信息系统安全系统基线

1、1. 操作系统安全基线技术要求1.1. AIX系统安全基线1.1.1. 系统管理通过配置操作系统运维管理安全策略，提高系统运维管理安全性，详见表1。表1 AIX系统管理基线技术要求序号基线技术要求基线标准点（参数）说明1限制超级管理员 权限的用户远程 登录PermitRootLogi n no限制root用户远程使用telnet登 录（可选）2使用动态口令令牌登录安装动态口令3配置本机访问控制列表（可选）配置 /etc/hosts.allow, /etc/hosts.de ny安装TCP Wrapper ，提高对系统访问控制用户账号与口令通过配置操作系统用户账号与口令安全策略，提高系统账号与口

2、令安全性，详见表 2表2 AIX系统用户账户与口令基线技术要求序号基线技术要求基线标准点（参数）说明4限制系统无用默认账号登录daem on （禁用）bin （禁用） sys （禁用）adm （禁用）UUCP （禁用） n uucp （禁用）lpd （禁用）guest （禁用） peon sole （禁用） esaadm in （禁用） sshd （禁用）清理多余用户账号，限制系统默认 账号登录，同时，针对需要使用的 用户，制订用户列表，并妥善保存5控制用户登录超时时间10分钟控制用户登录会话，设置超时时间6口令最小长度8位口令安全策略（口令为超级用户静 态口令）7口令中最少非字母数字字符1个

3、口令安全策略（口令为超级用户静 态口令）8信息系统的口令的最大周期90天口令安全策略（口令为超级用户静 态口令）9口令不重复的次数10次口令安全策略（口令为超级用户静 态口令）日志与审计通过对操作系统的日志进行安全控制与管理，提高日志的安全性，详见表3。表3 AIX系统日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明10系统日志记录（可选）authlog 、 sulog 、 wtmp、failedlogin记录必需的日志信息，以便进行审 计11系统日志存储（可选）对接到统一日志服务 器使用日志服务器接收与存储主机日 志，网管平台统一管理12日志保存要求（可选）6个月等保三级要求日志

4、必须保存6个月13配置日志系统文件 保护属性（可选）400修改配置文件syslog.co nf权限为管理员账号只读14修改日志文件保护权限（可选）400修改日志文件 authlog 、wtmp、 sulog、failedlogin 的权限管理员 账号只读1.14服务优化通过优化操作系统资源，提高系统服务安全性，详见表4表4 AIX系统服务优化基线技术要求序号基线技术要求基线标准点（参数）说明15discard 服务禁止网络测试服务，丢弃输入 ,为“拒 绝服务”攻击提供机会，除非正在 测试网络，否则禁用16daytime 服务禁止网络测试服务，显示时间，为“拒绝服务”攻击提供机会，除非正在 测试

5、网络，否则禁用17charge n 服务禁止网络测试服务，回应随机字符串，为“拒绝服务”攻击提供机会 ，除 非正在测试网络，否则禁用18comsat 服务禁止comsat通知接收的电子邮件，以 root用户身份运行，因此涉及安全 性，除非需要接收邮件，否则禁用19n talk服务禁止ntalk允许用户相互交谈，以root用户身份运行，除非绝对需要，否 则禁用20talk服务禁止在网上两个用户间建立分区屏幕， 不是必需服务，与talk命令一起使用，在端口 517提供UDP服 务21tftp服务禁止以root用户身份运行并且可能危 及安全22ftp服务（可选）禁止防范非法访问目录风险23telne

6、t服务禁止远程访问服务24UUCP 服务禁止除非有使用 UUCP的应用程序， 否则禁用25dtspc服务（可选）禁止CDE子过程控制不用图形管理则 禁用26klogin 服务（可选）禁止Kerberos 登录，如果站点使用Kerberos 认证则启用27kshell服务（可选）禁止Kerberos shell ，如果站 点使用Kerberos 认证则启用访问控制通过对操作系统安全权限参数进行调整，提高系统访问安全性，详见表5。表5 AIX系统访问控制基线技术要求序号基线技术要求基线标准点（参数）说明28修改Umask权限022 或 027要求修改默认文件权限29关键文件权限控制passwd 、

7、 group 、 security 的所有者必须 是 root 禾口 security 组成 员设置 /etc/passwd ， /etc/group ， /etc/security等关键文件和目录的权限30audit的所有者必须是root和audit组成员/etc/security/audit的所有者必须是root和audit组成员31/etc/passwd rw-r-r-/etc/passwd目录权限为 644所有用户可读，root用户可写32/etc/group rw-r-r-/etc/group root目录权限为 644所有用户可读，root用户可写33统一时间接入统一 NTP服务器

