等级保护-主机加固方案
等级保护-主机加固方案
h主机安全一、身份鉴别(S3)本项要求包括:a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别;设置登陆密码b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;依次展开[开始]->([控制面板] ->)[管理工具]->[本地安全策略]->[账户策略]->[密码策略],查看以下项的情况:1)复杂性要求-启用、2)长度最小值-大于8、3)最长存留期-不为0、4)最短存留期-不为0、5)强制密码历史-大于3。
c) 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;依次展开[开始]->([控制面板] ->)[管理工具]->[本地安全策略]->[账户策略]->[账户锁定策略];d) 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;如果是本地管理或KVM等硬件管理方式,此要求默认满足;如果采用远程管理,则需采用带加密管理的远程管理方式,如启用了加密功能的3389(RDP 客户端使用ssl加密)远程管理桌面或修改远程登录端口。
e) 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
Windows Server 2003默认不存在相同用户名的用户,但应防止多人使用同一个账号。
(访谈时无多人共用一个账号)f) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
动态口令、数字证书、生物信息识别等二、访问控制(S3)本项要求包括:a) 应启用访问控制功能,依据安全策略控制用户对资源的访问;制定用户权限表,管理员账号仅由系统管理员登陆删除默认共享?b) 应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;系统管理员、安全管理员、安全审计员由不同的人员和用户担当c) 应实现操作系统和数据库系统特权用户的权限分离;应保证操作系统管理员和审计员不为同一个账号,且不为同一个人访谈时候注意d) 应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;重命名系统默认账户,禁用guest、SUPPORT_388945a0这些用户名e) 应及时删除多余的、过期的帐户,避免共享帐户的存在。
等级保护整改解决方案(3篇)
第1篇一、引言随着信息化技术的飞速发展,我国政府高度重视网络安全和信息安全,将网络安全和信息化上升为国家战略。
等级保护是我国网络安全保障体系的重要组成部分,旨在确保关键信息基础设施的安全稳定运行。
然而,在实际运行过程中,部分单位由于种种原因,未能达到等级保护的要求。
为解决这一问题,本文提出一套等级保护整改解决方案,以期为相关单位提供参考。
二、等级保护整改的背景及意义1. 背景根据《中华人民共和国网络安全法》和《关键信息基础设施安全保护条例》等法律法规,我国对关键信息基础设施实行动态化、全生命周期的安全管理。
等级保护制度是我国网络安全保障体系的基础,旨在通过分级分类、分阶段实施,确保关键信息基础设施的安全稳定运行。
2. 意义(1)提高关键信息基础设施安全防护能力,保障国家安全和社会稳定;(2)推动网络安全产业健康发展,促进网络安全技术进步;(3)规范网络安全市场秩序,提高网络安全服务水平;(4)提升我国网络安全国际竞争力。
三、等级保护整改的流程1. 自我评估(1)单位应组织专业人员,根据等级保护要求,对信息系统进行全面评估,确定安全等级;(2)评估结果应形成书面报告,并报上级主管部门审核。
2. 制定整改方案(1)根据评估结果,制定详细的整改方案,明确整改目标、时间节点、责任人和所需资源;(2)整改方案应涵盖技术、管理、人员等方面,确保整改措施全面、有效。
3. 实施整改(1)按照整改方案,对信息系统进行整改,包括技术加固、安全管理、人员培训等;(2)整改过程中,应做好记录,确保整改过程可追溯。
4. 验收整改(1)整改完成后,组织专业人员对信息系统进行验收,确保整改效果达到预期目标;(2)验收合格后,将整改情况报上级主管部门备案。
