业务系统安全基线及其工具化解决方案
业务系统安全基线及其工具化解决方案
业务系统安全基线及其工具化解决方案业务系统安全基线及其工具化解决方案
中联绿盟信息技术(北京)有限公司
1 安全基线的理论基础
FISMA的全称是The Federal Information Security Management Act(联邦信息安全管理法案),是由美国国家标准和技术研究所(NIST)牵头制定。FISMA把责任分配到各种各样的机构上来确保联邦政府的信息系统和数据安全。FISMA的推出使得一直忽视计算机安全的联邦政府开始关注计算机安全。
FISMA提出了一个包含八个步骤的信息安全生命周期模型,这个模型的执行过程涉及面非常广泛且全面,但实施、落地的难度也非常大。如图1所示,FISMA规范落地的过程好像从高空到地面,真正实施起来非常复杂。
图1 FISMA法案的落地
为了实现FISMA法案的落地,由NIST牵头针对其中的技术安全问题提出了一套自动化的计划称为ISAP,information security automation program,来促进FISMA的执行,ISAP出来后延伸出SCAP框架,security content automation protocol,,SCAP框架由CVE、CCE、CPE、XCCDF、OVAL、CVSS等6个支撑标准构成,检查的标准,一致性标准等,。这6个支撑标准需要检查的内容、检查的方式由NVD 和NCP来提供,由此SCAP框架就实现了标准化和自动化安全检
125
2010中国通信业百个成功解决方案评选获奖方案
查,及形成了一套针对系统的安全检查基线。
SCAP及安全基线的最重要成果和成功案例当属FDCC,Federal Desktop Core Configuration,联邦桌面的核心配置,项目,FDCC是在美国政府支持下建立的桌面
系统,Windows XP、Windows vista等,相关安全基线要求规范,并通过自动化的工
具进行检查。FDCC基于NVD、NCP等内容进行基线安全核查。NVD,National Vulnerability Database,国家漏洞数据库,为自动化漏洞管理、安全评估和合规性检查提供数据支撑,包含安全核查名单、与安全相关的软件漏洞、配置错误以及量化影响等。NVD数据库针对数据库中的漏洞等提出了一整套核查名单,Checklist,,划归到NCP,National Checklist Program,计划中。简言之FDCC体现了两个方面
的特性,
, 标准化,在NVD、NCP的基础上,构建了一套针对桌面系统的安全基线,检查项,,这些检查项由安全漏洞、安全配置等有关检查内容构成,为标准化的技术安全操作提供了框架。
电子政务内网建设解决方案
电子政务内网建设解决 方案 Company Document number:WUUT-WUUY-WBBGB-BWYTT-1982GT
电子政务内网建设解决方案对于电子政务内网,政务专网、专线、VPN是构建电子政务网络的基础设施。安全政务网络平台是依托专网、专线、VPN设备将各接入单位安全互联起来的电子政务内网;安全支撑平台为电子政务内网信息系统提供安全互联、接入控制、统一身份认证、授权管理、恶意代码防范、入侵检测、安全审计、桌面安全防护等安全支撑;电子政务专网应用既是安全保障平台的保护对象,又是电子政务内网实施电子政务的主体,它主要内部共享信息、内部受控信息等,这两类信息运行于电子政务办公平台、和电子政务信息共享平台之上;电子政务管理制度体系是电子政务长期有效运行的保证。 电子政务内网系统构成 1)政务内网网络平台:电子政务内网建设,是依托电子政务专网、专线、VPN构造的电子政务内网网络。 2)电子政务内网应用:在安全支撑平台的作用下,基于安全电子政务内网网络平台,可以打造安全电子政务办公平台、安全政务信息共享平台。 3)安全支撑平台:安全支撑平台由安全系统组成,是电子政务内网信息系统运行的安全保障。 电子政务内网系统拓扑图 三级政务内网建议拓扑图 电子政务内网按照等保标准要求,进行安全域的划分。根据不同的划分原则,大致可以分别网络基础架构区、安全管理区、数据处理区、边界防御区、办公区、会议区等安全子区域,在实际的网络设计中,可以根据相关标准,按照实际需要进一步细分,如上图所示。
划分安全域的目标是针对不同的安全域采用不同的安全防护策略,既保证信息的安全访问,又兼顾信息的开放性。按照应用系统等级、数据流相似程度、硬件和软件环境的可共用程度、安全需求相似程度,并且从方便实施的角度,将整个电子政务业务系统分为不同的安全子域区,便于由小到大、由简到繁进行网络设计。安全域的划分有利于对电子政务系统实施分区安全防护,即分域防控。 安全支撑平台的系统结构 电子政务安全支撑平台是电子政务系统运行的安全保障,由网络设备、安全设备、安全技术构成。电子政务安全支撑平台依托电子政务配套的安全设备,通过分级安全服务和分域安全管理,实现等级保护中要求的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复,从而保证整个电子政务信息系统安全,最终形成安全开放统一、分级分域防护的安全体系。电子政务安全支撑平台的系统结构下图:电子政务安全支撑平台系统结构 安全支撑平台的系统配置 1、双归属:两台通过VRRP协议连接,互为冗余,保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要。 2、认证及地址管理系统-DCBI:DCBI可以完成基于主机的统一身份认证和全局地址管理功能。 1)基于主机的统一身份认证。终端系统通过安装认证客户端,在连接到内网之前,首先需要通过DCBI的身份认证,方能打开交换机端口,使用网络资源。 2)全局地址管理。 ·根据政务网地址规模灵活划分地址池
系统整体安全解决方案
IT系统整体安全解决方案 2011-8
