IT主流设备安全基线技术规范

IT主流设备安全基线技术规范1 范围本规范适用于中国XX电网有限责任公司及所属单位管理信息大区所有信息系统相关主流支撑平台设备。

2规范性引用文件下列文件对于本规范的应用是必不可少的。

凡是注日期的引用文件，仅注日期的版本适用于本规范。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本规范。

――中华人民共和国计算机信息系统安全保护条例――中华人民共和国国家安全法――中华人民共和国保守国家秘密法――计算机信息系统国际联网保密管理规定――中华人民共和国计算机信息网络国际联网管理暂行规定――ISO27001标准/ISO27002指南――公通字[2021]43号信息安全等级保护管理办法――GB/T 21028-2021 信息安全技术服务器安全技术要求――GB/T 20269-2021 信息安全技术信息系统安全管理要求――GB/T 22239-2021 信息安全技术信息系统安全等级保护基本要求――GB/T 22240-2021 信息安全技术信息系统安全等级保护定级指南 3术语和定义安全基线：指针对IT设备的安全特性，选择合适的安全控制措施，定义不同IT设备的最低安全配置要求，则该最低安全配置要求就称为安全基线。

管理信息大区：发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统，原则上划分为生产控制大区和管理信息大区。

生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ)；管理信息大区内部在不影响生产控制大区安全的前提下，可以根据各企业不同安全要求划分安全区。

根据应用系统实际情况，在满足总体安全要求的前提下，可以简化安全区的设置，但是应当避免通过广域网形成不同安全区的纵向交叉连接。

4总则4.1 指导思想围绕公司打造经营型、服务型、一体化、现代化的国内领先、国际著名企业的战略总体目标，为切实践行南网方略，保障信息化建设，提高信息安全防护能力，通过规范IT主流设备安全基线，建立公司管理信息大区IT主流设备安全防护的最低标准，实现公司IT主流设备整体防护的技术措施标准化、规范化、指标化。

华为设备安全配置基线目录概述目的规范配置华为路由器、交换机设备，保证设备基本安全。

适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

适用版本华为交换机、路由器。

帐号管理、认证授权安全要求帐号管理1.1.1用户帐号分配*1、安全基线名称：用户帐号分配安全2、安全基线编号：SBL-HUAWEI-02-01-013、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。

4、参考配置操作：[Huawei]aaa[Huawei-aaa]local-user admin password cipher admin123[Huawei-aaa]local-user admin privilege level 15[Huawei-aaa]local-user admin service-type ssh[Huawei-aaa]local-user user password cipher user123[Huawei-aaa]local-user user privilege level 4[Huawei-aaa]local-user user service-type ssh5、安全判定条件：（1）配置文件中，存在不同的账号分配（2）网络管理员确认用户与账号分配关系明确6、检测操作：使用命令dis cur命令查看：…#aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password cipher "=LP!6$^-IYNZPO3JBXBHA!!local-user admin privilege level 15local-user admin service-type sshlocal-user user password cipher "=LP!6$^-IYNZPlocal-user user privilege level 4local-user user service-type ssh#对比命令显示结果与运维人员名单，如果运维人员之间不存在共享账号，表明符合安全要求。

信息安全管理员-初级工模拟题（附答案）一、单选题（共43题，每题1分，共43分）1.以下哪种不是Spark支持的模式（）。

A、standlone模式B、Spark Client 模式C、Spark on Mesos模式D、Spark on YARN模式正确答案：B2.数据的噪声是指（）。

A、孤立点B、空缺值C、测量变量中的随机错误或偏差D、数据变换引起的错误正确答案：C3.BIOS设置不能保存，不可能的原因有（）。

A、主板损坏B、主板电池没电C、驱动程序问题D、CMOS跳线设置不正确正确答案：B4.（）是账户使用安全的第一责任人，应保证账户及密码安全。

A、用户B、信息中心C、安监部D、业务部门正确答案：A5.实用化问题收集的对象应包括所有（）及信息运维部门。

A、系统建设部门B、系统管理部门C、系统应用部门D、系统运行部门正确答案：C6.有些低版本的程序存在漏洞，容易在运行时出错，解决方法是（）。

A、重新装应用软件B、修复应用软件C、升级应用软件D、重新装操作系统正确答案：C7.根据《中国南方电网有限责任公司信息运行调度业务指导意见（2015年）》，（）指操作复杂度低并且影响程度低。

