信息系統(tǒng)安全基線.doc

《信息系統(tǒng)安全基線.doc》由會員分享，可在線閱讀，更多相關(guān)《信息系統(tǒng)安全基線.doc（18頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1. 操作系統(tǒng)安全基線技術(shù)要求 1. 1.1. AIX系統(tǒng)安全基線 1.1.1. 系統(tǒng)管理 通過配置操作系統(tǒng)運維管理安全策略，提高系統(tǒng)運維管理安全性，詳見表1。 表1 AIX系統(tǒng)管理基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 1 限制超級管理員權(quán)限的用戶遠程登錄 PermitRootLogin no 限制root用戶遠程使用telnet登錄（可選） 2 使用動態(tài)口令令牌登錄 安裝動態(tài)口令 3 配置本機訪問控制列表（可選） 配置/etc/hosts.allow, /etc/hosts.deny 安裝TCP Wrapper，提高對系統(tǒng)訪問控制 1.1.2. 用戶賬號與口令 通過配置操作系統(tǒng)用戶賬號與口令安全策略，提高系統(tǒng)賬號與口令安全性，詳見表2。 表2 AIX系統(tǒng)用戶賬戶與口令基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 4 限制系統(tǒng)無用默認賬號登錄 daemon（禁用） bin（禁用） sys（禁用） adm（禁用） uucp（禁用） nuucp（禁用） lpd（禁用） guest（禁用） pconsole（禁用） esaadmin（禁用） sshd（禁用） 清理多余用戶賬號，限制系統(tǒng)默認賬號登錄，同時，針對需要使用的用戶，制訂用戶列表，并妥善保存 5 控制用戶登錄超時時間 10分鐘 控制用戶登錄會話，設置超時時間 6 口令最小長度 8位 口令安全策略（口令為超級用戶靜態(tài)口令） 7 口令中最少非字母數(shù)字字符 1個 口令安全策略（口令為超級用戶靜態(tài)口令） 8 信息系統(tǒng)的口令的最大周期 90天 口令安全策略（口令為超級用戶靜態(tài)口令） 9 口令不重復的次數(shù) 10次 口令安全策略（口令為超級用戶靜態(tài)口令） 1.1.3. 日志與審計 通過對操作系統(tǒng)的日志進行安全控制與管理，提高日志的安全性，詳見表3。 表3 AIX系統(tǒng)日志與審計基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 10 系統(tǒng)日志記錄（可選） authlog、sulog、wtmp、failedlogin 記錄必需的日志信息，以便進行審計 11 系統(tǒng)日志存儲（可選) 對接到統(tǒng)一日志服務器 使用日志服務器接收與存儲主機日志，網(wǎng)管平臺統(tǒng)一管理 12 日志保存要求（可選） 6個月 等保三級要求日志必須保存6個月 13 配置日志系統(tǒng)文件保護屬性（可選） 400 修改配置文件syslog.conf權(quán)限為管理員賬號只讀 14 修改日志文件保護權(quán)限（可選） 400 修改日志文件authlog、wtmp、sulog、failedlogin的權(quán)限管理員賬號只讀 1.1.4. 服務優(yōu)化 通過優(yōu)化操作系統(tǒng)資源，提高系統(tǒng)服務安全性，詳見表4。 表4 AIX系統(tǒng)服務優(yōu)化基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 15 discard 服務 禁止 網(wǎng)絡測試服務，丟棄輸入, 為“拒絕服務”攻擊提供機會, 除非正在測試網(wǎng)絡，否則禁用 16 daytime 服務 禁止 網(wǎng)絡測試服務，顯示時間, 為“拒絕服務”攻擊提供機會, 除非正在測試網(wǎng)絡，否則禁用 17 chargen 服務 禁止 網(wǎng)絡測試服務，回應隨機字符串, 為“拒絕服務”攻擊提供機會, 除非正在測試網(wǎng)絡，否則禁用 18 comsat 服務 禁止 comsat通知接收的電子郵件，以 root 用戶身份運行，因此涉及安全性, 除非需要接收郵件，否則禁用 19 ntalk 服務 禁止 ntalk允許用戶相互交談，以 root 用戶身份運行，除非絕對需要，否則禁用 20 talk 服務 禁止 在網(wǎng)上兩個用戶間建立分區(qū)屏幕，不是必需服務，與 