操作系统安全配置制度

在应用以下安全制度之前应根据业务系统的实际情况进行操作，注意实施操作后对业务的风险。

01

补丁管理制度

a)

对于不能访问 Internet 的 Windows 系统，应采用手工打补丁的方式。

b)

应及时进行补丁更新，补丁的更新前应在测试系统中进行验证，验证通过后方可在正式系统进行部署

02

账户与口令制度

a)

 所有帐户均应设置口令。

b)

 应将系统管理员账号重命名,如windows系统的administrator,。

c)

 应禁止操作系统多余账号, 如windows系统的Guest。

d)  

应启用“密码必须符合复杂性要求”，设置“密码长度最小值”、“密码最长存留期”、“密码最短存留期”、“密码强制修改时间”，要求密码强度为8位以上字母大小写、数字和特殊字符组合，设置定期更换时间少于90天。

e)

应设置“登录失败次数”、“账户锁定时间”，“账户锁定阈值”，“复位账户锁定计数器”来防止远程密码猜测攻击。

f)

在信息安全组批准下，应定期利用口令破解软件进行口令模拟破解测试，在发现脆弱性口令后及时通告并采取强制性的补救修改措施。

03

网络服务制度

a)  

应尽可能减少网络服务，关闭不必要的服务。

b)

应通过修改注册表项，调整优化 TCP/IP 参数，来提高系统抵抗 DoS 攻击的能力。

c)

应限制使用 SNMP 服务。如果的确需要，应使用 V3 版本替代 V1、V2 版本，并启用 MD5 校验等功能。

04

文件系统制度

a)

所有分区均应使用 NTFS。

b)

尽量使用磁盘配额管理、文件加密（EFS）等功能。

c)  

应将所有常用的管理工具放在 %systemroot% 外的特殊目录下，并对其进行严格的访问控制，保证只有管理员才具有执行这些工具的权限。

d) 

应关闭 NTFS 生成 8.3 文件名格式。

e)  

应设置访问控制列表（ACL），对重要的目录、文件进行访问权限的限制。

05

日志制度

a)

应启用系统和文件审核功能，包括应用程序日志、安全日志、系统日志、以及各种服务的日志。

b)  

应更改日志存放的目录，并及时监控，特别是安全日志、系统日志。对于重要主机设备，应建立集中的日志管理服务器，实现对重要主机设备日志的统一管理，以利于对主机设备日志的审查分析。

06

安全性增强制度

a)

 对于独立服务器应直接检查本地的制度和配置。对于属于域的服务器，应检查域控制器上对计算机的域管理制度。检查内容主要为用户、用户组及其权限管理制度。

b) 

应限制对注册表的访问，严禁对注册表的匿名访问，严禁远程访问注册表，并对关键注册表项进行访问控制，以防止它们被攻击者用于启动特洛伊木马等恶意程序。

c) 

应定期检查注册表启动项目，避免系统被安装非法的自启动程序。

d)

应隐含最后登陆用户名，避免攻击者猜测系统内的用户信息。

e)

 在登录系统时应显示告警信息，防止用户对远程终端服务口令进行自动化的脚本猜测，并删除关机按钮。

f)

应删除 Windows 主机上所有默认的网络共享。

g)

应关闭对 Windows 主机的匿名连接。

h)

对于不需要共享服务的主机，应彻底关闭文件和打印机共享服务。

i)

应限制 Pcanywhere 等远程管理工具的使用，如确实需要，应使用最新版本，完整安装补丁程序并经过评测，获得信息安全工作组的许可；并使用 Pcanywhere 加密方式进行管理。

j) 

应安装防病毒软件，并及时更新软件版本和病毒库。

k) 

尽量安装防火墙。

二．UNIX/LINUX系统安全管理制度

01

补丁管理制度

a)  

应及时安装系统最新补丁。

b)  

应及时升级服务至最新版本，补丁的更新前应在测试系统中进行验证，验证通过后方可在正式系统进行部署。

02

账户与口令制度

a)  

所有帐户均应设置口令。

b) 

去除不需要的帐户、修改默认帐号的 shell 变量，如operator、halt、news、shutdown等用户。

c) 

除 root 外，不应存在其他 uid=0 的帐户。

d) 

应设置超时自动注销登陆，减少安全隐患。

e) 

应限制可以 su 为 root 的组。

f)

应禁止 root 远程登陆。

g)

在信息安全组批准下，应定期利用口令破解软件进行口令模拟破解测试，在发现脆弱性口令后及时通告并采取强制性的补救修改措施。

03

网络服务制度

a)

应尽可能减少网络服务，关闭不必要的服务。

b)

应启用 inetd 进站连接日志记录，增强审计功能。

c)

应调整优化 TCP/IP 参数，来提高系统抵抗 DoS 攻击的能力。

d)  

应调整TCP/IP 参数，禁止 IP 源路由。

e) 

应限制使用 SNMP 服务。如果的确需要，应使用 V3 版本替代 V1、V2 版本，并启用 MD5 校验等功能。

f) 

应调整内核参数打开“TCP随机序列号”功能。

04

文件系统制度

a)

 尽量使系统 root 用户初始创建权限(umask)为077。

b)

 尽量使用磁盘配额管理功能。

c)  

去除适当文件的 set-uid 和 set-gid 位。

d)

 应限制 /etc 目录的可写权限。

e)

 增强对关键文件的执行权限控制。

f)

 为不同的挂载点指派不同的属性。

05

日志制度

a)  

应对 ssh、su 登陆日志进行记录。

b)

除日志服务器外，应禁止 syslogd 网络监听514端口。

c)

对于重要主机设备，应建立集中的日志管理服务器，实现对重要主机设备日志的统一管理，以利于对主机设备日志的审查分析。

06

安全性增强制度

a)

 只允许 root 执行 crontab 命令。

b)

 应保证 bash shell 保存少量的（或不保存）命令。

c)

 应禁止 GUI 登陆。

d)

 应隐藏系统提示信息。

e)

 尽量安装第三方安全增强软件。

f)

 操作系统在作业正常或非正常结束以后，能清除分配给该作业的全部临时工作区域。

g)

系统能像保护信息的原件一样，精确地保护信息的拷贝。