系统安全基线

#信息安全 #工作 计划在等级保护测评服务中附加额外的安全基线测评。因为等保测评的工程师正好会对业务系统进行近距离接触和渗透，省去再额外安排安全检查的精力

1. 提供系统服务器清单及登录方式。

2. 系统具有专岗维护人员或维护单位为合规。提供系统维护人员及联系方式。

3. 系统签订维护协议，并提供协议书副本或关键页扫描件，系统维护协议在有效期内

4. 签订保密协议，提供保密协议扫描件

5. 具有维护操作手册

6. 有责任人

7. 测试系统不涉及生产数据

1. 计算机名称应便于识别应用系统的用途。举例：localhost, Windows_3ce5 这类名称不合规，jwc_xk_db_master这类为合规

2. 操作系统未安装与业务系统无关的软件与应用程序，特别是TeamViewer, 向日葵，frp等远控软件

3. 操作系统已通过GPS精确对时，学校有GPS 对时服务器：ntp.sicnu.edu.cn，将其配置到系统，并设置时区为东八区（中国标准时间）

4. 对敏感权限使用，敏感文件夹访问，网络活动，登录活动进行审计。Windows 可以配置安全审核策略和文件&文件夹审核策略，Linux可以配置auditd 进行审计

5. 将审计日志通过utf8编码推送中心服务器，中心服务器可以释读相关服务器日志。注：Windows使用nxlog 转换日志时可能遇到乱码，学校中心日志审计服务器192.168.80.16

6. 操作系统未开放与承载业务无关的网络端口

7. 操作系统禁止与业务无关的流量进入

8. 检查系统用户，检查可登录用户。系统不存在与维护无关的可登录用户。

9. 审核服务运行权限。运行服务的用户不应为root用户，Windows不应为超级管理员。必须以超级管理员运行的服务除外。

10. 审核数据备份策略及备份文件，重要系统数据备份周期不高于一周，一般系统不高于一月，保留副本不低于两份。提供备份文件创建日期等证明截图。

11. 安装安全防护软件，定期进行扫描，上次扫描时间在1个月以内，截图

1. 已删除默认中间件主页，比如nginx的默认主页

2. 审查用户注册逻辑。提供首次使用功能模块，并供用户生成账户为合规，采用批量导入为不合规。

3. 审查账户密码策略，按照业务系统所定级别，对用户帐户密码进行复杂度控制为合规，提供默认密码为不合规，审核密码期限策略，重要系统后台密码须强制两个月或两个月以下修改一次

4. 审查业务访问日志，向中心服务器推送业务访问日志的为合规

5. 通过web 形式提供服务的，系统维护员需要提供站点地图（即站点可访问的路径列表），审核所有访问路径，所有路径都配置合理权限要求为合规。