变更实施不涉及多个运维专业，实施方案可以通过作业指导书来定义和规范。

A、紧急变更B、标准变更C、简单变更D、复杂变更正确答案：C8.根据《中国南方电网有限责任公司信息系统运行维护管理办法（2014年）》，（）是信息系统运行维护的归口管理部门。

A、公司设备部B、公司系统运行部C、公司信息中心D、公司数字化部正确答案：D9.Mapreduce属于分布式系统构成中的哪那一部分（）。

A、海量存储B、在线计算C、离线计算D、流式计算正确答案：C10.当带电体有接地故障时，（）可作为防护跨步电压的基本安全用具。

A、绝缘鞋B、标识牌C、临时遮栏D、低压试电笔正确答案：A11.以下哪个聚类算法不是属于基于原型的聚类（）。

A、模糊c均值B、EM算法D、CLIQUE正确答案：D12.在实用化自查、整改工作中，业务管理部门应根据业务系统（）组织自查，自查主要采用自动化方法检查及人工抽查方法等方式进行，自查内容应涵盖系统的所有功能与流程。

操作系统安全配置管理办法1范围1.1为了指导、规范海南电网公司信息通信分公司信息系统的操作系统安全配置方法和日常系统操作管理，提高重要信息系统的安全运行维护水平，规范化操作，确保信息系统安全稳定可靠运行，特制定本管理办法。

1.2本办法适用公司信息大区所有信息系统操作系统安全配置管理。

主要操作系统包括：AIx系统、Windows系统、Linux系统及HPUNIx系统等。

2规范性引用文件下列文件对于本规范的应用是必不可少的。

凡是注日期的引用文件，仅注日期的版本适用于本规范。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本规范。

--中华人民共和国计算机信息系统安全保护条例--中华人民共和国国家安全法--中华人民共和国保守国家秘密法--ISO27001标准/ISO27002指南--公通字[xx]43号信息安全等级保护管理办法--GB/T21028-xx信息安全技术服务器安全技术要求--GB/T20272-xx信息安全技术操作系统安全技术要求--GB/T20269-xx信息安全技术信息系统安全管理要求--GB/T22239-xx信息安全技术信息系统安全等级保护基本要求--GB/T22240-xx信息安全技术信息系统安全等级保护定级指南3支持文件《IT主流设备安全基线技术规范》（Q/CSG11804-xx）4操作系统配置管理责任4.1操作系统安全配置管理的主要责任人员是系统管理员，负责对所管辖的服务器操作系统进行安全配置。

4.2对于终端计算机操作系统的安全配置，应由终端管理员负责进行配置，或者在终端管理员指导下进行配置。

4.3系统管理员和终端管理员应定期对所管辖的服务器操作系统的配置、终端计算机操作系统的配置进行安全检查或抽查。

4.4系统管理员和终端管理员负责定期对所管辖的服务器和终端计算机操作系统安全配置的变更管理，变更应填写配置变更申请表。

4.5系统管理员和终端管理员负责定期对所管辖的服务器和终端计算机操作系统安全配置方法的修订和完善，由信息安全管理员对操作系统安全配置修订进行规范化和文档化,并经审核批准后统一发布。

