信息系统安全系统基线

文案大全文案大全操作系统安全基线技术要求AIX系统安全基线系统管理通过配置操作系统运维管理安全策略，提高系统运维管理安全性，详见表1。表1AIX系统管理基线技术要求序号基线技术要求序号基线技术要求基线标准点（参数）说明1限制超级管理员权限的用户远程登录PermitRootLoginno限制root用户远程使用telnet登录（可选）2使用动态口令令牌登录安装动态口令3配置本机访问控制列表（可选）酉己置/etc/hosts.allow,HYPERLINK/etc/hosts.deny安装TCPWrapper，是高对系统访问控制1・1・2・用户账号与口令通过配置操作系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表2。表2AIX系统用户账户与口令基线技术要求序号基线技术要求基线标准点（参数）说明4限制系统无用默认账号登录daemon（禁用）bin（禁用）sys（禁用）adm（禁用）uucp（禁用）nuucp（禁用）lpd（禁用）guest（禁用）pconsole（禁用）esaadmin（禁用）sshd（禁用）清理多余用户账号，限制系统默认账号登录，同时，针对需要使用的用户，制订用户列表，并妥善保存5控制用户登录超时时间10分钟控制用户登录会话，设置超时时间6口令最小长度8位口令安全策略（口令为超级用户静态口令）7口令中最少非字母数字字符1个口令安全策略（口令为超级用户静态口令）8信息系统的口令的最大周期90天口令安全策略（口令为超级用户静态口令）9口令不重复的次数10次口令安全策略（口令为超级用户静态口令）1・1・3・日志与审计通过对操作系统的日志进行安全控制与管理，提高日志的安全性，详见表3。表3AIX系统日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明10系统日志记录（可选）authlog、sulog、wtmp、failedlogin记录必需的日志信息，以便进行审计11系统日志存储（可选）对接到统一日志服务器使用日志服务器接收与存储主机日志，网管平台统管理12日志保存要求（可选）6个月等保二级要求日志必须保存6个月13配置日志系统文件保护属性（可选）400修改配置文件syslog.conf权限为管理员账号只读14修改日志文件保护权限（可选）400修改日志文件authlog、wtmp、sulog、failedlogin的权限管理员账号只读1・14服务优化通过优化操作系统资源，提高系统服务安全性，详见表4表4AIX系统服务优化基线技术要求序号基线技术要求基线标准点（参数）说明15discard服务禁止网络测试服务,丢弃输入，为"拒绝服务”攻击提供机会，除非正在测试网络，否则禁用16daytime服务禁止网络测试服务,显示时间，为"拒绝服务”攻击提供机会，除非正在测试网络，否则禁用17chargen服务禁止网络测试服务,回应随机字符串，为“拒绝服务”攻击提供机会，除非正在测试网络，否则禁用18comsat服务禁止comsat通知接收的电子邮件,以root用户身份运行，因此涉及安全性，除非需要接收邮件，否则禁用19ntalk服务禁止ntalk允许用户相互交谈，以root用户身份运行，除非绝对需要，否则禁用20talk服务禁止在网上两个用户间建立分区屏幕，不是必需服务，与talk命令一起使用,在端口517提供UDP服务21tftp服务禁止以root用户身份运行并且可能危及安全22ftp服务（可选）禁止防范非法访问目录风险23telnet服务禁止远程访问服务24uucp服务禁止除非有使用UUCP的应用程序,否则禁用25dtspc服务（可选）禁止CDE子过程控制不用图形管理则禁用26klogin服务（可选）禁止Kerberos登录,如果站点使用Kerberos认证则启用27kshell服务（可选）禁止Kerberosshell,如果站点使用Kerberos认证则启用1・1・5・访问控制通过对操作系统安全权限参数进行调整，提高系统访问安全性，详见表5。表5AIX系统访问控制基线技术要求序号基线技术要求基线标准点（参数）说明28修改Umask权限022或027要求修改默认文件权限29关键文件权限控制passwd、group、security的所有者必须是root和security组成员设置/etc/passwd,/etc/group,/etc/security等关键文件和目录的权限30audit的所有者必须是root和audit组成员/etc/security/audit的所有者必须是root和audit组成员31/etc/passwdrw-r--r--/etc/passwd目录权限为644所有用户可读，root用户可与32/etc/grouprw-r--r--/etc/grouproot目录权限为644所有用户可读，root用户可与33统时间接入统一NTP服务器保障生产环境所有系统时间统一1.2.Windows系统安全基线1.2.1.