安全加固手册
系统安全加固手册
系统安全加固手册引言系统安全加固是一项关键任务,旨在保护产品和系统免受未经授权的访问、恶意攻击和数据泄露。
本手册旨在提供系统安全加固的最佳实践和建议,以帮助组织建立强大的安全防御措施并减轻安全风险。
本手册适用于各种操作系统和网络环境。
1. 更新操作系统和补丁及时更新操作系统和应用程序是系统安全的基础。
各厂商定期发布补丁程序来修复已知安全漏洞。
确保操作系统和应用程序保持最新版本,并定期安装厂商发布的补丁。
2. 强化密码策略密码是系统安全的第一道防线。
采用以下策略来强化密码安全:•密码复杂性要求:密码应包含大小写字母、数字和特殊字符,并且长度不少于8个字符。
•密码定期更换:要求用户定期更换密码,例如每90天更换一次。
•增加密码锁定机制:在连续多次登录失败后,锁定用户账号一段时间。
•提供双因素身份验证:引入双因素身份验证来增加密码安全性。
3. 配置防火墙防火墙是网络安全的关键组成部分。
确保正确配置和管理防火墙以限制不必要的出入流量:•配置入站和出站规则:只允许必要的流量通过。
拒绝除了必要的端口、协议和IP地址之外的所有流量。
•应用流量监控:对流量进行实时监控,及时识别和应对异常流量。
•定期审查和更新防火墙规则:定期审查和更新防火墙规则以及安全策略,以保持针对新威胁的有效防御。
4. 启用访问控制措施为了限制对系统的访问,可以采取以下措施:•管理用户权限:每个用户只分配最低权限的账号,并定期审查用户权限。
•限制远程访问:只允许来自信任网络的远程访问,并限制访问时间和访问方式。
•禁用默认账号和服务:禁用系统默认账号,关闭不必要的服务和端口,以减少攻击面。
5. 加密敏感数据加密是保护敏感数据免受未经授权访问的重要手段。
以下是应用加密的一些最佳实践:•使用SSL/TLS加密:在Web应用程序中使用SSL/TLS协议来加密数据传输。
•对存储的敏感数据进行加密:使用强加密算法对数据库、文件系统中的敏感数据进行加密。
LINUX安全加固手册
LINUX安全加固手册目录1概述 (3)2 安装 (3)3 用户帐号安全Password and account security (4)3.1 密码安全策略 (4)3.2 检查密码是否安全 (4)3.3 Password Shadowing (4)3.4 管理密码 (4)3.5 其它 (5)4 网络服务安全(Network Service Security) (5)4.1服务过滤Filtering (6)4.2 /etc/inetd.conf (7)4.3 R 服务 (7)4.4 Tcp_wrapper (7)4.5 /etc/hosts.equiv 文件 (8)4.6 /etc/services (8)4.7 /etc/aliases (8)4.8 NFS (9)4.9 Trivial ftp (tftp) (9)4.10 Sendmail (9)4.11 finger (10)4.12 UUCP (10)4.13 World Wide Web (WWW) – httpd (10)4.14 FTP安全问题 (11)5 系统设置安全(System Setting Security) (12)5.1限制控制台的使用 (12)5.2系统关闭Ping (12)5.3关闭或更改系统信息 (12)5.4 /etc/securetty文件 (13)5.5 /etc/host.conf文件 (13)5.6禁止IP源路径路由 (13)5.7资源限制 (13)5.8 LILO安全 (14)5.9 Control-Alt-Delete 键盘关机命令 (14)5.10日志系统安全 (15)5.11修正脚本文件在“/etc/rc.d/init.d”目录下的权限 (15)6 文件系统安全(File System Security) (15)6.1文件权限 (15)6.2控制mount上的文件系统 (16)6.3备份与恢复 (16)7 其它 (16)7.1使用防火墙 (16)7.2使用第三方安全工具 (16)1概述近几年来Internet变得更加不安全了。
linux系统安全加固手册
START_RBOOTD=0检查DFS分布式文件系统效劳,执行:查瞧该文件中是否存在DCE_KRPC=0、DFS_CORE=0、DFS_CLIENT=0、DFS_SERVER=0、DFS_EPISODE=0、EPIINIT=0、DFSEXPORT=0、BOSSERVER=0、DFSBIND=0、FXD=0、MEMCACHE=0、DFSGWD=0、DISKCACHEFORDFS=0检查逆地址解析效劳,执行:查瞧该文件中是否存在RARPD=0、RDPD=0检查响应PTY〔伪终端〕请求守护进程,执行:查瞧该文件中是否存在PTYDAEMON_START=0检查响应VT〔通过LAN登录其他系统〕请求守护进程,执行:查瞧该文件中是否存在VTDAEMON_START=0检查域名守护进程效劳,执行:查瞧该文件中是否存在NAMED=0检查SNMP代理进程效劳,执行:查瞧该文件中是否存在PEER_SNMPD_START=0检查授权治理守护进程效劳,执行:查瞧该文件中是否存在START_I4LMD=0检查SNAplus2效劳,执行:查瞧该文件中是否存在START_SNAPLUS=0、START_SNANODE=0、START_SNAINETD=0检查X字体效劳,执行:查瞧该文件中是否存在RUN_X_FONT_SERVER=0检查语音效劳,执行:查瞧该文件中是否存在AUDIO_SERVER=0检查SLSD〔Single-Logical-Screen-Daemon〕效劳,执行:查瞧该文件中是否存在SLSD_DAEMON=0检查SAMBA效劳,执行:查瞧该文件中是否存在RUN_SAMBA=0检查CIFS客户端效劳,执行:查瞧该文件中是否存在RUN_CIFSCLIENT=0检查NFS启动效劳,执行:查瞧该文件中是否存在NFS_SERVER=0、NFS_CLIENT=0检查NetscapeFastTrackServer效劳,执行:查瞧该文件中是否存在NS_FTRACK=0检查APACHE效劳,执行:查瞧该文件中是否存在APACHE_START=0 检查基于RPC的效劳,执行:查瞧是否存在该文件操作步骤1、执行备份:使用cp命令备份需要修改的文件2、设置参数:执行以下命令,禁用SNAplus2效劳执行以下命令,禁用多播路由效劳执行以下命令,禁用DFS分布式文件系统效劳执行以下命令,禁用逆地址解析效劳执行以下命令,禁用响应PTY〔伪终端〕请求守护进程执行以下命令,禁用响应VT〔通过LAN登录其他系统〕请求守护进程执行以下命令,禁用域名守护进程执行以下命令,禁用SNMP代理进程执行以下命令,禁用授权治理守护进程#ndd-get/dev/ipip_respond_to_address_mask_broadcast #ndd-get/dev/ipip_respond_to_timestamp_broadcast返回值应为0操作步骤1、执行备份记录需要修改的可调参数值2、执行以下命令,设置参数使参数在当前系统状态下临时生效:#ndd-set/dev/ipip_respond_to_address_mask_broadcast0 #ndd-set/dev/ipip_respond_to_timestamp_broadcast0建立启动项,使参数重启后永久生效:#cat<<EOF>>nddconf#Don'trespondtoICMPaddressmaskrequests TRANSPORT_NAME[6]=ipNDD_NAME[6]=ip_respond_to_address_mask_broadcast NDD_VALUE[6]=0#Don'trespondtobroadcastICMPtstampreqs TRANSPORT_NAME[7]=ipNDD_NAME[7]=ip_respond_to_timestamp_broadcast NDD_VALUE[7]=0EOF#chownroot:sysnddconf#chmodgo-w,ug-snddconf。
银河麒麟安全加固配置手册
银河麒麟安全加固配置手册
银河麒麟安全加固配置手册旨在指导用户如何对银河麒麟系统进行安全加固。
以下是一些常见的安全加固配置建议:
1. 禁用不必要的服务:银河麒麟系统启动后,一些不必要的服务会自动运行,这些服务可能存在安全风险。
建议禁用这些服务,以减少被攻击的可能性。
2. 配置防火墙:防火墙是保护系统免受攻击的重要工具。
建议配置防火墙规则,只允许必要的网络流量通过,阻止未授权的访问。
3. 更新系统补丁:银河麒麟系统可能存在一些安全漏洞,及时更新系统补丁可以修复这些漏洞,提高系统的安全性。
4. 配置安全审计:审计日志可以帮助追踪系统中的异常行为,及时发现和处理安全事件。
建议配置安全审计规则,对系统中的重要操作进行记录和监控。
5. 限制用户权限:用户权限管理是安全加固的重要一环。
建议对用户权限进行严格控制,避免不必要的用户拥有过高权限。
6. 配置加密存储:存储设备中的数据可能被非法访问或窃取,建议配置加密存储,保护数据安全。
7. 配置安全启动:安全启动可以在系统启动时进行安全检查,确保系统没有被篡改或感染恶意程序。
建议配置安全启动功能,提高系统的安全性。
以上是银河麒麟安全加固配置手册的一些常见建议,具体配置方法可以参考银河麒麟系统的官方文档或咨询专业技术人员。
Linux安全加固手册
Linux安全加固手册
可用离线破解、暴力字典破解或者密码网站查询出帐号密钥的密码是否是弱口令
2)修改vi /etc/login.defs配置密码周期策略
此策略只对策略实施后所创建的帐号生效,以前的帐号还是按99999天周期时间来算。
3)/etc/pam.d/system-auth配置密码复杂度:
在文件中添加如下一行:
password requisite pam_cracklib.so retry=3 difok=2 minlen=8 lcredit=-1 dcredit=-1
参数含义如下所示:
difok:本次密码与上次密码至少不同字符数
minlen:密码最小长度,此配置优先于login.defs中的PASS_MAX_DAYS
ucredit:最少大写字母
lcredit:最少小写字母
dcredit:最少数字
retry:重试多少次后返回密码修改错误
【注】用root修改其他帐号都不受密码周期及复杂度配置的影响。
1.2登录失败策略
要求:应启用登录失败处理功能,可采取结束会话、限制非法
登录次数和自动退出等措施。
目的:遭遇密码破解时,暂时锁定帐号,降低密码被猜解的可
能性
操作步骤:。
Windows系统安全加固操作手册
1、应按照用户分配账号。
避免不同用户间共享账号。
避免用户账号和设备间通信使用的账号共享。
结果:现网已实现2、应删除或锁定与设备运行、维护等工作无关的账号。
结果:现网已实现3、对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
结果:可以实现编号:安全要求-设备-WINDOWS-配置-44、对于采用静态口令认证技术的设备,账户口令的生存期不长于90天。
结果:可以实现编号:安全要求-设备-通用-配置-45、对于采用静态口令认证技术的设备,账户口令的生存期不长于90天。
结果:可以实现,应用账号不建议实现,将会影响应用系统;编号:安全要求-设备-WINDOWS-配置-56、对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。
结果:可以实现编号:安全要求-设备-WINDOWS-配置-67、对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。
结果:可以实现编号:安全要求-设备-WINDOWS-配置-78、在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
结果:现网已实现9、设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
结果:现网已实现10、设备应配置日志功能,记录用户对设备的操作,包括但不限于以下内容:账号创建、删除和权限修改,口令修改,读取和修改设备配置,读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。
记录需要包含用户账号,操作时间,操作内容以及操作结果。
结果:可以实现编号:安全要求-设备-WINDOWS-配置-1111、对于具备TCP/UDP协议功能的设备,设备应根据业务需要,配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流量。
麒麟系统安全加固手册
麒麟系统安全加固手册摘要:一、麒麟系统安全加固手册概述1.手册的目的和适用对象2.手册的主要内容二、麒麟系统的基本安全设置1.麒麟系统的特点和安全性2.麒麟系统的默认安全设置3.麒麟系统的安全模块三、麒麟系统的安全加固措施1.更新系统补丁2.配置防火墙3.配置入侵检测系统4.限制用户权限5.加密重要文件和数据6.防止恶意软件四、麒麟系统的安全使用建议1.增强密码安全2.定期备份数据3.防止社交工程攻击4.安全使用网络服务5.避免公开暴露个人信息五、麒麟系统的安全漏洞处理1.发现安全漏洞的途径2.安全漏洞的处理流程3.安全漏洞的修复措施正文:麒麟系统安全加固手册是为了帮助用户提高麒麟操作系统安全性能而编写的。
本手册适用于麒麟系统的管理员和普通用户,旨在指导用户了解和提高麒麟系统的安全性。
麒麟系统作为一款国产操作系统,从设计之初就非常重视安全性。
系统默认的安全设置可以满足大多数用户的需求,但仍需要根据实际情况进行调整和优化。
本手册将介绍麒麟系统的安全模块,帮助用户了解系统的安全机制。
为了进一步加强麒麟系统的安全性,本手册还提供了一系列安全加固措施。
这些措施包括更新系统补丁、配置防火墙、配置入侵检测系统、限制用户权限、加密重要文件和数据、防止恶意软件等。
