堡垒机安全基线技术手册

来源：动视网责编：小OO 时间：2025-09-29 21:43:19

堡垒机安全基线技术手册

1.1运维管控与安全审计系统1.1.1绿盟堡垒机安全基线技术要求1.1.1.1设备管理转变传统IT安全运维被动响应的模式，建立面向用户的集中、主动的运维安全管控模式，降低人为安全风险，满足合规要求，保障公司效益。基线标准要求基线技术点（参数）说明远程管理使用浏览器或第三方工具，采用HTTPS安全连接至堡垒机，进行对堡垒机的安全管理和审计，以及运维人员采用此方式登录堡垒机来操作目标设备。除初次设置堡垒机时，利用Console口完成对堡垒机的连接设置和管理外，主要是采用HTTPS安全连接的。参考配

推荐度：

点击下载本文 文档为doc格式

导读1.1运维管控与安全审计系统1.1.1绿盟堡垒机安全基线技术要求1.1.1.1设备管理转变传统IT安全运维被动响应的模式，建立面向用户的集中、主动的运维安全管控模式，降低人为安全风险，满足合规要求，保障公司效益。基线标准要求基线技术点（参数）说明远程管理使用浏览器或第三方工具，采用HTTPS安全连接至堡垒机，进行对堡垒机的安全管理和审计，以及运维人员采用此方式登录堡垒机来操作目标设备。除初次设置堡垒机时，利用Console口完成对堡垒机的连接设置和管理外，主要是采用HTTPS安全连接的。参考配

1.1运维管控与安全审计系统

1.1.1 绿盟堡垒机安全基线技术要求

1.1.1.1设备管理

转变传统IT 安全运维被动响应的模式，建立面向用户的集中、主动的运维安全管控模式，降低人为安全风险，满足合规要求，保障公司效益。

基线标准要求	基线技术点（参数）	说明
远程管理	使用浏览器或第三方工具，采用HTTPS安全连接至堡垒机，进行对堡垒机的安全管理和审计，以及运维人员采用此方式登录堡垒机来操作目标设备。	除初次设置堡垒机时，利用Console口完成对堡垒机的连接设置和管理外，主要是采用HTTPS安全连接的。
	参考配置操作： HTTPS是堡垒机系统默认协议。
远程管理	登录闲置超时时间	设置登录闲置超时时间为5分钟
	参考配置操作：以堡垒机管理员（weboper）身份，web方式登陆堡垒机：https://192.168.3.8，系统---》系统配置---》认证配置，web超时时间设置为600秒，确定。
远程管理	数据库审计外的其他无关服务	无关网络服务，增强堡垒机的安全。
	参考配置操作：以堡垒机管理员（weboper）身份，web方式登陆堡垒机：https://192.168.3.8，系统---》系统配置---》引擎，除数据库审计服务开启外，其他服务均关闭，确定。

1.1.1.2用户账号与口令安全

应配置用户账号与口令安全策略，提高设备账户与口令安全。

基线技术要求	基线标准点（参数）	说明
账号和密码管理	更改系统初始帐号和密码	系统内置账号weboper、webaudit和conadmin不能更改用户名，但必须在完成初始配置后，尽快修改缺省密码。
账号和密码管理	参考配置操作： 1、以堡垒机管理员（weboper）身份，web方式登陆堡垒机：https://192.168.3.8，对象---》用户，选择weboper，点右边的操作按钮，在弹出的对话框中，更改weboper的密码，确定。 2、以堡垒机审计员（webaudit）身份，web方式登陆堡垒机：https://192.168.3.8，对象---》用户，选择webaudit，点右边的操作按钮，在弹出的对话框中，更改webaudit的密码，确定。 3、在初次用console方式对堡垒机进行配置时，使用conadmin账号登陆后，应先修改conadmin用户的密码。
账号和密码管理	密码最短长度	应将帐户密码最短长度设置为8位
账号和密码管理	控制密码复杂度	密码必须是字母、数字和特殊字符任意两种组合
账号和密码管理	密码有效期	每3个月更换一次用户密码
账号登录	最大登录尝试	设置最大登录尝试次数
账号登录	参考配置操作：以堡垒机管理员（weboper）身份，web方式登陆堡垒机：https://192.168.3.8，系统---》系统配置---》参数配置，登陆尝试次数设置为5次，确定。