H3C设备安全配置基线目录第1章概述 (5)1.1目的 (5)1.2适用范围 (5)1.3适用版本 (5)第2章帐号管理、认证授权安全要求 (6)2.1帐号管理 (6)2.1.1用户帐号分配* (6)2.1.2删除无关的帐号* (7)2.2口令 (8)2.2.1静态口令以密文形式存放 (8)2.2.2帐号、口令和授权 (10)2.2.3密码复杂度 (11)2.3授权 (11)2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 (11)第3章日志安全要求 (13)3.1日志安全 (13)3.1.1启用信息中心 (13)3.1.2开启NTP服务保证记录的时间的准确性 (14)3.1.3远程日志功能* (15)第4章IP协议安全要求 (17)4.1IP协议 (17)4.1.1VRRP认证 (17)4.1.2系统远程服务只允许特定地址访问 (17)4.2功能配置 (18)4.2.1SNMP的Community默认通行字口令强度 (18)4.2.2只与特定主机进行SNMP协议交互 (20)4.2.3配置SNMPV2或以上版本 (21)4.2.4关闭未使用的SNMP协议及未使用write权限 (21)第5章IP协议安全要求 (23)5.1其他安全配置 (23)5.1.1关闭未使用的接口 (23)5.1.2修改设备缺省BANNER语 (24)5.1.3配置定时账户自动登出 (24)5.1.4配置console口密码保护功能 (25)5.1.5端口与实际应用相符 (26)第1章概述1.1目的规范配置H3C路由器、交换机设备，保证设备基本安全。

1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3适用版本comwareV7版本交换机、路由器。

第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*1、安全基线名称：用户帐号分配安全2、安全基线编号：SBL-H3C-02-01-013、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。

电网IT主流设备安全基线技术规范1. 引言电力系统是国家经济发展和民生所依赖的重要基础设施，而电网IT主流设备作为电力系统的核心部件，其安全性和稳定性对于电力供应的可靠性至关重要。

为了确保电网IT设备的信息安全和系统的可靠运行，制定本文档旨在规范电网IT主流设备的安全基线技术规范。

2. 安全基线定义安全基线是指一组定义的配置要求和操作规范，旨在提供高级别的安全保护，并防止最常见的攻击。

本文档中的安全基线技术规范旨在为电网IT主流设备的配置和操作提供指导，以确保设备和系统的安全。

3. 安全基线技术规范要求为了满足电网IT设备的安全需求，以下是对设备安全基线的技术规范要求：3.1 身份验证和访问控制•所有设备必须启用严格的身份验证和访问控制机制，包括使用密码、令牌或生物识别等方式验证用户身份。

•设备必须支持多种身份验证方式，并允许管理员为不同的角色分配适当的权限。

•所有默认的身份验证凭证必须在设备交付后被更改，以防止未经授权的访问。

3.2 防火墙和网络隔离•设备必须配置防火墙来过滤网络流量，并只允许经过身份验证的用户访问。

•设备必须使用虚拟局域网(VLAN)或其他隔离机制将不同的网络流量进行隔离，以减少潜在攻击的影响范围。

3.3 操作系统和应用程序安全•设备的操作系统必须及时安装安全补丁，并禁用不必要的服务和协议，以减少攻击面。

•设备上安装的应用程序必须经过严格的安全审计和评估，并定期更新版本以修复已知的安全漏洞。

3.4 密码和凭证管理•设备必须实施强密码策略，包括密码复杂性要求和定期更换密码。

•所有敏感的凭证(如私钥和证书)必须得到妥善管理，并进行定期备份和更新。

3.5 审计和日志记录•设备必须启用审计和日志记录功能，记录用户操作、系统事件和安全告警等。

•日志文件必须定期备份和存储，以供后续的审计和调查使用。

4. 安全基线规范的实施4.1 设备部署前的配置验证在设备投入使用之前，必须对设备的安全基线配置进行验证，确保其符合规范要求。

信息安全管理员-初级工题库含答案一、单选题（共43题，每题1分，共43分）1.入侵检测产品主要还存在（）问题。

A、性能低下B、不实用C、价格昂贵D、漏报和误报正确答案：D2.一个对象的离群点得分是该对象周围密度的逆，这是基于（）的离群点定义。

A、概率B、聚类C、密度D、邻近度正确答案：C3.元数据的集成包括元数据抽取和（）。

A、元数据管理B、元数据转换C、元数据应用D、元数据分层正确答案：B4.元数据管理过程包括元数据采集->（）->元数据分析。

A、元数据预览B、元数据准备C、元数据浏览D、元数据理解正确答案：C5.IIS不支持（）服务。

A、E-mailB、WWWC、GopherD、FTP正确答案：A6.下面哪种数据预处理技术可以用来平滑数据，消除噪声？（）A、数据清洗B、数据变换C、数据规约D、数据集成正确答案：A7.二类项目内容及成果涉及或影响公司（）及以上单位，由公司确定的重点项目，公司负责组织可研编制与批复、组织实施及验收。

