安全加固手册
系统安全加固手册
系统安全加固手册引言系统安全加固是一项关键任务,旨在保护产品和系统免受未经授权的访问、恶意攻击和数据泄露。
本手册旨在提供系统安全加固的最佳实践和建议,以帮助组织建立强大的安全防御措施并减轻安全风险。
本手册适用于各种操作系统和网络环境。
1. 更新操作系统和补丁及时更新操作系统和应用程序是系统安全的基础。
各厂商定期发布补丁程序来修复已知安全漏洞。
确保操作系统和应用程序保持最新版本,并定期安装厂商发布的补丁。
2. 强化密码策略密码是系统安全的第一道防线。
采用以下策略来强化密码安全:•密码复杂性要求:密码应包含大小写字母、数字和特殊字符,并且长度不少于8个字符。
•密码定期更换:要求用户定期更换密码,例如每90天更换一次。
•增加密码锁定机制:在连续多次登录失败后,锁定用户账号一段时间。
•提供双因素身份验证:引入双因素身份验证来增加密码安全性。
3. 配置防火墙防火墙是网络安全的关键组成部分。
确保正确配置和管理防火墙以限制不必要的出入流量:•配置入站和出站规则:只允许必要的流量通过。
拒绝除了必要的端口、协议和IP地址之外的所有流量。
•应用流量监控:对流量进行实时监控,及时识别和应对异常流量。
•定期审查和更新防火墙规则:定期审查和更新防火墙规则以及安全策略,以保持针对新威胁的有效防御。
4. 启用访问控制措施为了限制对系统的访问,可以采取以下措施:•管理用户权限:每个用户只分配最低权限的账号,并定期审查用户权限。
•限制远程访问:只允许来自信任网络的远程访问,并限制访问时间和访问方式。
•禁用默认账号和服务:禁用系统默认账号,关闭不必要的服务和端口,以减少攻击面。
5. 加密敏感数据加密是保护敏感数据免受未经授权访问的重要手段。
以下是应用加密的一些最佳实践:•使用SSL/TLS加密:在Web应用程序中使用SSL/TLS协议来加密数据传输。
•对存储的敏感数据进行加密:使用强加密算法对数据库、文件系统中的敏感数据进行加密。
LINUX安全加固手册
LINUX安全加固手册目录1概述 (3)2 安装 (3)3 用户帐号安全Password and account security (4)3.1 密码安全策略 (4)3.2 检查密码是否安全 (4)3.3 Password Shadowing (4)3.4 管理密码 (4)3.5 其它 (5)4 网络服务安全(Network Service Security) (5)4.1服务过滤Filtering (6)4.2 /etc/inetd.conf (7)4.3 R 服务 (7)4.4 Tcp_wrapper (7)4.5 /etc/hosts.equiv 文件 (8)4.6 /etc/services (8)4.7 /etc/aliases (8)4.8 NFS (9)4.9 Trivial ftp (tftp) (9)4.10 Sendmail (9)4.11 finger (10)4.12 UUCP (10)4.13 World Wide Web (WWW) – httpd (10)4.14 FTP安全问题 (11)5 系统设置安全(System Setting Security) (12)5.1限制控制台的使用 (12)5.2系统关闭Ping (12)5.3关闭或更改系统信息 (12)5.4 /etc/securetty文件 (13)5.5 /etc/host.conf文件 (13)5.6禁止IP源路径路由 (13)5.7资源限制 (13)5.8 LILO安全 (14)5.9 Control-Alt-Delete 键盘关机命令 (14)5.10日志系统安全 (15)5.11修正脚本文件在“/etc/rc.d/init.d”目录下的权限 (15)6 文件系统安全(File System Security) (15)6.1文件权限 (15)6.2控制mount上的文件系统 (16)6.3备份与恢复 (16)7 其它 (16)7.1使用防火墙 (16)7.2使用第三方安全工具 (16)1概述近几年来Internet变得更加不安全了。
linux系统安全加固手册
