信息系统安全基线

1.操作系统安全基线技术要求1.1.1.系统管理通过配置操作系统运维管理安全策略，提高系统运维管理表1AIX系统管理基线技术要求序序号基线技术要求员权限的用户录使用动态口令配置本机访问控制列表(可基线标准点(参数)PermitRootLoginno态口令/etc/hosts.allow,/etc/hosts.denytelnet登录(可选)1.1.2.用户账号与口令通过配置操作系统用户账号与口令安全策略，提高系统账基线标准点(参基线标准点(参清理多余用户账号，限制系统默认账号登录，同时，针对需要使用的用户，制订用户列表，并妥善保存控制用户登录会话，设置超时控制用户登录超认账号登录序号基线技术要求口口令安全策略(口令为超级用口令安全策略(口令为超级用口令安全策略(口令为超级用口令安全策略(口令为超级用数1.1.3.日志与审计通过对操作系统的日志进行安全控制与管理，提高日志的基基线标准点(参序号基线技术要求authlog、sulog、wtmp、failedlogin对接到统一日志服务器修改日志文件保护权限(可选)记录必需的日志信息，以便进使用日志服务器接收与存储主机日志，网管平台统一管理等保三级要求日志必须保存6gconf权限管理员账号只读记录(可选)存储(可选)(可选)配置日志系统文件保护属性(可1.1.4.服务优化通过优化操作系统资源，提高系统服务安全性，详见表基线标准点(参基线标准点(参“拒绝服务”攻击提供机会,除非正在测试网络，否则禁用序号基线技术要求““拒绝服务”攻击提供机会,供否oot邮ootalk17UDPCDE形管理Kerberos点使KerberosKerberos则启用alkftp服务(可uucp务dtspc服务(可login(可选)shell(可选)1.1.5.访问控制通过对操作系统安全权限参数进行调整，提高系统访问安要求修改默认文件权限设置/etc/passwd，/etc/group，/etc/security等关键文件序号基线技术要求关键文件权限控制基线标准点(参数)passwd、group、securitysecurity的权限wdrwrprwr写1.2.1.用户账号与口令通过配置操作系统用户账号与口令安全策略，提高系统账序号基线技术要求限历史号锁定计锁定时间(可选)锁定阀值(可选)基线标准点(参口令安全策略(不涉及终端及动态口令)口令安全策略(不涉及终口令安全策略(不涉及终口令安全策略(不涉及终账号锁定策略(不涉及终账号锁定策略(不涉及终账号锁定策略(不涉及终(可选)1.2.2.日志与审计通过对操作系统日志进行安全控制与管理，提高日志的安序号基线技术要求审核账号登录事件审核目录服务访问日志存储地址(可日志保存要求(可基线标准点(参数)失败失败失败失败接入到统一日志服务器1.2.3.服务优化通过优化系统资源，提高系统服务安全性，详见表8。禁止进程间发送信息服务禁止机器间共享剪裁板上信息禁止跟踪网络上一个域内的机禁止即时通讯服务禁止远程操作注册表服务序号基线技术要求ComputerBrowser服务(可选)RemoteRegistry基线标准点(参务tomaticUpdates服务(可选)ervice服务(可选)1.2.4.访问控制通过对系统配置参数调整，提高系统安全性，详见表9。磁盘文件系统格式为NTFS面屏保策略生产环境安装赛门铁克防病毒最新版本软件禁止配置文件共享，若工作需要必须配置共享，须设置禁止自带防火墙安全控制选项优化问安全控制选项优化交互式登录安全控制选项优化禁止自动运行禁止蓝屏后自动启动机器保障生产环境所有系统时间统一技术要求文件系统格式间文件共享(可选)系统自带防火墙(可ADMINC$、D$等不允许匿名枚取SAM账号与共享不显示上次的用户名控制驱动器蓝屏后自动启动机器(可选)统一时间基线标准点(参NTFS门铁克1.2.5.补丁管理s线技术要求安全补丁(可安装微软最新的安全服务包根据实际需要更新安全补丁基线标准点(参数)win2003SP2win2008SP1新1.3.1.系统管理通过配置系统安全管理工具，提高系统运维管理的安全线技术要求配置本机访问控制列表(可性工具，保护管理过程中传输数据的安全问控制基线标准点(参数)/etc/hosts.allow,/etc/hosts.deny1.3.2.