IT主流设备安全基线技术规范
1范围
本规范适用于中国XX电网有限责任公司及所属单位管理信息大区所有信息系统相关主流支撑平台设备。
2规范性引用文件
下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本规范。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本规范。
——中华人民共和国计算机信息系统安全保护条例
——中华人民共和国国家安全法
——中华人民共和国保守国家秘密法
——计算机信息系统国际联网保密管理规定
——中华人民共和国计算机信息网络国际联网管理暂行规定
——ISO27001标准/ISO27002指南
——公通字[2007]43号信息安全等级保护管理办法
——GB/T 21028-2007 信息安全技术服务器安全技术要求
——GB/T 20269-2006 信息安全技术信息系统安全管理要求
——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求
——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南
3术语和定义
安全基线:指针对IT设备的安全特性,选择合适的安全控制措施,定义不同IT设备的最低安全配置要求,则该最低安全配置要求就称为安全基线。
管理信息大区:发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统,原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各企业不同安全要求划分安全区。根据应用系统
实际情况,在满足总体安全要求的前提下,可以简化安全区的设置,但是应当避免通过广域网形成不同安全区的纵向交叉连接。4总则
4.1指导思想
围绕公司打造经营型、服务型、一体化、现代化的国内领先、国际著名企业的战略总体目标,为切实践行南网方略,保障信息化建设,提高信息安全防护能力,通过规范IT主流设备安全基线,建立公司管理信息大区IT主流设备安全防护的最低标准,实现公司IT主流设备整体防护的技术措施标准化、规范化、指标化。
4.2目标
管理信息大区内IT主流设备安全配置所应达到的安全基线规范,主要包括针对AIX系统、Windows系统、Linux系统、HP UNIX 系统、Oracle数据库系统、MS SQL数据库系统,WEB Logic中间件、Apache HTTP Server中间件、Tomcat中间件、IIS中间件、Cisco路由器/交换机、华为网络设备、Cisco防火墙、Juniper 防火墙和Nokia防火墙等的安全基线设置规范。通过该规范的实
施,提升管理信息大区内的信息安全防护能力。
5安全基线技术要求
5.1操作系统
5.1.1AIX系统安全基线技术要求
5.1.1.1设备管理
应通过配置系统安全管理工具,预防远程访问服务攻击或非授权访问,提高主机系统远程管理安全。
5.1.1.2用户账号与口令安全
应通过配置用户账号与口令安全策略,提高主机系统账户与口令安全。
5.1.1.3日志与审计
应对系统的日志进行安全控制与管理,保护日志的安全与有效性。
机械设备安全管理规定(正式版)
机械设备安全管理规定 Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制:___________________ 日期:___________________
机械设备安全管理规定 温馨提示:该文件为本公司员工进行生产和各项管理工作共同的技术依据,通过对具体的工作环节进行规范、约束,以确保生产、管理活动的正常、有序、优质进行。 本文档可根据实际情况进行修改和使用。 第一章总则 第一条(目的) 为了加强机械设备的管理, 确保机械设备的完好及施工安全, 特制定本规定。 第二条(适用范围) 适用于公司各施工现场。 第二章管理职责 第三条公司安全部 (一)负责本规定的编制、修订、管理和解释。 (二)负责对本规定的实施和监督检查。 第四条工程部 负责本公司所有机械的管理。 第三章机操人员规定 第五条特种作业人员(起重机械、起吊指挥、挂钩作业人员、电梯驾驶等)必须按国家和市劳动局的要求培训和考试, 取得市经委劳动监察部门颁发
的“特种作业人员安全操作证”后, 方可上岗操作, 分公司的特种作业人员要取得当地的资格证书, 并按国家规定的要求和期限进行复审。 第六条实习机操人员, 必须持有实习证, 在师傅的指导下, 才能操作机械设备。 第七条在非生产时间内, 未经主管部门批准, 任何人不得私自动用设备。 第八条机管和操作人员队伍应相对稳定。 第四章机械管理 第九条新购或改装的机械设备应由公司鉴定验收, 方可投入运行。 第十_大修理的设备, 应经主管部门验收发给使用证后方可使用。 第十_大型设备)须有专业资格证书的拆装队伍拆装。应编制拆装方案, 经公司审核后, 方可进行作业。 第十_大型设备的基础隐蔽必须组织专人进行验收, 并应有项目部工 程师和监理方验收、审批。 施工现场安全生产规定 第一章安全生产六大纪律 第一条进入工地必须戴好安全帽。
Linux安全配置基线.doc
中国移动集团管理信息系统部安全加固项目 Linux系统安全配置基线 中国移动集团公司第1页共15页 备注:中国移动集团管理信息系统部安全加固项目 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
中国移动集团公司第2页共15页版本版本控制信息更新日期更新人审批人V1.0创建2009年1月
