IT安全技术标准 1
第1章 概述 15
1.1. 目的 15
1.2. 适用范围 15
1.3. 适用对象 16
1.4. 检查和处罚 16
1.5. 例外条款 16
第2章 信息安全技术架构篇 17
2.1. 信息安全架构概述 17
2.1.1. 需求架构 17
2.1.2. 功能架构 17
2.1.3. 基础架构 19
2.2. 信息安全技术架构 21
2.2.1. 身份访问和授权管理 22
2.2.2. 应用系统和服务保障 24
2.2.3. 数据和信息保护管理 24
2.2.4. IT资产、威胁和漏洞管理 26
第3章 物理安全篇 28
3.1. 目的 28
3.2. 物理机房安全标准 28
第4章 网络安全篇 32
4.1. 目的 32
4.2. 网络安全技术标准 32
4.2.1. 网络结构安全及网络设备通用安全配置标准 32
4.2.2. 网络访问控制 33
4.2.3. 入侵防御 36
4.2.4. 终端远程接入加密 37
4.2.5. 网管、监控与审计 37
4.2.6. 无线局域网安全 39
第5章 主机及服务器安全篇 41
5.1. 目的 41
5.2. 操作系统安全配置 41
5.2.1. AIX 43
5.2.2. Redhat Linux 51
5.2.3. HP-UX 61
5.2.4. Windows 71
5.3. 数据库安全配置 78
5.3.1. Oracle 79
5.3.2. DB2 81
5.3.3. SQL Server 81
5.3.4. Informix 82
5.3.5. GP 83
5.3.6. Mongodb 84
5.3.7. MySql 84
5.4. 中间件安全配置 85
5.4.1. Weblogic 86
5.4.2. Websphere 88
5.4.3. Tuxedo 89
5.4.4. Tomcat 90
5.4.5. Apache 92
5.4.6. JBoss 95
5.4.7. RabbitMQ 96
5.4.8. Redis 98
5.4.9. Nginx 99
第6章 通用及其他软件 101
6.1.1. memcached 101
6.1.2. Zookeeper 101
第7章 云平台虚拟机安全篇 102
7.1. 目的 102
7.2. 虚拟机镜像标准 102
7.3. 虚拟机资源隔离策略 103
7.4. 虚拟机注销管理 103
第8章 数据安全篇 104
8.1. 目的 104
8.2. 数据脱敏标准 104
第9章 加密,密钥管理和PKI篇 106
9.1. 目的 106
9.2. 加密和密钥管理标准 106
9.2.1. 对称加密算法 106
9.2.2. 非对称加密算法 108
9.2.3. 散列算法 109
9.2.4. 安全协议 110
9.2.5. 密钥管理与控制 110
9.3. 数据加密原则和应用 111
9.3.1. 数据加密原则 111
9.3.2. 数据加密应用场景 111
9.4. PKI数字证书标准 112
9.4.1. PKI系统数字证书格式规范 112
9.4.2. PKI实现方式 128
第10章 应用安全篇 130
10.1. 目的 130
10.2. 术语和定义 130
10.3. 应用系统安全技术要求 131
10.3.1. 标识与认证 131
10.3.2. 授权与访问控制 133
10.3.3. 会话管理 134
10.3.4. 数据安全 135
10.3.5. 软件容错和异常管理 136
10.3.6. 日志管理 137
10.3.7. 移动APP安全 138
10.3.8. 微信应用安全 140
10.4. 应用软件安全编码注意事项 140
10.4.1. 目的和说明 140
10.4.2. 安全编码原则 140
10.4.3. 输入处理注意事项 141
10.4.4. 输出处理注意事项 145
10.4.5. 数据库访问注意事项 145
10.4.6. 文件操作 148
10.4.7. 安全特征 149
10.4.8. WEB 开发注意事项 152
10.4.9. 其它编码要求及注意事项 155
10.4.10. C++安全编程注意事项 155
10.4.11. JAVA安全编程注意事项 171
10.5. 应用软件安全测试规范 177
10.5.1. 目的和说明 177
10.5.2. 应用安全白盒测试 178
10.5.3. 应用安全黑盒测试 180
第11章 终端安全篇 189
11.1. 目的 189
11.2. 终端标准化管理 189
11.2.1. CPIC桌面终端标准配置 189
11.2.2. CPIC移动终端标准配置 190
11.2.3. CPIC客户端命名 标准 190
11.3. 系统策略配置 191
11.3.1. 补丁管理 191
11.3.2. 设置屏保密码 191
11.3.3. 终端密码策略 191
11.3.4. 设置必要的审核 192
11.3.5. 设置账号锁定 192
11.3.6. 设置日志 192
11.3.7. 禁止远程枚取账号与共享 193
11.3.8. 禁止显示上次登录用户名 193
11.3.9. 禁止磁盘自动运行 193
11.3.10. 设置共享权限 194
11.3.11. 系统服务设置 194
11.4. 安全软件部署 195
11.4.1. 防病毒 195
11.4.2. 办公终端安全策略 196
11.5. 应用软件管理 196
11.5.1. 软件黑名单 196
11.6. 其他相关终端配置 197
11.6.1. SSL VPN移动办公系统 197
11.6.2. 邮件系统配置 197
第12章 身份访问和授权篇 198
12.1. 目的 198
12.2. 适用范围 198
12.3. 身份访问和授权技术规范 198
12.3.1. 账号管理技术规范 198
12.3.2. 权限管理技术规范 201
12.3.3. 访问控制技术规范 203
12.3.4. 分析与审计技术规范 205
第13章 安全信息与事件管理篇 212
13.1. 目的 212
13.2. 适用范围 212
13.3. 安全信息和事件技术规范 212
13.3.1. 安全事件采集及标准化技术规范 212
13.3.2. 安全事件的关联分析技术规范 216
13.3.3. 安全监控与告警技术规范 217