talk 命令一起使用，在端口 517 提供 UDP 服務 21 tftp 服務 禁止 以 root 用戶身份運行并且可能危及安全 22 ftp 服務（可選） 禁止 防范非法訪問目錄風險 23 telnet服務 禁止 遠程訪問服務 24 uucp 服務 禁止 除非有使用 UUCP 的應用程序，否則禁用 25 dtspc 服務（可選） 禁止 CDE 子過程控制不用圖形管理則禁用 26 klogin 服務（可選） 禁止 Kerberos 登錄，如果站點使用 Kerberos 認證則啟用 27 kshell 服務（可選） 禁止 Kerberos shell，如果站點使用 Kerberos 認證則啟用 1.1.5. 訪問控制 通過對操作系統(tǒng)安全權(quán)限參數(shù)進行調(diào)整，提高系統(tǒng)訪問安全性，詳見表5。 表5 AIX系統(tǒng)訪問控制基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 28 修改Umask權(quán)限 022或027 要求修改默認文件權(quán)限 29 關(guān)鍵文件權(quán)限控制 passwd、group、security的所有者必須是root和security組成員 設置/etc/passwd，/etc/group， /etc/security等關(guān)鍵文件和目錄的權(quán)限 30 audit的所有者必須是root和audit組成員 /etc/security/audit的所有者必須是root和audit組成員 31 /etc/passwd rw-r--r-- /etc/passwd目錄權(quán)限為 644所有用戶可讀，root用戶可寫 32 /etc/group rw-r--r-- /etc/group root目錄權(quán)限為644 所有用戶可讀，root用戶可寫 33 統(tǒng)一時間 接入統(tǒng)一NTP服務器 保障生產(chǎn)環(huán)境所有系統(tǒng)時間統(tǒng)一 1.2. Windows系統(tǒng)安全基線 1.2.1. 用戶賬號與口令 通過配置操作系統(tǒng)用戶賬號與口令安全策略，提高系統(tǒng)賬號與口令安全性，詳見表6。 表6 Windows系統(tǒng)用戶賬號與口令基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 1 口令必須符合復雜性要求 啟用 口令安全策略（不涉及終端及動態(tài)口令） 2 口令長度最小值 8位 口令安全策略（不涉及終端） 3 口令最長使用期限 90天 口令安全策略（不涉及終端） 4 強制口令歷史 10次 口令安全策略（不涉及終端） 5 復位賬號鎖定計數(shù)器 10分鐘 賬號鎖定策略（不涉及終端） 6 賬號鎖定時間（可選） 10分鐘 賬號鎖定策略（不涉及終端） 7 賬號鎖定閥值（可選） 10次 賬號鎖定策略（不涉及終端） 8 guest賬號 禁止 禁用guest賬號 9 administrator（可選） 重命名 保護administrator安全 10 無需賬號檢查與管理 禁用 禁用無需使用賬號 1.2.2. 日志與審計 通過對操作系統(tǒng)日志進行安全控制與管理，提高日志的安全性與有效性，詳見表7。 表7 Windows系統(tǒng)日志與審計基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 11 審核賬號登錄事件 成功與失敗 日志審核策略 12 審核賬號管理 成功與失敗 日志審核策略 13 審核目錄服務訪問 成功 日志審核策略 14 審核登錄事件 成功與失敗 日志審核策略 15 審核策略更改 成功與失敗 日志審核策略 16 審核系統(tǒng)事件 成功 日志審核策略 17 日志存儲地址（可選） 接入到統(tǒng)一日志服務器 日志存儲在統(tǒng)一日志服務器中 18 日志保存要求（可選） 6個月 等保三級要求日志保存6個月 1.2.3. 服務優(yōu)化 通過優(yōu)化系統(tǒng)資源，提高系統(tǒng)服務安全性，詳見表8。 