用户账号与口令通过配置操作系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表6。表6Windows系统用户账号与口令基线技术要求序号基线技术要求序号基线技术要求基线标准点（参数）说明1口令必须符合复杂性要求启用口令安全策略（不涉及终端及动态口令）2口令长度最小值8位口令安全策略（不涉及终端）3口令最长使用期限90天口令安全策略（不涉及终端）4强制口令历史10次口令安全策略（不涉及终端）5复位账号锁定计数器10分钟账号锁定策略（不涉及终端）6账号锁定时间（可选）10分钟账号锁定策略（不涉及终端）7账号锁定阀值（可选）10次账号锁定策略（不涉及终端）8guest账号禁止禁用guest账号9administrator（可选）重命名保护administrator安全10无需账号检杳与管理禁用禁用无需使用账号1・2・2・日志与审计通过对操作系统日志进行安全控制与管理，提高日志的安全性与有效性，详见表7。表7Windows系统日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明11审核账号登录事件成功与失败日志审核策略12审核账号管理成功与失败日志审核策略13审核目录服务访问成功日志审核策略14审核登录事件成功与失败日志审核策略15审核策略更改成功与失败日志审核策略16审核系统事件成功日志审核策略17日志存储地址（可选）接入到统一日志服务器日志存储在统日志服务器中18日志保存要求（可选）6个月等保二级要求日志保存6个月1・2・3・月服务优化通过优化系统资源，提高系统服务安全性，详见表8表8Windows系统服务优化基线技术要求序号基线技术要求基线标准点（参数）说明19Alerter服务禁止禁止进程间发送信息服务20Clipbook（可选）禁止禁止机器间共享剪裁板上信息服务21ComputerBrowser服务（可选）禁止禁止跟踪网络上一个域内的机器服务22Messenger服务禁止禁止即时通讯服务23RemoteRegistryService服务禁止禁止远程操作注册表服务24RoutingandRemoteAccess服务禁止禁止路由和远程访问服务25PrintSpooler（可选）禁止禁止后台打印处理服务26AutomaticUpdates服务（可选）禁止禁止自动更新服务27TerminalService服务（可选）禁止禁止终端服务1・2・4・访问控制通过对系统配置参数调整，提高系统安全性，详见表9表9Windows系统访问控制基线技术要求序号基线技术要求基线标准点（参数）说明28文件系统格式NTFS磁盘文件系统格式为NTFS29桌面屏保10分钟桌面屏保策略30防病毒软件安装赛门铁克生产环境安装赛门铁克防病毒最新版本软件31防病毒代码库升级时间7天32文件共享（可选）禁止禁止配置文件共享,若工作需要必须配置共享,须设置账号与口令33系统自带防火墙（可选）禁止禁止自带防火墙34默认共享IPC$、ADMIN$、C$、。$等禁止安全控制选项优化35不允许匿名枚取SAM账号与共享启用网络访问安全控制选项优化36不显示上次的用户名启用交互式登录安全控制选项优化37控制驱动器禁止禁止自动运行38蓝屏后自动启动机器（可选）禁止禁止蓝屏后自动启动机器39统时间接入统一NTP服务器保障生产环境所有系统时间统一1・2.5・补丁管理通过进行定期更新，降低常见的漏洞被利用，详见表10表10Windows系统补丁管理基线技术要求序号基线技术要求基线标准点（参数）说明40安全服务包win2003SP2win2008SP1安装微软最新的安全服务包41安全补丁（可选）更新到最新根据实际需要更新安全补丁1.3.Linux系统安全基线1・3・1・系统管理通过配置系统安全管理工具，提高系统运维管理的安全性，详见表11。表11Linux系统管理基线技术要求序号基线技术要求基线标准点（参数）说明1安装SSH管理远程工具（可选）安装OpenSSHOpenSSH为远程管理高安全性工具，保护管理过程中传输数据的安全2配置本机访问控制列表（可选）酉己置/etc/hosts.allow,HYPERLINK/etc/hosts.deny安装TCPWrapper，提高对系统访问控制1・3・2・用户账号与口令通过配置Linux系统用户账号与口令安全策略，是高系统账号与口令安全性，详见表12。