用户账号与口令Linux口令安全策略，提高系统。线技术要求禁止系统无用认账号登录1)Operator2)Halt3)Sync4)News5)Uucp6)Lp7)nobody8)Gopher清理多余用户账号，限制系统默认账号登录，同时，针对需要使用的用户，制订用户列表进行妥善保存基线标准点(参数)口口令安全策略(超级用户口口令安全策略(超级用户口录1.3.3.日志与审计Linux进行安全控制与管理，提高日志线技术要求记录安全日志日志存储(可志使用统一日志服务器接收并存储系统日志等保三级要求日志必须保存权限为管理员用户只读基线标准点(参数)接入到统一日志服务器1.3.4.服务优化Linux提高系统服务安全性，详见表序号序号基线技术要求ftp服务(可in ll ntalk文件上传服务Kerberos登录，如果站点使用Kerberos认证则启用使用Kerberos认证则启用newtalk基线标准点(参数)imapimap服务(可pop3服务(可选)GUI服务(可xinetd服务(可1.3.5.访问控制Linux数调整，提高系统安全性，详见基基线技术要基线标准点(参数)求/etc/passwdrw-r--r—写/etc/shadowr--------/etc/grouprw-r--r—写保障生产环境所有系统时间1)/etc/passwd目录权cshadow修改默认文件权限2.数据库安全基线技术要求2.1.1.用户账号与口令通过配置数据库系统用户账号与口令安全策略，提高数据库系统账号与口令安全性，详见表16。禁用无用账号账号安全策略(新系统)安全策略口令安全策略(新系统)新系统执行此项要求序号基线技术要求TIGER默认管理账号管理SYSTEM数据库自动登录禁止使用已设置过的口令次数基线标准点(参数)2.1.2.日志与审计通过对数据库系统的日志进行安全控制与管理，提高日志基线标准点(参基线标准点(参设置访问日志文件权限序号基线技术要求(可选)2.1.3.访问控制通过对数据库系统配置参数调整，提高数据库系统安全基线标准点(参基线标准点(参设置监听器口令(新系统)系统可执行此项要求序号基线技术要求监听程序加密(可选)修改服务监听默认端口(可选)3.1.Tong(TongEASY、TongLINK等)中间件安全基线3.1.1.用户账号与口令通过配置中间件用户账号与口令安全策略，提高系统账序序号基线技术要求基线标准点(参数)说明账号和应用共用Tong和应用共用同与操作系统应用用户保持一同一用户(可一用户致3.1.2.日志与审计通过对中间件的日志进行安全控制与管理，保护日志的安序号序号基线技术要求事务包日志备份志备份通信管理模块运备份名字服务日志备份调试日志备份通信管理模块错误日志备份份份等保三级要求日志必须保存基线标准点(参数)3.1.3.访问控制通过配置中间件系统资源，提高中间件系统服务安全，详序号序号基线技术要求G内存根据不同操作系统调整Tong进行数据传递参数设置同时运行进程数参数SHMALL：12GMSGTQL：4096MSGMAX：8192MSGMNB：16384基线标准点(参数)3.1.4.安全防护通过对中间件配置参数调整，提高中间件系统安全，详见求输安全全根据应用需求保护数据传输接收处理、发送处理守护进程处于常开状态，随时处理应用程序的请求基线标准点(参数)根据应用需求设置加密ni3.1.5.补丁管理Tong到管理基线，防止线技术要求安全补丁(可根据实际需要更新安全补丁Tong4.2、Tong4.5、Tong4.6基线标准点(参数)根据实际需要更新3.2.1.用户账号与口令通过配置中间件用户账号与口令安全策略，提高系统账号序号序号基线技术要求基线标准点(参数)说明账号端口用户账号root用户启动3.2.2.日志与审计通过对中间件的日志进行安全控制与管理，提高日志的安线技术要求日志级别(可错误日志及记录访问日志(可题时采用更高日志级别配置错误日志文件名及位置配置访问日志文件名及位置ErrorLogCustomLog基线标准点(参数)3.2.3.