堡垒机安全基线技术手册

《堡垒机安全基线技术手册》由会员分享，可在线阅读，更多相关《堡垒机安全基线技术手册（5页珍藏版）》请在装配图网上搜索。

1、1.1 运维管控与安全审计系统1.1.1 绿盟堡垒机安全基线技术要求1.1.1.1设备管理转变传统IT安全运维被动响应的模式，建立面向用户的集中、主动的运维安全管控模式，降低人为安全风险，满足合规要求，保障公司效益。基线标准要求基线技术点（参数）说明远程管理使用浏览器或第三方工具，采用HTTPS安全连接至堡垒机，进行对堡垒机的安全管理和审计， 以及运维人员采用此方式登录堡垒机来操作目 标设备。除初次设置堡垒机时，利用Console机的连接设置和管理外，主要是采用 接的。口完成对堡垒HTTPS安全连参考配置操作：HTTPS是堡垒机系统默认协议。远程管理限制登录闲置超时时间设置登录闲置超时时间为5

2、分钟参考配置操作：以堡垒机管理员（weboper）身份超时时间设置为600秒，确定。web方式登陆堡垒机,系统-系统配置-认证配置，webSAS H * Wt黑融凯:说廿支. 第崎认怔艮芸那间中女苴廿吗吒渝爸，备自仔_ * 在丰PT1，认T- ； , 2JTSf枭.文NS U SAKE YULE3地认il*一两西工具聚苣点室明任相工具F朝a二匚口峭时呷间L讨、生成|500生CA后i 二1隼白奇浦S,若更面岸电刷新F面岫正远程管理限制数据库审计外的其他无关服务限制无关网络服务，增强堡垒机的安全。参考配置操作：以堡垒机管理员（weboper）身份，web方式登陆堡垒机 库审计服务开启外，其他服务均

3、关闭，确定。,系统-系统配置-引擎，除数据拄:Sts4厘5证c!H认证倒.卷制步迩邮阱趣syfiiag-dtaE不桢再程帆助C开启尸ingi imnm。开行凶苦用SniTipTi &口O启血工彻 is- lift-Ll JH.诬怅骨件Bn msAg ant。开目率蝇行动1C钎一工具十鲍热后车Hi1JT H。共打1.1.1.2用户账号与口令安全应配置用户账号与口令安全策略，提高设备账户与口令安全。基线技术要求基线标准点（参数）说明账号和密码管理更改系统初始帐号和密码系统内置账号 weboper、webaudit 和 conadmin不能更改用户名，但必须在完成初始配置后，尽快修改缺省密码。1参考

4、配置操作：1、以堡垒机管理员（weboper）身份，web方式登陆堡垒机：，对象 一用户，选择 weboper,点右边的操作按钮，在弹出的对话框中，更改 weboper的密码，确定。，月降专K黑手30 引注序明 H Lr1.1 Y-ri h求更群1新才| 03 U证书拜上 Ei mm -1甲户多解门 角色作许量希产乾号F初叫天部司f书IMF阻焉 何#聿 国用 情卡1!与国F-史:T丽per wbnper昆三乱 *争知目定义出2、以堡垒机审计员（webaudit ）身份，web方式登陆堡垒机：,对象-用户，选择 webaudit ,点右边的操作按钮，在弹出的对话框中，更改webaudit的密码，

5、确定。器 窗号五有回“羯生记录-L/1 1 -一 1近二1罂|_| iaal|St用F宕工 ffi 1诺电tt在片录IP帕弓百寸 天口li之刊用有自找MfE7welLaiiin卜日乏Tflr3、在初次用console方式对堡垒机进行配置时，1 户的密码。审计员-更用 conadmin账号登陆后，应先修改 conadmin用账号和密码管理限制密码最短长度应将帐户密码最短长度设置为8位账号和密码管理控制密码复杂度密码必须是字母、数字和特殊字符任意两种组合账号和密码管理密码有效期每3个月更换一次用户密码账号登录最大登录尝试设置最大登录尝试次数参考配置操作：以堡垒机管理员（weboper）身份，web

6、方式登陆堡垒机：，系统-系统配置-参数配置，登陆尝试次数设置为5次，确定。苜贝-东猊-东独一斗线 一卷的性豆-某蜕a己曾证书管理-本行定制-工具下就认谛服学器茅不用百弓颦以讦酊可1.1.1.3日志与审计堡垒机支持“日志零管理”技术0提供：日志信息自动备份维护、提供多种详细的日志报表模板、全程运维行为审计（包括字符会话审计、图形操作审计、数据库运维审计、文件传输审计）基线技术要求基线标准点（参数）说明管理配置堡垒机审计员（webaudit ）有权限审计堡垒 机的操作日志，其他用户无权限。webaudit是堡垒机的内置审计员账号，负载堡垒机 的日志和运维审计。参考配置操作：以webaudit身份，

7、web登陆：，进行日志审计操作。安全审计堡垒机系统自动存储和备份日志信息。参考配置操作：无。堡垒机系统默认自动对日志和运维记录进行存储和备份。日志保存要求长期堡垒机内置2TB硬盘，可以保存3年以内的日志信息； 硬盘空间满后可以将日志信息导出至其他存储介质进 行长期保存。1.1.1.4 安全防护堡垒机采用专门设计的安全、可靠、高效的硬件平台。该硬件平台采用严格的设计和工艺标准，保证高可靠性 。操作系统经过优化和安全性处理，保证系统的安全性。采用强加密的 SSL专输控制命令，完全避免可能存在的嗅探行为，确保数据传输安全。基线标准要求基线技术点（参数）说明安全设置仅开放443和22端口。在防火墙上设

8、置阻止 443和22端口外的其他端口访问堡垒机，以增强堡 垒机的安全性。参考配置操作：参考防火墙配置手册。1.1 运维监控系统1.1.1 Nagios和Centreon安全基线技术要求监控工作主要由nagios完成，再通过nd02db写入数据库，最后由centreon调用显示出来。有了 centreon后就可以用web来操作了。基线技术要求基线标准点（参数）说明访问目录安全隐藏访问目录JMX-Console控制台密码设置JMX-Console控制台密码设置登录控制台的用户名和密码Web-Console登录密码设置Web-Console登录密码设置Web-Console登录的用户名和密码Web服务端口号（可选）修改,默认8080端口号如果端口号与其他服务冲突， 可修改此端口号日志文件设置设置自动清理规则，定期备份数据防止Jboss的日志文件过于大，需要定期清理，确保日志文件的有效性删除用不到的服务将Mail ,定时功能等用不到的服务直接删除由于这些服务使用较少， 且占用资源。为节约资源，降低安全隐患，直接将其删除即可