1、Win2003 & 2008操作系統(co zu x tn)安全(nqun)配置要求2.1.帳戶口令(kulng)安全帳戶分配：應為不同用戶分配不同的帳戶，不允許不同用戶間共享同一帳戶。帳戶鎖定：應刪除或鎖定過期帳戶、無用帳戶。用戶訪問權限指派：應只允許指定授權帳戶對主機進行遠程訪問。帳戶權限最小化：應根據實際需要為各個帳戶分配最小權限。默認帳戶管理：應對Administrator帳戶重命名，并禁用Guest（來賓）帳戶。口令長度及復雜度：應要求操作系統帳戶口令長度至少為8位，且應為數字、字母和特殊符號中至少2類的組合。口令最長使用期限：應設置口令的最長使用期限小于90天。口令歷史有效次數：應

2、配置操作系統用戶不能重復使用最近 5 次（含 5 次）已使用過的口令。口令鎖定策略：應配置當用戶連續認證失敗次數為 5次，鎖定該帳戶30分鐘。2.2.服務及授權安全服務開啟最小化：應關閉不必要的服務。SNMP服務接受團體名稱設置：應設置SNMP接受團體名稱不為public或弱字符串。系統時間同步：應確保系統時間與NTP服務器同步。DNS服務指向：應配置系統DNS指向企業內部DNS服務器。2.3.補丁安全系統版本：應確保操作系統版本更新至最新。補丁更新：應在確保業務不受影響的情況下及時更新操作系統補丁。2.4.日志審計日志審核策略設置：應合理配置系統日志審核策略 。日志存儲規則設置：應設置日志存

3、儲規則，保證足夠的日志存儲空間。日志存儲路徑：應更改日志默認存放路徑。日志定期備份：應定期對系統日志進行備份。2.5.系統防火墻：應啟用系統自帶防火墻，并根據業務需要限定允許通訊的應用程序或端口。2.6.防病毒軟件：應安裝由總部統一部署的防病毒軟件，并及時更新。2.7.關閉自動播放功能：應關閉 Windows 自動播放功能。2.8.共享文件夾刪除本地默認共享：應關閉 Windows本地默認共享。共享文件權限限制：應設置共享文件夾的訪問權限，僅允許授權的帳戶共享此文件夾。2.9.登錄通信安全禁止遠程訪問注冊表：應禁止遠程訪問注冊表路徑和子路徑。登錄超時時間(shjin)設置：應設置遠程(yunc

4、hng)登錄帳戶的登錄超時時間為30 分鐘。限制(xinzh)匿名登錄：應禁用匿名訪問命名管道和共享。Red Hat Linux 5 & 6、Solaris 9 & 10、HP-UNIX 11操作系統安全配置要求2.1.帳戶口令安全帳戶共用：應為不同用戶分配不同系統帳戶，不允許不同用戶間共享同一系統帳戶。帳戶鎖定：應刪除或鎖定過期帳戶或無用帳戶。超級管理員遠程登錄限制：應限制root帳戶遠程登錄。帳戶權限最小化：應根據實際需要為各個帳戶設置最小權限。口令長度及復雜度：應要求操作系統帳戶口令長度至少為8位，且應為數字、字母和特殊符號中至少2類的組合。口令最長使用期限：應設置口令的最長生存周期小于

5、等于90天。口令歷史有次數：應配置操作系統用戶不能重復使用最近 5次（含5次）內已使用的口令。口令鎖定策略：應配置用戶當連續認證失敗次數超過 5次（不含5次），鎖定該帳戶30分鐘。（Solaris 9 & 10、Red Hat Linux 5 & 6、AIX 5）應配置當用戶連續認證失敗次數超過 5次（不含 5 次），鎖定該帳戶。（UNIX 11）2.2.服務及授權安全重要文件目錄權限：應根據用戶的業務需要，配置文件及目錄所需的最小權限。應對文件和目錄進行權限設置，合理設置重要目錄和文件的權限（AIX 5）用戶缺省訪問權限：應配置用戶缺省訪問權限，屏蔽掉新建文件和目錄不該有的訪問允許權限。（U

6、NIX 11、Red Hat Linux 5 & 6 、AIX 5無屏蔽權限）服務開啟最小化：應關閉不必要的服務。系統時間同步：應確保系統時間與NTP服務器同步。DNS服務器指定：應配置系統DNS指向企業內部DNS服務器。2.3.補丁安全：應在確保業務不受影響的情況下及時更新操作系統補丁。2.4.日志審計日志審計功能設置：應配置日志審計功能。日志權限設置：應合理配置日志文件的權限。（Solaris 9 & 10、Red Hat Linux 5 & 6）應配置帳戶對日志文件讀取、修改和刪除等操作權限進行限制。（UNIX 11、AIX 5）日志(rzh)定期備份：應定期對系統日志進行(jnxng)

