IT主流设备安全基线技术规范 .pdfVIP

IT主流设备安全基线技术规范

1范围

本规范适用于中国XX电网有限责任公司及所属单位管理信息大区所有信息系统相关

主流支撑平台设备。2

规范性引用文件

下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本

适用于本规范。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本规

范。

――中华人民共和国计算机信息系统安全保护条例――中华人民共和国国家安全

法――中华人民共和国保守国家秘密法――计算机信息系统国际联网保密管理规定

――中华人民共和国计算机信息网络国际联网管理暂行规定――ISO27001标准

/ISO27002指南

――公通字[2021]43号信息安全等级保护管理办法

――GB/T21028-2021信息安全技术服务器安全技术要求――GB/T20269-

2021信息安全技术信息系统安全管理要求

――GB/T22239-2021信息安全技术信息系统安全等级保护基本要求――GB/T

22240-2021信息安全技术信息系统安全等级保护定级指南3

术语和定义

安全基线：指针对IT设备的安全特性，选择合适的安全控制措施，定义不同IT设备

的最低安全配置要求，则该最低安全配置要求就称为安全基线。

管理信息大区：发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系

统，原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区I)

和非控制区(安全区Ⅱ)；管理信息大区内部在不影响生产控制大区安全的前提下，可以根

据各企业不同安全要求划分安全区。根据应用系统实际情况，在满足总体安全要求的前提

下，可以简化安全区的设置，但是应当避免通过广域网形成不同安全区的纵向交叉连接。

4

总则

4.1指导思想

围绕公司打造经营型、服务型、一体化、现代化的国内领先、国际著名企业的战略总

体目标，为切实践行南网方略，保障信息化建设，提高信息安全防护能力，通过规范IT

主流设备安全基线，建立公司管理信息大区IT主流设备安全防护的最低标准，实现公司

IT主流设备整体防护的技术措施标准化、规范化、指标化。4.2目标

管理信息大区内IT主流设备安全配置所应达到的安全基线规范，主要包括针对AIX

系统、Windows系统、Linux系统、HPUNIX系统、Oracle数据库系统、MSSQL数据库系

统,WEBLogic中间件、ApacheHTTPServer中间件、Tomcat中间件、IIS中间件、Cisco

路由器/

交换机、华为网络设备、Cisco防火墙、Juniper防火墙和Nokia防火墙等的安全基

线设置规范。通过该规范的实施，提升管理信息大区内的信息安全防护能力。5

安全基线技术要求

5.1操作系统

5.1.1AIX系统安全基线技术要求设备管理

应通过配置系统安全管理工具，预防远程访问服务攻击或非授权访问，提高主机系统

远程管理安全。

基线技术要求管理远程工具基线标准点（参数）安装SSH理过程中传输数据的安

全安装TCPWrapper，配置配置本机访问控制列表，提高对主机系统访访问控制

/etc/hosts.allow,/etc/hos问控制ts.deny说明OpenSSH为远程管理高安全性工具，

可保护管用户账号与口令安全

应通过配置用户账号与口令安全策略，提高主机系统账户与口令安全。

基线技术要求1)2)3)4)5)限制系统无用的默认账号登录6)7)8)9)基线标

准点（参数）DaemonBinSysAdmUucp清理多余用户账号，限制系统默认账号登录，

Nuucp同时，针对需要使用的用户，制订用户列表Lpd进行妥善保存ImnadmLdap说明

10)Lp11)Snapp12)invscoutroot远程登录禁止禁止root远程登录基线技术要求

1)2)3)4)口令策略5)6)7)8)FTP用户账号控制基线标准点（参数）

maxrepeats=3minlen=8minalpha=4minother=1mindiff=4minage=1maxage=