通过实施这些措施,用户可以大大提高麒麟系统的安全性能。
在使用麒麟系统的过程中,用户还需要注意一些安全使用建议,例如增强密码安全、定期备份数据、防止社交工程攻击、安全使用网络服务、避免公开暴露个人信息等。
这些建议可以有效降低用户在使用麒麟系统过程中面临的安全风险。
最后,本手册还介绍了如何处理麒麟系统的安全漏洞。
用户可以通过本手册了解发现安全漏洞的途径、安全漏洞的处理流程以及安全漏洞的修复措施。
对于发现的安全漏洞,用户需要及时采取措施进行修复,以保障麒麟系统的安全性能。
总之,麒麟系统安全加固手册为用户提供了全面的安全指导,帮助用户提高麒麟系统的安全性能。
oracle数据库安全加固操作手册
1.支持按用户分配账号。
结果:现网已实现2.与设备运行、维护等工作无关的账号,应能够删除或锁定。
结果:现网已实现3.应按照用户分配账号。
避免不同用户间共享账号。
避免用户账号和设备间通信使用的账号共享。
结果:现网已实现4.应删除或锁定与设备运行、维护等工作无关的账号。
结果:现网已实现5.限制具备数据库超级管理员(SYSDBA)权限的用户远程登录。
结果:可以实现,但是需要需要重起数据库,影响业务,不建议实现,而且通过防火墙限制访问数据库的端口方式已经实现。
6.对于采用静态口令认证技术的设备,应支持数字、小写字母、大写字母和特殊符号4类字符构成的口令。
应支持配置口令复杂度。
在配置了复杂度后,设备自动拒绝用户设置不符合复杂度要求的口令结果:部分账号已实现(system和CS车务通),其他账号实施时需要重新配置现网的应用配置,影响业务,不建议实现。
7.对于采用静态口令认证技术的设备,应支持配置用户连续认证失败次数上限。
当用户连续认证失败次数超过上限时,设备自动锁定该用户账号。
必须由其他账号,通常为具有管理员权限的账号,才可以解除该账号锁定结果:现网已实现(系统默认是10次)8.对于采用静态口令认证技术的设备,应支持按天配置口令生存期功能。
在配置了口令生存期后,设备在口令超过生存期的用户登录时,应提示并强迫该用户设置新口令结果:可以实现,但是应用账号不建议实现,将会影响应用系统;编号:安全要求-设备-ORACLE-配置-10-可选9.对于采用静态口令认证技术的设备,应支持配置用户不得重复使用其最近已用口令的功能。
当配置相应功能后,设备拒绝用户重复使用在限制次数内的口令结果:可以实现,但是应用账号不建议实现,将会影响应用系统;见问题8的实现10.对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号结果:现网已实现(系统默认是10次)11.对于存在关系型数据库的设备,设备应支持对数据库表,给不同数据库用户或用户组分别授予读取、修改的权限。
安全加固技术手册
安全加固技术手册1. 引言在当今数字化时代,随着网络攻击日益增加,保障信息系统的安全性变得至关重要。
安全加固技术的应用已经成为各种组织和企业防范网络攻击的关键步骤。
本手册旨在提供一种全面的安全加固技术指南,帮助读者了解和应用各种常见的加固技术,从而提高信息系统的安全性。
2. 密码策略密码是安全加固的第一道防线,一个强大的密码可以有效阻止未经授权的访问。
制定和执行密码策略是确保密码安全的关键。
以下是几个关键的密码策略建议:- 要求用户使用强密码,包括大写和小写字母、数字和特殊字符的组合。
- 强制用户定期更改密码,并限制新密码不能与旧密码相似。
- 禁止用户在多个系统中使用相同的密码。
- 启用账户锁定功能,例如连续登录尝试失败后锁定账户。
3. 防火墙设置防火墙是网络安全的重要组成部分,通过监控网络通信并筛选流量来保护系统免受不必要的访问。
以下是关于防火墙设置的一些建议:- 限制对网络的入站和出站连接,只允许必要的通信。
- 在防火墙上配置网络地址转换(NAT),以隐藏内部网络的真实IP地址。
- 使用应用层防火墙来检测并阻断特定应用程序的恶意流量。
- 定期审查和更新防火墙规则,确保防火墙策略与组织的需求保持一致。
4. 操作系统安全操作系统作为信息系统的核心,其安全性至关重要。
以下是针对操作系统的安全建议:- 及时安装操作系统的安全更新和补丁程序。
- 禁用或删除不必要的服务和功能。
- 配置访问控制和权限管理,确保只有授权用户能够访问敏感资源。
- 启用审计日志记录以便日后的安全审查和分析。
5. 应用程序安全应用程序漏洞是黑客入侵的常见途径之一。
为了加固应用程序的安全性,以下是一些建议:- 使用最新的安全版本和补丁来更新应用程序。
- 实施输入验证和数据过滤来防止跨站脚本攻击和SQL注入等常见攻击。
- 限制应用程序对系统资源的访问权限,并使用最小特权原则。
- 进行定期的应用程序安全测试来发现潜在的安全漏洞。
6. 网络监控与入侵检测系统网络监控和入侵检测系统(IDS)可以帮助组织及时发现和应对网络攻击。
安全加固操作手册
安全加固操作手册作为宽带智能网中的Appserver,在完成AIX操作系统上智能网系统的安装和配置以后(除系统加固之外的所有安装和配置,包括双机),需要赶忙进行系统加固,以防止非法入侵,系统加固的具体步骤如下:一、系统举荐补丁升级加固1.检查是否打上了AIX操作系统要求补丁(433要求10以上;5.1要求5以上;5.2要求使用IBM最新公布的补丁)检查补丁版本命令:oslevel –r 或instfix –i |grep ML (看返回结果中OS版本后带的小版本号)2.假如未安装补丁,使用如下方式安装补丁1)将补丁盘放入光驱、以root执行:mount /cdrom2)执行:smitty update_all (选择/dev/cd0为安装介质)注意选择安装选项中:COMMIT software updates? noSA VE replaced files? yes安装终止后使用以上方式检查是否差不多安装成功,并使用:shutdown –Fr 重起系统二、AIX系统配置安全加固1.编辑/etc/inetd.conf文件,关闭所有服务。
