信息系統(tǒng)安全基線.doc

1. 操作系統(tǒng)安全基線技術(shù)要求1.1.1. AIX系統(tǒng)安全基線1.1.1. 系統(tǒng)管理通過(guò)配置操作系統(tǒng)運(yùn)維管理安全策略，提高系統(tǒng)運(yùn)維管理安全性，詳見(jiàn)表1。表1 AIX系統(tǒng)管理基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明1限制超級(jí)管理員權(quán)限的用戶(hù)遠(yuǎn)程登錄PermitRootLogin no限制root用戶(hù)遠(yuǎn)程使用telnet登錄（可選）2使用動(dòng)態(tài)口令令牌登錄安裝動(dòng)態(tài)口令3配置本機(jī)訪問(wèn)控制列表（可選）配置/etc/hosts.allow,/etc/hosts.deny安裝TCP Wrapper，提高對(duì)系統(tǒng)訪問(wèn)控制1.1.2. 用戶(hù)賬號(hào)與口令通過(guò)配置操作系統(tǒng)用戶(hù)賬號(hào)與口令安全策略，提高系統(tǒng)賬號(hào)與口令安全性，詳見(jiàn)表2。表2 AIX系統(tǒng)用戶(hù)賬戶(hù)與口令基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明4限制系統(tǒng)無(wú)用默認(rèn)賬號(hào)登錄daemon（禁用）bin（禁用）sys（禁用）adm（禁用）uucp（禁用）nuucp（禁用）lpd（禁用）guest（禁用）pconsole（禁用）esaadmin（禁用）sshd（禁用）清理多余用戶(hù)賬號(hào)，限制系統(tǒng)默認(rèn)賬號(hào)登錄，同時(shí)，針對(duì)需要使用的用戶(hù)，制訂用戶(hù)列表，并妥善保存5控制用戶(hù)登錄超時(shí)時(shí)間10分鐘控制用戶(hù)登錄會(huì)話，設(shè)置超時(shí)時(shí)間6口令最小長(zhǎng)度8位口令安全策略（口令為超級(jí)用戶(hù)靜態(tài)口令）7口令中最少非字母數(shù)字字符1個(gè)口令安全策略（口令為超級(jí)用戶(hù)靜態(tài)口令）8信息系統(tǒng)的口令的最大周期90天口令安全策略（口令為超級(jí)用戶(hù)靜態(tài)口令）9口令不重復(fù)的次數(shù)10次口令安全策略（口令為超級(jí)用戶(hù)靜態(tài)口令）1.1.3. 日志與審計(jì)通過(guò)對(duì)操作系統(tǒng)的日志進(jìn)行安全控制與管理，提高日志的安全性，詳見(jiàn)表3。表3 AIX系統(tǒng)日志與審計(jì)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明10系統(tǒng)日志記錄（可選）authlog、sulog、wtmp、failedlogin記錄必需的日志信息，以便進(jìn)行審計(jì)11系統(tǒng)日志存儲(chǔ)（可選)對(duì)接到統(tǒng)一日志服務(wù)器使用日志服務(wù)器接收與存儲(chǔ)主機(jī)日志，網(wǎng)管平臺(tái)統(tǒng)一管理12日志保存要求（可選）6個(gè)月等保三級(jí)要求日志必須保存6個(gè)月 13配置日志系統(tǒng)文件保護(hù)屬性（可選）400修改配置文件syslog.conf權(quán)限為管理員賬號(hào)只讀14修改日志文件保護(hù)權(quán)限（可選）400修改日志文件authlog、wtmp、sulog、failedlogin的權(quán)限管理員賬號(hào)只讀1.1.4. 服務(wù)優(yōu)化通過(guò)優(yōu)化操作系統(tǒng)資源，提高系統(tǒng)服務(wù)安全性，詳見(jiàn)表4。表4 AIX系統(tǒng)服務(wù)優(yōu)化基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明15discard 服務(wù)禁止網(wǎng)絡(luò)測(cè)試服務(wù)，丟棄輸入, 為“拒絕服務(wù)”攻擊提供機(jī)會(huì), 除非正在測(cè)試網(wǎng)絡(luò)，否則禁用16daytime 服務(wù)禁止網(wǎng)絡(luò)測(cè)試服務(wù)，顯示時(shí)間, 為“拒絕服務(wù)”攻擊提供機(jī)會(huì), 除非正在測(cè)試網(wǎng)絡(luò)，否則禁用17chargen 服務(wù)禁止網(wǎng)絡(luò)測(cè)試服務(wù)，回應(yīng)隨機(jī)字符串, 為“拒絕服務(wù)”攻擊提供機(jī)會(huì), 除非正在測(cè)試網(wǎng)絡(luò)，否則禁用18comsat 服務(wù)禁止comsat通知接收的電子郵件，以 root 用戶(hù)身份運(yùn)行，因此涉及安全性, 除非需要接收郵件，否則禁用19ntalk 服務(wù)禁止ntalk允許用戶(hù)相互交談，以 root 用戶(hù)身份運(yùn)行，除非絕對(duì)需要，否則禁用20talk 服務(wù)禁止在網(wǎng)上兩個(gè)用戶(hù)間建立分區(qū)屏幕，不是必需服務(wù)，與 talk 命令一起使用，在端口 517 提供 UDP 服務(wù)21tftp 服務(wù)禁止以 root 用戶(hù)身份運(yùn)行并且可能危及安全22ftp 服務(wù)（可選）禁止防范非法訪問(wèn)目錄風(fēng)險(xiǎn)23telnet服務(wù)禁止遠(yuǎn)程訪問(wèn)服務(wù)24uucp 服務(wù)禁止除非有使用 UUCP 的應(yīng)用程序，否則禁用25dtspc 服務(wù)（可選）禁止CDE 子過(guò)程控制不用圖形管理則禁用26klogin 服務(wù)（可選）禁止Kerberos 登錄，如果站點(diǎn)使用 Kerberos 認(rèn)證則啟用27kshell 服務(wù)（可選）禁止Kerberos shell，如果站點(diǎn)使用 Kerberos 認(rèn)證則啟用1.1.5. 