IT系统安全基线规范-V3.0

中国x x公司I T技术规范IT系统安全基线规范
中国xx公司信息技术部
目录
IT系统安全基线规范 (1)
（V3.0) ........................................................ 错误!未定义书签。

1.范围 (6)
2.术语、定义和缩略语 (6)
3.总体说明 (6)
3.1编写背景 (6)
3.2安全基线制定的方法论 (7)
4.安全基线范围及内容概述 (7)
4.1覆盖范围及适用版本 (7)
4.2安全基线编号说明 (8)
4.3安全基线组织及内容 (8)
5.WEB应用安全基线规范 (8)
5.1身份与访问控制 (8)
5.1.1账户锁定策略 (8)
5.1.2登录用图片验证码 (9)
5.1.3口令传输 (9)
5.1.4保存登录功能 (9)
5.1.5纵向访问控制 (10)
5.1.6横向访问控制 (10)
5.1.7敏感资源的访问 (10)
5.2会话管理 (11)
5.2.1会话超时 (11)
5.2.2会话终止 (11)
5.2.3会话标识 (11)
5.2.4会话标识复用 (12)
5.3代码质量 (12)
5.3.1防范跨站脚本攻击 (12)
5.3.2防范SQL注入攻击 (13)
5.3.3防止路径遍历攻击 (13)
5.3.4防止命令注入攻击 (13)
5.3.5防止其他常见的注入攻击 (14)
5.3.6防止下载敏感资源文件 (14)
5.3.7防止上传后门脚本 (14)
5.3.8保证多线程安全 (15)
5.3.9保证释放资源 (15)
5.4内容管理 (15)
5.4.1加密存储敏感信息 (15)
5.4.2避免泄露敏感技术细节 (16)
5.5防钓鱼与防垃圾邮件 (16)
5.5.1防钓鱼 (16)
5.5.2防垃圾邮件 (16)
5.6密码算法 (17)
5.6.1安全算法 (17)
5.6.2密钥管理 (17)
6.中间件安全基线内容 (18)
6.1A PACHE安全配置基线 (18)
6.1.1日志配置 (18)
6.1.2访问权限 (18)
6.1.3防攻击管理 (19)
6.2W EB S PHERE安全配置基线 (22)
6.2.1帐号管理 (22)
6.2.2认证授权 (23)
6.2.3日志配置 (24)
6.2.4备份容错 (24)
6.2.5安全管理 (25)
6.3T OMCAT W EB安全配置基线 (27)
6.3.1账号管理 (27)
6.3.2口令安全 (28)
6.3.3日志配置 (29)
6.3.4安全管理 (30)
6.4IIS服务安全配置基线 (32)
6.4.1账号管理 (32)
6.4.2口令安全 (33)
6.4.3认证授权 (35)
6.4.4日志配置 (36)
6.4.5IP协议安全 (37)
6.4.6屏幕保护 (39)
6.4.7文件系统及访问权限 (40)
6.4.8补丁管理 (44)
6.4.9IIS服务组件 (45)
6.5W EB L OGIC W EB服务安全配置基线 (46)
6.5.1账号管理 (46)
6.5.2口令安全 (47)
6.5.3日志配置 (48)
6.5.4IP协议安全配置 (48)
6.5.5安全管理 (50)
7.数据库安全基线内容 (51)
7.1DB2数据库安全配置基线 (51)
7.1.1数据库权限 (51)
7.2SQLS ERVER数据库安全配置基线 (54)
7.2.1口令安全 (54)
7.2.2日志配置 (54)
7.2.3更新补丁 (55)
7.3O RACLE数据库系统安全配置基线 (56)
7.3.1账号管理 (56)
7.3.2口令安全 (56)
8.主机安全基线内容 (59)
8.1AIX安全配置基线 (59)
8.1.1账号管理 (59)
8.1.2口令安全 (60)
8.1.3IP协议安全 (61)
8.1.4日志配置 (62)
8.2HP-U NIX安全配置基线 (62)
8.2.1账号管理 (62)
8.2.2口令安全 (63)
8.2.3日志配置 (65)
8.2.4IP协议安全 (65)
8.2.5其他安全配置 (66)
8.3L INUX安全配置基线 (66)
8.3.1账号管理 (66)
8.3.2认证授权 (67)
8.3.3日志配置 (68)
8.4W INDOWS安全配置基线 (68)
8.4.1账号管理 (68)
8.4.2口令安全 (69)
8.4.3认证授权 (70)
8.4.4日志配置 (71)
8.4.5IP协议安全 (74)
8.4.6其他安全配置 (75)
8.5S OLARIS安全配置基线 (76)
8.5.1账号管理 (76)
8.5.2口令安全 (77)
8.5.3认证授权 (78)
8.5.4日志配置 (79)
8.5.5IP协议安全 (80)
9.设备安全基线内容 (81)
9.1C ISCO路由安全配置基线 (81)
9.1.1账号管理 (81)
9.1.2口令安全 (82)
9.1.4日志配置 (84)
9.1.5IP协议安全 (86)
9.1.6功能配置 (87)
9.1.7其他安全配置 (89)
9.2H UAWEI路由安全配置基线 (91)
9.2.1账号管理 (91)
9.2.2口令安全 (92)
9.2.3日志配置 (94)
9.2.4IP协议安全 (95)
9.2.5其他安全配置 (96)
9.3J UNIPER路由安全配置基线 (98)
9.3.1账号管理 (98)
9.3.2口令安全 (100)
9.3.3日志配置 (102)
9.3.4IP协议安全 (105)
9.3.5其他安全配置 (109)
10.安全基线使用要求 (113)
11.文档修订记录 (113)
1.范围
本规范对各类操作系统、网络设备、数据库、中间件和WEB应用的安全配置和检查明确了基本的要求。

