信息系統(tǒng)安全基線.doc

1. 操作系統(tǒng)安全基線技術(shù)要求1.1.1. AIX系統(tǒng)安全基線1.1.1. 系統(tǒng)管理通過配置操作系統(tǒng)運(yùn)維管理安全策略，提高系統(tǒng)運(yùn)維管理安全性，詳見表1。表1 AIX系統(tǒng)管理基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明1限制超級管理員權(quán)限的用戶遠(yuǎn)程登錄PermitRootLogin no限制root用戶遠(yuǎn)程使用telnet登錄（可選）2使用動態(tài)口令令牌登錄安裝動態(tài)口令3配置本機(jī)訪問控制列表（可選）配置/etc/hosts.allow,/etc/hosts.deny安裝TCP Wrapper，提高對系統(tǒng)訪問控制1.1.2. 用戶賬號與口令通過配置操作系統(tǒng)用戶賬號與口令安全策略，提高系統(tǒng)賬號與口令安全性，詳見表2。表2 AIX系統(tǒng)用戶賬戶與口令基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明4限制系統(tǒng)無用默認(rèn)賬號登錄daemon（禁用）bin（禁用）sys（禁用）adm（禁用）uucp（禁用）nuucp（禁用）lpd（禁用）guest（禁用）pconsole（禁用）esaadmin（禁用）sshd（禁用）清理多余用戶賬號，限制系統(tǒng)默認(rèn)賬號登錄，同時，針對需要使用的用戶，制訂用戶列表，并妥善保存5控制用戶登錄超時時間10分鐘控制用戶登錄會話，設(shè)置超時時間6口令最小長度8位口令安全策略（口令為超級用戶靜態(tài)口令）7口令中最少非字母數(shù)字字符1個口令安全策略（口令為超級用戶靜態(tài)口令）8信息系統(tǒng)的口令的最大周期90天口令安全策略（口令為超級用戶靜態(tài)口令）9口令不重復(fù)的次數(shù)10次口令安全策略（口令為超級用戶靜態(tài)口令）1.1.3. 日志與審計通過對操作系統(tǒng)的日志進(jìn)行安全控制與管理，提高日志的安全性，詳見表3。表3 AIX系統(tǒng)日志與審計基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明10系統(tǒng)日志記錄（可選）authlog、sulog、wtmp、failedlogin記錄必需的日志信息，以便進(jìn)行審計11系統(tǒng)日志存儲（可選)對接到統(tǒng)一日志服務(wù)器使用日志服務(wù)器接收與存儲主機(jī)日志，網(wǎng)管平臺統(tǒng)一管理12日志保存要求（可選）6個月等保三級要求日志必須保存6個月 13配置日志系統(tǒng)文件保護(hù)屬性（可選）400修改配置文件syslog.conf權(quán)限為管理員賬號只讀14修改日志文件保護(hù)權(quán)限（可選）400修改日志文件authlog、wtmp、sulog、failedlogin的權(quán)限管理員賬號只讀1.1.4. 服務(wù)優(yōu)化通過優(yōu)化操作系統(tǒng)資源，提高系統(tǒng)服務(wù)安全性，詳見表4。表4 AIX系統(tǒng)服務(wù)優(yōu)化基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明15discard 服務(wù)禁止網(wǎng)絡(luò)測試服務(wù)，丟棄輸入, 為“拒絕服務(wù)”攻擊提供機(jī)會, 除非正在測試網(wǎng)絡(luò)，否則禁用16daytime 服務(wù)禁止網(wǎng)絡(luò)測試服務(wù)，顯示時間, 為“拒絕服務(wù)”攻擊提供機(jī)會, 除非正在測試網(wǎng)絡(luò)，否則禁用17chargen 服務(wù)禁止網(wǎng)絡(luò)測試服務(wù)，回應(yīng)隨機(jī)字符串, 為“拒絕服務(wù)”攻擊提供機(jī)會, 除非正在測試網(wǎng)絡(luò)，否則禁用18comsat 服務(wù)禁止comsat通知接收的電子郵件，以 root 用戶身份運(yùn)行，因此涉及安全性, 除非需要接收郵件，否則禁用19ntalk 服務(wù)禁止ntalk允許用戶相互交談，以 root 用戶身份運(yùn)行，除非絕對需要，否則禁用20talk 服務(wù)禁止在網(wǎng)上兩個用戶間建立分區(qū)屏幕，不是必需服務(wù)，與 talk 命令一起使用，在端口 517 提供 UDP 服務(wù)21tftp 服務(wù)禁止以 root 用戶身份運(yùn)行并且可能危及安全22ftp 服務(wù)（可選）禁止防范非法訪問目錄風(fēng)險23telnet服務(wù)禁止遠(yuǎn)程訪問服務(wù)24uucp 服務(wù)禁止除非有使用 UUCP 的應(yīng)用程序，否則禁用25dtspc 服務(wù)（可選）禁止CDE 子過程控制不用圖形管理則禁用26klogin 服務(wù)（可選）禁止Kerberos 登錄，如果站點使用 Kerberos 認(rèn)證則啟用27kshell 服務(wù)（可選）禁止Kerberos shell，如果站點使用 Kerberos 認(rèn)證則啟用1.1.5. 