訪問(wèn)控制通過(guò)對(duì)操作系統(tǒng)安全權(quán)限參數(shù)進(jìn)行調(diào)整，提高系統(tǒng)訪問(wèn)安全性，詳見(jiàn)表5。表5 AIX系統(tǒng)訪問(wèn)控制基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明28修改Umask權(quán)限022或027要求修改默認(rèn)文件權(quán)限29關(guān)鍵文件權(quán)限控制passwd、group、security的所有者必須是root和security組成員設(shè)置/etc/passwd，/etc/group， /etc/security等關(guān)鍵文件和目錄的權(quán)限30audit的所有者必須是root和audit組成員/etc/security/audit的所有者必須是root和audit組成員31/etc/passwd rw-r-r-/etc/passwd目錄權(quán)限為 644所有用戶(hù)可讀，root用戶(hù)可寫(xiě)32/etc/group rw-r-r-/etc/group root目錄權(quán)限為644所有用戶(hù)可讀，root用戶(hù)可寫(xiě) 33統(tǒng)一時(shí)間 接入統(tǒng)一NTP服務(wù)器保障生產(chǎn)環(huán)境所有系統(tǒng)時(shí)間統(tǒng)一1.2. Windows系統(tǒng)安全基線1.2.1. 用戶(hù)賬號(hào)與口令通過(guò)配置操作系統(tǒng)用戶(hù)賬號(hào)與口令安全策略，提高系統(tǒng)賬號(hào)與口令安全性，詳見(jiàn)表6。表6 Windows系統(tǒng)用戶(hù)賬號(hào)與口令基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明1口令必須符合復(fù)雜性要求啟用口令安全策略（不涉及終端及動(dòng)態(tài)口令）2口令長(zhǎng)度最小值8位口令安全策略（不涉及終端）3口令最長(zhǎng)使用期限90天口令安全策略（不涉及終端）4強(qiáng)制口令歷史10次口令安全策略（不涉及終端）5復(fù)位賬號(hào)鎖定計(jì)數(shù)器10分鐘賬號(hào)鎖定策略（不涉及終端）6賬號(hào)鎖定時(shí)間（可選）10分鐘賬號(hào)鎖定策略（不涉及終端）7賬號(hào)鎖定閥值（可選）10次賬號(hào)鎖定策略（不涉及終端）8guest賬號(hào)禁止禁用guest賬號(hào)9administrator（可選）重命名保護(hù)administrator安全10無(wú)需賬號(hào)檢查與管理禁用禁用無(wú)需使用賬號(hào)1.2.2. 日志與審計(jì)通過(guò)對(duì)操作系統(tǒng)日志進(jìn)行安全控制與管理，提高日志的安全性與有效性，詳見(jiàn)表7。表7 Windows系統(tǒng)日志與審計(jì)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明11審核賬號(hào)登錄事件成功與失敗日志審核策略12審核賬號(hào)管理成功與失敗日志審核策略13審核目錄服務(wù)訪問(wèn)成功日志審核策略14審核登錄事件成功與失敗日志審核策略15審核策略更改成功與失敗日志審核策略16審核系統(tǒng)事件成功日志審核策略17日志存儲(chǔ)地址（可選）接入到統(tǒng)一日志服務(wù)器日志存儲(chǔ)在統(tǒng)一日志服務(wù)器中18日志保存要求（可選）6個(gè)月等保三級(jí)要求日志保存6個(gè)月 1.2.3. 服務(wù)優(yōu)化通過(guò)優(yōu)化系統(tǒng)資源，提高系統(tǒng)服務(wù)安全性，詳見(jiàn)表8。表8 Windows系統(tǒng)服務(wù)優(yōu)化基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明19Alerter服務(wù)禁止禁止進(jìn)程間發(fā)送信息服務(wù)20Clipbook（可選）禁止禁止機(jī)器間共享剪裁板上信息服務(wù)21Computer Browser服務(wù)（可選）禁止禁止跟蹤網(wǎng)絡(luò)上一個(gè)域內(nèi)的機(jī)器服務(wù)22Messenger服務(wù)禁止禁止即時(shí)通訊服務(wù)23Remote Registry Service服務(wù)禁止禁止遠(yuǎn)程操作注冊(cè)表服務(wù)24Routing and Remote Access服務(wù)禁止禁止路由和遠(yuǎn)程訪問(wèn)服務(wù)25Print Spooler（可選）禁止禁止后臺(tái)打印處理服務(wù)26Automatic Updates服務(wù)（可選）禁止禁止自動(dòng)更新服務(wù)27Terminal Service服務(wù)（可選）禁止禁止終端服務(wù)1.2.4. 