中国移动Oracle数据库安全配置基线规范资料

中国移动O r a c l e数据库

配置安全基线规范

T i t l e{英文黑体四号}

版本号：2.０.０{黑体小四}

╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施

目录

1概述 (1)

1.1适用范围 (1)

1.2内部适用性说明 (1)

1.3外部引用说明 (2)

1.4术语和定义 (2)

1.5符号和缩略语 (4)

2ORACLE数据库（功能、配置）安全基线 (4)

2.1账号 (4)

2.2口令 (5)

2.3授权 (5)

2.4日志 (5)

2.5IP (5)

2.6其他 (6)

3编制历史 (6)

前言

本标准由中国移动通信有限公司网络部提出并归口。本标准由标准提出并归口部门负责解释。

本标准起草单位：中国移动通信有限公司网络部

本标准解释单位：同提出单位

1概述

1.1 适用范围

本规范适用于中国移动通信网、业务系统和支撑系统中使用的Oracle数据库

设备。本规范明确了设备的基本安全要求，为在设备入网测试、工程验收和设备

运行维护环节明确相关安全要求提供指南。本规范可作为编制设备入网测试规

范，工程验收手册，局数据模板等文档的参考。

1.2 内部适用性说明

本规范是依据《中国移动设备通用安全基线规范》中配置类基线要求的基础上提出的Oracle数据库安全基线配置规范，为便于比较，特作以下逐一比较及说明（在“采纳意见”部分对应为“完全采纳”、“部分采纳”、“增强要求”、“新增”、“不采纳”。在“补充说明”部分，对于增强要求的情况，说明在本规范的相应条款中描述了增强的要求。对于“不采纳”的情况，说明采纳的原因）。

1.3 外部引用说明

1.4 术语和定义

数据库角色

是Oracle数据库中用来定义一组对象权限的集合。

数据库超级管理员(SYSDBA)

具有SYSDBA权限的用户可以启动和停止数据库。

用户的Profile

Oracle通过Profile功能来对数据库帐号的某些属性进行限制，比如CPU使用率、每个用户的最大连接数、口令生存周期等。

数据库监听器

是一个在服务器端运行的，用作监听客户端连接的进程。它来授权和建立客户端与数据库服务器端的连接。

Oracle安全补丁

是由Oracle公司定期在其官方网站上发布的用作修补Oracle产品安全漏洞的补丁集。

Oracle高级安全性

Oracle高级安全性提供了3个组件来满足隐私保护和法规遵守的需求：透明的数据加密、网络加密和数据完整性以及强认证。

Oracle标签安全性(OLS)

Oracle标签安全性（OLS）通过把用户的安全性许可证与附加在数据行上的数据分类标签进行对比，来提供现成可用的行级安全性。在Oracle身份管理系统中可有效地管理整个企业的用户安全性许可证。

虚拟专用数据库

Oracle虚拟专用数据库（VPD）提供了可定制、基于政策的直至行一级的访问控制，以管理数据安全性和隐私保护。各项政策被有计划地附加到数据库的各个对象（表，视图）上，因而不管采用何种访问方法，政策都会得到执行。这样就消除了应用安全性问题，并为数据的整合奠定了基础，保护了各个数据集的分离性。

数据加密

Oracle数据加密特性为在介质上存储的数据提供了一个额外的保护层。现在，你可以保护至关重要的数据，如信用卡号码，甚至是介质被盗了，你的数据仍然是安全的。

BDUMP/UDUMP/CDUMP目录

是通过初始化参数background_dump_dest、core_dump_dest和user_dump_dest 来定义的Oracle数据库日志的输出目录。

1.5 符号和缩略语

2Oracle数据库（功能、配置）安全基线

（本部分应分大类逐条说明该类设备对应的功能基线或配置基线。对每大类规范要求应依据下面的格式。）

2.1账号

2.2口令

2.3授权

2.4日志

2.5IP

2.6其他

3编制历史

Linux安全配置基线.doc

中国移动集团管理信息系统部安全加固项目 Linux系统安全配置基线 中国移动集团公司第1页共15页 备注：中国移动集团管理信息系统部安全加固项目 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