訪問控制通過對操作系統(tǒng)安全權(quán)限參數(shù)進(jìn)行調(diào)整，提高系統(tǒng)訪問安全性，詳見表5。表5 AIX系統(tǒng)訪問控制基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明28修改Umask權(quán)限022或027要求修改默認(rèn)文件權(quán)限29關(guān)鍵文件權(quán)限控制passwd、group、security的所有者必須是root和security組成員設(shè)置/etc/passwd，/etc/group， /etc/security等關(guān)鍵文件和目錄的權(quán)限30audit的所有者必須是root和audit組成員/etc/security/audit的所有者必須是root和audit組成員31/etc/passwd rw-r-r-/etc/passwd目錄權(quán)限為 644所有用戶可讀，root用戶可寫32/etc/group rw-r-r-/etc/group root目錄權(quán)限為644所有用戶可讀，root用戶可寫 33統(tǒng)一時間 接入統(tǒng)一NTP服務(wù)器保障生產(chǎn)環(huán)境所有系統(tǒng)時間統(tǒng)一1.2. Windows系統(tǒng)安全基線1.2.1. 用戶賬號與口令通過配置操作系統(tǒng)用戶賬號與口令安全策略，提高系統(tǒng)賬號與口令安全性，詳見表6。表6 Windows系統(tǒng)用戶賬號與口令基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明1口令必須符合復(fù)雜性要求啟用口令安全策略（不涉及終端及動態(tài)口令）2口令長度最小值8位口令安全策略（不涉及終端）3口令最長使用期限90天口令安全策略（不涉及終端）4強(qiáng)制口令歷史10次口令安全策略（不涉及終端）5復(fù)位賬號鎖定計數(shù)器10分鐘賬號鎖定策略（不涉及終端）6賬號鎖定時間（可選）10分鐘賬號鎖定策略（不涉及終端）7賬號鎖定閥值（可選）10次賬號鎖定策略（不涉及終端）8guest賬號禁止禁用guest賬號9administrator（可選）重命名保護(hù)administrator安全10無需賬號檢查與管理禁用禁用無需使用賬號1.2.2. 日志與審計通過對操作系統(tǒng)日志進(jìn)行安全控制與管理，提高日志的安全性與有效性，詳見表7。表7 Windows系統(tǒng)日志與審計基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明11審核賬號登錄事件成功與失敗日志審核策略12審核賬號管理成功與失敗日志審核策略13審核目錄服務(wù)訪問成功日志審核策略14審核登錄事件成功與失敗日志審核策略15審核策略更改成功與失敗日志審核策略16審核系統(tǒng)事件成功日志審核策略17日志存儲地址（可選）接入到統(tǒng)一日志服務(wù)器日志存儲在統(tǒng)一日志服務(wù)器中18日志保存要求（可選）6個月等保三級要求日志保存6個月 1.2.3. 服務(wù)優(yōu)化通過優(yōu)化系統(tǒng)資源，提高系統(tǒng)服務(wù)安全性，詳見表8。表8 Windows系統(tǒng)服務(wù)優(yōu)化基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明19Alerter服務(wù)禁止禁止進(jìn)程間發(fā)送信息服務(wù)20Clipbook（可選）禁止禁止機(jī)器間共享剪裁板上信息服務(wù)21Computer Browser服務(wù)（可選）禁止禁止跟蹤網(wǎng)絡(luò)上一個域內(nèi)的機(jī)器服務(wù)22Messenger服務(wù)禁止禁止即時通訊服務(wù)23Remote Registry Service服務(wù)禁止禁止遠(yuǎn)程操作注冊表服務(wù)24Routing and Remote Access服務(wù)禁止禁止路由和遠(yuǎn)程訪問服務(wù)25Print Spooler（可選）禁止禁止后臺打印處理服務(wù)26Automatic Updates服務(wù)（可選）禁止禁止自動更新服務(wù)27Terminal Service服務(wù)（可選）禁止禁止終端服務(wù)1.2.4. 