訪問(wèn)控制通過(guò)對(duì)系統(tǒng)配置參數(shù)調(diào)整，提高系統(tǒng)安全性，詳見(jiàn)表9。表9 Windows系統(tǒng)訪問(wèn)控制基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明28文件系統(tǒng)格式NTFS磁盤(pán)文件系統(tǒng)格式為NTFS29桌面屏保10分鐘桌面屏保策略30防病毒軟件安裝賽門(mén)鐵克生產(chǎn)環(huán)境安裝賽門(mén)鐵克防病毒最新版本軟件31防病毒代碼庫(kù)升級(jí)時(shí)間7天32文件共享（可選）禁止禁止配置文件共享，若工作需要必須配置共享，須設(shè)置賬號(hào)與口令33系統(tǒng)自帶防火墻（可選）禁止禁止自帶防火墻34默認(rèn)共享IPC$、ADMIN$、C$、D$等禁止 安全控制選項(xiàng)優(yōu)化35不允許匿名枚取SAM賬號(hào)與共享啟用網(wǎng)絡(luò)訪問(wèn)安全控制選項(xiàng)優(yōu)化36不顯示上次的用戶(hù)名啟用交互式登錄安全控制選項(xiàng)優(yōu)化37控制驅(qū)動(dòng)器禁止禁止自動(dòng)運(yùn)行38藍(lán)屏后自動(dòng)啟動(dòng)機(jī)器（可選）禁止禁止藍(lán)屏后自動(dòng)啟動(dòng)機(jī)器39統(tǒng)一時(shí)間 接入統(tǒng)一NTP服務(wù)器保障生產(chǎn)環(huán)境所有系統(tǒng)時(shí)間統(tǒng)一1.2.5. 補(bǔ)丁管理通過(guò)進(jìn)行定期更新，降低常見(jiàn)的漏洞被利用，詳見(jiàn)表10。表10 Windows系統(tǒng)補(bǔ)丁管理基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明40安全服務(wù)包win2003 SP2win2008 SP1安裝微軟最新的安全服務(wù)包41安全補(bǔ)?。蛇x）更新到最新根據(jù)實(shí)際需要更新安全補(bǔ)丁1.3. Linux系統(tǒng)安全基線1.3.1. 系統(tǒng)管理通過(guò)配置系統(tǒng)安全管理工具，提高系統(tǒng)運(yùn)維管理的安全性，詳見(jiàn)表11。表11 Linux系統(tǒng)管理基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明1安裝SSH管理遠(yuǎn)程工具(可選)安裝OpenSSHOpenSSH為遠(yuǎn)程管理高安全性工具，保護(hù)管理過(guò)程中傳輸數(shù)據(jù)的安全2配置本機(jī)訪問(wèn)控制列表（可選）配置/etc/hosts.allow,/etc/hosts.deny安裝TCP Wrapper，提高對(duì)系統(tǒng)訪問(wèn)控制1.3.2. 用戶(hù)賬號(hào)與口令通過(guò)配置Linux系統(tǒng)用戶(hù)賬號(hào)與口令安全策略，提高系統(tǒng)賬號(hào)與口令安全性，詳見(jiàn)表12。表12 Linux系統(tǒng)用戶(hù)賬號(hào)與口令基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明3禁止系統(tǒng)無(wú)用默認(rèn)賬號(hào)登錄1) Operator2) Halt3) Sync4) News5) Uucp6) Lp7) nobody8) Gopher禁止清理多余用戶(hù)賬號(hào)，限制系統(tǒng)默認(rèn)賬號(hào)登錄，同時(shí)，針對(duì)需要使用的用戶(hù)，制訂用戶(hù)列表進(jìn)行妥善保存4root遠(yuǎn)程登錄禁止禁止root遠(yuǎn)程登錄5口令使用最長(zhǎng)周期90天口令安全策略（超級(jí)用戶(hù)口令）6口令過(guò)期提示修改時(shí)間28天口令安全策略（超級(jí)用戶(hù)口令）7口令最小長(zhǎng)度8位口令安全策略8設(shè)置超時(shí)時(shí)間10分鐘口令安全策略1.3.3. 日志與審計(jì)通過(guò)對(duì)Linux系統(tǒng)的日志進(jìn)行安全控制與管理，提高日志的安全性與有效性，詳見(jiàn)表13。表13 Linux系統(tǒng)日志與審計(jì)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明9記錄安全日志authpriv日志記錄網(wǎng)絡(luò)設(shè)備啟動(dòng)、usermod、change等方面日志10日志存儲(chǔ)（可選）接入到統(tǒng)一日志服務(wù)器使用統(tǒng)一日志服務(wù)器接收并存儲(chǔ)系統(tǒng)日志11日志保存時(shí)間6個(gè)月等保三級(jí)要求日志必須保存6個(gè)月 12日志系統(tǒng)配置文件保護(hù)400修改配置文件syslog.conf權(quán)限為管理員用戶(hù)只讀1.3.4. 服務(wù)優(yōu)化通過(guò)優(yōu)化Linux系統(tǒng)資源，提高系統(tǒng)服務(wù)安全性，詳見(jiàn)表14。