信息系统安全基线

-.z操作系统平安基线技术要求AI*系统平安基线系统管理通过配置操作系统运维管理平安策略，提高系统运维管理平安性，详见表1。表1AI*系统管理基线技术要求序号基线技术要求基线标准点〔参数〕说明限制超级管理员权限的用户远程登录PermitRootLoginno限制root用户远程使用telnet登录〔可选〕使用动态口令令牌登录安装动态口令配置本机访问控制列表〔可选〕配置/etc/hosts.allow,/etc/hosts.deny安装TCPWrapper，提高对系统访问控制用户账号与口令通过配置操作系统用户账号与口令平安策略，提高系统账号与口令平安性，详见表2。表2AI*系统用户账户与口令基线技术要求序号基线技术要求基线标准点〔参数〕说明限制系统无用默认账号登录daemon〔禁用〕bin〔禁用〕sys〔禁用〕adm〔禁用〕uucp〔禁用〕nuucp〔禁用〕lpd〔禁用〕guest〔禁用〕pconsole〔禁用〕esaadmin〔禁用〕sshd〔禁用〕清理多余用户账号，限制系统默认账号登录，同时，针对需要使用的用户，制订用户列表，并妥善保存控制用户登录超时时间10分钟控制用户登录会话，设置超时时间口令最小长度8位口令平安策略〔口令为超级用户静态口令〕口令中最少非字母数字字符1个口令平安策略〔口令为超级用户静态口令〕信息系统的口令的最大周期90天口令平安策略〔口令为超级用户静态口令〕口令不重复的次数10次口令平安策略〔口令为超级用户静态口令〕日志与审计通过对操作系统的日志进展平安控制与管理，提高日志的平安性，详见表3。表3AI*系统日志与审计基线技术要求序号基线技术要求基线标准点〔参数〕说明系统日志记录〔可选〕authlog、sulog、wtmp、failedlogin记录必需的日志信息，以便进展审计系统日志存储〔可选)对接到统一日志效劳器使用日志效劳器接收与存储主机日志，网管平台统一管理日志保存要求〔可选〕6个月等保三级要求日志必须保存6个月配置日志系统文件保护属性〔可选〕400修改配置文件syslog.conf权限为管理员账号只读修改日志文件保护权限〔可选〕400修改日志文件authlog、wtmp、sulog、failedlogin的权限管理员账号只读效劳优化通过优化操作系统资源，提高系统效劳平安性，详见表4。表4AI*系统效劳优化基线技术要求序号基线技术要求基线标准点〔参数〕说明discard效劳制止网络测试效劳，丢弃输入,为“拒绝效劳〞攻击提供时机,除非正在测试网络，否则禁用daytime效劳制止网络测试效劳，显示时间,为“拒绝效劳〞攻击提供时机,除非正在测试网络，否则禁用chargen效劳制止网络测试效劳，回应随机字符串,为“拒绝效劳〞攻击提供时机,除非正在测试网络，否则禁用sat效劳制止sat通知接收的电子，以root用户身份运行，因此涉及平安性,除非需要接收，否则禁用ntalk效劳制止ntalk允许用户相互交谈，以root用户身份运行，除非绝对需要，否则禁用talk效劳制止在网上两个用户间建立分区屏幕，不是必需效劳，与talk命令一起使用，在端口517提供UDP效劳tftp效劳制止以root用户身份运行并且可能危及平安ftp效劳〔可选〕制止防*非法访问目录风险telnet效劳制止远程访问效劳uucp效劳制止除非有使用UUCP的应用程序，否则禁用dtspc效劳〔可选〕制止CDE子过程控制不用图形管理则禁用klogin效劳〔可选〕制止Kerberos登录，如果站点使用Kerberos认证则启用kshell效劳〔可选〕制止Kerberosshell，如果站点使用Kerberos认证则启用访问控制通过对操作系统平安权限参数进展调整，提高系统访问平安性，详见表5。表5AI*系统访问控制基线技术要求序号基线技术要求基线标准点〔参数〕说明修改Umask权限022或027要求修改默认文件权限关键文件权限控制passwd、group、security的所有者必须是root和security组成员设置/etc/passwd，/etc/group，/etc/security等关键文件和目录的权限audit的所有者必须是root和audit组成员/etc/security/audit的所有者必须是root和audit组成员/etc/passwdrw-r--r--/etc/passwd目录权限为644所有用户可读，root用户可写/etc/grouprw-r--r--/etc/grouproot目录权限为644所有用户可读，root用户可写统一时间接入统一NTP效劳器保障生产环境所有系统时间统一Windows系统平安基线用户账号与口令通过配置操作系统用户账号与口令平安策略，提高系统账号与口令平安性，详见表6。