1.1.1.3日志与审计

堡垒机支持“日志零管理”技术。提供：日志信息自动备份维护、提供多种详细的日志报表模板、全程运维行为审计（包括字符会话审计、图形操作审计、数据库运维审计、文件传输审计）

基线技术要求	基线标准点（参数）	说明
管理配置	堡垒机审计员（webaudit）有权限审计堡垒机的操作日志，其他用户无权限。	webaudit是堡垒机的内置审计员账号，负载堡垒机的日志和运维审计。
管理配置	参考配置操作：以webaudit身份，web登陆：https://192.168.3.8，进行日志审计操作。
安全审计	堡垒机系统自动存储和备份日志信息。
安全审计	参考配置操作：无。堡垒机系统默认自动对日志和运维记录进行存储和备份。
日志保存要求	长期	堡垒机内置2TB硬盘，可以保存3年以内的日志信息；硬盘空间满后可以将日志信息导出至其他存储介质进行长期保存。

1.1.1.4安全防护

堡垒机采用专门设计的安全、可靠、高效的硬件平台。该硬件平台采用严格的设计和工艺标准，保证高可靠性。操作系统经过优化和安全性处理，保证系统的安全性。采用强加密的SSL传输控制命令，完全避免可能存在的嗅探行为，确保数据传输安全。

基线标准要求	基线技术点（参数）	说明
安全设置	仅开放443和22端口。	在防火墙上设置阻止443和22端口外的其他端口访问堡垒机，以增强堡垒机的安全性。
安全设置	参考配置操作：参考防火墙配置手册。

1.1运维监控系统

1.1.1Nagios和Centreon安全基线技术要求

监控工作主要由nagios完成，再通过ndo2db写入数据库，最后由centreon调用显示出来。有了centreon后就可以用web来操作了。

基线技术要求	基线标准点（参数）	说明
访问目录安全	隐藏访问目录

JMX-Console控制台密码	设置JMX-Console控制台密码	设置登录控制台的用户名和密码

Web-Console登录密码	设置Web-Console登录密码	设置Web-Console登录的用户名和密码

Web服务端口号（可选）	修改默认8080端口号	如果端口号与其他服务冲突，可修改此端口号

日志文件设置	设置自动清理规则，定期备份数据	防止Jboss的日志文件过于大，需要定期清理，确保日志文件的有效性

删除用不到的服务	将Mail，定时功能等用不到的服务直接删除	由于这些服务使用较少，且占用资源。为节约资源，降低安全隐患，直接将其删除即可

堡垒机安全基线技术手册

1.1运维管控与安全审计系统1.1.1绿盟堡垒机安全基线技术要求1.1.1.1设备管理转变传统IT安全运维被动响应的模式，建立面向用户的集中、主动的运维安全管控模式，降低人为安全风险，满足合规要求，保障公司效益。基线标准要求基线技术点（参数）说明远程管理使用浏览器或第三方工具，采用HTTPS安全连接至堡垒机，进行对堡垒机的安全管理和审计，以及运维人员采用此方式登录堡垒机来操作目标设备。除初次设置堡垒机时，利用Console口完成对堡垒机的连接设置和管理外，主要是采用HTTPS安全连接的。参考配

推荐度：

点击下载本文 文档为doc格式

热门焦点

堡垒机安全基线技术手册

堡垒机安全基线技术手册

堡垒机安全基线技术手册

最新推荐

猜你喜欢

热门推荐