表14 Linux系統(tǒng)服務(wù)優(yōu)化基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明13ftp 服務(wù)（可選）禁止文件上傳服務(wù)14sendmail 服務(wù)禁止郵件服務(wù)15klogin 服務(wù)（可選）禁止Kerberos 登錄，如果站點(diǎn)使用 Kerberos 認(rèn)證則啟用16kshell 服務(wù)（可選）禁止Kerberos shell，如果站點(diǎn)使用 Kerberos 認(rèn)證則啟用17ntalk 服務(wù)禁止new talk18tftp 服務(wù)禁止以 root 用戶(hù)身份運(yùn)行可能危及安全19imap 服務(wù)（可選）禁止郵件服務(wù)20pop3服務(wù)（可選）禁止郵件服務(wù)21telnet 服務(wù)(可選 )禁止遠(yuǎn)程訪問(wèn)服務(wù)22GUI服務(wù)（可選）禁止圖形管理服務(wù)23xinetd服務(wù)（可選）啟動(dòng)增強(qiáng)系統(tǒng)安全1.3.5. 訪問(wèn)控制通過(guò)對(duì)Linux系統(tǒng)配置參數(shù)調(diào)整，提高系統(tǒng)安全性，詳見(jiàn)表15。表15 Linux系統(tǒng)訪問(wèn)控制基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明24Umask權(quán)限022或027修改默認(rèn)文件權(quán)限25關(guān)鍵文件權(quán)限控制1) /etc/passwd 目錄權(quán)限為644/etc/passwd rw-r-r所有用戶(hù)可讀，root用戶(hù)可寫(xiě)262) /etc/shadow目錄權(quán)限為400 /etc/shadow r-只有root可讀 273) /etc/group root目錄權(quán)限為644/etc/group rw-r-r所有用戶(hù)可讀，root用戶(hù)可寫(xiě) 28統(tǒng)一時(shí)間接入統(tǒng)一NTP服務(wù)器保障生產(chǎn)環(huán)境所有系統(tǒng)時(shí)間統(tǒng)一2. 數(shù)據(jù)庫(kù)安全基線技術(shù)要求2.1. Oracle數(shù)據(jù)庫(kù)系統(tǒng)安全基線2.1.1. 用戶(hù)賬號(hào)與口令通過(guò)配置數(shù)據(jù)庫(kù)系統(tǒng)用戶(hù)賬號(hào)與口令安全策略，提高數(shù)據(jù)庫(kù)系統(tǒng)賬號(hào)與口令安全性，詳見(jiàn)表16。表16 Oracle系統(tǒng)用戶(hù)賬號(hào)與口令基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明1Oracle無(wú)用賬號(hào)TIGERSCOTT等禁用禁用無(wú)用賬號(hào)2默認(rèn)管理賬號(hào)管理SYSTEMDMSYS等更改口令賬號(hào)安全策略（新系統(tǒng)）3數(shù)據(jù)庫(kù)自動(dòng)登錄SYSDBA賬號(hào)禁止賬號(hào)安全策略4口令最小長(zhǎng)度8位口令安全策略（新系統(tǒng)）5口令有效期12個(gè)月新系統(tǒng)執(zhí)行此項(xiàng)要求6禁止使用已設(shè)置過(guò)的口令次數(shù)10次口令安全策略2.1.2. 日志與審計(jì)通過(guò)對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的日志進(jìn)行安全控制與管理，提高日志的安全性與有效性，詳見(jiàn)表17。表17 Oracle系統(tǒng)日志與審計(jì)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明7日志保存要求（可選）3個(gè)月日志必須保存3個(gè)月 8日志文件保護(hù)啟用設(shè)置訪問(wèn)日志文件權(quán)限2.1.3. 訪問(wèn)控制通過(guò)對(duì)數(shù)據(jù)庫(kù)系統(tǒng)配置參數(shù)調(diào)整，提高數(shù)據(jù)庫(kù)系統(tǒng)安全性，詳見(jiàn)表18。表18 Oracle系統(tǒng)訪問(wèn)控制基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明9監(jiān)聽(tīng)程序加密（可選）設(shè)置口令設(shè)置監(jiān)聽(tīng)器口令（新系統(tǒng)）10修改服務(wù)監(jiān)聽(tīng)默認(rèn)端口（可選）非TCP1521系統(tǒng)可執(zhí)行此項(xiàng)要求3. 中間件安全基線技術(shù)要求4.3.1. Tong（TongEASY、TongLINK等）中間件安全基線3.1.1. 用戶(hù)賬號(hào)與口令通過(guò)配置中間件用戶(hù)賬號(hào)與口令安全策略，提高系統(tǒng)賬號(hào)與口令安全，詳見(jiàn)表19。表19 Tong用戶(hù)賬號(hào)與口令基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明1優(yōu)化Tong服務(wù)賬號(hào)和應(yīng)用共用同一用戶(hù)（可選）Tong和應(yīng)用共用同一用戶(hù)與操作系統(tǒng)應(yīng)用用戶(hù)保持一致3.1.2. 