信息系統(tǒng)安全基線.doc

《信息系統(tǒng)安全基線.doc》由會員分享，可在線閱讀，更多相關(guān)《信息系統(tǒng)安全基線.doc（18頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1. 操作系統(tǒng)安全基線技術(shù)要求 1. 1.1. AIX系統(tǒng)安全基線 1.1.1. 系統(tǒng)管理 通過配置操作系統(tǒng)運(yùn)維管理安全策略，提高系統(tǒng)運(yùn)維管理安全性，詳見表1。 表1 AIX系統(tǒng)管理基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 1 限制超級管理員權(quán)限的用戶遠(yuǎn)程登錄 PermitRootLogin no 限制root用戶遠(yuǎn)程使用telnet登錄（可選） 2 使用動態(tài)口令令牌登錄 安裝動態(tài)口令 3 配置本機(jī)訪問控制列表（可選） 配置/etc/hosts.allow, /etc/hosts.deny 安裝TCP Wrapper，提高對系統(tǒng)訪問控制 1.1.2. 用戶賬號與口令 通過配置操作系統(tǒng)用戶賬號與口令安全策略，提高系統(tǒng)賬號與口令安全性，詳見表2。 表2 AIX系統(tǒng)用戶賬戶與口令基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 4 限制系統(tǒng)無用默認(rèn)賬號登錄 daemon（禁用） bin（禁用） sys（禁用） adm（禁用） uucp（禁用） nuucp（禁用） lpd（禁用） guest（禁用） pconsole（禁用） esaadmin（禁用） sshd（禁用） 清理多余用戶賬號，限制系統(tǒng)默認(rèn)賬號登錄，同時，針對需要使用的用戶，制訂用戶列表，并妥善保存 5 控制用戶登錄超時時間 10分鐘 控制用戶登錄會話，設(shè)置超時時間 6 口令最小長度 8位 口令安全策略（口令為超級用戶靜態(tài)口令） 7 口令中最少非字母數(shù)字字符 1個 口令安全策略（口令為超級用戶靜態(tài)口令） 8 信息系統(tǒng)的口令的最大周期 90天 口令安全策略（口令為超級用戶靜態(tài)口令） 9 口令不重復(fù)的次數(shù) 10次 口令安全策略（口令為超級用戶靜態(tài)口令） 1.1.3. 日志與審計 通過對操作系統(tǒng)的日志進(jìn)行安全控制與管理，提高日志的安全性，詳見表3。 表3 AIX系統(tǒng)日志與審計基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 10 系統(tǒng)日志記錄（可選） authlog、sulog、wtmp、failedlogin 記錄必需的日志信息，以便進(jìn)行審計 11 系統(tǒng)日志存儲（可選) 對接到統(tǒng)一日志服務(wù)器 使用日志服務(wù)器接收與存儲主機(jī)日志，網(wǎng)管平臺統(tǒng)一管理 12 日志保存要求（可選） 6個月 等保三級要求日志必須保存6個月 13 配置日志系統(tǒng)文件保護(hù)屬性（可選） 400 修改配置文件syslog.conf權(quán)限為管理員賬號只讀 14 修改日志文件保護(hù)權(quán)限（可選） 400 修改日志文件authlog、wtmp、sulog、failedlogin的權(quán)限管理員賬號只讀 1.1.4. 服務(wù)優(yōu)化 通過優(yōu)化操作系統(tǒng)資源，提高系統(tǒng)服務(wù)安全性，詳見表4。 表4 AIX系統(tǒng)服務(wù)優(yōu)化基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 15 discard 服務(wù) 禁止 網(wǎng)絡(luò)測試服務(wù)，丟棄輸入, 為“拒絕服務(wù)”攻擊提供機(jī)會, 除非正在測試網(wǎng)絡(luò)，否則禁用 16 daytime 服務(wù) 禁止 網(wǎng)絡(luò)測試服務(wù)，顯示時間, 為“拒絕服務(wù)”攻擊提供機(jī)會, 除非正在測試網(wǎng)絡(luò)，否則禁用 17 chargen 服務(wù) 禁止 網(wǎng)絡(luò)測試服務(wù)，回應(yīng)隨機(jī)字符串, 為“拒絕服務(wù)”攻擊提供機(jī)會, 除非正在測試網(wǎng)絡(luò)，否則禁用 18 comsat 服務(wù) 禁止 comsat通知接收的電子郵件，以 root 用戶身份運(yùn)行，因此涉及安全性, 除非需要接收郵件，否則禁用 19 ntalk 服務(wù) 禁止 ntalk允許用戶相互交談，以 root 用戶身份運(yùn)行，除非絕對需要，否則禁用 20 talk 服務(wù) 禁止 在網(wǎng)上兩個用戶間建立分區(qū)屏幕，不是必需服務(wù)，與 talk 命令一起使用，在端口 517 提供 UDP 服務(wù) 21 tftp 