START_RBOOTD=0检查DFS分布式文件系统效劳,执行:查瞧该文件中是否存在DCE_KRPC=0、DFS_CORE=0、DFS_CLIENT=0、DFS_SERVER=0、DFS_EPISODE=0、EPIINIT=0、DFSEXPORT=0、BOSSERVER=0、DFSBIND=0、FXD=0、MEMCACHE=0、DFSGWD=0、DISKCACHEFORDFS=0检查逆地址解析效劳,执行:查瞧该文件中是否存在RARPD=0、RDPD=0检查响应PTY〔伪终端〕请求守护进程,执行:查瞧该文件中是否存在PTYDAEMON_START=0检查响应VT〔通过LAN登录其他系统〕请求守护进程,执行:查瞧该文件中是否存在VTDAEMON_START=0检查域名守护进程效劳,执行:查瞧该文件中是否存在NAMED=0检查SNMP代理进程效劳,执行:查瞧该文件中是否存在PEER_SNMPD_START=0检查授权治理守护进程效劳,执行:查瞧该文件中是否存在START_I4LMD=0检查SNAplus2效劳,执行:查瞧该文件中是否存在START_SNAPLUS=0、START_SNANODE=0、START_SNAINETD=0检查X字体效劳,执行:查瞧该文件中是否存在RUN_X_FONT_SERVER=0检查语音效劳,执行:查瞧该文件中是否存在AUDIO_SERVER=0检查SLSD〔Single-Logical-Screen-Daemon〕效劳,执行:查瞧该文件中是否存在SLSD_DAEMON=0检查SAMBA效劳,执行:查瞧该文件中是否存在RUN_SAMBA=0检查CIFS客户端效劳,执行:查瞧该文件中是否存在RUN_CIFSCLIENT=0检查NFS启动效劳,执行:查瞧该文件中是否存在NFS_SERVER=0、NFS_CLIENT=0检查NetscapeFastTrackServer效劳,执行:查瞧该文件中是否存在NS_FTRACK=0检查APACHE效劳,执行:查瞧该文件中是否存在APACHE_START=0 检查基于RPC的效劳,执行:查瞧是否存在该文件操作步骤1、执行备份:使用cp命令备份需要修改的文件2、设置参数:执行以下命令,禁用SNAplus2效劳执行以下命令,禁用多播路由效劳执行以下命令,禁用DFS分布式文件系统效劳执行以下命令,禁用逆地址解析效劳执行以下命令,禁用响应PTY〔伪终端〕请求守护进程执行以下命令,禁用响应VT〔通过LAN登录其他系统〕请求守护进程执行以下命令,禁用域名守护进程执行以下命令,禁用SNMP代理进程执行以下命令,禁用授权治理守护进程#ndd-get/dev/ipip_respond_to_address_mask_broadcast #ndd-get/dev/ipip_respond_to_timestamp_broadcast返回值应为0操作步骤1、执行备份记录需要修改的可调参数值2、执行以下命令,设置参数使参数在当前系统状态下临时生效:#ndd-set/dev/ipip_respond_to_address_mask_broadcast0 #ndd-set/dev/ipip_respond_to_timestamp_broadcast0建立启动项,使参数重启后永久生效:#cat<<EOF>>nddconf#Don'trespondtoICMPaddressmaskrequests TRANSPORT_NAME[6]=ipNDD_NAME[6]=ip_respond_to_address_mask_broadcast NDD_VALUE[6]=0#Don'trespondtobroadcastICMPtstampreqs TRANSPORT_NAME[7]=ipNDD_NAME[7]=ip_respond_to_timestamp_broadcast NDD_VALUE[7]=0EOF#chownroot:sysnddconf#chmodgo-w,ug-snddconf。
银河麒麟安全加固配置手册
银河麒麟安全加固配置手册
银河麒麟安全加固配置手册旨在指导用户如何对银河麒麟系统进行安全加固。
以下是一些常见的安全加固配置建议:
1. 禁用不必要的服务:银河麒麟系统启动后,一些不必要的服务会自动运行,这些服务可能存在安全风险。
建议禁用这些服务,以减少被攻击的可能性。
2. 配置防火墙:防火墙是保护系统免受攻击的重要工具。
建议配置防火墙规则,只允许必要的网络流量通过,阻止未授权的访问。
3. 更新系统补丁:银河麒麟系统可能存在一些安全漏洞,及时更新系统补丁可以修复这些漏洞,提高系统的安全性。
4. 配置安全审计:审计日志可以帮助追踪系统中的异常行为,及时发现和处理安全事件。
建议配置安全审计规则,对系统中的重要操作进行记录和监控。
5. 限制用户权限:用户权限管理是安全加固的重要一环。
建议对用户权限进行严格控制,避免不必要的用户拥有过高权限。
6. 配置加密存储:存储设备中的数据可能被非法访问或窃取,建议配置加密存储,保护数据安全。
7. 配置安全启动:安全启动可以在系统启动时进行安全检查,确保系统没有被篡改或感染恶意程序。
建议配置安全启动功能,提高系统的安全性。