日志與審計(jì)通過(guò)對(duì)中間件的日志進(jìn)行安全控制與管理，保護(hù)日志的安全與有效性，詳見(jiàn)表20。表20 Tong日志與審計(jì)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明2事務(wù)包日志備份1.5GPktlog達(dá)到1.5G進(jìn)行備份3交易日志備份1.5GTxlog達(dá)到1.5G進(jìn)行備份4通信管理模塊運(yùn)行日志備份1.5GTonglink.log達(dá)到1.5G進(jìn)行備份5系統(tǒng)日志備份1.5Gsyslog達(dá)到1.5G進(jìn)行備份6名字服務(wù)日志備份1.5GNsfwdlog達(dá)到1.5G進(jìn)行備份7調(diào)試日志備份1.5GTestlog達(dá)到1.5G進(jìn)行備份8通信管理模塊錯(cuò)誤日志備份1.5GTonglink.err達(dá)到1.5G進(jìn)行備份9日志保存時(shí)間(可選)6個(gè)月等保三級(jí)要求日志必須保存6個(gè)月 3.1.3. 訪問(wèn)控制通過(guò)配置中間件系統(tǒng)資源，提高中間件系統(tǒng)服務(wù)安全，詳見(jiàn)表21。表21 Tong訪問(wèn)控制基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明10共享內(nèi)存SHMMAX：4GSHMSEG： 3個(gè)以上SHMALL：12G根據(jù)不同操作系統(tǒng)調(diào)整Tong的3個(gè)核心參數(shù)11消息隊(duì)列MSGTQL ：4096MSGMAX：8192MSGMNB：16384設(shè)置Tong核心應(yīng)用系統(tǒng)程序進(jìn)行數(shù)據(jù)傳遞參數(shù)12信號(hào)燈Maxuproc：1000以上SEMMSL：13以上SEMMNS：26以上設(shè)置Tong信號(hào)燈參數(shù)13進(jìn)程數(shù)NPROC：2000以上MAXUP：1000以上設(shè)置同時(shí)運(yùn)行進(jìn)程數(shù)參數(shù)服務(wù)器應(yīng)答頭中的版本信息關(guān)閉隱藏版本信息，防止軟件版本信息泄漏3.1.4. 安全防護(hù)通過(guò)對(duì)中間件配置參數(shù)調(diào)整，提高中間件系統(tǒng)安全，詳見(jiàn)表22。表22 Tong安全防護(hù)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明14數(shù)據(jù)傳輸安全根據(jù)應(yīng)用需求設(shè)置加密標(biāo)識(shí)根據(jù)應(yīng)用需求保護(hù)數(shù)據(jù)傳輸安全15守護(hù)進(jìn)程安全tldtmmonitmrcvtmsnd通信管理模塊、運(yùn)行監(jiān)控、接收處理、發(fā)送處理守護(hù)進(jìn)程處于常開(kāi)狀態(tài)，隨時(shí)處理應(yīng)用程序的請(qǐng)求3.1.5. 補(bǔ)丁管理通過(guò)對(duì)Tong的補(bǔ)丁進(jìn)行定期更新，達(dá)到管理基線，防止常見(jiàn)的漏洞被利用，詳見(jiàn)表23。表23 Tong補(bǔ)丁管理基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明16安全補(bǔ)?。蛇x）根據(jù)實(shí)際需要更新根據(jù)實(shí)際需要更新安全補(bǔ)丁Tong4.2、Tong4.5、Tong4.6適用于AIX5.3以上版本3.2. Apache中間件安全基線3.2.1. 用戶(hù)賬號(hào)與口令通過(guò)配置中間件用戶(hù)賬號(hào)與口令安全策略，提高系統(tǒng)賬號(hào)與口令安全性，詳見(jiàn)表24。表24 Apache用戶(hù)賬號(hào)與口令基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明1優(yōu)化WEB服務(wù)賬號(hào)新建Apache可訪問(wèn)80端口用戶(hù)賬號(hào)使用WAS中間件用戶(hù)安裝，root用戶(hù)啟動(dòng)3.2.2. 日志與審計(jì)通過(guò)對(duì)中間件的日志進(jìn)行安全控制與管理，提高日志的安全性與有效性，詳見(jiàn)表25。表25 Apache日志與審計(jì)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明2日志級(jí)別（可選）Info采用Info日志級(jí)別，分析問(wèn)題時(shí)采用更高日志級(jí)別3錯(cuò)誤日志及記錄ErrorLog 配置錯(cuò)誤日志文件名及位置4訪問(wèn)日志（可選）CustomLog 配置訪問(wèn)日志文件名及位置3.2.3. 服務(wù)優(yōu)化通過(guò)優(yōu)化中間件系統(tǒng)資源，提高中間件系統(tǒng)服務(wù)安全性，詳見(jiàn)表26。表26 Apache服務(wù)優(yōu)化基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明5無(wú)用模塊禁用禁用無(wú)用模塊3.2.4. 