中国移动集团公司第2页共15页版本版本控制信息更新日期更新人审批人V1.0创建2009年1月

中国移动集团管理信息系统部安全加固项目 目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 1.4实施 (1) 1.5例外条款 (1) 第2章账号管理、认证授权 (2) 2.1账号 (2) 2.1.1用户口令设置 (2) 2.1.2root用户远程登录限制 (2) 2.1.3检查是否存在除root之外UID为0的用户 (3) 2.1.4root用户环境变量的安全性 (3) 2.2认证 (4) 2.2.1远程连接的安全性配置 (4) 2.2.2用户的umask安全配置 (4) 2.2.3重要目录和文件的权限设置 (4) 2.2.4查找未授权的SUID/SGID文件 (5) 2.2.5检查任何人都有写权限的目录 (6) 2.2.6查找任何人都有写权限的文件 (6) 2.2.7检查没有属主的文件 (7) 2.2.8检查异常隐含文件 (7) 第3章日志审计 (9) 3.1日志 (9) 3.1.1syslog登录事件记录 (9) 3.2审计 (9) 3.2.1Syslog.conf的配置审核 (9) 第4章系统文件 (11) 4.1系统状态 (11) 4.1.1系统core dump状态 (11) 第5章评审与修订 (12)

XXXX农商银行信息系统安全基线技术规范

XXXX农商银行 信息系统安全配置基线规范 1范围 本规范适用于XXXX农商银行所有信息系统相关主流支撑平台设备。 2规范性引用文件 下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本规范。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本规范。 ——中华人民共和国计算机信息系统安全保护条例 ——中华人民共和国国家安全法 ——中华人民共和国保守国家秘密法 ——计算机信息系统国际联网保密管理规定 ——中华人民共和国计算机信息网络国际联网管理暂行规定 ——ISO27001标准/ISO27002指南 ——公通字[2007]43号信息安全等级保护管理办法 ——GB/T 21028-2007 信息安全技术服务器安全技术要求 ——GB/T 20269-2006 信息安全技术信息系统安全管理要求 ——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 ——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南 3术语和定义 安全基线：指针对IT设备的安全特性，选择合适的安全控制措施，定义不同IT设备的最低安全配置要求，则该最低安全配置要求就称为安全基线。 管理信息大区：发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统，原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ)；管理信息大区内部在不影响生产控制大区安全的前提下，可以根据各企业不同安全要求划分安全区。根据应用系统实际情况，在满足总体安全要求的前提下，可以简化安全区的设置，但是应当避免通过广域网形成不同安全区的纵向交叉连接。 4总则 4.1指导思想 围绕公司打造经营型、服务型、一体化、现代化的国内领先、国际著名企业的战略总体目标，为切实践行南网方略，保障信息化建设，提高信息安全防护能力，通过规范IT主流设备安全基线，建立公司管理信息大区IT主流设备安全防护的最低标准，实现公司IT主流设备整体防护的技术措施标准化、规范化、指标化。 4.2目标

Microsoft SQL Server安全配置基线

Microsoft SQL Server数据库系 统安全配置基线 中国移动通信公司管理信息系统部 2012年 4月

备注： 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录 第1章概述 (4) 1.1适用范围 (4) 1.2适用版本 (4) 1.3实施 (4) 1.4例外条款 (4) 第2章帐号与口令 (5) 2.1口令安全 (5) 2.1.1删除不必要的帐号* (5) 2.1.2SQLServer用户口令安全 (5) 2.1.3根据用户分配帐号避免帐号共享* (6) 2.1.4分配数据库用户所需的最小权限* (6) 2.1.5网络访问限制* (7) 第3章日志 (8) 3.1日志审计 (8) 3.1.1SQLServer登录审计* (8) 3.1.2SQLServer安全事件审计* (8) 第4章其他 (10) 4.1安全策略 (10) 4.1.1通讯协议安全策略* (10) 4.2更新补丁 (10) 4.2.1补丁要求* (10) 4.3存储保护 (11) 4.3.1停用不必要存储过程* (11) 第5章评审与修订 (13)

第1章概述 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的SQL Server 数据库应当遵循的数据库安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行SQL Server 数据库的安全合规性检查和配置。 1.1 适用范围 本配置标准的使用者包括：数据库管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的SQL Server数据库系统。 1.2 适用版本 SQL Server系列数据库。 1.3 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。 本标准发布之日起生效。 1.4 例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

