Windows主机操作系统加固规范V1.0

公司公司第三方管理办法
（V1.0）
公司有限公司
二〇一一年十一月
目录
第一章总则 (3)
第二章组织与职责 (3)
第三章第三方公司及人员管理 (4)
第四章第三方安全域及防护要求 (6)
第五章第三方接入管理 (7)
第六章第三方帐号及权限管理 (8)
第七章第三方系统安全管理 (9)
第九章第三方信息安全审核、监督与检查 (11)
第十章附则 (13)
第一章总则
第一条为了加强对第三方合作伙伴、人员、系统的安全管理，防止引入第三方给公司带来的安全风险，特制定本管理办法。

第二条本办法适用于公司有限公司各部门、省客户服务中心、各市分公司（以下简称：各单位）。

第三条本办法所指第三方包括第三方公司、第三方系统、第三方人员：
（一）第三方公司是指向公司公司提供服务的外部公
司。

（二）第三方系统是指为公司公司服务或与公司公司
合作运营的系统。

这些系统可能不在公司公司机房内，但
能通过接口与公司公司的系统发生数据交互。

（三）第三方人员是指为公司公司提供开发、测试、运
维等服务或参与合作运营系统管理的非公司公司人员。

第四条对第三方公司的信息安全管理应遵循如下原则：“谁主管谁负责、谁运营谁负责、谁使用谁负责、谁接入谁负责”的原则。

第二章组织与职责
第五条公司公司第三方安全管理责任部门为对口合作（包括。

1、应按照用户分配账号。

避免不同用户间共享账号。

避免用户账号和设备间通信使用的账号共享。

结果：现网已实现2、应删除或锁定与设备运行、维护等工作无关的账号。

结果：现网已实现3、对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

结果：可以实现编号：安全要求-设备-WINDOWS-配置-44、对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。

结果：可以实现编号：安全要求-设备-通用-配置-45、对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。

结果：可以实现，应用账号不建议实现，将会影响应用系统；编号：安全要求-设备-WINDOWS-配置-56、对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。

结果：可以实现编号：安全要求-设备-WINDOWS-配置-67、对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。

结果：可以实现编号：安全要求-设备-WINDOWS-配置-78、在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。

结果：现网已实现9、设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。

结果：现网已实现10、设备应配置日志功能，记录用户对设备的操作，包括但不限于以下内容：账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。

记录需要包含用户账号，操作时间，操作内容以及操作结果。

结果：可以实现编号：安全要求-设备-WINDOWS-配置-1111、对于具备TCP/UDP协议功能的设备，设备应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。

IT应用系统安全规范与操作规范信息安全管理中心2023年06月目录1 .概述 (4)2 .日常操作规范 (4)3 .系统安全规范♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦54 .文件上传规范 (7)5 .日志记录规范 (9)1 .概述随着国家对网络安全重视程度与监督检查力度逐年增大，鞍钢集团信息化所面临的网络安全问题也日趋严峻，不遵守安全规范的应用与终端往往会形成未知的安全风险隐患，经安全运营监测发现，目前鞍钢的各类应用普遍存在较为低级的安全问题，例如系统账户弱口令、系统漏洞、应用逻辑漏洞等问题，因此安全运营中心归纳整理了应用系统、终端层面的安全规范、安全策略及相关管理要求，具体内容如下：2 .日常操作规范在业务系统安全中，用户的日常操作行为是保证系统安全的关键，需要用户在日常工作中遵守以下操作规范：1、访问正规网站：禁止访问来源不明的网站查询、下载资料和软件。

