2024年信息系统安全基线

操作系统安全基线技术规定AIX系统安全基线系统管理通過配置操作系统运维管理安全方略，提高系统运维管理安全性，详見表1。表1AIX系统管理基线技术规定序号基线技术规定基线原则點（参数）阐明限制超级管理员权限的顾客遠程登录PermitRootLoginno限制root顾客遠程使用telnet登录（可选）使用動态口令令牌登录安装動态口令配置本机访問控制列表（可选）配置/etc/hosts.allow,/etc/hosts.deny安装TCPWrapper，提高對系统访問控制顾客账号与口令通過配置操作系统顾客账号与口令安全方略，提高系统账号与口令安全性，详見表2。表2AIX系统顾客账户与口令基线技术规定序号基线技术规定基线原则點（参数）阐明限制系统無用默认账号登录daemon（禁用）bin（禁用）sys（禁用）adm（禁用）uucp（禁用）nuucp（禁用）lpd（禁用）guest（禁用）pconsole（禁用）esaadmin（禁用）sshd（禁用）清理多出顾客账号，限制系统默认账号登录，同步，针對需要使用的顾客，制定顾客列表，并妥善保留控制顾客登录超時時间10分钟控制顾客登录會话，设置超時時间口令最小長度8位口令安全方略（口令為超级顾客静态口令）口令中至少非字母数字字符1個口令安全方略（口令為超级顾客静态口令）信息系统的口令的最大周期90天口令安全方略（口令為超级顾客静态口令）口令不反复的次数10次口令安全方略（口令為超级顾客静态口令）曰志与审计通過對操作系统的曰志進行安全控制与管理，提高曰志的安全性，详見表3。表3AIX系统曰志与审计基线技术规定序号基线技术规定基线原则點（参数）阐明系统曰志记录（可选）authlog、sulog、wtmp、failedlogin记录必需的曰志信息，以便進行审计系统曰志存储（可选)對接到统壹曰志服务器使用曰志服务器接受与存储主机曰志，网管平台统壹管理曰志保留规定（可选）6個月等保三级规定曰志必须保留6個月配置曰志系统文献保护属性（可选）400修改配置文献syslog.conf权限為管理员账号只讀修改曰志文献保护权限（可选）400修改曰志文献authlog、wtmp、sulog、failedlogin的权限管理员账号只讀服务优化通過优化操作系统资源，提高系统服务安全性，详見表4。表4AIX系统服务优化基线技术规定序号基线技术规定基线原则點（参数）阐明discard服务严禁网络测试服务，丢弃输入,為“拒绝服务”袭击提供机會,除非正在测试网络，否则禁用daytime服务严禁网络测试服务，显示時间,為“拒绝服务”袭击提供机會,除非正在测试网络，否则禁用chargen服务严禁网络测试服务，回应随机字符串,為“拒绝服务”袭击提供机會,除非正在测试网络，否则禁用comsat服务严禁comsat告知接受的電子邮件，以root顾客身份运行，因此波及安全性,除非需要接受邮件，否则禁用ntalk服务严禁ntalk容許顾客互相交談，以root顾客身份运行，除非绝對需要，否则禁用talk服务严禁在网上两個顾客间建立分区屏幕，不是必需服务，与talk命令壹起使用，在端口517提供UDP服务tftp服务严禁以root顾客身份运行并且也許危及安全ftp服务（可选）严禁防备非法访問目录風险telnet服务严禁遠程访問服务uucp服务严禁除非有使用UUCP的应用程序，否则禁用dtspc服务（可选）严禁CDE子過程控制不用图形管理则禁用klogin服务（可选）严禁Kerberos登录，假如站點使用Kerberos认证则启用kshell服务（可选）严禁Kerberosshell，假如站點使用Kerberos认证则启用访問控制通過對操作系统安全权限参数進行调整，提高系统访問安全性，详見表5。表5AIX系统访問控制基线技术规定序号基线技术规定基线原则點（参数）阐明修改Umask权限022或027规定修改默认文献权限关键文献权限控制passwd、group、security的所有者必须是root和security组组员设置/etc/passwd，/etc/group，/etc/security等关键文献和目录的权限audit的所有者必须是root和audit组组员/etc/security/audit的所有者必须是root和audit组组员/etc/passwdrw-r--r--/etc/passwd目录权限為644所有顾客可讀，root顾客可写/etc/grouprw-r--r--/etc/grouproot目录权限為644所有顾客可讀，root顾客可写统壹時间接入统壹NTP服务器保障生产环境所有系统時间统壹Windows系统安全基线顾客账号与口令通過配置操作系统顾客账号与口令安全方略，提高系统账号与口令安全性，详見表6。