表12Linux系统用户账号与口令基线技术要求序号基线技术要求序号基线技术要求基线标准点（参数）说明3禁止系统无用默认账号登录OperatorHaltSyncNewsUucpLpnobodyGopher禁止清理多余用户账号,限制系统默认账号登录，同时，针对需要使用的用户,制订用户列表进行妥善保存4root远稈登录禁止禁止root远程登录5口令使用最长周期90天口令安全策略（超级用户口令）6口令过期提示修改时间28天口令安全策略（超级用户口令）7口令最小长度8位口令安全策略8设置超时时间10分钟口令安全策略1・3・3・日志与审计通过对Linux系统的日志进行安全控制与管理提高日志的安全性与有效性，详见表13。实用标准实用标准15。15。文案大全表13Linux系统日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明9记录安全日志authpriv日志记录网络设备启动、usermod、change等方面日志10日志存储（可选）接入到统一日志服务器使用统一日志服务器接收并存储系统日志11日志保存时间6个月等保二级要求日志必须保存6个月12日志系统配置文件保护400修改配置文件syslog.conf权限为管理员用户只读1.3・4・服务优化通过优化Linux系统资源，是高系统服务安全性,羊见表14。表14Linux系统服务优化基线技术要求序号基线技术要求基线标准点（参数）说明13ftp月服务（可选）禁止文件上传服务14sendmail服务禁止邮件服务15klogin服务（可选）禁止Kerberos登录,如果站点使用Kerberos认证则启用16kshell月服务（可选）禁止Kerberosshell,如果站点使用Kerberos认证则启用17ntalk月服务禁止newtalk18tftp服务禁止以root用户身份运行可能危及安全19imap月服务（可选）禁止邮件服务20pop3服务（可选）禁止邮件服务21telnet服务（可选）禁止远程访问服务22GUI月服务（可选）禁止图形管理服务23xinetd服务（可选）启动增强系统安全1・3・5・访问控制通过对Linux系统配置参数调整，是高系统安全性，羊见表表15Linux系统访问控制基线技术要求实用标准实用标准文案大全文案大全序号基线技术要求基线标准点（参数）说明24Umask权限022或027修改默认文件权限25关键文件权限控制1)/etc/passwd目录权限为644/etc/passwdrw-r--r—所有用户可读，root用户可与262)/etc/shadow目录权限为400/etc/shadowr只有root可读273)/etc/grouproot目录权限为644/etc/grouprw-r--r—所有用户可读，root用户可与28统时间接入统一NTP服务器保障生产环境所有系统时间统一数据库安全基线技术要求Oracle数据库系统安全基线用户账号与口令通过配置数据库系统用户账号与口令安全策略，提高数据库系统账号与口令安全性，详见表16。表16Oracle系统用户账号与口令基线技术要求序号基线技术要求序号基线技术要求基线标准点（参数）说明1Oracle无用账号TIGERSCOTT等禁用禁用无用账号2默认管理账号管理SYSTEMDMSYS等更改口令账号安全策略（新系统）3数据库自动登录SYSDBA账号禁止账号安全策略4口令最小长度8位口令安全策略（新系统）5口令有效期12个月新系统执仃此项要求6禁止使用已设置过的口令次数10次口令安全策略2・1・2・日志与审计通过对数据库系统的日志进行安全控制与管理，提高日志的安全性与有效性，详见表17。序号基线技术要求基线标准点（参数）说明7序号基线技术要求基线标准点（参数）说明7日志保存要求（可选）3个月日志必须保存3个月8日志文件保护启用设置访问日志文件权限2・1・3・访问控制通过对数据库系统配置参数调整，提高数据库系统安全性，详见表18。表18Oracle系统访问控制基线技术要求序号基线技术要求基线标准点（参数）说明9监听程序加密（可选）设置口令设置监听器口令（新系统）10修改服务监听默认端口（可选）非TCP1521系统可执行此项要求中间件安全基线技术要求Tong（TongEASY、TongLINK等）中间件安全基线用户账号与口令通过配置中间件用户账号与口令安全策略，提高系统账号与口令安全，详见表19。序号基线技术要求基线标准点（参数）说明1序号基线技术要求基线标准点（参数）说明1优化Tong服务账号和应用共用同一用户（可选）Tong和应用共用同一用户与操作系统应用用户保持一致3・1・2・日志与审计通过对中间件的日志进行安全控制与管理，保护日志的安全与有效性，详见表20。