《网络安全等级保护问题清单与修复指南》
网络安全等级保护(简称“等保”)是国家对信息系统安全防护的重要规范,确保关键信息基础设施的安全稳定运行。本文将针对等保二级问题清单,详细介绍各环节的修复措施,包括操作系统、数据库系统、登录失败处理、远程管理、权限分离、默认账户管理及多余账户的清理等方面。
1. **操作系统和数据库系统用户身份标识与口令安全**
- **Centos**:需修改`/etc/passwd`和`/etc/shadow`文件,设置口令最大天数(`PASS_MAX_DAYS`)、最小天数(`PASS_MIN_DAYS`)、警告天数(`PASS_WARN_AGE`)和最小长度(`PASS_MIN_LEN`)。同时,在`/etc/system-auth`中配置密码复杂度规则,确保包含大小写字母、数字和其他字符。
- **Windows**:通过组策略编辑器,调整口令策略,包括复杂度和更换周期。
- **数据库系统**:使用`ALTER USER`命令设定口令过期策略,如Oracle中的`PASSWORD EXPIRE INTERVAL`。
2. **启用登录失败处理功能**
- **Centos**:在`/etc/sshd_config`中设置登录失败次数和解锁时间,同时在`/etc/login.defs`中同样配置。
- **Windows**:在“本地安全策略”中,调整账户锁定策略,包括重置计数器时间、账户锁定时间和锁定阈值。
- **数据库系统**:设置登录失败次数限制和相应的锁定措施。
3. **远程管理的安全措施**
- 防止鉴别信息在网络传输过程中被窃取,可采用SSL/TLS加密通信,或使用SSH等安全协议。
4. **分配独特的用户名**
- 为不同用户提供独立的用户名,确保每个用户名的唯一性,避免共享账户。
5. **访问控制功能**
- **Windows**:禁用不必要的服务,如Print Spooler,并关闭默认共享,如C$。
6. **特权用户的权限分离**
- **Centos**:创建不同角色(如系统管理员、安全管理员、安全审计员),并使用`sudoers`文件分配权限。
- **Windows**:创建不同权限级别的管理员账户。
- **数据库系统**:删除root账号,为不同需求创建具有相应权限的管理员账号。
7. **限制默认账户的访问权限和重命名**
- 删除多余账号,仅保留必要的默认账户(如Centos的root),并重命名Windows的默认账户(如`administrator`和`guest`)。
8. **及时清理多余的、过期的账户**
- 定期审计用户账户,删除不再使用的账户,禁止共享账户。
通过上述措施,可以有效提升系统安全性,符合等保二级的要求。然而,网络安全是一个持续的过程,需要定期检查和更新策略,以应对不断演变的威胁。因此,组织应建立完善的安全管理制度,培养员工的安全意识,并持续监控和改进网络安全状况。