四、等级保护整改解决方案1. 技术层面(1)加强网络安全防护技术:采用防火墙、入侵检测系统、漏洞扫描等网络安全技术,提高信息系统抵御攻击的能力;(2)完善安全防护措施:对信息系统进行安全加固,包括操作系统、数据库、Web 应用等,降低安全风险;(3)加强安全审计:对信息系统进行实时监控,记录操作日志,确保安全事件可追溯;(4)采用安全加密技术:对敏感数据进行加密存储和传输,防止数据泄露。
等级保护主机加固配置内容
运行“gpeit.msc”计算机配置->Windows设置->安全设置>帐户策略->账户锁定策略:
复位帐户锁定计数器->3分钟
帐户锁定间->5分钟
帐户锁定阀值->5次无效登录”
5
禁止开启默认共享及禁用多余的服务
加固方式:
建议禁止开启C、D等默认共享,禁用系统多余服务Alerter、Clipbook
参考操作步骤:
运行“gpedit.msc”在计算机配置->Windows设置->安全设置->本地策略->审核策略,建议至少配置为:
审核帐号登录事件(成功,失败)
审核帐号管理(成功,失败)
审核目录服务访问(没有定义)
审核登录事件(成功,失败)
审核对象访问(成功,失败)
审核策略更改(成功)
审核特权使用(成功,失败)
参考操作步骤:
运行“gpeit.msc”计算机配置->Windows设置->安全设置>帐户策略->密码策略:
密码必须符合复杂性要求->启用
密码长度最小值->8
密码最长使用期限(可选)->180天
密码最短使用期限->1天
强制密码历史->5次
4
主机开启登录失败处理功能
加固方式:
建议开启登录失败处理功能,5次密码验证失败锁定系统5min。
windows加固配置内容
编号
检查点
安全配置信息
结果
1
设置BIOS管理员密码
加固方式:
建议设置BISO开机密码
参考操作步骤:
首先在开机时进入BIOS,按“F12”进入BIOS界面,选择“Security”菜单下的“SetAdministratorPassword”设置开启密码(此密码需满足复杂度要求,8位以上,字母+数字组合);按“F10”保存重启
主机加固方案
主机加固方案简介主机安全是信息安全的重要组成部分,为了增加系统的安全性,必须对主机进行加固。
本文将介绍一些主机加固方案,包括基本的安全配置、访问控制、漏洞修复、日志监控等,以帮助提高主机的安全性。
基本安全配置定期更新操作系统和软件及时更新操作系统和软件是主机安全的基本要求。
厂商经常发布新的安全补丁和更新程序,主要是为了修复已知的漏洞和增强系统的安全性。
主机管理员应该定期检查并安装这些更新,以确保系统始终处于最新的安全状态。
启用防火墙防火墙是主机安全的第一道防线。
通过配置和管理防火墙规则,可以限制网络访问,减少未授权访问和攻击的风险。
管理员应该根据实际需求配置适当的防火墙规则,并定期审查和更新这些规则。
关闭不必要的服务在主机上运行的服务越少,系统的攻击面就越小。
管理员应该检查并关闭不需要的服务,只保留必要的服务运行。
这样可以减少系统中的漏洞,并提高系统的安全性。
加强用户认证和授权使用强密码和多因素认证是确保用户账户安全的重要措施。
管理员应该要求用户使用强密码,并定期更新密码。
同时,应该为每个用户分配适当的权限,避免赋予过高的权限。
访问控制使用访问控制列表(ACL)访问控制列表(ACL)是一种强大的访问控制机制,可以通过定义规则来限制用户或主机的访问。
管理员可以根据需要为每个用户或主机创建相应的ACL,并使用ACL来管理访问权限,以防止未经授权的访问。
定期审计和更新访问策略定期审计访问策略和权限可以帮助管理员检查和更新系统的访问控制配置。
管理员应该定期审查访问权限,撤销不必要的权限,并为新的用户或主机分配正确的权限。
这样可以确保只有授权的用户或主机才能访问系统。
强制使用安全传输协议对于涉及机密信息的系统,应该强制使用安全传输协议(如HTTPS)来加密数据传输,以防止中间人攻击和数据泄露。
漏洞修复定期漏洞扫描漏洞扫描是发现和修复主机漏洞的重要手段。
管理员应该定期对主机进行漏洞扫描,以发现可能存在的漏洞,及时修复和更新系统。
主机加固实施方案
主机加固实施方案一、背景介绍。
随着信息技术的发展,计算机网络已经成为企业信息化的重要基础设施,而主机作为网络的核心节点,承担着重要的数据存储和处理功能。