中国移动集团管理信息系统部安全加固项目 目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 1.4实施 (1) 1.5例外条款 (1) 第2章账号管理、认证授权 (2) 2.1账号 (2) 2.1.1用户口令设置 (2) 2.1.2root用户远程登录限制 (2) 2.1.3检查是否存在除root之外UID为0的用户 (3) 2.1.4root用户环境变量的安全性 (3) 2.2认证 (4) 2.2.1远程连接的安全性配置 (4) 2.2.2用户的umask安全配置 (4) 2.2.3重要目录和文件的权限设置 (4) 2.2.4查找未授权的SUID/SGID文件 (5) 2.2.5检查任何人都有写权限的目录 (6) 2.2.6查找任何人都有写权限的文件 (6) 2.2.7检查没有属主的文件 (7) 2.2.8检查异常隐含文件 (7) 第3章日志审计 (9) 3.1日志 (9) 3.1.1syslog登录事件记录 (9) 3.2审计 (9) 3.2.1Syslog.conf的配置审核 (9) 第4章系统文件 (11) 4.1系统状态 (11) 4.1.1系统core dump状态 (11) 第5章评审与修订 (12)
起重机械安全技术标准
起重机械安全技术及检查标准 一、起重机械的工作特点 1、起重机械通常具有庞大的结构和比较复杂的机构,能够完成一个起升运动、一个或几个水平运动。作业过程中,通常是几个不同方向的运动同时操作,技术难度较大。 2、所吊运的重物多种多样,载荷是变化的,使吊运过程复杂而危险。 3、大多数起重机械需要在较大的范围内运行,活动空间较大,一旦造成事故影响的面积也较大。 4、有些起重机械需要直接载运人员做升降运动(如电梯、升降台等),其可靠性直接影响人身安全。 5、暴露的、活动的零部件较多,且常与吊运作业人员直接接触(如吊钩、钢丝绳等),潜在许多偶发的危险因素。 6、作业环境复杂,对设备和作业人员形成威胁。 7、作业过程中常常需要多人配合,共同进行一个操作,多个作业人员之间的密切配合存在较大的难度。 这些特点的存在,决定了起重伤害事故较多。根据有关资料统计,我国每年其中伤害事故的因工死亡人数,占全部工业气压因工死亡人数的15%左右。为了保证起重机械的安全运行,因此将它列为特种设备加以特殊管理,这也是我们安全工作的一个重点。 二、起重机械分类 根据起重机械的功能和构造特点,可分为三类: 1、轻小型起重设备。如千斤顶、滑车、起重葫芦、卷扬机等。 2、起重机。我厂使用的起重机主要有双梁桥式起重机(天车)、单主梁桥式起重机、
电动葫芦桥式起重机、双梁门式起重机、单主梁门式起重机、汽车起重机等。 3、升降机。如电梯、施工升降机等。 三、起重机械的参数: 起重机械常用的参数有: 1、起重量(G)。 是指被起升重物的质量。一般可分为额定起重量、最大起重量、总起重量、有效起重量等。通常情况下所讲的起重量,都是至额定起重量(起重机能吊起的重物或物料连同可分吊具或属具[如抓斗、电磁吸盘等]质量的总和)。为了能表示几个幅度范围的起重量,有时用分数形式来表示,如15/5即表示额定起重量根据不同幅度分为15吨、5吨两种。 2、跨度(S): 桥架型起重机运行轨道轴线之间的水平距离称为跨度,用字母S表示。 3、轨距(K)轨距也称轮距,对于桥式起重机小车来说,为小车轨道中心线之间的距离。 4、基距(B)基距也称轴距,使之沿纵向运动方向的起重机或小车支撑中心线之间的距离。 5、幅度(L)。主要是指臂架起重机。 6、起重力矩(M)。主要指臂架起重机。 7、起重倾覆力矩(M A)。 8、轮压(P)。是指一个车轮传递到轨道或地面上的最大垂直载荷。按工况不同,分为和非工作轮压。 9、起升高度H和下降深度h
设备机械技术规范
自动化设备机械技术规范(试行) 为了在今后设备前期管理过程中,加强非标设备的质量控制工作,改善设备初期状态,确保设备在生产服役过程中有良好的开动率,特制定本规范。希望参与前期管理的技术人员参照执行,使技术要求更全面、准确、严密。 一、技术要求 (一)、结构要求 1.机械机构设计需符合人机工程学,方便人员操作与维修; 2.机械结构设计需经过计算,达到正常使用的强度要求,并在安全余量之内; 3.机械结构设计需根据我方具体要求,对关键点进行FEMA分析和验证; 4.机械结构总体设计需考虑经济、环保、安全的原则。 (二)、材料要求 1.结构件、面板类钢材要求Q235,传动件、一般零部件材料要求45#、需热处理部件材料要求20-40Cr或指定其他材料,各类型材必须是国标型材,特殊要求根据设备设计需求具体提出来; 2.所有材料必需有相应的合格证或符合质量要求的检验证书; 3.对于特殊部件的材料,需同时提供检测报告,报告内容主要涉及:成分、力学性能、物理性能等。 (三)、钢构表面要求 1.钢结构件表面需经喷砂处理,除锈等级Sa2.5;若手工进行表面处理,需介于St2与St3之间。 2.喷砂后需喷涂底漆为红丹防锈漆一遍,面漆为醇酸调和漆两遍,总干膜厚度为125μm;附着力达到ISO等级1级或ASTM等级4B级; 3.结构件表面不能有明显的变形、划伤、撞伤、凹槽、凸现、缺失、分层等缺陷。(四)、焊接要求 1.所有焊接都需有相应的焊接规范和标准,并进行焊接工艺验证;