(完整版)Linux安全配置基线

Linux系统安全配置基线 中国移动通信有限公司管理信息系统部 2009年3月

版本版本控制信息更新日期更新人审批人V1.0创建2009年1月 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 1.4实施 (1) 1.5例外条款 (1) 第2章账号管理、认证授权 (2) 2.1账号 (2) 2.1.1用户口令设置 (2) 2.1.2root用户远程登录限制 (2) 2.1.3检查是否存在除root之外UID为0的用户 (3) 2.1.4root用户环境变量的安全性 (3) 2.2认证 (4) 2.2.1远程连接的安全性配置 (4) 2.2.2用户的umask安全配置 (4) 2.2.3重要目录和文件的权限设置 (4) 2.2.4查找未授权的SUID/SGID文件 (5) 2.2.5检查任何人都有写权限的目录 (6) 2.2.6查找任何人都有写权限的文件 (6) 2.2.7检查没有属主的文件 (7) 2.2.8检查异常隐含文件 (7) 第3章日志审计 (9) 3.1日志 (9) 3.1.1syslog登录事件记录 (9) 3.2审计 (9) 3.2.1Syslog.conf的配置审核 (9) 第4章系统文件 (11) 4.1系统状态 (11) 4.1.1系统core dump状态 (11) 第5章评审与修订 (12)

第1章概述 1.1目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的LINUX操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行LINUX操作系统的安全合规性检查和配置。 1.2适用范围 本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的LINUX 服务器系统。 1.3适用版本 LINUX系列服务器； 1.4实施 本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。 本标准发布之日起生效。 1.5例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

Microsoft Windows安全配置基线

Windows 系统安全配置基线 中国移动通信有限公司管理信息系统部 2012年 04月

备注： 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录 第1章概述 (5) 1.1目的 (5) 1.2适用范围 (5) 1.3适用版本 (5) 1.4实施 (5) 1.5例外条款 (5) 第2章帐户管理、认证授权 (6) 2.1帐户 (6) 2.1.1 管理缺省帐户 (6) 2.1.2 按照用户分配帐户* (6) 2.1.3 删除与设备无关帐户* (7) 2.2口令 (7) 2.2.1密码复杂度 (7) 2.2.2密码最长留存期 (8) 2.2.3帐户锁定策略 (8) 2.3授权 (8) 2.3.1远程关机 (8) 2.3.2本地关机 (9) 2.3.3用户权利指派* (9) 2.3.4授权帐户登陆* (10) 2.3.5授权帐户从网络访问* (10) 第3章日志配置操作 (11) 3.1日志配置 (11) 3.1.1审核登录 (11) 3.1.2审核策略更改 (11) 3.1.3审核对象访问 (11) 3.1.4审核事件目录服务器访问 (12) 3.1.5审核特权使用 (12) 3.1.6审核系统事件 (13) 3.1.7审核帐户管理 (13) 3.1.8审核过程追踪 (13) 3.1.9日志文件大小 (14) 第4章IP协议安全配置 (15) 4.1IP协议 (15) 4.1.1启用SYN攻击保护 (15) 第5章设备其他配置操作 (17) 5.1共享文件夹及访问权限 (17) 5.1.1关闭默认共享 (17)

5.1.2共享文件夹授权访问* (17) 5.2防病毒管理 (18) 5.2.1数据执行保护 (18) 5.3W INDOWS服务 (18) 5.3.1 SNMP服务管理 (18) 5.3.2系统必须服务列表管理* (19) 5.3.3系统启动项列表管理* (19) 5.3.4远程控制服务安全* (19) 5.3.5 IIS安全补丁管理* (20) 5.3.6活动目录时间同步管理* (20) 5.4启动项 (21) 5.4.1关闭Windows自动播放功能 (21) 5.5屏幕保护 (21) 5.5.1设置屏幕保护密码和开启时间* (21) 5.6远程登录控制 (22) 5.6.1限制远程登陆空闲断开时间 (22) 5.7补丁管理 (23) 5.7.1操作系统补丁管理* (23) 5.7.2操作系统最新补丁管理* (23) 第6章评审与修订 (24)

TongWeb服务器安全配置基线

TongWeb服务器安全配置基线 TongWeb服务器 安全配置基线 中国移动通信有限公司管理信息系统部 2012年 04月

备注： 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 1.4实施 (1) 1.5例外条款 (1) 第2章账号管理、认证授权 (2) 2.1帐号 (2) 2.1.1应用帐号分配 (2) 2.1.2用户口令设置 (3) 2.1.3用户帐号删除 (3) 2.2认证授权 (4) 2.2.1控制台安全 (4) 第3章日志配置操作 (7) 3.1日志配置 (7) 3.1.1日志与记录 (7) 第4章备份容错 (9) 4.1备份容错 (9) 第5章IP协议安全配置 (10) 5.1IP通信安全协议 (10) 第6章设备其他配置操作 (12) 6.1安全管理 (12) 6.1.1禁止应用程序可显 (12) 6.1.2端口设置* (13) 6.1.3错误页面处理 (14) 第7章评审与修订 (16)