8、保障生产环境所有系统时间统一1.2. Windows系统安全基线用户账号与口令通过配置操作系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表 6表6Windows 系统用户账号与口令基线技术要求序号基线技术要求基线标准点（参数）说明1口令必须符合复杂性要求启用口令安全策略（不涉及终端及动 态口令）2口令长度最小值8位口令安全策略（不涉及终端）3口令最长使用期限90天口令安全策略（不涉及终端）4强制口令历史10次口令安全策略（不涉及终端）5复位账号锁定计数器10分钟账号锁定策略（不涉及终端）6账号锁定时间（可选）10分钟账号锁定策略（不涉及终端）7账号锁定阀值（可选）10次账号锁定策略

9、（不涉及终端）8guest账号禁止禁用guest账号9administrator（可选）重命名保护 administrator 安全10无需账号检查与管理禁用禁用无需使用账号日志与审计通过对操作系统日志进行安全控制与管理，提高日志的安全性与有效性，详见表7表7Windows 系统日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明11审核账号登录事件成功与失败日志审核策略12审核账号管理成功与失败日志审核策略13审核目录服务访问成功日志审核策略14审核登录事件成功与失败日志审核策略15审核策略更改成功与失败日志审核策略16审核系统事件成功日志审核策略17日志存储地址（可选）接入到统一日

10、志服务器日志存储在统一日志服务器中18日志保存要求（可选）6个月等保三级要求日志保存 6个月123.服务优化通过优化系统资源，提高系统服务安全性，详见表8表8 Windows 系统服务优化基线技术要求序号基线技术要求基线标准点（参数）说明19Alerter 服务禁止禁止进程间发送信息服务20Clipbook（可选）禁止禁止机器间共享剪裁板上信息服务21Computer Browser服务（可选）禁止禁止跟踪网络上一个域内的机器服 务22Messe nger 服务禁止禁止即时通讯服务23Remote RegistryService 服务禁止禁止远程操作注册表服务24Routi ng and Re

11、moteAccess服务禁止禁止路由和远程访问服务25Print Spooler（可选）禁止禁止后台打印处理服务26Automatic Updates 服务（可选）禁止禁止自动更新服务27Termi nal Service 服务（可选）禁止禁止终端服务1.24访问控制通过对系统配置参数调整，提高系统安全性，详见表9表9 Windows 系统访问控制基线技术要求序号基线技术要求基线标准点（参数）说明28文件系统格式NTFS磁盘文件系统格式为 NTFS29桌面屏保10分钟桌面屏保策略30防病毒软件安装赛门铁克生产环境安装赛门铁克防病毒最新版本软件31防病毒代码库升级时间7天32文件共享（可选）禁止

12、禁止配置文件共享，若工作需要 必须配置共享，须设置账号与口 令33系统自带防火墙（可选）禁止禁止自带防火墙34默认共享IPC$、ADMIN$、C$、D$ 等禁止安全控制选项优化35不允许匿名枚取SAM账号与共享启用网络访问安全控制选项优化36不显示上次的用户名启用交互式登录安全控制选项优化37控制驱动器禁止禁止自动运行38蓝屏后自动启动机器（可选）禁止禁止蓝屏后自动启动机器39统一时间接入统一 NTP服务器保障生产环境所有系统时间统一125.补丁管理通过进行定期更新，降低常见的漏洞被利用，详见表10表10 Windows 系统补丁管理基线技术要求序号基线技术要求基线标准点（参数）说明40安全服

13、务包win2003 SP2win2008 SP1安装微软最新的安全服务包41安全补丁（可选）更新到最新根据实际需要更新安全补丁1.3. Linux系统安全基线系统管理通过配置系统安全管理工具，提高系统运维管理的安全性，详见表11表IILinux系统管理基线技术要求序号基线技术要求基线标准点（参数）说明1安装SSH管理 远程工具（可选）安装 OpenSSHOpe nSSH 为远程管理高安全性 工具，保护管理过程中传输数据 的安全2配置本机访问控 制列表（可选）配置 /etc/hosts.allow, /etc/hosts.de ny安装TCP Wrapper，提高对系统访问控制132.用户账号与

14、口令通过配置Linux系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表12。表12Linux系统用户账号与口令基线技术要求序号基线技术要求基线标准点（参数）说明3禁止系统无用默 认账号登录1) Operator2) Halt3) Sy nc4) News5) Uucp6) Lp7) nobody8) Gopher禁止清理多余用户账号，限制系统默 认账号登录，同时，针对需要使 用的用户，制订用户列表进行妥 善保存4root远程登录禁止禁止root远程登录5口令使用最长周 期90天口令安全策略（超级用户口令）6口令过期提示修改时间28天口令安全策略（超级用户口令）7口令最小长度8位口令

