资源预览内容
第1页 / 共260页
第2页 / 共260页
第3页 / 共260页
第4页 / 共260页
第5页 / 共260页
第6页 / 共260页
第7页 / 共260页
第8页 / 共260页
第9页 / 共260页
第10页 / 共260页
亲,该文档总共260页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
中国移动操作系统安全配置手册密 级:文档编号:项目代号:中国移动操作系统安全配置手册Version 1.0中国移动通信有限公司二零零四年十一月拟 制:审 核:批 准:会 签:标准化:版本控制版本号日期参与人员更新说明分发控制编号读者文档权限与文档的主要关系1创建、修改、读取负责编制、修改、审核2批准负责本文档的批准程序3标准化审核作为本项目的标准化负责人,负责对本文档进行标准化审核4读取5读取目 录第一章 综述91.1 适用范围101.2 更新要求10第二章 WINDOWS系统通用安全标准112.1 windows系统安全模型112.2用户名和密码122.3域和委托132.4活动目录142.5登录192.6存储控制212.7管理安全模板242.8 windows审计子系统282.9注册表312.10 文件系统33第三章 WINDOWS主机安全配置353.1用户、用户组及其权限管理353.1.1对系统管理员账号进行限制353.1.2 密码策略363.1.3 账户锁定策略373.2远程访问主机系统373.2.1 对可以远程使用telnet服务的用户进行限定373.2.2 Pcanywhere远程接入383.3系统补丁393.3.1安装Windows补丁393.4文件系统增强423.4.1使用NTFS文件系统423.4.2删除OS/2和POSIX子系统433.4.3移动和对关键文件进行访问控制443.4.4关闭 NTFS 生成 8.3 文件名格式453.4.5设置 NTFS 的访问控制列表463.5防病毒483.5.1安装防病毒软件及其更新483.5.2 对web浏览器和电子邮件客户端的策略493.6系统服务调整503.6.1通过注册表项增强服务安全503.6.2停止schedule服务533.6.3根据情况停掉不必要的服务和组件543.6.4 SNMP服务安全策略553.7安全设置优化563.7.1隐含最后登陆用户名563.7.2登陆前显示一条警示信息563.7.3从登陆对话框中删除关机按钮573.7.4阻止未授权访问注册表583.7.5对关键注册表项进行访问控制593.8TCP/IP协议参数调整和端口过滤603.8.1优化TCP/IP,抵抗DoS攻击603.8.2禁用 IP 路由转发633.9Windows主机上DNS服务的安全增强(NT、2000 Server自带的DNS服务)633.9.1限制区域文件传输633.10 Windows主机上WWW服务的安全增强(IIS4、5)643.10.1及时升级最新的IIS版本和安装最新的补丁643.10.2启用日志记录663.10.3删除未使用的脚本映射663.10.4在 IIS 服务器上更新根目录的 CA 证书673.11Windows主机上SQL SERVER服务的安全增强(V7、V2000)693.11.1 使用安全的密码策略693.11.2加强数据库日志的记录693.11.3管理扩展存储过程703.11.4对网络连接进行IP限制713.11.5针对SLAMMER蠕虫723.12 Windows主机上共享服务的安全增强733.12.1删除所有默认的网络共享733.12.2限制匿名网络访问743.12.3关闭文件和打印机共享753.13审计和日志763.13.1开启系统和文件审核763.13.2针对注册表的审核773.13.3日志文件的管理77第四章 UNIX系统通用安全标准804.1身分标识804.1.1 账户设定804.1.2 用户属性814.1.3 停用无用的用户824.2身分鉴别834.2.1使用/etc/passwd文件834.2.2设置密码规则854.3访问控制854.4安全事件审计904.5数据保护954.5.1 加密954.5.2 使用MD5 Checksum 检查一致性974.6网络服务设定974.7网络监视和入侵检测994.8 备份/恢复100第五章 SOLARIS系统安全配置1015.1 身分识别1015.1.1 账户设定1015.1.2 配置umask设置1015.1.3 停用无用的账户1025.2 身分验证1025.2.1 设定BIOS口令1025.2.2 设定账户口令规则1035.3 访问控制1045.3.1特权程序配置1045.3.2 更改登录屏幕的欢迎消息1075.3.3 强制自动注销1075.3.4 限制Root只可从控制台存取1085.4 数据保护1095.5安全事件审计1175.5.1 设定事件审计1175.5.2检视 Cron 档案1195.6网络服务设定1205.6.1设置OpenBoot的安全1205.6.2设置堆栈溢出保护1215.6.3设置inetd的启动方式1225.6.3 增强TCP序列号强度1225.6.4调整网络参数1235.6.5 关闭不必要的服务1255.6.5.1关闭BSD