第1章概述 1.1 目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的TongWeb服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行TongWeb服务器的安全配置。 1.2 适用范围 本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的TongWeb 服务器系统。 1.3 适用版本 5.x版本的TongWeb服务器。 1.4 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。 本标准发布之日起生效。 1.5 例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

Sybase数据库安全配置基线

Sybase数据库安全配置基线 中国移动通信有限公司管理信息系统部 2012年 04月

备注： 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录 第1章概述 (4) 1.1目的 (4) 1.2适用范围 (4) 1.3适用版本 (4) 1.4实施 (4) 1.5例外条款 (4) 第2章帐号管理、认证授权安全要求 (5) 2.1帐号管理 (5) 2.2口令 (5) 2.2.1修改sa默认密码 (5) 2.2.2修改dba默认密码 (5) 2.2.3修改mon_user默认密码 (6) 2.2.4修改jagadmin默认密码 (6) 2.2.5修改entldbdbo默认密码 (7) 2.2.6修改PIAdmin默认密码 (7) 2.2.7修改PortalAdmin默认密码 (8) 2.2.8修改pkiuser默认密码 (8) 2.2.9修改pso默认密码 (9) 2.2.10密码复杂度 (10) 2.2.11最大错误登录次数* (10) 第3章其他安全要求 (12) 3.1其他安全配置 (12) 3.1.1补丁版本* (12) 3.1.2系统通用配置* (12) 第4章评审与修订 (15)

第1章概述 1.1 目的 本文档规定了中国移动管理信息系统部所维护管理的Sybase数据库应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行Sybase数据库的安全配置。 1.2 适用范围 本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。 本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的Sybase 数据库。 1.3 适用版本 Sybase数据库。 1.4 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。 本标准发布之日起生效。 1.5 例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

交换机设备安全基线

H3C设备安全配置基线 目录 第1章概述 ................................................................................................................................ 1.1目的.................................................................................................................................... 1.2适用范围............................................................................................................................ 1.3适用版本............................................................................................................................ 第2章帐号管理、认证授权安全要求 .................................................................................... 2.1帐号管理............................................................................................................................ 2.1.1用户帐号分配* .......................................................................................................... 2.1.2删除无关的帐号* ...................................................................................................... 2.2口令.................................................................................................................................... 2.2.1静态口令以密文形式存放 ........................................................................................ 2.2.2帐号、口令和授权 .................................................................................................... 2.2.3密码复杂度 ................................................................................................................ 2.3授权.................................................................................................................................... 2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 ........................................... 第3章日志安全要求 ................................................................................................................ 3.1日志安全............................................................................................................................ 3.1.1启用信息中心 ............................................................................................................ 3.1.2开启NTP服务保证记录的时间的准确性................................................................ 3.1.3远程日志功能* .......................................................................................................... 第4章IP协议安全要求 ............................................................................................................ 4.1IP协议 ............................................................................................................................... 4.1.1VRRP认证................................................................................................................... 4.1.2系统远程服务只允许特定地址访问 ........................................................................

Linux安全配置基线

Linux 系统安全配置基线 中国移动通信有限公司管理信息系统部 2009年 3月

备注： 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录 第1章概述 (1) 1.1目的 ....................................................................................................... 错误！未定义书签。 1.2适用范围 ............................................................................................... 错误！未定义书签。 1.3适用版本 ............................................................................................... 错误！未定义书签。 1.4实施 ....................................................................................................... 错误！未定义书签。 1.5例外条款 ............................................................................................... 错误！未定义书签。第2章账号管理、认证授权 . (2) 2.1账号 (2) 2.1.1用户口令设置 (2) 2.1.2root用户远程登录限制 (2) 2.1.3检查是否存在除root之外UID为0的用户 (3) 2.1.4root用户环境变量的安全性 (3) 2.2认证 (4) 2.2.1远程连接的安全性配置 (4) 2.2.2用户的umask安全配置 (4) 2.2.3重要目录和文件的权限设置 (4) 2.2.4查找未授权的SUID/SGID文件 (5) 2.2.5检查任何人都有写权限的目录 (6) 2.2.6查找任何人都有写权限的文件 (6) 2.2.7检查没有属主的文件 (7) 2.2.8检查异常隐含文件 (7) 第3章日志审计 (9) 3.1日志 (9) 3.1.1syslog登录事件记录 (9) 3.2审计 (9) 3.2.1Syslog.conf的配置审核 (9) 第4章系统文件 (11) 4.1系统状态 (11) 4.1.1系统core dump状态 (11) 第5章评审与修订 (12)

信息安全配置基线(整理)