訪問控制通過對系統(tǒng)配置參數(shù)調(diào)整，提高系統(tǒng)安全性，詳見表9。表9 Windows系統(tǒng)訪問控制基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明28文件系統(tǒng)格式NTFS磁盤文件系統(tǒng)格式為NTFS29桌面屏保10分鐘桌面屏保策略30防病毒軟件安裝賽門鐵克生產(chǎn)環(huán)境安裝賽門鐵克防病毒最新版本軟件31防病毒代碼庫升級時間7天32文件共享（可選）禁止禁止配置文件共享，若工作需要必須配置共享，須設(shè)置賬號與口令33系統(tǒng)自帶防火墻（可選）禁止禁止自帶防火墻34默認(rèn)共享IPC$、ADMIN$、C$、D$等禁止 安全控制選項優(yōu)化35不允許匿名枚取SAM賬號與共享啟用網(wǎng)絡(luò)訪問安全控制選項優(yōu)化36不顯示上次的用戶名啟用交互式登錄安全控制選項優(yōu)化37控制驅(qū)動器禁止禁止自動運(yùn)行38藍(lán)屏后自動啟動機(jī)器（可選）禁止禁止藍(lán)屏后自動啟動機(jī)器39統(tǒng)一時間 接入統(tǒng)一NTP服務(wù)器保障生產(chǎn)環(huán)境所有系統(tǒng)時間統(tǒng)一1.2.5. 補(bǔ)丁管理通過進(jìn)行定期更新，降低常見的漏洞被利用，詳見表10。表10 Windows系統(tǒng)補(bǔ)丁管理基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明40安全服務(wù)包win2003 SP2win2008 SP1安裝微軟最新的安全服務(wù)包41安全補(bǔ)?。蛇x）更新到最新根據(jù)實際需要更新安全補(bǔ)丁1.3. Linux系統(tǒng)安全基線1.3.1. 系統(tǒng)管理通過配置系統(tǒng)安全管理工具，提高系統(tǒng)運(yùn)維管理的安全性，詳見表11。表11 Linux系統(tǒng)管理基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明1安裝SSH管理遠(yuǎn)程工具(可選)安裝OpenSSHOpenSSH為遠(yuǎn)程管理高安全性工具，保護(hù)管理過程中傳輸數(shù)據(jù)的安全2配置本機(jī)訪問控制列表（可選）配置/etc/hosts.allow,/etc/hosts.deny安裝TCP Wrapper，提高對系統(tǒng)訪問控制1.3.2. 用戶賬號與口令通過配置Linux系統(tǒng)用戶賬號與口令安全策略，提高系統(tǒng)賬號與口令安全性，詳見表12。表12 Linux系統(tǒng)用戶賬號與口令基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明3禁止系統(tǒng)無用默認(rèn)賬號登錄1) Operator2) Halt3) Sync4) News5) Uucp6) Lp7) nobody8) Gopher禁止清理多余用戶賬號，限制系統(tǒng)默認(rèn)賬號登錄，同時，針對需要使用的用戶，制訂用戶列表進(jìn)行妥善保存4root遠(yuǎn)程登錄禁止禁止root遠(yuǎn)程登錄5口令使用最長周期90天口令安全策略（超級用戶口令）6口令過期提示修改時間28天口令安全策略（超級用戶口令）7口令最小長度8位口令安全策略8設(shè)置超時時間10分鐘口令安全策略1.3.3. 日志與審計通過對Linux系統(tǒng)的日志進(jìn)行安全控制與管理，提高日志的安全性與有效性，詳見表13。表13 Linux系統(tǒng)日志與審計基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明9記錄安全日志authpriv日志記錄網(wǎng)絡(luò)設(shè)備啟動、usermod、change等方面日志10日志存儲（可選）接入到統(tǒng)一日志服務(wù)器使用統(tǒng)一日志服務(wù)器接收并存儲系統(tǒng)日志11日志保存時間6個月等保三級要求日志必須保存6個月 12日志系統(tǒng)配置文件保護(hù)400修改配置文件syslog.conf權(quán)限為管理員用戶只讀1.3.4. 服務(wù)優(yōu)化通過優(yōu)化Linux系統(tǒng)資源，提高系統(tǒng)服務(wù)安全性，詳見表14。