堡垒机安全基线技术手册Word格式.docx

堡垒机安全基线技术手册Word格式.docx

《堡垒机安全基线技术手册Word格式.docx》由会员分享，可在线阅读，更多相关《堡垒机安全基线技术手册Word格式.docx（4页珍藏版）》请在冰点文库上搜索。

除初次设置堡垒机时，利用Console口完成对堡垒机的连接设置和管理外，主要是采用HTTPS安全连接的。

参考配置操作：

HTTPS是堡垒机系统默认协议。

限制登录闲置超时时间

设置登录闲置超时时间为5分钟

以堡垒机管理员（weboper）身份，web方式登陆堡垒机：

https:

//192.168.3.8，系统---》系统配置---》认证配置，web超时时间设置为600秒，确定。

限制数据库审计外的其他无关服务

限制无关网络服务，增强堡垒机的安全。

//192.168.3.8，系统---》系统配置---》引擎，除数据库审计服务开启外，其他服务均关闭，确定。

1.1.1.2用户账号与口令安全

应配置用户账号与口令安全策略，提高设备账户与口令安全。

基线技术要求

基线标准点（参数）

账号和密码管理

更改系统初始帐号和密码

系统内置账号weboper、webaudit和conadmin不能更改用户名，但必须在完成初始配置后，尽快修改缺省密码。

1、以堡垒机管理员（weboper）身份，web方式登陆堡垒机：

//192.168.3.8，对象---》用户，选择weboper，点右边的操作按钮，在弹出的对话框中，更改weboper的密码，确定。

2、以堡垒机审计员（webaudit）身份，web方式登陆堡垒机：

//192.168.3.8，对象---》用户，选择webaudit，点右边的操作按钮，在弹出的对话框中，更改webaudit的密码，确定。

3、在初次用console方式对堡垒机进行配置时，使用conadmin账号登陆后，应先修改conadmin用户的密码。

限制密码最短长度

应将帐户密码最短长度设置为8位

控制密码复杂度

密码必须是字母、数字和特殊字符任意两种组合

密码有效期

每3个月更换一次用户密码

账号登录

最大登录尝试

设置最大登录尝试次数

//192.168.3.8，系统---》系统配置---》参数配置，登陆尝试次数设置为5次，确定。

1.1.1.3日志与审计

堡垒机支持“日志零管理”技术。

提供：

日志信息自动备份维护、提供多种详细的日志报表模板、全程运维行为审计（包括字符会话审计、图形操作审计、数据库运维审计、文件传输审计）

管理配置

堡垒机审计员（webaudit）有权限审计堡垒机的操作日志，其他用户无权限。

　webaudit是堡垒机的内置审计员账号，负载堡垒机的日志和运维审计。

以webaudit身份，web登陆：

//192.168.3.8，进行日志审计操作。

安全审计

堡垒机系统自动存储和备份日志信息。

无。

堡垒机系统默认自动对日志和运维记录进行存储和备份。

日志保存要求

长期

堡垒机内置2TB硬盘，可以保存3年以内的日志信息；

硬盘空间满后可以将日志信息导出至其他存储介质进行长期保存。

1.1.1.4安全防护

堡垒机采用专门设计的安全、可靠、高效的硬件平台。

该硬件平台采用严格的设计和工艺标准，保证高可靠性。

操作系统经过优化和安全性处理，保证系统的安全性。

采用强加密的SSL传输控制命令，完全避免可能存在的嗅探行为，确保数据传输安全。

安全设置

仅开放443和22端口。

在防火墙上设置阻止443和22端口外的其他端口访问堡垒机，以增强堡垒机的安全性。

参考防火墙配置手册。

1.1运维监控系统

1.1.1Nagios和Centreon安全基线技术要求

监控工作主要由nagios完成，再通过ndo2db写入数据库，最后由centreon调用显示出来。

有了centreon后就可以用web来操作了。

访问目录安全

隐藏访问目录

JMX-Console控制台密码

设置JMX-Console控制台密码

设置登录控制台的用户名和密码

Web-Console登录密码

设置Web-Console登录密码

设置Web-Console登录的用户名和密码

Web服务端口号（可选）

修改默认8080端口号

如果端口号与其他服务冲突，可修改此端口号

日志文件设置

设置自动清理规则，定期备份数据

防止Jboss的日志文件过于大，需要定期清理，确保日志文件的有效性

删除用不到的服务

将Mail，定时功能等用不到的服务直接删除

由于这些服务使用较少，且占用资源。

为节约资源，降低安全隐患，直接将其删除即可