正规网站包含以下两个特征：第一，网站域名有ICP备案；第二，可通过国家企业信用信息公示系统查询其工商信息。

2、注意虚假的网站：在输入用户名和密码前注意网站的URL是否合规，防止攻击者构造虚假的URL盗用用户名和密码。

3、合理使用邮箱：建议使用企业内部邮箱，防止出现恶意邮件，钓鱼邮件，进而攻破内网。

发现不明邮件应立即确认邮件来源，切勿轻易点击查看和下载。

4、终端准入系统：办公PC纳入终端准入系统，强制用户安装特定的杀毒软件才能入网，并要求其定期进行病毒查杀。

5、密码管理：要求用户使用强密码并定期更换（最多三个月），密码必须由大、小写字母、数字和特殊字符三者及以上混合八位以上组成（鞍山钢铁管理文件要求），目前安全运营平台判定规则为：密码必须由大、小写字母、数字和特殊字符四者混合八位以上组成为且不能有一定规律或者连续重叠，或伪强口令,例如Aal23456、AaBbOOOO.p@SSWord等，建议参考此规则修改。

甘肃海丰信息科技有限公司Windows系统安全加固技术指导书◆版本◆密级【绝密】◆发布甘肃海丰科技◆编号GSHF-0005-OPM-©2006-2020 HIGHFLYER INFORMATION TECHNOLOGY ,INC.目录文档信息................................................................. 错误!未定义书签。

前言.................................................................... 错误!未定义书签。

一、编制说明............................................................ 错误!未定义书签。

二、参照标准文件........................................................ 错误!未定义书签。

三、加固原则............................................................ 错误!未定义书签。

1.业务主导原则..................................................... 错误!未定义书签。

2.业务影响最小化原则............................................... 错误!未定义书签。

3.实施风险控制..................................................... 错误!未定义书签。

(一)主机系统............................................................. 错误!未定义书签。

(二)数据库或其他应用 ..................................................... 错误!未定义书签。

IIS系统安全基线规范2022年4月目录1账号管理、认证授权 (1)1.1.1ELK-IIS-01-01-01 (1)1.1.2ELK-IIS-01-01-02 (2)1.1.3ELK-IIS-01-01-03 (2)1.1.4ELK-IIS-01-01-04 (4)2日志配置 (5)2.1.1ELK-IIS-02-01-01 (5)2.1.2ELK-IIS-02-01-02 (6)2.1.3ELK-IIS-02-01-03 (7)3通信协议 (8)3.1.1ELK-IIS-03-01-01 (8)4设备其他安全要求 (10)4.1.1ELK-IIS-04-01-01 (10)4.1.2ELK-IIS-04-01-02 (13)4.1.3ELK-IIS-04-01-03 (14)4.1.4ELK-IIS-04-01-04 (14)4.1.5ELK-IIS-04-01-05 (15)本文档是Windows 操作系统的对于IIS服务IIS应用服务在安全等方面的安全配置要求，对系统的安全配置审计、加固操作起到指导性作用。

1账号管理、认证授权1.1.1E L K-I I S-01-01-011.1.2E L K-I I S-01-01-021.1.3E L K-I I S-01-01-03实施目的阻止非法IP访问问题影响Web服务器带来安全性问题。

系统当前状态查看Internet 信息服务(IIS)管理器配置是否与原来相同实施步骤1、参考配置操作开始->管理工具->Internet 信息服务(IIS)管理器选择相应的站点，然后右键点击“属性”回退方案取消IP访问控制判断依据1、判定条件需要限制访问源的话进行ip范围限制。

2、检测操作开始->管理工具->Internet 信息服务(IIS)管理器选择相应的站点，然后右键点击“属性”。

检查是否进行了ip的限制。

实施风险低1.1.4E L K-I I S-01-01-042日志配置2.1.1E L K-I I S-02-01-01回退方案恢复IIS日志路径到C:\WINDOWS\system32\LogFiles目录。

