XXXX农商银行信息系统安全配置基线规范1范围本规范适用于XXXX农商银行所有信息系统相关主流支撑平台设备。

2规范性引用文件下列文件对于本规范的应用是必不可少的。

凡是注日期的引用文件，仅注日期的版本适用于本规范。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本规范。

——中华人民共和国计算机信息系统安全保护条例——中华人民共和国国家安全法——中华人民共和国保守国家秘密法——计算机信息系统国际联网保密管理规定——中华人民共和国计算机信息网络国际联网管理暂行规定——ISO27001标准/ISO27002指南——公通字[2007]43号信息安全等级保护管理办法——GB/T 21028-2007 信息安全技术服务器安全技术要求——GB/T 20269-2006 信息安全技术信息系统安全管理要求——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南3术语和定义安全基线：指针对IT设备的安全特性，选择合适的安全控制措施，定义不同IT设备的最低安全配置要求，则该最低安全配置要求就称为安全基线。

管理信息大区：发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统，原则上划分为生产控制大区和管理信息大区。

生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ)；管理信息大区内部在不影响生产控制大区安全的前提下，可以根据各企业不同安全要求划分安全区。

根据应用系统实际情况，在满足总体安全要求的前提下，可以简化安全区的设置，但是应当避免通过广域网形成不同安全区的纵向交叉连接。

4总则4.1指导思想围绕公司打造经营型、服务型、一体化、现代化的国内领先、国际著名企业的战略总体目标，为切实践行南网方略，保障信息化建设，提高信息安全防护能力，通过规范IT主流设备安全基线，建立公司管理信息大区IT主流设备安全防护的最低标准，实现公司IT主流设备整体防护的技术措施标准化、规范化、指标化。

4.2目标管理信息大区内IT主流设备安全配置所应达到的安全基线规范，主要包括针对AIX系统、Windows系统、Linux系统、HP UNIX系统、Oracle数据库系统、MS SQL数据库系统,WEB Logic中间件、Apache HTTP Server中间件、Tomcat中间件、IIS中间件、Cisco路由器/交换机、华为网络设备、Cisco防火墙、Juniper防火墙和Nokia防火墙等的安全基线设置规范。

通过该规范的实施，提升管理信息大区内的信息安全防护能力。

5安全基线技术要求5.1操作系统5.1.1AIX系统安全基线技术要求5.1.1.1设备管理应通过配置系统安全管理工具，预防远程访问服务攻击或非授权访问，提高主机系统远程管理安全。

