差别
这里会显示出您选择的修订版和当前版本之间的差别。
| 两侧同时换到之前的修订记录 前一修订版 | |||
| cyber-security:sec-baseline [2025/04/10 14:45] – change catagory ovwx@live.io | cyber-security:sec-baseline [Unknown date] (当前版本) – 外部编辑 (Unknown date) 127.0.0.1 | ||
|---|---|---|---|
| 行 1: | 行 1: | ||
| + | ====== 系统安全基线 ====== | ||
| + | |||
| + | # | ||
| + | |||
| + | ===== 综合信息收集& | ||
| + | |||
| + | 1. 提供系统服务器清单及登录方式。 | ||
| + | |||
| + | 2. 系统具有专岗维护人员或维护单位为合规。提供系统维护人员及联系方式。 | ||
| + | |||
| + | 3. 系统签订维护协议,并提供协议书副本或关键页扫描件,系统维护协议在有效期内 | ||
| + | |||
| + | 4. 签订保密协议,提供保密协议扫描件 | ||
| + | |||
| + | 5. 具有维护操作手册 | ||
| + | |||
| + | 6. 有责任人 | ||
| + | |||
| + | 7. 测试系统不涉及生产数据 | ||
| + | |||
| + | ===== 底层:系统侧安全审核 ===== | ||
| + | |||
| + | 1. 计算机名称应便于识别应用系统的用途。举例:localhost, | ||
| + | |||
| + | 2. 操作系统未安装与业务系统无关的软件与应用程序,特别是TeamViewer, | ||
| + | |||
| + | 3. 操作系统已通过GPS精确对时,学校有GPS 对时服务器:ntp.sicnu.edu.cn,将其配置到系统,并设置时区为东八区(中国标准时间) | ||
| + | |||
| + | 4. 对敏感权限使用,敏感文件夹访问,网络活动,登录活动进行审计。Windows 可以配置安全审核策略和文件& | ||
| + | |||
| + | 5. 将审计日志通过utf8编码推送中心服务器,中心服务器可以释读相关服务器日志。注:Windows使用nxlog 转换日志时可能遇到乱码,学校中心日志审计服务器192.168.80.16 | ||
| + | |||
| + | 6. 操作系统未开放与承载业务无关的网络端口 | ||
| + | |||
| + | 7. 操作系统禁止与业务无关的流量进入 | ||
| + | |||
| + | 8. 检查系统用户,检查可登录用户。系统不存在与维护无关的可登录用户。 | ||
| + | |||
| + | 9. 审核服务运行权限。运行服务的用户不应为root用户,Windows不应为超级管理员。必须以超级管理员运行的服务除外。 | ||
| + | |||
| + | 10. 审核数据备份策略及备份文件,重要系统数据备份周期不高于一周,一般系统不高于一月,保留副本不低于两份。提供备份文件创建日期等证明截图。 | ||
| + | |||
| + | 11. 安装安全防护软件,定期进行扫描,上次扫描时间在1个月以内,截图 | ||
| + | |||
| + | ===== 审核业务逻辑 ===== | ||
| + | |||
| + | ==== 用户登录,注册逻辑审查 ==== | ||
| + | |||
| + | 1. 已删除默认中间件主页,比如nginx的默认主页 | ||
| + | |||
| + | 2. 审查用户注册逻辑。提供首次使用功能模块,并供用户生成账户为合规,采用批量导入为不合规。 | ||
| + | |||
| + | 3. 审查账户密码策略,按照业务系统所定级别,对用户帐户密码进行复杂度控制为合规,提供默认密码为不合规,审核密码期限策略,重要系统后台密码须强制两个月或两个月以下修改一次 | ||
| + | |||
| + | 4. 审查业务访问日志,向中心服务器推送业务访问日志的为合规 | ||
| + | |||
| + | 5. 通过web 形式提供服务的,系统维护员需要提供站点地图(即站点可访问的路径列表),审核所有访问路径,所有路径都配置合理权限要求为合规。 | ||