信息安全操作系统及数据库配置建议

《信息安全操作系统及数据库配置建议》由会员分享，可在线阅读，更多相关《信息安全操作系统及数据库配置建议（11页珍藏版）》请在装配图网上搜索。

1、1.网络安全篇1.1. 目的通过针对网络安全相应技术标准，规范的定义，以能够配合相关管理办法， 进一步指导太保在技术层面实现合理的网络安全的实现和部署，达到网络层面的 安全防护能力。1.2. 网络安全技术标准1.2.1. 网络结构安全及网络设备通用安全配置标准1.2.1.1. 网络冗余局域网网络局域网必须采用冗余设计，不存在网络单点故障。核心交换机都采用双冗余设备； 各接入换机必须有双链路（光纤或超 5 类线路）上联核心交换机； 总部核心交换机配置双电源、双引擎卡。广域网网络冗余备份技术规范 核心路由器配置双电源、双引擎卡； 城域网连接采用冗余网络，使用双线路、双路由器设备； 总部 Inter

2、net 出口采用双电信运行商链路。1.2.1.2. 网络设备安全通用安全配置标准网络设备的不必要的服务须关闭，包括ftp服务、http服务、dhcp服务，domain-lookup 等； 网络设备的本地登录密码不允许以明文方式在配置文件中体现；网络设备需开启AAA认证模式；网络设备需设置NTP并和并设定指定的NTP服务器IP地址；网络设备须设定Console及远程登录的Idle Timeout时间在5分钟内。1.2.2. 网络访问控制1.2.2.1. 数据中心及同城灾备中心网络安全域访问控制策略总体原则OA 与生产区域： OA 区域应该通过功能互联子区和生产网络核心设备连接，主要用于普通用 户

3、接入生产网络，在功能互联子区边界配置安全设备做访问控制； 运行维护人员仅可通过运行管理区域对生产网设备进行维护。测试开发与生产区域： 测试开发区域必须和生产区域必须完全隔离（田林数据中心）； 测试开发区域必须和生产区域逻辑隔离（同城灾备中心）。测试开发和OA区域： 原则上测试开发区域可以通过功能互联子区和 OA 区域互联但需要通过防 火墙。具体的网络安全域访问控制策略可以参考数据中心网络安全域访问控制策 略。1.2.2.2. 第三方接入控制第三方连接：在日常工作过程中，CPIC与第三方系统的连接需进行合理的管 理与控制，提 高对第三方的安全管理。第三方对CPIC内网服务器的访问应通过DMZ区域

4、。 和第三方的连接应有网络路由控制。总部的第三方连接网络必须使用防火墙，并在防火墙上设置控制策略和 NAT 地址翻译策略，屏蔽公司内网结构；在防火墙DMZ区部署前置机或通讯服务器，只允许对方合法IP地址通过 特定端口访问 CPIC 前置机。 总部的第三方连接前置机或通讯服务器访问内部系统也需进行安全控制。 公司内网如需访问第三方前置机，需将前置机IP地址映射为公司内网地址，禁止内网直接访问第三方前置机IP地址。1.2.2.3. 远程接入访问远程访问：远程访问是造成网络安全威胁的主要来源，合理的对远程访问进 行控制，能提高网络安全，减少由于远程访问带来的风险。 通过公共网络的远程连接必须使用经批

5、准的认证方法和设备，每个连接的 用户需识别。 采用 VPN 的远程连接需使用双因素认证的方式（如数字证书加口令）； 用户通过远程接入之前通过一个额外的访问控制点（防火墙）；通过远程连接来访问IT内网的设备，进行操作或管理必须经CPIC安全组 织同意。如果通过 Internet 的数据应进行加密，并要求安全认证。1.2.2.4. Internet 接入访问控制Internet连接：保护员工安全使用Internet连接，提供对Internet连接进行 安全控制，保护整个网络安全。 Internet 出口只限于总公司和一级分公司，营运中心，大型职场；从连在任何CPIC网络的设备上拨号访问Intern

6、et是被禁止的。在特殊情 况下，任何通过调制解调器拨号连接 Internet 都需经过集团信息安全与 内控管理部门的批准； Interent连接网络必须使用防火墙并在防火墙上设置控制策略和NAT地 址翻译策略，屏蔽公司内网结构；在防火墙DMZ区部署前置机或通讯服务器，只允许Internet访问前置机 特定端口。不允许开放Internet访问公司内网策略；总，分公司必须使用代理服务器或其他用户认证方式，对Internet访问 用户进行控制。1.2.3. 入侵防御1.2.3.1. 入侵防御系统的部署需在四总部及数据中心的每个Int ernet入口部署入侵防御系统（IPS）；需在分公司的每个Int