7、備份。網絡日志服務器設置(shzh)（可選）：應配置統一的網絡日志服務器。2.5.防止堆棧溢出設置：應設置防止堆棧緩沖溢出。2.6.登錄通信安全遠程管理加密協議：應配置使用SSH等加密協議進行遠程管理，禁止使用Telnet等明文傳輸協議。登錄超時時間設置：應設置登錄帳戶的登錄超時為30 分鐘。SQL Server 2005 & 2008數據庫安全配置要求2.1.帳戶口令安全帳戶共用：應為不同用戶分配不同的數據庫帳戶，不允許多個用戶共用同一個數據庫帳戶。帳戶鎖定：應刪除或禁用無關帳戶。禁止管理員帳戶啟動SQL Server服務：應禁止使用管理員帳戶啟動SQL server服務。帳戶策略：應在SQ

8、L Server帳戶策略中啟用操作系統帳戶策略，即繼承操作系統帳戶策略。2.2.權限最小化：應根據用戶的業務需要，配置其數據庫所需的最小權限。2.3.日志審計登錄審核：配置登錄審核，記錄用戶登錄操作。C2審核跟蹤：啟用 C2 審核跟蹤。2.4.禁用不必要的存儲過程：應禁用不必要的存儲過程。2.5.補丁安全：應在確保業務不受影響的情況下及時安裝更新操作系統和SQL Server補丁。2.6.訪問IP限制：應只允許信任的IP地址通過監聽器訪問數據庫。配置防火墻限制，只允許與指定的IP地址建立1433的通訊（從更為安全的角度考慮，可將1433端口改為其他的端口）。2.7.連接數設置：應根據服務器性能

9、和業務需求，設置最大并發連接數。2.8.數據庫備份：應每周對數據庫進行一次完整備份。Oracle 9i & 10g & 11g數據安全配置要求2.1.帳戶口令安全禁止帳戶共用：應為不同用戶分配不同的數據庫帳戶，不允許多個用戶共用同一數據庫帳戶。帳戶鎖定：應鎖定或刪除無關帳戶。限制(xinzh)DBA組帳戶(zhn h)：DBA組僅添加(tin ji)Oracle帳戶。口令長度及復雜度：應要求數據庫系統口令長度至少為8位，且應為數字、字母和特殊符號中至少2類的組合。口令過期警告天數：應將口令過期警告天數設置為不少于7天（提前7天通知更改口令）。口令最長使用天數：應將口令最長生存期不長于90天。口

10、令歷史有效次數：應配置數據庫帳戶不能重復使用最近 5 次（含 5 次）內已使用的口令。口令鎖定策略：對于采用靜態口令認證的系統，應配置當用戶連續認證失敗次數超過5次（不含5次），鎖定該帳戶。帳戶鎖定時間：當用戶連續認證失敗次數超過5次（不含5次），鎖定該帳戶30分鐘。系統帳戶口令安全：應修改數據庫系統帳戶的默認口令。2.2.服務及授權權限最小化：應根據用戶的業務需要，配置數據庫帳戶所需的最小權限。限制特權帳戶遠程登錄：應限制特權帳戶遠程登錄。2.3.日志審計：應啟用數據庫審計功能。2.4.補丁安全：應在確保業務不受影響的情況下及時更新數據庫補丁。2.5.訪問IP限制：應只允許信任的IP地址通過

11、監聽器訪問數據庫。2.6.連接數設置：應根據服務器性能和業務需求，設置最大并發連接數。2.7.數據庫備份：應定期對數據庫進行備份。IIS 6 & 7安全配置要求2.0.帳戶安全：應根據實際情況，刪除或鎖定IIS自動生成的無用帳戶。（IIS 6）2.1.文件系統及訪問權限：更改站點路徑：應更改站點路徑為非系統分區。站點目錄權限：應確保站點目錄的所有權限不分配給Everyone。主目錄權限配置：應合理設置站點“主目錄”的權限。（IIS 6）禁止目錄瀏覽：應禁止瀏覽站點目錄。（IIS 7）站點目錄的功能權限：應禁止站點目錄的執行權限。（IIS 7）站點上傳目錄的功能權限：應禁止站點上傳目錄的執行和腳

12、本權限。2.2.最小化服務：匿名訪問權限：應確保每個站點的匿名訪問帳戶是相互獨立的，且只存在于Guests組。IIS服務組件：應刪除IIS應用服務中不需要的組件服務。Web服務擴展：應禁用站點不需要的Web服務擴展。（IIS 6）刪除不必要的腳本映射：應刪除不必要的腳本映射。2.3.日志審計：日志(rzh)啟用：應啟用(qyng)日志記錄功能。（IIS 6）日志(rzh)存儲：應更改日志默認的存放路徑。2.4.連接數限制：應合理設置最大并發連接數和最大帶寬值。連接數限制：應合理設置最大連接數和最大帶寬值。（IIS 6）2.5.自定義錯誤頁面：應自定義錯誤頁面。Tomcat 6 & 7安全配置要

