Linux系统安全配置基线

Linux系统安全配置基线

目录

第1章概述 (1)

目的 (1)

适用范围 (1)

适用版本 (1)

第2章安装前准备工作 (1)

需准备的光盘 (1)

第3章操作系统的基本安装 (1)

基本安装 (1)

第4章账号管理、认证授权 (2)

账号 (2)

用户口令设置 (2)

检查是否存在除root之外UID为0的用户 (3)

检查多余账户 (3)

分配账户 (4)

账号锁定 (4)

检查账户权限 (5)

认证 (5)

远程连接的安全性配置 (5)

限制ssh连接的IP配置 (6)

用户的umask安全配置 (6)

查找未授权的SUID/SGID文件 (7)

检查任何人都有写权限的目录 (7)

查找任何人都有写权限的文件 (8)

检查没有属主的文件 (8)

检查异常隐含文件 (9)

第5章日志审计 (10)

日志 (10)

syslog登录事件记录 (10)

审计 (10)

的配置审核 (10)

日志增强 (11)

syslog系统事件审计 (11)

第6章其他配置操作 (12)

系统状态 (12)

系统超时注销 (12)

L INUX服务 (12)

禁用不必要服务 (12)

第7章持续改进 (13)

TongWeb 服务器安全配置基线

TongWeb服务器安全配置基线 页脚内容1

备注： 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 页脚内容2

目录 第1章...................................................................................................... 概述0 1.1 .............................................................................................................. 目的 1.2 ..................................................................................................... 适用范围 1.3 ..................................................................................................... 适用版本 1.4 ............................................................................................................. 实施 1.5 ..................................................................................................... 例外条款 第2章 ........................................................................... 账号管理、认证授权0 2.1 ............................................................................................................. 帐号 2.1.1 ....................................................................................... 应用帐号分配 2.1.2 ....................................................................................... 用户口令设置 页脚内容

Microsoft Windows安全配置基线

Windows 系统安全配置基线 中国移动通信有限公司管理信息系统部 2012年 04月

备注： 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录 第1章概述 (5) 1.1目的 (5) 1.2适用范围 (5) 1.3适用版本 (5) 1.4实施 (5) 1.5例外条款 (5) 第2章帐户管理、认证授权 (6) 2.1帐户 (6) 2.1.1 管理缺省帐户 (6) 2.1.2 按照用户分配帐户* (6) 2.1.3 删除与设备无关帐户* (7) 2.2口令 (7) 2.2.1密码复杂度 (7) 2.2.2密码最长留存期 (8) 2.2.3帐户锁定策略 (8) 2.3授权 (8) 2.3.1远程关机 (8) 2.3.2本地关机 (9) 2.3.3用户权利指派* (9) 2.3.4授权帐户登陆* (10) 2.3.5授权帐户从网络访问* (10) 第3章日志配置操作 (11) 3.1日志配置 (11) 3.1.1审核登录 (11) 3.1.2审核策略更改 (11) 3.1.3审核对象访问 (11) 3.1.4审核事件目录服务器访问 (12) 3.1.5审核特权使用 (12) 3.1.6审核系统事件 (13) 3.1.7审核帐户管理 (13) 3.1.8审核过程追踪 (13) 3.1.9日志文件大小 (14) 第4章IP协议安全配置 (15) 4.1IP协议 (15) 4.1.1启用SYN攻击保护 (15) 第5章设备其他配置操作 (17) 5.1共享文件夹及访问权限 (17) 5.1.1关闭默认共享 (17)

5.1.2共享文件夹授权访问* (17) 5.2防病毒管理 (18) 5.2.1数据执行保护 (18) 5.3W INDOWS服务 (18) 5.3.1 SNMP服务管理 (18) 5.3.2系统必须服务列表管理* (19) 5.3.3系统启动项列表管理* (19) 5.3.4远程控制服务安全* (19) 5.3.5 IIS安全补丁管理* (20) 5.3.6活动目录时间同步管理* (20) 5.4启动项 (21) 5.4.1关闭Windows自动播放功能 (21) 5.5屏幕保护 (21) 5.5.1设置屏幕保护密码和开启时间* (21) 5.6远程登录控制 (22) 5.6.1限制远程登陆空闲断开时间 (22) 5.7补丁管理 (23) 5.7.1操作系统补丁管理* (23) 5.7.2操作系统最新补丁管理* (23) 第6章评审与修订 (24)

