安全配置基线
编制规范 V1.0
第一章 概述
1.1目标和适用范围
安全基线是指满足最小信息安全保证的基本要求,作为XXX公司信息系统的初始化安装配置标准,以及实施安全评估或安全加固时提供标准依据与操作指导。
本规范作为制定安全基线的指导性文件,定义了XXX公司制定信息系统安全基线的范围,文件框架,设置基线时参考的技术标准以及基线示例。
1.2 参考文件
《中华人民共和国计算机信息系统安全保护条例》
《ISO 27001标准/ISO 27002指南》
《CIS-Controls & Implementation Groups》
《CIS Benchmarks》
1.3 术语和定义
暂无
第二章 文件框架
2.1 文件层级
一级文件:安全基线编制规范
二级文件:各细分领域的基线配置文件,以及基线评分表
三级文件:检查结果记录表单和基线检查评分表
2.2 基线覆盖范围
XXX公司安全基线定义,基于如下五大类来完善。
| 基线大类 |
细分领域 |
修订状态 |
| 操作系统 |
Microsoft Windows |
201912.v1 |
| Linux |
201912.v1 |
|
| 服务器软件 |
Web server |
未启动 |
| Midware |
未启动 |
|
| Database |
未启动 |
|
| Virtualization |
未启动 |
|
| 网络设备 |
Switch&Router |
未启动 |
| Firewalls |
未启动 |
|
| 移动设备 |
未启动 |
|
| 云服务 |
未启动 |
第一期计划,主要覆盖操作系统大类,包含桌面操作系统Microsoft Windows 10、Windows Server和Linux Server。
2.3 基线示例
| 编号 (格式:组织-管理对象-文件版本-类-项) |
XXX-MS_Win10-V1-1-1 |
| 控制要求 |
重命名管理员帐户;禁用 guest(来宾)帐户 |
| 操作指南 |
开始->运行->lusrmgr.msc,重命名administrator,禁用guest |
| 检测方法 |
开始->运行->lusrmgr.msc,查看本地用户 |
| 判定依据 |
缺省账户 administrator 已更名、guest 已停用 |