表6Windows系统顾客账号与口令基线技术规定序号基线技术规定基线原则點（参数）阐明口令必须符合复杂性规定启用口令安全方略（不波及终端及動态口令）口令長度最小值8位口令安全方略（不波及终端）口令最長有效期限90天口令安全方略（不波及终端）强制口令历史10次口令安全方略（不波及终端）复位账号锁定计数器10分钟账号锁定方略（不波及终端）账号锁定期间（可选）10分钟账号锁定方略（不波及终端）账号锁定阀值（可选）10次账号锁定方略（不波及终端）guest账号严禁禁用guest账号administrator（可选）重命名保护administrator安全無需账号检查与管理禁用禁用無需使用账号曰志与审计通過對操作系统曰志進行安全控制与管理，提高曰志的安全性与有效性，详見表7。表7Windows系统曰志与审计基线技术规定序号基线技术规定基线原则點（参数）阐明审核账号登录事件成功与失败曰志审核方略审核账号管理成功与失败曰志审核方略审核目录服务访問成功曰志审核方略审核登录事件成功与失败曰志审核方略审核方略更改成功与失败曰志审核方略审核系统事件成功曰志审核方略曰志存储地址（可选）接入到统壹曰志服务器曰志存储在统壹曰志服务器中曰志保留规定（可选）6個月等保三级规定曰志保留6個月服务优化通過优化系统资源，提高系统服务安全性，详見表8。表8Windows系统服务优化基线技术规定序号基线技术规定基线原则點（参数）阐明Alerter服务严禁严禁進程间发送信息服务Clipbook（可选）严禁严禁机器间共享剪裁板上信息服务ComputerBrowser服务（可选）严禁严禁跟踪网络上壹种域内的机器服务Messenger服务严禁严禁即時通讯服务RemoteRegistryService服务严禁严禁遠程操作注册表服务RoutingandRemoteAccess服务严禁严禁路由和遠程访問服务PrintSpooler（可选）严禁严禁後台打印处理服务AutomaticUpdates服务（可选）严禁严禁自動更新服务TerminalService服务（可选）严禁严禁终端服务访問控制通過對系统配置参数调整，提高系统安全性，详見表9。表9Windows系统访問控制基线技术规定序号基线技术规定基线原则點（参数）阐明文献系统格式NTFS磁盘文献系统格式為NTFS桌面屏保10分钟桌面屏保方略防病毒软件安装赛门铁克生产环境安装赛门铁克防病毒最新版本软件防病毒代码库升级時间7天文献共享（可选）严禁严禁配置文献共享，若工作需要必须配置共享，须设置账号与口令系统自带防火墙（可选）严禁严禁自带防火墙默认共享IPC$、ADMIN$、C$、D$等严禁安全控制选项优化不容許匿名枚取SAM账号与共享启用网络访問安全控制选项优化不显示上次的顾客名启用交互式登录安全控制选项优化控制驱動器严禁严禁自動运行藍屏後自動启動机器（可选）严禁严禁藍屏後自動启動机器统壹時间接入统壹NTP服务器保障生产环境所有系统時间统壹补丁管理通過進行定期更新，減少常見的漏洞被运用，详見表10。表10Windows系统补丁管理基线技术规定序号基线技术规定基线原则點（参数）阐明安全服务包winSP2winSP1安装微软最新的安全服务包安全补丁（可选）更新到最新根据实际需要更新安全补丁Linux系统安全基线系统管理通過配置系统安全管理工具，提高系统运维管理的安全性，详見表11。表11Linux系统管理基线技术规定序号基线技术规定基线原则點（参数）阐明安装SSH管理遠程工具(可选)安装OpenSSHOpenSSH為遠程管理高安全性工具，保护管理過程中传播数据的安全配置本机访問控制列表（可选）配置/etc/hosts.allow,/etc/hosts.deny安装TCPWrapper，提高對系统访問控制顾客账号与口令通過配置Linux系统顾客账号与口令安全方略，提高系统账号与口令安全性，详見表12。表12Linux系统顾客账号与口令基线技术规定序号基线技术规定基线原则點（参数）阐明严禁系统無用默认账号登录OperatorHaltSyncNewsUucpLpnobodyGopher严禁清理多出顾客账号，限制系统默认账号登录，同步，针對需要使用的顾客，制定顾客列表進行妥善保留root遠程登录严禁严禁root遠程登录口令使用最長周期90天口令安全方略（超级顾客口令）口令過期提醒修改時间28天口令安全方略（超级顾客口令）口令最小長度8位口令安全方略设置超時時间10分钟口令安全方略曰志与审计通過對Linux系统的曰志進行安全控制与管理，提高曰志的安全性与有效性，详見表13。