目录 一、信息系统安全的含义 (3) 二、信息系统涉及的内容 (4) 三、现有信息系统存在的突出问题 (6) 1、信息系统安全管理问题突出 (6) 2、缺乏信息化安全意识与对策 (7) 3、重安全技术,轻安全管理 (7) 4、系统管理意识淡薄 (7) 四、信息系统安全技术及规划 (8) 1、网络安全技术及规划 (8) (1)网络加密技术 (8) (2)防火墙技术、内外网隔离、网络安全域的隔离 (9) (3)网络地址转换技术 (10) (4)操作系统安全内核技术 (11) (5)身份验证技术 (11) (6)网络防病毒技术 (11) (7)网络安全检测技术 (13) (8)安全审计与监控技术 (13) (9)网络备份技术 (14) 2、信息安全技术及规划 (14) (1)鉴别技术 (14) (2)数据信息加密技术 (15) (3)数据完整性鉴别技术 (15) (4)防抵赖技术 (15) (5)数据存储安全技术 (16) (6)数据库安全技术 (16) (7)信息内容审计技术 (17) 五、信息系统安全管理 (17) 1、信息系统安全管理原则 (18) (1)、多人负责原则 (18) (2)、任期有限原则 (18) (3)、职责分离原则 (19) 2、信息系统安全管理的工作内容 (19)
一、信息系统安全的含义 信息系统安全包括两方面的含义,一是信息安全,二是网络安全,涉及到的试信息化过程中被保护信息系统的整体的安全,是信息系统体系性安全的综合。具体来说,信息安全指的是信息的保密性、完整性和可用性的保持;网络安全主要从通信网络层面考虑,指的是使信息的传输和网络的运行能够得到安全的保障,内部和外部的非法攻击得到有效的防范和遏制。 信息系统安全概括的讲,根据保护目标的要求和环境的状况,信息网络和信息系统的硬件、软件机器数据需要受到可靠的保护,通信、访问等操作要得到有效保障和合理的控制,不受偶然的或者恶意攻击的原因而遭受到破坏、更改、泄漏,系统连续可靠正常的运行,网络服务不被中断。信息化安全的保障涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,涉及到安全体系的建设,安全风险的评估、控制、管理、策略指定、制度落实、监督审计、持续改进等方面的工作。 信息化安全与一般的安全范畴有许多不同的特点,信息化安全有其特殊性,首先,信息化安全使不能完全达到但有需要不断追求的状态,所谓的安全是相对比较而言的。其次,信息化安全是一个过程,
网站系统安全解决方案
营销管理平台门户WEB系统 安全解决方案 二〇一三年七月
1建设背景 1.1背景与现状 随着信息化的日益深刻,信息网络技术的应用日益普及,网络安全问题已经会成为影响网络效能的重要问题。如何使营销管理平台网站不受黑客和病毒的入侵,如何保障营销管理平台网站核心数据传输的安全性、可靠性,也是建设平台过程中所必须考虑的重要事情之一。 ?B2B电子商务网站 –充分以客户为中心建制系统 –支持从SAP自动同步商品、价格、库存信息 –以类似B2C等传统电子商务网站形式展现商品,支持搜索引擎、热销排行、个性推荐 –支持专卖店B2B客户直接在网站下单 –支持专卖店B2B客户直接在网站在线支付 –实现电子商务网站和SAP产品信息、订单信息、客户信息同步 ?B2B订单管理 –支持订单前置处理(订单审核、货源管理、价格管理、信用管理) –支持订单导入SAP –支持订单的状态和SAP状态(拣配、出库)同步 –支持订单收货确认、财务对账
页面被篡改 门户网站一旦被篡改(加入一些敏感的显性内容),常常会引发较大的影响,严重时甚至会造成政治事件。 另外一种篡改方式是网页挂马:网页内容表面上没有任何异常,却可能被偷偷的挂上了木马程序。网页挂马虽然未必会给网站带来直接损害,但却会给浏览网站的用户带来损失。 在线业务被攻击 对企业和个人用户提供在线服务,已经成为门户网站的重要功能。这些服务一旦受到拒绝服务攻击而瘫痪、终止,对业务的正常运转必然造成极大的影响,可能会造成经济损失,严重时甚至会影响社会稳定。 机密数据外泄 在线业务系统中,总是需要保存一些企业、公众的相关资料,这些资料往往涉及到企业秘密和个人隐私,一旦泄露,会造成企业或个人的利益受损,可能会给单位带来严重的法律纠纷。 1.2安全体系缺少应用防护 综合针对现有长虹网站安全数据维护经验对营销管理平台网站的网络及应用环境进行了安全分析,分析表明现有的网络架构具备较好的网络安全防御能力和操作系统安全管理能力,而在WEB应用层面缺少相关的安全防护措施和长效机制。
智慧政务综合服务平台建设方案【最新版】
智慧政务综合服务平台建设方案 智慧政务是运用云计算、大数据、物联网等技术,通过监测、整合、分析、智能响应,实现各职能部门的各种资源的高度整合,提高政府的业务办理和管理效率;加强职能监管,使政府更加廉洁、勤政、务实,提高政府的透明度;形成高效、敏捷、便民的新型政府,保证城市可持续发展,为企业和公众建立一个良好的城市生活环境。 智慧政务将以现有电子政务网为基础,推广智慧政务云平台建设;构建全市机关共享使用的信息资源平台,整合各部门延伸到区、社区和基层企事业单位的纵向网络;整合所有政府部门的电子政务工作,建立统一的数据交换和资源共享平台,全面推动电子政务应用、信息的大集中;完善人口基础信息库和法人基础信息库。在此基础上,打造“政务公开、联网审批、责任追溯、智慧决策”的智慧型、服务型政府。 方案概述 智慧政务是运用云计算、大数据、物联网等技术,通过监测、整合、分析、智能响应,实现各职能部门的各种资源的高度整合,提高政府的业务办理和管理效率;加强职能监
管,使政府更加廉洁、勤政、务实,提高政府的透明度;形成高效、敏捷、便民的新型政府,保证城市可持续发展,为企业和公众建立一个良好的城市生活环境。 方案介绍 为满足政府提供公共服务,打造开放、融合、高效、透明、绿色、安全的服务型智慧政府的需求,通过在政府行业多年的辛勤耕耘,深刻理解政府行业所关注的重点需求,有针对性的推出智慧政务解决方案。该解决方案不仅包括基础网络部署,更涵盖了立体安全规划、政务云计算建设、政府协同办公在内的方方面面。在整个新IT建设中,以云网融合为基础架构,支撑底层的数据接入传输、上层的业务互通及