Linux操作系统的安全性

Linux操作系统的安全性 Linux操作系统的安全性是有目共睹的，相比Windows操作系统，到底Linux有哪些过人之处？这里我们就抛砖引玉，挑选三点重要的特点给大家说明，为什么说Linux操作系统安全性有其他系统无可比拟的优越性。 1、用户/文件权限的划分 用户权限在Windows操作系统里也不陌生，但是Linux操作系统的用户权限和文件权限要比Windows操作系统里严格有效。比较明显的一个案例就是，即便是你在Windows操作系统里设置了多用户，但是不同的用户之间通过一定的方式，还是能够互访文件的，这就失去了权限的意义。 LINUX文件权限针对的对象分三类（互斥的关系）： 1. user（文件的拥有者） 2. group（文件拥有者所在的组，但不包括user） 3. other（其它用户，即user和group以外的） LINUX用一个3位二进制数对应着文件的3种权限（1表示有该权限，0表示无）： 第1位读r 100 4 第2位写w 010 2 第3位执行x 001 1 查看权限 #ls -l 第一列，一共10位（drwxrwxrwx），就代表了文件的权限： 1）第一个d代表是一个目录，如果显示“-”，则说明不是一个目录 2）2-4代表user的权限 3）5-7代表group的权限 4）8-10代表other的权限 对于后9位： r 代表可读（read），其值是4 w 代表可写（write），其值是2 x 代表可执行（execute），其值是1 - 代表没有相应权限，其值是0 修改文件权限

# chmod [ugoa][+-=][rwx] 文件名 1）用户 u 代表user g 代表group o 代表other a 代表全部的人，也就是包括u，g和o 2）行动 + 表示添加权限 - 表示删除权限 = 表示使之成为唯一的权限 3）权限 rwx也可以用数字表示法，不过很麻烦要自己算，比如rw=6 常见权限 -rw——（600）只有所有者才有读和写的权限 -rw-r——r——（644）只有所有者才有读和写的权限，组群和其他人只有读的权限-rwx——（700）只有所有者才有读，写，执行的权限 -rwxr-xr-x （755）只有所有者才有读，写，执行的权限，组群和其他人只有读和执行的权限 -rwx——x——x （711）只有所有者才有读，写，执行的权限，组群和其他人只有执行的权限 -rw-rw-rw- （666）每个人都有读写的权限 -rwxrwxrwx （777）每个人都有读写和执行的权限，最大权限。 也许你会说，Windows操作系统里不也内置了防火墙，Linux系统内置防火墙有什么特殊之处。其实，iptables不仅仅是一个防火墙，而且即便是一个防火墙，它与我们常见的Windows操作系统下的防火墙相比，更加的专业性能更强大。 iptables是与Linux内核集成的IP信息包过滤系统，如果Linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器，则该系统有利于在Linux系统上更好地控制IP 信息包过滤和防火墙配置。 netfilter/iptables IP信息包过滤系统是一种功能强大的工具，可用于添加、编辑和除去规则，这些规则是在做信息包过滤决定时，防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中，而这些表集成在Linux 内核中。在信息包过滤表中，规则被分组放在我们所谓的链（chain）中。

各类操作系统安全基线配置

各类操作系统安全配 置要求及操作指南 检查模块支持系统版本号 Windows Windows 2000 以上 Solaris Solaris 8 以上 AIX AIX 5.X以上 HP-UNIX HP-UNIX 11i以上 Linux 内核版本2.6以上 Oracle Oracle 8i以上 SQL Server Microsoft SQL Server 2000 以上 MySQL MySQL 5.x以上 IIS IIS 5.x以上 Apache Apache 2.x 以上 Tomcat Tomcat 5.x以上 WebLogic WebLogic 8.X以上