然而,随之而来的是网络安全问题的日益突出,主机安全问题尤为重要。
因此,制定一套科学合理的主机加固实施方案,对于保障企业信息安全至关重要。
二、主机加固的意义。
1. 提升主机安全性。
通过加固措施,提高主机的防护能力,有效防范黑客攻击、病毒入侵等安全威胁。
2. 保障数据安全。
加固主机可以有效保护重要数据不被窃取、篡改或破坏,确保信息安全。
3. 提高系统稳定性。
加固主机可以排除系统漏洞、减少系统崩溃的可能性,提高系统的稳定性和可靠性。
4. 遵守法律法规。
加固主机可以符合相关法律法规的要求,避免因安全问题而遭受法律责任。
三、主机加固实施方案。
1. 安全策略制定。
制定合理的安全策略,包括访问控制、口令策略、日志审计、安全审计等,明确安全管理的目标和原则,为后续的加固工作提供指导。
2. 操作系统加固。
对主机的操作系统进行加固,包括关闭不必要的服务、安装安全补丁、配置防火墙、加密文件系统等,提高操作系统的安全性。
3. 应用软件加固。
对主机上的应用软件进行加固,包括及时更新软件补丁、限制应用权限、禁止不安全的操作等,防止应用软件成为安全漏洞的源头。
4. 安全监控与应急响应。
建立安全监控系统,对主机的安全事件进行实时监测和分析,及时发现并应对安全威胁,提高安全事件的应急响应能力。
5. 定期安全审计。
定期对主机进行安全审计,发现安全隐患并及时整改,保障主机安全状态的持续稳定。
四、主机加固实施方案的效果评估。
1. 安全性评估。
通过对加固后的主机进行安全性评估,检测系统是否存在漏洞和风险,评估加固效果的可靠性和有效性。
2. 稳定性评估。
对加固后的主机进行稳定性评估,检测系统是否出现异常情况和故障,评估加固效果对系统稳定性的影响。
3. 合规性评估。
评估加固后的主机是否符合相关法律法规的要求,避免因安全问题而遭受法律责任。
主机加固软件实施方案
主机加固软件实施方案一、引言。
随着信息技术的飞速发展,网络安全问题日益突出,主机作为网络环境中的重要组成部分,其安全性显得尤为重要。
为了保障主机系统的安全,我们需要采取一系列的措施,其中主机加固软件的选择和实施方案尤为重要。
本文将就主机加固软件的实施方案进行详细介绍,以期为相关人员提供参考和指导。
二、主机加固软件的选择。
在选择主机加固软件时,我们需要考虑以下几个方面的因素:1. 安全性,主机加固软件本身的安全性至关重要,需要选择由知名安全厂商开发的产品,确保产品本身不会成为安全漏洞的源头。
2. 功能完善,主机加固软件需要具备完善的功能,包括但不限于漏洞扫描、入侵检测、安全防护等功能,以满足主机系统在安全方面的需求。
3. 兼容性,主机加固软件需要与主机系统的硬件和软件环境兼容,确保在实施过程中不会出现不必要的兼容性问题。
4. 易用性,主机加固软件的操作界面需要友好,操作流程需要简单明了,以方便管理员进行操作和管理。
综合考虑以上因素,我们建议选择知名安全厂商开发的主机加固软件,如360安全卫士、腾讯电脑管家等产品。
三、主机加固软件实施方案。
在选择了合适的主机加固软件后,我们需要制定详细的实施方案,以确保主机加固工作的顺利进行。
1. 环境准备,在实施主机加固软件之前,需要对主机系统进行全面的环境准备工作,包括备份重要数据、关闭不必要的服务、升级系统补丁等工作,以确保实施过程中不会对系统造成影响。
2. 软件安装,根据选择的主机加固软件,按照官方指导进行软件的安装和配置工作,确保软件能够正常运行。
3. 安全设置,根据主机加固软件的功能,进行相应的安全设置,包括但不限于漏洞扫描、入侵检测、安全防护等设置,以提高主机系统的安全性。
4. 日常管理,建立主机加固软件的日常管理机制,包括定期进行安全扫描、及时处理安全事件、定期更新软件版本等工作,以确保主机系统的持续安全。
四、总结。
主机加固软件的选择和实施方案对于主机系统的安全至关重要,希望本文介绍的内容能够为相关人员提供一定的指导和参考,确保主机系统的安全运行。
主机加固措施实验
主机加固措施实验一、主机加固的重要性。
1.1 防范风险。
现如今,网络世界就像一个危机四伏的江湖。
主机要是没加固好,那就是给黑客和各种恶意软件开了后门,随时可能被入侵,导致数据泄露、系统瘫痪,这损失可就大了去了,真可谓是“城门失火,殃及池鱼”。
