IT主流设备安全基线技术规范-修编大纲

Q/CSG

Q/CSG ******** 中国南方电网责任有限公司企业标准

IT主流设备安全基线技术规范

IT Mainstream Devices Technical Security Baseline

201X-XX-XX 发布 201X-XX-XX 实施 中国南方电网责任有限公司 发 布

Q/CSG XXXXX—XXXX

目 次

前 言 .............................................................................................................................................. 3 1 范围........................................................................................................................................... 4 2 规范性引用文件 ....................................................................................................................... 4 3 术语和定义 ............................................................................................................................... 4 4 总则........................................................................................................................................... 4

4.1 指导思想 ....................................................................................................................... 4 4.2 目标 ............................................................................................................................... 4 5 安全基线技术要求 ................................................................................................................... 5

5.1 操作系统 ....................................................................................................................... 5

5.1.1 AIX系统安全基线技术要求 ............................................................................... 5 5.1.2 Windows系统安全基线技术要求 ..................................... 错误！未定义书签。 5.1.3 Linux系统安全基线技术要求 .......................................... 错误！未定义书签。 5.1.4 HP UNIX系统安全基线技术要求 .................................... 错误！未定义书签。 5.2 数据库 ......................................................................................... 错误！未定义书签。

5.2.1 Oracle 数据库系统安全基线技术要求 ............................ 错误！未定义书签。 5.2.2 MS SQL 数据库系统安全基线技术要求 ......................... 错误！未定义书签。 5.3 中间件 ......................................................................................... 错误！未定义书签。

5.3.1 WEB Logic中间件安全基线技术要求 ............................. 错误！未定义书签。 5.3.2 Apache HTTP Server中间件安全基线技术要求 ............. 错误！未定义书签。 5.3.3 Tomcat中间件安全基线技术要求 .................................... 错误！未定义书签。 5.3.4 IIS中间件安全基线技术要求 ........................................... 错误！未定义书签。 5.4 路由器/交换机 ............................................................................ 错误！未定义书签。

5.4.1 Cisco 路由器/交换机安全基线技术要求 ......................... 错误！未定义书签。 5.4.2 华为网络设备安全基线技术要求 ..................................... 错误！未定义书签。 5.4.3 中兴路由器/交换机安全基线技术要求 ............................ 错误！未定义书签。 5.5 防火墙 ......................................................................................... 错误！未定义书签。

5.5.1 Cisco防火墙（Pix ASA FWSM）安全基线技术要求 .... 错误！未定义书签。 5.5.2 Juniper(NetScreen系列)防火墙安全基线技术要求 ......... 错误！未定义书签。 5.5.3 Nokia(CheckPoint系列)防火墙安全基线技术要求 ......... 错误！未定义书签。 5.5.4 中兴通讯ICT（US系列）防火墙安全基线技术要求 ... 错误！未定义书签。

2

Q/CSG XXXXX—XXXX

前 言

为了规范中国南方电网有限责任公司（以下简称“公司”）IT主流设备安全管理，建立统一的IT主流设备安全防护技术要求，提高业务系统支撑平台的安全性，有效支持各业务系统安全、稳定的运行，特制定本规范。

本规范适用于公司管理信息大区所有信息系统相关支撑平台设备。 本规范由公司标准化委员会批准。 本规范由公司信息部组织编写并解释。 本规范起草单位：。

本规范主要起草人：。 本规范主要审查人：。

3

Q/CSG XXXXX—XXXX

1

范围

本规范适用于中国南方电网有限责任公司及所属单位管理信息大区所有信息系统相关主流支撑平台设备。 2

规范性引用文件

下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本规范。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本规范。

——中华人民共和国计算机信息系统安全保护条例 ——中华人民共和国国家安全法 ——中华人民共和国保守国家秘密法 ——计算机信息系统国际联网保密管理规定

——中华人民共和国计算机信息网络国际联网管理暂行规定 ——ISO27001标准/ISO27002指南

——公通字[2007]43号 信息安全等级保护管理办法

——GB/T 21028-2007 信息安全技术 服务器安全技术要求 ——GB/T 20269-2006 信息安全技术 信息系统安全管理要求

——GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 ——GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南 3

术语和定义

安全基线：指针对IT设备的安全特性，选择合适的安全控制措施，定义不同IT设备的最低安全配置要求，则该最低安全配置要求就称为安全基线。

管理信息大区：发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统，原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ)；管理信息大区内部在不影响生产控制大区安全的前提下，可以根据各企业不同安全要求划分安全区。根据应用系统实际情况，在满足总体安全要求的前提下，可以简化安全区的设置，但是应当避免通过广域网形成不同安全区的纵向交叉连接。 4