Win2003 & 2008操作系统安全配置要求 2.1. 帐户口令安全 帐户分配：应为不同用户分配不同的帐户，不允许不同用户间共享同一帐户。 帐户锁定：应删除或锁定过期帐户、无用帐户。 用户访问权限指派：应只允许指定授权帐户对主机进行远程访问。 帐户权限最小化：应根据实际需要为各个帐户分配最小权限。 默认帐户管理：应对Administrator帐户重命名，并禁用Guest（来宾）帐户。 口令长度及复杂度：应要求操作系统帐户口令长度至少为8位，且应为数字、字母和特殊符号中至少2类的组合。 口令最长使用期限：应设置口令的最长使用期限小于90天。 口令历史有效次数：应配置操作系统用户不能重复使用最近 5 次（含 5 次）已使用过的口令。 口令锁定策略：应配置当用户连续认证失败次数为 5次，锁定该帐户30分钟。 2.2. 服务及授权安全 服务开启最小化：应关闭不必要的服务。 SNMP服务接受团体名称设置：应设置SNMP接受团体名称不为public或弱字符串。 系统时间同步：应确保系统时间与NTP服务器同步。 DNS服务指向：应配置系统DNS指向企业内部DNS服务器。 2.3. 补丁安全 系统版本：应确保操作系统版本更新至最新。 补丁更新：应在确保业务不受影响的情况下及时更新操作系统补丁。 2.4. 日志审计 日志审核策略设置：应合理配置系统日志审核策略。 日志存储规则设置：应设置日志存储规则，保证足够的日志存储空间。 日志存储路径：应更改日志默认存放路径。 日志定期备份：应定期对系统日志进行备份。 2.5. 系统防火墙：应启用系统自带防火墙，并根据业务需要限定允许通讯的应用程序或端口。 2.6. 防病毒软件：应安装由总部统一部署的防病毒软件，并及时更新。 2.7. 关闭自动播放功能：应关闭 Windows 自动播放功能。 2.8. 共享文件夹 删除本地默认共享：应关闭 Windows本地默认共享。 共享文件权限限制：应设置共享文件夹的访问权限，仅允许授权的帐户共享此文件夹。 2.9. 登录通信安全 禁止远程访问注册表：应禁止远程访问注册表路径和子路径。 登录超时时间设置：应设置远程登录帐户的登录超时时间为30 分钟。 限制匿名登录：应禁用匿名访问命名管道和共享。

DB数据库安全配置基线

DB2数据库系统安全配置基线 中国移动通信有限公司管理信息系统部 2012年 04月

备注： 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录 第1章概述 (4) 1.1适用范围 (4) 1.2适用版本 (4) 1.3实施 (4) 1.4例外条款 (4) 第2章帐号与口令 (5) 2.1帐号 (5) 2.1.1删除不必要的帐号* (5) 2.1.2分配数据库用户所需的最小权限* (5) 2.2口令 (6) 2.2.1DB2用户口令安全 (6) 第3章数据库权限 (7) 3.1从PUBLIC撤销隐式的权限和特权 (7) 3.1.1从PUBLIC撤销隐式的权限和特权 (7) 3.2跟踪隐式的特权 (9) 3.2.1跟踪隐式的特权 (9) 3.3检查用户许可和特权 (9) 3.3.1检查用户许可和特权* (9) 第4章DB2认证 (11) 4.1为SYS XXX_GROUP参数使用显式值 (11) 4.1.1为SYSxxx_GROUP 参数使用显式值 (11) 4.2使用加密的AUTHENTICATION模式 (11) 4.2.1使用加密的AUTHENTICATION模式 (11) 第5章DB2审计 (13) 5.1执行随机安全审计 (13) 5.1.1执行随机安全审计* (13) 第6章评审与修订 (14)

第1章概述 本文档规定了中国移动管理信息系统部所维护管理的DB2数据库系统应当遵循的数据库安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行DB2数据库系统的安全合规性检查和配置。 1.1 适用范围 本配置标准的使用者包括：数据库管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的DB2数据库系统。 1.2 适用版本 DB2数据库系统。 1.3 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。 本标准发布之日起生效。 1.4 例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

各类操作系统安全基线配置

各类操作系统安全配 置要求及操作指南 检查模块支持系统版本号 Windows Windows 2000 以上 Solaris Solaris 8 以上 AIX AIX 5.X以上 HP-UNIX HP-UNIX 11i以上 Linux 内核版本2.6以上 Oracle Oracle 8i以上 SQL Server Microsoft SQL Server 2000 以上 MySQL MySQL 5.x以上 IIS IIS 5.x以上 Apache Apache 2.x 以上 Tomcat Tomcat 5.x以上 WebLogic WebLogic 8.X以上

