信息系统安全基线

1、1. 操作系统安全基线技术要求1.1.1. AIX系统安全基线1.1.1. 系统管理通过配置操作系统运维管理安全策略，提高系统运维管理安全性，详见表1。表1 AIX系统管理基线技术要求序号基线技术要求基线标准点（参数）说明1限制超级管理员权限的用户远程登录PermitRootLogin no限制root用户远程使用telnet登录（可选）2使用动态口令令牌登录安装动态口令3配置本机访问控制列表（可选）配置/etc/hosts.allow,/etc/hosts.deny安装TCP Wrapper，提高对系统访问控制1.1.2. 用户账号与口令通过配置操作系统用户账号与口令安全策略，提高系统账号与

2、口令安全性，详见表2。表2 AIX系统用户账户与口令基线技术要求序号基线技术要求基线标准点（参数）说明4限制系统无用默认账号登录daemon（禁用）bin（禁用）sys（禁用）adm（禁用）uucp（禁用）nuucp（禁用）lpd（禁用）guest（禁用）pconsole（禁用）esaadmin（禁用）sshd（禁用）清理多余用户账号，限制系统默认账号登录，同时，针对需要使用的用户，制订用户列表，并妥善保存5控制用户登录超时时间10分钟控制用户登录会话，设置超时时间6口令最小长度8位口令安全策略（口令为超级用户静态口令）7口令中最少非字母数字字符1个口令安全策略（口令为超级用户静态口令）8信息

3、系统的口令的最大周期90天口令安全策略（口令为超级用户静态口令）9口令不重复的次数10次口令安全策略（口令为超级用户静态口令）1.1.3. 日志与审计通过对操作系统的日志进行安全控制与管理，提高日志的安全性，详见表3。表3 AIX系统日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明10系统日志记录（可选）authlog、sulog、wtmp、failedlogin记录必需的日志信息，以便进行审计11系统日志存储（可选)对接到统一日志服务器使用日志服务器接收与存储主机日志，网管平台统一管理12日志保存要求（可选）6个月等保三级要求日志必须保存6个月 13配置日志系统文件保护属性（可选

4、）400修改配置文件syslog.conf权限为管理员账号只读14修改日志文件保护权限（可选）400修改日志文件authlog、wtmp、sulog、failedlogin的权限管理员账号只读1.1.4. 服务优化通过优化操作系统资源，提高系统服务安全性，详见表4。表4 AIX系统服务优化基线技术要求序号基线技术要求基线标准点（参数）说明15discard 服务禁止网络测试服务，丢弃输入, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用16daytime 服务禁止网络测试服务，显示时间, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用17chargen 服务禁止网络测试服务

5、，回应随机字符串, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用18comsat 服务禁止comsat通知接收的电子邮件，以 root 用户身份运行，因此涉及安全性, 除非需要接收邮件，否则禁用19ntalk 服务禁止ntalk允许用户相互交谈，以 root 用户身份运行，除非绝对需要，否则禁用20talk 服务禁止在网上两个用户间建立分区屏幕，不是必需服务，与 talk 命令一起使用，在端口 517 提供 UDP 服务21tftp 服务禁止以 root 用户身份运行并且可能危及安全22ftp 服务（可选）禁止防范非法访问目录风险23telnet服务禁止远程访问服务24uucp 服

6、务禁止除非有使用 UUCP 的应用程序，否则禁用25dtspc 服务（可选）禁止CDE 子过程控制不用图形管理则禁用26klogin 服务（可选）禁止Kerberos 登录，如果站点使用 Kerberos 认证则启用27kshell 服务（可选）禁止Kerberos shell，如果站点使用 Kerberos 认证则启用1.1.5. 访问控制通过对操作系统安全权限参数进行调整，提高系统访问安全性，详见表5。表5 AIX系统访问控制基线技术要求序号基线技术要求基线标准点（参数）说明28修改Umask权限022或027要求修改默认文件权限29关键文件权限控制passwd、group、securit

