三级等保--物理网络主机加固内容

1、物理整改：序号检查结果描述测评要求修复方法备注1机房出入口未安排专人值守，控制、鉴别和记录进入的人员a) 机房出入口应安排专人值守，控制、鉴别和记录进入的人员；机房安排专人进行职守，外来人员进出填写申请审批表、机房进出记录，填写运维工作记录、填写设备代入带出申请审批记录如无法安排人员职守也不会得零分，机房有门禁与监控设备可以适量得分2采取措施防止雨水通过机房窗户、屋顶和墙壁渗透b）应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。机房屋顶以及墙壁应做防水处理、可以刷防水涂料，或者配置机柜挡雨板等。如无法修复如果有环境监控报警系统也会得一定分数3未采取措施防止机房内水蒸气结露和地下积水的转移与渗透c）应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。地板下应设置防水围堰，设置排水沟渠如无法修复地板下配置环境监控漏水感应器可以得一定分数网络整改：序号检查结果描述测评要求修复方法备注1未对所有网络以及安全设备的运行状况、网络流量、用户行为等进行日志记录、waf日志空间已满a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；日志服务器中添加所有网络设备、安全设备设备运行

2、日志，收集所有设备日志；包括操作日志，端口流量信息等如无法实现所有设备监控，起码保证出口防火墙，边界防火墙，核心交换机的运行情况、网络流量、用户行为得到记录，其他设备会扣除一定分数不影响通过2Waf日志满，交换机设备默认日志信息较少b) 审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；日志服务器中添加所有网络设备、安全设备设备运行日志，收集所有设备日志；包括操作日志，端口流量信息等主要调整日志服务器，日志记录信息起码包含发起者、时间、事件类型、结果等要素3系统中无违规外联监控系统a)应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。此条修复方式为服务器设备、内网运维计算机安装违规监控系统，控制服务器不得私自接入外部网络需要采购软件产品可不做修复4未对所有网络设备、安全设备的管理员登录地址进行限制b) 应对网络设备的管理员登录地址进行限制；可以做到网段级别登录地址范围限制最好做到IP级别限制5网络设备未配置口令复杂度策略d) 身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；交换机配置口令复杂度策略、过期修改口

3、令策略部分网络设备可能不支持修改，只能通过管理制度规定来弥补6网络设备未配置登录失败处理策略e) 应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；配置口令错误5次锁定一定时间如果网络设备不支持可以通过IP登录地址范围设置，限制网络设备维护只能通过堡垒机进行，堡垒机具备该功能即可8网络设备远程管理未限制telnet等不安全方式不得访问f) 当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；配置网络设备禁用telnet方式开启ssh方式远程管理Window主机整改：序号检查结果描述测评要求修复方法备注1操作系统未开启口令复杂度策略b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；开始-运行-gpedit.msc-window设置-安全设置-账户策略-密码策略：1、开启复杂性要求2、设置密码长度最小值8；3、密码最短适用期限1；4、密码最长适用期限45；5、强制密码历史102操作系统未开启登录失败处理策略c) 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出

4、等措施；开始-运行-gpedit.msc-window设置-安全设置-账户策略-账户锁定策略：账户锁定阀值5锁定时间30分钟3Window用户未实现操作系统和数据库特权用户分离b) 应实现操作系统和数据库系统特权用户的权限分离；Sqlserver数据库取消默认记住SA口令、orcale数据库不用修改4操作系统未重命名administrator帐号c) 应限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；重命名操作系统超级管理员帐号5系统存在共享帐号d) 应及时删除多余的、过期的帐户，避免共享帐户的存在。根据业务需要新建日常管理员帐号，起码需要存在审计管理帐号，新建audit用户；开始-运行-gpedit.msc-window设置-安全设置-本地策略，用户权限分配-管理审核和安全日志从中添加audit用户6操作系统未开启审核日志策略a) 审计范围应覆盖到服务器上的每个操作系统用户和数据库用户；开始-运行-gpedit.msc-window设置-安全设置-本地策略-审核策略-开启所有审核事件如为重要主机可以从高级审核策略配置中开启更多审核内容8操作系统未开启审核日志策略b