1.2 保障稳定。
就像盖房子要打牢地基一样,主机加固是保障系统稳定运行的关键。
要是主机脆弱不堪,一会儿出个小毛病,一会儿来个大故障,那业务还怎么正常开展?这不是给自己找麻烦嘛!二、常见的主机加固措施。
2.1 系统更新与补丁安装。
系统就像我们穿的衣服,有了破洞就得补。
及时更新系统,安装补丁,把那些可能被利用的漏洞堵上,不给坏人可乘之机。
这就好比“亡羊补牢,为时未晚”。
2.2 访问控制。
要给主机设好“门禁”,不是谁都能随便进来的。
设置严格的用户权限,只给必要的人开“绿灯”,其他人一律拒之门外。
就像家里的保险箱,钥匙可不能乱丢。
2.3 安装杀毒软件和防火墙。
这就像是给主机请了两个“保镖”,杀毒软件专门对付那些偷偷摸摸进来的病毒和恶意软件,防火墙则把那些不怀好意的网络攻击挡在门外。
三、主机加固的实施步骤。
3.1 评估现状。
先得搞清楚主机的情况,就像医生看病得先诊断一样,知道哪儿有问题,才能对症下药。
3.2 制定方案。
根据评估结果,制定出详细的加固方案,这可是个精细活,得考虑周全,不能有疏漏。
3.3 实施加固。
按照方案一步一步来,认真仔细,不能马虎,这可是关系到主机安全的大事。
主机加固可不是一件小事,得重视起来。
做好了主机加固,才能在这个充满风险的网络世界里站稳脚跟,让我们的主机“百毒不侵”,稳稳当当运行。
通用主机加固实施方案
XXXXXXXXX主机加固技术方案批准:审核:初审:编制:二〇一七年三月1一、项目概况操作系统作为计算机系统的基础软件是用来管理计算机资源,它直接利用计算机硬件并为用户提供使用和编程接口。
各种应用软件均建立在操作系统提供的系统软件平台之上,上层的应用软件要想获得运行的高可用性和信息的完整性、机密性,必须依赖于操作系统提供的系统软件基础。
在网络环境中,网络系统的安全性依赖于网络中各系统的安全性,而系统的安全性正是由其操作系统的安全性所决定的,没有安全的操作系统的支持,网络安全也毫无根基可言。
所以,操作系统安全是计算机网络系统安全的基础。
而服务器及其上的业务数据又是被攻击的最终目标。
因此,部署安全产品,加强对关键服务器的安全控制,是增强系统总体安全性的核心一环。
根据《电力监控系统安全防护规定》(国家发展改革委员会[2014年]第14号令),国家电网调[2006]第1167号文及关于贯彻落实电监会《电力二次系统安全防护总体方案》的要求,需在公司网络系统的所有服务器以及远程监控终端上部署主机加固软件。
现存在如下问题:1、当前操作系统访问控制等级为C2级,级别过低。
2、当前windows系统administrator账户、linux unix的root账户权限过高,可进行任意操作。
3、当前操作系统无法对每一个文件、进程针对特定用户进行授权控制。
4、操作系统存在安全隐患,系统固有的漏洞和缺陷容易被病毒、恶意代码、木马、蠕虫等利用。
通过部署主机加固软件,可以解决现在系统中存在的大部分问题。
二、方案概述1.主机加固目标通过安装操作系统加固软件,对系统中相关安全设置项目进行全面扫描,报告不符合要求项目,并进行安全策略设置,提升操作系统的安全等级;保障关键业务进程不被非法终止;对外来非法进入系统的程序进行预警;对非法篡改、移动、删除、系统中的程序行为予以记录报警,防止不良程序的恶意破坏;禁止或记录移动介质上程序的运行并记录违规运行行为,防止恶意程序、病毒程序在移动介质上的自动运行;禁止或审计移动存储设备的使用并记录违规使用行为;建立网络白名单,发现、记录白名单之外的网络访问链接、及时发现非法的网络访问。
主机加固措施
主机加固措施在网络时代,主机安全问题备受关注。
为了保护主机免受恶意攻击和未经授权的访问,实施主机加固措施是至关重要的。
下面将介绍一些有效的主机加固措施,帮助保护主机的安全。
1. 及时更新操作系统和软件:定期安装操作系统和软件的安全补丁是避免安全漏洞的重要步骤。
同时,关闭或删除不必要的服务和应用程序也能减少攻击面。
2. 强化访问控制:设置强密码是保护主机的基本措施。
此外,还应禁止使用默认账户和密码,并启用账户锁定功能,限制登录尝试次数。
3. 配置防火墙:配置和维护防火墙有助于监控和控制主机与外部网络之间的通信。
只允许必要的网络流量通过,阻止潜在的威胁。