Windows操作系统 安全配置要求及操作指南 I 目录 目录..................................................................... I 前言.................................................................... II 1 范围 (1) 2 规范性引用文件 (1) 3 缩略语 (1) 4 安全配置要求 (2) 4.1 账号 (2) 4.2 口令 (3) 4.3 授权 (5) 4.4 补丁 (7) 4.5 防护软件 (8) 4.6 防病毒软件 (8) 4.7 日志安全要求 (9) 4.8 不必要的服务 (11) 4.9 启动项 (12) 4.10 关闭自动播放功能 (13) 4.11 共享文件夹 (13) 4.12 使用NTFS 文件系统 (14) 4.13 网络访问 (15) 4.14 会话超时设置 (16)

web应用安全基线

Web应用安全配置基线 https://www.wendangku.net/doc/0a19016860.html, 2009年 1月

1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录 第1章概述 (5) 1.1目的 (5) 1.2适用范围 (5) 1.3适用版本 (5) 1.4实施 (5) 第2章身份与访问控制 (6) 2.1账户锁定策略 (6) 2.2登录用图片验证码 (6) 2.3口令传输 (6) 2.4保存登录功能 (7) 2.5纵向访问控制 (7) 2.6横向访问控制 (7) 2.7敏感资源的访问 (8) 第3章会话管理 (9) 3.1会话超时 (9) 3.2会话终止 (9) 3.3会话标识 (9) 3.4会话标识复用 (10) 第4章代码质量 (11) 4.1防范跨站脚本攻击 (11) 4.2防范SQL注入攻击 (11) 4.3防止路径遍历攻击 (11) 4.4防止命令注入攻击 (12) 4.5防止其他常见的注入攻击 (12) 4.6防止下载敏感资源文件 (13) 4.7防止上传后门脚本 (13) 4.8保证多线程安全 (13) 4.9保证释放资源 (14) 第5章内容管理 (15) 5.1加密存储敏感信息 (15) 5.2避免泄露敏感技术细节 (15) 第6章防钓鱼与防垃圾邮件 (16) 6.1防钓鱼 (16) 6.2防垃圾邮件 (16) 第7章密码算法 (17) 7.1安全算法 (17) 7.2密钥管理 (17)

第1章概述 1.1 目的 本文档规定了所有IT基础设施范围内所有Web应用应当遵循的安全标准，本文档旨在指导系统管理人员进行Web应用安全基线检查。 1.2 适用范围 本配置标准的使用者包括：服务器系统管理员、应用程序管理员、网络安全管理员。 本配置标准适用的范围包括：支持所有业务正常运营的Web应用系统。 1.3 适用版本 基于B/S架构的Web应用 1.4 实施 本标准的解释权和修改权属于https://www.wendangku.net/doc/0a19016860.html,，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

信息安全配置基线(整理)

Win2003 & 2008操作系统安全配置要求 2.1. 帐户口令安全 帐户分配：应为不同用户分配不同的帐户，不允许不同用户间共享同一帐户。 帐户锁定：应删除或锁定过期帐户、无用帐户。 用户访问权限指派：应只允许指定授权帐户对主机进行远程访问。 帐户权限最小化：应根据实际需要为各个帐户分配最小权限。 默认帐户管理：应对Administrator帐户重命名，并禁用Guest（来宾）帐户。 口令长度及复杂度：应要求操作系统帐户口令长度至少为8位，且应为数字、字母和特殊符号中至少2类的组合。 口令最长使用期限：应设置口令的最长使用期限小于90天。 口令历史有效次数：应配置操作系统用户不能重复使用最近 5 次（含 5 次）已使用过的口令。 口令锁定策略：应配置当用户连续认证失败次数为 5次，锁定该帐户30分钟。 2.2. 服务及授权安全 服务开启最小化：应关闭不必要的服务。 SNMP服务接受团体名称设置：应设置SNMP接受团体名称不为public或弱字符串。 系统时间同步：应确保系统时间与NTP服务器同步。 DNS服务指向：应配置系统DNS指向企业内部DNS服务器。 2.3. 补丁安全 系统版本：应确保操作系统版本更新至最新。 补丁更新：应在确保业务不受影响的情况下及时更新操作系统补丁。 2.4. 日志审计 日志审核策略设置：应合理配置系统日志审核策略。 日志存储规则设置：应设置日志存储规则，保证足够的日志存储空间。 日志存储路径：应更改日志默认存放路径。 日志定期备份：应定期对系统日志进行备份。 2.5. 系统防火墙：应启用系统自带防火墙，并根据业务需要限定允许通讯的应用程序或端口。 2.6. 防病毒软件：应安装由总部统一部署的防病毒软件，并及时更新。 2.7. 关闭自动播放功能：应关闭 Windows 自动播放功能。 2.8. 共享文件夹 删除本地默认共享：应关闭 Windows本地默认共享。 共享文件权限限制：应设置共享文件夹的访问权限，仅允许授权的帐户共享此文件夹。 2.9. 登录通信安全 禁止远程访问注册表：应禁止远程访问注册表路径和子路径。 登录超时时间设置：应设置远程登录帐户的登录超时时间为30 分钟。 限制匿名登录：应禁用匿名访问命名管道和共享。