将inetd.conf文件中的内容清空> /etc/inetd.confrefresh –s inetd2.编辑/etc/rc.tcpip文件,关闭除以下服务外的所有服务:portmapsysloginetdsendmailsnmpd如关闭dpid2,则只要注销以下行:(前面加#号即可)#start /usr/sbin/dpid2 "$src_running"再使用:stopsrc –s XXX来停止这些差不多启动的服务3./etc/inittab中关闭用:注释服务,不是‘#’piobe Printer IO BackEndqdaemon Printer Queueing Daemonwritesrv write serverdlite docsearch Web Serverimnss docsearch imnss Daemonimqss docsearch imqss daemon4.删除一些无用的用户rmuser -p uucp;rmuser -p nuucp5.手工编辑/etc/security/user 操纵用户登录限制、缺省文件创建权限限制default默认设置不承诺su\login\rlogin,将三项设置依次设置为false即可,其余缺省;缺省umask设置为027;设置各用户设置密码的最小长度为8;放开root、(sybase或oracle)、zxin10用户的su权限;放开(sybase或oracle)、zxin10用户的rlogin权限;设置root的umask为077default:login=falsesu=falserlogin=falseumask=027minlen=8...root:su=trueumask=077...zxin10:su=truerlogin=true...oracle:su=truerlogin=true#pwdck -y ALL修复同步口令文件6.更换login默认策略(/etc/security/login.cfg)default:logindelay=2logindisable=3logininterval=60(logininterval秒内产生logindisable次无效登录,即锁定port)loginreenable=5(loginreenable分钟后解除锁定)7.编辑/etc/profile,添加下列行:TMOUT=3600TIMEOUT=3600export TMOUT TIMEOUT8.加固系统TCP/IP配置编辑文件,添加:/usr/sbin/no -o clean_partial_conns=1/usr/sbin/no -o arpt_killc=20/usr/sbin/no -o icmpaddressmask=0/usr/sbin/no -o directed_broadcast=0/usr/sbin/no -o ipsrcroutesend=0/usr/sbin/no -o ipsrcrouteforward=0/usr/sbin/no -o ip6srcrouteforward =0/usr/sbin/no -o ipignoreredirects=1/usr/sbin/no -o ipsendredirects=09.使用以下方法使尝试登录失败记录有效修改/etc/syslog.conf文件增加日志审计内容:*.crit /var/log/loginlog创建loginlog,记录失败登陆#touch /var/log/loginlog#chmod 600 /var/log/loginlog#chgrp sys /var/log/loginlog#refresh –s syslogd10.删除不需要的cronscd /var/spool/cron/crontabsrm -r sysrm -r admrm -r uucp三、安装ssh服务端和客户端a)安装ssh服务端(AIX上)在AIX 4.3.3和5.1系统上安装OpenSSH内容这篇文档介绍了在AIX 4.3.3和5.1系统上安装openSSH的步骤提要正文(一)在AIX 4.3.3系统上安装OpenSSH在AIX 4.3.3系统里,openSSH是用RPM格式的安装包来安装的,而在5.1和5.2的系统里是用installp格式的安装包来安装的。
麒麟系统安全加固手册
麒麟系统安全加固手册
"麒麟系统安全加固手册" 可能是指针对麒麟操作系统(例如,麒麟Linux操作系统)进行安全加固的手册或指南。
通常,这样的手册旨在提供系统管理员、安全专业人员或其他相关人员在确保操作系统安全性方面的指导和建议。
由于我没有直接访问特定文档的能力,也不了解您具体指的是哪个版本的麒麟系统,因此无法提供具体的手册内容。
一般来说,操作系统的安全加固手册可能包括以下内容:
1.身份认证与访问控制:
•关于用户身份认证和访问控制的最佳实践,包括密码策略、用户权限等。
2.系统补丁和更新管理:
•如何及时应用操作系统的安全补丁和更新,以修复已知的漏洞。
3.网络安全配置:
•针对网络服务的配置安全建议,包括防火墙设置、网络访问控制等。
4.日志与监控:
•设置合适的系统日志和监控功能,以便及时发现异常行为和安全事件。
5.安全审计与合规性:
•如何进行系统安全审计,以确保符合相关合规性标准。
6.病毒防护和恶意软件防范:
•设置和管理防病毒软件以及其他恶意软件防范措施。
如果您是麒麟系统的用户或管理员,建议查阅官方文档、技术支持资源或联系麒麟系统的相关部门,以获取适用于特定版本的详细安全加固手册。
等保测评安全加固指导手册_范文模板及概述
等保测评安全加固指导手册范文模板及概述1. 引言1.1 概述本文旨在介绍《等保测评安全加固指导手册》的范文模板及概述。
随着信息技术的快速发展,网络安全问题日益凸显,信息系统等级保护(简称“等保”)测评作为一种重要的保障措施被广泛应用。
而在等保测评中,安全加固指南是提供具体操作指导的关键文档之一。
本文将首先介绍《等保测评安全加固指导手册》的范文模板,包括其结构、使用注意事项以及编写步骤。
此外,还将对该手册进行概述,包括定义和目标、作用与意义以及用户群体和适用范围。
最后,文章将简要介绍《等保测评安全加固指导手册》的编写流程,并进行总结回顾以及对其未来发展进行展望。
1.2 文章结构本文共分为五个部分:引言、等保测评安全加固指导手册范文模板、等保测评安全加固指导手册概述、等保测评安全加固指导手册编写流程和结论。
引言部分主要对整篇文章进行概述,介绍了本文的目的和结构,并提供了对等保测评安全加固指导手册的背景和重要性的简要说明。
1.3 目的本文旨在为读者提供关于《等保测评安全加固指导手册》的详细信息,包括范文模板、概述以及编写流程。
通过阅读本文,读者将能够了解如何编写一份规范、有效的等保测评安全加固指导手册,并清楚掌握其目标和作用。
同时,本文也为读者提供对该手册未来发展方向的展望,在实践中更好地应用于等保测评工作中。
注意:请使用普通文本格式回答不要使用markdown, 不要包含网址。
2. 等保测评安全加固指导手册范文模板:2.1 范文模板简介:等保测评安全加固指导手册范文模板是根据等保测评安全加固的要求和标准,提供了一套操作性强、结构清晰的模板,用于编写等保测评安全加固指导手册。
该范文模板包含了必要的章节和内容框架,并给出了相应的说明和示例,使编写人员能够更好地组织和撰写相关内容。
2.2 使用范文模板的注意事项:在使用等保测评安全加固指导手册范文模板时,需要注意以下几点:- 确保所选用的范文模板与实际情况相符,可以进行适当的调整和修改。
H3C 交换机安全加固手册(Comware V7)-6W100-整本手册