总则

4.1 指导思想

围绕公司打造经营型、服务型、一体化、现代化的国内领先、国际著名企业的战略总体目标，为切实践行南网方略，保障信息化建设，提高信息安全防护能力，通过规范IT主流设备安全基线，建立公司管理信息大区IT主流设备安全防护的最低标准，实现公司IT主流设备整体防护的技术措施标准化、规范化、指标化。 4.2 目标

管理信息大区内IT主流设备安全配置所应达到的安全基线规范，主要包括针对AIX系统、Windows系统、Linux系统、HP UNIX系统、Oracle数据库系统、MS SQL数据库系统,WEB

4

Q/CSG XXXXX—XXXX

Logic中间件、Apache HTTP Server中间件、Tomcat中间件、IIS中间件、Cisco路由器/交换机、华为网络设备、Cisco防火墙、Juniper防火墙和Nokia防火墙等的安全基线设置规范。通过该规范的实施，提升管理信息大区内的信息安全防护能力。

5 安全基线技术要求

5.1 操作系统（服务器）

5.1.1 AIX系统安全基线技术要求 5.1.1.1 身份鉴别

（1）原IT基线的描述方式如下：

基线技术要求 基线标准点（参数） 说明 1) maxrepeats=3 1) 口令中某一字符最多只能重复3次 2) minlen=8 2) 口令最短为8个字符 3) minalpha=4 3) 口令中最少包含4个字母字符 4) minother=1 4) 口令中最少包含一个非字母数字字符 口令策略 5) mindiff=4 5) 新口令中最少有4个字符和旧口令不同 6) minage=1 6) 口令最小使用寿命1周 7) maxage=25（可选） 7) 口令的最大寿命25周 8) histsize=10 8) 口令不重复的次数10次 （1）建议修订后的描述方式如下：

基线名称 操作系统密码复杂度安全基线要求项 基线编号 IB-Windows-01-01 适用范围 全部（或等保三级系统） 基线类型 强制要求（或可选要求） 基线要求 最短密码长度 6个字符，启用本机组策略中密码必须符合复杂性要求的策略。 即密码至少包含以下四种类别的字符中的三种： ? 1、英语大写字母 A, B, C, … Z ? 2、英语小写字母 a, b, c, … z ?

5

Q/CSG XXXXX—XXXX

3、西方阿拉伯数字 0, 1, 2, … 9 4、非字母数字字符，如标点符号，@, #, $, %, &, *等 配置方法 进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”→ “密码必须符合复杂性要求”，选择“已启动” 备注

5.1.1.2 访问控制 5.1.1.3 安全审计 5.1.1.4 入侵防范 5.1.1.5 恶意代码防范 5.1.1.6 资源控制 5.1.1.7 其他

5.1.2 Linux系统安全基线技术要求 5.1.3 HP UNIX系统安全基线技术要求 5.1.4 Windows系统安全基线技术要求

5.1.5 Sorlaris系统安全基线技术要求（待定）

5.2 数据库

5.2.1 Oracle数据库安全基线技术要求 5.2.2 MS SQL Server数据库安全基线技术要求 5.2.3 MySQL数据库安全基线技术要求

5.3 中间件

5.3.1 WebLogic中间件安全基线技术要求

5.3.2 Apache HTTP Server中间件安全基线技术要求 5.3.3 Tomcat中间件安全基线技术要求 5.3.4 IIS中间件安全基线技术要求

5.4 网络设备

5.4.1 Cisco路由器/交换机安全基线技术要求 5.4.2 华为路由器/交换机安全基线技术要求 5.4.3 中兴路由器/交换机安全基线技术要求（缺）

6

Q/CSG XXXXX—XXXX

5.4.4 Juniper防火墙安全基线技术要求

5.4.5 Cisco防火墙（Pix ASA FWSM）安全基线技术要求 5.4.6 Nokia（CheckPoint）防火墙安全基线技术要求 5.4.7 华为防火墙安全基线技术要求 5.4.8 中兴防火墙安全基线技术要求（缺） 5.4.9 迪普防火墙安全基线技术要求

5.4.10 启明星辰防火墙安全基线技术要求（缺） 5.4.11 Fortigate防火墙安全基线技术要求（缺） 5.4.12 伟思网闸安全基线技术要求 5.4.13 迪普IPS/IDS安全基线技术要求 5.4.14 启明星辰IPS/IDS安全基线技术要求 5.4.15 蓝盾IPS/IDS安全基线技术要求（缺） 5.4.16 F5负载均衡设备安全基线技术要求（缺） 5.4.17 深信服上网行为管理设备安全基线技术要求（缺） 5.4.18 深信服流量管理设备安全基线技术要求（缺） 5.4.19 深信服VPN设备安全基线技术要求（缺） 5.4.20 趋势威胁发现系统安全基线技术要求（缺）

5.5 终端

5.5.1 Windows终端安全基线技术要求 5.5.2 Android终端安全基线技术要求（待定） 5.5.3 IOS终端安全基线技术要求（待定）

7

本文来源：https://www.bwwdw.com/article/nrvo.html