表6Windows系统用户账号与口令基线技术要求序号基线技术要求基线标准点〔参数〕说明口令必须符合复杂性要求启用口令平安策略〔不涉及终端及动态口令〕口令长度最小值8位口令平安策略〔不涉及终端〕口令最长使用期限90天口令平安策略〔不涉及终端〕强制口令历史10次口令平安策略〔不涉及终端〕复位账号锁定计数器10分钟账号锁定策略〔不涉及终端〕账号锁定时间〔可选〕10分钟账号锁定策略〔不涉及终端〕账号锁定阀值〔可选〕10次账号锁定策略〔不涉及终端〕guest账号制止禁用guest账号administrator〔可选〕重命名保护administrator平安无需账号检查与管理禁用禁用无需使用账号日志与审计通过对操作系统日志进展平安控制与管理，提高日志的平安性与有效性，详见表7。表7Windows系统日志与审计基线技术要求序号基线技术要求基线标准点〔参数〕说明审核账号登录事件成功与失败日志审核策略审核账号管理成功与失败日志审核策略审核目录效劳访问成功日志审核策略审核登录事件成功与失败日志审核策略审核策略更改成功与失败日志审核策略审核系统事件成功日志审核策略日志存储地址〔可选〕接入到统一日志效劳器日志存储在统一日志效劳器中日志保存要求〔可选〕6个月等保三级要求日志保存6个月效劳优化通过优化系统资源，提高系统效劳平安性，详见表8。表8Windows系统效劳优化基线技术要求序号基线技术要求基线标准点〔参数〕说明Alerter效劳制止制止进程间发送信息效劳Clipbook〔可选〕制止制止机器间共享剪裁板上信息效劳puterBrowser效劳〔可选〕制止制止跟踪网络上一个域内的机器效劳Messenger效劳制止制止即时通讯效劳RemoteRegistryService效劳制止制止远程操作注册表效劳RoutingandRemoteAccess效劳制止制止路由和远程访问效劳PrintSpooler〔可选〕制止制止后台打印处理效劳AutomaticUpdates效劳〔可选〕制止制止自动更新效劳TerminalService效劳〔可选〕制止制止终端效劳访问控制通过对系统配置参数调整，提高系统平安性，详见表9。表9Windows系统访问控制基线技术要求序号基线技术要求基线标准点〔参数〕说明文件系统格式NTFS磁盘文件系统格式为NTFS桌面屏保10分钟桌面屏保策略防病毒软件安装赛门铁克生产环境安装赛门铁克防病毒最新版本软件防病毒代码库升级时间7天文件共享〔可选〕制止制止配置文件共享，假设工作需要必须配置共享，须设置账号与口令系统自带防火墙〔可选〕制止制止自带防火墙默认共享IPC$、ADMIN$、C$、D$等制止平安控制选项优化不允许匿名枚取SAM账号与共享启用网络访问平安控制选项优化不显示上次的用户名启用交互式登录平安控制选项优化控制驱动器制止制止自动运行蓝屏后自动启动机器〔可选〕制止制止蓝屏后自动启动机器统一时间接入统一NTP效劳器保障生产环境所有系统时间统一补丁管理通过进展定期更新，降低常见的漏洞被利用，详见表10。表10Windows系统补丁管理基线技术要求序号基线技术要求基线标准点〔参数〕说明平安效劳包win2003SP2win2021SP1安装微软最新的平安效劳包平安补丁〔可选〕更新到最新根据实际需要更新平安补丁Linu*系统平安基线系统管理通过配置系统平安管理工具，提高系统运维管理的平安性，详见表11。表11Linu*系统管理基线技术要求序号基线技术要求基线标准点〔参数〕说明安装SSH管理远程工具(可选)安装OpenSSHOpenSSH为远程管理高平安性工具，保护管理过程中传输数据的平安配置本机访问控制列表〔可选〕配置/etc/hosts.allow,/etc/hosts.deny安装TCPWrapper，提高对系统访问控制用户账号与口令通过配置Linu*系统用户账号与口令平安策略，提高系统账号与口令平安性，详见表12。表12Linu*系统用户账号与口令基线技术要求序号基线技术要求基线标准点〔参数〕说明制止系统无用默认账号登录OperatorHaltSyncNewsUucpLpnobodyGopher制止清理多余用户账号，限制系统默认账号登录，同时，针对需要使用的用户，制订用户列表进展妥善保存root远程登录制止制止root远程登录口令使用最长周期90天口令平安策略〔超级用户口令〕口令过期提示修改时间28天口令平安策略〔超级用户口令〕口令最小长度8位口令平安策略设置超时时间10分钟口令平安策略日志与审计通过对Linu*系统的日志进展平安控制与管理，提高日志的平安性与有效性，详见表13。