服務(wù) 禁止 以 root 用戶身份運(yùn)行并且可能危及安全 22 ftp 服務(wù)（可選） 禁止 防范非法訪問目錄風(fēng)險 23 telnet服務(wù) 禁止 遠(yuǎn)程訪問服務(wù) 24 uucp 服務(wù) 禁止 除非有使用 UUCP 的應(yīng)用程序，否則禁用 25 dtspc 服務(wù)（可選） 禁止 CDE 子過程控制不用圖形管理則禁用 26 klogin 服務(wù)（可選） 禁止 Kerberos 登錄，如果站點(diǎn)使用 Kerberos 認(rèn)證則啟用 27 kshell 服務(wù)（可選） 禁止 Kerberos shell，如果站點(diǎn)使用 Kerberos 認(rèn)證則啟用 1.1.5. 訪問控制 通過對操作系統(tǒng)安全權(quán)限參數(shù)進(jìn)行調(diào)整，提高系統(tǒng)訪問安全性，詳見表5。 表5 AIX系統(tǒng)訪問控制基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 28 修改Umask權(quán)限 022或027 要求修改默認(rèn)文件權(quán)限 29 關(guān)鍵文件權(quán)限控制 passwd、group、security的所有者必須是root和security組成員 設(shè)置/etc/passwd，/etc/group， /etc/security等關(guān)鍵文件和目錄的權(quán)限 30 audit的所有者必須是root和audit組成員 /etc/security/audit的所有者必須是root和audit組成員 31 /etc/passwd rw-r--r-- /etc/passwd目錄權(quán)限為 644所有用戶可讀，root用戶可寫 32 /etc/group rw-r--r-- /etc/group root目錄權(quán)限為644 所有用戶可讀，root用戶可寫 33 統(tǒng)一時間 接入統(tǒng)一NTP服務(wù)器 保障生產(chǎn)環(huán)境所有系統(tǒng)時間統(tǒng)一 1.2. Windows系統(tǒng)安全基線 1.2.1. 用戶賬號與口令 通過配置操作系統(tǒng)用戶賬號與口令安全策略，提高系統(tǒng)賬號與口令安全性，詳見表6。 表6 Windows系統(tǒng)用戶賬號與口令基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 1 口令必須符合復(fù)雜性要求 啟用 口令安全策略（不涉及終端及動態(tài)口令） 2 口令長度最小值 8位 口令安全策略（不涉及終端） 3 口令最長使用期限 90天 口令安全策略（不涉及終端） 4 強(qiáng)制口令歷史 10次 口令安全策略（不涉及終端） 5 復(fù)位賬號鎖定計數(shù)器 10分鐘 賬號鎖定策略（不涉及終端） 6 賬號鎖定時間（可選） 10分鐘 賬號鎖定策略（不涉及終端） 7 賬號鎖定閥值（可選） 10次 賬號鎖定策略（不涉及終端） 8 guest賬號 禁止 禁用guest賬號 9 administrator（可選） 重命名 保護(hù)administrator安全 10 無需賬號檢查與管理 禁用 禁用無需使用賬號 1.2.2. 日志與審計 通過對操作系統(tǒng)日志進(jìn)行安全控制與管理，提高日志的安全性與有效性，詳見表7。 表7 Windows系統(tǒng)日志與審計基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 11 審核賬號登錄事件 成功與失敗 日志審核策略 12 審核賬號管理 成功與失敗 日志審核策略 13 審核目錄服務(wù)訪問 成功 日志審核策略 14 審核登錄事件 成功與失敗 日志審核策略 15 審核策略更改 成功與失敗 日志審核策略 16 審核系統(tǒng)事件 成功 日志審核策略 17 日志存儲地址（可選） 接入到統(tǒng)一日志服務(wù)器 日志存儲在統(tǒng)一日志服務(wù)器中 18 日志保存要求（可選） 6個月 等保三級要求日志保存6個月 1.2.3. 服務(wù)優(yōu)化 通過優(yōu)化系統(tǒng)資源，提高系統(tǒng)服務(wù)安全性，詳見表8。 表8 Windows系統(tǒng)服務(wù)優(yōu)化基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 19 Alerter服務(wù) 禁止 禁止進(jìn)程間發(fā)送信息服務(wù) 20 Clipbook（可選） 禁止 禁止機(jī)器間共享剪裁板上信息服務(wù) 21 Computer Browser服務(wù)（可選） 禁止 禁止跟蹤網(wǎng)絡(luò)上一個域內(nèi)的機(jī)器服務(wù) 22 Messenger服務(wù) 禁止 禁止即時通訊服務(wù) 23 Remote Registry Service服務(wù) 禁止 禁止遠(yuǎn)程操作注冊表服務(wù) 24 Routing and Remote Access服務(wù) 禁止 禁止路由和遠(yuǎn)程訪問服務(wù) 25 Print Spooler（可選） 禁止 禁止后臺打印處理服務(wù) 26 Automatic Updates服務(wù)（可選） 禁止 禁止自動更新服務(wù) 27 Terminal Service服務(wù)（可選） 禁止 禁止終端服務(wù) 1.2.4. 