以上是银河麒麟安全加固配置手册的一些常见建议,具体配置方法可以参考银河麒麟系统的官方文档或咨询专业技术人员。
Linux安全加固手册
Linux安全加固手册
可用离线破解、暴力字典破解或者密码网站查询出帐号密钥的密码是否是弱口令
2)修改vi /etc/login.defs配置密码周期策略
此策略只对策略实施后所创建的帐号生效,以前的帐号还是按99999天周期时间来算。
3)/etc/pam.d/system-auth配置密码复杂度:
在文件中添加如下一行:
password requisite pam_cracklib.so retry=3 difok=2 minlen=8 lcredit=-1 dcredit=-1
参数含义如下所示:
difok:本次密码与上次密码至少不同字符数
minlen:密码最小长度,此配置优先于login.defs中的PASS_MAX_DAYS
ucredit:最少大写字母
lcredit:最少小写字母
dcredit:最少数字
retry:重试多少次后返回密码修改错误
【注】用root修改其他帐号都不受密码周期及复杂度配置的影响。
1.2登录失败策略
要求:应启用登录失败处理功能,可采取结束会话、限制非法
登录次数和自动退出等措施。
目的:遭遇密码破解时,暂时锁定帐号,降低密码被猜解的可
能性
操作步骤:。
Windows系统安全加固操作手册
1、应按照用户分配账号。
避免不同用户间共享账号。
避免用户账号和设备间通信使用的账号共享。
结果:现网已实现2、应删除或锁定与设备运行、维护等工作无关的账号。
结果:现网已实现3、对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
结果:可以实现编号:安全要求-设备-WINDOWS-配置-44、对于采用静态口令认证技术的设备,账户口令的生存期不长于90天。
结果:可以实现编号:安全要求-设备-通用-配置-45、对于采用静态口令认证技术的设备,账户口令的生存期不长于90天。
结果:可以实现,应用账号不建议实现,将会影响应用系统;编号:安全要求-设备-WINDOWS-配置-56、对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。
结果:可以实现编号:安全要求-设备-WINDOWS-配置-67、对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。
结果:可以实现编号:安全要求-设备-WINDOWS-配置-78、在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
结果:现网已实现9、设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
结果:现网已实现10、设备应配置日志功能,记录用户对设备的操作,包括但不限于以下内容:账号创建、删除和权限修改,口令修改,读取和修改设备配置,读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。
记录需要包含用户账号,操作时间,操作内容以及操作结果。
结果:可以实现编号:安全要求-设备-WINDOWS-配置-1111、对于具备TCP/UDP协议功能的设备,设备应根据业务需要,配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流量。
麒麟系统安全加固手册
麒麟系统安全加固手册摘要:一、麒麟系统安全加固手册概述1.手册的目的和适用对象2.手册的主要内容二、麒麟系统的基本安全设置1.麒麟系统的特点和安全性2.麒麟系统的默认安全设置3.麒麟系统的安全模块三、麒麟系统的安全加固措施1.更新系统补丁2.配置防火墙3.配置入侵检测系统4.限制用户权限5.加密重要文件和数据6.防止恶意软件四、麒麟系统的安全使用建议1.增强密码安全2.定期备份数据3.防止社交工程攻击4.安全使用网络服务5.避免公开暴露个人信息五、麒麟系统的安全漏洞处理1.发现安全漏洞的途径2.安全漏洞的处理流程3.安全漏洞的修复措施正文:麒麟系统安全加固手册是为了帮助用户提高麒麟操作系统安全性能而编写的。
本手册适用于麒麟系统的管理员和普通用户,旨在指导用户了解和提高麒麟系统的安全性。
麒麟系统作为一款国产操作系统,从设计之初就非常重视安全性。
系统默认的安全设置可以满足大多数用户的需求,但仍需要根据实际情况进行调整和优化。
本手册将介绍麒麟系统的安全模块,帮助用户了解系统的安全机制。
为了进一步加强麒麟系统的安全性,本手册还提供了一系列安全加固措施。