业务平台的数据处理,能够同时保障海量业务数据的高效运行、网络资源和安全准则的平滑演进以及面向应用的可定义随需而变。 基础平台:政务云平台 传统政务项目,通常是政府各厅局委办自建、自用、自运营的模式,从基础设施、硬件平台、软件平台到运营维护都有各厅局委办申请资金建设,供应商销售相应的软硬件产品。与传统项目不同,政务云平台建设采用的是云服务申请模式,各厅局委办不再关注基础设施软硬件平台的搭建,而是向云服务提供商租用云资源,直接在云资源上部署政务业
Microsoft Windows安全配置基线
Windows 系统安全配置基线 中国移动通信有限公司管理信息系统部 2012年 04月
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (5) 1.1目的 (5) 1.2适用范围 (5) 1.3适用版本 (5) 1.4实施 (5) 1.5例外条款 (5) 第2章帐户管理、认证授权 (6) 2.1帐户 (6) 2.1.1 管理缺省帐户 (6) 2.1.2 按照用户分配帐户* (6) 2.1.3 删除与设备无关帐户* (7) 2.2口令 (7) 2.2.1密码复杂度 (7) 2.2.2密码最长留存期 (8) 2.2.3帐户锁定策略 (8) 2.3授权 (8) 2.3.1远程关机 (8) 2.3.2本地关机 (9) 2.3.3用户权利指派* (9) 2.3.4授权帐户登陆* (10) 2.3.5授权帐户从网络访问* (10) 第3章日志配置操作 (11) 3.1日志配置 (11) 3.1.1审核登录 (11) 3.1.2审核策略更改 (11) 3.1.3审核对象访问 (11) 3.1.4审核事件目录服务器访问 (12) 3.1.5审核特权使用 (12) 3.1.6审核系统事件 (13) 3.1.7审核帐户管理 (13) 3.1.8审核过程追踪 (13) 3.1.9日志文件大小 (14) 第4章IP协议安全配置 (15) 4.1IP协议 (15) 4.1.1启用SYN攻击保护 (15) 第5章设备其他配置操作 (17) 5.1共享文件夹及访问权限 (17) 5.1.1关闭默认共享 (17)
5.1.2共享文件夹授权访问* (17) 5.2防病毒管理 (18) 5.2.1数据执行保护 (18) 5.3W INDOWS服务 (18) 5.3.1 SNMP服务管理 (18) 5.3.2系统必须服务列表管理* (19) 5.3.3系统启动项列表管理* (19) 5.3.4远程控制服务安全* (19) 5.3.5 IIS安全补丁管理* (20) 5.3.6活动目录时间同步管理* (20) 5.4启动项 (21) 5.4.1关闭Windows自动播放功能 (21) 5.5屏幕保护 (21) 5.5.1设置屏幕保护密码和开启时间* (21) 5.6远程登录控制 (22) 5.6.1限制远程登陆空闲断开时间 (22) 5.7补丁管理 (23) 5.7.1操作系统补丁管理* (23) 5.7.2操作系统最新补丁管理* (23) 第6章评审与修订 (24)
安全生产管理信息系统解决方案
安全生产管理信息系统解决方案 1
安全生产管理信息系统 解决方案 河北创巨圆科技发展有限公司 4月15日 II
目录 第1章系统概述............................................................ 错误!未定义书签。 1.1建设背景................................................................ 错误!未定义书签。 1.2指导思想................................................................ 错误!未定义书签。 1.3建设原则................................................................ 错误!未定义书签。 1.4建设目标................................................................ 错误!未定义书签。 1.5建设任务................................................................ 错误!未定义书签。 1.5.1为安全信息建立统一的基础平台................. 错误!未定义书签。 1.5.2为安全业务构建协同的执行平台................. 错误!未定义书签。 1.5.3为安全管理提供有效的监管平台................. 错误!未定义书签。 1.5.4为辅助决策提供可靠的支持平台................. 错误!未定义书签。 1.5.5为安全文化建设提供信息化支撑................. 错误!未定义书签。第2章总体设计............................................................ 错误!未定义书签。 2.1设计原则................................................................ 错误!未定义书签。 2.1.1统一性原则 ..................................................... 错误!未定义书签。 2.1.2规范性原则 ..................................................... 错误!未定义书签。 2.1.3先进性原则 ..................................................... 错误!未定义书签。 2.1.4安全性原则 ..................................................... 错误!未定义书签。 2.1.5集成性原则 ..................................................... 错误!未定义书签。 2.4.6实用性原则 ..................................................... 错误!未定义书签。 2.4.7灵活性原则 ..................................................... 错误!未定义书签。 I