2.现场焊接时,需满足焊接规范的要求; 3.焊缝表面不能有裂纹、气孔、夹渣、未熔合、未焊透、虚焊、形状缺陷及上述以外的其他缺陷; 4.主梁受拉区的翼缘板、腹板的对接焊缝应进行无损探伤,超声波探伤不低于11345中的I级,并提供报告的复印件。 (五)、传动要求 1.传动设计需考虑传动效率最优化; 2.传动机构要求简单合理,以最少的环节实现功能; 3.传动设计需考虑现场噪音控制,尽一切可能降低噪音的产生; 4.变速箱(SIEMENS或SEW)、电机(SIEMENS或SEW变频电机)、轴承(SKF或NSK)等部件要求指定厂家或品牌; 5.变频电机采用的范围:风机、需调速的传动机构、需要和传动机构配合的传动系统。 (六)、液压系统 1.液压系统应确保其安全性、系统的连续运行能力、可维护性和经济性,并能保证系统的使用寿命延长; 2.系统的所有部件应在设计上或以其他保护措施,防止压力超过系统或系统任何部分的最高工作压力及各具体元件的额定压力; 3.系统的设计、制造和调整,应使冲击压力和增压压力减至最低。冲击压力和增压压力不应引起危险; 4.应考虑由于阻塞、压降或泄漏等原因影响元件安全工作的后果; 5.无论是预期的还是意外的机械运动(包括加速、减速或物体的提升/夹持),都不应造成对人员有危险的状态; 6.系统设计需尽可能减少管路、管接头; 7.液压系统需实现防尘、防爆功能; 8.所有执行元件、管接头、阀门等部件需易于接近,且方便操作;
Microsoft SQL Server安全配置基线
Microsoft SQL Server数据库系 统安全配置基线 中国移动通信公司管理信息系统部 2012年 4月
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (4) 1.1适用范围 (4) 1.2适用版本 (4) 1.3实施 (4) 1.4例外条款 (4) 第2章帐号与口令 (5) 2.1口令安全 (5) 2.1.1删除不必要的帐号* (5) 2.1.2SQLServer用户口令安全 (5) 2.1.3根据用户分配帐号避免帐号共享* (6) 2.1.4分配数据库用户所需的最小权限* (6) 2.1.5网络访问限制* (7) 第3章日志 (8) 3.1日志审计 (8) 3.1.1SQLServer登录审计* (8) 3.1.2SQLServer安全事件审计* (8) 第4章其他 (10) 4.1安全策略 (10) 4.1.1通讯协议安全策略* (10) 4.2更新补丁 (10) 4.2.1补丁要求* (10) 4.3存储保护 (11) 4.3.1停用不必要存储过程* (11) 第5章评审与修订 (13)
第1章概述 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的SQL Server 数据库应当遵循的数据库安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行SQL Server 数据库的安全合规性检查和配置。 1.1 适用范围 本配置标准的使用者包括:数据库管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的SQL Server数据库系统。 1.2 适用版本 SQL Server系列数据库。 1.3 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。 本标准发布之日起生效。 1.4 例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
TongWeb 服务器安全配置基线
TongWeb服务器安全配置基线 页脚内容1
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。 页脚内容2
目录 第1章...................................................................................................... 概述0 1.1 .............................................................................................................. 目的 1.2 ..................................................................................................... 适用范围 1.3 ..................................................................................................... 适用版本 1.4 ............................................................................................................. 实施 1.5 ..................................................................................................... 例外条款 第2章 ........................................................................... 账号管理、认证授权0 2.1 ............................................................................................................. 帐号 2.1.1 ....................................................................................... 应用帐号分配 2.1.2 ....................................................................................... 用户口令设置 页脚内容
