操作系統(tǒng)安全基線技術(shù)要求

1、.1. 操作系統(tǒng)安全基線技術(shù)要求1.1.1. AIX系統(tǒng)安全基線1.1.1. 系統(tǒng)管理通過配置操作系統(tǒng)運(yùn)維管理安全策略，提高系統(tǒng)運(yùn)維管理安全性，詳見表1。表1 AIX系統(tǒng)管理基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明1限制超級(jí)管理員權(quán)限的用戶遠(yuǎn)程登錄PermitRootLogin no限制root用戶遠(yuǎn)程使用telnet登錄（可選）2使用動(dòng)態(tài)口令令牌登錄安裝動(dòng)態(tài)口令3配置本機(jī)訪問控制列表（可選）配置/etc/hosts.allow,/etc/hosts.deny安裝TCP Wrapper，提高對(duì)系統(tǒng)訪問控制1.1.2. 用戶賬號(hào)與口令通過配置操作系統(tǒng)用戶賬號(hào)與口令安全策略，提高系統(tǒng)賬號(hào)

2、與口令安全性，詳見表2。表2 AIX系統(tǒng)用戶賬戶與口令基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明4限制系統(tǒng)無用默認(rèn)賬號(hào)登錄daemon（禁用）bin（禁用）sys（禁用）adm（禁用）uucp（禁用）nuucp（禁用）lpd（禁用）guest（禁用）pconsole（禁用）esaadmin（禁用）sshd（禁用）清理多余用戶賬號(hào)，限制系統(tǒng)默認(rèn)賬號(hào)登錄，同時(shí)，針對(duì)需要使用的用戶，制訂用戶列表，并妥善保存5控制用戶登錄超時(shí)時(shí)間10分鐘控制用戶登錄會(huì)話，設(shè)置超時(shí)時(shí)間6口令最小長(zhǎng)度8位口令安全策略（口令為超級(jí)用戶靜態(tài)口令）7口令中最少非字母數(shù)字字符1個(gè)口令安全策略（口令為超級(jí)用戶靜態(tài)口令）8信

3、息系統(tǒng)的口令的最大周期90天口令安全策略（口令為超級(jí)用戶靜態(tài)口令）9口令不重復(fù)的次數(shù)10次口令安全策略（口令為超級(jí)用戶靜態(tài)口令）1.1.3. 日志與審計(jì)通過對(duì)操作系統(tǒng)的日志進(jìn)行安全控制與管理，提高日志的安全性，詳見表3。表3 AIX系統(tǒng)日志與審計(jì)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明10系統(tǒng)日志記錄（可選）authlog、sulog、wtmp、failedlogin記錄必需的日志信息，以便進(jìn)行審計(jì)11系統(tǒng)日志存儲(chǔ)（可選)對(duì)接到統(tǒng)一日志服務(wù)器使用日志服務(wù)器接收與存儲(chǔ)主機(jī)日志，網(wǎng)管平臺(tái)統(tǒng)一管理12日志保存要求（可選）6個(gè)月等保三級(jí)要求日志必須保存6個(gè)月 13配置日志系統(tǒng)文件保護(hù)屬性（可

4、選）400修改配置文件syslog.conf權(quán)限為管理員賬號(hào)只讀14修改日志文件保護(hù)權(quán)限（可選）400修改日志文件authlog、wtmp、sulog、failedlogin的權(quán)限管理員賬號(hào)只讀1.1.4. 服務(wù)優(yōu)化通過優(yōu)化操作系統(tǒng)資源，提高系統(tǒng)服務(wù)安全性，詳見表4。表4 AIX系統(tǒng)服務(wù)優(yōu)化基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明15discard 服務(wù)禁止網(wǎng)絡(luò)測(cè)試服務(wù)，丟棄輸入, 為“拒絕服務(wù)”攻擊提供機(jī)會(huì), 除非正在測(cè)試網(wǎng)絡(luò)，否則禁用16daytime 服務(wù)禁止網(wǎng)絡(luò)測(cè)試服務(wù)，顯示時(shí)間, 為“拒絕服務(wù)”攻擊提供機(jī)會(huì), 除非正在測(cè)試網(wǎng)絡(luò)，否則禁用17chargen 服務(wù)禁止網(wǎng)絡(luò)測(cè)試服