Windows操作系统 安全配置要求及操作指南 I 目录 目录..................................................................... I 前言.................................................................... II 1 范围 (1) 2 规范性引用文件 (1) 3 缩略语 (1) 4 安全配置要求 (2) 4.1 账号 (2) 4.2 口令 (3) 4.3 授权 (5) 4.4 补丁 (7) 4.5 防护软件 (8) 4.6 防病毒软件 (8) 4.7 日志安全要求 (9) 4.8 不必要的服务 (11) 4.9 启动项 (12) 4.10 关闭自动播放功能 (13) 4.11 共享文件夹 (13) 4.12 使用NTFS 文件系统 (14) 4.13 网络访问 (15) 4.14 会话超时设置 (16)

Windows系统安全配置基线

Windows系统安全配置基线

目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 第2章安装前准备工作 (1) 2.1需准备的光盘 (1) 第3章操作系统的基本安装 (1) 3.1基本安装 (1) 第4章账号管理、认证授权 (2) 4.1账号 (2) 4.1.1管理缺省账户 (2) 4.1.2删除无用账户 (2) 4.1.3用户权限分离 (3) 4.2口令 (3) 4.2.1密码复杂度 (3) 4.2.2密码最长生存期 (4) 4.2.3密码历史 (4) 4.2.4帐户锁定策略 (5) 4.3授权 (5) 4.3.1远程关机 (5) 4.3.2本地关机 (6) 4.3.3隐藏上次登录名 (6) 4.3.4关机清理内存页面 (7) 4.3.5用户权利指派 (7) 第5章日志配置操作 (8) 5.1日志配置 (8) 5.1.1审核登录 (8) 5.1.2审核策略更改 (8) 5.1.3审核对象访问 (8) 5.1.4审核事件目录服务器访问 (9) 5.1.5审核特权使用 (9) 5.1.6审核系统事件 (10) 5.1.7审核账户管理 (10) 5.1.8审核过程追踪 (10) 5.1.9日志文件大小 (11) 第6章其他配置操作 (11)

6.1共享文件夹及访问权限 (11) 6.1.1关闭默认共享 (11) 6.2防病毒管理 (12) 6.2.1防病毒软件保护 (12) 6.3W INDOWS服务 (12) 6.3.1 系统服务管理 (12) 6.4访问控制 (13) 6.4.1 限制Radmin管理地址 (13) 6.5启动项 (13) 6.4.1关闭Windows自动播放功能 (13) 6.4.3配置屏保功能 (14) 6.4.4补丁更新 (14) 持续改进 (15)

安全基线

安全基线项目 项目简介： 安全基准项目主要帮助客户降低由于安全控制不足而引起的安全风险。安全基准项目在NIST、CIS、OVAL等相关技术的基础上，形成了一系列以最佳安全实践为标准的配置安全基准。 二. 安全基线的定义 2.1 安全基线的概念 安全基线是一个信息系统的最小安全保证, 即该信息系统最基本需要满足的安全要求。信息系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行平衡, 而安全基线正是这个平衡的合理的分界线。不满足系统最基本的安全需求, 也就无法承受由此带来的安全风险, 而非基本安全需求的满足同样会带来超额安全成本的付出, 所以构造信息系统安全基线己经成为系统安全工程的首要步骤, 同时也是进行安全评估、解决信息系统安全性问题 的先决条件。 2.2 安全基线的框架 在充分考虑行业的现状和行业最佳实践，并参考了运营商下发的各类安全政策文件，继承和吸收了国家等级保护、风险评估的经验成果等基础上，构建出基于业务系统的基线安全模型 如图2.1所示：

图 2.1 基线安全模型 基线安全模型以业务系统为核心，分为业务层、功能架构层、系统实现层三层架构： 1. 第一层是业务层，这个层面中主要是根据不同业务系统的特性，定义不同安 全防护的要求，是一个比较宏观的要求。 2. 第二层是功能架构层，将业务系统分解为相对应的应用系统、数据库、操作系统、网络设备、安全设备等不同的设备和系统模块，这些模块针对业务层定义的安全防护 要求细化为此层不同模块应该具备的要求。 3. 第三层是系统实现层，将第二层模块根据业务系统的特性进一步分解，如将操作系统可分解为Windows、Solaris等系统模块，网络设备分解为华为路由器、Cisco路由器等系统模块……这些模块中又具体的把第二层的安全防护要求细化到可执行和实现的要求，称为Windows安全基线、华为路由器安全基线等。 下面以运营商的WAP系统为例对模型的应用进行说明：