表8 Windows系統(tǒng)服務優(yōu)化基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 19 Alerter服務 禁止 禁止進程間發(fā)送信息服務 20 Clipbook（可選） 禁止 禁止機器間共享剪裁板上信息服務 21 Computer Browser服務（可選） 禁止 禁止跟蹤網(wǎng)絡上一個域內(nèi)的機器服務 22 Messenger服務 禁止 禁止即時通訊服務 23 Remote Registry Service服務 禁止 禁止遠程操作注冊表服務 24 Routing and Remote Access服務 禁止 禁止路由和遠程訪問服務 25 Print Spooler（可選） 禁止 禁止后臺打印處理服務 26 Automatic Updates服務（可選） 禁止 禁止自動更新服務 27 Terminal Service服務（可選） 禁止 禁止終端服務 1.2.4. 訪問控制 通過對系統(tǒng)配置參數(shù)調(diào)整，提高系統(tǒng)安全性，詳見表9。 表9 Windows系統(tǒng)訪問控制基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 28 文件系統(tǒng)格式 NTFS 磁盤文件系統(tǒng)格式為NTFS 29 桌面屏保 10分鐘 桌面屏保策略 30 防病毒軟件 安裝賽門鐵克 生產(chǎn)環(huán)境安裝賽門鐵克防病毒最新版本軟件 31 防病毒代碼庫升級時間 7天 32 文件共享（可選） 禁止 禁止配置文件共享，若工作需要必須配置共享，須設置賬號與口令 33 系統(tǒng)自帶防火墻（可選） 禁止 禁止自帶防火墻 34 默認共享IPC$、ADMIN$、C$、D$等 禁止 安全控制選項優(yōu)化 35 不允許匿名枚取SAM賬號與共享 啟用 網(wǎng)絡訪問安全控制選項優(yōu)化 36 不顯示上次的用戶名 啟用 交互式登錄安全控制選項優(yōu)化 37 控制驅(qū)動器 禁止 禁止自動運行 38 藍屏后自動啟動機器（可選） 禁止 禁止藍屏后自動啟動機器 39 統(tǒng)一時間 接入統(tǒng)一NTP服務器 保障生產(chǎn)環(huán)境所有系統(tǒng)時間統(tǒng)一 1.2.5. 補丁管理 通過進行定期更新，降低常見的漏洞被利用，詳見表10。 表10 Windows系統(tǒng)補丁管理基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 40 安全服務包 win2003 SP2 win2008 SP1 安裝微軟最新的安全服務包 41 安全補?。蛇x） 更新到最新 根據(jù)實際需要更新安全補丁 1.3. Linux系統(tǒng)安全基線 1.3.1. 系統(tǒng)管理 通過配置系統(tǒng)安全管理工具，提高系統(tǒng)運維管理的安全性，詳見表11。 表11 Linux系統(tǒng)管理基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 1 安裝SSH管理遠程工具(可選) 安裝OpenSSH OpenSSH為遠程管理高安全性工具，保護管理過程中傳輸數(shù)據(jù)的安全 2 配置本機訪問控制列表（可選） 配置/etc/hosts.allow, /etc/hosts.deny 安裝TCP Wrapper，提高對系統(tǒng)訪問控制 1.3.2. 用戶賬號與口令 通過配置Linux系統(tǒng)用戶賬號與口令安全策略，提高系統(tǒng)賬號與口令安全性，詳見表12。 表12 Linux系統(tǒng)用戶賬號與口令基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 3 禁止系統(tǒng)無用默認賬號登錄 1) Operator 2) Halt 3) Sync 4) News 5) Uucp 6) Lp 7) nobody 8) Gopher 禁止 清理多余用戶賬號，限制系統(tǒng)默認賬號登錄，同時，針對需要使用的用戶，制訂用戶列表進行妥善保存 4 root遠程登錄 禁止 禁止root遠程登錄 5 口令使用最長周期 90天 口令安全策略（超級用戶口令） 6 口令過期提示修改時間 28天 口令安全策略（超級用戶口令） 7 口令最小長度 8位 口令安全策略 8 設置超時時間 10分鐘 口令安全策略 1.3.3. 日志與審計 通過對Linux系統(tǒng)的日志進行安全控制與管理，提高日志的安全性與有效性，詳見表13。 表13 Linux系統(tǒng)日志與審計基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 9 記錄安全日志 authpriv日志 記錄網(wǎng)絡設備啟動、usermod、change等方面日志 10 日志存儲（可選） 接入到統(tǒng)一日志服務器 使用統(tǒng)一日志服務器接收并存儲系統(tǒng)日志 11 日志保存時間 6個月 等保三級要求日志必須保存6個月 12 日志系統(tǒng)配置文件保護 400 修改配置文件syslog.conf權(quán)限為管理員用戶只讀 1.3.4. 