4. 启用安全审计:安全审计可以记录主机的活动和事件,帮助检测潜在的安全问题和异常行为。
及时发现并应对安全威胁。
5. 数据加密:对重要的数据进行加密可以有效保护数据的机密性。
使用可靠的加密算法和安全的密钥管理方法,确保数据在传输和存储过程中的安全性。
6. 定期备份数据:定期备份主机上的数据是防止数据丢失的重要措施。
备份数据应存储在安全的地方,并测试恢复过程的有效性。
7. 安全意识培训:加强员工和用户的安全意识培训,教育他们如何识别和应对潜在的安全威胁。
避免点击不明链接和下载可疑附件,不轻易泄露个人信息。
8. 安装安全软件:安装和更新安全软件,如杀毒软件、反间谍软件和入侵检测系统,能够及时发现和阻止恶意软件的攻击。
9. 监控和日志管理:建立监控系统,实时监测主机的运行状态和安全事件。
同时,建立日志管理机制,记录和分析日志,帮助追踪安全事件和恢复操作。
10. 定期安全评估和漏洞扫描:定期进行安全评估和漏洞扫描,检测和修复潜在的安全漏洞,提高主机的安全性。
主机加固是保护主机安全的重要措施。
通过及时更新系统和软件、强化访问控制、配置防火墙、启用安全审计、数据加密、定期备份数据、安全意识培训、安装安全软件、监控和日志管理以及定期安全评估和漏洞扫描,可以有效提高主机的安全性,保护主机免受攻击和未授权访问。
二级等保要求的加固方法
二级等保要求的加固方法二级等保是指根据《中华人民共和国网络安全法》及相关法律法规对重要信息系统的安全保护要求。
下面将介绍几种常见的二级等保要求的加固方法。
1.强化访问控制:加强账号和密码管理,设置复杂度要求,定期更换密码,并逐级进行授权管理,确保只有具备权限的人员能够访问系统。
建立合理的用户权限体系,根据职责和需求,分配不同的权限给不同的用户,及时禁用或删除不再需要的账号。
使用双因素认证等多因素身份验证方法,提高身份验证的安全性。
2.安全审计与监控:部署安全审计系统,记录关键操作、网络流量、事件日志等信息,及时发现和处理异常情况。
实施实时监控,对网络、主机和应用进行全面监测和分析,及时发现攻击行为和威胁活动。
3.数据备份和恢复:定期对重要数据进行备份,并保证备份数据的完整性和可靠性。
采用合适的备份介质,如磁带、光盘等,并将备份数据存储在安全的地点,防止数据泄露或丢失。
测试并验证备份数据的可恢复性,确保在发生灾难或数据损坏时能够及时恢复数据。
4.加密技术的使用:使用加密技术对重要数据进行加密存储和传输,确保数据的机密性和完整性。
部署合适的加密算法和密钥管理系统,保护加密数据的安全。
使用安全通信协议,如HTTPS、SSH等,加密网络传输过程中的数据。
5.强化系统安全配置:及时更新操作系统和应用程序补丁,修复已知的漏洞。
配置防火墙,限制入站和出站的网络连接,禁止不必要的网络服务和端口。
部署安全防护设备,如入侵检测与防御系统(IDS/IPS)、防病毒软件、反垃圾邮件系统等。
6.应急响应与预防:制定并实施应急响应计划,明确责任和流程,及时应对和处置安全事件。
定期进行安全演练和渗透测试,评估系统的安全性并及时修复存在的漏洞。
建立安全意识培训机制,提高员工的安全意识和防范能力。
除了上述方法,还有许多其他加固措施可用于满足二级等保要求。
每个组织应根据自身的情况和实际需求综合考虑,制定合理的安全措施。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
h主机安全
一、身份鉴别(S3)
本项要求包括:
a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别;设置登陆密码
b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
依次展开[开始]->([控制面板] ->)[管理工具]->[本地安全策略]->[账户策略]->[密码策略],查看以下项的情况:1)复杂性要求-启用、2)长度最小值-大于8、3)最长存留期-不为0、4)最短存留期-不为0、5)强制密码历史-大于3。
c) 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
依次展开[开始]->([控制面板] ->)[管理工具]->[本地安全策略]->[账户策略]->[账户锁定策略];
