1.1运维管控与安全审计系统1.1.1 绿盟堡垒机安全基线技术规定1.1.1.1设备管理转变传统 IT 安全运维被动响应的模式,建立面对顾客的集中、主动的运维安全管控模式,减少人为安全风险,满足合规规定,保障公司效益。基线原则规定基线技术点(参数)阐明远程管理使用浏览器或第三方工具,采用 HTTPS 安全连接至堡垒机,进行对堡垒机的安全管理和审计,以及运维人员采用此方式登录堡垒机来操作目的设备。除初次设立堡垒机时,运用 Console 口完毕对堡垒机的连接设立和管理外,重要是采用 HTTPS 安全连接的。参考配备操作:HTTPS 是堡垒机系统默认合同。远程管理限制登录闲置超时时间设立登录闲置超时时间为 5 分钟参考配备操作:以堡垒机管理员(weboper)身份,web 方式登陆堡垒机:https://192.168.3.8,系统---》系统配备---》认证配备,web 超时时间设立为 600 秒,拟定。远程管理限制数据库审计外的其它无关服务限制无关网络服务,增强堡垒机的安全。参考配备操作:以堡垒机管理员(weboper)身份,web 方式登陆堡垒机:https://192.168.3.8,系统---》系统配备---》引擎,除数据库审计服务启动外,其它服务均关闭,拟定。1.1.1.2顾客账号与口令安全应配备顾客账号与口令安全方略,提高设备账户与口令安全。基线技术规定基线原则点(参数)阐明账号和密码管理更改系统初始帐号和密码系统内置账号 weboper、webaudit 和conadmin 不能更改顾客名,但必须在完毕初始配备后,尽快修改缺省密码。参考配备操作:1、以堡垒机管理员(weboper)身份,web 方式登陆堡垒机:https://192.168.3.8,对象---》顾客,选择 weboper,点右边的操作按钮,在弹出的对话框中,更改 weboper 的密码,拟定。2、以堡垒机审计员(webaudit)身份,web 方式登陆堡垒机:https://192.168.3.8,对象---》顾客,选择 webaudit,点右边的操作按钮,在弹出的对话框中,更改 webaudit 的密码,拟定。3、在初次用 console 方式对堡垒机进行配备时,使用 conadmin 账号登陆后,应先修改 conadmin 顾客的密码。账号和密码管理限制密码最短长度应将帐户密码最短长度设立为 8 位账号和密码管理控制密码复杂度密码必须是字母、数字和特殊字符任意两种组合账号和密码管理密码使用期每 3 个月更换一次顾客密码账号登录最大登录尝试设立最大登录尝试次数参考配备操作:以堡垒机管理员(weboper)身份,web 方式登陆堡垒机:https://192.168.3.8,...