(SUSE Linux)_主机安全加固操作指导目录1 文档使用说明 (3)1.1 适用范围 (3)2 实施前准备 (3)2.2 系统检查 (4)2.3 业务检查 (4)2.4 备份 (4)3 加固实施 (6)3.1 帐号 (6)3.1.1 SEC-SUSE-ACCT-01-设置专用维护帐号 (6)3.1.2 SEC-SUSE-ACCT-02-锁定/删除无用帐号 (8)3.1.3 SEC-SUSE-ACCT-03-用户帐号分组 (9)3.2 口令 (10)3.2.1 SEC-SUSE-PWD-01-配置用户口令复杂度 (10)3.2.2 SEC-SUSE-PWD-02-配置用户口令期限 (11)3.2.3 SEC-SUSE-PWD-03-配置用户口令重复使用次数 (13)3.2.4 SEC-SUSE-PWD-04-配置用户认证失败锁定策略 (14)3.3 服务 (16)3.3.1 SEC-SUSE-SVC-01-查看开放系统服务端口 (16)3.3.2 SEC-SUSE-SVC-02-禁用无用inetd/xinetd服务 (17)3.3.3 SEC-SUSE-SVC-03-配置NTP时间同步 (18)3.3.4 SEC-SUSE-SVC-04-停用NFS服务 (19)3.3.5 SEC-SUSE-SVC-05-禁用无关启动服务 (21)3.3.6 SEC-SUSE-SVC-06-修改SNMP默认团体名 (22)3.4 访问控制 (24)3.4.1 SEC-SUSE-AUTH-01-限制关键文件和目录访问权限 (24)3.4.2 SEC-SUSE-AUTH-02-设置用户文件默认访问权限 (25)3.4.3 SEC-SUSE-AUTH-03-设置EEPROM密码 (26)3.4.4 SEC-SUSE-AUTH-04-使用SSH代替TELNET远程登陆 (26)3.4.5 SEC-SUSE-AUTH-05-限制ROOT远程登录 (27)3.4.6 SEC-SUSE-AUTH-06-限制用户FTP登录 (29)3.4.7 SEC-SUSE-AUTH-07-限制FTP用户登录后能访问的目录 (30)3.4.8 SEC-SUSE-AUTH-08-设置终端超时退出时间 (31)3.4.9 SEC-SUSE-AUTH-09-设置图形界面超时退出时间 (32)3.4.10 SEC-SUSE-AUTH-10-限制允许登录到设备的IP地址范围 (33)3.4.11 SEC-SUSE-AUTH-11-设置FTP用户登录后对文件、目录的存取权限 (34)3.4.12 SEC-SUSE-AUTH-12-取消所有文件“系统文件”属性 (35)3.4.13 SEC-SUSE-AUTH-13-禁止ctrl+alt+del (36)3.5 日志审计 (37)3.5.1 SEC-SUSE-LOG-01-记录用户登录信息 (37)3.5.2 SEC-SUSE-LOG-02-开启系统记帐功能 (38)3.5.3 SEC-SUSE-LOG-03-记录系统安全事件 (39)3.5.4 SEC-SUSE-LOG-04-日志集中存放 (41)3.5.5 SEC-SUSE-LOG-05-记录用户SU命令操作 (42)3.5.6 SEC-SUSE-LOG-06-系统服务日志 (42)3.6 登陆显示 (44)3.6.1 SEC-SUSE-BANNER-01-设置登录成功后警告Banner (44)3.6.2 SEC-SUSE-BANNER-02-设置ssh警告Banner (44)3.6.3 SEC-SUSE-BANNER-03-更改telnet警告Banner (45)3.6.4 SEC-SUSE-BANNER-04-更改ftp警告Banner (46)3.7 IP协议 (47)3.7.1 SEC-SUSE-IP-01-禁止ICMP重定向 (47)3.7.2 SEC-SUSE-IP-02-关闭网络数据包转发 (48)3.8 内核参数 (49)3.8.1 SEC-SUSE-KERNEL-01-防止堆栈缓冲溢出 (49)3.9 补丁/软件 (50)3.9.1 SEC-SUSE-SW-01-安装OS补丁 (50)4 实施后验证 (51)4.1 系统检查 (51)4.2 启动双机和业务 (51)4.3 业务检查 (51)5 风险回退 (52)5.1 故障信息收集： (52)5.2 系统恢复： (54)1 文档使用说明1.1 适用范围1.适用OS版本：SLES 9，SLES 10SLES：SUSE Linux Enterprise Edition2.适用人员：一线维护工程师和安全专业服务工程师。