安全防護(hù)通過(guò)對(duì)中間件配置參數(shù)調(diào)整，提高中間件系統(tǒng)安全性，詳見(jiàn)表27。表27 Apache安全防護(hù)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明6遍歷操作系統(tǒng)目錄（可選）禁止修改參數(shù)文件，禁止目錄遍歷7服務(wù)器應(yīng)答頭中的版本信息關(guān)閉隱藏版本信息，防止軟件版本信息泄漏8服務(wù)器生成頁(yè)面的頁(yè)腳中版本信息關(guān)閉不顯示服務(wù)器默認(rèn)歡迎頁(yè)面3.3. WAS中間件安全基線3.3.1. 用戶(hù)賬號(hào)與口令通過(guò)配置用戶(hù)賬號(hào)與口令安全策略，提高系統(tǒng)賬號(hào)與口令安全性，詳見(jiàn)表28。表28 WAS用戶(hù)賬號(hào)與口令基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明1賬號(hào)安全策略按照操作系統(tǒng)賬號(hào)管理規(guī)范執(zhí)行符合應(yīng)用系統(tǒng)運(yùn)行要求2口令安全策略按照操作系統(tǒng)口令管理規(guī)范執(zhí)行符合應(yīng)用系統(tǒng)運(yùn)行要求3.3.2. 日志與審計(jì)通過(guò)對(duì)系統(tǒng)的日志進(jìn)行安全控制與管理，提高日志的安全性與有效性，詳見(jiàn)表29。表29 WAS日志與審計(jì)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明3故障日志開(kāi)啟記錄相關(guān)日志4記錄級(jí)別Info記錄相關(guān)日志級(jí)別3.3.3. 服務(wù)優(yōu)化通過(guò)優(yōu)化系統(tǒng)資源，提高系統(tǒng)服務(wù)安全性，詳見(jiàn)表30。表30 WAS服務(wù)優(yōu)化基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明5file serving服務(wù)禁止開(kāi)啟用戶(hù)可能非法瀏覽應(yīng)用服務(wù)器目錄和文件6配置config和properties目錄權(quán)限755config和properties目錄權(quán)限不當(dāng)存在安全隱患3.3.4. 安全防護(hù)通過(guò)對(duì)系統(tǒng)配置參數(shù)調(diào)整，提高系統(tǒng)安全性，詳見(jiàn)表31。表31 WAS安全防護(hù)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明7刪除sample例子程序刪除示例域防止已知攻擊8連接會(huì)話超時(shí)控制10分鐘設(shè)置超時(shí)時(shí)間，控制用戶(hù)登錄會(huì)話9數(shù)據(jù)傳輸安全加密傳送在服務(wù)器console管理中瀏覽器與服務(wù)器傳輸信息配置SSL10設(shè)置控制臺(tái)會(huì)話最長(zhǎng)時(shí)間30分鐘控制臺(tái)會(huì)話timeout低于30分鐘3.3.5. 補(bǔ)丁管理通過(guò)進(jìn)行定期更新，達(dá)到管理基線，降低常見(jiàn)的的漏洞被利用，詳見(jiàn)表32。表32 WAS補(bǔ)丁管理基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明11安全補(bǔ)?。蛇x）按照系統(tǒng)管理室年度版本執(zhí)行根據(jù)應(yīng)用系統(tǒng)實(shí)際情況選擇4. 網(wǎng)絡(luò)設(shè)備安全基線技術(shù)要求4.1. Cisco路由器/交換機(jī)安全基線4.1.1. 系統(tǒng)管理通過(guò)配置網(wǎng)絡(luò)設(shè)備管理，提高系統(tǒng)運(yùn)維管理安全性，詳見(jiàn)表33。表33 Cisco系統(tǒng)管理基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明1遠(yuǎn)程ssh服務(wù)（可選）啟用采用ssh服務(wù)代替telnet服務(wù)管理網(wǎng)絡(luò)設(shè)備，提高設(shè)備管理安全性2認(rèn)證方式tacas/radius認(rèn)證啟用設(shè)備認(rèn)證3非管理員IP地址禁止配置訪問(wèn)控制列表，只允許管理員IP或網(wǎng)段能訪問(wèn)網(wǎng)絡(luò)設(shè)備管理服務(wù)4配置console端口口令認(rèn)證console需配置口令認(rèn)證信息5統(tǒng)一時(shí)間 接入統(tǒng)一NTP服務(wù)器保障生產(chǎn)環(huán)境所有設(shè)備時(shí)間統(tǒng)一4.1.2. 用戶(hù)賬號(hào)與口令通過(guò)配置網(wǎng)絡(luò)設(shè)備用戶(hù)賬號(hào)與口令安全策略，提高系統(tǒng)賬號(hào)與口令安全性，詳見(jiàn)表34。