R系列服务1275.6.5.2关闭RPC服务1285.6.5.3 关闭/etc/rc2.d中的无用服务1295.6.5.4关闭其它不常用的服务1315.6.5.5关闭TCP/UDP小服务1325.6.5.6关闭Time(时钟同步)服务1325.6.6 Telnet服务1335.6.7 NFS服务安全配置1345.6.8 X-windows1355.6.9 SNMP 服务1365.6.10Sendmail 的配置设定1375.6.11 安装 SSH Secure Shell1385.6.12 架构FTP1405.6.13 架构名称解析服务(DNS)1425.6.14 架构网站服务器1485.6.13 TcpWrapper安全配置1505.7 入侵检测1525.8 其它安全设定1555.8.1 更新及修补1555.8.2 其它安全注意事项1585.8.3 SUDO安全配置1595.9 残留风险规避163第六章AIX系统安全配置1646.1 身分识别1646.1.1 账户设定1646.1.2 推荐用户属性1656.1.3用户帐户控制1666.1.4登录用户标识1696.1.5使用访问控制表增强用户安全性1696.1.6停用无用的账户(Unnecessary Accounts)1696.2身分验证1716.2.1设定BIOS通行码1716.2.2设定账户密码1716.2.3使用 /etc/passwd 文件1726.2.4使用 /etc/passwd 文件和网络环境1746.2.5隐藏用户名和密码1756.2.6设置推荐的密码选项1756.2.7扩展密码限制1776.3访问控制1786.3.1保护使用者环境设定(User Configurations)1786.3.2使用 Noshell180设置登录控制1816.3.4更改登录屏幕的欢迎消息1826.3.5更改公共桌面环境的登录屏幕1836.3.6设置系统缺省登录参数1836.3.7保护无人照管终端1846.3.8强制自动注销1846.3.9限制Root只可从控制台存取1856.3.10保护SUID 程序1866.3.11限制性的Restricted Shell1866.3.12检查World Writable Files1876.3.13使用 TCP Wrappers 限制存取1886.4数据保护1896.4.1完整性检测(Integrity Checking)1896.4.2使用MD5 Checksum 检查一致性1906.5安全事件记录1906.5.1加强系统日志1906.5.2系统错误日志工具(Systems Error Log)1916.5.3检查Cron 文件1926.5.4清除文件及目录1936.6网络服务设定1936.6.1防止IP 转送及主机欺骗(Host Spoofing)1936.6.2设定闲置(Inactive)的Time-out值1946.6.3关闭不必要的服务1946.6.4X-windows1996.6.5SNMP 服务2026.6.6Sendmail 的配置设定2026.6.7安装 SSH Secure Shell2046.6.8架构Anonymous FTP2146.6.9架构名称解析服务(DNS)2206.6.10架构网站服务器2216.7入侵侦测2266.8其它安全设定2276.8.1最少操作系统安装2276.7.2移除多余的组件2286.7.3更新及修补229第七章 HP-UX系统安全配置2317.1身份识别2317.2身份验证2327.3访问控制2347.4数据保护2367.5安全事件审计2407.6网络服务设定2417.7入侵检测2447.8其它安全设定2467.9 残留风险规避249第八章 实施效果和残留风险2528.1实施效果2528.2残留风险252第一章 综述随着中国移动通信公司互联网网络规模和各种业务系统不断扩大,主机系统安全问题愈见突出。现有的主机系统为保证业务的连续运行,必须具有足够的安全水平抵御网络上的各种安全弱点探测和恶意攻击。本文档制定中国移动统一的主机安全策略标准,以指导中国移动各业务系统和网管系统的主机设备以及维护终端的安全配置和维护,按照“积极预防、及时发现、快速反应、确保恢复”的原则,立足于主机系统自身安全机制增强主机系统安全性,从而提高中国移动的主机系统的总体安全水平。本主机系统安全策略不是一个完整的系统安全解决方案,而是中国移动网络主机系统安全体系建设的安全技术参考。本主机系统安全策略对中国移动所广泛使用的Windows系统、Unix系统安全特性进行了深入分析,仅从安全技术角度分析了中国移动各类主机系统应用的安全现状和安全风险,并在此基础上阐述了针对特定系统、特定应用的安全策略配置。最后针对中国移动网络主机安全需求给出了相应的安全审计建议。全文共分为八章,第一章 综述、第二章 Windows主机系统的安全机制、第三章 Windows主机安全配置、第四章Unix通用安全标准,第五章 Solaris主机系统安全配置、第六章 AIX主机系统安全配置,第七章 HP-Unix主机系统安全配
收藏 下载该资源
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号