7、ernet入口部署入侵防御系统（IPS）；需在四总部广域网互联接口间部署入侵防御系统（IPS）；需在分公司与田林数据中心的广域网接口间部署入侵防御系统（IPS）。1.2.3.2. 邮件病毒及垃圾邮件的过滤 需对所有公网发给 CPIC 域的邮件进行病毒过滤； 需对所有公网发给 CPIC 域的邮件进行垃圾邮件过滤；需对通过田林代理10.191.113.100进行的Internet访问内容进行病毒过 滤。1233拒绝服务（DoS或DDoS）功能的防护 采用将不同的网络安全域及每个安全域的子域分为不同的虚网（ VLAN） ， 有效控制 MAC 地址欺骗的影响区域； 入侵防御系统需要开启的防御功能包括高

8、级入侵防护拒绝服务 （DoS） 和 分布式拒绝服务 （DDoS） 防护、网络监控等； 对于重要区域（如田林数据中心的 Internet 入口），考虑使用运营商的 公网IP地址和域名的攻击流量清洗和过滤服务。1.2.4. 网络传输加密对于CPIC认可的终端，通过Internet接入CPIC内部网络需采用VPN连 接， VPN 实现身份验证和通信连接的加密方式可选取 SSL VPN， IPSEC， SOCKS V5 等方式； 其他网络层面的数据传输加密请参考 IT 安全技术标准的加密、密钥管理 及 PKI 章节。1.2.5. 网管、监控与审计1.2.5.1. 网管与监控采用SSH协议来取代Teln

9、et进行设备的远程登录；采用了 SSH协议后，并不一定就能保证其安全性，要求通过访问地址限制 提高访问的安全性。访问地址限制是通过ACL访问控制列表实现的；对不支持SSH协议的设备远程访问管理，只能通过telnet进行维护管理 工作，必须通过必要手段提高 telnet 安全性，具体如下：/加强登录用户密码的管理，如采用AAA认证等；/针对数据中心内网络设备，对登录该设备的IP地址进行严格限制；/设置登录并发数、空闲时间、尝试次数等相关限制措施。提供远程登陆SSH的开启方式和SSH相关属性的设置，包括：/要求设定登录连接空闲时间限制，让系统自动检查当前连接是否长时 间处于空闲状态，若是则自动将其

10、断开。Timeout具体取值应视实际需 要而定，建议设置为5分钟左右以内。如果出于排障目的，需要长时 间登录设备检查系统状态，则需临时延长或取消这项设置。/要求设置登录尝试次数限制，当系统收到一个连接请求，若提供的帐 号或密码连续不能通过验证的的次数超过设定值（3次），就自动中断 该连接；/要求设置并发登录个数限制，该限制必须与上述的空闲时间限制一并 使用。在日常维护过程中周期性的（至少每半年）更改登录密码，甚至登录帐号；当外方人员需要登录设备时，应创建临时帐号，并指定合适的权限，临时帐号使用完后应及时删除； 登录帐号及密码的保管和更新应由专人负责，并注意保密； 条件许可的话，要求使用 SNM

11、Pv3； 限制发起 SNMP 连接的源地址；删除或关闭“ Public 和“ Priva teCommuni ty； 除特殊情况，否则要求不设置 SNMP RW Community； 关闭网络及安全设备的 HTTP 服务； 对非要使用 HTTP 服务的设备，要求通过下列措施保证其安全性：/更改HTTP服务的端口，不采用标准的80端口，而采用非标准端口；/加强登录用户密码的管理，如采用AAA认证等；/对登录设备的IP地址进行严格限制，或通过VPN等安全手段控制对设 备的访问；/设置登录并发数、空闲事件、尝试次数等相关限制措施。1.2.5.2. 网络安全日志通过安全审计，网络管理者能及时的发生网络

12、安全问题，即时解决，并且， 当发生网络安全问题时，可通过审计进行回顾，分析问题发生的原因，采用相应 的对策，阻止类似的问题再次发生。通过设置NTP，确保所有的网络设备获得一致的NTP服务，在总部核心交 换、分公司核心路由器、各楼层交换机、总部局域网各路由器上进行NTP 设置； 日志审计-下面一些基于系统的活动要求写入日志：/非授权的访问尝试要写入日志/成功和不成功的登录尝试写入日志/用户访问权限的改变写入日志/安全信息的维护、敏感命令的使用要写入日志/具有特定权限的用户活动要写入日志/系统日志文件的访问要写入日志所有的系统审核日志应该至少保留6个月；跟踪安全事件的记录应得到维护； 计算机系统时

13、钟应该和正确的记录时间同步； 日志文件的访问应该严格限制在那些根据业务需求已得到批准的和具有 适当访问权限的个人； 所有软件、硬件、和数据的更改的审核历史记录应该被维护。此审核记录应包括，更改的原因，谁认可这个更改，谁实施了这个更改，更改的日期， 谁测试了这个更改，测试的日期，测试的结果，任何测试结果纠正的日期， 复测，等等； 安全监控：/所有CPICWeb服务器、防火墙和应用服务器应当受到实时监控，以确 保这些设备的可用性；/网络级实施适当的入侵防御或检测系统(IPS/IDS)和事件监控系统。入 侵防御/检测设备应当在CPIC整个网络架构的关键部分实施和分布；/应采用自动报警机制。1.2.6