表14 Linux系統(tǒng)服務(wù)優(yōu)化基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明13ftp 服務(wù)（可選）禁止文件上傳服務(wù)14sendmail 服務(wù)禁止郵件服務(wù)15klogin 服務(wù)（可選）禁止Kerberos 登錄，如果站點使用 Kerberos 認(rèn)證則啟用16kshell 服務(wù)（可選）禁止Kerberos shell，如果站點使用 Kerberos 認(rèn)證則啟用17ntalk 服務(wù)禁止new talk18tftp 服務(wù)禁止以 root 用戶身份運(yùn)行可能危及安全19imap 服務(wù)（可選）禁止郵件服務(wù)20pop3服務(wù)（可選）禁止郵件服務(wù)21telnet 服務(wù)(可選 )禁止遠(yuǎn)程訪問服務(wù)22GUI服務(wù)（可選）禁止圖形管理服務(wù)23xinetd服務(wù)（可選）啟動增強(qiáng)系統(tǒng)安全1.3.5. 訪問控制通過對Linux系統(tǒng)配置參數(shù)調(diào)整，提高系統(tǒng)安全性，詳見表15。表15 Linux系統(tǒng)訪問控制基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明24Umask權(quán)限022或027修改默認(rèn)文件權(quán)限25關(guān)鍵文件權(quán)限控制1) /etc/passwd 目錄權(quán)限為644/etc/passwd rw-r-r所有用戶可讀，root用戶可寫262) /etc/shadow目錄權(quán)限為400 /etc/shadow r-只有root可讀 273) /etc/group root目錄權(quán)限為644/etc/group rw-r-r所有用戶可讀，root用戶可寫 28統(tǒng)一時間接入統(tǒng)一NTP服務(wù)器保障生產(chǎn)環(huán)境所有系統(tǒng)時間統(tǒng)一2. 數(shù)據(jù)庫安全基線技術(shù)要求2.1. Oracle數(shù)據(jù)庫系統(tǒng)安全基線2.1.1. 用戶賬號與口令通過配置數(shù)據(jù)庫系統(tǒng)用戶賬號與口令安全策略，提高數(shù)據(jù)庫系統(tǒng)賬號與口令安全性，詳見表16。表16 Oracle系統(tǒng)用戶賬號與口令基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明1Oracle無用賬號TIGERSCOTT等禁用禁用無用賬號2默認(rèn)管理賬號管理SYSTEMDMSYS等更改口令賬號安全策略（新系統(tǒng)）3數(shù)據(jù)庫自動登錄SYSDBA賬號禁止賬號安全策略4口令最小長度8位口令安全策略（新系統(tǒng)）5口令有效期12個月新系統(tǒng)執(zhí)行此項要求6禁止使用已設(shè)置過的口令次數(shù)10次口令安全策略2.1.2. 日志與審計通過對數(shù)據(jù)庫系統(tǒng)的日志進(jìn)行安全控制與管理，提高日志的安全性與有效性，詳見表17。表17 Oracle系統(tǒng)日志與審計基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明7日志保存要求（可選）3個月日志必須保存3個月 8日志文件保護(hù)啟用設(shè)置訪問日志文件權(quán)限2.1.3. 訪問控制通過對數(shù)據(jù)庫系統(tǒng)配置參數(shù)調(diào)整，提高數(shù)據(jù)庫系統(tǒng)安全性，詳見表18。表18 Oracle系統(tǒng)訪問控制基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明9監(jiān)聽程序加密（可選）設(shè)置口令設(shè)置監(jiān)聽器口令（新系統(tǒng)）10修改服務(wù)監(jiān)聽默認(rèn)端口（可選）非TCP1521系統(tǒng)可執(zhí)行此項要求3. 中間件安全基線技術(shù)要求4.3.1. Tong（TongEASY、TongLINK等）中間件安全基線3.1.1. 用戶賬號與口令通過配置中間件用戶賬號與口令安全策略，提高系統(tǒng)賬號與口令安全，詳見表19。表19 Tong用戶賬號與口令基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明1優(yōu)化Tong服務(wù)賬號和應(yīng)用共用同一用戶（可選）Tong和應(yīng)用共用同一用戶與操作系統(tǒng)應(yīng)用用戶保持一致3.1.2. 日志與審計通過對中間件的日志進(jìn)行安全控制與管理，保護(hù)日志的安全與有效性，詳見表20。