web应用安全基线
Web应用安全配置基线 https://www.360docs.net/doc/3d520269.html, 2009年 1月
1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (5) 1.1目的 (5) 1.2适用范围 (5) 1.3适用版本 (5) 1.4实施 (5) 第2章身份与访问控制 (6) 2.1账户锁定策略 (6) 2.2登录用图片验证码 (6) 2.3口令传输 (6) 2.4保存登录功能 (7) 2.5纵向访问控制 (7) 2.6横向访问控制 (7) 2.7敏感资源的访问 (8) 第3章会话管理 (9) 3.1会话超时 (9) 3.2会话终止 (9) 3.3会话标识 (9) 3.4会话标识复用 (10) 第4章代码质量 (11) 4.1防范跨站脚本攻击 (11) 4.2防范SQL注入攻击 (11) 4.3防止路径遍历攻击 (11) 4.4防止命令注入攻击 (12) 4.5防止其他常见的注入攻击 (12) 4.6防止下载敏感资源文件 (13) 4.7防止上传后门脚本 (13) 4.8保证多线程安全 (13) 4.9保证释放资源 (14) 第5章内容管理 (15) 5.1加密存储敏感信息 (15) 5.2避免泄露敏感技术细节 (15) 第6章防钓鱼与防垃圾邮件 (16) 6.1防钓鱼 (16) 6.2防垃圾邮件 (16) 第7章密码算法 (17) 7.1安全算法 (17) 7.2密钥管理 (17)
第1章概述 1.1 目的 本文档规定了所有IT基础设施范围内所有Web应用应当遵循的安全标准,本文档旨在指导系统管理人员进行Web应用安全基线检查。 1.2 适用范围 本配置标准的使用者包括:服务器系统管理员、应用程序管理员、网络安全管理员。 本配置标准适用的范围包括:支持所有业务正常运营的Web应用系统。 1.3 适用版本 基于B/S架构的Web应用 1.4 实施 本标准的解释权和修改权属于https://www.360docs.net/doc/3d520269.html,,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
信息安全配置基线(整理)
Win2003 & 2008操作系统安全配置要求 2.1. 帐户口令安全 帐户分配:应为不同用户分配不同的帐户,不允许不同用户间共享同一帐户。 帐户锁定:应删除或锁定过期帐户、无用帐户。 用户访问权限指派:应只允许指定授权帐户对主机进行远程访问。 帐户权限最小化:应根据实际需要为各个帐户分配最小权限。 默认帐户管理:应对Administrator帐户重命名,并禁用Guest(来宾)帐户。 口令长度及复杂度:应要求操作系统帐户口令长度至少为8位,且应为数字、字母和特殊符号中至少2类的组合。 口令最长使用期限:应设置口令的最长使用期限小于90天。 口令历史有效次数:应配置操作系统用户不能重复使用最近 5 次(含 5 次)已使用过的口令。 口令锁定策略:应配置当用户连续认证失败次数为 5次,锁定该帐户30分钟。 2.2. 服务及授权安全 服务开启最小化:应关闭不必要的服务。 SNMP服务接受团体名称设置:应设置SNMP接受团体名称不为public或弱字符串。 系统时间同步:应确保系统时间与NTP服务器同步。 DNS服务指向:应配置系统DNS指向企业内部DNS服务器。 2.3. 补丁安全 系统版本:应确保操作系统版本更新至最新。 补丁更新:应在确保业务不受影响的情况下及时更新操作系统补丁。 2.4. 日志审计 日志审核策略设置:应合理配置系统日志审核策略。 日志存储规则设置:应设置日志存储规则,保证足够的日志存储空间。 日志存储路径:应更改日志默认存放路径。 日志定期备份:应定期对系统日志进行备份。 2.5. 系统防火墙:应启用系统自带防火墙,并根据业务需要限定允许通讯的应用程序或端口。 2.6. 防病毒软件:应安装由总部统一部署的防病毒软件,并及时更新。 2.7. 关闭自动播放功能:应关闭 Windows 自动播放功能。 2.8. 共享文件夹 删除本地默认共享:应关闭 Windows本地默认共享。 共享文件权限限制:应设置共享文件夹的访问权限,仅允许授权的帐户共享此文件夹。 2.9. 登录通信安全 禁止远程访问注册表:应禁止远程访问注册表路径和子路径。 登录超时时间设置:应设置远程登录帐户的登录超时时间为30 分钟。 限制匿名登录:应禁用匿名访问命名管道和共享。
IT系统整体安全解决方案
IT系统整体安全解决方案 一、信息系统安全的含义3 二、信息系统涉及的内容3 三、现有信息系统存在的突出问题 31、信息系统安全管理问题突出 32、缺乏信息化安全意识与对策 33、重安全技术,轻安全管理 34、系统管理意识淡薄3 四、信息系统安全技术及规划 31、网络安全技术及规划3(1)网络加密技术3(2)防火墙技术、内外网隔离、网络安全域的隔离3(3)网络地址转换技术3(4)操作系统安全内核技术3(5)身份验证技术3(6)网络防病毒技术3(7)网络安全检测技术3(8)安全审计与监控技术3(9)网络备份技术 32、信息安全技术及规划3(1)鉴别技术3(2)数据信息加密技术3(3)数据完整性鉴别技术3(4)防抵赖技术3(5)数据存储安全技术3(6)数据库安全技术3(7)信息内容审计技术3 五、信息系统安全管理 31、信息系统安全管理原则3(1)、多人负责原则3(2)、任期有限原则3(3)、职责分离原则 32、信息系统安全管理的工作内容3 一、信息系统安全的含义信息系统安全包括两方面的含义,一是信息安全,二是网络安全,涉及到的试信息化过程中被保护信息系统的整体的安全,是信息系统体系性安全的综合。具体来说,信息安全指的是信息的保密性、完整性和可用性的保持;网络安全主要从通信网络层面考虑,指的是使信息的传输和网络的运行能够得到安全的保障,内部和外部的非法攻击得到有效的防范和遏制。信息系统安全概括的讲,根据保护目标的要求和环境的状况,信息网络和信息系统的硬件、软件机器数据需要受到可靠的保护,通信、访问等操作要得到有效保障和合理的控制,不受偶然的或者恶意攻击的原因而遭受到破坏、更改、泄漏,系统连续可靠正常的运行,网络服务不被中断。信息化安全的保障涉及网络上信息的保