7、y的所有者必须是root和security组成员设置/etc/passwd，/etc/group， /etc/security等关键文件和目录的权限30audit的所有者必须是root和audit组成员/etc/security/audit的所有者必须是root和audit组成员31/etc/passwd rw-r-r-/etc/passwd目录权限为 644所有用户可读，root用户可写32/etc/group rw-r-r-/etc/group root目录权限为644所有用户可读，root用户可写 33统一时间 接入统一NTP服务器保障生产环境所有系统时间统一1.2. Windows系统

8、安全基线1.2.1. 用户账号与口令通过配置操作系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表6。表6 Windows系统用户账号与口令基线技术要求序号基线技术要求基线标准点（参数）说明1口令必须符合复杂性要求启用口令安全策略（不涉及终端及动态口令）2口令长度最小值8位口令安全策略（不涉及终端）3口令最长使用期限90天口令安全策略（不涉及终端）4强制口令历史10次口令安全策略（不涉及终端）5复位账号锁定计数器10分钟账号锁定策略（不涉及终端）6账号锁定时间（可选）10分钟账号锁定策略（不涉及终端）7账号锁定阀值（可选）10次账号锁定策略（不涉及终端）8guest账号禁止禁用gue

9、st账号9administrator（可选）重命名保护administrator安全10无需账号检查与管理禁用禁用无需使用账号1.2.2. 日志与审计通过对操作系统日志进行安全控制与管理，提高日志的安全性与有效性，详见表7。表7 Windows系统日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明11审核账号登录事件成功与失败日志审核策略12审核账号管理成功与失败日志审核策略13审核目录服务访问成功日志审核策略14审核登录事件成功与失败日志审核策略15审核策略更改成功与失败日志审核策略16审核系统事件成功日志审核策略17日志存储地址（可选）接入到统一日志服务器日志存储在统一日志服务器

10、中18日志保存要求（可选）6个月等保三级要求日志保存6个月 1.2.3. 服务优化通过优化系统资源，提高系统服务安全性，详见表8。表8 Windows系统服务优化基线技术要求序号基线技术要求基线标准点（参数）说明19Alerter服务禁止禁止进程间发送信息服务20Clipbook（可选）禁止禁止机器间共享剪裁板上信息服务21Computer Browser服务（可选）禁止禁止跟踪网络上一个域内的机器服务22Messenger服务禁止禁止即时通讯服务23Remote Registry Service服务禁止禁止远程操作注册表服务24Routing and Remote Access服务禁止禁止路

11、由和远程访问服务25Print Spooler（可选）禁止禁止后台打印处理服务26Automatic Updates服务（可选）禁止禁止自动更新服务27Terminal Service服务（可选）禁止禁止终端服务1.2.4. 访问控制通过对系统配置参数调整，提高系统安全性，详见表9。表9 Windows系统访问控制基线技术要求序号基线技术要求基线标准点（参数）说明28文件系统格式NTFS磁盘文件系统格式为NTFS29桌面屏保10分钟桌面屏保策略30防病毒软件安装赛门铁克生产环境安装赛门铁克防病毒最新版本软件31防病毒代码库升级时间7天32文件共享（可选）禁止禁止配置文件共享，若工作需要必须配置

12、共享，须设置账号与口令33系统自带防火墙（可选）禁止禁止自带防火墙34默认共享IPC$、ADMIN$、C$、D$等禁止 安全控制选项优化35不允许匿名枚取SAM账号与共享启用网络访问安全控制选项优化36不显示上次的用户名启用交互式登录安全控制选项优化37控制驱动器禁止禁止自动运行38蓝屏后自动启动机器（可选）禁止禁止蓝屏后自动启动机器39统一时间 接入统一NTP服务器保障生产环境所有系统时间统一1.2.5. 补丁管理通过进行定期更新，降低常见的漏洞被利用，详见表10。表10 Windows系统补丁管理基线技术要求序号基线技术要求基线标准点（参数）说明40安全服务包win2003 SP2win2

