Linux操作系统 合理配置应用帐号或用户自建帐号权限; 删除系统中多余的自建帐号; 修改帐号口令,确保系统帐号口令长度和复杂度满足安全要求; 禁用或删除非root的超级用户; 禁止系统伪帐户登录; 能够su为root的用户 在不影响业务系统正常运行情况下,停止或禁用与承载业务 无关的服务; 屏蔽与承载业务无关的网络端口 配置系统重要文件的访问控制策略,严格访问权限(如读、写、执行),避免被普通修改和删除; 设置合理的初始文件权限 关闭多余的远程管理方式; 使用安全的远程管理方式; 设置访问控制策略能够访问本机的用户或 IP 地址; 禁止 root 用户远程登陆; 在主机信任关系配置文件中,删除远程信任主机; 禁止 root 用户远程登陆; 屏蔽登录 banner 信息 开启口令复杂性要求,设置口令长度>8位; 开启口令复杂性要求 设置帐户锁定登录失败锁定次数、锁定时间; 修改帐户 TMOUT 值,设置自动注销时间 配置系统日志策略配置文件,使系统对鉴权事件、登录事件、 重要的系统管理、系统软硬件故障等进行审计; 对审计产生的数据分配合理的存储空间和存储时间; 设置合适的日志配置文件的访问控制避免被普通用户修改和删除 关闭存在漏洞的与承载业务无关的服务; 安装系统安全补丁; 通过访问控制对漏洞程序的访问
Unix系统
序号 检查项 评价指标 标准分值 评分标准 未合理配置应用帐号或用户自建帐号权限(扣1分) 未删除系统中多余的自建帐号(扣1分) 未修改帐号口令,系统帐号口令长度和复杂度未满足安全要求,存在弱口令(此项不得分) 未禁用或删除root之外的超级用户(扣1分) 未禁止系统伪帐户登录(扣1分) 未能够su为root的用户(扣1分) 未停止或禁用与承载业务无关的服务(扣1分) 实际得分 扣分问题记录 未能够su为root的用户 1 帐号管理 应对操作系统用户、用户组进行权限设置,应用系统用户和系统普通用户权限的定义遵循最小权限原则,删除系统多余用户,不能出现空口令或弱口令 7 6 2 网络服务 应关闭系统中不安全的服务,确保操作系统只开启承载业务所必需的网1.5 1.5 络服务和网络端口 未屏蔽承载业务无关的网络端口(扣0.5分) 未配置系统重要文件的访问控制策略,严格访问权限(如读、写、执行),避免被普通修改和删除(扣1分) 未设置合理的初始文件权限(扣1分) 未关闭多余的远程管理方式(扣1分) 未使用安全的远程管理方式(扣1分) 未设置访问控制策略能够访问本机的用户或IP地址(扣1分) 未禁止root用户远程登陆(扣1分) 未在信任关系配置文件中,限定远程信任主机(扣1分) 未屏蔽登录banner信息(扣0.5分) 未设开启口令复杂性要求,设置口令长度,重要系统的用户口令长度大于8位;一般系统的用户口令长度大于6位(扣0.5分) 3 数据访问控制 应只授予必要的用户必需的访问权限 2 2 1.未禁止root用户远程登陆(扣1分) 2.未在信任关系配置文件中,限定远程信任主机 3.5 4 网络访问控制 应能够访问本机的用户或IP地址 5.5 1 5 口令策略 应对操作系统设置口令策略,设置口令复杂性要求,为所有用户设置强壮的口令 1 未开启口令复杂性要求(扣0.5分) 应配置操作系统用户鉴别失败阀值及达到阀值所采取的措施,设置操作系统用户交互登录失败、管理控制台自锁,设置系统超时自动注销功能 未设置帐户锁定登录失败锁定次数、锁定时间(扣2分) 未修改帐户TMOUT值,设置自动注销时间(扣1分) 未配置系统日志策略配置文件,使系统对鉴权事件、登录事件、重要的系统管理、系统软硬件故障等进行审计(扣0.5分) 未对审计产生的数据分配合理的存储空间和存储时间(扣0.5分) 未设置合适的日志配置文件的访问控制避免被普通修改和删除(扣0.5分) 未关闭存在漏洞的与承载业务无关的服务(扣0.5分) 未安装系统安全补丁(扣2分) 未通过访问控制对漏洞程序的访问(扣1分) 3 6 用户鉴别 3 未对审计产生的数据分配合理的存储空间和存储时间 7 审计策略 应配置操作系统的日志功能,使系统对用户登录、系统管理行为、入侵攻击行为等重要事件进行审计,确保系统在发生安全事件时有日志可供分析 1.5 1 3.5 8 漏洞补丁 应安装系统安全补丁程序,对扫描或手工检查发现的系统漏洞进行修补 3.5