15、安全策略8设置超时时间10分钟口令安全策略日志与审计通过对Linux系统的日志进行安全控制与管理，提高日志的安全性与有效性，详见表13表13Linux系统日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明9记录安全日志authpriv 日志记录网络设备启动、usermod、change 等方面日志10日志存储（可选）接入到统一日志服务器使用统一日志服务器接收并存储 系统日志11日志保存时间6个月等保三级要求日志必须保存6个月12日志系统配置文件保护400修改配置文件syslog.co nf权限为管理员用户只读1.34服务优化 通过优化Linux系统资源，提高系统服务安全性，详见表14

16、表14 Linux系统服务优化基线技术要求序号基线技术要求基线标准点（参数）说明13ftp服务（可选）禁止文件上传服务14sen dmail 服务禁止邮件服务15klogin 服务（可选）禁止Kerberos 登录，如果站点使用Kerberos 认证则启用16kshell服务（可选）禁止Kerberos shell，如果站点使用Kerberos 认证则启用17n talk服务禁止new talk18tftp服务禁止以root用户身份运行可能危及 安全19imap服务（可选）禁止邮件服务20pop3服务（可选）禁止邮件服务21telnet服务（可选）禁止远程访问服务22GUI服务（可选）禁止图形

17、管理服务23xinetd服务（可选）启动增强系统安全访问控制 通过对Linux系统配置参数调整，提高系统安全性，详见表表15 Linux系统访问控制基线技术要求序号基线技术要求基线标准点（参数）说明24Umask权限022 或 027修改默认文件权限25关键文件权限控制1) /etc/passwd目录权限为644/etc/passwd rw-r-r所有用户可读，root用户可写262) /etc/shadow目录权限为400/etc/shadow r只有root可读273) /etc/grouproot 目录权限为644/etc/group rw-r-r所有用户可读，root用户可写28统一时

18、间接入统一 NTP服务器保障生产环境所有系统时间统一2. 数据库安全基线技术要求2.1. Oracle数据库系统安全基线2.1.1. 用户账号与口令通过配置数据库系统用户账号与口令安全策略，提高数据库系统账号与口令安全性，详见表 16。表16 Oracle系统用户账号与口令基线技术要求序号基线技术要求基线标准点（参数）说明1Oracle无用账号TIGERSCOTT 等禁用禁用无用账号2默认管理账号管理SYSTEMDMSYS 等更改口令账号安全策略（新系统）3数据库自动登录SYSDBA账号禁止账号安全策略4口令最小长度8位口令安全策略（新系统）5口令有效期12个月新系统执行此项要求6禁止使用已设

19、置过 的口令次数10次口令安全策略日志与审计通过对数据库系统的日志进行安全控制与管理，提高日志的安全性与有效性，详见表17表17 Oracle系统日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明7日志保存要求（可选）3个月日志必须保存3个月8日志文件保护启用设置访问日志文件权限2.13访问控制通过对数据库系统配置参数调整，提高数据库系统安全性， 详见表18表18 Oracle系统访问控制基线技术要求序号基线技术要求基线标准点（参数）说明9监听程序加密（可选）设置口令设置监听器口令（新系统）10修改服务监听默认端口（可选）非 TCP1521系统可执行此项要求3. 中间件安全基线技术要

20、求3.1. Tong （ TongEASY、TongLINK 等）中间件安全基线3.1.1. 用户账号与口令通过配置中间件用户账号与口令安全策略，提高系统账号与口令安全，详见表19。表19 Tong用户账号与口令基线技术要求序号基线技术要求基线标准点（参数）说明1优化Tong服务账号和应用共用同一 用户（可选）To ng和应用共用同一 用户与操作系统应用用户保持一致日志与审计通过对中间件的日志进行安全控制与管理，保护日志的安全与有效性，详见表20。表20 Tong日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明2事务包日志备份1.5GPktlog达到1.5G进行备份3交易日志备份1

21、.5GTxlog达到1.5G进行备份4通信管理模块运行日志备份1.5GTonglink.log达到1.5G进行备份5系统日志备份1.5Gsyslog达到1.5G进行备份6名子服务日志备份1.5GNsfWdlog 达到1.5G进行备份7调试日志备份1.5GTestlog达到1.5G进行备份8通信管理模块错误日志备份1.5GTonglink.err 达到1.5G进行备份9日志保存时间（可选）6个月等保三级要求日志必须保存6个月3.13访问控制 通过配置中间件系统资源， 提高中间件系统服务安全， 详见表21。表21 Tong访问控制基线技术要求序号基线技术要求基线标准点（参数）说明10共享内存SHM