訪問控制 通過對系統(tǒng)配置參數(shù)調(diào)整，提高系統(tǒng)安全性，詳見表9。 表9 Windows系統(tǒng)訪問控制基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 28 文件系統(tǒng)格式 NTFS 磁盤文件系統(tǒng)格式為NTFS 29 桌面屏保 10分鐘 桌面屏保策略 30 防病毒軟件 安裝賽門鐵克 生產(chǎn)環(huán)境安裝賽門鐵克防病毒最新版本軟件 31 防病毒代碼庫升級時間 7天 32 文件共享（可選） 禁止 禁止配置文件共享，若工作需要必須配置共享，須設(shè)置賬號與口令 33 系統(tǒng)自帶防火墻（可選） 禁止 禁止自帶防火墻 34 默認(rèn)共享IPC$、ADMIN$、C$、D$等 禁止 安全控制選項優(yōu)化 35 不允許匿名枚取SAM賬號與共享 啟用 網(wǎng)絡(luò)訪問安全控制選項優(yōu)化 36 不顯示上次的用戶名 啟用 交互式登錄安全控制選項優(yōu)化 37 控制驅(qū)動器 禁止 禁止自動運(yùn)行 38 藍(lán)屏后自動啟動機(jī)器（可選） 禁止 禁止藍(lán)屏后自動啟動機(jī)器 39 統(tǒng)一時間 接入統(tǒng)一NTP服務(wù)器 保障生產(chǎn)環(huán)境所有系統(tǒng)時間統(tǒng)一 1.2.5. 補(bǔ)丁管理 通過進(jìn)行定期更新，降低常見的漏洞被利用，詳見表10。 表10 Windows系統(tǒng)補(bǔ)丁管理基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 40 安全服務(wù)包 win2003 SP2 win2008 SP1 安裝微軟最新的安全服務(wù)包 41 安全補(bǔ)丁（可選） 更新到最新 根據(jù)實際需要更新安全補(bǔ)丁 1.3. Linux系統(tǒng)安全基線 1.3.1. 系統(tǒng)管理 通過配置系統(tǒng)安全管理工具，提高系統(tǒng)運(yùn)維管理的安全性，詳見表11。 表11 Linux系統(tǒng)管理基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 1 安裝SSH管理遠(yuǎn)程工具(可選) 安裝OpenSSH OpenSSH為遠(yuǎn)程管理高安全性工具，保護(hù)管理過程中傳輸數(shù)據(jù)的安全 2 配置本機(jī)訪問控制列表（可選） 配置/etc/hosts.allow, /etc/hosts.deny 安裝TCP Wrapper，提高對系統(tǒng)訪問控制 1.3.2. 用戶賬號與口令 通過配置Linux系統(tǒng)用戶賬號與口令安全策略，提高系統(tǒng)賬號與口令安全性，詳見表12。 表12 Linux系統(tǒng)用戶賬號與口令基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 3 禁止系統(tǒng)無用默認(rèn)賬號登錄 1) Operator 2) Halt 3) Sync 4) News 5) Uucp 6) Lp 7) nobody 8) Gopher 禁止 清理多余用戶賬號，限制系統(tǒng)默認(rèn)賬號登錄，同時，針對需要使用的用戶，制訂用戶列表進(jìn)行妥善保存 4 root遠(yuǎn)程登錄 禁止 禁止root遠(yuǎn)程登錄 5 口令使用最長周期 90天 口令安全策略（超級用戶口令） 6 口令過期提示修改時間 28天 口令安全策略（超級用戶口令） 7 口令最小長度 8位 口令安全策略 8 設(shè)置超時時間 10分鐘 口令安全策略 1.3.3. 日志與審計 通過對Linux系統(tǒng)的日志進(jìn)行安全控制與管理，提高日志的安全性與有效性，詳見表13。 表13 Linux系統(tǒng)日志與審計基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 9 記錄安全日志 authpriv日志 記錄網(wǎng)絡(luò)設(shè)備啟動、usermod、change等方面日志 10 日志存儲（可選） 接入到統(tǒng)一日志服務(wù)器 使用統(tǒng)一日志服務(wù)器接收并存儲系統(tǒng)日志 11 日志保存時間 6個月 等保三級要求日志必須保存6個月 12 日志系統(tǒng)配置文件保護(hù) 400 修改配置文件syslog.conf權(quán)限為管理員用戶只讀 1.3.4. 服務(wù)優(yōu)化 通過優(yōu)化Linux系統(tǒng)資源，提高系統(tǒng)服務(wù)安全性，詳見表14。 