L i n u x操作系统安全配置规范版本号：1.0.0目录1概述 (1)1.1适用范围 (1)1.2外部引用说明 (1)1.3术语和定义 (1)1.4符号和缩略语 (1)2LINUX设备安全配置要求 (1)2.1账号管理、认证授权 (2)2.1.1账号 (2)2.1.2口令 (4)2.1.3授权 (10)2.2日志配置要求 (11)2.3IP协议安全配置要求 (13)2.3.1IP协议安全 (13)2.4设备其他安全配置要求 (14)2.4.1检查SSH安全配置 (14)2.4.2检查是否启用信任主机方式，配置文件是否配置妥当 (15)2.4.3检查是否关闭不必要服务 (15)2.4.4检查是否设置登录超时 (16)2.4.5补丁管理 (17)1概述1.1适用范围本规范适用于LINUX操作系统的设备。

本规范明确了LINUX操作系统配置的基本安全要求，在未特别说明的情况下，适用于Redhat与Suse操作系统版本。

1.2外部引用说明1.3术语和定义1.4符号和缩略语（对于规范出现的英文缩略语或符号在这里统一说明。

）2LINUX设备安全配置要求本规范所指的设备为采用LINUX操作系统的设备。

本规范提出的安全配置要求，在未特别说明的情况下，均适用于采用LINUX操作系统的设备。

本规范从运行LINUX操作系统设备的认证授权功能、安全日志功能、IP网络安全功能，其他自身安全配置功能四个方面提出安全配置要求。

2.1账号管理、认证授权2.1.1账号2.1.1.1检查是否删除或锁定无关账号2.1.1.2检查是否限制root远程登录2.1.2口令2.1.2.1检查口令策略设置是否符合复杂度要求2.1.2.2检查口令生存周期要求2.1.2.3检查口令重复次数限制2.1.2.4检查口令锁定策略2.1.2.5检查FTP是否禁止匿名登录2.1.2.6检查是否存在弱口令2.1.3授权2.1.3.1检查帐号文件权限设置2.2日志配置要求本部分对LINUX操作系统设备的日志功能提出要求，主要考察设备所具备的日志功能，确保发生安全事件后，设备日志能提供充足的信息进行安全事件定位。

服务器安全加固手册一、安全策略加固：1、点击“开始”—“管理工具”—“本地安全策略”：2、点击“账户策略”—“密码策略”和“账户策略”，策略配置如下：3、点击“本地策略”—“审核策略”和“安全选项”，策略配置如下：4、点击“开始”—“管理工具”—“计算机管理”：5、点击“系统工具”—“本地用户和组”—“用户”，鼠标右击“guest”账户点击“属性”，将guest账户禁用：二、防火墙安全配置：注意：开启防火墙会导致外部主动访该问服务器的部分端口流量被阻断，如（数据库服务器中开启防火墙后，应用服务器则无法连接数据库端口），强烈建议先梳理各服务器需要开放的业务端口，在防火墙策略中放开需要使用到的业务端口，再打开、启动防火墙。

保证业务的正常运行，一旦开启防火墙发现对业务有影响则立即关闭防火墙。

1、点击“开始”—“管理工具”—“高级安全windows防火墙”：2、点击“入站规则”—“远程桌面（TCP-In）”—鼠标右击“属性”：3、点击“作用域”—“远程IP地址”中填写如下IP地址：4、点击“开始”—“网络”—右击鼠标“属性”：5、点击“windows防火墙”—“打开或关闭windows防火墙”，开启防火墙功能：三、补丁更新1、补丁更新前请将服务器进行安全备份，以免补丁更新失败造成数据丢失。

2、如果windows系统为正版授权系统，可在“开始”—“所有程序”—“windows update”—“启动自动更新”—“检查更新”，采用windows系统自动更新功能。

