中国移动安全基线(PPT).ppt

基线平安 普莱方德平安技术培训系列(xli)课程第一页，共十七页。1.1.移动 移动(ydng)(ydng)基线平安标准解读 基线平安标准解读2 Windows 2 Windows平安 平安(png n)(png n)基线标准 基线标准3(UNIX)Solaris 3(UNIX)Solaris平安 平安(png n)(png n)基线标准 基线标准4 4 网络设备平安基线标准 网络设备平安基线标准5 5 数据库平安基线标准 数据库平安基线标准第二页，共十七页。基线(jxin)平安中国移动平安基线(jxin)标准中国移动Windows系统平安基线配置标准中国移动Solaris系统平安基线配置标准中国移动HP-UX系统平安基线配置标准中国移动AIX系统平安基线配置标准中国移动思科路由器平安配置标准中国移动JUNIPER路由器平安配置标准中国移动Oracle数据库平安配置标准。本系列标准可作为编制设备技术标准、设备入网测试标准，工程验收手册，局数据模板等文档的依据。本标准由中国移动通信网络部提出并归口第三页，共十七页。1.1.移动基线平安 移动基线平安(png n)(png n)标准解读 标准解读2 Windows 2 Windows平安基线 平安基线(jxin)(jxin)标准 标准3(UNIX)Solaris 3(UNIX)Solaris平安 平安(png n)(png n)基线标准 基线标准4 4 网络设备平安基线标准 网络设备平安基线标准5 5 数据库平安基线标准 数据库平安基线标准第四页，共十七页。基线(jxin)平安 中国移动Windows系统平安配置要求 账号管理、认证授权 账号、口令、授权 日志配置操作(cozu)IP协议平安配置操作 设备其他平安配置操作 屏幕保护、共享文件夹及访问权限、补丁管理、防病毒管理、windows效劳、启动项第五页，共十七页。基线(jxin)平安中国移动windows系统安全基线规范分类项 Windows系统安全基线规范 分类项 Windows系统安全基线规范1 不同用户分配不同账户 15 防火墙/TCP 筛选（可选）2 删除锁定无关账户（可选）16 SYN防护（可选）3 administrator账户改名，guest账户禁用 17 屏幕保护4 密码复杂度 18 不活动断连时间15分钟5 密码过期时间 19 关闭默认共享（可选）6 密码历史（可选）20 共享文件夹权限 7 登录失败次数 21 Service Pack补丁集检查8 远端强制关机指派给administrators组 22 hotfix补丁检查（可选）9 关闭系统仅指派给Administrators组 23 防病毒检查10取得文件或其它对象的所有权仅指派给Administrators组24 DEP功能（可选）11 授权用户允许本地登陆此计算机 25 关闭无用服务12 授权帐号从网络访问 26 修改SNMP默认口令（可选）13 审核策略 27 IIS补丁检查（可选）14 日志大小设置（可选）28 启动项检查29 关闭自动播放第六页，共十七页。1.1.移动基线平安标准 移动基线平安标准(biozhn)(biozhn)解读 解读2 Windows 2 Windows平安基线 平安基线(jxin)(jxin)标准 标准3(UNIX)Solaris 3(UNIX)Solaris平安基线 平安基线(jxin)(jxin)标准 标准4 4 网络设备平安基线标准 网络设备平安基线标准5 5 数据库平安基线标准 数据库平安基线标准第七页，共十七页。基线(jxin)平安 中国移动Solaris系统平安配置要求 账号管理、认证授权(shuqun)账号、口令、授权 日志配置要求 IP协议平安配置要求 IP协议平安、路由协议平安 设备其他平安配置要求 屏幕保护、文件系统及访问权限、物理端口及EEPROM口令设置、补丁管理、效劳、内核调整、启动项第八页，共十七页。