服务优化通过优化中间件系统资源，提高中间件系统服务安全性，序号序号基线技术要求基线标准点(参数)说明无用模块禁用禁用无用模块3.2.4.安全防护通过对中间件配置参数调整，提高中间件系统安全性，详修改参数文件，禁止目录遍历隐藏版本信息，防止软件版信息泄漏不显示服务器默认欢迎页面线技术要求遍历操作系统目录(可选)服务器应答头中的版本信息服务器生成页面的页脚中版基线标准点(参数)3.3.1.用户账号与口令通过配置用户账号与口令安全策略，提高系统账号与口令线技术要求安全策略基线标准点(参数)按照操作系统账号管理按照操作系统口令管理符合应用系统运行要求符合应用系统运行要求3.3.2.日志与审计通过对系统的日志进行安全控制与管理，提高日志的安全序号序号基线技术要求基线标准点(参数)说明故障日志开启记录相关日志记录级别Info记录相关日志级别3.3.3.服务优化通过优化系统资源，提高系统服务安全性，详见表30。线技术要求fileserving开启用户可能非法浏览应用服务器目录和文件基线标准点(参数)properties权限不当存在安全隐患3.3.4.安全防护通过对系统配置参数调整，提高系统安全性，详见表31。线技术要求序连接会话超时数据传输安全控制台会话最长时间设置超时时间，控制用户登览器与服务器传输信息配置基线标准点(参数)删除示例域送3.3.5.补丁管理通过进行定期更新，达到管理基线，降低常见的的漏洞被线技术要求安全补丁(可根据应用系统实际情况选择基线标准点(参数)按照系统管理室年度版4.1.1.系统管理通过配置网络设备管理，提高系统运维管理安全性，详见序号序号基线技术要求基线标准点(参说明务管理网络设备，提高设备全性备认证配置访问控制列表，只允许管理服务息保障生产环境所有设备时间tacas/radius认证器(可选)式口4.1.2.用户账号与口令通过配置网络设备用户账号与口令安全策略，提高系统账。基线标准点(参基线标准点(参序号基线技术要求Servicepassword账号登录空闲超时encryption4.1.3.日志与审计通过对网络设备的日志进行安全控制与管理，提高日志的序号序号基线技术要求存储修改默认值public使用日志服务器接收与存储主机日志，网管平台统一管理基线标准点(参数)Community对接到网管日志服务器4.1.4.服务优化通过优化网络设备，提高系统服务安全性，详见表36。基线标准点(参基线标准点(参禁用无用服务禁用无用服务禁用无用服务禁用无用服务禁用无用服务禁用无用服务禁用无用服务禁用无用服务(只适用于边界设序号基线技术要求TCP、UDPSmall服务(可选)rcecdp服务(可FTP服务(可4.1.5.访问控制通过对设备配置进行调整，提高设备或网络安全性，详见基线标准点(参基线标准点(参修改默认值为警序号基线技术要求loginbanner信息BGP认证(可选)EIGRP认证(可OSPF认证(可选)认值不为空加强路由信息安全加强路由信息安全加强路由信息安全RIPv2认证(可MAC绑定(可选)4.2.1.系统管理通过配置网络设备管理，预防远程访问服务攻击或非授权访问，提高网络设备远程管理安全性，详见表38。基线标准点(参基线标准点(参(可选)备认证配置访问控制列表，只允许管理服务息保障生产环境所有设备时间tacas/radius认证器式口务管理网络设备，提高设备全性序号基线技术要求4.2.2.用户账号与口令通过配置用户账号与口令安全策略，提高系统账号与口令序号序号基线技术要求账号登录空闲超基线标准点(参数)式4.2.3.日志与审计通过对网络设备的日志进行安全控制与管理，提高日志的线技术要求使用网管平台统一日志服务器接收与存储等保三级要求日志必须保存基线标准点(参数)接入到网管日志服务器4.2.4.服务优化通过优化网络设备资源，提高设备服务安全性，详见表线技术要求FTP服务(可基线标准点(参数)4.2.5.访问控制通过对网络设备配置参数调整，提高设备安全性，详见表基线标准点(参基线标准点(参加强路由信息安全加强路由信息安全加强路由信息安全保障生产环境所有设备时间序号基线技术要求BGP认证(可选)OSPF认证(可选)RIPv2认证(可重要服