信息系统安全基线
1.操作系统安全基线技术要求 1.1.AIX系统安全基线 1.1.1.系统管理 通过配置操作系统运维管理安全策略,提高系统运维管理安全性,详见表1。 表1 AIX系统管理基线技术要求 1.1. 2.用户账号与口令 通过配置操作系统用户账号与口令安全策略,提高系统账号与口令安全性,详见表2。
1.1.3.日志与审计 通过对操作系统的日志进行安全控制与管理,提高日志的安全性,详见表3。 1.1.4.服务优化 通过优化操作系统资源,提高系统服务安全性,详见表4。 表4 AIX系统服务优化基线技术要求
1.1.5.访问控制 通过对操作系统安全权限参数进行调整,提高系统访问安全性,详见表5。 表5 AIX系统访问控制基线技术要求 1.2.Windows系统安全基线 1.2.1.用户账号与口令 通过配置操作系统用户账号与口令安全策略,提高系统账号与口令安全性,详见表6。 表6Windows系统用户账号与口令基线技术要求
1.2.2.日志与审计 通过对操作系统日志进行安全控制与管理,提高日志的安全性与有效性,详见表7。 表7Windows系统日志与审计基线技术要求 1.2.3.服务优化 通过优化系统资源,提高系统服务安全性,详见表8。 表8 Windows系统服务优化基线技术要求
1.2.4.访问控制 通过对系统配置参数调整,提高系统安全性,详见表9。 表9 Windows系统访问控制基线技术要求
1.2.5.补丁管理 通过进行定期更新,降低常见的漏洞被利用,详见表10。 表10 Windows系统补丁管理基线技术要求 1.3.Linux系统安全基线 1.3.1.系统管理 通过配置系统安全管理工具,提高系统运维管理的安全性,详见表11。 表11Linux系统管理基线技术要求 1.3. 2.用户账号与口令 通过配置Linux系统用户账号与口令安全策略,提高系统账号与口令安全性,详见表12。 表12Linux系统用户账号与口令基线技术要求
信息安全等级保护解决方案
地市电子政务网络的信息安全等级保护(一) 一、背景 自从国家启动政府信息化建设以来,各地市政府大都已经完成了从无到有的电子政务网络建设。但是,初期的地市电子政务网连接范围一般较小,纵向上,没有连接起区县一级的政府办公网络;横向上,没有连接起各局、委、办的办公网络;相互之间缺乏有机联系,形成了信息孤岛,导致无论是政府内部办公还是公众服务,都存在沟通不畅、效率低的问题。为了加强政府内部的交流、提高政府的整体办公效率和服务水平,许多地市已经开始规划、建设具有更大连接范围、更快传输速度的大型电子政务网络。 大型地市电子政务网络建设的基本目标是为各接入单位提供统一、优质的信息化传输平台。但与此同时,由于接入人员的身份复杂(分属不同的行政部门),各部门对信息安全的要求也存在差异,所以电子政务网在为正常业务数据提供高速通路的同时,也有可能成为网络安全威胁快速扩散和蔓延的温床。这已经成为地市电子政务网络建设中需要考虑的头号问题,换句话说:“大型地市电子政务网建设的好与不好,标准就是网络安全是否达标”。 二、“等保”与电子政务网 适逢其时的是,国家的相关部门已经制订了标准、规范,可以非常细致地指导地市电子政务网的“网络安全规划、建设和监管”。这个标准和规范就是“信息安全等级保护”。 信息安全等级保护(简称“等保”)就是国家通过制订统一的标准,根据信息系统不同重要程度,有针对性开展保护工作,分等级对信息系统进行保护,国家对不同等级的信息系统实行不同强度的监督管理。“等保”将信息系统的安全等级分为5级,1级最低,5级最高。例如,电子政务内网要达到4级保护要求,电子政务外网要达到3级保护要求。
各类操作系统安全基线配置
各类操作系统安全配 置要求及操作指南 检查模块支持系统版本号 Windows Windows 2000 以上 Solaris Solaris 8 以上 AIX AIX 5.X以上 HP-UNIX HP-UNIX 11i以上 Linux 内核版本2.6以上 Oracle Oracle 8i以上 SQL Server Microsoft SQL Server 2000 以上 MySQL MySQL 5.x以上 IIS IIS 5.x以上 Apache Apache 2.x 以上 Tomcat Tomcat 5.x以上 WebLogic WebLogic 8.X以上
Windows操作系统 安全配置要求及操作指南 I 目录 目录..................................................................... I 前言.................................................................... II 1 范围 (1) 2 规范性引用文件 (1) 3 缩略语 (1) 4 安全配置要求 (2) 4.1 账号 (2) 4.2 口令 (3) 4.3 授权 (5) 4.4 补丁 (7) 4.5 防护软件 (8) 4.6 防病毒软件 (8) 4.7 日志安全要求 (9) 4.8 不必要的服务 (11) 4.9 启动项 (12) 4.10 关闭自动播放功能 (13) 4.11 共享文件夹 (13) 4.12 使用NTFS 文件系统 (14) 4.13 网络访问 (15) 4.14 会话超时设置 (16)
XX企业信息安全综合解决方案设计
