操作系统、数据库、中间件和应⽤、⽹络设备四类系统，详细如下：操作系统：包括Windows、Linux、AIX、Solaris等操作系统；数据库：包括Oracle、DB2、MySQL、SQL Server等数据库；中间件和应⽤：包括Tomcat、Weblogic、Websphere等中间件；Apache、IIS等Web应⽤；⽹络设备：包括Cisco防⽕墙、Juniper防⽕墙等防⽕墙；Cisco、华为路由器/交换机等路由交换设备等。

中国x x公司I T技术规范IT系统安全基线规范中国xx公司信息技术部目录IT系统安全基线规范 (1)（V3.0) ........................................................ 错误!未定义书签。

1.范围 (6)2.术语、定义和缩略语 (6)3.总体说明 (6)3.1编写背景 (6)3.2安全基线制定的方法论 (7)4.安全基线范围及内容概述 (7)4.1覆盖范围及适用版本 (7)4.2安全基线编号说明 (8)4.3安全基线组织及内容 (8)5.WEB应用安全基线规范 (8)5.1身份与访问控制 (8)5.1.1账户锁定策略 (8)5.1.2登录用图片验证码 (9)5.1.3口令传输 (9)5.1.4保存登录功能 (9)5.1.5纵向访问控制 (10)5.1.6横向访问控制 (10)5.1.7敏感资源的访问 (10)5.2会话管理 (11)5.2.1会话超时 (11)5.2.2会话终止 (11)5.2.3会话标识 (11)5.2.4会话标识复用 (12)5.3代码质量 (12)5.3.1防范跨站脚本攻击 (12)5.3.2防范SQL注入攻击 (13)5.3.3防止路径遍历攻击 (13)5.3.4防止命令注入攻击 (13)5.3.5防止其他常见的注入攻击 (14)5.3.6防止下载敏感资源文件 (14)5.3.7防止上传后门脚本 (14)5.3.8保证多线程安全 (15)5.3.9保证释放资源 (15)5.4内容管理 (15)5.4.1加密存储敏感信息 (15)5.4.2避免泄露敏感技术细节 (16)5.5防钓鱼与防垃圾邮件 (16)5.5.1防钓鱼 (16)5.5.2防垃圾邮件 (16)5.6密码算法 (17)5.6.1安全算法 (17)5.6.2密钥管理 (17)6.中间件安全基线内容 (18)6.1A PACHE安全配置基线 (18)6.1.1日志配置 (18)6.1.2访问权限 (18)6.1.3防攻击管理 (19)6.2W EB S PHERE安全配置基线 (22)6.2.1帐号管理 (22)6.2.2认证授权 (23)6.2.3日志配置 (24)6.2.4备份容错 (24)6.2.5安全管理 (25)6.3T OMCAT W EB安全配置基线 (27)6.3.1账号管理 (27)6.3.2口令安全 (28)6.3.3日志配置 (29)6.3.4安全管理 (30)6.4IIS服务安全配置基线 (32)6.4.1账号管理 (32)6.4.2口令安全 (33)6.4.3认证授权 (35)6.4.4日志配置 (36)6.4.5IP协议安全 (37)6.4.6屏幕保护 (39)6.4.7文件系统及访问权限 (40)6.4.8补丁管理 (44)6.4.9IIS服务组件 (45)6.5W EB L OGIC W EB服务安全配置基线 (46)6.5.1账号管理 (46)6.5.2口令安全 (47)6.5.3日志配置 (48)6.5.4IP协议安全配置 (48)6.5.5安全管理 (50)7.数据库安全基线内容 (51)7.1DB2数据库安全配置基线 (51)7.1.1数据库权限 (51)7.2SQLS ERVER数据库安全配置基线 (54)7.2.1口令安全 (54)7.2.2日志配置 (54)7.2.3更新补丁 (55)7.3O RACLE数据库系统安全配置基线 (56)7.3.1账号管理 (56)7.3.2口令安全 (56)8.主机安全基线内容 (59)8.1AIX安全配置基线 (59)8.1.1账号管理 (59)8.1.2口令安全 (60)8.1.3IP协议安全 (61)8.1.4日志配置 (62)8.2HP-U NIX安全配置基线 (62)8.2.1账号管理 (62)8.2.2口令安全 (63)8.2.3日志配置 (65)8.2.4IP协议安全 (65)8.2.5其他安全配置 (66)8.3L INUX安全配置基线 (66)8.3.1账号管理 (66)8.3.2认证授权 (67)8.3.3日志配置 (68)8.4W INDOWS安全配置基线 (68)8.4.1账号管理 (68)8.4.2口令安全 (69)8.4.3认证授权 (70)8.4.4日志配置 (71)8.4.5IP协议安全 (74)8.4.6其他安全配置 (75)8.5S OLARIS安全配置基线 (76)8.5.1账号管理 (76)8.5.2口令安全 (77)8.5.3认证授权 (78)8.5.4日志配置 (79)8.5.5IP协议安全 (80)9.设备安全基线内容 (81)9.1C ISCO路由安全配置基线 (81)9.1.1账号管理 (81)9.1.2口令安全 (82)9.1.4日志配置 (84)9.1.5IP协议安全 (86)9.1.6功能配置 (87)9.1.7其他安全配置 (89)9.2H UAWEI路由安全配置基线 (91)9.2.1账号管理 (91)9.2.2口令安全 (92)9.2.3日志配置 (94)9.2.4IP协议安全 (95)9.2.5其他安全配置 (96)9.3J UNIPER路由安全配置基线 (98)9.3.1账号管理 (98)9.3.2口令安全 (100)9.3.3日志配置 (102)9.3.4IP协议安全 (105)9.3.5其他安全配置 (109)10.安全基线使用要求 (113)11.文档修订记录 (113)1.范围本规范对各类操作系统、网络设备、数据库、中间件和WEB应用的安全配置和检查明确了基本的要求。