13、008 SP1安装微软最新的安全服务包41安全补丁（可选）更新到最新根据实际需要更新安全补丁1.3. Linux系统安全基线1.3.1. 系统管理通过配置系统安全管理工具，提高系统运维管理的安全性，详见表11。表11 Linux系统管理基线技术要求序号基线技术要求基线标准点（参数）说明1安装SSH管理远程工具(可选)安装OpenSSHOpenSSH为远程管理高安全性工具，保护管理过程中传输数据的安全2配置本机访问控制列表（可选）配置/etc/hosts.allow,/etc/hosts.deny安装TCP Wrapper，提高对系统访问控制1.3.2. 用户账号与口令通过配置Linux系统用户

14、账号与口令安全策略，提高系统账号与口令安全性，详见表12。表12 Linux系统用户账号与口令基线技术要求序号基线技术要求基线标准点（参数）说明3禁止系统无用默认账号登录1) Operator2) Halt3) Sync4) News5) Uucp6) Lp7) nobody8) Gopher禁止清理多余用户账号，限制系统默认账号登录，同时，针对需要使用的用户，制订用户列表进行妥善保存4root远程登录禁止禁止root远程登录5口令使用最长周期90天口令安全策略（超级用户口令）6口令过期提示修改时间28天口令安全策略（超级用户口令）7口令最小长度8位口令安全策略8设置超时时间10分钟口令安全策

15、略1.3.3. 日志与审计通过对Linux系统的日志进行安全控制与管理，提高日志的安全性与有效性，详见表13。表13 Linux系统日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明9记录安全日志authpriv日志记录网络设备启动、usermod、change等方面日志10日志存储（可选）接入到统一日志服务器使用统一日志服务器接收并存储系统日志11日志保存时间6个月等保三级要求日志必须保存6个月 12日志系统配置文件保护400修改配置文件syslog.conf权限为管理员用户只读1.3.4. 服务优化通过优化Linux系统资源，提高系统服务安全性，详见表14。表14 Linux系统

16、服务优化基线技术要求序号基线技术要求基线标准点（参数）说明13ftp 服务（可选）禁止文件上传服务14sendmail 服务禁止邮件服务15klogin 服务（可选）禁止Kerberos 登录，如果站点使用 Kerberos 认证则启用16kshell 服务（可选）禁止Kerberos shell，如果站点使用 Kerberos 认证则启用17ntalk 服务禁止new talk18tftp 服务禁止以 root 用户身份运行可能危及安全19imap 服务（可选）禁止邮件服务20pop3服务（可选）禁止邮件服务21telnet 服务(可选 )禁止远程访问服务22GUI服务（可选）禁止图形管理服

17、务23xinetd服务（可选）启动增强系统安全1.3.5. 访问控制通过对Linux系统配置参数调整，提高系统安全性，详见表15。表15 Linux系统访问控制基线技术要求序号基线技术要求基线标准点（参数）说明24Umask权限022或027修改默认文件权限25关键文件权限控制1) /etc/passwd 目录权限为644/etc/passwd rw-r-r所有用户可读，root用户可写262) /etc/shadow目录权限为400 /etc/shadow r-只有root可读 273) /etc/group root目录权限为644/etc/group rw-r-r所有用户可读，root用

18、户可写 28统一时间接入统一NTP服务器保障生产环境所有系统时间统一2. 数据库安全基线技术要求2.1. Oracle数据库系统安全基线2.1.1. 用户账号与口令通过配置数据库系统用户账号与口令安全策略，提高数据库系统账号与口令安全性，详见表16。表16 Oracle系统用户账号与口令基线技术要求序号基线技术要求基线标准点（参数）说明1Oracle无用账号TIGERSCOTT等禁用禁用无用账号2默认管理账号管理SYSTEMDMSYS等更改口令账号安全策略（新系统）3数据库自动登录SYSDBA账号禁止账号安全策略4口令最小长度8位口令安全策略（新系统）5口令有效期12个月新系统执行此项要求6禁