表20Tong日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明21。2事务包日志备份1.5GPktlog达到1.5G进行备份3交易日志备份1.5GTxlog达到1.5G进行备份4通信管理模块运行日志备份1.5GTonglink.log达到1.5G进行备份5系统日志备份1.5Gsyslog达到1.5G进行备份6名字服务日志备份1.5GNsfwdlog达到1.5G进行备份7调试日志备份1.5GTestlog达到1.5G进行备份8通信管理模块错误日志备份1.5GTonglink.err达到1.5G进行备份9日志保存时间（可选）6个月等保二级要求日志必须保存6个月3・1・3・访问控制通过配置中间件系统资源，提高中间件系统服务安全，详见表表21Tong访问控制基线技术要求序号基线技术要求基线标准点（参数）说明10共享内存SHMMAX:4GSHMSEG:3个以上SHMALL:12G根据不同操作系统调整Tong的3个核心参数11消息队列MSGTQL:4096MSGMAX:8192MSGMNB:16384设置Tong核心应用系统程序进行数据传递参数12信号灯Maxuproc:1000以上SEMMSL:13以上SEMMNS:26以上设置Tong信号灯参数13进程数NPROC:2000以上MAXUP:1000以上设置同时运行进程数参数3.14安全防护通过对中间件配置参数调整，提高中间件系统安全，详见表22。表22Tong安全防护基线技术要求序号基线技术要求基线标准点（参数）说明14数据传输安全14数据传输安全根据应用需求设置加密标识根据应用需求保护数据传输安全15守护进程安全tldtmmonitmrcvtmsnd通信管理模块、运行监控、接收处理、发送处理守护进程处于常开状态，随时处理应用程序的请求序号基线技术要求基线标准点（参数）说明1优化WEB服务账号新建Apache可访问80端口用户账号使用WAS中间件用户安装joot用户启动3・1・5・补丁管理通过对Tong的补丁进行定期更新，达到管理基线，防止常见的漏洞被利用，详见表23。表23Tong补丁管理基线技术要求序号基线技术要求基线标准点（参数）说明16安全补丁（可选）根据实际需要更新根据实际需要更新安全补丁Tong4.2、Tong4.5、Tong4.6适用于AIX5.3以上版本3.2.Apache中间件安全基线3・2・1・用户账号与口令通过配置中间件用户账号与口令安全策略，提高系统账号与口令安全性，详见表24。表24Apache用户账号与口令基线技术要求3.2.2.日志与审计通过对中间件的日志进行安全控制与管理，提高日志的安全性与有效性，详见表25。表25Apache日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明2日志级别（可选）Info采用Info日志级别，分析问题时米用更高日志级别3错误日志及记录ErrorLog配置错误日志文件名及位置4访问日志（可选）CustomLog配置访问日志文件名及位置

3.2.3.服务优化通过优化中间件系统资源，提高中间件系统服务安全性，详见表26。序号基线技术要求基线标准点（参数）说明5序号基线技术要求基线标准点（参数）说明5无用模块禁用禁用无用模块3・2.4・安全防护通过对中间件配置参数调整，提高中间件系统安全性，详见表27。表27Apache安全防护基线技术要求序号基线技术要求基线标准点（参数）说明6遍历操作系统目录（可选）禁止修改参数文件，禁止目录遍历7服务器应答头中的版本信息关闭隐藏版本信息，防止软件版本信息泄漏8服务器生成页面的页脚中版本信息关闭不显示服务器默认欢迎页面3.3.WAS中间件安全基线3・3・1・用户账号与口令通过配置用户账号与口令安全策略，提高系统账号与口令安全性，详见表28。表28WAS用户账号与口令基线技术要求序号基线技术要求基线标准点（参数）说明1账号安全策略按照操作系统账号管理规范执行符合应用系统运行要求2口令安全策略按照操作系统口令管理规范执行符合应用系统运行要求3.3.21日志与审计通过对系统的日志进行安全控制与管理，提高日志的安全性与有效性，详见表29。