表34 Cisco用戶(hù)賬號(hào)與口令基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明6Service password口令加密采用service password-encryption7enable口令加密采用secret對(duì)口令進(jìn)行加密8賬號(hào)登錄空閑超時(shí)時(shí)間5分鐘設(shè)置console和vty的登錄超時(shí)時(shí)間5分鐘9口令最小長(zhǎng)度8位口令長(zhǎng)度為8個(gè)字符4.1.3. 日志與審計(jì)通過(guò)對(duì)網(wǎng)絡(luò)設(shè)備的日志進(jìn)行安全控制與管理，提高日志的安全性與有效性，詳見(jiàn)表35。表35 Cisco日志與審計(jì)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明10更改SNMP的團(tuán)體串（可選）更改SNMP Community修改默認(rèn)值public更改SNMP主機(jī)IP11系統(tǒng)日志存儲(chǔ)對(duì)接到網(wǎng)管日志服務(wù)器使用日志服務(wù)器接收與存儲(chǔ)主機(jī)日志，網(wǎng)管平臺(tái)統(tǒng)一管理12日志保存要求6個(gè)月等保三級(jí)要求日志必須保存6個(gè)月 4.1.4. 服務(wù)優(yōu)化通過(guò)優(yōu)化網(wǎng)絡(luò)設(shè)備，提高系統(tǒng)服務(wù)安全性，詳見(jiàn)表36。表36 Cisco服務(wù)優(yōu)化基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明13TCP、UDP Small服務(wù)（可選）禁止禁用無(wú)用服務(wù)14Finger服務(wù)禁止禁用無(wú)用服務(wù)15HTTP服務(wù)禁止禁用無(wú)用服務(wù)16HTTPS服務(wù)禁止禁用無(wú)用服務(wù)17BOOTp服務(wù)禁止禁用無(wú)用服務(wù)18IP Source Routing服務(wù)禁止禁用無(wú)用服務(wù)19ARP-Proxy服務(wù)禁止禁用無(wú)用服務(wù)20cdp服務(wù)（可選）禁止禁用無(wú)用服務(wù)(只適用于邊界設(shè)備)21FTP服務(wù)（可選）禁止禁用無(wú)用服務(wù)4.1.5. 訪問(wèn)控制通過(guò)對(duì)設(shè)備配置進(jìn)行調(diào)整，提高設(shè)備或網(wǎng)絡(luò)安全性，詳見(jiàn)表37。表37 Cisco訪問(wèn)控制基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明22login banner信息修改默認(rèn)值為警示語(yǔ)默認(rèn)值不為空23BGP認(rèn)證（可選）啟用加強(qiáng)路由信息安全24EIGRP認(rèn)證（可選）啟用加強(qiáng)路由信息安全25OSPF認(rèn)證（可選）啟用加強(qiáng)路由信息安全26RIPv2認(rèn)證（可選）啟用加強(qiáng)路由信息安全27MAC綁定（可選）IP+MAC+端口綁定重要服務(wù)器采用IP+MAC+端口綁定28網(wǎng)絡(luò)端口AUX（可選）關(guān)閉關(guān)閉沒(méi)用網(wǎng)絡(luò)端口4.2. H3C路由器/交換機(jī)安全基線4.2.1. 系統(tǒng)管理通過(guò)配置網(wǎng)絡(luò)設(shè)備管理，預(yù)防遠(yuǎn)程訪問(wèn)服務(wù)攻擊或非授權(quán)訪問(wèn)，提高網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理安全性，詳見(jiàn)表38。表38 H3C系統(tǒng)管理基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明1遠(yuǎn)程ssh服務(wù)（可選）啟用采用ssh服務(wù)代替telnet服務(wù)管理網(wǎng)絡(luò)設(shè)備，提高設(shè)備管理安全性2認(rèn)證方式tacas/radius認(rèn)證啟用設(shè)備認(rèn)證3非管理員IP地址禁止配置訪問(wèn)控制列表，只允許管理員IP或網(wǎng)段能訪問(wèn)網(wǎng)絡(luò)設(shè)備管理服務(wù)4配置console端口口令認(rèn)證console需配置口令認(rèn)證信息5統(tǒng)一時(shí)間 接入統(tǒng)一NTP服務(wù)器保障生產(chǎn)環(huán)境所有設(shè)備時(shí)間統(tǒng)一4.2.2. 用戶(hù)賬號(hào)與口令通過(guò)配置用戶(hù)賬號(hào)與口令安全策略，提高系統(tǒng)賬號(hào)與口令安全，詳見(jiàn)表39。表39 H3C用戶(hù)賬號(hào)與口令基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明6system口令加密方式采用cipher對(duì)口令進(jìn)行加密7賬號(hào)登錄空閑超時(shí)時(shí)間5分鐘設(shè)置console和vty的登錄超時(shí)時(shí)間5分鐘8口令最小長(zhǎng)度8位口令安全策略4.2.3. 日志與審計(jì)通過(guò)對(duì)網(wǎng)絡(luò)設(shè)備的日志進(jìn)行安全控制與管理，提高日志的安全性與有效性，詳見(jiàn)表40。