I文件名称主机系统完全管理规范密级文件编号版本号编写部门编写人审批人发布时间1机系统安全管理规范网络运行维护事业部II目录一.主机系统安全概述1.二.操作系统安全22.1补丁状况及安全防护2.2.1.1系统补丁安装原则22.1.2病毒防范22.1.3入侵检测与防范32.2鉴别与控制3..2.2.1身份鉴别32.2.2口令与帐号32.2.3远程访问控制42.3系统服务4.2.4文件系统安全4.2.5日志配置要求5.2.6备份与恢复5..三.数据库安全6.3.1账户策略6.3.1.1口令管理63.1.2远程访问控制63.2审计策略7.3.3补丁升级7.3.4备份与恢复7..四.附录84.1操作系统安全配置规范84.2数据库安全配置规范8.1一.主机系统安全概述主机系统作为信息存储、传输、应用处理的基础设施,其自身安全性可能影响整个业务平台的安全。作为业务平台系统中重要的组成部分,各种业务系统主机数量众多,资产价值高,面临的安全风险极大。一方面,主机系统是各类业务系统数据和信息的主要载体,这些业务数据和信息是系统信息资产的重要组成部分;另一方面,病毒、攻击入侵等安全威胁很容易通过访问主机系统的终端渗透到后台各种业务应用和服务主机中,从而对业务平台系统的整体安全带来危害。本规范制定的目标是统一业务平台的主机系统技术规范,指导业务平台主机的安全配置和维护,从而提高业务平台各系统总体安全水平。2二.操作系统安全2.1补丁状况及安全防护2.1.1系统补丁安装原则对于操作系统,安全漏洞的存在是不可避免的,因此需要针对系统的缺陷进行漏洞的修补,但考虑到补丁与现有业务系统的兼容性不能盲目的进行漏洞修补,漏洞的修复工作必须慎重操作,主机系统的漏洞补丁升级需要满足以下技术要求:♦应采用专业的漏洞扫描、评估技术对操作系统(如:Windows、Linux、Unix、第三方软件)进行定期安全评估,并根据结果对系统进行修复;♦在对操作系统的补丁进行更新前,应对补丁与现有业务系统的兼容性进行测试,确认后与系统提供厂商配合进行相应的修复;♦应对操作系统的漏洞发展情况进行跟踪,形成详细的安全更新状态报表。♦安装补丁软件包则以必要为原则,非必需的包就不装。2.1.2病毒防范考虑现阶段类UNIX平台的病毒风险情况,暂时对UNIX平台病毒防护不作特别要求,但需要关注最新UNIX平台病毒发展状况和对已知病毒进行严格的防范。针对业务平台中windows平台主机系统需要采用适当的病毒防护系统进行病毒、恶意代码等的防治,防病毒系统应满足如下要求:♦主机系统必须安装统一的病毒防治产品,应在应用系统厂商指导下部署实时检测和查杀恶意代码的软件产品;♦支持通过防病毒服务器设置统一的防毒策略,实时防治病毒;♦防病毒系统应自动保持防病毒代码的更新,或者通过运维操作员进行手动更新。2.1.3入侵检测与防范通过主机入侵检测系统、主机日志系统等主机安全技术,结合网络安全技术(如网络入3侵检测系统、防火墙等),实现对各种已知入侵行为的检测,记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警。2.2鉴别与控制2.2.1身份鉴别身份鉴别用于验证实体身份(是用户、计算机、程序等)的过程,该过程确定实体是它所声称的身份。由于主机系统承载着应用系统重要的业务和数据信息,这对于业务平台系统资产重要性和保护力度来说是重中之重,因此应采用严格身份鉴别技术用于主机系统用户的身份鉴别,操作系统的身份鉴别应满足下列技术要求:♦应对登录操作系统的用户进行身份标识和鉴别;♦满足登录过程的身份认证,提供多种身份鉴别方式,如设置复杂的口令,数字证书,动态口令,PKI体系等主流的身份鉴别方式;对于重要业务系统可考虑对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;2.2.2口令与帐号♦操作系统安全的一个重要方面是对有管理权限访问计算机资源,或者服务的用户和组进行管理,从操作系统帐户角度出发,帐户管理应满足如下的要求:结合帐号密码管理策略,对帐号口令、登录策略等进行控制;♦应采用合适的安全措施,严格进行主机系统口令文件的保存;♦用户对操作系统文件的访问权限,应该进行严格的限制;♦能限制帐户的登录方式,例如桌面登录、服务登录、远...
