主机安全技术规范.docxVIP

主机安全技术规范

本规范旨在构建全方位、高可用、纵深防御的主机安全防护体系，确保服务器主机在物理层、系统层、应用层及数据层的机密性、完整性与可用性。规范适用于组织内部所有Linux、Windows及其他Unix类操作系统的服务器，涵盖生产环境、测试环境及开发环境。所有主机在上线前必须完成基线加固，并定期接受合规性检查与漏洞扫描。

一、身份鉴别安全控制

身份鉴别是主机安全的第一道防线，必须确保只有经过授权的合法用户才能访问系统资源。此部分重点规范账户生命周期管理、密码复杂度策略及登录会话控制，防止未授权访问与暴力破解攻击。

1.1账户生命周期与密码策略

系统应严格限制超级管理员账户的使用，遵循“最小权限”原则。对于默认账户（如Windows的Guest、Linux的众多默认用户），若非业务必须，应一律禁用或删除。密码策略需同时针对账户复杂度、有效期、历史记录及重用进行约束，确保弱口令风险被消除。

针对Linux与Windows系统，具体的密码与账户配置策略如下表所示：

配置项

Linux配置参数/路径

Windows组策略路径

推荐值/要求

安全意义

密码最小长度

`/etc/login.defs`中`PASS_MIN_LEN`

账户策略-密码策略-最小密码长度

=12位

防止短密码被快速暴力破解

密码复杂度要求

`/etc/pam.d/system-auth`