表14 Linux系統(tǒng)服務(wù)優(yōu)化基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 13 ftp 服務(wù)（可選） 禁止 文件上傳服務(wù) 14 sendmail 服務(wù) 禁止 郵件服務(wù) 15 klogin 服務(wù)（可選） 禁止 Kerberos 登錄，如果站點(diǎn)使用 Kerberos 認(rèn)證則啟用 16 kshell 服務(wù)（可選） 禁止 Kerberos shell，如果站點(diǎn)使用 Kerberos 認(rèn)證則啟用 17 ntalk 服務(wù) 禁止 new talk 18 tftp 服務(wù) 禁止 以 root 用戶身份運(yùn)行可能危及安全 19 imap 服務(wù)（可選） 禁止 郵件服務(wù) 20 pop3服務(wù)（可選） 禁止 郵件服務(wù) 21 telnet 服務(wù)(可選 ) 禁止 遠(yuǎn)程訪問服務(wù) 22 GUI服務(wù)（可選） 禁止 圖形管理服務(wù) 23 xinetd服務(wù)（可選） 啟動 增強(qiáng)系統(tǒng)安全 1.3.5. 訪問控制 通過對Linux系統(tǒng)配置參數(shù)調(diào)整，提高系統(tǒng)安全性，詳見表15。 表15 Linux系統(tǒng)訪問控制基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 24 Umask權(quán)限 022或027 修改默認(rèn)文件權(quán)限 25 關(guān)鍵文件權(quán)限控制 1) /etc/passwd 目錄權(quán)限為644 /etc/passwd rw-r--r— 所有用戶可讀，root用戶可寫 26 2) /etc/shadow目錄權(quán)限為400 /etc/shadow r-------- 只有root可讀 27 3) /etc/group root目錄權(quán)限為644 /etc/group rw-r--r— 所有用戶可讀，root用戶可寫 28 統(tǒng)一時間 接入統(tǒng)一NTP服務(wù)器 保障生產(chǎn)環(huán)境所有系統(tǒng)時間統(tǒng)一 2. 數(shù)據(jù)庫安全基線技術(shù)要求 2.1. Oracle數(shù)據(jù)庫系統(tǒng)安全基線 2.1.1. 用戶賬號與口令 通過配置數(shù)據(jù)庫系統(tǒng)用戶賬號與口令安全策略，提高數(shù)據(jù)庫系統(tǒng)賬號與口令安全性，詳見表16。 表16 Oracle系統(tǒng)用戶賬號與口令基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 1 Oracle無用賬號 TIGER SCOTT等 禁用 禁用無用賬號 2 默認(rèn)管理賬號管理 SYSTEM DMSYS等 更改口令 賬號安全策略（新系統(tǒng)） 3 數(shù)據(jù)庫自動登錄SYSDBA賬號 禁止 賬號安全策略 4 口令最小長度 8位 口令安全策略（新系統(tǒng)） 5 口令有效期 12個月 新系統(tǒng)執(zhí)行此項要求 6 禁止使用已設(shè)置過的口令次數(shù) 10次 口令安全策略 2.1.2. 日志與審計 通過對數(shù)據(jù)庫系統(tǒng)的日志進(jìn)行安全控制與管理，提高日志的安全性與有效性，詳見表17。 表17 Oracle系統(tǒng)日志與審計基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 7 日志保存要求（可選） 3個月 日志必須保存3個月 8 日志文件保護(hù) 啟用 設(shè)置訪問日志文件權(quán)限 2.1.3. 訪問控制 通過對數(shù)據(jù)庫系統(tǒng)配置參數(shù)調(diào)整，提高數(shù)據(jù)庫系統(tǒng)安全性，詳見表18。 表18 Oracle系統(tǒng)訪問控制基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 9 監(jiān)聽程序加密（可選） 設(shè)置口令 設(shè)置監(jiān)聽器口令（新系統(tǒng)） 10 修改服務(wù)監(jiān)聽默認(rèn)端口（可選） 非TCP1521 系統(tǒng)可執(zhí)行此項要求 3. 中間件安全基線技術(shù)要求 4. 3.1. Tong（TongEASY、TongLINK等）中間件安全基線 3.1.1. 用戶賬號與口令 通過配置中間件用戶賬號與口令安全策略，提高系統(tǒng)賬號與口令安全，詳見表19。 表19 Tong用戶賬號與口令基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 1 優(yōu)化Tong服務(wù)賬號和應(yīng)用共用同一用戶（可選） Tong和應(yīng)用共用同一用戶 與操作系統(tǒng)應(yīng)用用戶保持一致 3.1.2. 