这些措施包括更新系统补丁、配置防火墙、配置入侵检测系统、限制用户权限、加密重要文件和数据、防止恶意软件等。
通过实施这些措施,用户可以大大提高麒麟系统的安全性能。
在使用麒麟系统的过程中,用户还需要注意一些安全使用建议,例如增强密码安全、定期备份数据、防止社交工程攻击、安全使用网络服务、避免公开暴露个人信息等。
这些建议可以有效降低用户在使用麒麟系统过程中面临的安全风险。
最后,本手册还介绍了如何处理麒麟系统的安全漏洞。
用户可以通过本手册了解发现安全漏洞的途径、安全漏洞的处理流程以及安全漏洞的修复措施。
对于发现的安全漏洞,用户需要及时采取措施进行修复,以保障麒麟系统的安全性能。
总之,麒麟系统安全加固手册为用户提供了全面的安全指导,帮助用户提高麒麟系统的安全性能。
oracle数据库安全加固操作手册
1.支持按用户分配账号。
结果:现网已实现2.与设备运行、维护等工作无关的账号,应能够删除或锁定。
结果:现网已实现3.应按照用户分配账号。
避免不同用户间共享账号。
避免用户账号和设备间通信使用的账号共享。
结果:现网已实现4.应删除或锁定与设备运行、维护等工作无关的账号。
结果:现网已实现5.限制具备数据库超级管理员(SYSDBA)权限的用户远程登录。
结果:可以实现,但是需要需要重起数据库,影响业务,不建议实现,而且通过防火墙限制访问数据库的端口方式已经实现。
6.对于采用静态口令认证技术的设备,应支持数字、小写字母、大写字母和特殊符号4类字符构成的口令。
应支持配置口令复杂度。
在配置了复杂度后,设备自动拒绝用户设置不符合复杂度要求的口令结果:部分账号已实现(system和CS车务通),其他账号实施时需要重新配置现网的应用配置,影响业务,不建议实现。
7.对于采用静态口令认证技术的设备,应支持配置用户连续认证失败次数上限。
当用户连续认证失败次数超过上限时,设备自动锁定该用户账号。
必须由其他账号,通常为具有管理员权限的账号,才可以解除该账号锁定结果:现网已实现(系统默认是10次)8.对于采用静态口令认证技术的设备,应支持按天配置口令生存期功能。
在配置了口令生存期后,设备在口令超过生存期的用户登录时,应提示并强迫该用户设置新口令结果:可以实现,但是应用账号不建议实现,将会影响应用系统;编号:安全要求-设备-ORACLE-配置-10-可选9.对于采用静态口令认证技术的设备,应支持配置用户不得重复使用其最近已用口令的功能。
当配置相应功能后,设备拒绝用户重复使用在限制次数内的口令结果:可以实现,但是应用账号不建议实现,将会影响应用系统;见问题8的实现10.对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号结果:现网已实现(系统默认是10次)11.对于存在关系型数据库的设备,设备应支持对数据库表,给不同数据库用户或用户组分别授予读取、修改的权限。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全加固手册8.2 系统安全值设置8.2.1 查看目前系统值:WRKSYSV AL 一个一个顺序在终端上显示或者 DSPSYSVAL SYSV AL (system value)8.2.2 系统安全级别推荐设置为40QSECURITY 4010 没有用户认证,没有资源保护20 用户使用密码认证,没有资源保护30 用户认证和默认的资源保护40 跟 30 相似,但是控制了特权指令和设备的接口(在客户端被认为具有高的风险的时候应用安全级别40。
他会限制对对象,其他工作的数据和系统内部程序的直接访问)50 增强型的安全访问控制,达到真正的 C2 级安全控制8.2.3 建议设置口令复杂度策略QPWDVLDPGM *NONE 无密码检测8.2.4 密码长度最小密码长度QPWDMINLEN 6最大密码长度QPWDMAXLEN 108.2.5 设置帐户最大尝试登陆次数QMAXSIGN 3(默认值)达到最大尝试次数措施QMAXSGNACN 3(默认值)1 禁用终端2 禁用用户配置文件3 全部(注 :建议根据自己的情况选择,禁用终端后,可能会给别人的造成误解,怀疑设备损坏。
管理员要十分清楚该参数的含义)8.2.6 设置密码有效期QPWDEXPITV 30-90*NOMAX 不限1-366 天QPWDRQDDIF 10 可以和以前的历史记录中的 32 个密码一样1 必须和以前的历史记录中的 32 个密码不同8.2.7 限制安全设备登陆QLMTSECOFR 10 允许所有有 *ALLOBJ 授权的用户在任意显示终端登陆,有 *SERVICE 授权的用户可以使用*CHANGE 公开认证手段登陆到任意显示终端1 不允许有 *ALLOBJ 或 *SERVICE 的用户登陆到任一显示终端上(主控制台除外),除非他们有特别的授权允许访问8.2.8 设置超时策略QINACTITV 无活动的任务超时 *NONE: 无超时5-300 超时最大允许时间(分钟)推荐 15非授权用户在某个时间段无操作,系统将会根据该参数值决定是否断开当前的session。