3、如果服务器可上网，安装360安全卫士或电脑管家等第三方软件，进行在线补丁更新，但补丁更新完后务必将该软件卸载、删除。

4、可在微软官方网站中《https:///zh-cn/》中下载高危漏洞补丁进行离线安装。

四、删除多余的第三方应用软件：删除多余的、不需要使用的第三方软件，如QQ、Teamview、输入法、浏览器等不许使用的应用软件。

五、防病毒部署：建议购买国内知名厂商防病毒软件，建议采用C/S架构的病毒集中管理方式，实现防病毒的分布式部署。

系统安全加固方案文档说明1. Microsoft Windows远程桌面协议中间人攻击漏洞(CVE-2005-1794)【原理扫描】4.1漏洞清单3/104.2加固方案1、安装此补丁WindowsServer2003-KB2621440-x86-CHS.exe即可解决安全此安全漏洞问题。

4.3回退方案在控制面板-添加/删除程序中卸载该补丁即可4.4加固结果已经加固4/102. Microsoft远程桌面协议RDP远程代码可执行漏洞(CVE-2012-0002)(MS12-020)【原理扫描】漏洞1.1漏洞清单5/101.2加固方案Windows2008和windows2003分别安装此补丁WindowsServer2003-KB2621440-x86-CHS.exe和Windows6.1-KB2621440-x64.msu 即可解决安全此安全漏洞问题。

1.3回退方案在控制面板-添加/删除程序中卸载该补丁即可1.4加固结果已经加固3. Mongodb未授权访问漏洞【原理扫描】2.1漏洞清单6/107/102.2加固方案在ers中添加用户，启动认证。

#在admin 数据库中创建用户！xjyd 密码为xjyd!!20161、[mongodb@rac3 bin]$ ./mongo 127.0.0.1:27017MongoDB shell version: 2.0.1connecting to: 127.0.0.1:27017/test> use adminswitched to db admin>> db.addUser("supper", "sup"){ "n" : 0, "connectionId" : 4, "err" : null, "ok" : 1 }{"user" : "supper","readOnly" : false,"pwd" : "51a481f72b8b8218df9fee50b3737c44","_id" : ObjectId("4f2bc0d357a309043c6947a4") }> db.auth("supper","sup")18/10> exitbye2、在ers中添加用户，启动认证。

win10系统加固方案1、磁盘加密位元锁(Enable BitLocker)Windows 10中的磁盘加密位元锁可以用来加密任何硬盘上的信息，包括启动、系统甚至移动媒体，鼠标右键就可以在选项中加密Windows资源管理器中的数据。

用户可以在设置菜单中选择希望加锁的文件，被加密的文件可以被设置为只读，且不能被重新加密。

在保存好Bitlocker信息后关闭电脑，BitLocker的恢复信息存储在计算机的属性文件中，大多数情况下自动备份用户的密码恢复到Active Directory。