H3C交换机安全加固手册(Comware V7)Copyright © 2019 新华三技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目录1本书约定 (1)1.1 读者对象 (1)1.2 接口编号约定 (1)1.3 特别申明 (1)2概述 (1)2.1 安全威胁 (1)2.1.1 管理平面和控制平面的安全威胁 (1)2.1.2 转发平面的安全威胁 (2)2.2 安全体系架构 (3)2.3 安全加固的基本原则 (4)3管理平面安全加固 (4)3.1 登录及访问设备的安全 (4)3.1.1 通过Console口/USB口登录设备 (4)3.1.2 通过Stelnet登录设备 (6)3.1.3 通过RESTful访问设备 (8)3.1.4 通过SNMP访问设备 (8)3.1.5 通过Web登录设备 (10)3.1.6 文件访问安全 (10)3.1.7 EPON的ONU用户认证 (12)3.1.8 FC端口安全 (12)3.2 登录用户及权限管理 (13)3.2.1 管理登录用户权限(RBAC) (13)3.2.2 AAA(认证、授权、计费) (13)3.2.3 命令行授权 (14)3.2.4 Password Control (14)3.2.5 修改SmartMC成员设备的密码 (15)3.3 密码设置安全 (15)3.4 设备管理安全 (16)3.4.1 配置密码恢复功能 (16)3.4.2 关闭USB接口 (16)3.4.3 配置内存告警门限 (16)3.5 配置文件加密 (18)3.6 安全日志 (19)3.7 VXLAN安全 (20)3.7.1 MAC地址学习 (20)3.7.2 ARP/ND安全 (20)3.7.3 ARP迁移抑制 (21)3.7.4 泛洪抑制 (21)4控制平面安全加固 (22)4.1 二层协议安全 (22)4.1.1 生成树保护功能 (22)4.1.2 LLDP邻居验证与超时保护功能 (23)4.2 ARP攻击防御 (25)4.2.1 源MAC为组播的ARP表项检查功能 (25)4.2.2 泛洪类ARP报文攻击防范 (25)4.2.3 防御ARP欺骗类攻击功能 (27)4.3 ND攻击防御 (32)4.3.1 ND Snooping (32)4.3.2 ND协议报文源MAC地址一致性检查功能 (32)4.3.3 ND Detection功能 (33)4.3.4 RA Guard功能 (33)4.3.5 IPv6 Destination Guard功能 (35)4.4 接入业务安全 (35)4.4.1 802.1X (35)4.4.2 端口安全 (36)4.4.3 Portal (37)4.4.4 限制Web认证最大用户数 (39)4.4.5 FIP Snooping (39)4.4.6 HTTPS重定向 (39)4.5 DHCP安全 (40)4.5.1 DHCP Flood攻击防范功能 (40)4.5.2 防止DHCP饿死攻击功能 (41)4.5.3 DHCP用户类白名单功能 (42)4.5.4 DHCP中继用户地址表项管理功能 (42)4.5.5 DHCP中继支持代理功能 (43)4.5.6 DHCPv6服务器记录的地址租约表项转化为IP Source Guard动态表项功能 (43)4.5.7 DHCP Snooping (44)4.5.8 DHCPv6 guard (44)4.6 DNS安全 (44)4.7 ICMP安全 (45)4.8 TCP安全 (45)4.8.1 SYN Cookie功能 (45)4.8.2 禁止发送TCP报文时添加TCP时间戳选项信息 (46)4.9 路由协议安全 (46)4.9.1 RIP/RIPng (46)4.9.2 OSPF/OSPFv3 (47)4.9.3 IS-IS (48)4.9.4 BGP (49)4.10 组播安全 (51)4.10.1 IGMP Snooping/MLD Snooping (51)4.10.2 PIM/IPv6 PIM (53)4.10.3 MSDP (53)4.11 MPLS安全 (54)4.11.1 LDP (54)4.11.2 RSVP (54)4.12 控制平面限速及丢包告警 (55)4.12.1 协议报文限速 (55)4.12.2 控制平面协议丢包告警日志 (56)4.13 WLAN管理与接入安全(仅支持融合AC产品适用) (56)4.13.1 CAPWAP隧道加密 (56)4.13.2 WLAN客户端接入控制功能 (57)4.13.3 WLAN用户接入认证 (58)4.13.4 WLAN用户安全 (59)4.13.5 WIPS (59)4.14 高可靠性协议报文认证 (59)4.14.1 DLDP报文认证 (59)4.14.2 VRRP报文认证 (60)4.14.3 BFD控制报文认证 (61)4.15 时间管理协议报文认证 (61)4.15.1 NTP服务的访问控制权限 (61)4.15.2 NTP报文认证 (62)4.15.3 SNTP报文认证 (66)5转发平面安全加固 (68)5.1 安全隔离 (68)5.1.1 端口隔离 (68)5.1.2 用户隔离(仅支持融合AC产品适用) (68)5.1.3 远程配置EPON ONU设备的UNI端口隔离 (68)5.2 广播、组播、未知单播抑制 (69)5.2.1 风暴抑制和流量阈值控制 (69)5.2.2 丢弃未知组播报文 (70)5.3 MAC地址安全管理 (71)5.3.1 黑洞MAC地址 (71)5.3.2 关闭MAC地址学习 (71)5.3.3 控制MAC地址学习 (71)5.3.4 配置接口的MAC地址学习优先级 (72)5.3.5 MAC地址迁移上报和抑制功能 (72)5.4 数据流保护 (73)5.4.1 MACsec (73)5.4.2 IPsec (73)5.4.3 EPON数据流保护 (74)5.5 报文&流量过滤 (74)5.5.1 ACL (74)5.5.2 流量过滤 (75)5.5.3 IP Source Guard (76)5.5.4 IP Source Guard(仅支持融合AC产品适用) (76)5.5.5 MFF (76)5.5.6 uRPF (77)5.5.7 SAVI (77)5.5.8 Voice VLAN的安全模式 (77)5.6 攻击检测与防范 (78)5.6.1 DoS攻击检测与防范 (78)5.6.2 Naptha攻击防范 (78)1 本书约定1.1 读者对象本手册主要适用于如下工程师:•网络规划人员•现场技术支持与维护人员•负责网络配置和维护的网络管理员1.2 接口编号约定本手册中出现的接口编号仅作示例,并不代表设备上的实际接口编号。
麒麟系统安全加固手册
麒麟系统安全加固手册
麒麟系统安全加固手册是一份指导用户如何加固麒麟操作系统安全性的文档。
以下是一些可能包括在麒麟系统安全加固手册中的主题:
1. 用户账户管理:包括设置强密码、限制root用户访问、设置账户锁定策略等。
2. 文件系统安全:如设置文件权限、使用专用分区、禁用危险命令、保护关键文件等。
3. 网络安全:包括配置防火墙、限制网络访问、使用加密传输协议等。
4. 服务和进程管理:包括禁用不必要的服务、限制进程权限、启用审计等。
5. 密码策略:包括密码复杂性要求、周期性修改密码、禁止密码复用等。
6. 安全审计:包括配置审计日志、监控与分析日志、响应安全事件等。