服務優(yōu)化 通過優(yōu)化Linux系統(tǒng)資源，提高系統(tǒng)服務安全性，詳見表14。 表14 Linux系統(tǒng)服務優(yōu)化基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 13 ftp 服務（可選） 禁止 文件上傳服務 14 sendmail 服務 禁止 郵件服務 15 klogin 服務（可選） 禁止 Kerberos 登錄，如果站點使用 Kerberos 認證則啟用 16 kshell 服務（可選） 禁止 Kerberos shell，如果站點使用 Kerberos 認證則啟用 17 ntalk 服務 禁止 new talk 18 tftp 服務 禁止 以 root 用戶身份運行可能危及安全 19 imap 服務（可選） 禁止 郵件服務 20 pop3服務（可選） 禁止 郵件服務 21 telnet 服務(可選 ) 禁止 遠程訪問服務 22 GUI服務（可選） 禁止 圖形管理服務 23 xinetd服務（可選） 啟動 增強系統(tǒng)安全 1.3.5. 訪問控制 通過對Linux系統(tǒng)配置參數(shù)調(diào)整，提高系統(tǒng)安全性，詳見表15。 表15 Linux系統(tǒng)訪問控制基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 24 Umask權(quán)限 022或027 修改默認文件權(quán)限 25 關(guān)鍵文件權(quán)限控制 1) /etc/passwd 目錄權(quán)限為644 /etc/passwd rw-r--r— 所有用戶可讀，root用戶可寫 26 2) /etc/shadow目錄權(quán)限為400 /etc/shadow r-------- 只有root可讀 27 3) /etc/group root目錄權(quán)限為644 /etc/group rw-r--r— 所有用戶可讀，root用戶可寫 28 統(tǒng)一時間 接入統(tǒng)一NTP服務器 保障生產(chǎn)環(huán)境所有系統(tǒng)時間統(tǒng)一 2. 數(shù)據(jù)庫安全基線技術(shù)要求 2.1. Oracle數(shù)據(jù)庫系統(tǒng)安全基線 2.1.1. 用戶賬號與口令 通過配置數(shù)據(jù)庫系統(tǒng)用戶賬號與口令安全策略，提高數(shù)據(jù)庫系統(tǒng)賬號與口令安全性，詳見表16。 表16 Oracle系統(tǒng)用戶賬號與口令基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 1 Oracle無用賬號 TIGER SCOTT等 禁用 禁用無用賬號 2 默認管理賬號管理 SYSTEM DMSYS等 更改口令 賬號安全策略（新系統(tǒng)） 3 數(shù)據(jù)庫自動登錄SYSDBA賬號 禁止 賬號安全策略 4 口令最小長度 8位 口令安全策略（新系統(tǒng)） 5 口令有效期 12個月 新系統(tǒng)執(zhí)行此項要求 6 禁止使用已設置過的口令次數(shù) 10次 口令安全策略 2.1.2. 日志與審計 通過對數(shù)據(jù)庫系統(tǒng)的日志進行安全控制與管理，提高日志的安全性與有效性，詳見表17。 表17 Oracle系統(tǒng)日志與審計基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 7 日志保存要求（可選） 3個月 日志必須保存3個月 8 日志文件保護 啟用 設置訪問日志文件權(quán)限 2.1.3. 訪問控制 通過對數(shù)據(jù)庫系統(tǒng)配置參數(shù)調(diào)整，提高數(shù)據(jù)庫系統(tǒng)安全性，詳見表18。 表18 Oracle系統(tǒng)訪問控制基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 9 監(jiān)聽程序加密（可選） 設置口令 設置監(jiān)聽器口令（新系統(tǒng)） 10 修改服務監(jiān)聽默認端口（可選） 非TCP1521 系統(tǒng)可執(zhí)行此項要求 3. 