日志與審計 通過對中間件的日志進(jìn)行安全控制與管理，保護(hù)日志的安全與有效性，詳見表20。 表20 Tong日志與審計基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 2 事務(wù)包日志備份 1.5G Pktlog達(dá)到1.5G進(jìn)行備份 3 交易日志備份 1.5G Txlog達(dá)到1.5G進(jìn)行備份 4 通信管理模塊運(yùn)行日志備份 1.5G Tonglink.log達(dá)到1.5G進(jìn)行備份 5 系統(tǒng)日志備份 1.5G syslog達(dá)到1.5G進(jìn)行備份 6 名字服務(wù)日志備份 1.5G Nsfwdlog達(dá)到1.5G進(jìn)行備份 7 調(diào)試日志備份 1.5G Testlog達(dá)到1.5G進(jìn)行備份 8 通信管理模塊錯誤日志備份 1.5G Tonglink.err達(dá)到1.5G進(jìn)行備份 9 日志保存時間(可選) 6個月 等保三級要求日志必須保存6個月 3.1.3. 訪問控制 通過配置中間件系統(tǒng)資源，提高中間件系統(tǒng)服務(wù)安全，詳見表21。 表21 Tong訪問控制基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 10 共享內(nèi)存 SHMMAX：4G SHMSEG： 3個以上 SHMALL：12G 根據(jù)不同操作系統(tǒng)調(diào)整Tong的3個核心參數(shù) 11 消息隊列 MSGTQL ：4096 MSGMAX：8192 MSGMNB：16384 設(shè)置Tong核心應(yīng)用系統(tǒng)程序進(jìn)行數(shù)據(jù)傳遞參數(shù) 12 信號燈 Maxuproc：1000以上 SEMMSL：13以上 SEMMNS：26以上 設(shè)置Tong信號燈參數(shù) 13 進(jìn)程數(shù) NPROC：2000以上 MAXUP：1000以上 設(shè)置同時運(yùn)行進(jìn)程數(shù)參數(shù) 服務(wù)器應(yīng)答頭中的版本信息 關(guān)閉 隱藏版本信息，防止軟件版本信息泄漏 3.1.4. 安全防護(hù) 通過對中間件配置參數(shù)調(diào)整，提高中間件系統(tǒng)安全，詳見表22。 表22 Tong安全防護(hù)基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 14 數(shù)據(jù)傳輸安全 根據(jù)應(yīng)用需求設(shè)置加密標(biāo)識 根據(jù)應(yīng)用需求保護(hù)數(shù)據(jù)傳輸安全 15 守護(hù)進(jìn)程安全 tld tmmoni tmrcv tmsnd 通信管理模塊、運(yùn)行監(jiān)控、接收處理、發(fā)送處理守護(hù)進(jìn)程處于常開狀態(tài)，隨時處理應(yīng)用程序的請求 3.1.5. 補(bǔ)丁管理 通過對Tong的補(bǔ)丁進(jìn)行定期更新，達(dá)到管理基線，防止常見的漏洞被利用，詳見表23。 表23 Tong補(bǔ)丁管理基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 16 安全補(bǔ)?。蛇x） 根據(jù)實際需要更新 根據(jù)實際需要更新安全補(bǔ)丁Tong4.2、Tong4.5、Tong4.6適用于AIX5.3以上版本 3.2. Apache中間件安全基線 3.2.1. 用戶賬號與口令 通過配置中間件用戶賬號與口令安全策略，提高系統(tǒng)賬號與口令安全性，詳見表24。 表24 Apache用戶賬號與口令基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 1 優(yōu)化WEB服務(wù)賬號 新建Apache可訪問80端口用戶賬號 使用WAS中間件用戶安裝，root用戶啟動 3.2.2. 日志與審計 通過對中間件的日志進(jìn)行安全控制與管理，提高日志的安全性與有效性，詳見表25。 表25 Apache日志與審計基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 2 日志級別（可選） Info 采用Info日志級別，分析問題時采用更高日志級別 3 錯誤日志及記錄 ErrorLog 配置錯誤日志文件名及位置 4 訪問日志（可選） CustomLog 配置訪問日志文件名及位置 3.2.3. 服務(wù)優(yōu)化 通過優(yōu)化中間件系統(tǒng)資源，提高中間件系統(tǒng)服務(wù)安全性，詳見表26。 表26 Apache服務(wù)優(yōu)化基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 5 無用模塊 禁用 禁用無用模塊 3.2.4. 安全防護(hù) 通過對中間件配置參數(shù)調(diào)整，提高中間件系統(tǒng)安全性，詳見表27。 