表13Linu*系统日志与审计基线技术要求序号基线技术要求基线标准点〔参数〕说明记录平安日志authpriv日志记录网络设备启动、usermod、change等方面日志日志存储〔可选〕接入到统一日志效劳器使用统一日志效劳器接收并存储系统日志日志保存时间6个月等保三级要求日志必须保存6个月日志系统配置文件保护400修改配置文件syslog.conf权限为管理员用户只读效劳优化通过优化Linu*系统资源，提高系统效劳平安性，详见表14。表14Linu*系统效劳优化基线技术要求序号基线技术要求基线标准点〔参数〕说明ftp效劳〔可选〕制止文件上传效劳sendmail效劳制止效劳klogin效劳〔可选〕制止Kerberos登录，如果站点使用Kerberos认证则启用kshell效劳〔可选〕制止Kerberosshell，如果站点使用Kerberos认证则启用ntalk效劳制止newtalktftp效劳制止以root用户身份运行可能危及平安imap效劳〔可选〕制止效劳pop3效劳〔可选〕制止效劳telnet效劳(可选)制止远程访问效劳GUI效劳〔可选〕制止图形管理效劳*inetd效劳〔可选〕启动增强系统平安访问控制通过对Linu*系统配置参数调整，提高系统平安性，详见表15。表15Linu*系统访问控制基线技术要求序号基线技术要求基线标准点〔参数〕说明Umask权限022或027修改默认文件权限关键文件权限控制/etc/passwd目录权限为644/etc/passwdrw-r--r—所有用户可读，root用户可写/etc/shadow目录权限为400/etc/shadowr--------只有root可读/etc/grouproot目录权限为644/etc/grouprw-r--r—所有用户可读，root用户可写统一时间接入统一NTP效劳器保障生产环境所有系统时间统一数据库平安基线技术要求Oracle数据库系统平安基线用户账号与口令通过配置数据库系统用户账号与口令平安策略，提高数据库系统账号与口令平安性，详见表16。表16Oracle系统用户账号与口令基线技术要求序号基线技术要求基线标准点〔参数〕说明Oracle无用账号TIGERSCOTT等禁用禁用无用账号默认管理账号管理SYSTEMDMSYS等更改口令账号平安策略〔新系统〕数据库自动登录SYSDBA账号制止账号平安策略口令最小长度8位口令平安策略〔新系统〕口令有效期12个月新系统执行此项要求制止使用已设置过的口令次数10次口令平安策略日志与审计通过对数据库系统的日志进展平安控制与管理，提高日志的平安性与有效性，详见表17。表17Oracle系统日志与审计基线技术要求序号基线技术要求基线标准点〔参数〕说明日志保存要求〔可选〕3个月日志必须保存3个月日志文件保护启用设置访问日志文件权限访问控制通过对数据库系统配置参数调整，提高数据库系统平安性，详见表18。表18Oracle系统访问控制基线技术要求序号基线技术要求基线标准点〔参数〕说明监听程序加密〔可选〕设置口令设置监听器口令〔新系统〕修改效劳监听默认端口〔可选〕非TCP1521系统可执行此项要求中间件平安基线技术要求Tong〔TongEASY、TongLINK等〕中间件平安基线用户账号与口令通过配置中间件用户账号与口令平安策略，提高系统账号与口令平安，详见表19。表19Tong用户账号与口令基线技术要求序号基线技术要求基线标准点〔参数〕说明优化Tong效劳账号和应用共用同一用户〔可选〕Tong和应用共用同一用户与操作系统应用用户保持一致日志与审计通过对中间件的日志进展平安控制与管理，保护日志的平安与有效性，详见表20。表20Tong日志与审计基线技术要求序号基线技术要求基线标准点〔参数〕说明事务包日志备份1.5GPktlog到达1.5G进展备份交易日志备份1.5GT*log到达1.5G进展备份通信管理模块运行日志备份1.5GTonglink.log到达1.5G进展备份系统日志备份1.5Gsyslog到达1.5G进展备份名字效劳日志备份1.5GNsfwdlog到达1.5G进展备份调试日志备份1.5GTestlog到达1.5G进展备份通信管理模块错误日志备份1.5GTonglink.err到达1.5G进展备份日志保存时间(可选)6个月等保三级要求日志必须保存6个月访问控制通过配置中间件系统资源，提高中间件系统效劳平安，详见表21。