13、求2.1.帳戶口令安全帳戶共用：應為不同的用戶分配不同的Tomcat帳戶，不允許不同用戶間共享Tomcat帳戶。帳戶鎖定：應刪除過期、無用帳戶。口令復雜度：應要求Tomcat管理帳戶口令長度至少8 位，且為數字、字母和特殊符號中至少2 類的組合。2.2.權限最小化：應僅允許超級管理員具有遠程管理權限。2.3.日志審計：應為服務配置日志功能，對用戶登錄事件進行記錄，記錄內容包括用戶登錄使用的帳戶，登錄是否成功，登錄時間，以及遠程登錄時使用的IP地址等信息。2.4.遠程訪問加密：應對Tomcat的遠程訪問進行加密。2.5.更改默認管理端口：應更改Tomcat服務默認管理端口。2.6.自定義錯誤頁面

14、：應重定向Tomcat的錯誤頁面。2.7.目錄瀏覽：應禁止站點目錄瀏覽。2.8.連接數設置：應根據服務器性能和業務需求，設置最大連接數。Apache2.2 & 2.4安全配置要求2.1帳號安全：應以非系統帳號運行Apache。2.2.文件與目錄安全Apache主目錄權限：應嚴格控制Apache主目錄的訪問權限，非系統特權用戶不能修改該目錄下的文件。文件權限：應嚴格限制配置文件和日志文件的訪問權限。禁止訪問外部文件：應禁止Apache訪問Web目錄之外的任何文件。刪除缺省安裝無用文件：應刪除缺省安裝的無用文件。禁止目錄瀏覽：應禁止站點目錄瀏覽。2.3.連接與通信安全連接數設置：應合理設置最大并發

15、連接數。禁用危險 HTTP方法：應禁用PUT、DELETE等危險的HTTP方法。2.4.信息泄露防范隱藏(yncng)Apache版本號：應隱藏(yncng)Apache版本號信息(xnx)。自定義錯誤頁面內容：應自定義錯誤頁面。2.5.日志審計：應合理配置審計策略。2.6.補丁更新：應及時更新補丁。2.7.其他禁用CG：應禁用CGI程序。關閉TRACE：應關閉TRACE方法。WebLogic 8 & 9 & 10安全配置要求2.1.帳戶口令安全帳戶共用：應為不同的用戶分配不同的Weblogic帳戶，不允許多個用戶共用同一個帳戶。帳戶清理：應刪除過期、無用帳戶。禁止以特權身份運行：應禁止以特權

16、用戶身份運行WebLogic。口令長度：應設置Weblogic帳戶口令長度至少為8位。帳戶封鎖：應配置當帳戶連續認證失敗次數超過 5次（不含 5 次），鎖定該帳戶30分鐘。2.2.日志審計日志啟用：應啟用日志功能。審計策略：應合理配置審計策略。2.3.Keystore和SSL設置：應合理設置Keystore 和SSL。2.4.運行模式：應更改運行模式為“Production Mode”。2.5.Sender Server Header：應禁用 Send Server header。2.6.刪除Sample程序：應刪除 sample 程序。2.7.自定義錯誤頁面：應自定義錯誤頁面。2.8.超時時

17、間策略：應根據具體應用，合理設置session超時時間。2.9.連接數設置：應合理設置最大連接數。2.10.主機名認證：應開啟主機名認證。Web應用安全配置要求2.1.帳號口令安全身份認證：應對應用系統用戶登錄進行身份認證。帳號管理：應禁用或刪除應用系統默認、無用或測試帳號。帳號鎖定策略：應設置帳戶登錄失敗鎖定策略。口令策略：應要求應用系統中管理帳戶的口令長度至少為8位，且為數字、字母和特殊符號中至少2類的組合。定期更換口令策略：應設置口令定期更換策略。2.2.數據安全敏感(mngn)信息存儲：應對應用系統中的敏感信息采用(ciyng)加密形式存儲。敏感(mngn)信息傳輸：應對應用系統的敏感

18、信息采用加密方式傳輸。數據備份：應定期對應用系統程序及數據庫進行備份。2.3.資源控制權限分離：應對應用系統管理權限進行分離。登錄會話超時策略：應配置用戶登錄超時策略。最大并發連接數限制：應設置應用系統最大并發連接數策略。多重并發會話數限制：應限制單用戶的多重并發會話數。2.4.日志審計：應對系統用戶的所有操作進行日志審計。2.5.代碼質量跨站腳本攻擊：檢查系統是否存在跨站腳本攻擊漏洞。SQL注入攻擊：檢查系統是否存在SQL注入攻擊漏洞。路徑遍歷攻擊：檢查系統是否存在路徑遍歷攻擊漏洞。上傳后門腳本：應對上傳頁面格式進行限制。輸入有效性：應對交互式頁面上提交數據的有效性進行驗證。2.6.第三方軟件安全：應用系統使用的第三方軟件的安全性檢查。Cisco、H3C設備安全配置要求2.1.帳號口令安全帳戶身份認證：應對登錄帳戶進行身份認證。特權口令安全：應對帳號口令加密存儲。該登錄口令要求長度至少為8位, 應為字母、數字、特殊符號中至少2類的組合。Consol