TongWeb服务器安全配置基线

TongWeb服务器安全配置基线 TongWeb服务器 安全配置基线 中国移动通信有限公司管理信息系统部 2012年 04月

备注： 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 1.4实施 (1) 1.5例外条款 (1) 第2章账号管理、认证授权 (2) 2.1帐号 (2) 2.1.1应用帐号分配 (2) 2.1.2用户口令设置 (3) 2.1.3用户帐号删除 (3) 2.2认证授权 (4) 2.2.1控制台安全 (4) 第3章日志配置操作 (7) 3.1日志配置 (7) 3.1.1日志与记录 (7) 第4章备份容错 (9) 4.1备份容错 (9) 第5章IP协议安全配置 (10) 5.1IP通信安全协议 (10) 第6章设备其他配置操作 (12) 6.1安全管理 (12) 6.1.1禁止应用程序可显 (12) 6.1.2端口设置* (13) 6.1.3错误页面处理 (14) 第7章评审与修订 (16)

第1章概述 1.1 目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的TongWeb服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行TongWeb服务器的安全配置。 1.2 适用范围 本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的TongWeb 服务器系统。 1.3 适用版本 5.x版本的TongWeb服务器。 1.4 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。 本标准发布之日起生效。 1.5 例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

linux操作系统安全

贵州大学实验报告 学院：计信学院专业：信息安全班级：信息101

2、FTP服务器的安全配置 FTP为文件传输协议，主要用于网络间的文件传输。FTP服务器的特点是采用双端口工作方式，通常FTP服务器开放21端口与客户端进行FTP控制命令传输，这称为FTP的数据连接 实 验仪器linux操作系统中的安全配置：安装red hat linux9.0操作系统的计算机 linux中Web、FTP服务器的安全配置：一台安装Windows XP/Server 2003操作系统的计算机，磁盘格式配置为NTFS,预装MBSA工具 实验步骤linux操作系统中的安全配置 一、账户和安全口令 1、查看和添加账户 （1）使用系统管理员账户root登录文本模式，输入下面的命令行：使用useradd命令新建名为myusername的新账户 （2）使用cat命令查看账户列表，输入下列命令: [root@localhost root]# cat /etc/shadow 得出列表最后的信息为：

用如下命令切换到myusername账户，然后在使用cat命令查看账户列表，如果刚才的账户添加成功，那么普通用户myusername不能查看该文件的权限，提示如下： 2、添加和更改口令 切换到root用户，添加myusername的口令： [root@localhost root]# passwd myusername 3、设置账户管理 输入命令行[root@localhost root]#chage –m 0 –M 90 –E 0 –W 10 myusername,此命

令强制用户myusername首次登陆时必须更改口令，同时还强制该用户以后每90天更改一次口令，并提前10天提示 4、账户禁用于恢复 （1）输入下列命令行，以管理员身份锁定新建的myusername账户，并出现锁定成功的提示： 此刻如果使用su切换到myusername账户，则出现以下提示： 表明锁定成功 （2）输入以下命令行，检查用户nyusername的当前状态： （3）如果要将锁定账户解锁，输入以下命令行，并出现相应的解锁提示： 5、建立用户组，将指定的用户添加到用户组中 （1）输入以下命令，建立名为mygroup的用户组： （2）如果要修改用户组的名称，使用如下命令行： 将新建的用户组更名为mygroup1 （3）输入以下命令，将用户myusername加入到新建的组mygroup1中并显示提示：