表21Tong访问控制基线技术要求序号基线技术要求基线标准点〔参数〕说明共享内存SHMMA*：4GSHMSEG：3个以上SHMALL：12G根据不同操作系统调整Tong的3个核心参数消息队列MSGTQL：4096MSGMA*：8192MSGMNB：16384设置Tong核心应用系统程序进展数据传递参数信号灯Ma*uproc：1000以上SEMMSL：13以上SEMMNS：26以上设置Tong信号灯参数进程数NPROC：2000以上MA*UP：1000以上设置同时运行进程数参数效劳器应答头中的版本信息关闭隐藏版本信息，防止软件版本信息泄漏平安防护通过对中间件配置参数调整，提高中间件系统平安，详见表22。表22Tong平安防护基线技术要求序号基线技术要求基线标准点〔参数〕说明数据传输平安根据应用需求设置加密标识根据应用需求保护数据传输平安守护进程平安tldtmmonitmrcvtmsnd通信管理模块、运行监控、接收处理、发送处理守护进程处于常开状态，随时处理应用程序的请求补丁管理通过对Tong的补丁进展定期更新，到达管理基线，防止常见的漏洞被利用，详见表23。表23Tong补丁管理基线技术要求序号基线技术要求基线标准点〔参数〕说明平安补丁〔可选〕根据实际需要更新根据实际需要更新平安补丁Tong4.2、Tong4.5、Tong4.6适用于AI*5.3以上版本Apache中间件平安基线用户账号与口令通过配置中间件用户账号与口令平安策略，提高系统账号与口令平安性，详见表24。表24Apache用户账号与口令基线技术要求序号基线技术要求基线标准点〔参数〕说明优化WEB效劳账号新建Apache可访问80端口用户账号使用WAS中间件用户安装，root用户启动日志与审计通过对中间件的日志进展平安控制与管理，提高日志的平安性与有效性，详见表25。表25Apache日志与审计基线技术要求序号基线技术要求基线标准点〔参数〕说明日志级别〔可选〕Info采用Info日志级别，分析问题时采用更高日志级别错误日志及记录ErrorLog配置错误日志文件名及位置访问日志〔可选〕CustomLog配置访问日志文件名及位置效劳优化通过优化中间件系统资源，提高中间件系统效劳平安性，详见表26。表26Apache效劳优化基线技术要求序号基线技术要求基线标准点〔参数〕说明无用模块禁用禁用无用模块平安防护通过对中间件配置参数调整，提高中间件系统平安性，详见表27。表27Apache平安防护基线技术要求序号基线技术要求基线标准点〔参数〕说明遍历操作系统目录〔可选〕制止修改参数文件，制止目录遍历效劳器应答头中的版本信息关闭隐藏版本信息，防止软件版本信息泄漏效劳器生成页面的页脚中版本信息关闭不显示效劳器默认欢迎页面WAS中间件平安基线用户账号与口令通过配置用户账号与口令平安策略，提高系统账号与口令平安性，详见表28。表28WAS用户账号与口令基线技术要求序号基线技术要求基线标准点〔参数〕说明账号平安策略按照操作系统账号管理规*执行符合应用系统运行要求口令平安策略按照操作系统口令管理规*执行符合应用系统运行要求日志与审计通过对系统的日志进展平安控制与管理，提高日志的平安性与有效性，详见表29。表29WAS日志与审计基线技术要求序号基线技术要求基线标准点〔参数〕说明故障日志开启记录相关日志记录级别Info记录相关日志级别效劳优化通过优化系统资源，提高系统效劳平安性，详见表30。表30WAS效劳优化基线技术要求序号基线技术要求基线标准点〔参数〕说明fileserving效劳制止开启用户可能非法浏览应用效劳器目录和文件配置config和properties目录权限755config和properties目录权限不当存在平安隐患平安防护通过对系统配置参数调整，提高系统平安性，详见表31。表31WAS平安防护基线技术要求序号基线技术要求基线标准点〔参数〕说明删除sample例子程序删除例如域防止攻击连接会话超时控制10分钟设置超时时间，控制用户登录会话数据传输平安加密传送在效劳器console管理中浏览器与效劳器传输信息配置SSL设置控制台会话最长时间30分钟控制台会话timeout低于30分钟补丁管理通过进展定期更新，到达管理基线，降低常见的的漏洞被利用，详见表32。