所以要确保可以访问这些属性，防止丢失密码后无法恢复文件。

2、提升安全级别Windows 10的用户帐户控制得到较大的改进，在区别合法和非法程序时表现得十分精确、迅速。

根据用户的登录方式(管理员或普通用户)默认UAC安全级别设置，可以选择不同敏感度的防御级别。

Windows 10中设计了一个简单的用户帐户控制滚动条，方便管理员或标准用户设置它们的UAC安全级别。

建议将UAC安全级别设置为“始终通知”，请放心Windows 10中遇到的安全通知要比Vista少很多。

虽然UAC功能提供了一个必要的防御机制，但是为了系统的稳定性，请谨慎使用管理员帐户。

3、及时升级在Windows 10的默认设置中，Windows升级服务将自动下载并安装重要的Windows系统和应用程序的升级包。

有一项研究表明，微软的软件是世界上补丁最多的产品。

但是系统并没有提醒你，及时更新其他的非系统软件，比如浏览器、媒体播放器等。

黑客们现在都喜欢从这些方面对电脑进行攻击。

4、备份数据道高一尺，魔高一丈。

有的时候真的是防不胜防，即使做了很多努力，当病毒来临时防御措施仍可能变的不堪一击。

及时备份重要数据才是王道，这样就算遇到了极具杀伤性的病毒，也可以通过恢复数据轻松解决。

5.关闭默认共享封锁系统后门同XP、Vista一样，在默认情况下也开启了网络共享。

虽然这可以让局域网共享更加方便，但同时也为病毒传播创造了条件。

Solaris主机操作系统加固规范2010年9月目录1账号管理、认证授权 (1)1.1账号 (1)1.1.1SHG-Solaris-01-01-01 (1)1.1.2SHG-Solaris-01-01-02 (2)1.1.3SHG-Solaris-01-01-03 (3)1.1.4SHG-Solaris-01-01-04 (4)1.1.5SHG-Solaris-01-01-05 (5)1.2口令 (6)1.2.1SHG-Solaris-01-02-01 (6)1.2.2SHG-Solaris-01-02-02 (7)1.2.3SHG-Solaris-01-02-03 (8)1.2.4SHG-Solaris-01-02-04 (9)1.2.5SHG-Solaris-01-02-05 (10)1.3授权 (12)1.3.1SHG-Solaris-01-03-01 (12)1.3.2SHG-Solaris-01-03-02 (13)1.3.3SHG-Solaris-01-03-03 (15)1.3.4SHG-Solaris-01-03-04 (17)1.3.5SHG-Solaris-01-03-05 (18)1.3.6SHG-Solaris-01-03-06 (18)1.3.7SHG-Solaris-01-03-07 (19)2日志配置 (20)2.1.1SHG-Solaris-02-01-01 (20)2.1.2SHG-Solaris-02-01-02 (21)2.1.3SHG-Solaris-02-01-03 (22)2.1.4SHG-Solaris-02-01-04 (23)2.1.5SHG-Solaris-02-01-05 (24)2.1.6SHG-Solaris-02-01-06 (25)2.1.7SHG-Solaris-02-01-07 (26)3通信协议 (27)3.1IP协议安全 (27)3.1.1SHG-Solaris-03-01-01 (27)3.1.2SHG-Solaris-03-01-02 (28)3.1.3SHG-Solaris-03-01-03 (29)3.1.4SHG-Solaris-03-01-04 (30)3.2路由协议安全 (31)3.2.1SHG-Solaris-03-02-01 (31)3.2.2SHG-Solaris-03-02-02 (32)4设备其他安全要求 (34)4.1补丁管理 (34)4.1.1SHG-Solaris-04-01-01 (34)4.1.2SHG-Solaris-04-01-02 (35)4.2服务进程和启动 (37)4.2.1SHG-Solaris-04-02-01 (37)4.2.2SHG-Solaris-04-02-02 (39)4.2.3SHG-Solaris-04-02-03 (40)4.2.4SHG-Solaris-04-02-04 (41)4.2.5SHG-Solaris-04-02-05 (42)4.2.6SHG-Solaris-04-02-06 (43)4.2.7SHG-Solaris-04-02-07 (43)4.3B ANNER与屏幕保护 (44)4.3.1SHG-Solaris-04-03-01 (44)4.3.2SHG-Solaris-04-03-02 (45)4.4内核调整 (46)4.4.1SHG-Solaris-04-04-01 (46)4.4.2SHG-Solaris-04-04-02 (47)5附录：SOLARIS可被利用的漏洞（截止2009-3-8） (48)本文档是Solaris 操作系统的对于Solaris操作系统设备账号认证、日志、协议、补丁升级、文件系统管理等方面的43项安全配置要求，对系统的安全配置审计、加固操作起到指导性作用。