表20 Tong日志與審計基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明2事務(wù)包日志備份1.5GPktlog達(dá)到1.5G進(jìn)行備份3交易日志備份1.5GTxlog達(dá)到1.5G進(jìn)行備份4通信管理模塊運(yùn)行日志備份1.5GTonglink.log達(dá)到1.5G進(jìn)行備份5系統(tǒng)日志備份1.5Gsyslog達(dá)到1.5G進(jìn)行備份6名字服務(wù)日志備份1.5GNsfwdlog達(dá)到1.5G進(jìn)行備份7調(diào)試日志備份1.5GTestlog達(dá)到1.5G進(jìn)行備份8通信管理模塊錯誤日志備份1.5GTonglink.err達(dá)到1.5G進(jìn)行備份9日志保存時間(可選)6個月等保三級要求日志必須保存6個月 3.1.3. 訪問控制通過配置中間件系統(tǒng)資源，提高中間件系統(tǒng)服務(wù)安全，詳見表21。表21 Tong訪問控制基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明10共享內(nèi)存SHMMAX：4GSHMSEG： 3個以上SHMALL：12G根據(jù)不同操作系統(tǒng)調(diào)整Tong的3個核心參數(shù)11消息隊列MSGTQL ：4096MSGMAX：8192MSGMNB：16384設(shè)置Tong核心應(yīng)用系統(tǒng)程序進(jìn)行數(shù)據(jù)傳遞參數(shù)12信號燈Maxuproc：1000以上SEMMSL：13以上SEMMNS：26以上設(shè)置Tong信號燈參數(shù)13進(jìn)程數(shù)NPROC：2000以上MAXUP：1000以上設(shè)置同時運(yùn)行進(jìn)程數(shù)參數(shù)服務(wù)器應(yīng)答頭中的版本信息關(guān)閉隱藏版本信息，防止軟件版本信息泄漏3.1.4. 安全防護(hù)通過對中間件配置參數(shù)調(diào)整，提高中間件系統(tǒng)安全，詳見表22。表22 Tong安全防護(hù)基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明14數(shù)據(jù)傳輸安全根據(jù)應(yīng)用需求設(shè)置加密標(biāo)識根據(jù)應(yīng)用需求保護(hù)數(shù)據(jù)傳輸安全15守護(hù)進(jìn)程安全tldtmmonitmrcvtmsnd通信管理模塊、運(yùn)行監(jiān)控、接收處理、發(fā)送處理守護(hù)進(jìn)程處于常開狀態(tài)，隨時處理應(yīng)用程序的請求3.1.5. 補(bǔ)丁管理通過對Tong的補(bǔ)丁進(jìn)行定期更新，達(dá)到管理基線，防止常見的漏洞被利用，詳見表23。表23 Tong補(bǔ)丁管理基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明16安全補(bǔ)?。蛇x）根據(jù)實際需要更新根據(jù)實際需要更新安全補(bǔ)丁Tong4.2、Tong4.5、Tong4.6適用于AIX5.3以上版本3.2. Apache中間件安全基線3.2.1. 用戶賬號與口令通過配置中間件用戶賬號與口令安全策略，提高系統(tǒng)賬號與口令安全性，詳見表24。表24 Apache用戶賬號與口令基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明1優(yōu)化WEB服務(wù)賬號新建Apache可訪問80端口用戶賬號使用WAS中間件用戶安裝，root用戶啟動3.2.2. 日志與審計通過對中間件的日志進(jìn)行安全控制與管理，提高日志的安全性與有效性，詳見表25。表25 Apache日志與審計基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明2日志級別（可選）Info采用Info日志級別，分析問題時采用更高日志級別3錯誤日志及記錄ErrorLog 配置錯誤日志文件名及位置4訪問日志（可選）CustomLog 配置訪問日志文件名及位置3.2.3. 服務(wù)優(yōu)化通過優(yōu)化中間件系統(tǒng)資源，提高中間件系統(tǒng)服務(wù)安全性，詳見表26。表26 Apache服務(wù)優(yōu)化基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明5無用模塊禁用禁用無用模塊3.2.4. 安全防護(hù)通過對中間件配置參數(shù)調(diào)整，提高中間件系統(tǒng)安全性，詳見表27。