A、一个B、两个C、四个D、三个正确答案：B8.（）应及时准确录入员工信息，公司用户账号信息应与员工信息保持一致。

A、业务部门B、人力资源部门C、信息部门正确答案：B9.有些低版本的程序存在漏洞，容易在运行时出错，解决方法是（）。

A、重新装操作系统B、修复应用软件C、升级应用软件D、重新装应用软件正确答案：C10.评价数据质量水平的重要指标之一，用于检验不同系统或同一系统内不同表单的相同数据项取值是否一致，关联数据之间的逻辑关系是否正确和完整是（）。

A、数据一致性B、数据规范性C、数据及时性D、数据完整性正确答案：A11.逻辑模型的主要特征不包括（）。

A、确定数据类型B、确定约束、索引C、设计原则以三范式为主D、确定域正确答案：B12.vSphere可以解决的扩展性难题是（）。

A、用户可以自己调配虚拟机的工作负载B、简化了变更管理流程C、灾难恢复过程更轻松D、添加新物理服务器后自动平衡虚拟机正确答案：D13.VPN虚拟专用网故障现象是（）。

信息安全管理（中级）模考试题（含参考答案）一、单选题（共70题，每题1分，共70分）1、下列哪个是visio图的后缀名？（）A、psdB、cadC、asdD、vsd正确答案：D2、目前哪种硬盘接口传输速率最快（）。

A、SATAB、SASC、FCD、IDE正确答案：C3、活动目录（Active Directory）是由组织单元、域、（）和域林构成的层次结构A、超域B、域树C、域控制器D、团体正确答案：B4、数据模型的管理涵盖了模型的需求分析、模型设计、（）、模型变更、模型下线等全过程的管理。

A、模型上线B、模型运维C、模型分析D、以上都不是正确答案：A5、二线或三线支持人员实施事件的解决方案，并将解决完毕的事件返回一线支持人员，由一线支持人员通知用户解决的结果，并与（）确认。

A、班长B、二线支持人员C、三线支持人员D、用户正确答案：D6、实用化评价指标中：数据质量类包括数据规范性检查通过率、数据一致性检查通过率、数据准确性检查通过率、数据完整性检查通过率、（）检查通过率5个指标指标。

A、数据正确性B、数据可靠性C、数据可用性D、数据及时性正确答案：D7、下列哪个不是专门用于可视化时间空间数据的技术？（）A、饼图B、曲面图C、等高线图D、矢量场图正确答案：A8、详细设计成果须全部覆盖（）的业务需求，且建立与概要设计模块、功能详细设计间的关联关系。

A、业务部门B、技术文档C、软件测试D、概要设计正确答案：D9、基于IFW构架的BDW模型，是按照（）层次化组织模型的。

A、概念模型B、概念模型、需求模型、基础数据模型C、需求模型D、基础数据模型正确答案：B10、根据《广西电网有限责任IT服务管理系统数据录入规范业务指导书（2015 年）》，资产编号指本单位财务部门出具的资产编号；新增设备尚无资产编号，采用临时编码统一为“（）”,其中年月日位设备上线时间。

A、XZ年月日-序列号B、SB年月日-序列号C、LS年月日-序列号D、NB年月日-序列号正确答案：C11、下列不属于非结构数据的是（）。

网络设备安全基线技术规范1. 引言网络设备安全是保障网络信息系统安全的重要组成部分，网络设备安全基线技术规范旨在提供网络设备安全配置的最佳实践，以确保网络设备在运行过程中的安全性和稳定性。