表29WAS日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明3故障日志开启记录相关日志4记录级别Info记录相关日志级别3・3・3・服务优化通过优化系统资源，提高系统服务安全性，详见表30表30WAS服务优化基线技术要求序号基线技术要求基线标准点（参数）说明5fileserving服务禁止开启用户可能非法浏览应用服务器目录和文件6酉己置config和properties目录权限755config和properties目录权限不当存在安全隐患3・3.4・安全防护通过对系统配置参数调整，提高系统安全性，详见表31表31WAS安全防护基线技术要求序号基线技术要求基线标准点（参数）说明7删除sample例子程序删除示例域防止已知攻击8连接会话超时控制10分钟设置超时时间,控制用户登录会话9数据传输安全加密传送在服务器console管理中浏览器与服务器传输信息配置SSL10设置控制台会话最长时间30分钟控制台会话timeout低于30分钟3・3・5・补丁管理通过进行定期更新，达到管理基线，降低常见的的漏洞被利用，详见表32。表32WAS补丁管理基线技术要求序号基线技术要求基线标准点（参数）说明11安全补丁（可选）按照系统管理室年度版本执行根据应用系统实际情况选择网络设备安全基线技术要求Cisco路由器/交换机安全基线系统管理通过配置网络设备管理，提高系统运维管理安全性，详见表33。表33Cisco系统管理基线技术要求序号基线技术要求基线标准点（参数）说明1远程ssh服务（可选）启用采用ssh月服务代替telnet月服务管理网络设备，提高设备管理安全性2认证方式tacas/radius认证启用设备认证3非管理员IP地址禁止配置访问控制列表，只允许管理员IP或网段能访问网络设备管理服务4配置console端口口令认证console需配置口令认证信息5统一时间接入统一NTP服务器保障生产环境所有设备时间统一4.1.2・用户账号与口令通过配置网络设备用户账号与口令安全策略，提高系统账号与口令安全性，详见表34。表34Cisco用户账号与口令基线技术要求序号基线技术要求基线标准点（参数）说明6Servicepassword口令加密采用servicepassword-encryption7enable口令加密采用secret对口令进行加密8账号登录空闲超时时间5分钟设置console和vty的登录超时时间5分钟9口令最小长度8位口令长度为8个字符4・1・3・日志与审计通过对网络设备的日志进行安全控制与管理，提高日志的安全性与有效性，详见表35。表35Cisco日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明10更改SNMP的团体串（可选）更改SNMPCommunity修改默认值public更改SNMP主机IP11系统日志存储对接到网管日志服务器使用日志服务器接收与存储主机日志，网管平台统管理12日志保存要求6个月等保二级要求日志必须保存6个月4.14服务优化通过优化网络设备，提高系统服务安全性，详见表36表36Cisco服务优化基线技术要求序号基线技术要求基线标准点（参数）说明13TCP、UDPSmall服务（可选）禁止禁用无用服务14Finger服务禁止禁用无用服务15HTTP服务禁止禁用无用服务16HTTPS服务禁止禁用无用服务17BOOTp服务禁止禁用无用服务18IPSourceRouting服务禁止禁用无用服务19ARP-Proxy服务禁止禁用无用服务20cdp服务（可选）禁止禁用无用服务（只适用于边界设备）21FTP服务（可选）禁止禁用无用服务4・1・5・访问控制通过对设备配置进行调整，提高设备或网络安全性，详见表37。表37Cisco访问控制基线技术要求序号基线技术要求基线标准点（参数）说明22loginbanner信息修改默认值为警示语默认值不为空23BGP认证（可选）启用加强路由信息安全24EIGRP认证（可选）启用加强路由信息安全25OSPF认证（可选）启用加强路由信息安全26RIPv2认证（可选）启用加强路由信息安全27MAC绑定（可选）IP+MAC+端口绑定重要服务器米用IP+MAC+端口绑定28网络端口AUX（可选）关闭关闭没用网络端口4.2.H3C路由器/交换机安全基线4.2.1.系统管理通过配置网络设备管理，预防远程访问服务攻击或非授权访问，提高网络设备远程管理安全性，详见表38。表38H3C系统管理基线技术要求序号基线技术要求基线标准点（参数）说明1远程ssh服务（可选）启用采用ssh月服务代替telnet月服务管理网络设备，提高设备管理安全性2认证方式tacas/radius认证启用设备认证3非管理员IP地址禁止配置访问控制列表，只允许管理员IP或网段能访问网络设备管理服务4配置console端口口令认证console需酉己置口令认证信息5统一时间接入统一NTP服务器保障生产环境所有设备时间统一4.2.2・用户账号与口令通过配置用户账号与口令安全策略，提高系统账号与口令安全，详见表39。表39H3C用户账号与口令基线技术要求序号基线技术要求基线标准点（参数）说明6system口令加密方式采用