mysql三级等保加固_三级等保--物理网络主机加固内容.docx

物理整改：序号检查结果描述测评要求修复方法备注1机房出入口未安排专人值守，控制、鉴别和记录进入的人员a) 机房出入口应安排专人值守，控制、鉴别和记录进入的人员；机房安排专人进行职守，外来人员进出填写申请审批表、机房进出记录，填写运维工作记录、填写设备代入带出申请审批记录如无法安排人员职守也不会得零分，机房有门禁与监控设备可以适量得分2采取措施防止雨水通过机房窗户、屋顶和墙壁渗透b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。机房屋顶以及墙壁应做防水处理、可以刷防水涂料，或者配置机柜挡雨板等。如无法修复如果有环境监控报警系统也会得一定分数3未采取措施防止机房内水蒸气结露和地下积水的转移与渗透c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。地板下应设置防水围堰，设置排水沟渠如无法修复地板下配置环境监控漏水感应器可以得一定分数网络整改：序号检查结果描述测评要求修复方法备注1未对所有网络以及安全设备的运行状况、网络流量、用户行为等进行日志记录、waf日志空间已满a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；日志服务器中添加所有网络设备、安全设备设备运行日志，收集所有设备日志；包括操作日志，端口流量信息等如无法实现所有设备监控，起码保证出口防火墙，边界防火墙，核心交换机的运行情况、网络流量、用户行为得到记录，其他设备会扣除一定分数不影响通过2Waf日志满，交换机设备默认日志信息较少b) 审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；日志服务器中添加所有网络设备、安全设备设备运行日志，收集所有设备日志；包括操作日志，端口流量信息等主要调整日志服务器，日志记录信息起码包含发起者、时间、事件类型、结果等要素3系统中无违规外联监控系统a)应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。此条修复方式为服务器设备、内网运维计算机安装违规监控系统，控制服务器不得私自接入外部网络需要采购软件产品可不做修复4未对所有网络设备、安全设备的管理员登录地址进行限制b) 应对网络设备的管理员登录地址进行限制；可以做到网段级别登录地址范围限制最好做到IP级别限制5网络设备未配置口令复杂度策略d) 身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；交换机配置口令复杂度策略、过期修改口令策略部分网络设备可能不支持修改，只能通过管理制度规定来弥补6网络设备未配置登录失败处理策略e) 应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；配置口令错误5次锁定一定时间如果网络设备不支持可以通过IP登录地址范围设置，限制网络设备维护只能通过堡垒机进行，堡垒机具备该功能即可8网络设备远程管理未限制telnet等不安全方式不得访问f) 当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；配置网络设备禁用telnet方式开启ssh方式远程管理Window主机整改：序号检查结果描述测评要求修复方法备注1操作系统未开启口令复杂度策略b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；开始-运行-gpedit.msc-window设置-安全设置-账户策略-密码策略：1、开启复杂性要求2、设置密码长度最小值8；3、密码最短适用期限1；4、密码最长适用期限45；5、强制密码历史102操作系统未开启登录失败处理策略c) 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；开始-运行-gpedit.msc-window设置-安全设置-账户策略-账户锁定策略：账户锁定阀值5锁定时间30分钟3Window用户未实现操作系统和数据库特权用户分离b) 应实现操作系统和数据库系统特权用户的权限分离；Sqlserver数据库取消默认记住SA口令、orcale数据库不用修改4操作系统未重命名administrator帐号c) 应限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；重命名操作系统超级管理员帐号5系统存在共享帐号d) 应及时删除多余的、过期的帐户，避免共享帐户的存在。根据业务需要新建日常管理员帐号，起码需要存在审计管理帐号，新建audit用户；开始-运行-gpedit.msc-window设置-安全设置-本地策略，用户权限分配-管理审核和安全日志从中添加audit用户6操作系统未开启审核日志策略a) 审计范围应覆盖到服务器上的每个操作系统用户和数据库用户；开始-运行-gpedit.msc-window设置-安全设置-本地策略-审核策略-开启所有审核事件如为重要主机可以从高级审核策略配置中开启更多审核内容8操作系统未开启审核日志策略b