现场设备安装安全技术规范(新版)
( 安全管理 ) 单位:_________________________ 姓名:_________________________ 日期:_________________________ 精品文档 / Word文档 / 文字可改 现场设备安装安全技术规范(新 版) Safety management is an important part of production management. Safety and production are in the implementation process
现场设备安装安全技术规范(新版) 1为了指导机械设备安装工程的施工及验收,确保质量和安全,制定本规范。 2施工准备 2.1施工条件 2.1.1工程施工前,应具备设计和设备的技术文件;对大中型和复杂的安装工程尚应编制施工组织设计和施工方案。 2.1.2工程施工前,对临时建筑、运输道路、水源、电源、蒸汽、压缩空气、照明、消防设施、主要材料和机具及劳动力等,应有充分准备,并合理安排。 2.1.3工程施工前,其厂房屋面、外墙、门窗和内部粉刷等工程基本完工,当必须配合施工时,有关基础地坪、沟道等工程应基本完工,其混凝土强度不应低于设计强度的75%;安装施工地点及附近的建筑材料、泥土、杂物等,应清除干净。
2.1.4利用建筑结构作为起吊、搬运设备的承力点时,应对结构的承载能力进行核算;必要时应经设计单位的同意,方可利用。 2.2开箱检验和保管 2.2.1设备开箱应在建设单位有关人员参加下,按下列项目进行检查,并应作出记录: 2.2.1.1箱号、箱数以及包装情况; 2.2.1.2设备的名称、型号和规格; 2.2.1.3装箱清单、设备技术文件、资料及专用工具; 2.2.1.4设备有无缺损件,表面有无损坏和锈蚀等; 2.2.1.5其他需要记录的情况。 2.2.2设备及其零、部件和专用工具,均应妥善保管,不得使气变形、损坏、锈蚀、错乱或丢失。 2.3设备基础 2.3.1设备基础的位置、几何尺寸和质量要求,应符合国家标准《钢筋混凝土工程施工及验收规范》的规定,并应有验收资料或记录。设备安装前应对设备基础位置和基础尺寸进行复检。
(完整版)Linux安全配置基线
Linux系统安全配置基线 中国移动通信有限公司管理信息系统部 2009年3月
版本版本控制信息更新日期更新人审批人V1.0创建2009年1月 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 1.4实施 (1) 1.5例外条款 (1) 第2章账号管理、认证授权 (2) 2.1账号 (2) 2.1.1用户口令设置 (2) 2.1.2root用户远程登录限制 (2) 2.1.3检查是否存在除root之外UID为0的用户 (3) 2.1.4root用户环境变量的安全性 (3) 2.2认证 (4) 2.2.1远程连接的安全性配置 (4) 2.2.2用户的umask安全配置 (4) 2.2.3重要目录和文件的权限设置 (4) 2.2.4查找未授权的SUID/SGID文件 (5) 2.2.5检查任何人都有写权限的目录 (6) 2.2.6查找任何人都有写权限的文件 (6) 2.2.7检查没有属主的文件 (7) 2.2.8检查异常隐含文件 (7) 第3章日志审计 (9) 3.1日志 (9) 3.1.1syslog登录事件记录 (9) 3.2审计 (9) 3.2.1Syslog.conf的配置审核 (9) 第4章系统文件 (11) 4.1系统状态 (11) 4.1.1系统core dump状态 (11) 第5章评审与修订 (12)
第1章概述 1.1目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的LINUX操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行LINUX操作系统的安全合规性检查和配置。 1.2适用范围 本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的LINUX 服务器系统。 1.3适用版本 LINUX系列服务器; 1.4实施 本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。 本标准发布之日起生效。 1.5例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
各类操作系统安全基线配置
各类操作系统安全配 置要求及操作指南 检查模块支持系统版本号 Windows Windows 2000 以上 Solaris Solaris 8 以上 AIX AIX 5.X以上 HP-UNIX HP-UNIX 11i以上 Linux 内核版本2.6以上 Oracle Oracle 8i以上 SQL Server Microsoft SQL Server 2000 以上 MySQL MySQL 5.x以上 IIS IIS 5.x以上 Apache Apache 2.x 以上 Tomcat Tomcat 5.x以上 WebLogic WebLogic 8.X以上
Windows操作系统 安全配置要求及操作指南 I 目录 目录..................................................................... I 前言.................................................................... II 1 范围 (1) 2 规范性引用文件 (1) 3 缩略语 (1) 4 安全配置要求 (2) 4.1 账号 (2) 4.2 口令 (3) 4.3 授权 (5) 4.4 补丁 (7) 4.5 防护软件 (8) 4.6 防病毒软件 (8) 4.7 日志安全要求 (9) 4.8 不必要的服务 (11) 4.9 启动项 (12) 4.10 关闭自动播放功能 (13) 4.11 共享文件夹 (13) 4.12 使用NTFS 文件系统 (14) 4.13 网络访问 (15) 4.14 会话超时设置 (16)