表27 Apache安全防護(hù)基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明6遍歷操作系統(tǒng)目錄（可選）禁止修改參數(shù)文件，禁止目錄遍歷7服務(wù)器應(yīng)答頭中的版本信息關(guān)閉隱藏版本信息，防止軟件版本信息泄漏8服務(wù)器生成頁面的頁腳中版本信息關(guān)閉不顯示服務(wù)器默認(rèn)歡迎頁面3.3. WAS中間件安全基線3.3.1. 用戶賬號與口令通過配置用戶賬號與口令安全策略，提高系統(tǒng)賬號與口令安全性，詳見表28。表28 WAS用戶賬號與口令基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明1賬號安全策略按照操作系統(tǒng)賬號管理規(guī)范執(zhí)行符合應(yīng)用系統(tǒng)運(yùn)行要求2口令安全策略按照操作系統(tǒng)口令管理規(guī)范執(zhí)行符合應(yīng)用系統(tǒng)運(yùn)行要求3.3.2. 日志與審計通過對系統(tǒng)的日志進(jìn)行安全控制與管理，提高日志的安全性與有效性，詳見表29。表29 WAS日志與審計基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明3故障日志開啟記錄相關(guān)日志4記錄級別Info記錄相關(guān)日志級別3.3.3. 服務(wù)優(yōu)化通過優(yōu)化系統(tǒng)資源，提高系統(tǒng)服務(wù)安全性，詳見表30。表30 WAS服務(wù)優(yōu)化基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明5file serving服務(wù)禁止開啟用戶可能非法瀏覽應(yīng)用服務(wù)器目錄和文件6配置config和properties目錄權(quán)限755config和properties目錄權(quán)限不當(dāng)存在安全隱患3.3.4. 安全防護(hù)通過對系統(tǒng)配置參數(shù)調(diào)整，提高系統(tǒng)安全性，詳見表31。表31 WAS安全防護(hù)基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明7刪除sample例子程序刪除示例域防止已知攻擊8連接會話超時控制10分鐘設(shè)置超時時間，控制用戶登錄會話9數(shù)據(jù)傳輸安全加密傳送在服務(wù)器console管理中瀏覽器與服務(wù)器傳輸信息配置SSL10設(shè)置控制臺會話最長時間30分鐘控制臺會話timeout低于30分鐘3.3.5. 補(bǔ)丁管理通過進(jìn)行定期更新，達(dá)到管理基線，降低常見的的漏洞被利用，詳見表32。表32 WAS補(bǔ)丁管理基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明11安全補(bǔ)丁（可選）按照系統(tǒng)管理室年度版本執(zhí)行根據(jù)應(yīng)用系統(tǒng)實際情況選擇4. 網(wǎng)絡(luò)設(shè)備安全基線技術(shù)要求4.1. Cisco路由器/交換機(jī)安全基線4.1.1. 系統(tǒng)管理通過配置網(wǎng)絡(luò)設(shè)備管理，提高系統(tǒng)運(yùn)維管理安全性，詳見表33。表33 Cisco系統(tǒng)管理基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明1遠(yuǎn)程ssh服務(wù)（可選）啟用采用ssh服務(wù)代替telnet服務(wù)管理網(wǎng)絡(luò)設(shè)備，提高設(shè)備管理安全性2認(rèn)證方式tacas/radius認(rèn)證啟用設(shè)備認(rèn)證3非管理員IP地址禁止配置訪問控制列表，只允許管理員IP或網(wǎng)段能訪問網(wǎng)絡(luò)設(shè)備管理服務(wù)4配置console端口口令認(rèn)證console需配置口令認(rèn)證信息5統(tǒng)一時間 接入統(tǒng)一NTP服務(wù)器保障生產(chǎn)環(huán)境所有設(shè)備時間統(tǒng)一4.1.2. 用戶賬號與口令通過配置網(wǎng)絡(luò)設(shè)備用戶賬號與口令安全策略，提高系統(tǒng)賬號與口令安全性，詳見表34。表34 Cisco用戶賬號與口令基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明6Service password口令加密采用service password-encryption7enable口令加密采用secret對口令進(jìn)行加密8賬號登錄空閑超時時間5分鐘設(shè)置console和vty的登錄超時時間5分鐘9口令最小長度8位口令長度為8個字符4.1.3. 