安全基线检查及部分中间件部署规范@author: jerrybird,JC0o0l@wechat: JC_SecNotes@wechat: JC0o0l@GitHub: /chroblert/assetmanage这篇⽂章是之前做基线检查⼯具参考的⼀些规范，⼤家可以通过下⾯的链接下载pdf⽂档：链接：https:///s/1z_m0HpAWSgRYahbsI5DeAg提取码：i4ft(⼀) Centos7安全基线0x01 初始设置1. ⽂件系统配置：2. 安全启动设置：3. 强制访问控制：0x02 服务配置1. 时间同步设置：0x03 ⽹络配置1. hosts设置：2. 防⽕墙配置0x04 审计设置1. 审计配置⽂件的设置2. 审计规则⽂件的设置0x05 ⽇志设置0x06 认证授权1. 配置cron:2. 配置SSH：3. 配置PAM：4. ⽤户账户和环境设置：0x07 系统维护1. 重要⽂件权限：2. ⽤户和组设置：(⼆) Windows2012安全基线0x01 账户策略0x02 审计策略0x03 ⽤户权限分配0x04 安全选项0x05 端⼝安全0x06 系统安全(三) MSSQL2016部署规范0x01安装更新和补丁0x02 减少受攻击⾯0x03 认证和授权0x04 密码策略0x05 审计和⽇志0x06 加密0x07 扩展存储(四) MySQL5.6部署规范0x01 操作系统级别配置0x02 安装和计划任务0x03 权限设置0x04 常规设置0x05 MySQL权限0x06 审计和⽇志0x07 ⾝份认证(五) 中间件部署规范0x01 Nginx安全部署规范1. 隐藏版本号2. 开启HTTPS3. 限制请求⽅法4. 拒绝某些User-Agent5. 利⽤referer图⽚防盗链6. 控制并发连接数7. 设置缓冲区⼤⼩防⽌缓冲区溢出攻击8. 添加Header头防⽌XSS攻击9. 添加其他Header头0x02 Tomcat安全部署规范1. 更改Server Header2. 保护telnet管理端⼝3. 保护AJP连接端⼝4. 删除默认⽂档和⽰例程序5. 隐藏版本信息（需要解jar包）6. 专职低权限⽤户启动tomcat7. ⽂件列表访问控制8. 脚本权限回收0x03 Apache安全部署规范1. 专职低权限⽤户运⾏Apache服务2. ⽬录访问权限设置3. ⽇志设置4. 只允许访问web⽬录下的⽂件5. 禁⽌列出⽬录6. 防范拒绝服务7. 隐藏版本号8. 关闭TRACE功能9. 绑定监听地址10. 删除默认安装的⽆⽤⽂件11. 限定可以使⽤的HTTP⽅法0x04 IIS安全部署规范1. 限制⽬录的执⾏权限2. 开启⽇志记录功能3. ⾃定义错误页⾯4. 关闭⽬录浏览功能5. 停⽤或删除默认站点6. 删除不必要的脚本映射7. 专职低权限⽤户运⾏⽹站8. 在独⽴的应⽤程序池中运⾏⽹站0x05 Redis安全部署规范1.专职低权限⽤户启动redis2. 限制redis配置⽂件的访问权限3. 更改默认端⼝4. 开启redis密码认证5. 禁⽤或者重命名危险命令6. 禁⽌监听在公⽹IP7. 开启保护模式0x06 RabbitMQ 规范1. 专职低权限⽤户启动RabbitMQ2.配置SSL证书3. 开启HTTP后台认证4. 删除或修改默认的guest⽤户和密码5. RabbitMQ的web ui插件存在⼀些安全漏洞(⼀) Centos7安全基线0x01 初始设置1. ⽂件系统配置：1.1 将/tmp挂载⾄⼀个单独的分区1.2 /tmp挂载时指定noexec：不允许运⾏可执⾏⽂件该选项使得/tmp⽬录下的⼆进制⽂件不可被执⾏1.3 /tmp挂载时指定nosuid该选项使得/tmp⽬录下的⽂件或⽬录不可设置Set-UID和Set-GID标志位，能够防⽌提权。