d) 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;如果是本地管理或KVM等硬件管理方式,此要求默认满足;
如果采用远程管理,则需采用带加密管理的远程管理方式,如启用了加密功能的3389(RDP 客户端使用ssl加密)远程管理桌面或修改远程登录端口。
e) 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
Windows Server 2003默认不存在相同用户名的用户,但应防止多人使用同一个账号。
(访谈时无多人共用一个账号)
f) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
动态口令、数字证书、生物信息识别等
二、访问控制(S3)
本项要求包括:
a) 应启用访问控制功能,依据安全策略控制用户对资源的访问;
制定用户权限表,管理员账号仅由系统管理员登陆删除默认共享?
b) 应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;
系统管理员、安全管理员、安全审计员由不同的人员和用户担当
c) 应实现操作系统和数据库系统特权用户的权限分离;
应保证操作系统管理员和审计员不为同一个账号,且不为同一个人访谈时候注意
d) 应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;重命名系统默认账户,禁用guest、SUPPORT_388945a0这些用户名
e) 应及时删除多余的、过期的帐户,避免共享帐户的存在。
清理已离职员工的账户确保木有多余账号,确保木有多人共享账号
f) 应对重要信息资源设置敏感标记;
Server2003无法做到
g) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;
Server2003无法做到
三、安全审计(G3)
本项要求包括:
a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;
b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;
依次展开[开始]->([控制面板] ->) [管理工具]->[本地安全策略]->[本地策略]->[审核策略];全部开启
c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;
Server2003默认满足
d) 应能够根据记录数据进行分析,并生成审计报表;
第三方工具
e) 应保护审计进程,避免受到未预期的中断;
Server2003默认满足
f) 应保护审计记录,避免受到未预期的删除、修改或覆盖等。
第三方工具
四、剩余信息保护(S3)
本项要求包括:
a)应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其
他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;
依次展开[开始]->([控制面板] ->) [管理工具]->[本地安全策略]->[本地策略]->[安全选项] ->[交互式登陆:不显示上次的登录名] 启用
b) 应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。
c) 依次展开[开始]->([控制面板] ->) [管理工具]->[本地安全策略]->[本地策略]->[安全选项] ->[关机:清理虚拟内存页面文件] 启用
依次展开[开始]->([控制面板] ->)[管理工具]->[本地安全策略]->[账户策略]->[密码策略] 用可还原的加密来存储密码启用
五、入侵防范(G3)
本项要求包括:
a)应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击
的目的、攻击的时间,并在发生严重入侵事件时提供报警;
第三方IDS
b) 应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施;是否使用一些文件完整性检查工具,对重要文件的完整性进行检查,是否对重要的配置文件进行备份