7. 系统更新与补丁管理:包括及时安装操作系统和应用程序的更新补丁等。
8. 应用程序安全:包括限制应用程序权限、安装安全软件、更
新应用程序等。
9. 远程访问安全:包括配置安全远程访问协议、限制远程访问权限、安全配置VPN等。
10. 物理安全:包括保护服务器硬件、限制物理访问权限等。
此外,麒麟系统安全加固手册还可能提供其他安全加固的建议和实践,以帮助用户提高系统的安全性。
服务器安全加固手册
服务器安全加固手册一、安全策略加固:1、点击“开始”—“管理工具”—“本地安全策略”:2、点击“账户策略”—“密码策略”和“账户策略”,策略配置如下:3、点击“本地策略”—“审核策略”和“安全选项”,策略配置如下:4、点击“开始”—“管理工具”—“计算机管理”:5、点击“系统工具”—“本地用户和组”—“用户”,鼠标右击“guest”账户点击“属性”,将guest账户禁用:二、防火墙安全配置:注意:开启防火墙会导致外部主动访该问服务器的部分端口流量被阻断,如(数据库服务器中开启防火墙后,应用服务器则无法连接数据库端口),强烈建议先梳理各服务器需要开放的业务端口,在防火墙策略中放开需要使用到的业务端口,再打开、启动防火墙。
保证业务的正常运行,一旦开启防火墙发现对业务有影响则立即关闭防火墙。
1、点击“开始”—“管理工具”—“高级安全windows防火墙”:2、点击“入站规则”—“远程桌面(TCP-In)”—鼠标右击“属性”:3、点击“作用域”—“远程IP地址”中填写如下IP地址:4、点击“开始”—“网络”—右击鼠标“属性”:5、点击“windows防火墙”—“打开或关闭windows防火墙”,开启防火墙功能:三、补丁更新1、补丁更新前请将服务器进行安全备份,以免补丁更新失败造成数据丢失。
2、如果windows系统为正版授权系统,可在“开始”—“所有程序”—“windows update”—“启动自动更新”—“检查更新”,采用windows系统自动更新功能。
3、如果服务器可上网,安装360安全卫士或电脑管家等第三方软件,进行在线补丁更新,但补丁更新完后务必将该软件卸载、删除。
4、可在微软官方网站中《https:///zh-cn/》中下载高危漏洞补丁进行离线安装。
四、删除多余的第三方应用软件:删除多余的、不需要使用的第三方软件,如QQ、Teamview、输入法、浏览器等不许使用的应用软件。
五、防病毒部署:建议购买国内知名厂商防病毒软件,建议采用C/S架构的病毒集中管理方式,实现防病毒的分布式部署。
麒麟系统安全加固手册
麒麟系统安全加固手册一、引言1.背景介绍随着信息技术的飞速发展,网络安全问题日益突出。
我国自主研发的麒麟操作系统在众多领域广泛应用,其安全性备受关注。
为了保障麒麟系统的安全稳定运行,特制定本手册,以指导相关人员开展麒麟系统安全加固工作。
2.手册目的本手册旨在提供一个全面、系统的麒麟系统安全加固方法,帮助用户了解并掌握加固过程中的关键技术和管理措施,提高麒麟系统安全性。
二、麒麟系统简介1.麒麟系统的发展历程麒麟操作系统是我国自主研发的一款具有完全自主知识产权的操作系统。
从诞生之初,便秉持着高度安全的原则,不断优化和完善,广泛应用于政府、金融、电力、教育等领域。
2.麒麟系统的特点麒麟系统具有以下特点:(1)高度自主:拥有完整的自主知识产权,遵循国内和国际标准研制。
(2)安全稳定:采用先进的安全技术,提供多重安全防护。
(3)易用性:界面简洁,操作便捷,适应多种应用场景。
(4)兼容性:支持多种硬件平台,可与主流软件无缝对接。
三、安全加固的重要性1.网络安全形势当前,网络攻击手段日益翻新,APT(高级持续性威胁)攻击、勒索软件等给企业和个人带来严重损失。
麒麟系统作为我国重要基础设施的核心组件,必须加强安全防护。
2.加固的意义和目的安全加固是为了提高麒麟系统的安全性能,降低系统遭受攻击的风险,确保关键信息基础设施的安全稳定运行。
四、麒麟系统安全加固方法1.操作系统的加固(1)更新系统补丁:定期更新操作系统安全补丁,修复已知漏洞。
(2)优化系统配置:调整操作系统参数,提高系统安全性。
(3)限制权限:合理设置用户和组的权限,减少未经授权的访问。
2.应用系统的加固(1)应用安全审计:对关键业务系统进行安全审计,确保无安全隐患。
(2)升级应用版本:定期更新应用软件,修复已知漏洞。
(3)安全编程规范:遵循安全编程规范,避免引入安全隐患。
3.网络配置的加固(1)合理规划网络拓扑:划分网络区域,实施严格的边界防护。
(2)配置防火墙:设置防火墙规则,防止非法访问和攻击。
服务器安全加固手册
服务器安全加固手册一、引言随着信息技术的快速发展,服务器作为信息存储和处理的中心,其安全性变得越来越重要。
本手册旨在提供一套全面的服务器安全加固方案,帮助企业或个人保护其服务器免受各种安全威胁。
二、服务器安全加固概述服务器安全加固主要包括以下几个方面:操作系统安全、应用程序安全、网络安全、物理安全和数据备份恢复。
通过对这些方面的加固,可以有效地提高服务器的安全性。
三、操作系统安全加固1、选用最新版本的操作系统,并及时更新补丁。
2、禁用不必要的服务,减少系统漏洞。
3、配置安全的登录方式,如强密码、多因素身份验证等。
4、对重要文件和文件夹进行权限设置,确保只有授权用户可以访问。
5、定期进行安全审计,检查系统日志,发现异常行为及时处理。
四、应用程序安全加固1、确保应用程序使用最新版本,修复已知漏洞。
2、对应用程序进行访问控制,限制不必要的访问权限。
3、对输入数据进行验证和过滤,防止恶意代码注入。
4、对敏感数据进行加密存储,确保数据安全。
5、定期对应用程序进行安全审计,发现潜在的安全问题及时处理。
五、网络安全加固1、使用防火墙,限制不必要的网络访问。
2、定期更换密码,避免使用弱密码。
3、使用加密协议进行数据传输,确保数据在传输过程中的安全。
4、配置安全的网络拓扑结构,避免单点故障。
5、使用入侵检测系统(IDS),及时发现并阻止恶意攻击。
六、物理安全加固1、将服务器放置在安全的环境中,如防火、防潮、防尘等。
2、使用门禁系统,限制无关人员进入服务器机房。
3、对服务器进行定期维护和检查,确保硬件安全。
4、使用加密设备对重要数据进行加密存储,防止数据泄露。
5、对服务器进行备份和恢复措施,确保在发生故障时数据可以快速恢复。
七、总结本手册提供了一套全面的服务器安全加固方案,包括操作系统安全加固、应用程序安全加固、网络安全加固、物理安全加固和数据备份恢复等方面。
通过对这些方面的加固,可以有效地提高服务器的安全性,防止各种安全威胁的发生。
cisco网络设备安全加固手册