各工种和机械设备安全技术操作规程
各工种和机械设备安全技术操作规程
目录 1、电工安全技术操作规程 2、安装工、普通工安全技术操作规程 3、电焊工安全技术操作规程 4、油漆工安全技术操作规程 5、起重工安全技术操作规程 1、电工安全技术操作规程 一、所有绝缘检验工具应妥善保管,定期检查、核验,严禁他
用。 二、线路上禁止带负荷接电或断电,并禁止带电操作。 三、有人触电,应立即切断电源,进行急救;电器失火,应立即将有关电源切断,使用泡沫灭火器或干粉灭火器。 四、电气设备的金属外壳,必须接地接零。 五、电气设备所用保险丝的额定电流应与其负荷容量相适应,禁止其它金属丝代替保险丝。 六、施工现场夜间临时照明线及灯具,高度应不低于2.5m。 七、动力线与照明线要分开架设。 八、机电电闸应为一机一闸。 2、电焊工安全技术操作规程 一、电焊机必须接地接零良好,其电源的装拆应由电工进行。 二、电焊机要设单独开关,开关应放在防雨的电闸箱内,拉合时应倒向操作。 三、雷雨天,应停止露天焊接。 四、氧气瓶、氧气表及焊接工具上,严禁沾染油脂。 五、氧气瓶应由防震圈,旋紧安全帽,避免碰撞或剧烈震动,并防止暴晒。 六、点火时,割枪口不准对人;发现回火,应立即关闭开关。 七、操作工在电焊作业时,应穿绝缘鞋、戴绝缘手套及戴防护
眼镜。 八、氧气瓶、氧气表、乙炔发生器,严禁用井架向上吊装。 3、油漆玻璃工安全技术操作规程 一、各种油漆和其它易燃、有毒材料,应存放在专用库房内,不得与其它材料混放,挥发性油料应装入密闭容器内,妥善保管。沾染油漆的棉纱、破布、油纸等废物,应收集存放在有盖的金属容器内,及时处理。 二、库房应通风良好,不准住人,并设置消防器材和“严禁烟火”明显标志。 三、使用煤油、汽油、松香水、丙酮等调配油料,应戴好防护用品。 四、刷外开窗油漆时,必须将安全带挂在牢固的地方。刷封檐板,水落管等应搭设脚手架或吊架,漆桶必须放置平稳,防止高出坠落伤人。 五、裁割玻璃,应在指定场所进行,裁下的边角料集中堆放,及时处理。搬运玻璃应戴手套。 六、在高处安装玻璃应将玻璃放置平稳,垂直下方禁止通行。 七、安装外开窗玻璃和上玻璃油灰时,应系好安全带,禁止酒后上岗操作。 4、起重工安全技术操作规程
Microsoft Windows安全配置基线
Windows 系统安全配置基线 中国移动通信有限公司管理信息系统部 2012年 04月
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (5) 1.1目的 (5) 1.2适用范围 (5) 1.3适用版本 (5) 1.4实施 (5) 1.5例外条款 (5) 第2章帐户管理、认证授权 (6) 2.1帐户 (6) 2.1.1 管理缺省帐户 (6) 2.1.2 按照用户分配帐户* (6) 2.1.3 删除与设备无关帐户* (7) 2.2口令 (7) 2.2.1密码复杂度 (7) 2.2.2密码最长留存期 (8) 2.2.3帐户锁定策略 (8) 2.3授权 (8) 2.3.1远程关机 (8) 2.3.2本地关机 (9) 2.3.3用户权利指派* (9) 2.3.4授权帐户登陆* (10) 2.3.5授权帐户从网络访问* (10) 第3章日志配置操作 (11) 3.1日志配置 (11) 3.1.1审核登录 (11) 3.1.2审核策略更改 (11) 3.1.3审核对象访问 (11) 3.1.4审核事件目录服务器访问 (12) 3.1.5审核特权使用 (12) 3.1.6审核系统事件 (13) 3.1.7审核帐户管理 (13) 3.1.8审核过程追踪 (13) 3.1.9日志文件大小 (14) 第4章IP协议安全配置 (15) 4.1IP协议 (15) 4.1.1启用SYN攻击保护 (15) 第5章设备其他配置操作 (17) 5.1共享文件夹及访问权限 (17) 5.1.1关闭默认共享 (17)
5.1.2共享文件夹授权访问* (17) 5.2防病毒管理 (18) 5.2.1数据执行保护 (18) 5.3W INDOWS服务 (18) 5.3.1 SNMP服务管理 (18) 5.3.2系统必须服务列表管理* (19) 5.3.3系统启动项列表管理* (19) 5.3.4远程控制服务安全* (19) 5.3.5 IIS安全补丁管理* (20) 5.3.6活动目录时间同步管理* (20) 5.4启动项 (21) 5.4.1关闭Windows自动播放功能 (21) 5.5屏幕保护 (21) 5.5.1设置屏幕保护密码和开启时间* (21) 5.6远程登录控制 (22) 5.6.1限制远程登陆空闲断开时间 (22) 5.7补丁管理 (23) 5.7.1操作系统补丁管理* (23) 5.7.2操作系统最新补丁管理* (23) 第6章评审与修订 (24)
TongWeb服务器安全配置基线
TongWeb服务器安全配置基线 TongWeb服务器 安全配置基线 中国移动通信有限公司管理信息系统部 2012年 04月