本规范适用于xxxIT系统的各类操作系统、网络设备、数据库、中间件和WEB应用，可以作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的依据。

2.术语、定义和缩略语
3.总体说明
3.1编写背景
xxxIT系统的设备、主机、应用等多采购自第三方，在部署之前往往只执行了功能测试，各个系统安全水平不一，容易遭受黑客攻击，存在很多安全隐患。

为了保证整体安全水平，
防止系统设备因为安全配置不到位而带来安全风险，有必要对系统设备的安全性进行检查和加固。

若系统按照安全基线进行了检查和加固，则可以确保系统和设备安全符合性达到要求，杜绝大部分的安全隐患。

为此，制定各系统的安全基线，作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固依据，同时也是满足内控管理要求的依据。

此次系列安全基线规范覆盖了应用层、中间件层、操作系统层以及网络层，并依据这些安全基线建立准入措施，从源头和根本上控制和提高系统的安全性。

此次项目对安全基线的要求如下：
●覆盖面广，涵盖常见IT系统和设备，并涵盖Web应用和源代码的安全基线；
●可操作性强，针对每个检查项均有简洁的操作说明；
●定期更新，应当周期性的对基线进行补充和更新；
●成果可固化，基线可以被集成为检查工具；
●安全基线将作为系统和设备安全准入的必要条件。

3.2安全基线制定的方法论
安全基线制定主要基于以下方法：
1.参考产品原厂商的技术资料
2.参考安全服务及安全研究的成果
3.参考国内外大型研究机构及企业现行的安全基线
4.结合xxx集团总部下发的相关规范及xxx信息技术部的实际情况
4.安全基线范围及内容概述
4.1覆盖范围及适用版本
目前省、市公司IT系统中部署了数量众多的IT设备和系统，主要包括网络设备、主机、数据库、中间件和应用系统等。

此次安全基线制定的范围需要涵盖xxx常见的IT系统和设备，具体包括：
以上设备和系统之外的安全基线将根据需要进行补充。

4.2安全基线编号说明
安全基线采用SBL-设备系统名称-数字-数字-数字的方式命名，设备系统名称是指此基线适用的设备或系统，例如windows、oracle等，后续的数字编号指基线要求的具体项目编号，例如SBL-WebAPP-02-02-01是指Web应用的安全基线，属于此基线第二章身份与访问控制第二小节登录用图片验证码的第一项要求，因此后续数字编号为 02-02-01。

4.3安全基线组织及内容
xxx信息技术部制定的安全基线主要分为两大类，第一大类是应用层基线，由于此层的应用系统多为定制开发，因此重在考虑设计、开发、测试环节引入的安全问题。

Web应用层安全基线通常包括以下九个范畴的要求：
1)身份与访问控制
2)会话管理
3)代码质量
4)内容管理
5)防钓鱼与防垃圾邮件
6)密码算法
7)系统日志
8)安装配置
9)安全维护
第二大类是通用的IT基础设施系统层基线，这类系统包括中间件、数据库、操作系统和网络设备等，它们多为非定制标准化产品，原厂商技术支持较好，资料完整，因此这类安全基线的内容主要关注帐号口令、安全策略，补丁情况，网络协议，日志等问题。