表27 Apache安全防護(hù)基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 6 遍歷操作系統(tǒng)目錄（可選） 禁止 修改參數(shù)文件，禁止目錄遍歷 7 服務(wù)器應(yīng)答頭中的版本信息 關(guān)閉 隱藏版本信息，防止軟件版本信息泄漏 8 服務(wù)器生成頁面的頁腳中版本信息 關(guān)閉 不顯示服務(wù)器默認(rèn)歡迎頁面 3.3. WAS中間件安全基線 3.3.1. 用戶賬號與口令 通過配置用戶賬號與口令安全策略，提高系統(tǒng)賬號與口令安全性，詳見表28。 表28 WAS用戶賬號與口令基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 1 賬號安全策略 按照操作系統(tǒng)賬號管理規(guī)范執(zhí)行 符合應(yīng)用系統(tǒng)運(yùn)行要求 2 口令安全策略 按照操作系統(tǒng)口令管理規(guī)范執(zhí)行 符合應(yīng)用系統(tǒng)運(yùn)行要求 3.3.2. 日志與審計 通過對系統(tǒng)的日志進(jìn)行安全控制與管理，提高日志的安全性與有效性，詳見表29。 表29 WAS日志與審計基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 3 故障日志 開啟 記錄相關(guān)日志 4 記錄級別 Info 記錄相關(guān)日志級別 3.3.3. 服務(wù)優(yōu)化 通過優(yōu)化系統(tǒng)資源，提高系統(tǒng)服務(wù)安全性，詳見表30。 表30 WAS服務(wù)優(yōu)化基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 5 file serving服務(wù) 禁止 開啟用戶可能非法瀏覽應(yīng)用服務(wù)器目錄和文件 6 配置config和properties目錄權(quán)限 755 config和properties目錄權(quán)限不當(dāng)存在安全隱患 3.3.4. 安全防護(hù) 通過對系統(tǒng)配置參數(shù)調(diào)整，提高系統(tǒng)安全性，詳見表31。 表31 WAS安全防護(hù)基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 7 刪除sample例子程序 刪除示例域 防止已知攻擊 8 連接會話超時控制 10分鐘 設(shè)置超時時間，控制用戶登錄會話 9 數(shù)據(jù)傳輸安全 加密傳送 在服務(wù)器console管理中瀏覽器與服務(wù)器傳輸信息配置SSL 10 設(shè)置控制臺會話最長時間 30分鐘 控制臺會話timeout低于30分鐘 3.3.5. 補(bǔ)丁管理 通過進(jìn)行定期更新，達(dá)到管理基線，降低常見的的漏洞被利用，詳見表32。 表32 WAS補(bǔ)丁管理基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 11 安全補(bǔ)?。蛇x） 按照系統(tǒng)管理室年度版本執(zhí)行 根據(jù)應(yīng)用系統(tǒng)實際情況選擇 4. 網(wǎng)絡(luò)設(shè)備安全基線技術(shù)要求 4.1. Cisco路由器/交換機(jī)安全基線 4.1.1. 系統(tǒng)管理 通過配置網(wǎng)絡(luò)設(shè)備管理，提高系統(tǒng)運(yùn)維管理安全性，詳見表33。 表33 Cisco系統(tǒng)管理基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 1 遠(yuǎn)程ssh服務(wù)（可選） 啟用 采用ssh服務(wù)代替telnet服務(wù)管理網(wǎng)絡(luò)設(shè)備，提高設(shè)備管理安全性 2 認(rèn)證方式 tacas/radius認(rèn)證 啟用設(shè)備認(rèn)證 3 非管理員IP地址 禁止 配置訪問控制列表，只允許管理員IP或網(wǎng)段能訪問網(wǎng)絡(luò)設(shè)備管理服務(wù) 4 配置console端口 口令認(rèn)證 console需配置口令認(rèn)證信息 5 統(tǒng)一時間 接入統(tǒng)一NTP服務(wù)器 保障生產(chǎn)環(huán)境所有設(shè)備時間統(tǒng)一 4.1.2. 用戶賬號與口令 通過配置網(wǎng)絡(luò)設(shè)備用戶賬號與口令安全策略，提高系統(tǒng)賬號與口令安全性，詳見表34。 表34 Cisco用戶賬號與口令基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 6 Service password口令 加密 采用service password-encryption 7 enable口令 加密 采用secret對口令進(jìn)行加密 8 賬號登錄空閑超時時間 5分鐘 設(shè)置console和vty的登錄超時時間5分鐘 9 口令最小長度 8位 口令長度為8個字符 4.1.3. 