认证用户通过再次登陆,可以继续以前session 所保留的屏幕。
当设置中断连接任务(*DSCJOB )值去中断任意交互式登陆。
8.2.9 限制设备sessionsQLMTDEVSSN0 不限制一个终端的特定用户 ID 的在同一时刻的使用数1 限制同一时刻只能有一个特定用户登录到这台工作站8.2.10 用户登录信息是否显示在屏幕上QDSPSGNINF0 在用户登录时 ,登陆信息不显示1 以下信息会被显示最后登陆时间从上次登陆以来的失败登陆密码 7 天或之内密码将要过期的警告QAUTOVRTQAUTOVRT8.3.1 显示所有用户和组的profile8.3.2 检查每个重要的组的profile ,保证是由管理人8.2.11 改变虚拟设备的自动配置值值控制系统自动配置虚拟设备会话(比如 5250telnet )的数量值建议设置为 *nomax8.2.12 改变远程登陆值QRMTSIGN 值控制是否当工作站支持显示终端或工作站支持功能,允许用户略过在远端系统的登陆提示。
( pass-through 类似于 unix 的 rlogin 功能)可能值如下 :FRCSIGNON:所有系统的 pass through sessio ns必须通过正常的登录(sig n-on)过程SAMEPRF:仅允许远端系统 profile名与本地系统一致的用户进行不通过登录( sign-on)过程的 pass through sessionsVERIFY:如果 QSECURITY 设置为10,没有通过正常的登录(sign-on)过程的pass through sessions 允许所有的pass through请求并且不检查密码。
QSECURITY 设置为30的时候必须进行登录。
REJECT: 不允许系统支持 pass through sessions8.2.13 创建系统认证参数值检查系统值报告里面的 QCRTAUT 参数,并且确认已经改变默认的值 *CHANGE 为 *USE 或更少权限。
检查产品数据库和产品源代码被放在一个有合适的访问权限的库里维护。
或者使用可视认证组件命令(Display Object Authority command )并且检查每一个重要的产品数据库和源代码的公共认证访问( PUBAUT )访问参数设置为 *EXCLUDE 并且都设置了合适的访问控制。
8.3 用户、组配置DSPAUTUSR SEQ (*GRPPRF) wrkusrprf *all员赋予的8.3.3 检查系统内的用户,保证是都由管理人员赋予的,并且他们的设置与他们的需要的功能一致*ALLOBJ *SECADM *SAVSYS *JOBCTL *SERVICE *SPLCTL 8.3.4 系统安装时,已经预定义了许多用户的profile ,这些用户的profile 的密码可以从用户的profile 名判断QSRVBAS 和 QSRV 推荐在每次时候后改变。
任何商业软件厂商安装时用的密码也应该更改。
8.3.5 使用以下命令取得用户和组的profile:取得文件 :输入[DSPUSRPRF],按(PF4),选择输出文件和文件名,将此文件传输到 PC或XCOMM 到一个大型机( where Office Services will copy the file/s to audits cc 0820 G drive )。
DSPUSRPRF USRPRF(pro) TYPE(*BASIC)每个 profile 检查以下设置 :8.3.5.1 G R O U P (Group Profile)检查每个组里面的用户是否应具有此权限8.3.5.2 P W D E X P I T V ( 密码过期周期)*SYSVAL: 系统默认值为QPWDEXPITV 如果已经设置为一个数字,则表示此用户已经设置密码过期周期。
8.3.5.3 CURLIB (当前库)检查用户是否指定了合适的库( library )。
并且保证库足够的安全8.3.5.4 L M T C P B (限制权限)指定是否用户可以更改初始程序,初始菜单,当前库和attention-key-handling 程序值。
*NO: 用户可以使用 CHGPRF 命令改变自己用户 profile 里面的所有值。
*PARTIAL:初始化程序和当前库值不能改变。
