运维管控与安全审计系统
绿盟堡垒机安全基线技术要求
设备管理
转变传统IT 安全运维被动响应的模式,建立面向用户的集中、主动的运维安全管控模式,降低人为安全风险,满足合规要求,保障公司效益。
基线标准要求
基线技术点(参数)
说明
远程管理
使用浏览器或第三方工具,采用HTTPS安全连接至堡垒机,进行对堡垒机的安全管理和审计,以及运维人员采用此方式登录堡垒机来操作目标设备。
除初次设置堡垒机时,利用Console口完成对堡垒机的连接设置和管理外,主要是采用HTTPS安全连接的。
参考配置操作:
HTTPS是堡垒机系统默认协议。
远程管理
限制登录闲置超时时间
设置登录闲置超时时间为5分钟
参考配置操作:
以堡垒机管理员(weboper)身份,web方式登陆堡垒机:,系统---》系统配置---》认证配置,web超时时间设置为600秒,确定。
远程管理
限制数据库审计外的其他无关服务
限制无关网络服务,增强堡垒机的安全。
参考配置操作:
以堡垒机管理员(weboper)身份,web方式登陆堡垒机:,系统---》系统配置---》引擎,除数据库审计服务开启外,其他服务均关闭,确定。
用户账号与口令安全
应配置用户账号与口令安全策略,提高设备账户与口令安全。
基线技术要求
基线标准点(参数)
说明
账号和密码管理
更改系统初始帐号和密码
系统内置账号weboper、webaudit和conadmin不能更改用户名,但必须在完成初始配置后,尽快修改缺省密码。
参考配置操作:
1、以堡垒机管理员(weboper)身份,web方式登陆堡垒机:,对象---》用户,选择weboper,点右边的操作按钮,在弹出的对话框中,更改weboper的密码,确定。
2、以堡垒机审计员(webaudit)身份,web方式登陆堡垒机:,对象---》用户,选择webaudit,点右边的操作按钮,在弹出的对话框中,更改webaudit的密码,确定。
3、在初次用console方式对堡垒机进行配置时,使用conadmin账号登陆后,应先修改conadmin用户的密码。
账号和密码管理
限制密码最短长度
应将帐户密码最短长度设置为8位
账号和密码管理
控制密码复杂度
密码必须是字母、数字和特殊字符任意两种组合
账号和密码管理
密码有效期
每3个月更换一次用户密码
账号登录
最大登录尝试
设置最大登录尝试次数
参考配置操作:
以堡垒机管理员(weboper)身份,web方式登陆堡垒机:,系统---》系统配置---》参数配置,登陆尝试次数设置为5次,确定。
日志与审计
堡垒机支持“日志零管理”技术。提供:日志信息自动备份维护、提供多种详细的日志报表模板、全程运维行为审计(包括字符会话审计、图形操作审计、数据库运维审计、文件传输审计)
基线技术要求
基线标准点(参数)
说明
管理配置
堡垒机审计员(webaudit)有权限审计堡垒机的操作日志,其他用户无权限。
webaudit是堡垒机的内置审计员账号,负载堡垒机的日志和运维审计。
参考配置操作:
以webaudit身份,web登陆:,进行日志审计操作。
安全审计
堡垒机系统自动存储和备份日志信息。
堡垒机安全基线技术手册 来自淘豆网m.daumloan.com转载请标明出处.