日志與審計通過對網(wǎng)絡(luò)設(shè)備的日志進(jìn)行安全控制與管理，提高日志的安全性與有效性，詳見表35。表35 Cisco日志與審計基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明10更改SNMP的團(tuán)體串（可選）更改SNMP Community修改默認(rèn)值public更改SNMP主機(jī)IP11系統(tǒng)日志存儲對接到網(wǎng)管日志服務(wù)器使用日志服務(wù)器接收與存儲主機(jī)日志，網(wǎng)管平臺統(tǒng)一管理12日志保存要求6個月等保三級要求日志必須保存6個月 4.1.4. 服務(wù)優(yōu)化通過優(yōu)化網(wǎng)絡(luò)設(shè)備，提高系統(tǒng)服務(wù)安全性，詳見表36。表36 Cisco服務(wù)優(yōu)化基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明13TCP、UDP Small服務(wù)（可選）禁止禁用無用服務(wù)14Finger服務(wù)禁止禁用無用服務(wù)15HTTP服務(wù)禁止禁用無用服務(wù)16HTTPS服務(wù)禁止禁用無用服務(wù)17BOOTp服務(wù)禁止禁用無用服務(wù)18IP Source Routing服務(wù)禁止禁用無用服務(wù)19ARP-Proxy服務(wù)禁止禁用無用服務(wù)20cdp服務(wù)（可選）禁止禁用無用服務(wù)(只適用于邊界設(shè)備)21FTP服務(wù)（可選）禁止禁用無用服務(wù)4.1.5. 訪問控制通過對設(shè)備配置進(jìn)行調(diào)整，提高設(shè)備或網(wǎng)絡(luò)安全性，詳見表37。表37 Cisco訪問控制基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明22login banner信息修改默認(rèn)值為警示語默認(rèn)值不為空23BGP認(rèn)證（可選）啟用加強(qiáng)路由信息安全24EIGRP認(rèn)證（可選）啟用加強(qiáng)路由信息安全25OSPF認(rèn)證（可選）啟用加強(qiáng)路由信息安全26RIPv2認(rèn)證（可選）啟用加強(qiáng)路由信息安全27MAC綁定（可選）IP+MAC+端口綁定重要服務(wù)器采用IP+MAC+端口綁定28網(wǎng)絡(luò)端口AUX（可選）關(guān)閉關(guān)閉沒用網(wǎng)絡(luò)端口4.2. H3C路由器/交換機(jī)安全基線4.2.1. 系統(tǒng)管理通過配置網(wǎng)絡(luò)設(shè)備管理，預(yù)防遠(yuǎn)程訪問服務(wù)攻擊或非授權(quán)訪問，提高網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理安全性，詳見表38。表38 H3C系統(tǒng)管理基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明1遠(yuǎn)程ssh服務(wù)（可選）啟用采用ssh服務(wù)代替telnet服務(wù)管理網(wǎng)絡(luò)設(shè)備，提高設(shè)備管理安全性2認(rèn)證方式tacas/radius認(rèn)證啟用設(shè)備認(rèn)證3非管理員IP地址禁止配置訪問控制列表，只允許管理員IP或網(wǎng)段能訪問網(wǎng)絡(luò)設(shè)備管理服務(wù)4配置console端口口令認(rèn)證console需配置口令認(rèn)證信息5統(tǒng)一時間 接入統(tǒng)一NTP服務(wù)器保障生產(chǎn)環(huán)境所有設(shè)備時間統(tǒng)一4.2.2. 用戶賬號與口令通過配置用戶賬號與口令安全策略，提高系統(tǒng)賬號與口令安全，詳見表39。表39 H3C用戶賬號與口令基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明6system口令加密方式采用cipher對口令進(jìn)行加密7賬號登錄空閑超時時間5分鐘設(shè)置console和vty的登錄超時時間5分鐘8口令最小長度8位口令安全策略4.2.3. 日志與審計通過對網(wǎng)絡(luò)設(shè)備的日志進(jìn)行安全控制與管理，提高日志的安全性與有效性，詳見表40。表40 H3C日志與審計基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明9系統(tǒng)日志接入到網(wǎng)管日志服務(wù)器使用網(wǎng)管平臺統(tǒng)一日志服務(wù)器接收與存儲10日志保存要求6個月等保三級要求日志必須保存6個月 4.2.4. 