中間件安全基線技術(shù)要求 4. 3.1. Tong（TongEASY、TongLINK等）中間件安全基線 3.1.1. 用戶賬號與口令 通過配置中間件用戶賬號與口令安全策略，提高系統(tǒng)賬號與口令安全，詳見表19。 表19 Tong用戶賬號與口令基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 1 優(yōu)化Tong服務賬號和應用共用同一用戶（可選） Tong和應用共用同一用戶 與操作系統(tǒng)應用用戶保持一致 3.1.2. 日志與審計 通過對中間件的日志進行安全控制與管理，保護日志的安全與有效性，詳見表20。 表20 Tong日志與審計基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 2 事務包日志備份 1.5G Pktlog達到1.5G進行備份 3 交易日志備份 1.5G Txlog達到1.5G進行備份 4 通信管理模塊運行日志備份 1.5G Tonglink.log達到1.5G進行備份 5 系統(tǒng)日志備份 1.5G syslog達到1.5G進行備份 6 名字服務日志備份 1.5G Nsfwdlog達到1.5G進行備份 7 調(diào)試日志備份 1.5G Testlog達到1.5G進行備份 8 通信管理模塊錯誤日志備份 1.5G Tonglink.err達到1.5G進行備份 9 日志保存時間(可選) 6個月 等保三級要求日志必須保存6個月 3.1.3. 訪問控制 通過配置中間件系統(tǒng)資源，提高中間件系統(tǒng)服務安全，詳見表21。 表21 Tong訪問控制基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 10 共享內(nèi)存 SHMMAX：4G SHMSEG： 3個以上 SHMALL：12G 根據(jù)不同操作系統(tǒng)調(diào)整Tong的3個核心參數(shù) 11 消息隊列 MSGTQL ：4096 MSGMAX：8192 MSGMNB：16384 設置Tong核心應用系統(tǒng)程序進行數(shù)據(jù)傳遞參數(shù) 12 信號燈 Maxuproc：1000以上 SEMMSL：13以上 SEMMNS：26以上 設置Tong信號燈參數(shù) 13 進程數(shù) NPROC：2000以上 MAXUP：1000以上 設置同時運行進程數(shù)參數(shù) 服務器應答頭中的版本信息 關(guān)閉 隱藏版本信息，防止軟件版本信息泄漏 3.1.4. 安全防護 通過對中間件配置參數(shù)調(diào)整，提高中間件系統(tǒng)安全，詳見表22。 表22 Tong安全防護基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 14 數(shù)據(jù)傳輸安全 根據(jù)應用需求設置加密標識 根據(jù)應用需求保護數(shù)據(jù)傳輸安全 15 守護進程安全 tld tmmoni tmrcv tmsnd 通信管理模塊、運行監(jiān)控、接收處理、發(fā)送處理守護進程處于常開狀態(tài)，隨時處理應用程序的請求 3.1.5. 補丁管理 通過對Tong的補丁進行定期更新，達到管理基線，防止常見的漏洞被利用，詳見表23。 表23 Tong補丁管理基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 16 安全補?。蛇x） 根據(jù)實際需要更新 根據(jù)實際需要更新安全補丁Tong4.2、Tong4.5、Tong4.6適用于AIX5.3以上版本 3.2. Apache中間件安全基線 3.2.1. 用戶賬號與口令 通過配置中間件用戶賬號與口令安全策略，提高系統(tǒng)賬號與口令安全性，詳見表24。 表24 Apache用戶賬號與口令基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 1 優(yōu)化WEB服務賬號 新建Apache可訪問80端口用戶賬號 使用WAS中間件用戶安裝，root用戶啟動 3.2.2. 日志與審計 通過對中間件的日志進行安全控制與管理，提高日志的安全性與有效性，詳見表25。 表25 Apache日志與審計基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 2 日志級別（可選） Info 采用Info日志級別，分析問題時采用更高日志級別 3 錯誤日志及記錄 ErrorLog 配置錯誤日志文件名及位置 4 訪問日志（可選） CustomLog 配置訪問日志文件名及位置 3.2.3. 