信息系统安全基线

1.操作系统安全基线技术要求 1.1.AIX系统安全基线 1.1.1.系统管理 通过配置操作系统运维管理安全策略，提高系统运维管理安全性，详见表1。 表1 AIX系统管理基线技术要求 1.1. 2.用户账号与口令 通过配置操作系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表2。

1.1.3.日志与审计 通过对操作系统的日志进行安全控制与管理，提高日志的安全性，详见表3。 1.1.4.服务优化 通过优化操作系统资源，提高系统服务安全性，详见表4。 表4 AIX系统服务优化基线技术要求

1.1.5.访问控制 通过对操作系统安全权限参数进行调整，提高系统访问安全性，详见表5。 表5 AIX系统访问控制基线技术要求 1.2.Windows系统安全基线 1.2.1.用户账号与口令 通过配置操作系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表6。 表6Windows系统用户账号与口令基线技术要求

1.2.2.日志与审计 通过对操作系统日志进行安全控制与管理，提高日志的安全性与有效性，详见表7。 表7Windows系统日志与审计基线技术要求 1.2.3.服务优化 通过优化系统资源，提高系统服务安全性，详见表8。 表8 Windows系统服务优化基线技术要求

1.2.4.访问控制 通过对系统配置参数调整，提高系统安全性，详见表9。 表9 Windows系统访问控制基线技术要求

1.2.5.补丁管理 通过进行定期更新，降低常见的漏洞被利用，详见表10。 表10 Windows系统补丁管理基线技术要求 1.3.Linux系统安全基线 1.3.1.系统管理 通过配置系统安全管理工具，提高系统运维管理的安全性，详见表11。 表11Linux系统管理基线技术要求 1.3. 2.用户账号与口令 通过配置Linux系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表12。 表12Linux系统用户账号与口令基线技术要求

交换机设备安全基线

H3C设备安全配置基线 目录 第1章概述 ................................................................................................................................ 1.1目的.................................................................................................................................... 1.2适用范围............................................................................................................................ 1.3适用版本............................................................................................................................ 第2章帐号管理、认证授权安全要求 .................................................................................... 2.1帐号管理............................................................................................................................ 2.1.1用户帐号分配* .......................................................................................................... 2.1.2删除无关的帐号* ...................................................................................................... 2.2口令.................................................................................................................................... 2.2.1静态口令以密文形式存放 ........................................................................................ 2.2.2帐号、口令和授权 .................................................................................................... 2.2.3密码复杂度 ................................................................................................................ 2.3授权.................................................................................................................................... 2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 ........................................... 第3章日志安全要求 ................................................................................................................ 3.1日志安全............................................................................................................................ 3.1.1启用信息中心 ............................................................................................................ 3.1.2开启NTP服务保证记录的时间的准确性................................................................ 3.1.3远程日志功能* .......................................................................................................... 第4章IP协议安全要求 ............................................................................................................ 4.1IP协议 ............................................................................................................................... 4.1.1VRRP认证................................................................................................................... 4.1.2系统远程服务只允许特定地址访问 ........................................................................

UnixLinux系统的安全性概述

计算机网络安全技术题目：Unix/linux系统的安全性概述 班级：09 级达内班 组长：朱彦文学号：09700308 组员：冯鑫学号：09700310 组员：刘新亮学号：09700309 组员：梁小文学号：09700312 组员：龚占银学号：09700313 组员：高显飞学号：09700304 组员：陶志远学号：09700305 时间：2011年6月

目录 1、linux系统的介绍 (1) 2、服务安全管理 (1) 2.1、安全防护的主要内容 (1) 3、linux系统文件安全 (1) 3.1、文件相关权限的设置 (2) 3.2、SUID和SGID程序 (2) 4、用户访问安全 (2) 4.1、口令安全 (2) 4.2、登录安全 (3) 5、防火墙、IP伪装个代理服务器 (4) 5.1、什么是防火墙 (4) 5.2防火墙分类 (4) 6、服务器被侵入后的处理 (5) 7、日常安全注意事项 (5) 8、参考文献 (6)