初始菜单可以改变(使用CHGPRF)并且可以在菜单命令行处输入命令。
*YES: 初始程序,初始菜单和当前库不能改变。
菜单命令行处可以运行部分命令。
推荐值 :产品用户设置为 *YES8.3.5.5 S P C A U T (特殊权限)- 几乎所有对象允许无限访问- 允许管理用户 profile- 保存和恢复系统和数据- 允许操作工作队列和子系统- 允许一些没有控制的功能- 允许控制池( spool )功能*USRCLS -授予用户对他所在的级别(class)特别的授权*NONE - 没有特别的授权检查是否每个用户级别特别的授权是否适当。
一般来说,用户和程序不应该有任何特殊授权。
默认 SECADM, QSECOFR, 和 SYSOPR 具有 *SAVSYS 和 *JOBCTL 特殊授权。
推荐设置 *PUBLIC 默认设置为 *EXCLUDE 。
8.3.5.6 I N L P G M ( 初始程序)*NONE: 没有初始程序,用户直接进入命令行。
初始程序,除了注销( sign-off )之外不会提供程序的退出手段。
如果在初始菜单参数中指定了具体菜单名的话,菜单将会被显示。
保证没有菜单 / 子菜单中没有退出选项到命令行级。
8.3.5.7 I N L M E N U ( 初始菜单)*SIGNOFF: 当初始程序结束会从系统中注销用户菜单安全限制一个用户的权力,并且限制这个用户使用一个安全的环境变量。
初始菜单在初始程序结束后显示。
确保用户被设置了菜单,并且菜单的选项适合用户的工作运行。
菜单安全的好处是它容易去执行,会降低安全管理的开销;并且会改善使用界面。
推荐设置 :当访问库和对象的时候限制权限。
8.3.5.8 L M T D E V S S N ( 限制设备session)*SYSV AL:如果用户被限制在一个终端session的时候选择此系统值*NO: 不限制访问一个用户 id 访问设备的 session *YES: 限制一个用户 id 访问一个终端的 session. 推荐值 : *YES 或者 *SYSVAL and QLMTDEVSSN - 设置为选项一 (limit number of device sessions to one).8.3.5.9 S T A T U S ( 用户profile 的状态)设置用户 profile 是否使用。
*ENABLED: 使用*DISABLED: 不使用推荐值 : 无用的和暂不使用的用户 profile 应设置为 *DISABLE 以防止未经授权的访问注意系统用户 profiles 如 QSYS, QSECOFR, 等,必须设置为 *ENABLE.8.3.5.10 取得一个系统全用户的列表,并且作如下检查:a•确认所有的用户和组被单独赋予权限b. 确认是否所有的用户授权均基于部门间已有的管理授权机制c. 确认所有的用户均处在雇佣状态。
8.3.5.11 确认是否存在未经授权的用户从他们的菜单可以访问重要的进程或执行重要的操作8.3.6 列出所有采用QSECOFR 授权的程序DSPPGMADP USRPRF(QSECOFR) [optional OUTPUT(*PRINT) to print] 执行此命令可能会消耗大量系统资源。
确认安全管理员知道这些程序,以及是否应在添加新的用户考虑是否应对他们设置授权。
推荐设置 :安全管理员应监控 QSECOFR 授权赋予权限的程序。
8.3.7 确认采用以下安全和密码策略:a. 安全的赋予和分发密码b. 选择密码标准c. 在雇员离职后更改密码或删除用户(可以从前面的登陆日期得到报告)d. 定期更改密码e. 培训用户密码保密的必要性和在不用时注销工作站f. 当发现违反安全规定时候的处置措施8.3.8 使用以下命令取得授权用户列表DSPAUTUSR列表包括用户 profile ,上次更改密码日期和用户 profile 说明。
可以从上次更改密码日期判断是否在一个合理的周期内更改密码。
8.4 库安全( Libraries )8.4.5 取得系统所有库的列表DSPOBJD OBJ(QSYS/*ALL) OBJTYPE(*LIB) OUTPUT(*PRINT) 判断产品对象 production objects 被从开发对象 development objects 中分割在单独的库里8.4.6选择一个重要产品的的库,列出所选择库的内容(对象)DSPLIB (Library Name) 确认产品库中只有产品的对象8.4.7 列出重要产品库中对象的授权DSPOBJAUT OBJ(QSYS/library name) OBJTYPE(*LIB)确认仅有授权的用户和组可以访问。