22、MAX : 4GSHMSEG :3个以上SHMALL : 12G根据不同操作系统调整To ng的3个核心参数11消息队列MSGTQL : 4096MSGMAX : 8192MSGMNB : 16384设置To ng核心应用系统程序进 行数据传递参数12信号灯Maxuproc : 1000 以上SEMMSL : 13 以上SEMMNS : 26 以上设置To ng信号灯参数13进程数NPROC : 2000 以上MAXUP : 1000 以上设置同时运行进程数参数安全防护通过对中间件配置参数调整，提高中间件系统安全，详见表表22 Tong安全防护基线技术要求序号基线技术要求基线标准点（参数）说明

23、14数据传输安全根据应用需求设置加密标识根据应用需求保护数据传输安全15守护进程安全tld tmmoni tmrcv tms nd通信管理模块、运行监控、接收 处理、发送处理守护进程处于常 开状态，随时处理应用程序的请 求补丁管理通过对Tong的补丁进行定期更新，达到管理基线，防止常见的漏洞被利用，详见表 23表23 Tong补丁管理基线技术要求序号基线技术要求基线标准点（参数）说明16安全补丁（可选）根据实际需要更新根据实际需要更新安全补丁Tong4.2、Tong4.5、Tong4.6 适用于AIX5.3以上版本3.2. Apache 中间件安全基线用户账号与口令通过配置中间件用户账号与口令

24、安全策略，提高系统账号与口令安全性，详见表 24表24 Apache用户账号与口令基线技术要求序号基线技术要求基线标准点（参数）说明1优化WEB服务账号新建Apache 可访问80端口用户账号使用WAS中间件用户安装，root 用户启动日志与审计通过对中间件的日志进行安全控制与管理，提高日志的安全性与有效性，详见表25表25 Apache 日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明2日志级别（可选）Info采用Info日志级别，分析问题时米用更咼日志级别3错误日志及记录ErrorLog配置错误日志文件名及位置4访问日志（可选）CustomLog配置访问日志文件名及位置323.

25、服务优化通过优化中间件系统资源，提高中间件系统服务安全性，详见表26。表26 Apache服务优化基线技术要求序号基线技术要求基线标准点（参数）说明5无用模块禁用禁用无用模块3.24安全防护通过对中间件配置参数调整，提高中间件系统安全性， 详见表27表27 Apache安全防护基线技术要求序号基线技术要求基线标准点（参数）说明6遍历操作系统目录（可选）禁止修改参数文件，禁止目录遍历7服务器应答头中的版本信息关闭隐藏版本信息，防止软件版本信息泄漏8服务器生成页面 的页脚中版本信 息关闭不显示服务器默认欢迎页面3.3. WAS中间件安全基线用户账号与口令通过配置用户账号与口令安全策略，提高系统账号

26、与口令安全性，详见表28表28WAS用户账号与口令基线技术要求序号基线技术要求基线标准点（参数）说明1账号安全策略按照操作系统账号管理规范执行符合应用系统运行要求2口令安全策略按照操作系统口令管理规 范执行符合应用系统运行要求日志与审计通过对系统的日志进行安全控制与管理，提高日志的安全性与有效性，详见表29。表29WAS日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明3故障日志开启记录相关日志4记录级别Info记录相关日志级别333.服务优化通过优化系统资源，提高系统服务安全性，详见表30表30WAS服务优化基线技术要求序号基线技术要求基线标准点（参数）说明5file servin

27、g 服务禁止开启用户可能非法浏览应用服务 器目录和文件6配置config和 properties 目 录权限755config 禾口 properties目录权限不当存在安全隐患安全防护 通过对系统配置参数调整，提高系统安全性，详见表 31表31WAS安全防护基线技术要求序号基线技术要求基线标准点（参数）说明7删除sample例子程序删除示例域防止已知攻击8连接会话超时控制10分钟设置超时时间，控制用户登录会 话9数据传输安全加密传送在服务器con sole管理中浏览器与服务器传输信息配置 SSL10设置控制台会话最长时间30分钟控制台会话timeout低于30分钟补丁管理通过进行定期更新，达