要求有具体的问题,比如,信息系统安全(硬件,场地,软件,病毒,木马,),网络安全(网络入侵,服务器/客户端的连通性,vpn的安全问题),人员安全(身份识别,分权访 问,人员管理),电子商务安全(密钥,PKI),或者其它! 【为保护隐私,公司原名用XX代替。 内容涉及企业网络安全防护,入侵检测,VPN加密、数据安全、用户认证等企业信息安全案例,供参考】 XX企业信息安全综合解决方案设计 一.引言 随着全球信息化及宽带网络建设的飞速发展,具有跨区域远程办公及内部信息平台远程共享的企业越来越多,并且这种企业运营模式也逐渐成为现代企业的主流需求。企业总部和各地的分公司、办事处以及出差的员工需要实时地进行信息传输和资源共享等,企业之间的业务来往越来越多地依赖于网络。但是由于互联网的开放性和通信协议原始设计的局限性影响,所有信息采用明文传输,导致互联网的安全性问题日益严重,非法访问、网络攻击、信息窃取等频频发生,给公司的正常运行带来安全隐患,甚至造成不可估量的损失。因此必须利用信息安全技术来确保网络的安全问题,这就使得网络安全成了企业信息化建设中一个永恒的话题。 目前企业信息化的安全威胁主要来自以下几个方面:一是来自网络攻击的威胁,会造成我们的服务器或者工作站瘫痪。二是来自信息窃取的威胁,造成我们的商业机密泄漏,内部服务器被非法访问,破坏传输信息的完整性或者被直接假冒。三是来自公共网络中计算机病毒的威胁,造成服务器或者工作站被计算机病毒感染,而使系统崩溃或陷入瘫痪,甚至造成网络瘫痪。如前段时间在互联网上流行的“熊猫烧香”、“灰鸽子”等病毒就造成了这样的后果。那么如何构建一个全面的企业网络安全防护体系,以确保企业的信息网络和数据安全,避免由于安全事故给企业造成不必要的损失呢? 二.XX企业需求分析 该企业目前已建成覆盖整个企业的网络平台,网络设备以Cisco为主。在数据通信方面,以企业所在地为中心与数个城市通过1M帧中继专线实现点对点连接,其他城市和移动用户使用ADSL、CDMA登录互联网后通过VPN连接到企业内网,或者通过PSTN拨号连接。在公司的网络平台上运行着办公自动化系统、SAP的ERP系统、电子邮件系统、网络视频会议系统、VoIP语音系统、企业Web网站,以及FHS自动加油系统接口、互联网接入、网上银行等数字化应用,对企业的日常办公和经营管理起到重要的支撑作用。 1. 外部网络的安全威胁 企业网络与外网有互连。基于网络系统的范围大、函盖面广,内部网络将面临更加严重的安全威胁,入侵者每天都在试图闯入网络节点。网络系统中办公系统及员工主机上都有涉密信息。假如内部网络的一台电脑安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。透过网络传播,还会影响到与本系统网络有连接的外单位网络。 如果系统内部局域网与系统外部网络间没有采取一定的安全防护措施,内部网络容易遭到来自外网一些不怀好意的入侵者的攻击。 2.内部局域网的安全威胁
Windows系统安全配置基线
Windows系统安全配置基线
目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 第2章安装前准备工作 (1) 2.1需准备的光盘 (1) 第3章操作系统的基本安装 (1) 3.1基本安装 (1) 第4章账号管理、认证授权 (2) 4.1账号 (2) 4.1.1管理缺省账户 (2) 4.1.2删除无用账户 (2) 4.1.3用户权限分离 (3) 4.2口令 (3) 4.2.1密码复杂度 (3) 4.2.2密码最长生存期 (4) 4.2.3密码历史 (4) 4.2.4帐户锁定策略 (5) 4.3授权 (5) 4.3.1远程关机 (5) 4.3.2本地关机 (6) 4.3.3隐藏上次登录名 (6) 4.3.4关机清理内存页面 (7) 4.3.5用户权利指派 (7) 第5章日志配置操作 (8) 5.1日志配置 (8) 5.1.1审核登录 (8) 5.1.2审核策略更改 (8) 5.1.3审核对象访问 (8) 5.1.4审核事件目录服务器访问 (9) 5.1.5审核特权使用 (9) 5.1.6审核系统事件 (10) 5.1.7审核账户管理 (10) 5.1.8审核过程追踪 (10) 5.1.9日志文件大小 (11) 第6章其他配置操作 (11)
6.1共享文件夹及访问权限 (11) 6.1.1关闭默认共享 (11) 6.2防病毒管理 (12) 6.2.1防病毒软件保护 (12) 6.3W INDOWS服务 (12) 6.3.1 系统服务管理 (12) 6.4访问控制 (13) 6.4.1 限制Radmin管理地址 (13) 6.5启动项 (13) 6.4.1关闭Windows自动播放功能 (13) 6.4.3配置屏保功能 (14) 6.4.4补丁更新 (14) 持续改进 (15)
电子政务网络安全解决方案
电子政务网络安全解决方案 电子政务网络安全概述 以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型的如行政部门业务系统、金融业务系统、政府机关商务系统等。伴随网络的普及,安全日益成为影响网络效能的重要问题,而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵,已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。 网络规划 各级网络 利用现有线路及网络进行完善扩充,建成互联互通、标准统一、结构简单、功能完善、安全可靠、高速实用、先进稳定的级别分明却又统一的网络。 数据中心 建设集中的数据中心,对所有的信息资源、空间、信用等数据进行集中存放、集中管理。为省及各市部门、单位的关键应用及关键设施提供机房、安全管理与维护。 网络总体结构 政府机构从事的行业性质是跟国家紧密联系的,所涉及信息可以说都带有机密性,所以其信息安全问题,如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。都将对政府机构信息安全构成威胁。为保证政府网络系统的安全,有必要对其网络进行专门安全设计。 所谓电子政务就是政府机构运用现代计算机技术和网络技术,将其管理和服务的职能转移到网络上完成,同时实现政府组织结构和工作流程的重组优化,超越时间、空间和部门分隔的制约,向全社会提供高效、优质、规范、透明和全方位的管理与服务。 实现电子政务的意义在于突破了传统的工业时代“一站式”的政府办公模式,建立了适应网络时代的“一网式”和“一表式”的新模式,开辟了推动社会信息化的新途径,创造了政府实施产业政策的新手段。电子政务的出现有利于政府转变职能,提高运作效率。