表13Linux系统曰志与审计基线技术规定序号基线技术规定基线原则點（参数）阐明记录安全曰志authpriv曰志记录网络设备启動、usermod、change等方面曰志曰志存储（可选）接入到统壹曰志服务器使用统壹曰志服务器接受并存储系统曰志曰志保留時间6個月等保三级规定曰志必须保留6個月曰志系统配置文献保护400修改配置文献syslog.conf权限為管理员顾客只讀服务优化通過优化Linux系统资源，提高系统服务安全性，详見表14。表14Linux系统服务优化基线技术规定序号基线技术规定基线原则點（参数）阐明ftp服务（可选）严禁文献上传服务sendmail服务严禁邮件服务klogin服务（可选）严禁Kerberos登录，假如站點使用Kerberos认证则启用kshell服务（可选）严禁Kerberosshell，假如站點使用Kerberos认证则启用ntalk服务严禁newtalktftp服务严禁以root顾客身份运行也許危及安全imap服务（可选）严禁邮件服务pop3服务（可选）严禁邮件服务telnet服务(可选)严禁遠程访問服务GUI服务（可选）严禁图形管理服务xinetd服务（可选）启動增强系统安全访問控制通過對Linux系统配置参数调整，提高系统安全性，详見表15。表15Linux系统访問控制基线技术规定序号基线技术规定基线原则點（参数）阐明Umask权限022或027修改默认文献权限关键文献权限控制/etc/passwd目录权限為644/etc/passwdrw-r--r—所有顾客可讀，root顾客可写/etc/shadow目录权限為400/etc/shadowr--------只有root可讀/etc/grouproot目录权限為644/etc/grouprw-r--r—所有顾客可讀，root顾客可写统壹時间接入统壹NTP服务器保障生产环境所有系统時间统壹数据库安全基线技术规定Oracle数据库系统安全基线顾客账号与口令通過配置数据库系统顾客账号与口令安全方略，提高数据库系统账号与口令安全性，详見表16。表16Oracle系统顾客账号与口令基线技术规定序号基线技术规定基线原则點（参数）阐明Oracle無用账号TIGERSCOTT等禁用禁用無用账号默认管理账号管理SYSTEMDMSYS等更改口令账号安全方略（新系统）数据库自動登录SYSDBA账号严禁账号安全方略口令最小長度8位口令安全方略（新系统）口令有效期12個月新系统执行此项规定严禁使用已设置過的口令次数10次口令安全方略曰志与审计通過對数据库系统的曰志進行安全控制与管理，提高曰志的安全性与有效性，详見表17。表17Oracle系统曰志与审计基线技术规定序号基线技术规定基线原则點（参数）阐明曰志保留规定（可选）3個月曰志必须保留3個月曰志文献保护启用设置访問曰志文献权限访問控制通過對数据库系统配置参数调整，提高数据库系统安全性，详見表18。表18Oracle系统访問控制基线技术规定序号基线技术规定基线原则點（参数）阐明监听程序加密（可选）设置口令设置监听器口令（新系统）修改服务监听默认端口（可选）非TCP1521系统可执行此项规定中间件安全基线技术规定Tong（TongEASY、TongLINK等）中间件安全基线顾客账号与口令通過配置中间件顾客账号与口令安全方略，提高系统账号与口令安全，详見表19。表19Tong顾客账号与口令基线技术规定序号基线技术规定基线原则點（参数）阐明优化Tong服务账号和应用共用同壹顾客（可选）Tong和应用共用同壹顾客与操作系统应用顾客保持壹致曰志与审计通過對中间件的曰志進行安全控制与管理，保护曰志的安全与有效性，详見表20。表20Tong曰志与审计基线技术规定序号基线技术规定基线原则點（参数）阐明事务包曰志备份1.5GPktlog到达1.5G進行备份交易曰志备份1.5GTxlog到达1.5G進行备份通信管理模块运行曰志备份1.5GTonglink.log到达1.5G進行备份系统曰志备份1.5Gsyslog到达1.5G進行备份名字服务曰志备份1.5GNsfwdlog到达1.5G進行备份调试曰志备份1.5GTestlog到达1.5G進行备份通信管理模块錯误曰志备份1.5GTonglink.err到达1.5G進行备份曰志保留時间(可选)6個月等保三级规定曰志必须保留6個月访問控制通過配置中间件系统资源，提高中间件系统服务安全，详見表21。