19、止使用已设置过的口令次数10次口令安全策略2.1.2. 日志与审计通过对数据库系统的日志进行安全控制与管理，提高日志的安全性与有效性，详见表17。表17 Oracle系统日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明7日志保存要求（可选）3个月日志必须保存3个月 8日志文件保护启用设置访问日志文件权限2.1.3. 访问控制通过对数据库系统配置参数调整，提高数据库系统安全性，详见表18。表18 Oracle系统访问控制基线技术要求序号基线技术要求基线标准点（参数）说明9监听程序加密（可选）设置口令设置监听器口令（新系统）10修改服务监听默认端口（可选）非TCP1521系统可执行此项

20、要求3. 中间件安全基线技术要求4.3.1. Tong（TongEASY、TongLINK等）中间件安全基线3.1.1. 用户账号与口令通过配置中间件用户账号与口令安全策略，提高系统账号与口令安全，详见表19。表19 Tong用户账号与口令基线技术要求序号基线技术要求基线标准点（参数）说明1优化Tong服务账号和应用共用同一用户（可选）Tong和应用共用同一用户与操作系统应用用户保持一致3.1.2. 日志与审计通过对中间件的日志进行安全控制与管理，保护日志的安全与有效性，详见表20。表20 Tong日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明2事务包日志备份1.5GPktlog

21、达到1.5G进行备份3交易日志备份1.5GTxlog达到1.5G进行备份4通信管理模块运行日志备份1.5GTonglink.log达到1.5G进行备份5系统日志备份1.5Gsyslog达到1.5G进行备份6名字服务日志备份1.5GNsfwdlog达到1.5G进行备份7调试日志备份1.5GTestlog达到1.5G进行备份8通信管理模块错误日志备份1.5GTonglink.err达到1.5G进行备份9日志保存时间(可选)6个月等保三级要求日志必须保存6个月 3.1.3. 访问控制通过配置中间件系统资源，提高中间件系统服务安全，详见表21。表21 Tong访问控制基线技术要求序号基线技术要求基线标

22、准点（参数）说明10共享内存SHMMAX：4GSHMSEG： 3个以上SHMALL：12G根据不同操作系统调整Tong的3个核心参数11消息队列MSGTQL ：4096MSGMAX：8192MSGMNB：16384设置Tong核心应用系统程序进行数据传递参数12信号灯Maxuproc：1000以上SEMMSL：13以上SEMMNS：26以上设置Tong信号灯参数13进程数NPROC：2000以上MAXUP：1000以上设置同时运行进程数参数服务器应答头中的版本信息关闭隐藏版本信息，防止软件版本信息泄漏3.1.4. 安全防护通过对中间件配置参数调整，提高中间件系统安全，详见表22。表22 Ton

23、g安全防护基线技术要求序号基线技术要求基线标准点（参数）说明14数据传输安全根据应用需求设置加密标识根据应用需求保护数据传输安全15守护进程安全tldtmmonitmrcv通信管理模块、运行监控、接收处理、发送处理守护进程处于常开状态，随时处理应用程序的请求tmsnd3.1.5. 补丁管理通过对Tong的补丁进行定期更新，达到管理基线，防止常见的漏洞被利用，详见表23。表23 Tong补丁管理基线技术要求序号基线技术要求基线标准点（参数）说明16安全补丁（可选）根据实际需要更新根据实际需要更新安全补丁Tong4.2、Tong4.5、Tong4.6适用于AIX5.3以上版本3.2. Apache