服務優(yōu)化 通過優(yōu)化中間件系統(tǒng)資源，提高中間件系統(tǒng)服務安全性，詳見表26。 表26 Apache服務優(yōu)化基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 5 無用模塊 禁用 禁用無用模塊 3.2.4. 安全防護 通過對中間件配置參數(shù)調(diào)整，提高中間件系統(tǒng)安全性，詳見表27。 表27 Apache安全防護基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 6 遍歷操作系統(tǒng)目錄（可選） 禁止 修改參數(shù)文件，禁止目錄遍歷 7 服務器應答頭中的版本信息 關(guān)閉 隱藏版本信息，防止軟件版本信息泄漏 8 服務器生成頁面的頁腳中版本信息 關(guān)閉 不顯示服務器默認歡迎頁面 3.3. WAS中間件安全基線 3.3.1. 用戶賬號與口令 通過配置用戶賬號與口令安全策略，提高系統(tǒng)賬號與口令安全性，詳見表28。 表28 WAS用戶賬號與口令基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 1 賬號安全策略 按照操作系統(tǒng)賬號管理規(guī)范執(zhí)行 符合應用系統(tǒng)運行要求 2 口令安全策略 按照操作系統(tǒng)口令管理規(guī)范執(zhí)行 符合應用系統(tǒng)運行要求 3.3.2. 日志與審計 通過對系統(tǒng)的日志進行安全控制與管理，提高日志的安全性與有效性，詳見表29。 表29 WAS日志與審計基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 3 故障日志 開啟 記錄相關(guān)日志 4 記錄級別 Info 記錄相關(guān)日志級別 3.3.3. 服務優(yōu)化 通過優(yōu)化系統(tǒng)資源，提高系統(tǒng)服務安全性，詳見表30。 表30 WAS服務優(yōu)化基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 5 file serving服務 禁止 開啟用戶可能非法瀏覽應用服務器目錄和文件 6 配置config和properties目錄權(quán)限 755 config和properties目錄權(quán)限不當存在安全隱患 3.3.4. 安全防護 通過對系統(tǒng)配置參數(shù)調(diào)整，提高系統(tǒng)安全性，詳見表31。 表31 WAS安全防護基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 7 刪除sample例子程序 刪除示例域 防止已知攻擊 8 連接會話超時控制 10分鐘 設置超時時間，控制用戶登錄會話 9 數(shù)據(jù)傳輸安全 加密傳送 在服務器console管理中瀏覽器與服務器傳輸信息配置SSL 10 設置控制臺會話最長時間 30分鐘 控制臺會話timeout低于30分鐘 3.3.5. 補丁管理 通過進行定期更新，達到管理基線，降低常見的的漏洞被利用，詳見表32。 表32 WAS補丁管理基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 11 安全補?。蛇x） 按照系統(tǒng)管理室年度版本執(zhí)行 根據(jù)應用系統(tǒng)實際情況選擇 4. 網(wǎng)絡設備安全基線技術(shù)要求 4.1. Cisco路由器/交換機安全基線 4.1.1. 系統(tǒng)管理 通過配置網(wǎng)絡設備管理，提高系統(tǒng)運維管理安全性，詳見表33。 表33 Cisco系統(tǒng)管理基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 1 遠程ssh服務（可選） 啟用 采用ssh服務代替telnet服務管理網(wǎng)絡設備，提高設備管理安全性 2 認證方式 tacas/radius認證 啟用設備認證 3 非管理員IP地址 禁止 配置訪問控制列表，只允許管理員IP或網(wǎng)段能訪問網(wǎng)絡設備管理服務 4 配置console端口 口令認證 console需配置口令認證信息 5 統(tǒng)一時間 接入統(tǒng)一NTP服務器 保障生產(chǎn)環(huán)境所有設備時間統(tǒng)一 4.1.2. 