5.1.1.2用户账号与口令安全应通过配置用户账号与口令安全策略，提高主机系统账户与口令安全。

5.1.1.3日志与审计应对系统的日志进行安全控制与管理，保护日志的安全与有效性。

5.1.1.4服务优化应提高系统服务安全，优化系统资源。

5.1.1.5安全防护应对系统安全配置参数进行调整，提高系统安全。

5.1.1.6其他应对关键文件进行权限调整，提高关键文件的安全。

5.1.2Windows系统安全基线技术要求5.1.2.1补丁管理应使Windows操作系统的补丁达到管理基线。

5.1.2.2用户账号与口令安全应配置用户账号与口令安全策略，提高主机系统账户与口令安全。

5.1.2.3日志与审计应对系统的日志进行安全控制与管理，保护日志的安全与有效性。

5.1.2.4服务优化应提高系统服务安全，优化系统资源。

5.1.2.5安全防护应通过对系统配置参数调整，提高系统安全。

5.1.3Linux系统安全基线技术要求5.1.3.1设备管理应配置系统安全管理工具，预防远程访问服务攻击或非授权访问，提高主机系统远程管理安全。

5.1.3.2用户账号与口令安全应配置用户账号与口令安全策略，提高主机系统账户与口令安全。

5.1.3.3日志与审计应对系统的日志进行安全控制与管理，保护日志的安全与有效性。

5.1.3.4服务优化应提高系统服务安全，优化系统资源。

5.1.3.5安全防护应对Linux系统配置参数调整，提高系统安全。

5.1.4HP UNIX系统安全基线技术要求5.1.4.1设备管理应配置系统安全管理工具，预防远程访问服务攻击或非授权访问，提高主机系统远程管理安全。

5.1.4.2用户账号与口令安全应配置用户账号与口令安全策略，提高主机系统账户与口令安全。

5.1.4.3日志与审计应对系统的日志进行安全控制与管理，保护日志的安全与有效性。

5.1.4.4服务优化（可选）应提高系统服务安全，优化系统资源。

5.1.4.5安全防护应对系统配置参数进行调整，提高系统安全。

5.2数据库5.2.1Oracle 数据库系统安全基线技术要求5.2.1.1用户账号与口令安全应配置用户账号与口令安全策略，提高数据库系统账户与口令安全。

5.2.1.2日志与审计应对系统的日志进行安全控制与管理，保护日志的安全与有效性。

5.2.1.3安全防护应对系统配置参数进行调整，提高数据库系统安全。

5.2.2MS SQL 数据库系统安全基线技术要求5.2.2.1用户账号与口令安全应配置用户账号与口令安全策略，提高数据库系统账户与口令安全。

5.2.2.2日志与审计应对系统的日志进行安全控制与管理，保护日志的安全与有效性。

5.2.2.3安全防护应对SQL系统配置调整，提高系统安全。

5.3 中间件5.3.1 WEB Logic 中间件安全基线技术要求 5.3.1.1 设备管理应配置管理控制台，提高系统远程管理安全。

5.3.1.2 用户账号与口令安全应配置用户账号与口令安全策略，提高系统账户与口令安全。

5.3.1.3 日志与审计应对系统的日志进行安全控制与管理，保护日志的安全与有效性。

5.3.1.4安全防护应通过对Weblogic 系统配置参数调整，提高系统安全。

5.3.1.5其它内容应限制服务器的Socket数量。

5.3.2Apache HTTP Server中间件安全基线技术要求5.3.2.1用户账号与口令安全应配置用户账号与口令安全策略，提高系统账户与口令安全。

5.3.2.2日志与审计应对系统的日志进行安全控制与管理，保护日志的安全与有效性。

5.3.2.3服务优化应提高系统服务安全，优化系统资源。

5.3.2.4安全防护应通过对Apache的配置调整，提高系统安全。

5.3.2.5其它内容应加强文件的权限，提高文件的安全。

5.3.3Tomcat中间件安全基线技术要求5.3.3.1用户账号与口令安全应配置用户账号与口令安全策略，提高系统账户与口令安全。

5.3.3.2日志与审计应对系统的日志进行安全控制与管理，保护日志的安全与有效性。

5.3.3.3安全防护应对系统的配置进行调整，提高系统安全。

5.3.4IIS中间件安全基线技术要求5.3.4.1安全配置应通过对系统的参数进行配置，提高系统安全。

5.3.4.2日志与审计应对系统的日志进行安全控制与管理，保护日志的安全与有效性。

5.3.4.3其他内容应最小化脚本映射，达到减少被脚本攻击的风险。

5.4路由器/交换机5.4.1Cisco 路由器/交换机安全基线技术要求5.4.1.1设备管理应配置设备管理服务，预防远程访问服务攻击或非授权访问，提高网络设备远程管理安全。

5.4.1.2用户账号与口令安全应配置用户账号与口令安全策略，提高网络设备账户与口令安全。

5.4.1.3日志与审计应对系统的日志进行安全控制与管理，保护日志的安全与有效性。

5.4.1.4服务优化应提高网络设备的安全性，对设备服务进行优化。

5.4.1.5安全防护应对设备配置进行调整，提高设备或网络安全性。

5.4.2华为网络设备安全基线技术要求5.4.2.1设备管理应配置设备管理服务，预防远程访问服务攻击或非授权访问，提高网络设备远程管理安全。

5.4.2.2用户账号与口令安全应配置用户账号与口令安全策略，提高网络设备账户与口令安全。

5.4.2.3日志与审计应对系统的日志进行安全控制与管理，保护日志的安全与有效性。

5.4.2.4服务优化应提高网络设备的安全性，优化设备资源。

5.4.2.5安全防护应对设备配置进行调整，提高设备或网络安全性。

5.4.3中兴路由器/交换机安全基线技术要求5.4.3.1设备管理应配置设备管理服务，预防远程访问服务攻击或非授权访问，提高网络设备远程管理安全。

5.4.3.2用户账号与口令安全应配置用户账号与口令安全策略，提高网络设备账户与口令安全。

5.4.3.3日志与审计应对系统的日志进行安全控制与管理，保护日志的安全与有效性。

5.4.3.4服务优化应提高网络设备的安全性，对设备服务进行优化。

5.4.3.5安全防护应对设备配置进行调整，提高设备或网络安全性。

5.5防火墙5.5.1Cisco防火墙（Pix ASA FWSM）安全基线技术要求5.5.1.1设备管理应配置设备管理服务，预防远程访问服务攻击或非授权访问，提高安全设备远程管理安全。

5.5.1.2用户账号与口令安全应配置用户账号与口令安全策略，提高设备账户与口令安全。

5.5.1.3日志与审计应对系统的日志进行安全控制与管理，保护日志的安全与有效性。

5.5.1.4服务优化应提高设备的安全性，优化设备资源。

5.5.2Juniper(NetScreen系列)防火墙安全基线技术要求5.5.2.1设备管理应配置设备管理服务，预防远程访问服务攻击或非授权访问，提高安全设备远程管理安全。

5.5.2.2用户账号与口令安全应配置用户账号与口令安全策略，提高设备账户与口令安全。

5.5.2.3日志与审计应对系统的日志进行安全控制与管理，保护日志的安全与有效性。

5.5.2.4安全防护应对设备配置进行调整，提高设备或网络安全性。

5.5.3Nokia(CheckPoint系列)防火墙安全基线技术要求5.5.3.1设备管理应配置设备管理服务，预防远程访问服务攻击或非授权访问，提高安全设备远程管理安全。

5.5.3.2用户账号与口令安全应配置用户账号与口令安全策略，提高设备账户与口令安全。

5.5.3.3日志与审计应对系统的日志进行安全控制与管理，保护日志的安全与有效性。

5.5.3.4安全防护应对设备配置进行调整，提高设备或网络安全性。

5.5.4网御星云防火墙安全基线技术要求5.5.4.1设备管理应配置设备管理服务，预防远程访问服务攻击或非授权访问，提高网络设备远程管理安全。

5.5.4.2用户账号与口令安全应配置用户账号与口令安全策略，提高网络设备账户与口令安全。

5.5.4.3日志与审计应对系统的日志进行安全控制与管理，保护日志的安全与有效性。