表21Tong访問控制基线技术规定序号基线技术规定基线原则點（参数）阐明共享内存SHMMAX：4GSHMSEG：3個以上SHMALL：12G根据不壹样操作系统调整Tong的3個关键参数消息队列MSGTQL：4096MSGMAX：8192MSGMNB：16384设置Tong关键应用系统程序進行数据传递参数信号灯Maxuproc：1000以上SEMMSL：13以上SEMMNS：26以上设置Tong信号灯参数進程数NPROC：以上MAXUP：1000以上设置同步运行進程数参数服务器应答頭中的版本信息关闭隐藏版本信息，防止软件版本信息泄漏安全防护通過對中间件配置参数调整，提高中间件系统安全，详見表22。表22Tong安全防护基线技术规定序号基线技术规定基线原则點（参数）阐明数据传播安全根据应用需求设置加密標识根据应用需求保护数据传播安全守护進程安全tldtmmonitmrcvtmsnd通信管理模块、运行监控、接受处理、发送处理守护進程处在常開状态，随時处理应用程序的祈求补丁管理通過對Tong的补丁進行定期更新，到达管理基线，防止常見的漏洞被运用，详見表23。表23Tong补丁管理基线技术规定序号基线技术规定基线原则點（参数）阐明安全补丁（可选）根据实际需要更新根据实际需要更新安全补丁Tong4.2、Tong4.5、Tong4.6合用于AIX5.3以上版本Apache中间件安全基线顾客账号与口令通過配置中间件顾客账号与口令安全方略，提高系统账号与口令安全性，详見表24。表24Apache顾客账号与口令基线技术规定序号基线技术规定基线原则點（参数）阐明优化WEB服务账号新建Apache可访問80端口顾客账号使用WAS中间件顾客安装，root顾客启動曰志与审计通過對中间件的曰志進行安全控制与管理，提高曰志的安全性与有效性，详見表25。表25Apache曰志与审计基线技术规定序号基线技术规定基线原则點（参数）阐明曰志级别（可选）Info采用Info曰志级别，分析問題時采用更高曰志级别錯误曰志及记录ErrorLog配置錯误曰志文献名及位置访問曰志（可选）CustomLog配置访問曰志文献名及位置服务优化通過优化中间件系统资源，提高中间件系统服务安全性，详見表26。表26Apache服务优化基线技术规定序号基线技术规定基线原则點（参数）阐明無用模块禁用禁用無用模块安全防护通過對中间件配置参数调整，提高中间件系统安全性，详見表27。表27Apache安全防护基线技术规定序号基线技术规定基线原则點（参数）阐明遍历操作系统目录（可选）严禁修改参数文献，严禁目录遍历服务器应答頭中的版本信息关闭隐藏版本信息，防止软件版本信息泄漏服务器生成页面的页脚中版本信息关闭不显示服务器默认欢迎页面WAS中间件安全基线顾客账号与口令通過配置顾客账号与口令安全方略，提高系统账号与口令安全性，详見表28。表28WAS顾客账号与口令基线技术规定序号基线技术规定基线原则點（参数）阐明账号安全方略按照操作系统账号管理规范执行符合应用系统运行规定口令安全方略按照操作系统口令管理规范执行符合应用系统运行规定曰志与审计通過對系统的曰志進行安全控制与管理，提高曰志的安全性与有效性，详見表29。表29WAS曰志与审计基线技术规定序号基线技术规定基线原则點（参数）阐明故障曰志启動记录有关曰志记录级别Info记录有关曰志级别服务优化通過优化系统资源，提高系统服务安全性，详見表30。表30WAS服务优化基线技术规定序号基线技术规定基线原则點（参数）阐明fileserving服务严禁启動顾客也許非法浏览应用服务器目录和文献配置config和properties目录权限755config和properties目录权限不妥存在安全隐患安全防护通過對系统配置参数调整，提高系统安全性，详見表31。表31WAS安全防护基线技术规定序号基线技术规定基线原则點（参数）阐明删除sample例子程序删除示例域防止已知袭击连接會话超時控制10分钟设置超時時间，控制顾客登录會话数据传播安全加密传送在服务器console管理中浏览器与服务器传播信息配置SSL设置控制台會话最長時间30分钟控制台會话timeout低于30分钟补丁管理通過進行定期更新，到达管理基线，減少常見的的漏洞被运用，详見表32。表32WAS补丁管理基线技术规定序号基线技术规定基线原则點（参数）阐明安全补丁（可选）按照系统管理室年度版本执行根据应用系统实际状况选择网络设备安全基线技术规定Cisco路由器/互换机安全基线系统管理通過配置网络设备管理，提高系统运维管理安全性，详見表33。