5.Web应用安全基线规范
5.1身份与访问控制
5.1.1账户锁定策略
5.1.2登录用图片验证码
5.1.3口令传输
5.1.4保存登录功能
5.1.5纵向访问控制
5.1.6横向访问控制
5.1.7敏感资源的访问
5.2会话管理5.2.1会话超时
5.2.2会话终止
5.2.3会话标识
5.2.4会话标识复用
5.3代码质量
5.3.1防范跨站脚本攻击
5.3.2防范SQL注入攻击
5.3.3防止路径遍历攻击
5.3.4防止命令注入攻击
5.3.5防止其他常见的注入攻击
5.3.6防止下载敏感资源文件
5.3.7防止上传后门脚本
5.3.8保证多线程安全
5.3.9保证释放资源
5.4内容管理
5.4.1加密存储敏感信息
5.4.2避免泄露敏感技术细节
5.5防钓鱼与防垃圾邮件5.5.1防钓鱼
5.5.2防垃圾邮件
5.6密码算法5.
6.1安全算法
5.6.2密钥管理
6.中间件安全基线内容6.1Apache安全配置基线6.1.1日志配置
6.1.1.1 审核登录
6.1.2访问权限
6.1.2.1 禁止访问外部文件
6.1.3防攻击管理6.1.3.1 错误页面处理
6.1.3.2 目录列表访问限制
6.1.3.3 删除无用文件
6.1.3.4 隐藏敏感信息
6.2WebSphere安全配置基线6.2.1帐号管理
6.2.1.1 应用程序角色
6.2.1.2 控制台帐号安全
6.2.1.3 口令管理
6.2.2认证授权
6.2.2.1 控制台安全
6.2.2.2 全局安全性与Java2安全
6.2.3日志配置6.2.3.1 日志与记录
6.2.4备份容错6.2.4.1 备份容错
6.2.5安全管理
6.2.5.1 示例程序删除
6.2.5.2 错误页面处理
6.2.5.3 目录列出访问限制
6.2.5.4 控制目录权限
6.2.5.5 补丁管理
6.2.5.6 变更管理
6.3Tomcat Web安全配置基线6.3.1账号管理
6.3.1.1 共享帐号管理
6.3.1.2 无关帐号管理
6.3.2口令安全
6.3.2.1 密码复杂度
6.3.2.2 密码历史
6.3.3日志配置6.3.3.1 审核登录
6.3.4安全管理
6.3.4.1 错误页面处理
1、判定条件
要求包含如下片段：6.3.4.2 目录列表访问限制
6.4IIS服务安全配置基线6.4.1账号管理
6.4.1.1 避免帐号共享
6.4.1.2 删除或锁定无关帐号
6.4.2口令安全6.4.2.1 密码复杂度
6.4.2.2 密码历史
6.4.2.3 密码更改
6.4.2.4 认证失败
6.4.3认证授权
6.4.3.1 用户权利指派
6.4.4日志配置
6.4.4.1 启用日志功能
6.4.4.2 更改日志存放路径
6.4.4.3 日志访问权限
6.4.5IP协议安全6.4.5.1 IP访问限制
6.4.5.2 IP转发安全性
6.4.5.3 SSL身份认证
6.4.6屏幕保护
6.4.6.1 屏幕保护配置
6.4.7文件系统及访问权限6.4.
7.1 更改IIS安装路径
6.4.
7.2 删除非必要脚本影射
配置方法：
从“Internet 服务管理器”中：选择计算机名，点鼠标右键，选择属性：然后选择编辑：
然后选择主目录，点击配置：
选择需要删除的扩展名，点击删除：（以下图示仅供参考，依据实际需求操作）
1、判定条件
6.4.
7.3 按帐户分配日志访问权限
6.4.8补丁管理
6.4.8.1 升级补丁
6.4.9IIS服务组件6.4.9.1 组件安装管理
6.4.9.2 服务扩展管理
1、判定条件
6.5WebLogic Web服务安全配置基线6.5.1账号管理
6.5.1.1 系统启动帐号
6.5.1.2 账号锁定策略
6.5.2口令安全6.5.2.1 密码复杂度
6.5.3日志配置
6.5.3.1 审核登录
6.5.4IP协议安全配置6.5.4.1 支持加密协议
6.5.4.2 限制应用服务器Socket数量
6.5.4.3 禁用Send Server Header
6.5.5安全管理
6.5.5.1 错误页面处理
查看<Application HOME>/WEB-INF/web.xml:
1、判定条件
要求包含如下片段：
6.5.5.2 目录列表访问限制。