5、) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；无需修改系统默认符合9操作系统未开启审核日志策略c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；无需修改系统默认符合10操作系统未开启审核日志策略d) 应保护审计记录，避免受到未预期的删除、修改或覆盖等。需配置远程日志服务器方可符合11操作系统未及时更新系统 补丁a) 操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。关闭不需要的服务如DHCP等，删除不必要的软件，定期更新系统补丁-手工更新需保留更新记录12操作系统未安装防恶意代码软件a) 应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；安装杀毒软件并更新病毒库至最新，至少完成一次全盘查杀，制定定期查杀策略13操作系统未安装防恶意代码软件b) 应支持防恶意代码软件的统一管理。 企业版杀毒软件可符合该规定14操作系统未开启登录超时锁定b) 应根据安全策略设置登录终端的操作超时锁定；开启屏幕保护程序，选择再次登录需要输入密码选项在“运行”里面输

6、入gpedit.msc，然后依次选择计算机配置，管理模板，windows组件-远程桌面服务-远程桌面会话主机-会话时间限制-设置活动但空闲的远程桌面服务会话时间限制15操作系统未限制终端访问地址范围a) 应通过设定终端接入方式、网络地址范围等条件限制终端登录；开始-运行-gpedit.msc-管理模版-网络-网络连接-window防火墙-标准配置文件-允许入站远程桌面例外Linux主机整改：序号检查结果描述测评要求修复方法备注1操作系统未开启口令复杂度策略b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；cd /etcvi login.defsPASS_MAX_DAYS 42PASS_MIN_DAYS 1PASS_MIN_LEN 8PASS_WARN_AGE 7修改/etc/pam.d/system-auth文件找到 password requisite pam_cracklib.so这么一行替换成如下：password requisite pam_cracklib.so retry=5 difok=3 minlen=10 ucredit=

7、-1 lcredit=-3 dcredit=-3 dictpath=/usr/share/cracklib/pw_dict参数含义：密码最长使用天数42密码最短使用天数1密码最小长度8密码记录7尝试次数：5 最少不同字符：3 最小密码长度：10 最少大写字母：1 最少小写字母：3 最少数字：32操作系统未开启登录失败处理策略c) 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；/etc/pam.d/system-authauth required pam_tally2.so onerr=fail deny=6 unlock_time=300 even_deny_root root_unlock_time=300参数含义：登录失败6次用户以及超级管理员有效-锁定300秒3检查操作系统目录权限是否合理a) 应启用访问控制功能，依据安全策略控制用户对资源的访问；Passwd、shadow文件应为400权限，应用系统主目录所有者应为应用系统帐号，避免为root4操作系统未重命名root帐号c) 应限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；用r

8、oot用户登录，修改/etc/passwd与/etc/shadow这两个文件 一、vi /etc/passwd 编辑passwd文件按i键进入编辑状态修改第1行第1个root为新的用户名按esc键退出编辑状态，并输入:x保存并退出二、vi /etc/shadow按i键进入编辑状态修改第1行第1个root为新的用户名按esc键退出编辑状态，并输入:x!强制保存并退出该操作有风险、可能影响依赖root用户的服务出现问题5系统存在共享帐号d) 应及时删除多余的、过期的帐户，避免共享帐户的存在。根据业务需要新建日常管理员帐号，起码需要存在审计管理帐号，日常运维帐号新建audit用户；并且添加var-log目录可读权限6操作系统未开启审核日志策略a) 审计范围应覆盖到服务器上的每个操作系统用户和数据库用户；# vi /etc/syslog.conf加入# The authpriv file has restricted access.authpriv.* /var/log/secure开启安全日志，日志文件位置/var/log/secure8操作系统未开启审核日志策略b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；无需修改系统默认符合9操作系统未开启审核日志策略c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；无需修改系统默认符合10操作系统未开启审核日志策略d) 应保护审计记录，避免受到未预期的删除、修改或覆盖等。需配置远程日志服务器方可符合11操作系统未及时更新系统 补丁a) 操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。关闭不需要的服务如DHCP等，linux系统更新操作较复杂可不做修改 修复难度较大不建议修复12操作系统未安装防恶意代码软件a) 应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；安装杀毒软件并更新病毒库至最新，至少完成一次全盘查杀，制定定期查杀策略修复难度较大不建议修复13操作系统未安装防恶意代码软件b) 应支持防恶意代码软件的统一管理。 企业版杀毒软件可符合该规定修复难度较大不建议修复14操作系统未开启

《三级等保--物理网络主机加固内容》由会员徐俊分享，可在线阅读，更多相关《三级等保--物理网络主机加固内容》请在金锄头文库上搜索。