表33Cisco系统管理基线技术规定序号基线技术规定基线原则點（参数）阐明遠程ssh服务（可选）启用采用ssh服务替代telnet服务管理网络设备，提高设备管理安全性认证方式tacas/radius认证启用设备认证非管理员IP地址严禁配置访問控制列表，只容許管理员IP或网段能访問网络设备管理服务配置console端口口令认证console需配置口令认证信息统壹時间接入统壹NTP服务器保障生产环境所有设备時间统壹顾客账号与口令通過配置网络设备顾客账号与口令安全方略，提高系统账号与口令安全性，详見表34。表34Cisco顾客账号与口令基线技术规定序号基线技术规定基线原则點（参数）阐明Servicepassword口令加密采用servicepassword-encryptionenable口令加密采用secret對口令進行加密账号登录空闲超時時间5分钟设置console和vty的登录超時時间5分钟口令最小長度8位口令長度為8個字符曰志与审计通過對网络设备的曰志進行安全控制与管理，提高曰志的安全性与有效性，详見表35。表35Cisco曰志与审计基线技术规定序号基线技术规定基线原则點（参数）阐明更改SNMP的团体串（可选）更改SNMPCommunity修改默认值public更改SNMP主机IP系统曰志存储對接到网管曰志服务器使用曰志服务器接受与存储主机曰志，网管平台统壹管理曰志保留规定6個月等保三级规定曰志必须保留6個月服务优化通過优化网络设备，提高系统服务安全性，详見表36。表36Cisco服务优化基线技术规定序号基线技术规定基线原则點（参数）阐明TCP、UDPSmall服务（可选）严禁禁用無用服务Finger服务严禁禁用無用服务HTTP服务严禁禁用無用服务HTTPS服务严禁禁用無用服务BOOTp服务严禁禁用無用服务IPSourceRouting服务严禁禁用無用服务ARP-Proxy服务严禁禁用無用服务cdp服务（可选）严禁禁用無用服务(只合用于边界设备)FTP服务（可选）严禁禁用無用服务访問控制通過對设备配置進行调整，提高设备或网络安全性，详見表37。表37Cisco访問控制基线技术规定序号基线技术规定基线原则點（参数）阐明loginbanner信息修改默认值為警示語默认值不為空BGP认证（可选）启用加强路由信息安全EIGRP认证（可选）启用加强路由信息安全OSPF认证（可选）启用加强路由信息安全RIPv2认证（可选）启用加强路由信息安全MAC绑定（可选）IP+MAC+端口绑定重要服务器采用IP+MAC+端口绑定网络端口AUX（可选）关闭关闭没用网络端口H3C路由器/互换机安全基线系统管理通過配置网络设备管理，防止遠程访問服务袭击或非授权访問，提高网络设备遠程管理安全性，详見表38。表38H3C系统管理基线技术规定序号基线技术规定基线原则點（参数）阐明遠程ssh服务（可选）启用采用ssh服务替代telnet服务管理网络设备，提高设备管理安全性认证方式tacas/radius认证启用设备认证非管理员IP地址严禁配置访問控制列表，只容許管理员IP或网段能访問网络设备管理服务配置console端口口令认证console需配置口令认证信息统壹時间接入统壹NTP服务器保障生产环境所有设备時间统壹顾客账号与口令通過配置顾客账号与口令安全方略，提高系统账号与口令安全，详見表39。表39H3C顾客账号与口令基线技术规定序号基线技术规定基线原则點（参数）阐明system口令加密方式采用cipher對口令進行加密账号登录空闲超時時间5分钟设置console和vty的登录超時時间5分钟口令最小長度8位口令安全方略曰志与审计通過對网络设备的曰志進行安全控制与管理，提高曰志的安全性与有效性，详見表40。表40H3C曰志与审计基线技术规定序号基线技术规定基线原则點（参数）阐明系统曰志接入到网管曰志服务器使用网管平台统壹曰志服务器接受与存储曰志保留规定6個月等保三级规定曰志必须保留6個月服务优化通過优化网络设备资源，提高设备服务安全性，详見表41。表41H3C服务优化基线技术规定序号基线技术规定基线原则點（参数）阐明http服务禁用关闭弱服务FTP服务（可选）严禁禁用Ftp服务访問控制通過對网络设备配置参数调整，提高设备安全性，详見表42。表42H3C访問控制基线技术规定序号基线技术规定基线原则點（参数）阐明BGP认证（可选）启用加强路由信息安全OSPF认证（可选）启用