运维安全加固方案2安全加固内容安全加固是参考国内国际权威的系统安全配置标准，并结合用户信息系统实际情况，在用户允许的前提下，对重要服务器的操作系统和应用服务进行适度安全配置加固和系统安全优化，包括打补丁、停止不必要的服务、升级或更换程序、修改配置及权限等，包括操作系统安全加固和优化、应用软件安全加固和优化、网络设备安全加固和优化，加固服务内容包括基线加固、漏洞修复和安全设备调优。

2.1 基线加固2.1.1 主机加固针对目前使用的操作系统，如Windows、Linux、AIX等进行加固。

Windows设备安全加固内容：账号、口令、授权、日志配置操作、日志保护配置、共享文件夹及访问权限、Windows服务、防病毒管理、自动播放、屏幕保护、远程登录控制、补丁管理、IP协议安全配置操作、时间同步服务。

Linux操作系统安全加固内容：账号、口令、文件权限、IP协议安全、日志审计、关闭不必要的服务、资源控制。

AIX操作系统安全加固内容：账号、口令、授权、日志配置、IP协议安全、路由协议安全、补丁管理、内核调整、服务进程和启动、AIX可被利用的漏洞。

2.1.2数据库加固针对不同数据库类型的数据库如Oracle、SQL Server MysQL等进行加固，加固服务的内容包括：身份鉴别、访问控制、安全审计、资源控制等安全项加固。

加固方法包括：对数据库安全策略、服务等进行安全加固；加强对敏感存储过程的管理，尤其是能执行操作系统命令的存储过程。

Oracle 数据库安全加固内容：账号、口令、授权、日志审计、远程操作连接。

Linux版MySQL数据库安全加固内容：认证授权（以非root用户启动MySQL、口令策略、共享帐号、最小权限、IP地址限制、删除无关帐号）、日志审计、安全文件权限配置、连接数限制。

Windows 版MySQL 安全加固内容：认证授权（以普通用户权限运行MySQL、口令策略、共享帐号、最小权限、IP地址限制、删除无关帐号）、日志审计、安全文件权限配置、连接数限制。

Windows主机操作系统安全基线规范目录1账号管理、认证授权 (1)1.1账号 (1)1.1.1ELK-Windows-01-01-01 (1)1.1.2ELK-Windows-01-01-02 (2)1.1.3ELK-Windows-01-01-03 (3)1.2口令 (4)1.2.1ELK-Windows-01-02-01 (4)1.2.2ELK-Windows-01-02-02 (5)1.3授权 (6)1.3.1ELK-Windows-01-03-01 (6)1.3.2ELK-Windows-01-03-02 (7)1.3.3ELK-Windows-01-03-03 (8)1.3.4ELK-Windows-01-03-04 (9)1.3.5ELK-Windows-01-03-05 (10)2日志配置 (11)2.1.1ELK-Windows-02-01-01 (11)2.1.2ELK-Windows-02-01-02 (12)3通信协议 (14)3.1IP协议安全 (14)3.1.1ELK-Windows-03-01-01 (14)3.1.2ELK-Windows-03-01-02 (15)3.1.3ELK-Windows-03-01-03 (16)4设备其他安全要求 (18)4.1屏幕保护 (18)4.1.1ELK-Windows-04-01-01 (18)4.1.2ELK-Windows-04-01-02 (19)4.2共享文件夹及访问权限 (20)4.2.1ELK-Windows-04-02-01 (20)4.2.2ELK-Windows-04-02-02 (21)4.3补丁管理 (23)4.3.1ELK-Windows-04-03-01 (23)4.4防病毒管理 (24)4.4.1ELK-Windows-04-04-01 (24)4.4.2ELK-Windows-04-04-02 (25)4.5W INDOWS服务 (26)4.5.1ELK-Windows-04-05-01 (26)4.5.2ELK-Windows-04-05-02 (28)4.6启动项 (29)4.6.1ELK-Windows-04-06-01 (29)4.6.2ELK-Windows-04-06-02 (30)本文档是Windows操作系统的对于Win系统的设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求，共26项。