信息安全及风险控制要求中国移动

中国移动通信集团福建有限公司互联网电视内容引入管理办法 中国移动通信集团福建有限公司 2017年9月

目录 第一章总则 (3) 第二章资质要求 (3) 第三章引入原则 (5) 第四章引入流程 (6) 第五章商务模式 (8) 第六章合同管理 (8) 第七章考核管理 (9) 第八章结算管理 (10) 第九章退出管理 (12) 第十章信息安全及风险控制要求 (12) 第十一章附则 (13) 附录 (13)

第一章总则 第一条为规范中国移动通信集团福建有限公司（以下简称福建移动）互联网电视内容引入管理，促进福建移动互联网电视快速、健康、有序发展，根据总部下发的《中国移动数据业务个人及家庭产品管理办法》规定，特制定本管理办法。 第二条本管理办法依据福建移动互联网电视平台内容建设目标，对合作伙伴的资质要求、信息安全、引入流程、商务模式、考核、结算、退出等相关流程进行了规定，更加系统、科学、规范地指导合作伙伴的引入和管理工作。 第三条福建移动互联网电视内容的引入遵循“多家选择、公平竞争、公开公正、诚实信用”的原则。建立科学的引入流程和评估机制。业务内容合作伙伴引入结果的决策遵循“高效务实、分级负责、集体决策”的原则。 第四条本制度用于指导省公司开展互联网电视，包含IPTV、OTT平台及相应三屏互动客户端上提供家庭业务内容和应用的合作伙伴的管理。 第五条省公司市场部负责牵头组织互联网电视内容引入工作，市场部、政企分公司、信息技术部、综合部、品质管理部组成专家组负责互联网电视内容申请引入的评审工作。

第二章资质要求 第六条福建移动互联网电视内容合作伙伴包括在电视、手机等多屏互动平台上提供视频内容的合作伙伴（以下简称“CP”）以及提供应用的合作伙伴（以下简称“AP”）。 第七条CP/AP需满足以下基本资质要求： （一）必须具有合法有效的企业法人营业执照（或组织机构代码证）、银行开户许可证、税务登记证。 （二）必须为具有独立法人资格的公司。公司注册成立时间需满一年；公司注册资金不低于50万元人民币；合资公司的中资合作公司注册资金不低于50万元人民币，外资股份比例不得超过50%。 （三）提供具有竞争力的产品，具备互联网电视业务内容运营经验，技术服务等能力。 （四）合作伙伴主要管理人员（包括但不限于公司的法人代表、总经理、市场、客服、网络技术的主要管理人员）应具有相近行业一年以上的管理经验，能够深入理解中国移动颁布的各项管理办法，并熟悉各项合作伙伴合作流程。 （五）若该合作伙伴与福建移动已有相近业务合作，则在申报当月前连续三个月在省公司的月度考核得分都必须在70分（含）以上，不足三个月则每月月度考核得分均要求在70（含）分以上。 （六）未列入中国移动不良信用记录，在全网或其他省运营过程中没有出现重大违约事件。

IT主流设备安全基线技术规范

1范围 本规范适用于中国XX电网有限责任公司及所属单位管理信息大区所有信息系统相关主流支撑平台设备。 2规范性引用文件 下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本规范。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本规范。 ——中华人民共和国计算机信息系统安全保护条例 ——中华人民共和国国家安全法 ——中华人民共和国保守国家秘密法 ——计算机信息系统国际联网保密管理规定 ——中华人民共和国计算机信息网络国际联网管理暂行规定 ——ISO27001标准/ISO27002指南 ——公通字[2007]43号信息安全等级保护管理办法

——GB/T 21028-2007 信息安全技术服务器安全技术要求 ——GB/T 20269-2006 信息安全技术信息系统安全管理要求 ——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 ——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南 3术语和定义 安全基线：指针对IT设备的安全特性，选择合适的安全控制措施，定义不同IT设备的最低安全配置要求，则该最低安全配置要求就称为安全基线。 管理信息大区：发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统，原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ)；管理信息大区内部在不影响生产控制大区安全的前提下，可以根据各企业不同安全要求划分安全区。根据应用系统