检查产品的测试报告、用户手册或管理手册,确认其是否具有相关功能;或由第三方工具提供了相应功能。
如果测试报告、用户手册或管理手册中没有相关描述,且没有提供第三方工具增强该功能,则该项要求为不符合。
b)操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服
务器等方式保持系统补丁及时得到更新。
系统服务和补丁升级两方面
1、不必要的服务关闭,查看已经启动的或者是手动的服务,一些不必要的服务如Alerter、
Remote Registry Service、Messenger、Task Scheduler是否已启动;
2、不必要的端口关闭如145,443()
3、“共享名”列为空,无C$、D$、IPC$等默认共享,
HKEY_LOCAL_MACHINE\SYSTEM\currentControlSet\Control\Lsa\restrictanonymous值不为“0”;
4、系统补丁先测试,再升级;补丁号为较新版本。
“开始”→“运行”输入“regedit”确定后,打开注册表编辑器,找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”项,双击右侧窗口中的“AutoShareServer”项将键值由1改为0,这样就能关闭硬盘各分区的共享。
然后还是在这一窗口下再找到“AutoShareWks”项,也把键值由1改为0,关闭admin$共享。
如果没有AutoShareServer项和AutoShareWks项,可自己新建"AutoShareServer"=dword:00000000和"AutoShareWks"=dword:00000000。
创建键值的方式如下:i.通过regedit
进入注册表,选到对应的项
ii.在窗口右侧空白处,右键选新建,选择DWORD值iii cmd
net share c$ /delete net share D$ /delete
iii.将新建的值命名为AutoShareServer或AutoShareWks,并双击它设置值为0
最后到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”项处找到“restrictanonymous”,将键值设为1,关闭IPC$共享。
注意:本法必须重启机器,但一经改动就会永远停止共享。
2)停止服务法: 在“计算机管理”窗口中,单击展开左侧的“服务和应用程序”并选中其中的“服务”,此时右侧就列出了所有服务项目。
共享服务对应的名称是“Server”(在进程中的名称为services),找到后双击它,在弹出的“常规”标签中把“启动类型”由原来的“自动”更改为“已禁用”。
然后单击下面“服务状态”的“停止”按钮,再确认一下就OK了。
六、恶意代码防范(G3)
本项要求包括:
a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;
安装防病毒软件,且版本最新
b)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;
访谈系统管理员网络防病毒软件和主机防病毒软件分别采用什么病毒库。
网神和赛门铁克()
c)应支持防恶意代码的统一管理。
防恶意代码统一管理,统一升级
七、资源控制(A3)
本项要求包括:
a) 应通过设定终端接入方式、网络地址范围等条件限制终端登录;
1、可通过主机防火墙或者TCP/IP筛选功能实现
2、可通过网络设备和硬件防火墙实现
b) 应根据安全策略设置登录终端的操作超时锁定;
设置屏保10分钟以内()
d)应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使
用情况;
第三方工具监控,并设置报警阈值()
e)应限制单个用户对系统资源的最大或最小使用限度;
不适用() e) 应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。
有第三方主机监控程序,且其提供主动的声、光、电、短信、邮件等形式的一种或多种报警方式。
()
八、备份与恢复
双机热备、冷备或集群等方式。