24、中间件安全基线3.2.1. 用户账号与口令通过配置中间件用户账号与口令安全策略，提高系统账号与口令安全性，详见表24。表24 Apache用户账号与口令基线技术要求序号基线技术要求基线标准点（参数）说明1优化WEB服务账号新建Apache可访问80端口用户账号使用WAS中间件用户安装，root用户启动3.2.2. 日志与审计通过对中间件的日志进行安全控制与管理，提高日志的安全性与有效性，详见表25。表25 Apache日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明2日志级别（可选）Info采用Info日志级别，分析问题时采用更高日志级别3错误日志及记录ErrorLog 配置错误日

25、志文件名及位置4访问日志（可选）CustomLog 配置访问日志文件名及位置3.2.3. 服务优化通过优化中间件系统资源，提高中间件系统服务安全性，详见表26。表26 Apache服务优化基线技术要求序号基线技术要求基线标准点（参数）说明5无用模块禁用禁用无用模块3.2.4. 安全防护通过对中间件配置参数调整，提高中间件系统安全性，详见表27。表27 Apache安全防护基线技术要求序号基线技术要求基线标准点（参数）说明6遍历操作系统目录（可选）禁止修改参数文件，禁止目录遍历7服务器应答头中的版本信息关闭隐藏版本信息，防止软件版本信息泄漏8服务器生成页面的页脚中版本信息关闭不显示服务器默认欢迎

26、页面3.3. WAS中间件安全基线3.3.1. 用户账号与口令通过配置用户账号与口令安全策略，提高系统账号与口令安全性，详见表28。表28 WAS用户账号与口令基线技术要求序号基线技术要求基线标准点（参数）说明1账号安全策略按照操作系统账号管理规范执行符合应用系统运行要求2口令安全策略按照操作系统口令管理规范执行符合应用系统运行要求3.3.2. 日志与审计通过对系统的日志进行安全控制与管理，提高日志的安全性与有效性，详见表29。表29 WAS日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明3故障日志开启记录相关日志4记录级别Info记录相关日志级别3.3.3. 服务优化通过优化系统

27、资源，提高系统服务安全性，详见表30。表30 WAS服务优化基线技术要求序号基线技术要求基线标准点（参数）说明5file serving服务禁止开启用户可能非法浏览应用服务器目录和文件6配置config和properties目录权限755config和properties目录权限不当存在安全隐患3.3.4. 安全防护通过对系统配置参数调整，提高系统安全性，详见表31。表31 WAS安全防护基线技术要求序号基线技术要求基线标准点（参数）说明7删除sample例子程序删除示例域防止已知攻击8连接会话超时控制10分钟设置超时时间，控制用户登录会话9数据传输安全加密传送在服务器console管理中浏览

28、器与服务器传输信息配置SSL10设置控制台会话最长时间30分钟控制台会话timeout低于30分钟3.3.5. 补丁管理通过进行定期更新，达到管理基线，降低常见的的漏洞被利用，详见表32。表32 WAS补丁管理基线技术要求序号基线技术要求基线标准点（参数）说明11安全补丁（可选）按照系统管理室年度版本执行根据应用系统实际情况选择4. 网络设备安全基线技术要求4.1. Cisco路由器/交换机安全基线4.1.1. 系统管理通过配置网络设备管理，提高系统运维管理安全性，详见表33。表33 Cisco系统管理基线技术要求序号基线技术要求基线标准点（参数）说明1远程ssh服务（可选）启用采用ssh服务

29、代替telnet服务管理网络设备，提高设备管理安全性2认证方式tacas/radius认证启用设备认证3非管理员IP地址禁止配置访问控制列表，只允许管理员IP或网段能访问网络设备管理服务4配置console端口口令认证console需配置口令认证信息5统一时间 接入统一NTP服务器保障生产环境所有设备时间统一4.1.2. 用户账号与口令通过配置网络设备用户账号与口令安全策略，提高系统账号与口令安全性，详见表34。表34 Cisco用户账号与口令基线技术要求序号基线技术要求基线标准点（参数）说明6Service password口令加密采用service password-encryption7