14、. 无线局域网安全无线局域网接入应该选择更加先进的加密技术，禁止使用WEP加密，应首 选使用 WPA2+802.1X 的认证及加密方式；如使用802.1X条件条件不允许的情况，可选择使用WPA2-PSK，并使用至 少 8 位的数字加字母的 Preshare Key, Preshare Key 至少每 6 个月更换 一次密码；除仅为外来访客供Internet接入服务的无线接入设备的SSID，禁止其它 SSID广播；除仅供外来客户提供Internet接入服务的无线接入设备，其余太保内部 的无线局域网设备需采用太保统一的命名规则命名，禁止使用无线接入设 备默认的 SSID； 对接入无线局域网的用户终

15、端需绑定 MAC 地址或用户名或通过与 Radius、LDAP或AD结合的身份验证； 需考虑无线用户的网络访问控制，采用网络层隔离手段使无线接入对某些 区域或应用的访问进控制；外来访客用户的无线接入不允许访问CPIC内网。对无线接入点（AP）在公司的部署应合理分配，考虑无线网络覆盖范围和强度，无线接入设备在办公区域的放置应固定。2.主机及服务器安全篇2.1. 目的为太保的操作系统、数据库和中间件提供详细的安全技术标准（包括对系统 服务、端口、权限及其他安全项的配置标准），结合相应的技术解决方案与管理 流程，提高系统的安全性，降低操作系统、数据库和中间件受到外部攻击和未经 授权访问的风险。2.2

16、. 操作系统安全配置操作系统的安全配置主要内容包括用户账号、访问、加密、防恶、加固方面 的内容，不包含备份恢复方面的内容。具体如下：文件与目录权限/ St icky位设置:Linux系统中，在所有人可写的目录中通过设置St icky位可以保证只有文件的属主可以更改该文件，其他任何人没有修改权 限，这可以防止恶意破坏他人的文件。/文件可写授权：应避免出现所有人均授权可写的文件，以防止文件被 恶意篡改。/可执行文件授权：需检查带有suid或sgid标志位的可执行文件是否 均属于授权文件。/无owner文件：无owner文件在新用户继承旧ID时可能被系统视为新用户所有，进而导致信息泄露。 用户账号与

17、权限/禁止系统账号登录：系统账号通常用于后台维护，应禁止其前台登陆 的行为。/ Root用户远程登录:应禁止系统root用户通过远程连接的方式登录系 统。/密码策略：较强的系统密码策略能有效抵御基于密码的攻击，防止系 统受到未经授权的访问。/系统超级用户：应检查系统uid为0的用户是否为合法用户、是否根 据太保要求建立了集中日志账号和特权账号。危险服务管理/ Inetd网络服务、daemon网络服务：部分系统自带服务认证模式简单 且用明文传输，应禁止使用此类系统服务。/系统用户使用ftp服务：系统账号通常用于后台维护，不会使用ftp 服务。 非必要端口关闭：应关闭不必要开启的系统端口。 SSH

18、 配置：配置 SSH 可提供安全的消息传输通道，有效抵御网络上的嗅探、 拦截等攻击。警告Banner:在用户通过ftp、telnet、网络或物理方式访问系统时，应通 过 banner 对访问者进行警告。 系统连接时限设置：在一定时间范围内若终端未进行任何操作，则用户将自 动退出登录，防止系统被未经授权的人员操作。 其他：根据各操作系统的特性所规定的安全配置规范上述安全配置要求分为两类：必选项与可选项。操作系统必须符合必选项的 安全配置要求，并由公司安全部门定期进行检查。可选项的安全配置要求作为加 强操作系统安全的参考。操作系统的必选项包括：Linux/Unix： SSH配置、关闭inetd网络

19、服务、关闭Daemon服务、检查文 件与目录权限、禁止系统用户使用ftp服务、禁止root用户远程登录、检查 rhosts认证的信任关系、检查cron与at的授权信息、禁止系统帐号登陆、检 查其他超级用户、密码策略、TIMEOUT值、文件权限设置、警告Banner、集中日 志帐号配置、特权帐号帐号配置。Windows:设置密码策略、设置必要的审核、设置日志、禁止远程枚取帐号与 共享、禁止显示上次登录用户名、禁止自动登陆、禁止自动执行系统调试器、禁止磁盘自动运行、禁用 Alert、Clipbook、Computer Browser、Print spooler、Messenger、snmp、snmp trap 服务、集中日志帐号配置、特权帐号帐号配置。详细配置要求见下文。