本文档将介绍网络设备安全基线技术规范的要求和相关配置。

2. 安全基线规范2.1 设备初始化配置•所有网络设备在初始化配置时，应设定安全密码，包括管理密码和特权密码。

密码应复杂且不易猜测。

•关闭无用的服务和端口，只开启必要的服务和端口。

•禁用默认账户，创建独立的管理员账户，并定期更改密码。

•禁用不安全的远程管理协议，如Telnet，应优先使用SSH协议。

•启用合适的日志功能，记录设备的操作日志和安全事件。

2.2 访问控制•网络设备应基于最小权限原则，为每个用户分配不同的权限，以保证合理的权限控制。

•配置合理的访问控制列表（ACL），限制网络设备的访问范围。

•启用用户认证和授权功能，只允许授权用户访问网络设备。

2.3 更新和升级•定期更新网络设备的软件版本，以修复已知的安全漏洞。

•配置自动更新机制，及时获取最新的安全补丁。

•在更新和升级之前，应制定详细的测试计划，确保更新和升级的稳定性和兼容性。

2.4 防火墙设置•启用防火墙功能，并配置合理的规则，限制网络流量。

•配置分区，将网络划分为安全域和非安全域，限制非安全域对安全域的访问。

•监控并审计防火墙的日志，及时发现和阻止恶意攻击和入侵行为。

2.5 无线网络安全•确保无线网络加密，使用当前安全性较高的加密算法，如WPA2-PSK。

•配置强密码策略，要求用户使用复杂密码并定期更换密码。

•启用无线网络访问控制，只允许授权设备连接无线网络。

•定期检查无线网络的安全设置，确保无线网络的安全性和稳定性。

3. 安全配置检查网络设备安全配置的实施需要配合定期的安全配置检查，以验证配置的合规性和有效性。

以下列举几个常用的安全配置检查项：1.设备是否存在默认账户和密码。

2.是否启用强密码策略。

电网IT主流设备安全基线技术规范(DOCX 28页)1范围本规范适用于中国XXx电网有限责任公司及所属单位管理信息大区所有信息系统相关主流支撑平台设备。

2规范性引用文件下列文件对于本规范的应用是必不可少的。

凡是注日期的引用文件，仅注日期的版本适用于本规范。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本规范。

——中华人民共和国计算机信息系统安全保护条例——中华人民共和国国家安全法——中华人民共和国保守国家秘密法——计算机信息系统国际联网保密管理规定——中华人民共和国计算机信息网络国际联网管理暂行规定——ISO27001标准/ISO27002指南——公通字[2007]43号信息安全等级保护管理办法——GB/T 21028-2007 信息安全技术服务器安全技术要求——GB/T 20269-2006 信息安全技术信息系统安全管理要求——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南3术语和定义安全基线：指针对IT设备的安全特性，选择合适的安全控制措施，定义不同IT设备的最低安全配置要求，则该最低安全配置要求就称为安全基线。

管理信息大区：发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统，原则上划分为生产控制大区和管理信息大区。

生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ)；管理信息大区内部在不影响生产控制大区安全的前提下，可以根据各企业不同安全要求划分安全区。

根据应用系统实际情况，在满足总体安全要求的前提下，可以简化安全区的设范的实施，提升管理信息大区内的信息安全防护能力。

4安全基线技术要求4.1操作系统4.1.1AIX系统安全基线技术要求4.1.1.1设备管理应通过配置系统安全管理工具，预防远程访问服务攻击或非授权访问，提高主机系统远程管理安全。

基线技术要求基线标准点（参数）说明管理远程工具安装SSHOpenSSH为远程管理高安全性工具，可保护管理过程中传输数据的安全访问控制安装TCP Wrapper，配置/etc/hosts.allow,/etc/hosts.deny配置本机访问控制列表，提高对主机系统访问控制4.1.1.2用户账号与口令安全应通过配置用户账号与口令安全策略，提高主机系统账户与口令安全。