表40 H3C日志與審計(jì)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明9系統(tǒng)日志接入到網(wǎng)管日志服務(wù)器使用網(wǎng)管平臺(tái)統(tǒng)一日志服務(wù)器接收與存儲(chǔ)10日志保存要求6個(gè)月等保三級(jí)要求日志必須保存6個(gè)月 4.2.4. 服務(wù)優(yōu)化通過(guò)優(yōu)化網(wǎng)絡(luò)設(shè)備資源，提高設(shè)備服務(wù)安全性，詳見(jiàn)表41。表41 H3C服務(wù)優(yōu)化基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明11http服務(wù)禁用關(guān)閉弱服務(wù)12FTP服務(wù)（可選）禁止禁用Ftp服務(wù)4.2.5. 訪問(wèn)控制通過(guò)對(duì)網(wǎng)絡(luò)設(shè)備配置參數(shù)調(diào)整，提高設(shè)備安全性，詳見(jiàn)表42。表42 H3C訪問(wèn)控制基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明13BGP認(rèn)證（可選）啟用加強(qiáng)路由信息安全14OSPF認(rèn)證（可選）啟用加強(qiáng)路由信息安全15RIPv2認(rèn)證（可選）啟用加強(qiáng)路由信息安全16統(tǒng)一時(shí)間 接入統(tǒng)一NTP服務(wù)器保障生產(chǎn)環(huán)境所有設(shè)備時(shí)間統(tǒng)一17重要服務(wù)器采用IP+MAC+端口綁定（可選）IP+MAC+端口綁定重要服務(wù)器采用IP+MAC+端口綁定18網(wǎng)絡(luò)端口AUX（可選）關(guān)閉關(guān)閉沒(méi)用網(wǎng)絡(luò)端口4.3. 防火墻安全基線4.3.1. 系統(tǒng)管理通過(guò)配置網(wǎng)絡(luò)設(shè)備管理，提高安全設(shè)備運(yùn)維管理安全性，詳見(jiàn)表43。表43 防火墻系統(tǒng)管理基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明1安全網(wǎng)絡(luò)登錄方式，SSH或者HTTPS啟用采用ssh(https)服務(wù)代替telnet(http)服務(wù)管理防火墻設(shè)備2限制登錄口令錄入時(shí)間30秒設(shè)置登錄口令錄入時(shí)間，建議為30秒3限制可登錄的訪問(wèn)地址配置管理客戶(hù)端IP 地址限制對(duì)特定工作站的管理能力4只接收管理流量的邏輯管理IP地址（可選）啟用網(wǎng)絡(luò)用戶(hù)流量分離管理流量大大增加了管理安全性，并確保了穩(wěn)定的管理帶寬5HTTP監(jiān)聽(tīng)端口號(hào)（可選）更改通過(guò)更改HTTP監(jiān)聽(tīng)端口號(hào)提高系統(tǒng)安全性6統(tǒng)一時(shí)間 接入統(tǒng)一NTP服務(wù)器保障生產(chǎn)環(huán)境所有設(shè)備時(shí)間統(tǒng)一4.3.2. 用戶(hù)賬號(hào)與口令通過(guò)配置網(wǎng)絡(luò)設(shè)備用戶(hù)賬號(hào)與口令安全策略，提高設(shè)備賬號(hào)與口令安全性，詳見(jiàn)表44。表44 防火墻用戶(hù)賬號(hào)與口令基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明7系統(tǒng)初始賬號(hào)和口令修改在完成初始配置后應(yīng)盡快修改缺省用戶(hù)名和口令口令最短長(zhǎng)度8位口令安全策略4.3.3. 日志與審計(jì)通過(guò)對(duì)網(wǎng)絡(luò)設(shè)備的日志進(jìn)行安全控制與管理，提高日志的安全性與有效性，詳見(jiàn)表45。表45 防火墻日志與審計(jì)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明8發(fā)起SNMP 連接限定源IP限制發(fā)起SNMP連接的源地址9信息流日志開(kāi)啟針對(duì)重要策略開(kāi)啟信息流日志10系統(tǒng)日志（可選)對(duì)接到統(tǒng)一網(wǎng)管日志服務(wù)器使用網(wǎng)管平臺(tái)統(tǒng)一日志服務(wù)器接收與存儲(chǔ)系統(tǒng)日志11日志保存要求（可選）6個(gè)月等保三級(jí)要求日志必須保存6個(gè)月 4.3.4. 安全防護(hù)通過(guò)對(duì)網(wǎng)絡(luò)設(shè)備配置參數(shù)調(diào)整，提高設(shè)備安全性，詳見(jiàn)表46。表46 防火墻安全防護(hù)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說(shuō)明12防火墻安全設(shè)置選項(xiàng)（可選）SYN Attack、ICMP Flood、UDP Flood、Port Scan ttack、 Limit session、SYN-ACK-ACK Proxy、SYN Fragment開(kāi)啟防攻擊選項(xiàng)包括：SYN Attack、ICMP Flood、UDP Flood、Port Scan Attack、 Limit session、SYN-ACK-ACK Proxy 保護(hù)、SYN Fragment（SYN 碎片）等。