Router Security ChecklistThis security checklist is designed to help you review your router security configuration, and remind you of any security area you might have missed.� Router security policy written, approved, distributed.� Router IOS version checked and up to date.� Router configuration kept off-line, backed up, access to it limited.� Router configuration is well-documented, commented.� Router users and passwords configured and maintained.� Password encryption in use, enable secret in use.�Enable secret difficult to guess, knowledge of it strictly limited. (if not, change the enable secret immediately)� Access restrictions imposed on Console, Aux, VTYs.� Unneeded network servers and facilities disabled.� Necessary network services configured correctly (e.g. DNS)� Unused interfaces and VTYs shut down or disabled.� Risky interface services disabled.� Port and protocol needs of the network identified and checked.� Access lists limit traffic to identified ports and protocols.� Access lists block reserved and inappropriate addresses.� Static routes configured where necessary.� Routing protocols configured to use integrity mechanisms.� Logging enabled and log recipient hosts identified and configured. �Router’s time of day set accurately, maintained with NTP.� Logging set to include consistent time information.� Logs checked, reviewed, archived in accordance with local policy. � SNMP disabled or enabled with good community strings and ACLs.。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全加固手册8.2 系统安全值设置8.2.1 查看目前系统值:WRKSYSV AL 一个一个顺序在终端上显示或者 DSPSYSVAL SYSV AL (system value)8.2.2 系统安全级别推荐设置为40QSECURITY 4010 没有用户认证,没有资源保护20 用户使用密码认证,没有资源保护30 用户认证和默认的资源保护40 跟 30 相似,但是控制了特权指令和设备的接口(在客户端被认为具有高的风险的时候应用安全级别40。
他会限制对对象,其他工作的数据和系统内部程序的直接访问)50 增强型的安全访问控制,达到真正的 C2 级安全控制8.2.3 建议设置口令复杂度策略QPWDVLDPGM *NONE 无密码检测8.2.4 密码长度最小密码长度QPWDMINLEN 6最大密码长度QPWDMAXLEN 108.2.5 设置帐户最大尝试登陆次数QMAXSIGN 3(默认值)达到最大尝试次数措施QMAXSGNACN 3(默认值)1 禁用终端2 禁用用户配置文件3 全部(注 :建议根据自己的情况选择,禁用终端后,可能会给别人的造成误解,怀疑设备损坏。
管理员要十分清楚该参数的含义)8.2.6 设置密码有效期QPWDEXPITV 30-90*NOMAX 不限1-366 天QPWDRQDDIF 10 可以和以前的历史记录中的 32 个密码一样1 必须和以前的历史记录中的 32 个密码不同8.2.7 限制安全设备登陆QLMTSECOFR 10 允许所有有 *ALLOBJ 授权的用户在任意显示终端登陆,有 *SERVICE 授权的用户可以使用*CHANGE 公开认证手段登陆到任意显示终端1 不允许有 *ALLOBJ 或 *SERVICE 的用户登陆到任一显示终端上(主控制台除外),除非他们有特别的授权允许访问8.2.8 设置超时策略QINACTITV 无活动的任务超时 *NONE: 无超时5-300 超时最大允许时间(分钟)推荐 15非授权用户在某个时间段无操作,系统将会根据该参数值决定是否断开当前的session。
认证用户通过再次登陆,可以继续以前session 所保留的屏幕。
当设置中断连接任务(*DSCJOB )值去中断任意交互式登陆。
8.2.9 限制设备sessionsQLMTDEVSSN0 不限制一个终端的特定用户 ID 的在同一时刻的使用数1 限制同一时刻只能有一个特定用户登录到这台工作站8.2.10 用户登录信息是否显示在屏幕上QDSPSGNINF0 在用户登录时 ,登陆信息不显示1 以下信息会被显示最后登陆时间从上次登陆以来的失败登陆密码 7 天或之内密码将要过期的警告QAUTOVRTQAUTOVRT8.3.1 显示所有用户和组的profile8.3.2 检查每个重要的组的profile ,保证是由管理人8.2.11 改变虚拟设备的自动配置值值控制系统自动配置虚拟设备会话(比如 5250telnet )的数量值建议设置为 *nomax8.2.12 改变远程登陆值QRMTSIGN 值控制是否当工作站支持显示终端或工作站支持功能,允许用户略过在远端系统的登陆提示。
( pass-through 类似于 unix 的 rlogin 功能)可能值如下 :FRCSIGNON:所有系统的 pass through sessio ns必须通过正常的登录(sig n-on)过程SAMEPRF:仅允许远端系统 profile名与本地系统一致的用户进行不通过登录( sign-on)过程的 pass through sessionsVERIFY:如果 QSECURITY 设置为10,没有通过正常的登录(sign-on)过程的pass through sessions 允许所有的pass through请求并且不检查密码。
QSECURITY 设置为30的时候必须进行登录。
REJECT: 不允许系统支持 pass through sessions8.2.13 创建系统认证参数值检查系统值报告里面的 QCRTAUT 参数,并且确认已经改变默认的值 *CHANGE 为 *USE 或更少权限。