用戶賬號與口令 通過配置網(wǎng)絡設備用戶賬號與口令安全策略，提高系統(tǒng)賬號與口令安全性，詳見表34。 表34 Cisco用戶賬號與口令基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 6 Service password口令 加密 采用service password-encryption 7 enable口令 加密 采用secret對口令進行加密 8 賬號登錄空閑超時時間 5分鐘 設置console和vty的登錄超時時間5分鐘 9 口令最小長度 8位 口令長度為8個字符 4.1.3. 日志與審計 通過對網(wǎng)絡設備的日志進行安全控制與管理，提高日志的安全性與有效性，詳見表35。 表35 Cisco日志與審計基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 10 更改SNMP的團體串（可選） 更改SNMP Community 修改默認值public 更改SNMP主機IP 11 系統(tǒng)日志存儲 對接到網(wǎng)管日志服務器 使用日志服務器接收與存儲主機日志，網(wǎng)管平臺統(tǒng)一管理 12 日志保存要求 6個月 等保三級要求日志必須保存6個月 4.1.4. 服務優(yōu)化 通過優(yōu)化網(wǎng)絡設備，提高系統(tǒng)服務安全性，詳見表36。 表36 Cisco服務優(yōu)化基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 13 TCP、UDP Small服務（可選） 禁止 禁用無用服務 14 Finger服務 禁止 禁用無用服務 15 HTTP服務 禁止 禁用無用服務 16 HTTPS服務 禁止 禁用無用服務 17 BOOTp服務 禁止 禁用無用服務 18 IP Source Routing服務 禁止 禁用無用服務 19 ARP-Proxy服務 禁止 禁用無用服務 20 cdp服務（可選） 禁止 禁用無用服務(只適用于邊界設備) 21 FTP服務（可選） 禁止 禁用無用服務 4.1.5. 訪問控制 通過對設備配置進行調(diào)整，提高設備或網(wǎng)絡安全性，詳見表37。 表37 Cisco訪問控制基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 22 login banner信息 修改默認值為警示語 默認值不為空 23 BGP認證（可選） 啟用 加強路由信息安全 24 EIGRP認證（可選） 啟用 加強路由信息安全 25 OSPF認證（可選） 啟用 加強路由信息安全 26 RIPv2認證（可選） 啟用 加強路由信息安全 27 MAC綁定（可選） IP+MAC+端口綁定 重要服務器采用IP+MAC+端口綁定 28 網(wǎng)絡端口AUX（可選） 關(guān)閉 關(guān)閉沒用網(wǎng)絡端口 4.2. H3C路由器/交換機安全基線 4.2.1. 系統(tǒng)管理 通過配置網(wǎng)絡設備管理，預防遠程訪問服務攻擊或非授權(quán)訪問，提高網(wǎng)絡設備遠程管理安全性，詳見表38。 表38 H3C系統(tǒng)管理基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 1 遠程ssh服務（可選） 啟用 采用ssh服務代替telnet服務管理網(wǎng)絡設備，提高設備管理安全性 2 認證方式 tacas/radius認證 啟用設備認證 3 非管理員IP地址 禁止 配置訪問控制列表，只允許管理員IP或網(wǎng)段能訪問網(wǎng)絡設備管理服務 4 配置console端口 口令認證 console需配置口令認證信息 5 統(tǒng)一時間 接入統(tǒng)一NTP服務器 保障生產(chǎn)環(huán)境所有設備時間統(tǒng)一 4.2.2. 用戶賬號與口令 通過配置用戶賬號與口令安全策略，提高系統(tǒng)賬號與口令安全，詳見表39。 表39 H3C用戶賬號與口令基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 6 system口令 加密方式 采用cipher對口令進行加密 7 賬號登錄空閑超時時間 5分鐘 設置console和vty的登錄超時時間5分鐘 8 口令最小長度 8位 口令安全策略 4.2.3. 日志與審計 通過對網(wǎng)絡設備的日志進行安全控制與管理，提高日志的安全性與有效性，詳見表40。 