28、到管理基线，降低常见的的漏洞被利用， 详见表32。表32WAS补丁管理基线技术要求序号基线技术要求基线标准点（参数）说明11安全补丁（可选）按照系统管理室年度版本 执行根据应用系统实际情况选择4. 网络设备安全基线技术要求4.1. Cisco路由器/交换机安全基线4.1.1. 系统管理通过配置网络设备管理，提高系统运维管理安全性，详见表33。表33Cisco系统管理基线技术要求序号基线技术要求基线标准点（参数）说明1远程ssh服务（可选）启用采用ssh服务代替tel net服务管理网络设备，提高设备管理安全性2认证方式tacas/radius 认证启用设备认证3非管理员IP地址禁止配置访问控制

29、列表，只允许管理 员IP或网段能访问网络设备管理 服务4配己置con sole 端口口令认证console需配置口令认证信息5统一时间接入统一 NTP服务器:保障生产环境所有设备时间统一用户账号与口令通过配置网络设备用户账号与口令安全策略，提高系统账号与口令安全性，详见表 34表34Cisco用户账号与口令基线技术要求序号基线技术要求基线标准点（参数）说明6Service password 口令加密采用servicepassword-e ncrypti on7en able 口令加密采用secret对口令进行加密8账号登录空闲超时时间5分钟设置con sole 和vty的登录超时时间5分钟9口

30、令最小长度8位口令长度为8个字符4.13日志与审计通过对网络设备的日志进行安全控制与管理，提高日志的安全性与有效性，详见表 35。表35Cisco日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明10更改SNMP的团体 串（可选）更改SNMPCommu nity修改默认值public 更改SNMP主机IP11系统日志存储对接到网管日志服务器使用日志服务器接收与存储主机 日志，网管平台统一管理12日志保存要求6个月等保三级要求日志必须保存6个月服务优化通过优化网络设备，提高系统服务安全性，详见表 36表36Cisco服务优化基线技术要求序号基线技术要求基线标准点（参数）说明13TCP、

31、UDP Small服务（可选）禁止禁用无用服务14Fin ger服务禁止禁用无用服务15HTTP服务禁止禁用无用服务16HTTPS服务禁止禁用无用服务17BOOTp服务禁止禁用无用服务18IPSource Rout ing服务禁止禁用无用服务19ARP-Proxy 服务禁止禁用无用服务20cdp服务（可选）禁止禁用无用服务（只适用于边界设备）21FTP服务（可选）禁止禁用无用服务访问控制通过对设备配置进行调整，提高设备或网络安全性，详见表37。表37Cisco访问控制基线技术要求序号基线技术要求基线标准点（参数）说明22logi n banner信息修改默认值为警示语默认值不为空23BGP认证

32、（可选）启用加强路由信息安全24EIGRP认证（可选）启用加强路由信息安全25OSPF认证（可选）启用加强路由信息安全26RIPv2认证（可选）启用加强路由信息安全27MAC绑定（可选）IP+MAC+端口绑定重要服务器米用 IP+MAC+ 端口 绑定28网络端口 AUX （可选）关闭关闭没用网络端口42 H3C路由器/交换机安全基线421.系统管理通过配置网络设备管理，预防远程访问服务攻击或非授权访问， 提高网络设备远程管理安全性，详见表38。表38H3C系统管理基线技术要求序号基线技术要求基线标准点（参数）说明1远程ssh服务（可选）启用采用ssh服务代替tel net服务管理网络设备，提高

33、设备管理安全性2认证方式tacas/radius 认证启用设备认证3非管理员IP地址禁止配置访问控制列表，只允许管理 员IP或网段能访问网络设备管理 服务4配己置con sole 端口口令认证console需配置口令认证信息5统一时间接入统一 NTP服务器保障生产环境所有设备时间统一用户账号与口令通过配置用户账号与口令安全策略，提高系统账号与口令安全，详见表39表39H3C用户账号与口令基线技术要求序号基线技术要求基线标准点（参数）说明6system 口令加密方式采用cipher对口令进行加密7账号登录空闲超时时间5分钟设置con sole 和vty的登录超时时间5分钟8口令最小长度8位口令安

34、全策略423.日志与审计通过对网络设备的日志进行安全控制与管理，提高日志的安全性与有效性，详见表 40表40H3C日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明9系统日志接入到网管日志服务器使用网管平台统一日志服务器接 收与存储10日志保存要求6个月等保三级要求日志必须保存6个月服务优化通过优化网络设备资源，提高设备服务安全性，详见表 41表41H3C服务优化基线技术要求序号基线技术要求基线标准点（参数）说明11http服务禁用关闭弱服务12FTP服务（可选）禁止禁用Ftp服务访问控制通过对网络设备配置参数调整，提高设备安全性，详见表42表42H3C访问控制基线技术要求序号基线技术要求基线标准点（参数）说明13BGP认证（可选）启用加强路由信息安全14OSPF认证（