基线(jxin)平安中国移动solaris系统基线安全规范分类项solaris系统安全基线规范1 根据不同用户分配不同账户 17 记录su日志（可选）2 删除或锁定无关账号 18 记录cron日志（可选）3 限制root远程登录 19 禁用telnet 服务，使用ssh服务（可选）4 禁止系统账户交互式登录（可选）20 查看服务端口对应列表（可选）5 不同用户分配不同组（可选）21 主机访问控制（可选）6 用户口令复杂度策略 22 禁止ICMP重定向，采用静态路由（可选）7 口令生存周期 23 禁止ip转发（可选）8 限制口令重复次数（可选）24 设置登录超时（可选）9 口令锁定策略（可选）25 设置屏幕锁定（可选）10 passwd shadow group 文件授权 26 物理端口及eeprom安全密码（可选）11 UMASK（可选）27 系统补丁（可选）12 ftp安全设置（可选）28 关闭不必要服务（可选）13 记录账户登录日志 29 配置ntp（可选）14 记录账户操作日志（可选）30 配置nfs服务（可选）15 记录安全事件日志（可选）31 防止堆栈缓冲溢出（可选）16 配置远程日志（可选）32 启动项检查（可选）第九页，共十七页。1.1.移动 移动(ydng)(ydng)基线平安标准解读 基线平安标准解读2 Windows 2 Windows平安基线 平安基线(jxin)(jxin)标准 标准3(UNIX)Solaris 3(UNIX)Solaris平安 平安(png n)(png n)基线标准 基线标准4 4 网络设备平安基线标准 网络设备平安基线标准5 5 数据库平安基线标准 数据库平安基线标准第十页，共十七页。基线(jxin)平安 中国移动思科路由器平安配置要求 账号管理、认证授权 账号、口令、授权、认证 日志配置要求 IP协议平安配置要求 根本协议平安、路由协议平安、snmp协议平安、MPLS平安 设备其他平安配置要求 关闭未使用的端口、修改(xigi)路由器缺省banner值、配置定时账户自动退出、配置console口密码保护、关闭不必要的网络效劳或功能、第十一页，共十七页。基线(jxin)平安中国移动思科路由交换设备基线安全规范分类项 Cisco路由交换 分类项 Cisco路由交换1 限制管理员账户直接登录 14 非必要功能禁用2 配置账户所需最小权限 15 服务协议认证加密3 设置详细的ACL，过滤掉业务无关协议，端口 16 动态路由认证4 使用ssh协议进行维护 17 BGP协议安全5 按照用户分配账号 18 路由更新策略6 删除无关账号 19 snmp修改默认口令7 采用强加密算法保存密码 20 限制snmp地址8与认证系统联动，满足帐号、口令和授权的强制要求（可选）21 禁用snmp写功能9 日志配置要求（需要与记账服务器配合）22 MPLS安全10 开启NTP 23 关闭无用端口11 ACL防止地址欺骗 24 修改banner语句12 ACL过滤攻击 25 账号超时登出13 限定服务访问地址 26 Console口保护27 关闭无用服务第十二页，共十七页。1.1.移动 移动(ydng)(ydng)基线平安标准解读 基线平安标准解读2 Windows 2 Windows平安 平安(png n)(png n)基线标准 基线标准3(UNIX)Solaris 3(UNIX)Solaris平安 平安(png n)(png n)基线标准 基线标准4 4 网络设备平安基线标准 网络设备平安基线标准5 5 数据库平安基线标准 数据库平安基线标准第十三页，共十七页。基线(jxin)平安 中国移动MSSQL数据库平安配置要求 账号 口令 日志 其他 删除不必要的存储过程、使用通信协议加密(ji m)、安装最新的补丁包第十四页，共十七页。基线(jxin)平安中国移动SQL server基线安全规范分类项MSSQL数据库1不同用户分配不同账号2删除无关账号3配置账户最小权限4使用数据库角色来管理对象权限5 检查弱口令/空口令账户6配置日志功能，记录账户登录事件7配置日志功能，记录与数据库相关的安全事件（一般默认满足要求）8删除不必要的存储过程9使用通信协议加密10安装最新补丁包第十五页，共十七页。谢谢(xi xie)第十六页，共十七页。内容(nirng)总结基线平安。不同用户(yngh)分配不同账户。关闭默认共享（可选）。DEP 功能（可选）。根据不同用户(yngh)分配不同账户。禁用telnet 服务，使用ssh 服务（可选）。查看服务端口对应列表（可选）。不同用户(yngh)分配不同组（可选）。设置登录超时（可选）。设置屏幕锁定（可选）。物理端口及eeprom 安全密码（可选）。关闭不必要服务（可选）。配置nfs 服务（可选）。启动项检查（可选）。不同用户(yngh)分配不同账号第十七页，共十七页。