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 1.4实施 (1) 1.5例外条款 (1) 第2章账号管理、认证授权 (2) 2.1帐号 (2) 2.1.1应用帐号分配 (2) 2.1.2用户口令设置 (3) 2.1.3用户帐号删除 (3) 2.2认证授权 (4) 2.2.1控制台安全 (4) 第3章日志配置操作 (7) 3.1日志配置 (7) 3.1.1日志与记录 (7) 第4章备份容错 (9) 4.1备份容错 (9) 第5章IP协议安全配置 (10) 5.1IP通信安全协议 (10) 第6章设备其他配置操作 (12) 6.1安全管理 (12) 6.1.1禁止应用程序可显 (12) 6.1.2端口设置* (13) 6.1.3错误页面处理 (14) 第7章评审与修订 (16)
第1章概述 1.1 目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的TongWeb服务器应当遵循的安全性设置标准,本文档旨在指导系统管理人员进行TongWeb服务器的安全配置。 1.2 适用范围 本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的TongWeb 服务器系统。 1.3 适用版本 5.x版本的TongWeb服务器。 1.4 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。 本标准发布之日起生效。 1.5 例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
Sybase数据库安全配置基线
Sybase数据库安全配置基线 中国移动通信有限公司管理信息系统部 2012年 04月
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (4) 1.1目的 (4) 1.2适用范围 (4) 1.3适用版本 (4) 1.4实施 (4) 1.5例外条款 (4) 第2章帐号管理、认证授权安全要求 (5) 2.1帐号管理 (5) 2.2口令 (5) 2.2.1修改sa默认密码 (5) 2.2.2修改dba默认密码 (5) 2.2.3修改mon_user默认密码 (6) 2.2.4修改jagadmin默认密码 (6) 2.2.5修改entldbdbo默认密码 (7) 2.2.6修改PIAdmin默认密码 (7) 2.2.7修改PortalAdmin默认密码 (8) 2.2.8修改pkiuser默认密码 (8) 2.2.9修改pso默认密码 (9) 2.2.10密码复杂度 (10) 2.2.11最大错误登录次数* (10) 第3章其他安全要求 (12) 3.1其他安全配置 (12) 3.1.1补丁版本* (12) 3.1.2系统通用配置* (12) 第4章评审与修订 (15)
第1章概述 1.1 目的 本文档规定了中国移动管理信息系统部所维护管理的Sybase数据库应当遵循的设备安全性设置标准,本文档旨在指导系统管理人员进行Sybase数据库的安全配置。 1.2 适用范围 本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。 本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的Sybase 数据库。 1.3 适用版本 Sybase数据库。 1.4 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。 本标准发布之日起生效。 1.5 例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
交换机设备安全基线
H3C设备安全配置基线 目录 第1章概述 ................................................................................................................................ 1.1目的.................................................................................................................................... 1.2适用范围............................................................................................................................ 1.3适用版本............................................................................................................................ 第2章帐号管理、认证授权安全要求 .................................................................................... 2.1帐号管理............................................................................................................................ 2.1.1用户帐号分配* .......................................................................................................... 2.1.2删除无关的帐号* ...................................................................................................... 