安全加固实施方案目录1加固目的 (4)2加固范围 (4)3加固前准备工作 (4)3.1加固前检查 (4)3.2加固前备份 (5)3.3影响分析 (6)3.4加固操作流程 (7)4加固实施 (7)4.1账号管理、认证授权 (7)4.1.1账号 (7)4.1.2口令 (11)4.1.3授权 (13)4.2日志审计 (17)4.2.1登录日志（必选） (17)4.2.2操作审计 (18)4.2.3本地记录系统日志 (18)4.2.4远程记录日志 (19)4.2.5SU操作日志 (20)4.2.6应用日志 (20)4.3IP协议安全 (21)4.3.1使用SSH协议登录 (21)4.3.2关闭不需要的IP服务端口 (22)4.3.3鉴权远程登录的主机IP (23)4.3.4禁止ICMP重定向 (24)4.4屏幕保护 (25)4.4.1超时退出登录界面 (25)4.4.2定时锁屏 (26)4.5文件系统及访问权限 (27)4.5.1重要文件权限加固 (27)4.5.2限制FTP等应用的访问目录 (27)4.6补丁管理 (28)4.6.1软件包裁减 (28)4.6.2补丁包 (29)4.7服务 (29)4.7.1关闭不需要的服务 (29)Email Server (31)4.7.2NTP服务的安全配置 (31)4.7.3NFS服务的安全配置 (32)4.8内核调整 (33)4.8.1防止堆栈缓冲溢出 (33)4.9启动项 (34)4.9.1启动项的安全配置 (34)5加固后检查验证 (35)5.1操作系统健康检查 (35)5.2业务检查 (36)6失败处理 (36)6.1失败定义 (36)6.2回退操作 (36)1加固目的随着电信业务不断发展，系统信息安全方面的投入的不断增多，在信息系统各个层面都采取一些安全防护策略。

而由于网络系统本身的复杂性，各种应用系统繁多，设备采用通用操作系统、数据库和IP协议，设备自身存在的安全问题日益突出。

节点-操作系统安全加固（服务器版）客户端(Windows)安装配置手册北京中软华泰信息技术有限责任公司版本:1.4北京中软华泰信息技术有限责任公司版权所有：○C北京中软华泰信息技术有限责任公司，本手册所有权由北京中软华泰信息技术有限责任公司独家所有。

未经本公司书面许可，任何单位或个人都无权以任何形式复制、传播本手册的任何部分，否则一切后果由违者自负。

销售许可：中软华泰节点-操作系统安全加固产品已通过公安部认证和计算机信息系统安全专用产品的销售许可。

注意：北京中软华泰信息技术有限责任公司保留以后对本手册内容及本手册所描述的产品进行修改的权利，恕不另行通知。

北京中软华泰信息技术有限责任公司目录1 前言 (4)1.1公司简介 (4)2 说明 (4)2.1适用范围 (4)2.2定义 (5)2.3注意事项 (5)2.4联系方式 (5)3客户端的安装 (6)3.1下发KEY (6)3.2安装模块驱动 (7)3.3修改配置文件 (8)3.4安装客户端 (10)4客户端的使用 (16)4.1程序列表 (16)4.1.1升级程序列表 (16)4.1.2未知程序列表 (17)4.1.3已安装软件列表 (17)4.2安装和采集接口 (19)4.2.1软件安装接口 (19)4.2.2软件扫描接口 (20)4.2.3网络控件扫描接口 (22)4.3存储安全保护 (22)4.3.1文件保密柜 (22)4.3.2移动存储注册 (23)4.4强制访问及文件加解密功能 (24)4.4.1强制访问控制 (24)4.4.2移动设备的加密存储功能 (25)4.4.3文件保密柜的加密存储功能 (26)5 卸载节点-操作系统安全加固产品 (27)1 前言1.1公司简介北京中软华泰信息技术有限责任公司成立于2000年，专业从事信息安全体系研究、信息安全产品研制、生产和销售，是国内实力雄厚的网络安全产品、可信计算产品、安全服务与解决方案的综合提供商。