日志與審計 通過對網(wǎng)絡(luò)設(shè)備的日志進(jìn)行安全控制與管理，提高日志的安全性與有效性，詳見表35。 表35 Cisco日志與審計基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 10 更改SNMP的團(tuán)體串（可選） 更改SNMP Community 修改默認(rèn)值public 更改SNMP主機(jī)IP 11 系統(tǒng)日志存儲 對接到網(wǎng)管日志服務(wù)器 使用日志服務(wù)器接收與存儲主機(jī)日志，網(wǎng)管平臺統(tǒng)一管理 12 日志保存要求 6個月 等保三級要求日志必須保存6個月 4.1.4. 服務(wù)優(yōu)化 通過優(yōu)化網(wǎng)絡(luò)設(shè)備，提高系統(tǒng)服務(wù)安全性，詳見表36。 表36 Cisco服務(wù)優(yōu)化基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 13 TCP、UDP Small服務(wù)（可選） 禁止 禁用無用服務(wù) 14 Finger服務(wù) 禁止 禁用無用服務(wù) 15 HTTP服務(wù) 禁止 禁用無用服務(wù) 16 HTTPS服務(wù) 禁止 禁用無用服務(wù) 17 BOOTp服務(wù) 禁止 禁用無用服務(wù) 18 IP Source Routing服務(wù) 禁止 禁用無用服務(wù) 19 ARP-Proxy服務(wù) 禁止 禁用無用服務(wù) 20 cdp服務(wù)（可選） 禁止 禁用無用服務(wù)(只適用于邊界設(shè)備) 21 FTP服務(wù)（可選） 禁止 禁用無用服務(wù) 4.1.5. 訪問控制 通過對設(shè)備配置進(jìn)行調(diào)整，提高設(shè)備或網(wǎng)絡(luò)安全性，詳見表37。 表37 Cisco訪問控制基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 22 login banner信息 修改默認(rèn)值為警示語 默認(rèn)值不為空 23 BGP認(rèn)證（可選） 啟用 加強(qiáng)路由信息安全 24 EIGRP認(rèn)證（可選） 啟用 加強(qiáng)路由信息安全 25 OSPF認(rèn)證（可選） 啟用 加強(qiáng)路由信息安全 26 RIPv2認(rèn)證（可選） 啟用 加強(qiáng)路由信息安全 27 MAC綁定（可選） IP+MAC+端口綁定 重要服務(wù)器采用IP+MAC+端口綁定 28 網(wǎng)絡(luò)端口AUX（可選） 關(guān)閉 關(guān)閉沒用網(wǎng)絡(luò)端口 4.2. H3C路由器/交換機(jī)安全基線 4.2.1. 系統(tǒng)管理 通過配置網(wǎng)絡(luò)設(shè)備管理，預(yù)防遠(yuǎn)程訪問服務(wù)攻擊或非授權(quán)訪問，提高網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理安全性，詳見表38。 表38 H3C系統(tǒng)管理基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 1 遠(yuǎn)程ssh服務(wù)（可選） 啟用 采用ssh服務(wù)代替telnet服務(wù)管理網(wǎng)絡(luò)設(shè)備，提高設(shè)備管理安全性 2 認(rèn)證方式 tacas/radius認(rèn)證 啟用設(shè)備認(rèn)證 3 非管理員IP地址 禁止 配置訪問控制列表，只允許管理員IP或網(wǎng)段能訪問網(wǎng)絡(luò)設(shè)備管理服務(wù) 4 配置console端口 口令認(rèn)證 console需配置口令認(rèn)證信息 5 統(tǒng)一時間 接入統(tǒng)一NTP服務(wù)器 保障生產(chǎn)環(huán)境所有設(shè)備時間統(tǒng)一 4.2.2. 用戶賬號與口令 通過配置用戶賬號與口令安全策略，提高系統(tǒng)賬號與口令安全，詳見表39。 表39 H3C用戶賬號與口令基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 6 system口令 加密方式 采用cipher對口令進(jìn)行加密 7 賬號登錄空閑超時時間 5分鐘 設(shè)置console和vty的登錄超時時間5分鐘 8 口令最小長度 8位 口令安全策略 4.2.3. 日志與審計 通過對網(wǎng)絡(luò)設(shè)備的日志進(jìn)行安全控制與管理，提高日志的安全性與有效性，詳見表40。 