服務(wù)優(yōu)化通過優(yōu)化網(wǎng)絡(luò)設(shè)備資源，提高設(shè)備服務(wù)安全性，詳見表41。表41 H3C服務(wù)優(yōu)化基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明11http服務(wù)禁用關(guān)閉弱服務(wù)12FTP服務(wù)（可選）禁止禁用Ftp服務(wù)4.2.5. 訪問控制通過對網(wǎng)絡(luò)設(shè)備配置參數(shù)調(diào)整，提高設(shè)備安全性，詳見表42。表42 H3C訪問控制基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明13BGP認(rèn)證（可選）啟用加強(qiáng)路由信息安全14OSPF認(rèn)證（可選）啟用加強(qiáng)路由信息安全15RIPv2認(rèn)證（可選）啟用加強(qiáng)路由信息安全16統(tǒng)一時間 接入統(tǒng)一NTP服務(wù)器保障生產(chǎn)環(huán)境所有設(shè)備時間統(tǒng)一17重要服務(wù)器采用IP+MAC+端口綁定（可選）IP+MAC+端口綁定重要服務(wù)器采用IP+MAC+端口綁定18網(wǎng)絡(luò)端口AUX（可選）關(guān)閉關(guān)閉沒用網(wǎng)絡(luò)端口4.3. 防火墻安全基線4.3.1. 系統(tǒng)管理通過配置網(wǎng)絡(luò)設(shè)備管理，提高安全設(shè)備運(yùn)維管理安全性，詳見表43。表43 防火墻系統(tǒng)管理基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明1安全網(wǎng)絡(luò)登錄方式，SSH或者HTTPS啟用采用ssh(https)服務(wù)代替telnet(http)服務(wù)管理防火墻設(shè)備2限制登錄口令錄入時間30秒設(shè)置登錄口令錄入時間，建議為30秒3限制可登錄的訪問地址配置管理客戶端IP 地址限制對特定工作站的管理能力4只接收管理流量的邏輯管理IP地址（可選）啟用網(wǎng)絡(luò)用戶流量分離管理流量大大增加了管理安全性，并確保了穩(wěn)定的管理帶寬5HTTP監(jiān)聽端口號（可選）更改通過更改HTTP監(jiān)聽端口號提高系統(tǒng)安全性6統(tǒng)一時間 接入統(tǒng)一NTP服務(wù)器保障生產(chǎn)環(huán)境所有設(shè)備時間統(tǒng)一4.3.2. 用戶賬號與口令通過配置網(wǎng)絡(luò)設(shè)備用戶賬號與口令安全策略，提高設(shè)備賬號與口令安全性，詳見表44。表44 防火墻用戶賬號與口令基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明7系統(tǒng)初始賬號和口令修改在完成初始配置后應(yīng)盡快修改缺省用戶名和口令口令最短長度8位口令安全策略4.3.3. 日志與審計通過對網(wǎng)絡(luò)設(shè)備的日志進(jìn)行安全控制與管理，提高日志的安全性與有效性，詳見表45。表45 防火墻日志與審計基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明8發(fā)起SNMP 連接限定源IP限制發(fā)起SNMP連接的源地址9信息流日志開啟針對重要策略開啟信息流日志10系統(tǒng)日志（可選)對接到統(tǒng)一網(wǎng)管日志服務(wù)器使用網(wǎng)管平臺統(tǒng)一日志服務(wù)器接收與存儲系統(tǒng)日志11日志保存要求（可選）6個月等保三級要求日志必須保存6個月 4.3.4. 安全防護(hù)通過對網(wǎng)絡(luò)設(shè)備配置參數(shù)調(diào)整，提高設(shè)備安全性，詳見表46。表46 防火墻安全防護(hù)基線技術(shù)要求序號基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明12防火墻安全設(shè)置選項（可選）SYN Attack、ICMP Flood、UDP Flood、Port Scan ttack、 Limit session、SYN-ACK-ACK Proxy、SYN Fragment開啟防攻擊選項包括：SYN Attack、ICMP Flood、UDP Flood、Port Scan Attack、 Limit session、SYN-ACK-ACK Proxy 保護(hù)、SYN Fragment（SYN 碎片）等。