安全配置基线
编制规范 V1.0
第一章 概述
1.1目标和适用范围
安全基线是指满足最小信息安全保证的基本要求,作为XXX公司信息系统的初始化安装配置标准,以及实施安全评估或安全加固时提供标准依据与操作指导。
本规范作为制定安全基线的指导性文件,定义了XXX公司制定信息系统安全基线的范围,文件框架,设置基线时参考的技术标准以及基线示例。
1.2 参考文件
《中华人民共和国计算机信息系统安全保护条例》
《ISO 27001标准/ISO 27002指南》
《CIS-Controls & Implementation Groups》
《CIS Benchmarks》
1.3 术语和定义
暂无
第二章 文件框架
2.1 文件层级
一级文件:安全基线编制规范
二级文件:各细分领域的基线配置文件,以及基线评分表
三级文件:检查结果记录表单和基线检查评分表
2.2 基线覆盖范围
XXX公司安全基线定义,基于如下五大类来完善。
|
基线大类 |
细分领域 |
修订状态 |
|
操作系统 |
Microsoft Windows |
201912.v1 |
|
Linux |
201912.v1 |
|
|
服务器软件 |
Web server |
未启动 |
|
Midware |
未启动 |
|
|
Database |
未启动 |
|
|
Virtualization |
未启动 |
|
|
网络设备 |
Switch&Router |
未启动 |
|
Firewalls |
未启动 |
|
|
移动设备 |
未启动 |
|
|
云服务 |
未启动 |
第一期计划,主要覆盖操作系统大类,包含桌面操作系统Microsoft Windows 10、Windows Server和Linux Server。
2.3 基线示例
|
编号 (格式:组织-管理对象-文件版本-类-项) |
XXX-MS_Win10-V1-1-1 |
|
控制要求 |
重命名管理员帐户;禁用 guest(来宾)帐户 |
|
操作指南 |
开始->运行->lusrmgr.msc,重命名administrator,禁用guest |
|
检测方法 |
开始->运行->lusrmgr.msc,查看本地用户 |
|
判定依据 |
缺省账户 administrator 已更名、guest 已停用 |