表40 H3C日志與審計基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 9 系統(tǒng)日志 接入到網(wǎng)管日志服務(wù)器 使用網(wǎng)管平臺統(tǒng)一日志服務(wù)器接收與存儲 10 日志保存要求 6個月 等保三級要求日志必須保存6個月 4.2.4. 服務(wù)優(yōu)化 通過優(yōu)化網(wǎng)絡(luò)設(shè)備資源，提高設(shè)備服務(wù)安全性，詳見表41。 表41 H3C服務(wù)優(yōu)化基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 11 http服務(wù) 禁用 關(guān)閉弱服務(wù) 12 FTP服務(wù)（可選） 禁止 禁用Ftp服務(wù) 4.2.5. 訪問控制 通過對網(wǎng)絡(luò)設(shè)備配置參數(shù)調(diào)整，提高設(shè)備安全性，詳見表42。 表42 H3C訪問控制基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 13 BGP認(rèn)證（可選） 啟用 加強(qiáng)路由信息安全 14 OSPF認(rèn)證（可選） 啟用 加強(qiáng)路由信息安全 15 RIPv2認(rèn)證（可選） 啟用 加強(qiáng)路由信息安全 16 統(tǒng)一時間 接入統(tǒng)一NTP服務(wù)器 保障生產(chǎn)環(huán)境所有設(shè)備時間統(tǒng)一 17 重要服務(wù)器采用IP+MAC+端口綁定（可選） IP+MAC+端口綁定 重要服務(wù)器采用IP+MAC+端口綁定 18 網(wǎng)絡(luò)端口AUX（可選） 關(guān)閉 關(guān)閉沒用網(wǎng)絡(luò)端口 4.3. 防火墻安全基線 4.3.1. 系統(tǒng)管理 通過配置網(wǎng)絡(luò)設(shè)備管理，提高安全設(shè)備運(yùn)維管理安全性，詳見表43。 表43 防火墻系統(tǒng)管理基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 1 安全網(wǎng)絡(luò)登錄方式，SSH或者HTTPS 啟用 采用ssh(https)服務(wù)代替telnet(http)服務(wù)管理防火墻設(shè)備 2 限制登錄口令錄入時間 30秒 設(shè)置登錄口令錄入時間，建議為30秒 3 限制可登錄的訪問地址 配置管理客戶端IP 地址 限制對特定工作站的管理能力 4 只接收管理流量的邏輯管理IP地址（可選） 啟用 網(wǎng)絡(luò)用戶流量分離管理流量大大增加了管理安全性，并確保了穩(wěn)定的管理帶寬 5 HTTP監(jiān)聽端口號（可選） 更改 通過更改HTTP監(jiān)聽端口號提高系統(tǒng)安全性 6 統(tǒng)一時間 接入統(tǒng)一NTP服務(wù)器 保障生產(chǎn)環(huán)境所有設(shè)備時間統(tǒng)一 4.3.2. 用戶賬號與口令 通過配置網(wǎng)絡(luò)設(shè)備用戶賬號與口令安全策略，提高設(shè)備賬號與口令安全性，詳見表44。 表44 防火墻用戶賬號與口令基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 7 系統(tǒng)初始賬號和口令 修改 在完成初始配置后應(yīng)盡快修改缺省用戶名和口令 口令最短長度 8位 口令安全策略 4.3.3. 日志與審計 通過對網(wǎng)絡(luò)設(shè)備的日志進(jìn)行安全控制與管理，提高日志的安全性與有效性，詳見表45。 表45 防火墻日志與審計基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 8 發(fā)起SNMP 連接 限定源IP 限制發(fā)起SNMP連接的源地址 9 信息流日志 開啟 針對重要策略開啟信息流日志 10 系統(tǒng)日志（可選) 對接到統(tǒng)一網(wǎng)管日志服務(wù)器 使用網(wǎng)管平臺統(tǒng)一日志服務(wù)器接收與存儲系統(tǒng)日志 11 日志保存要求（可選） 6個月 等保三級要求日志必須保存6個月 4.3.4. 安全防護(hù) 通過對網(wǎng)絡(luò)設(shè)備配置參數(shù)調(diào)整，提高設(shè)備安全性，詳見表46。 表46 防火墻安全防護(hù)基線技術(shù)要求 序號 基線技術(shù)要求 基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)） 說明 12 防火墻安全設(shè)置選項（可選） SYN Attack、ICMP Flood、UDP Flood、 Port Scan ttack、 Limit session、SYN-ACK-ACK Proxy、SYN Fragment 開啟 防攻擊選項包括：SYN Attack、ICMP Flood、UDP Flood、Port Scan Attack、 Limit session、SYN-ACK-ACK Proxy 保護(hù)、SYN Fragment（SYN 碎片）等。