2.2口令.................................................................................................................................... 2.2.1静态口令以密文形式存放 ........................................................................................ 2.2.2帐号、口令和授权 .................................................................................................... 2.2.3密码复杂度 ................................................................................................................ 2.3授权.................................................................................................................................... 2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 ........................................... 第3章日志安全要求 ................................................................................................................ 3.1日志安全............................................................................................................................ 3.1.1启用信息中心 ............................................................................................................ 3.1.2开启NTP服务保证记录的时间的准确性................................................................ 3.1.3远程日志功能* .......................................................................................................... 第4章IP协议安全要求 ............................................................................................................ 4.1IP协议 ............................................................................................................................... 4.1.1VRRP认证................................................................................................................... 4.1.2系统远程服务只允许特定地址访问 ........................................................................
华为交换机安全基线
华为设备安全配置基线目录
概述 目的 规范配置华为路由器、交换机设备,保证设备基本安全。 适用范围 本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。 适用版本 华为交换机、路由器。
帐号管理、认证授权安全要求 帐号管理 1.1.1用户帐号分配* 1、安全基线名称:用户帐号分配安全 2、安全基线编号:SBL-HUAWEI-02-01-01 3、安全基线说明:应按照用户分配帐号,避免不同用户间共享帐号,避免用户帐号和设备间通信使用的帐号共享。 4、参考配置操作: [Huawei]aaa [Huawei-aaa]local-user admin password cipher admin123 [Huawei-aaa]local-user admin privilege level 15 [Huawei-aaa]local-user admin service-type ssh [Huawei-aaa]local-user user password cipher user123 [Huawei-aaa]local-user user privilege level 4 [Huawei-aaa]local-user user service-type ssh 5、安全判定条件: (1)配置文件中,存在不同的账号分配 (2)网络管理员确认用户与账号分配关系明确 6、检测操作: 使用命令dis cur命令查看: … # aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password cipher "=LP!6$^-IYNZPO3JBXBHA!! local-user admin privilege level 15 local-user admin service-type ssh local-user user password cipher "=LP!6$^-IYNZP local-user user privilege level 4 local-user user service-type ssh # 对比命令显示结果与运维人员名单,如果运维人员之间不存在共享账号,表明符合安全要求。 