检查产品数据库和产品源代码被放在一个有合适的访问权限的库里维护。
或者使用可视认证组件命令(Display Object Authority command )并且检查每一个重要的产品数据库和源代码的公共认证访问( PUBAUT )访问参数设置为 *EXCLUDE 并且都设置了合适的访问控制。
8.3 用户、组配置DSPAUTUSR SEQ (*GRPPRF) wrkusrprf *all员赋予的8.3.3 检查系统内的用户,保证是都由管理人员赋予的,并且他们的设置与他们的需要的功能一致*ALLOBJ *SECADM *SAVSYS *JOBCTL *SERVICE *SPLCTL 8.3.4 系统安装时,已经预定义了许多用户的profile ,这些用户的profile 的密码可以从用户的profile 名判断QSRVBAS 和 QSRV 推荐在每次时候后改变。
任何商业软件厂商安装时用的密码也应该更改。
8.3.5 使用以下命令取得用户和组的profile:取得文件 :输入[DSPUSRPRF],按(PF4),选择输出文件和文件名,将此文件传输到 PC或XCOMM 到一个大型机( where Office Services will copy the file/s to audits cc 0820 G drive )。
DSPUSRPRF USRPRF(pro) TYPE(*BASIC)每个 profile 检查以下设置 :8.3.5.1 G R O U P (Group Profile)检查每个组里面的用户是否应具有此权限8.3.5.2 P W D E X P I T V ( 密码过期周期)*SYSVAL: 系统默认值为QPWDEXPITV 如果已经设置为一个数字,则表示此用户已经设置密码过期周期。
8.3.5.3 CURLIB (当前库)检查用户是否指定了合适的库( library )。
并且保证库足够的安全8.3.5.4 L M T C P B (限制权限)指定是否用户可以更改初始程序,初始菜单,当前库和attention-key-handling 程序值。
*NO: 用户可以使用 CHGPRF 命令改变自己用户 profile 里面的所有值。
*PARTIAL:初始化程序和当前库值不能改变。
初始菜单可以改变(使用CHGPRF)并且可以在菜单命令行处输入命令。
*YES: 初始程序,初始菜单和当前库不能改变。
菜单命令行处可以运行部分命令。
推荐值 :产品用户设置为 *YES8.3.5.5 S P C A U T (特殊权限)- 几乎所有对象允许无限访问- 允许管理用户 profile- 保存和恢复系统和数据- 允许操作工作队列和子系统- 允许一些没有控制的功能- 允许控制池( spool )功能*USRCLS -授予用户对他所在的级别(class)特别的授权*NONE - 没有特别的授权检查是否每个用户级别特别的授权是否适当。
一般来说,用户和程序不应该有任何特殊授权。
默认 SECADM, QSECOFR, 和 SYSOPR 具有 *SAVSYS 和 *JOBCTL 特殊授权。
推荐设置 *PUBLIC 默认设置为 *EXCLUDE 。
8.3.5.6 I N L P G M ( 初始程序)*NONE: 没有初始程序,用户直接进入命令行。
初始程序,除了注销( sign-off )之外不会提供程序的退出手段。
如果在初始菜单参数中指定了具体菜单名的话,菜单将会被显示。
保证没有菜单 / 子菜单中没有退出选项到命令行级。
8.3.5.7 I N L M E N U ( 初始菜单)*SIGNOFF: 当初始程序结束会从系统中注销用户菜单安全限制一个用户的权力,并且限制这个用户使用一个安全的环境变量。
初始菜单在初始程序结束后显示。
确保用户被设置了菜单,并且菜单的选项适合用户的工作运行。
菜单安全的好处是它容易去执行,会降低安全管理的开销;并且会改善使用界面。
推荐设置 :当访问库和对象的时候限制权限。
8.3.5.8 L M T D E V S S N ( 限制设备session)*SYSV AL:如果用户被限制在一个终端session的时候选择此系统值*NO: 不限制访问一个用户 id 访问设备的 session *YES: 限制一个用户 id 访问一个终端的 session. 推荐值 : *YES 或者 *SYSVAL and QLMTDEVSSN - 设置为选项一 (limit number of device sessions to one).8.3.5.9 S T A T U S ( 用户profile 的状态)设置用户 profile 是否使用。
*ENABLED: 使用*DISABLED: 不使用推荐值 : 无用的和暂不使用的用户 profile 应设置为 *DISABLE 以防止未经授权的访问注意系统用户 profiles 如 QSYS, QSECOFR, 等,必须设置为 *ENABLE.8.3.5.10 取得一个系统全用户的列表,并且作如下检查:a•确认所有的用户和组被单独赋予权限b. 确认是否所有的用户授权均基于部门间已有的管理授权机制c. 确认所有的用户均处在雇佣状态。
8.3.5.11 确认是否存在未经授权的用户从他们的菜单可以访问重要的进程或执行重要的操作8.3.6 列出所有采用QSECOFR 授权的程序DSPPGMADP USRPRF(QSECOFR) [optional OUTPUT(*PRINT) to print] 执行此命令可能会消耗大量系统资源。
确认安全管理员知道这些程序,以及是否应在添加新的用户考虑是否应对他们设置授权。
推荐设置 :安全管理员应监控 QSECOFR 授权赋予权限的程序。
8.3.7 确认采用以下安全和密码策略:a. 安全的赋予和分发密码b. 选择密码标准c. 在雇员离职后更改密码或删除用户(可以从前面的登陆日期得到报告)d. 定期更改密码e. 培训用户密码保密的必要性和在不用时注销工作站f. 当发现违反安全规定时候的处置措施8.3.8 使用以下命令取得授权用户列表DSPAUTUSR列表包括用户 profile ,上次更改密码日期和用户 profile 说明。
可以从上次更改密码日期判断是否在一个合理的周期内更改密码。
8.4 库安全( Libraries )8.4.5 取得系统所有库的列表DSPOBJD OBJ(QSYS/*ALL) OBJTYPE(*LIB) OUTPUT(*PRINT) 判断产品对象 production objects 被从开发对象 development objects 中分割在单独的库里8.4.6选择一个重要产品的的库,列出所选择库的内容(对象)DSPLIB (Library Name) 确认产品库中只有产品的对象8.4.7 列出重要产品库中对象的授权DSPOBJAUT OBJ(QSYS/library name) OBJTYPE(*LIB)确认仅有授权的用户和组可以访问。