Apache 禁止非授权用户和组对 Apache 启动文件、配置文 件、根目录的写和执行权限; 使用 .htaccess 设置敏感目录或文件的访问权限; 编辑 Apache 配置文件,域、IP 地址或者IP网段对敏感目录访问 删除 Apache 不必要服务组件; 删除不需要的模块 开启 Apahce 的日志记录功能,并设置适合的日志文件等级与格式; 修改 Apache 日志的存放路径保证日志存放的地点的安全可靠; 修改日志访问权限,设置为只有属主和系统管理员才能访问 启用 Apache 的连接超时中断功能,并设置恰当的超时时间 应用部 网络部 安装系统安全补丁 Apache
序号 检查项 评价指标 标准分值 评分标准 实际得分 扣分问题记录 未禁止非授权用户和组对 Apache启动文件、配置文件、根目录的写和执行权限(扣1分) 未使用.htaccess设置敏感目录或文件的访问权限(扣1分) 1 应设置Aphache的敏感文件及配置数据访问控制 文件的写和执行权限,避免未授权的修改和删除 3 未编辑Apache配置文件,域、IP地址或者IP网段对敏感目录访问(扣1分) 2 服务设置 应删除系统调试用数据,关闭不需要服务并删除与提供服务无关的应用程序 2 未删除Apache不必要服务组 件(扣1分) 未删除不需要的模块(扣1分) 未开启Apahce的日志记录功能,并设置适合的日志文件等级与格式(扣1分) 未修改Apache日志的存放路径保证日志存放安全可靠(扣1分) 未修改日志访问权限,设置为只有属主和系统管理员才能访问(扣1分) 未启用Apache的连接超时中断功能,并设置恰当的超时时间(扣2分) 未安装补丁修补相关漏洞(扣2分) 3 审计策略 应配置系统日志,设置日志过滤规则,对安全审计范围、日志文件存放位置等进行配置,防止审计数据被非法删除、修改 3 4 用户鉴别 应设置系统超时自动注销功能 应对扫描或手工检查发现的系统漏洞进行修补,在测试环境中测试通过后安装系统安全补丁程序 2 5
漏洞补丁 2 MYSQL数据库
序号 检查项 评价指标 标准分值 评分标准 实际得分 扣分问题记录 未在操作系统用户中删除或禁 用调试帐号(扣1分) 未禁止匿名访问(扣1分) 未应用用户在数据库中的权限,尽量保证最小化(扣1分) 未运行MySQL数据库服务用户的权限,删除其家目录、删除shell(扣1分) 未删除系统中多余的自建帐号(扣1分) 未为所有用户设置强口令(此项不得分) 未严格MYSQL数据库对象的访问权限,合理配置数据库权限级别(扣1分) 未数据库配置文件的访问,只允许管理员或root访问(扣1分) 未停止或禁用与承载业务无关的服务(扣1分) 未删除测试数据库和示例数据 1 帐号权限 应以最小权限原则为每个帐号分配其必须的角色、系统权限、对象权限和语句权限,删除系统多余用户,避免使用弱密码 7 2 应配置数据库系统重要文件的访问数据访问控制 权限,只授予必要的用户必需的访问权限 2 3 服务设置 应删除默认安装时装载的示例数据库,确保数据库系统中只安装、运行完成系统各个业务所必需的程序、服 3 务、数据库 库(扣1分) 未删除历史命令记录(扣1分) 在不影响应用的前提下,未删除命名管道等应用协议,只保留tcp/ip协议(扣2分) 在不影响应用的前提下,未更改MYSQL默认的3306端口(扣0.5分) 4 网络访问控制 应删除多余的网络连接协议,更改默认的通信端口 2.5 5 审计策略 应配置数据库审计功能,使系统能记录安全事件的审计信息,防止审计数据被非法删除、修改 4.5 未启用审计功能,使系统能够 自动地记录对数据库的重要连接和系统更改行为(扣1分) 未配置日志管理策略、非法访问和修改审计日志文件(扣1分) 未删除数据库安装时,默认生成的安装日志文件或清除相关日志文件中保存的口令(扣2.5分) 未安装系统安全补丁(扣2分) 未使用加密协议对所有传输的数据进行保护,避免明文传输(扣1分) 6 漏洞补丁 应安装系统安全补丁,对扫描或手工检查发现的系统漏洞进行修补 2 7
应启用数据库的通信加密功能,保证通信信息安全 与数据库系统通信的数据在网络传输过程中的安全 1