信息系统安全整体解决设计方案
《安全系统整体解决方案设计》
第一章企业网络的现状描述 (3) 1.1企业网络的现状描述 (3) 第二章企业网络的漏洞分析 (4) 2.1物理安全 (4) 2.2主机安全 (4) 2.3外部安全 (4) 2.4内部安全 (5) 2.5内部网络之间、内外网络之间的连接安全 (5) 第三章企业网络安全整体解决方案设计 (5) 3.1企业网络的设计目标 (5) 3.2企业网络的设计原则 (6) 3.3物理安全解决方案 (6) 3.4主机安全解决方案 (7) 3.5网络安全解决方案 (7) 第四章方案的验证及调试 (8) 第五章总结 (9) 参考资料 ...................................................... 错误!未定义书签。
企业网络整体解决方案设计 第一章企业网络的现状描述 1.1企业网络的现状描述 网络拓扑图 以Internet发展为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,以往一直保持独立的大型机和中-高端开放式系统(Unix和NT)部分迅速融合成为一个异构企业部分。 以往安全系统的设计是采用被动防护模式,针对系统出现的各种情况采取相应的防护措施,当新的应用系统被采纳以后、或者发现了新的系统漏洞,使系统在实际运行中遭受攻击,系统管理员再根据情况采取相应的补救措施。这种以应用处理为核心的安全防护方案使系统管理人员忙于处理不同系统产生的各种故障。人力资源浪费很大,而且往往是在系统破坏造
成以后才进行处理,防护效果不理想,也很难对网络的整体防护做出规划和评估。 安全的漏洞往往存在于系统中最薄弱的环节,邮件系统、网关无一不直接威胁着企业网络的正常运行;中小企业需要防止网络系统遭到非法入侵、未经授权的存取或破坏可能造成的数据丢失、系统崩溃等问题,而这些都不是单一的防病毒软件外加服务器就能够解决的。因此无论是网络安全的现状,还是中小企业自身都向广大安全厂商提出了更高的要求。 第二章企业网络的漏洞分析 2.1 物理安全 网络的物理安全的风险是多种多样的。 网络的物理安全主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。它是整个网络系统安全的前提,在这个企业区局域网内,由于网络的物理跨度不大,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,防止非法进入计算机控制室和各种盗窃,破坏活动的发生,这些风险是可以避免的。 2.2 主机安全 对于中国来说,恐怕没有绝对安全的操作系统可以选择,无论是Microsoft的Windows NT或者其他任何商用UNIX操作系统,其开发厂商必然有其Back-Door。我们可以这样讲:没有完全安全的操作系统。但是,我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制,提高系统的安全性。因此,不但要选用尽可能可靠的操作系统和硬件平台。而且,必须加强登录过程的认证,特别是在到达服务器主机之前的认证,确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。 与日常生活当中一样,企业主机也存在着各种各样的安全问题。使用者的使用权限不同,企业主机所付与的管理权限也不一样,同一台主机对不同的人有着不同的使用范围。同时,企业主机也会受到来自病毒,黑客等的袭击,企业主机对此也必须做好预防。在安装应用程序的时候,还得注意它的合法权限,以防止它所携带的一些无用的插件或者木马病毒来影响主机的运行和正常工作,甚至盗取企业机密。 2.3外部安全 拒绝服务攻击。值得注意的是,当前运行商受到的拒绝服务攻击的威胁正在变得越来越紧迫。对拒绝服务攻击的解决方案也越来越受到国际上先进电信提供商的关注。对大规模拒绝服务攻击能够阻止、减轻、躲避的能力是标志着一个电信企业可以向客户承诺更为健壮、具有更高可用性的服务,也是真个企业的网络安全水平进入一个新境界的重要标志。 外部入侵。这里是通常所说的黑客威胁。从前面几年时间的网络安全管理经验和渗透测试结果来看,当前大多数电信网络设备和服务都存在着被入侵的痕迹,甚至各种后门。这些是对网络自主运行的控制权的巨大威胁,使得客户在重要和关键应用场合没有信心,损失业务,甚至造成灾难性后果。
电子政务网络安全解决方案
电子政务网络安全解决方案 一、结构简单、功能完善、安全可靠、高速实用、先进稳定的级别分明却又统一的网络。数据中心建设集中的数据中心,对所有的信息资源、空间、信用等数据进行集中存放、集中管理。为省及各市部门、单位的关键应用及关键设施提供机房、安全管理与维护。网络总体结构政府机构从事的行业性质是跟国家紧密联系的,所涉及信息可以说都带有机密性,所以其信息安全问题,如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。都将对政府机构信息安全构成威胁。为保证政府网络系统的安全,有必要对其网络进行专门安全设计。所谓电子政务就是政府机构运用现代计算机技术和网络技术,将其管理和服务的职能转移到网络上完成,同时实现政府组织结构和工作流程的重组优化,超越时间、空间和部门分隔的制约,向全社会提供高效、优质、规范、透明和全方位的管理与服务。实现电子政务的意义在于突破了传统的工业时代“一站式”的政府办公模式,建立了适应网络时代的“一网式”和“一表式”的新模式,开辟了推动社会信息化的新途径,创造了政府实施产业政策的新手段。电子政务的出现有利于政府转变职能,提高运作效率。