表32WAS补丁管理基线技术要求序号基线技术要求基线标准点〔参数〕说明平安补丁〔可选〕按照系统管理室年度版本执行根据应用系统实际情况选择网络设备平安基线技术要求Cisco路由器/交换机平安基线系统管理通过配置网络设备管理，提高系统运维管理平安性，详见表33。表33Cisco系统管理基线技术要求序号基线技术要求基线标准点〔参数〕说明远程ssh效劳〔可选〕启用采用ssh效劳代替telnet效劳管理网络设备，提高设备管理平安性认证方式tacas/radius认证启用设备认证非管理员IP地址制止配置访问控制列表，只允许管理员IP或网段能访问网络设备管理效劳配置console端口口令认证console需配置口令认证信息统一时间接入统一NTP效劳器保障生产环境所有设备时间统一用户账号与口令通过配置网络设备用户账号与口令平安策略，提高系统账号与口令平安性，详见表34。表34Cisco用户账号与口令基线技术要求序号基线技术要求基线标准点〔参数〕说明Servicepassword口令加密采用servicepassword-encryptionenable口令加密采用secret对口令进展加密账号登录空闲超时时间5分钟设置console和vty的登录超时时间5分钟口令最小长度8位口令长度为8个字符日志与审计通过对网络设备的日志进展平安控制与管理，提高日志的平安性与有效性，详见表35。表35Cisco日志与审计基线技术要求序号基线技术要求基线标准点〔参数〕说明更改SNMP的团体串〔可选〕更改SNMPmunity修改默认值public更改SNMP主机IP系统日志存储对接到网管日志效劳器使用日志效劳器接收与存储主机日志，网管平台统一管理日志保存要求6个月等保三级要求日志必须保存6个月效劳优化通过优化网络设备，提高系统效劳平安性，详见表36。表36Cisco效劳优化基线技术要求序号基线技术要求基线标准点〔参数〕说明TCP、UDPSmall效劳〔可选〕制止禁用无用效劳Finger效劳制止禁用无用效劳效劳制止禁用无用效劳S效劳制止禁用无用效劳BOOTp效劳制止禁用无用效劳IPSourceRouting效劳制止禁用无用效劳ARP-Pro*y效劳制止禁用无用效劳cdp效劳〔可选〕制止禁用无用效劳(只适用于边界设备)FTP效劳〔可选〕制止禁用无用效劳访问控制通过对设备配置进展调整，提高设备或网络平安性，详见表37。表37Cisco访问控制基线技术要求序号基线技术要求基线标准点〔参数〕说明loginbanner信息修改默认值为警示语默认值不为空BGP认证〔可选〕启用加强路由信息平安EIGRP认证〔可选〕启用加强路由信息平安OSPF认证〔可选〕启用加强路由信息平安RIPv2认证〔可选〕启用加强路由信息平安MAC绑定〔可选〕IP+MAC+端口绑定重要效劳器采用IP+MAC+端口绑定网络端口AU*〔可选〕关闭关闭没用网络端口H3C路由器/交换机平安基线系统管理通过配置网络设备管理，预防远程访问效劳攻击或非授权访问，提高网络设备远程管理平安性，详见表38。表38H3C系统管理基线技术要求序号基线技术要求基线标准点〔参数〕说明远程ssh效劳〔可选〕启用采用ssh效劳代替telnet效劳管理网络设备，提高设备管理平安性认证方式tacas/radius认证启用设备认证非管理员IP地址制止配置访问控制列表，只允许管理员IP或网段能访问网络设备管理效劳配置console端口口令认证console需配置口令认证信息统一时间接入统一NTP效劳器保障生产环境所有设备时间统一用户账号与口令通过配置用户账号与口令平安策略，提高系统账号与口令平安，详见表39。表39H3C用户账号与口令基线技术要求序号基线技术要求基线标准点〔参数〕说明system口令加密方式采用cipher对口令进展加密账号登录空闲超时时间5分钟设置console和vty的登录超时时间5分钟口令最小长度8位口令平安策略日志与审计通过对网络设备的日志进展平安控制与管理，提高日志的平安性与有效性，详见表40。表40H3C日志与审计基线技术要求序号基线技术要求基线标准点〔参数〕说明系统日志接入到网管日志效劳器使用网管平台统一日志效劳器接收与存储日志保存要求6个月等保三级要求日志必须保存6个月效劳优化通过优化网络设备资源，提高设备效劳平安性，详见表41。表41H3C效劳优化基线技术要求序号基线技术要求基线标准点〔参数〕说明效劳禁用关闭弱效劳FTP效劳〔可选〕制止禁用Ftp效劳访问控制通过对网络设备配置参数调整，提高设备平安性，详见表42。表42H3C访问控制基线技术要求序号基线技术要求基线标准点〔参数〕说明BGP认证〔可选〕启用加强路由信息平安OSPF认