1.1.2删除无关的帐号* 1、安全基线名称:删除无关的账号 2、安全基线编号:SBL-HUAWEI-02-01-02 3、安全基线说明:应删除与设备运行、维护等工作无关的账号。 4、参考配置操作:
现场设备安装安全技术规范
现场设备安装安全技术规范 1为了指导机械设备安装工程的施工及验收,确保质量和安全,制定本规范。 2施工准备 2.1施工条件 2.1.1工程施工前,应具备设计和设备的技术文件;对大中型和复杂的安装工程尚应编制施工组织设计和施工方案。 2.1.2工程施工前,对临时建筑、运输道路、水源、电源、蒸汽、压缩空气、照明、消防设施、主要材料和机具及劳动力等,应有充分准备,并合理安排。 2.1.3工程施工前,其厂房屋面、外墙、门窗和内部粉刷等工程基本完工,当必须配合施工时,有关基础地坪、沟道等工程应基本完工,其混凝土强度不应低于设计强度的75%;安装施工地点及附近的建筑材料、泥土、杂物等,应清除干净。 2.1.4利用建筑结构作为起吊、搬运设备的承力点时,应对结构的承载能力进行核算;必要时应经设计单位的同意,方可利用。 2.2开箱检验和保管 2.2.1设备开箱应在建设单位有关人员参加下,按下列
项目进行检查,并应作出记录: 2.2.1.1箱号、箱数以及包装情况; 2.2.1.2设备的名称、型号和规格; 2.2.1.3装箱清单、设备技术文件、资料及专用工具; 2.2.1.4设备有无缺损件,表面有无损坏和锈蚀等; 2.2.1.5其他需要记录的情况。 2.2.2设备及其零、部件和专用工具,均应妥善保管,不得使气变形、损坏、锈蚀、错乱或丢失。 2.3设备基础 2.3.1设备基础的位置、几何尺寸和质量要求,应符合国家标准《钢筋混凝土工程施工及验收规范》的规定,并应有验收资料或记录。设备安装前应对设备基础位置和基础尺寸进行复检。 2.3.2设备基础表面和地脚螺栓的预留孔中的油污、碎石、泥土、积水等均应清理干净;预埋地脚螺栓的螺纹和螺母应保护完好;放置垫铁部位营凿平。 2.3.3需要预压基础,应预压合格并应由预压沉降纪录。 3设备安装 3.1防线就位和找准调平 3.1.1设备就位前,应按施工图和有关建筑物的轴线或边缘线及标高线,划定安装的基准线。 3.1.2互相有廉洁、衔接或排列顺序的设备,应划定共
Linux安全配置基线
Linux 系统安全配置基线 中国移动通信有限公司管理信息系统部 2009年 3月
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (1) 1.1目的 ....................................................................................................... 错误!未定义书签。 1.2适用范围 ............................................................................................... 错误!未定义书签。 1.3适用版本 ............................................................................................... 错误!未定义书签。 1.4实施 ....................................................................................................... 错误!未定义书签。 1.5例外条款 ............................................................................................... 错误!未定义书签。第2章账号管理、认证授权 . (2) 2.1账号 (2) 2.1.1用户口令设置 (2) 2.1.2root用户远程登录限制 (2) 2.1.3检查是否存在除root之外UID为0的用户 (3) 2.1.4root用户环境变量的安全性 (3) 2.2认证 (4) 2.2.1远程连接的安全性配置 (4) 2.2.2用户的umask安全配置 (4) 2.2.3重要目录和文件的权限设置 (4) 2.2.4查找未授权的SUID/SGID文件 (5) 2.2.5检查任何人都有写权限的目录 (6) 2.2.6查找任何人都有写权限的文件 (6) 2.2.7检查没有属主的文件 (7) 2.2.8检查异常隐含文件 (7) 第3章日志审计 (9) 3.1日志 (9) 3.1.1syslog登录事件记录 (9) 3.2审计 (9) 3.2.1Syslog.conf的配置审核 (9) 第4章系统文件 (11) 4.1系统状态 (11) 4.1.1系统core dump状态 (11) 第5章评审与修订 (12)