图示:原有电子政务网络情况电子政务网络的应用系统和网络连接方式多样,由于网络本身及应用系统的复杂性,无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。非法进入的攻击者可能窃听网络上的信息、窃取用户的口令、数据库的信息;还可以篡改数据库内容、伪造用户身份、否认自己的签名;更有甚者,攻击者可以删除数据库内容、摧毁网络节点等等。因此在电子政务网络的建设中,构建网络安全系统以确保网络信息的安全可靠是非常必要的。物理安全风险分析网络物理安全是整个网络系统安全的前提。物理安全的风险主要有:◆地震、水灾、火灾等环境事故造成整个系统毁灭;◆电源故障造成设备断电以至操作系统引导失败或数据库信息丢失;◆设备被盗、被毁造成数据丢失或信息泄漏;◆电磁辐射可能造成数据信息被窃取或偷阅;◆报警系统的设计不足可能造成原本可以防止但实际发生了的事故。链路传输风险分析网络安全不仅是入侵者到政府机关内部网上进行攻击、窃取或其它破坏,他们完全有可能在传输线路上安装窃听装置,窃取你在网上传输的重要数据,再通过一些技术读出数据信息,造成泄密或者做一些篡改来破坏数据的完整性;以上种种不安全因素都对网络构成严重的安全威胁。因此,对于
信息系统安全解决方案.doc
信息系统安全解决方案4 信息系统安全解决方案 1 问题 1.1 概述 随着信息系统的网络化并日益服务于关键应用,信息系统安全已成为信息系统成功运行的基本前提,客户开始为信息安全大量投资,信息安全产品和服务也成为市场热点。虽然信息安全市场已经连续5年高速成长,但是由于信息安全涉及的领域非常广泛,而且信息系统也在不断快速发展,整个信息安全行业正处于快速变化阶段,上千个供应商在各个产品和服务领域激烈竞争。信息系统安全从复杂度上远比单纯的网络、服务器和基础应用要高,客户需要从包括安全规划、设计、产品选择、实施和运行管理等方面结合自己的实际情况进行综合的考虑。企业信息系统安全中遇到的主要问题: * 企业的安全风险评估。 * 企业的安全策略。 * 如何建立企业的安全体系。 * 产品选型和部署。 * 安全系统的运行和监控。 * 目标和预算之间的矛盾。
1.2 产品选择 面对市场上充斥的各种安全产品,如何正确的选择? 错误的选择产品,可能会导致如下的严重后果: 产品不能提供要求的功能。 产品不能提供要求的性能。 产品与现有系统存在严重的不兼容性。 产品运行不稳定。 产品的部署要求对信息系统进行大规模调整。 产品的易用性很差,以致于很难推广。 厂家不能提供及时的支持服务。 过高的采购价格或总拥有成本。 导致错误的选择产品的原因包括: 厂家不当的产品声明或隐瞒产品缺陷。 著名品牌下的低劣产品品质。有的厂家出于完善产品线的目的,将收购的不同产品置于一个著名的品牌,实际上同一品牌下的不同产品品质差别很大。 错误或不完善的系统设计。缺乏实际产品经验的技术人员通常会犯的错误,这些系统设计没有得到严格的审核。
电子政务信息安全解决方案
电子政务信息安全解决方案 佳能A700跌破2000 摩托C139售300元 爱国者MP4魅力再现轻骑兵音箱促销 -------------------------------------------------------------------------------- 近几年来,国际互联网得到了广泛应用,像网上办公、网上审批、网上申报、网上银行、网上税务、电子商务等系统的应用,改变了传统的工作模式和流程,大大提高了工作效率;但在给我们带来极大便利的同时,也带来了严重的安全问题,尤其是病毒破坏、黑客入侵、重要信息泄漏等造成的危害越来越大。尽管我们可以使用防火墙、代理服务器、入侵检测等安全措施,但是这些技术筑建的逻辑隔离,很难阻止黑客和内部用户的入侵和破坏,也就无法满足政府、军队、金融、电信等部门的信息安全要求;另外我们无法保证目前使用进口的计算机核心软硬件没有后门和漏洞。因此国家保密局规定“涉及国家秘密的计算机信息系统,不得直接或间接与国际互联网或其它公共网络联接,必须实行物理隔离”,这就要求用户重要数据和互联网切断物理连接,让黑客无机可乘,但是这样又不便利用互联网上丰富的信息资源。要达到既能有效地隔离内外网,又能方便地使用内外网的资源,可通过使用终端隔离、信道隔离、网络/服务器隔离等多种技术来构建的内外网。这样的网络至少要满足以下三个特征: 1、阻断内外网的物理传导,确保不能通过网络连接从外网侵入内网,同时防止内网信息通过网络连接泄漏到外网。 2、隔离内外网的物理存储,对于断电后会遗失信息的部件,如内存、处理器等暂存部件,要在网络转换时作清除处理,防止残留信息窜到外网;对于断电后非遗失性部件,如磁带机、硬盘等存储设备,内外网的信息要分开存储;严格限制使用软盘、光盘等可移动介质。 3、隔断内外网的物理辐射,确保内网信息不会通过电磁辐射或耦合方式泄漏到外网。 随着政务公开和政府上网工程的开展,很多政府部门的对外业务服务必须通过互联网来完成,如申报数据的接收、建议或意见的采集、处理结果的反馈等,而数据的审核、处理则需要由内网的工作人员来完成。因此,内外网之间的信息安全交换成为各政府部门需要迫切解决的问题。下面以行业信息化建设为例,设计了一种信息安全解决方案,如下图所示:第一层为政务内网,即政府部门内部的关键业务管理系统和核心数据应用系统,如公文系统、专项业务管理系统、面向管理层的统计分析系统、重大事件的决策分析处理系统、核心数据库系统等,需要采用包括身份鉴别、访问控制、数据保密、数据完整、防止否认、审计管理、可用性和可靠性等安全措施。通过物理隔离器与政务外网相联,在实现隔离网络间数据正常传输的同时,对传输的数据进行校验,过滤其中的黑客程序和病毒代码等破坏性信息,只允许与系统相关的数据进入内网;指定的数据和文档可以在内外网物理隔离的条件下单向或双向流转;保证内外网传输的信息是安全的、纯净的,对内部网络系统和数据不会造成影响和破坏。物理隔离器应具备以下功能和特性: 1、采用特殊协议方式,实现内外网安全隔离,关掉外网关TCP/IP协议,采用自行设计的专有协议,外网关只在数据链路层工作。 2、采用DSP开关通讯技术,在保证安全情况下实现数据交换。 3、访问登录设置功能,管理员登录后,开通用户账号和设置口令,设置不同级别的访