安全配置规范实施细则

文件版本记录

文件说明

注：*项为必填项

目录

一、组织和职责 (3)

1信息安全小组 (3)

2信息管理部门各职能线 (3)

二、管理规定 (3)

1背景 (3)

2安全基线制定的方法论 (3)

3安全基线框架说明和覆盖范围 (4)

4安全基线内容 (4)

5安全基线使用要求 (5)

三、表单 (5)

信息系统安全配置规范实施细则

一、组织和职责

1信息安全小组

信息安全小组负责牵头安全配置规范管理工作，总体协调信息管理部门制定其职权范围内系统的安全基线集，并定期检查各信息系统对安全配置规范的执行状况。

2信息管理部门各职能线

信息管理部门各职能线负责制定其职责范围系统的安全基线集，并严格落实各项安全配置内容。

二、管理规定

1背景

1.1为了保证信息系统整体安全水平，防止信息系统因为安全配置不到位而带来安全风险，必须

对系统的安全性进行检查和加固，以确保系统和设备安全符合性达到要求，杜绝安全隐患。

为此，信息管理部门各职能线必须制定各系统的安全基线，以作为系统上线、日常安全检查

的依据，同时也作为满足内部信息安全管控要求的依据。

1.2安全基线应覆盖操作系统、硬件设备、数据库、中间件、应用系统，并依据这些安全基线建

立准入措施，从源头和根本上控制和提高信息系统的安全性。

1.3安全基线的基本要求如下：

1.2.1覆盖面广，包括软件系统及硬件设备，并涵盖Web应用和源代码；

1.2.2可操作性强，针对每个检查项均有简洁的操作说明；

1.2.3定期更新，应当周期性的对基线进行补充和更新；

1.2.4成果可固化，基线可以被集成为检查工具；

1.2.5安全基线将作为软件系统和硬件设备准入的必要条件。

2安全基线制定的方法论

安全基线制定主要基于以下方法：

2.1参考产品原厂商的技术资料；

2.2参考安全服务及安全研究的成果；

2.3参考国内外大型研究机构及企业现行的安全基线；

2.4结合公司的实际情况

3安全基线框架说明和覆盖范围

按设备和系统种类，分为主机操作系统类安全基线、数据库类安全基线、网络设备类安全基线、中间件与应用类安全基线，公司信息管理部门可根据需要对包含的设备和系统进行扩充。

（与客户实际情况之间的差别，重点在应用系统）

3.1现阶段安全基线制定的范围包括：

4安全基线内容

4.1安全基线可分为两大类，第一大类为应用层基线，由于本类的应用系统包含定制开发，因此重

在考虑设计、开发、测试环节引入的安全问题，所以该类的安全基线通常包括以下九个范

畴的要求：

4.1.1身份与访问控制

4.1.2会话管理

4.1.3代码质量

4.1.4内容管理

4.1.5防钓鱼与防垃圾邮件

4.1.6密码算法

4.1.7系统日志

4.1.8安装配置

4.1.9安全维护

4.2第二大类为通用的IT基础设施系统层基线，这类系统包括网络设备、操作系统、数据库，中

间件等，它们多为标准化产品，原厂商技术支持较好，资料完整，因此这一类的安全基线

的内容主要关注账号口令、安全策略，补丁情况，网络协议，日志等问题，其基本安全基

线通常包括四个范畴的要求：

4.2.1账号管理，认证授权

4.2.2日志配置操作

4.2.3IP协议安全设置

4.2.4设备其它配置操作

5安全基线使用要求

5.1新系统上线时必须完成安全基线检查，符合基线要求才能上线，安全基线符合性将作为设备安

全准入的依据。

5.2已上线系统在日常运维中也必须符合安全基线要求，运行维护部门配合信息安全管理部门每季

度对基线符合性进行抽检，可以使用专业的安全基线检查工具对基线各个要求项进行自动化的

基线检查，并形成基线检查报告。

5.3具体业务系统的安全要求应按照业务系统的组成，选择对应的安全基线集合进行检测，要求业

务系统的网络设备、主机操作系统、数据库和应用系统必须通过安全基线的检测，对于确实因

特殊业务需求无法达到的不符合项，应当做出合理说明。

三、表单

无