精编【安全管理】中国移动管理信息系统安全基线规范vQB-╳╳-╳╳╳-╳╳╳╳版本号：1.0.0前言本规范是针对操作系统、网络设备、数据库、中间件和WEB应用的系列安全基线,是各系统安全配置检查的基准，是中国移动管理信息系统产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的权威性指南。

本规范由中国移动通信集团公司管理信息系统部提出并归口管理。

本规范的解释权属于中国移动通信集团公司管理信息系统部。

本规范起草单位：中国移动通信集团公司管理信息系统部本规范主要起草人：起草人1姓名、起草人2姓名、……目录1概述 (4)1.1目标和适用范围 (4)1.2引用标准 (4)1.3术语和定义 (4)2安全基线框架 (5)2.1背景 (5)2.2安全基线制定的方法论 (6)2.3安全基线框架说明 (6)3安全基线范围及内容 (7)3.1覆盖范围 (7)3.2安全基线组织及内容 (8)3.2.1 安全基线编号说明 (9)3.2.2 Web应用安全基线示例 (9)3.2.3 中间件、数据库、主机及设备示例 (9)3.3安全基线使用要求 (10)4评审与修订 (10)1概述1.1目标和适用范围本规范对各类操作系统、网络设备、数据库、中间件和WEB应用的安全配置和检查明确了基本的要求。

本规范适用于中国移动管理信息系统的各类操作系统、网络设备、数据库、中间件和WEB应用，可以作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的依据。

1.2引用标准◆《中国移动网络与信息安全总纲》◆《中国移动内部控制手册》◆《中国移动标准化控制矩阵》◆《中国移动操作系统安全功能和配置规范》◆《中国移动路由器安全功能和配置规范》◆《中国移动数据库安全功能和配置规范》◆《中国移动网元通用安全功能和配置规范》◆FIPS 199 《联邦信息和信息系统安全分类标准》◆FIPS 200 《联邦信息系统最小安全控制标准》1.3术语和定义2安全基线框架2.1背景中国移动管理信息系统的设备、主机、应用等多采购自第三方，在部署之前往往只执行了功能测试，各个系统安全水平不一，容易遭受黑客攻击，存在很多安全隐患。

安全基线要求范文一、引言在网络环境日益复杂和恶意攻击事件层出不穷的情况下，要确保信息系统的安全性和可用性成为了组织必须要面临的重要任务。

为了提升信息安全管理的水平和规范化程度，制定并执行安全基线要求成为了一项必要且紧迫的工作。

二、目的制定安全基线要求的目的是为了确保信息系统的核心组件和相关设备的安全配置达到最低的安全要求，从而有效防范和减少系统遭受恶意攻击的风险，保护敏感数据的机密性和完整性。

三、适用范围本安全基线要求适用于组织内部所有涉及信息系统的设备、软件及相关网络设备，并适用于所有具备管理权限的人员，包括但不限于系统管理员、网络管理员、安全管理员等。

四、安全基线要求的制定和实施4.1配置管理4.1.1确保所有设备和系统按照最新的安全补丁和更新进行配置和管理，且定期检查更新。

4.1.2确保所有设备和系统的访问控制策略符合最小权限原则，避免给予过高的访问权限。

4.1.3确保所有设备和系统的默认配置密码已被更改，并采用强密码策略。

4.1.4确保合理的设备和系统备份策略，包括定期备份和测试恢复操作。

4.1.5设备和系统退役后，确保彻底清除关键数据，防止信息泄露。

4.2身份认证和访问控制4.2.1确保所有用户必须经过有效的身份认证手段才能访问系统，禁止使用共享账号。

4.2.2确保多因素身份认证手段的使用，例如密码加密和硬件令牌。

4.2.3每个用户和管理员账号必须拥有唯一标识符，并具有针对失败登录尝试的安全策略。

4.2.4对于敏感操作和文件，确保进行审计和监控，并记录保留一定时间。

4.3网络安全4.3.1确保网络边界设备已定期进行安全评估和漏洞扫描，并修复发现的漏洞。

4.3.2确保网络流量监控和入侵检测系统的部署，及时发现并处理异常活动。

4.3.3确保防火墙和入侵防御系统按照最佳实践进行配置和管理。

4.3.4确保无线网络设备加密、网络安全和访问控制策略的有效性。

五、安全教育与培训5.1组织应制定并实施安全教育与培训计划，确保所有员工了解和遵守安全基线要求。