网络安全-安全加固

配置口令复杂度，设置口令认证失败锁定次数，配置口令生存期，设置重置账户锁定计数器，设置口令到期提示 #必须实施

禁用域环境密码修改，配置历史口令使用策略，限制匿名远程连接 #建议实施 配置会话锁定，配置口令最短使用时间 #按需实施

身份鉴别

禁止共享账户，禁用来宾账号（Guest），禁止匿名账户枚举本地信息，配置共享权限，设置指派文件权限，变更默认管理员账号，修改SNMP默认口令，设置磁盘分区为NTFS格式 #必须实施

配置本机防火墙，控制本机端口访问，配置远程关机权限，配置系统关闭授权，关闭自动播放，配置操作系统分区位置及数量，设置授权用户本地登录，禁用Ctrl+Alt+Del #建议实施 设置域验证解锁，配置指定可以远程访问的用户（组）#按需实施

访问控制

配置登录日志审核，设置系统日志完备性性，配置使用NTP #必须实施

配置日志文件容量 #建议实施

安全审计

配置补丁管理，禁用不需要的服务 #必须实施

入侵防范

设置防病毒管理 #必须实施

恶意代码防范

设置屏保密码保护，设置远程登录超时，设置登录超时 #必须实施

资源控制

禁止显示上次的用户名 #必须实施

配置清除虚拟内存页面文件，设置前次登录缓存数量 #建议实施

其它安全项

Windows

配置口令复杂度，设置口令认证失败锁定次数，配置口令生存期，配置使用SSH方式远程访问 #必须实施

配置历史口令使用策略 #建议实施

禁用共享账户，锁定无关账户，清除UID为0的非ROOT账户，设置umask值 #必须实施

配置重要目录与文件的权限，控制未授权的SUID/SGID，控制任何人都有写权限的目录，控制任何人都有写权限的文件，删除没有属主的文件，控制异常或隐含文件，控制异常或隐含文件 #建议实施

配置syslog.conf，配置认证日志，配置使用NTP #必须实施

配置远程日志服务器 #建议实施 配置安全日志#按需实施

关闭不需要的服务 #必须实施

配置登录超时，设置登录超时，配置增强被远程访问的安全性 #必须实施

限制root账户远程登录 #按需实施

关闭系统core dump状态 #建议实施

其他安全项

Linux

系统加固

配置Apache运行账户，禁止访问外部文件，禁止目录浏览，配置敏感文件访问权限，配置使用安全的HTTP请求 #必须实施

配置安全日志 #必须实施

配置抗拒绝服务攻击参数，设置连接数 #按需实施

删除缺省文件，设置隐藏Apache版本号，配置错误页面处理 #必须实施

更新补丁 #按需实施

其他安全项

Apache

配置密码并保证复杂度 #必须实施

配置Tomcat运行账户，配置划分用户权限，禁止目录浏览，配置使用安全的HTTP请求 #必须实施

配置安全登录日志 #必须实施

设置登录超时 #必须实施 设置连接数 #按需实施

删除缺省文件，配置错误页面处理 #必须实施 更新补丁 #按需实施

Tomcat

设置密码并保证复杂度，配置帐号锁定 #必须实施

设置受限帐号启动服务，限制目录列表访问 #必须实施

配置审核登录 #必须实施

设置登录超时 #必须实施 限制应用服务器Socket连接数 #按需实施

配置错误页面处理 #必须实施 禁用SendServerHeader，更改默认运行端口 #建议实施 配置加密协议 #按需实施

Weblogic

中间价加固

删除不必要账户，设置密码并保证复杂度，禁用共享账户，设置认证失败锁定策略 #必须实施

配置数据库启动账户安全，设置用户权限最小化，限制数据库验证方式， #必须实施 限制登录IP #建议实施

配置数据库审计 #按需实施

配置安装最小化 #必须实施 设置通讯传输加密，更新数据库补丁 #按需实施

其他要求项

Mssql

应对登录操作系统和数据库系统的用户进行身份标识和鉴别；操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施； 应设置鉴别警示信息，描述未授权访问可能导致的后果；当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听； 应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性；应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别，并且身份鉴别信息至少有一种是不可伪造的。

访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表、记录和字段级；应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；应实现操作系统和数据库系统特权用户的权限分离；应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；应及时删除多余的、过期的帐户，避免共享帐户的存在。

审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；审计记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等；应能够根据记录数据进行分析，并生成审计报表； 应保护审计进程，避免受到未预期的中断；应保护审计记录，避免受到未预期的删除、修改或覆盖等；

操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新；

应通过设定终端接入方式、网络地址范围等条件限制终端登录；应根据安全策略设置登录终端的操作超时锁定；应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况；应限制单个用户对系统资源的最大或最小使用限度；应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。

Mysql

删除不必要帐号，设置并保证密码复杂度，禁用共享账号，更改默认帐号密码，设置认证失败策略 #必须实施

配置重复口令使用次数，设置帐号口令的生存期，配置密码变更宽限期 #建议实施

设置监听器启停密码，权限分离，限制账户权限 #必须实施

限制TNS登录IP，限制DBA账户远程登录，配置数据字典访问权限 # 建议实施

配置数据库审计 #按需实施

设置连接超时锁定策略 #必须实施

配置安装最小化 #建议实施 设置通讯传输加密，更新数据库补丁 #按需实施

Oracle

数据库加固

分配用户账号，配置密码复杂度，加密账号静态口令 #必须实施

删除无关帐号，启用远程认证授权 #按需实施

防止地址欺骗 #按需实施

记录账号登录 #必须实施

记录用户操作，启用远程日志，启用NTP服务 #按需实施

过滤已知攻击 #建议实施

启用SSH登录维护，启用登录失败处置，启用登录超时退出，更改设备缺省Banner #必须实施

禁用非必要网络服务 #建议实施 限制管理员远程登录，更改SNMP默认Community串，限制SNMP服务主机，禁用SNMP写功能，启用协议的认证加密功能 #按需实施

网络设备防护

关闭未使用接口 #按需实施

CISCO

删除无关帐号，启用远程认证授权，设置访问级密码 #按需实施

启用远程日志，启用NTP服务 #按需实施

限制远程管理地址，启用SSH登录维护，启用登录失败处置，启用登录超时退出 #必须实施

禁用非必要网络服务 #建议实施 配置命令级别，更改SNMP默认Community串，限制SNMP服务主机 #按需实施

H3C

网络设备

安全加固