Unix/linux系统的安全性概述 1、linux系统的介绍 Linux是一类Unix计算机操作系统的统称。Linux操作系统的内核的名字也是“Linux”。Linux操作系统也是自由软件和开放源代码发展中最著名的例子。严格来讲，Linux这个词本身只表示Linux内核，但在实际上人们已经习惯了用Linux 来形容整个基于Linux内核，并且使用GNU 工程各种工具和数据库的操作系统。Linux得名于计算机业余爱好者Linus Torvalds。Linux，其安全性漏洞已经广为流传，黑客可以很容易地侵入。而网络服务器往往储存了大量的重要信息，或向大量用户提供重要服务；一旦遭到破坏，后果不堪设想。所以，网站建设者更需要认真对待有关安全方面的问题，以保证服务器的安全。 2、服务安全管理 2.1、安全防护的主要内容 对于网站管理人员而言，日常性的服务器安全保护主要包括四方面内容： 文件存取合法性：任何黑客的入侵行为的手段和目的都可以认为是非法存取文件，这些文件包括重要数据信息、主页页面 HTML文件等。这是计算机安全最重要的问题，一般说来，未被授权使用的用户进入系统，都是为了获取正当途径无法取得的资料或者进行破坏活动。良好的口令管理 (由系统管理员和用户双方配合 )，登录活动记录和报告，用户和网络活动的周期检查都是防止未授权存取的关键。 用户密码和用户文件安全性：这也是计算机安全的一个重要问题，具体操作上就是防止 已授权或未授权的用户相互存取相互的重要信息。文件系统查帐、su登录和报告、用户意识、加密都是防止泄密的关键。 防止用户拒绝系统的管理：这一方面的安全应由操作系统来完成。操作系统应该有能力 应付任何试图或可能对它产生破坏的用户操作，比较典型的例子是一个系统不应被一个有意 使用过多资源的用户损害 (例如导致系统崩溃 )。 防止丢失系统的完整性：这一方面与一个好系统管理员的实际工作 (例如定期地备份文件系统，系统崩溃后运行 fsck检查、修复文件系统，当有新用户时，检测该用户是否可能使系统崩溃的软件 )和保持一个可靠的操作系统有关 (即用户不能经常性地使系统崩溃 )。

华为交换机安全基线

华为设备安全配置基线目录

概述 目的 规范配置华为路由器、交换机设备，保证设备基本安全。 适用范围 本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。 适用版本 华为交换机、路由器。

帐号管理、认证授权安全要求 帐号管理 1.1.1用户帐号分配* 1、安全基线名称：用户帐号分配安全 2、安全基线编号：SBL-HUAWEI-02-01-01 3、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。 4、参考配置操作： [Huawei]aaa [Huawei-aaa]local-user admin password cipher admin123 [Huawei-aaa]local-user admin privilege level 15 [Huawei-aaa]local-user admin service-type ssh [Huawei-aaa]local-user user password cipher user123 [Huawei-aaa]local-user user privilege level 4 [Huawei-aaa]local-user user service-type ssh 5、安全判定条件： （1）配置文件中，存在不同的账号分配 （2）网络管理员确认用户与账号分配关系明确 6、检测操作： 使用命令dis cur命令查看： … # aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password cipher "=LP!6$^-IYNZPO3JBXBHA!! local-user admin privilege level 15 local-user admin service-type ssh local-user user password cipher "=LP!6$^-IYNZP local-user user privilege level 4 local-user user service-type ssh # 对比命令显示结果与运维人员名单，如果运维人员之间不存在共享账号，表明符合安全要求。 1.1.2删除无关的帐号* 1、安全基线名称：删除无关的账号 2、安全基线编号：SBL-HUAWEI-02-01-02 3、安全基线说明：应删除与设备运行、维护等工作无关的账号。 4、参考配置操作：