实际情况，在满足总体安全要求的前提下，可以简化安全区的设置，但是应当避免通过广域网形成不同安全区的纵向交叉连接。4总则 4.1指导思想 围绕公司打造经营型、服务型、一体化、现代化的国内领先、国际著名企业的战略总体目标，为切实践行南网方略，保障信息化建设，提高信息安全防护能力，通过规范IT主流设备安全基线，建立公司管理信息大区IT主流设备安全防护的最低标准，实现公司IT主流设备整体防护的技术措施标准化、规范化、指标化。 4.2目标 管理信息大区内IT主流设备安全配置所应达到的安全基线规范，主要包括针对AIX系统、Windows系统、Linux系统、HP UNIX 系统、Oracle数据库系统、MS SQL数据库系统,WEB Logic中间件、Apache HTTP Server中间件、Tomcat中间件、IIS中间件、Cisco路由器/交换机、华为网络设备、Cisco防火墙、Juniper 防火墙和Nokia防火墙等的安全基线设置规范。通过该规范的实

管理信息系统Oracle安全配置基线

Oracle数据库系统安全配置基线 中国移动通信有限公司管理信息系统部 2009年 3月

备注： 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录 第1章概述 (4) 1.1目的 (4) 1.2适用范围 (4) 1.3适用版本 (4) 1.4实施 (4) 1.5例外条款 (4) 第2章账号 (5) 2.1账号安全 (5) 2.1.1 删除不必要账号 (5) 2.1.2 限制超级管理员远程登录 (5) 2.1.3 用户属性控制 (6) 2.1.4 数据字典访问权限 (6) 第3章口令 (7) 3.1口令安全 (7) 3.1.1 账户口令的生存期 (7) 3.1.2 重复口令使用 (7) 3.1.3 认证控制 (8) 3.1.4 更改默认帐户密码 (8) 3.1.5 密码更改策略 (9) 3.1.6 密码复杂度策略 (9) 第4章日志 (11) 4.1日志审计 (11) 4.1.1 数据库审计策略 (11) 第5章其他 (12) 5.1其他配置 (12) 5.1.1 设置监听器密码 (12) 5.1.2 加密数据 (12) 第6章评审与修订 (13)

第1章概述 1.1 目的 本文档规定了中国移动管理信息系统部所维护管理的ORACLE数据库系统应当遵循的数据库安全性设置标准，本文档旨在指导数据库管理人员进行ORACLE数据库系统的安全配置。 1.2 适用范围 本配置标准的使用者包括：数据库管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的ORACLE数据库系统。 1.3 适用版本 ORACLE数据库系统； 1.4 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。 本标准发布之日起生效。 1.5 例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

电力安全标志牌标准规格说明

电力安全标志牌标准规格说明 电力安全标志 安全标志 安全标志 通过颜色与几何形状的组合表达通用的安全信息，并且通过附加图片符号表达特定安全信息的标志。 辅助标志 为另一个标志提供补充说明，起辅助作用的标志。 组合标志 在一个矩形载体上同时含有安全标志和辅助标志的标志。 禁止标志 禁止标志是禁止人们不安全行为的图形标志。 警告标志 提醒人们对周围环境引起注意，以避免可能发生危险的图片标志。

指令标志 强制人们必须做出某种动作或者采用防范措施的图片标志。 提示标志 向人们提供某种信息（如标明安全设施或者场所等）的图形标志。 2. 常用电力安全标志牌材质分为：塑料、铝反光、不锈钢、搪瓷、雪花板等。 3. 电力安全标志牌使用范围包括：电力，交通，消防，通信，公共信息，工地施工，工地安全，安全生产，矿山安全等。 4. 电力安全标志牌内容：安全标志牌，禁止类安全标志牌，警告类安全标志牌，指令类安全标志牌，提示类安全标志牌，线路相位安全标志牌，消防安全标志牌，通信安全标志牌，中国移动通信光缆牌，限速限高安全标志牌，塑料安全标志牌，铝反光安全标志牌，铝平印安全标志，铝腐蚀安全标志牌，不锈钢拉丝安全标志牌，不锈钢镜面安全标志牌，五角阀门牌，门牌号，中国电信标识牌，联通标识牌，职业危害告知牌，环保标志牌，安全生产标语牌，安全知识宣传牌等等。 5. 电力安全标志牌的颜色、形状的规定： （1）警告标志的颜色为黄底、黑边、黑图案，形状为等边三角形，顶角朝上。 （2）禁令标志的颜色为白底、红圈、红杠、黑图案，图案压杠。其中解除禁超车、解限制速度标志为白底、黑圈、黑杠、黑图案，图案压杠。形状为圆形，让路标志为顶角向下的等边三角形。 （3）指示标志的颜色为蓝底、白图案。形状为圆形、长方形和正方形。 （4）指路标志的颜色除里程碑、百米桩、公路界牌外，一般道路为蓝底、白图案。形状6. 安全标志牌尺寸：500*400 400*320 300*240 200*160 注：可根据客户要求定做生产。