30、enable口令加密采用secret对口令进行加密8账号登录空闲超时时间5分钟设置console和vty的登录超时时间5分钟9口令最小长度8位口令长度为8个字符4.1.3. 日志与审计通过对网络设备的日志进行安全控制与管理，提高日志的安全性与有效性，详见表35。表35 Cisco日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明10更改SNMP的团体串（可选）更改SNMP Community修改默认值public更改SNMP主机IP11系统日志存储对接到网管日志服务器使用日志服务器接收与存储主机日志，网管平台统一管理12日志保存要求6个月等保三级要求日志必须保存6个月 4.1.4.

31、服务优化通过优化网络设备，提高系统服务安全性，详见表36。表36 Cisco服务优化基线技术要求序号基线技术要求基线标准点（参数）说明13TCP、UDP Small服务（可选）禁止禁用无用服务14Finger服务禁止禁用无用服务15HTTP服务禁止禁用无用服务16HTTPS服务禁止禁用无用服务17BOOTp服务禁止禁用无用服务18IP Source Routing服务禁止禁用无用服务19ARP-Proxy服务禁止禁用无用服务20cdp服务（可选）禁止禁用无用服务(只适用于边界设备)21FTP服务（可选）禁止禁用无用服务4.1.5. 访问控制通过对设备配置进行调整，提高设备或网络安全性，详见表3

32、7。表37 Cisco访问控制基线技术要求序号基线技术要求基线标准点（参数）说明22login banner信息修改默认值为警示语默认值不为空23BGP认证（可选）启用加强路由信息安全24EIGRP认证（可选）启用加强路由信息安全25OSPF认证（可选）启用加强路由信息安全26RIPv2认证（可选）启用加强路由信息安全27MAC绑定（可选）IP+MAC+端口绑定重要服务器采用IP+MAC+端口绑定28网络端口AUX（可选）关闭关闭没用网络端口4.2. H3C路由器/交换机安全基线4.2.1. 系统管理通过配置网络设备管理，预防远程访问服务攻击或非授权访问，提高网络设备远程管理安全性，详见表38

33、。表38 H3C系统管理基线技术要求序号基线技术要求基线标准点（参数）说明1远程ssh服务（可选）启用采用ssh服务代替telnet服务管理网络设备，提高设备管理安全性2认证方式tacas/radius认证启用设备认证3非管理员IP地址禁止配置访问控制列表，只允许管理员IP或网段能访问网络设备管理服务4配置console端口口令认证console需配置口令认证信息5统一时间 接入统一NTP服务器保障生产环境所有设备时间统一4.2.2. 用户账号与口令通过配置用户账号与口令安全策略，提高系统账号与口令安全，详见表39。表39 H3C用户账号与口令基线技术要求序号基线技术要求基线标准点（参数）说明

34、6system口令加密方式采用cipher对口令进行加密7账号登录空闲超时时间5分钟设置console和vty的登录超时时间5分钟8口令最小长度8位口令安全策略4.2.3. 日志与审计通过对网络设备的日志进行安全控制与管理，提高日志的安全性与有效性，详见表40。表40 H3C日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明9系统日志接入到网管日志服务器使用网管平台统一日志服务器接收与存储10日志保存要求6个月等保三级要求日志必须保存6个月 4.2.4. 服务优化通过优化网络设备资源，提高设备服务安全性，详见表41。表41 H3C服务优化基线技术要求序号基线技术要求基线标准点（参数）说明11http服务禁用关闭弱服务12FTP服务（可选）禁止禁用Ftp服务4.2.5. 访问控制通过对网络设备配置参数调整，提高设备安全性，详见表42。表42 H3C访问控制基线技术要求序号基线技术要求基线标准点（参数）说明13BGP认证（可选）启用加强路由信息安全14OSPF认证（可选）启用加强路由信息安全15RIPv2认证（可选）