Windows系统安全配置基线

Windows系统安全配置基线

目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 第2章安装前准备工作 (1) 2.1需准备的光盘 (1) 第3章操作系统的基本安装 (1) 3.1基本安装 (1) 第4章账号管理、认证授权 (2) 4.1账号 (2) 4.1.1管理缺省账户 (2) 4.1.2删除无用账户 (2) 4.1.3用户权限分离 (3) 4.2口令 (3) 4.2.1密码复杂度 (3) 4.2.2密码最长生存期 (4) 4.2.3密码历史 (4) 4.2.4帐户锁定策略 (5) 4.3授权 (5) 4.3.1远程关机 (5) 4.3.2本地关机 (6) 4.3.3隐藏上次登录名 (6) 4.3.4关机清理内存页面 (7) 4.3.5用户权利指派 (7) 第5章日志配置操作 (8) 5.1日志配置 (8) 5.1.1审核登录 (8) 5.1.2审核策略更改 (8) 5.1.3审核对象访问 (8) 5.1.4审核事件目录服务器访问 (9) 5.1.5审核特权使用 (9) 5.1.6审核系统事件 (10) 5.1.7审核账户管理 (10) 5.1.8审核过程追踪 (10) 5.1.9日志文件大小 (11) 第6章其他配置操作 (11)

6.1共享文件夹及访问权限 (11) 6.1.1关闭默认共享 (11) 6.2防病毒管理 (12) 6.2.1防病毒软件保护 (12) 6.3W INDOWS服务 (12) 6.3.1 系统服务管理 (12) 6.4访问控制 (13) 6.4.1 限制Radmin管理地址 (13) 6.5启动项 (13) 6.4.1关闭Windows自动播放功能 (13) 6.4.3配置屏保功能 (14) 6.4.4补丁更新 (14) 持续改进 (15)

Linux系统安全

1 本章重点内容 Linux 系统安全 防火墙技术基本知识 用iptales实现包过滤型防火墙 2 8.1 计算机网络安全基础知识8.1.1 网络安全的含义 网络安全从其本质上来讲就是网络上的信息安全，其所涉及的领域相当广泛。这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论，都是网络安全所要研究的领域。下面给出网络安全的一个通用定义： 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 因此，网络安全在不同的环境和应用中会得到不同的解释。 （1）运行系统安全，即保证信息处理和传输系统的安全。包括计算机系统机房环境的保护，法律、政策的保护，计算机结构设计上的安全性考虑，硬件系统的可靠安全运行，计算机操作系统和应用软件的安全，数据库系统的安全，电磁信息泄露的防护等。它侧重于保证系统正常的运行，避免因为系统的崩溃和损坏而对系统存储、处理和传输的信息造成破坏和损失，避免由与电磁泄漏，产生信息泄露，干扰他人（或受他人干扰），本质上是保护系统的合法操作和正常运行。 3 （2）网络上系统信息的安全。包括用户口令鉴别、用户存取权限控制、数据存取权限、方式控制、安全审计、安全问题跟踪、计算机病毒防治、数据加密等。 （3）网络上信息传播的安全，即信息传播后的安全。包括信息过滤等。它侧重于防止和控制非法、有害的信息进行传播后的后果。避免公用通信网络上大量自由传输的信息失控。它本质上是维护道德、法律或国家利益。 （4）网络上信息内容的安全，即讨论的狭义的“信息安全”。它侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充和诈骗等有损于合法用户的行为。它本质上是保护用户的利益和隐私。 计算机网络安全的含义是通过各种计算机、网络、密码技术和信息安全技术，保护在公用通信网络中传输、交换和存储信息的机密性、完整性和真实性，并对信息的传播及内容具有控制能力。网络安全的结构层次包括：物理安全、安全控制和安全服务。 可见，计算机网络安全主要是从保护网络用户的角度来进行的，是针对攻击和破译等人为因素所造成的对网络安全的威胁。而不涉及网络可靠性、信息的可控性、可用性和互操作性等领域。 48.1.2 网络安全的特征 网络安全应具有以下四个方面的特征： （1）保密性是指信息不泄露给非授权的用户、实体或过程，或供其利用的特性。 （2）完整性是指数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 （3）可用性是指可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。 （4）可控性是指对信息的传播及内容具有控制能力。 8.1.3 对网络安全的威胁 与网络连通性相关的有三种不同类型的安全威胁： （1）非授权访问（Unauthorized Access ）指一个非授权用户的入侵。（2）信息泄露（Disclosure of Information ）指造成将有价值的和高度机密的信息暴露给无权访问该信息的人的所有问题。 （3）拒绝服务（Denial of Service ）指使系统难以或不能继续执行任务的所有问题。 5 8.1.4 网络安全的关键技术 从广义上讲，计算机网络安全技术主要有：（1）主机安全技术：（2）身份认证技术：（3）访问控制技术：（4）密码技术：（5）防火墙技术：（6）安全审计技术：（7）安全管理技术： 8.1.5 Linux 系统的网络安全策略 1．简介 6 随着Internet／Intranet网络的日益普及，采用Linux网络操作系统作为服务器的用户也越来越多，这一方面是因为Linux是开放源代码的免费正版软件，另一方面也是因为较之微软的Windows NT网络操作系统而言，Linux系统具有更好的稳定性、效率性和安全性。在Internet／Intranet的大量应用中，网络本身的安全面临着重大的挑战，随之而来的信息安全问题也日益突出。以美国为例，据美国联邦调查局（FBI）公布的统计数据，美国每年因网络安全问题所造成的经济损失高达75亿美元，而全球平均每20秒钟就发生一起Internet计算机黑客侵入事件。一般认为，计算机网络系统的安全威胁主要来自黑客攻击和计算机病毒2个方面。那么黑客攻击为什么能够经常得逞呢？主要原因是很多人，尤其是很多网络管理员没有起码的网络安全防范意识，没有针对所用的网络操作系统，采取有效的安全策略和安全机制，给黑客以可乘之机。 由于网络操作系统是用于管理计算机网络中的各种软硬件资源，实现资源共享，并为整个网络中的用户提供服务，保证网络系统正常运行的一种系统软件。如何确保网络操作系统的安全，是网络安全的根本所在。只有网络操作系统安全可靠，才能保证整个网络的安全。因此，详细分析Linux 系统的安全机制，找出可能存在的安全隐患，给出相应的安全策略和保护措施是十分必要的。