表40 H3C日志與審計基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 9 系統(tǒng)日志 接入到網(wǎng)管日志服務器 使用網(wǎng)管平臺統(tǒng)一日志服務器接收與存儲 10 日志保存要求 6個月 等保三級要求日志必須保存6個月 4.2.4. 服務優(yōu)化 通過優(yōu)化網(wǎng)絡設備資源，提高設備服務安全性，詳見表41。 表41 H3C服務優(yōu)化基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 11 http服務 禁用 關(guān)閉弱服務 12 FTP服務（可選） 禁止 禁用Ftp服務 4.2.5. 訪問控制 通過對網(wǎng)絡設備配置參數(shù)調(diào)整，提高設備安全性，詳見表42。 表42 H3C訪問控制基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 13 BGP認證（可選） 啟用 加強路由信息安全 14 OSPF認證（可選） 啟用 加強路由信息安全 15 RIPv2認證（可選） 啟用 加強路由信息安全 16 統(tǒng)一時間 接入統(tǒng)一NTP服務器 保障生產(chǎn)環(huán)境所有設備時間統(tǒng)一 17 重要服務器采用IP+MAC+端口綁定（可選） IP+MAC+端口綁定 重要服務器采用IP+MAC+端口綁定 18 網(wǎng)絡端口AUX（可選） 關(guān)閉 關(guān)閉沒用網(wǎng)絡端口 4.3. 防火墻安全基線 4.3.1. 系統(tǒng)管理 通過配置網(wǎng)絡設備管理，提高安全設備運維管理安全性，詳見表43。 表43 防火墻系統(tǒng)管理基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 1 安全網(wǎng)絡登錄方式，SSH或者HTTPS 啟用 采用ssh(https)服務代替telnet(http)服務管理防火墻設備 2 限制登錄口令錄入時間 30秒 設置登錄口令錄入時間，建議為30秒 3 限制可登錄的訪問地址 配置管理客戶端IP 地址 限制對特定工作站的管理能力 4 只接收管理流量的邏輯管理IP地址（可選） 啟用 網(wǎng)絡用戶流量分離管理流量大大增加了管理安全性，并確保了穩(wěn)定的管理帶寬 5 HTTP監(jiān)聽端口號（可選） 更改 通過更改HTTP監(jiān)聽端口號提高系統(tǒng)安全性 6 統(tǒng)一時間 接入統(tǒng)一NTP服務器 保障生產(chǎn)環(huán)境所有設備時間統(tǒng)一 4.3.2. 用戶賬號與口令 通過配置網(wǎng)絡設備用戶賬號與口令安全策略，提高設備賬號與口令安全性，詳見表44。 表44 防火墻用戶賬號與口令基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 7 系統(tǒng)初始賬號和口令 修改 在完成初始配置后應盡快修改缺省用戶名和口令 口令最短長度 8位 口令安全策略 4.3.3. 日志與審計 通過對網(wǎng)絡設備的日志進行安全控制與管理，提高日志的安全性與有效性，詳見表45。 表45 防火墻日志與審計基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 8 發(fā)起SNMP 連接 限定源IP 限制發(fā)起SNMP連接的源地址 9 信息流日志 開啟 針對重要策略開啟信息流日志 10 系統(tǒng)日志（可選) 對接到統(tǒng)一網(wǎng)管日志服務器 使用網(wǎng)管平臺統(tǒng)一日志服務器接收與存儲系統(tǒng)日志 11 日志保存要求（可選） 6個月 等保三級要求日志必須保存6個月 4.3.4. 安全防護 通過對網(wǎng)絡設備配置參數(shù)調(diào)整，提高設備安全性，詳見表46。 表46 防火墻安全防護基線技術(shù)要求 序號 基線技術(shù)要求 基線標準點（參數(shù)） 說明 12 防火墻安全設置選項（可選） SYN Attack、ICMP Flood、UDP Flood、 Port Scan ttack、 Limit session、SYN-ACK-ACK Proxy、SYN Fragment 開啟 防攻擊選項包括：SYN Attack、ICMP Flood、UDP Flood、Port Scan Attack、 Limit session、SYN-ACK-ACK Proxy 保護、SYN Fragment（SYN 碎片）等。