TongWeb 服务器安全配置基线

TongWeb服务器安全配置基线

1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录 第1章概述 (1) 1.1目的 (1) 1.2适用围 (1) 1.3适用版本 (1) 1.4实施 (1) 1.5例外条款 (1) 第2章账号管理、认证授权 (2) 2.1 (2) 2.1.1应用分配 (2) 2.1.2用户口令设置 (3) 2.1.3用户删除 (3) 2.2认证授权 (4) 2.2.1控制台安全 (4) 第3章日志配置操作 (7) 3.1日志配置 (7) 3.1.1日志与记录 (7) 第4章备份容错 (9) 4.1备份容错 (9) 第5章IP协议安全配置 (10) 5.1IP通信安全协议 (10) 第6章设备其他配置操作 (12) 6.1安全管理 (12) 6.1.1禁止应用程序可显 (12) 6.1.2端口设置* (13) 6.1.3错误页面处理 (14) 第7章评审与修订 (16)

第1章概述 1.1目的 本文档旨在指导系统管理人员进行TongWeb服务器的安全配置。 1.2适用围 本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。 1.3适用版本 5.x版本的TongWeb服务器。 1.4实施 1.5例外条款 第2章账号管理、认证授权 2.1 2.1.1应用分配

说明信使用的账号共享。 检测操作步 骤 启动tongweb的控制台，选择列表中的安全域，点击管理用户,如图操作： 点击新建，建立用户账号，如图操作： 修改用户直接点击用户名，进行修改，如图： 基线符合性 判定依据 1、判定条件 各账号都可以登录TongWeb服务器为正常。 2、检测操作 访问ip:8080/twns管理页面，进行TongWeb服务器配置找安全服务下的安 全域即可。 备注 2.1.2用户口令设置 安全基线项TongWeb用户口令设置安全基线要求项