5、務(wù)，回應(yīng)隨機(jī)字符串, 為“拒絕服務(wù)”攻擊提供機(jī)會(huì), 除非正在測(cè)試網(wǎng)絡(luò)，否則禁用18comsat 服務(wù)禁止comsat通知接收的電子郵件，以 root 用戶身份運(yùn)行，因此涉及安全性, 除非需要接收郵件，否則禁用19ntalk 服務(wù)禁止ntalk允許用戶相互交談，以 root 用戶身份運(yùn)行，除非絕對(duì)需要，否則禁用20talk 服務(wù)禁止在網(wǎng)上兩個(gè)用戶間建立分區(qū)屏幕，不是必需服務(wù)，與 talk 命令一起使用，在端口 517 提供 UDP 服務(wù)21tftp 服務(wù)禁止以 root 用戶身份運(yùn)行并且可能危及安全22ftp 服務(wù)（可選）禁止防范非法訪問目錄風(fēng)險(xiǎn)23telnet服務(wù)禁止遠(yuǎn)程訪問服務(wù)24uucp

6、服務(wù)禁止除非有使用 UUCP 的應(yīng)用程序，否則禁用25dtspc 服務(wù)（可選）禁止CDE 子過程控制不用圖形管理則禁用26klogin 服務(wù)（可選）禁止Kerberos 登錄，如果站點(diǎn)使用 Kerberos 認(rèn)證則啟用27kshell 服務(wù)（可選）禁止Kerberos shell，如果站點(diǎn)使用 Kerberos 認(rèn)證則啟用1.1.5. 訪問控制通過對(duì)操作系統(tǒng)安全權(quán)限參數(shù)進(jìn)行調(diào)整，提高系統(tǒng)訪問安全性，詳見表5。表5 AIX系統(tǒng)訪問控制基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明28修改Umask權(quán)限022或027要求修改默認(rèn)文件權(quán)限29關(guān)鍵文件權(quán)限控制passwd、group、securi

7、ty的所有者必須是root和security組成員設(shè)置/etc/passwd，/etc/group， /etc/security等關(guān)鍵文件和目錄的權(quán)限30audit的所有者必須是root和audit組成員/etc/security/audit的所有者必須是root和audit組成員31/etc/passwd rw-r-r-/etc/passwd目錄權(quán)限為 644所有用戶可讀，root用戶可寫32/etc/group rw-r-r-/etc/group root目錄權(quán)限為644所有用戶可讀，root用戶可寫 33統(tǒng)一時(shí)間 接入統(tǒng)一NTP服務(wù)器保障生產(chǎn)環(huán)境所有系統(tǒng)時(shí)間統(tǒng)一1.2. Windows系

8、統(tǒng)安全基線1.2.1. 用戶賬號(hào)與口令通過配置操作系統(tǒng)用戶賬號(hào)與口令安全策略，提高系統(tǒng)賬號(hào)與口令安全性，詳見表6。表6 Windows系統(tǒng)用戶賬號(hào)與口令基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明1口令必須符合復(fù)雜性要求啟用口令安全策略（不涉及終端及動(dòng)態(tài)口令）2口令長(zhǎng)度最小值8位口令安全策略（不涉及終端）3口令最長(zhǎng)使用期限90天口令安全策略（不涉及終端）4強(qiáng)制口令歷史10次口令安全策略（不涉及終端）5復(fù)位賬號(hào)鎖定計(jì)數(shù)器10分鐘賬號(hào)鎖定策略（不涉及終端）6賬號(hào)鎖定時(shí)間（可選）10分鐘賬號(hào)鎖定策略（不涉及終端）7賬號(hào)鎖定閥值（可選）10次賬號(hào)鎖定策略（不涉及終端）8guest賬號(hào)禁止禁用gu

9、est賬號(hào)9administrator（可選）重命名保護(hù)administrator安全10無需賬號(hào)檢查與管理禁用禁用無需使用賬號(hào)1.2.2. 日志與審計(jì)通過對(duì)操作系統(tǒng)日志進(jìn)行安全控制與管理，提高日志的安全性與有效性，詳見表7。表7 Windows系統(tǒng)日志與審計(jì)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明11審核賬號(hào)登錄事件成功與失敗日志審核策略12審核賬號(hào)管理成功與失敗日志審核策略13審核目錄服務(wù)訪問成功日志審核策略14審核登錄事件成功與失敗日志審核策略15審核策略更改成功與失敗日志審核策略16審核系統(tǒng)事件成功日志審核策略17日志存儲(chǔ)地址（可選）接入到統(tǒng)一日志服務(wù)器日志存儲(chǔ)在統(tǒng)一日志服務(wù)

10、器中18日志保存要求（可選）6個(gè)月等保三級(jí)要求日志保存6個(gè)月 1.2.3. 服務(wù)優(yōu)化通過優(yōu)化系統(tǒng)資源，提高系統(tǒng)服務(wù)安全性，詳見表8。表8 Windows系統(tǒng)服務(wù)優(yōu)化基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明19Alerter服務(wù)禁止禁止進(jìn)程間發(fā)送信息服務(wù)20Clipbook（可選）禁止禁止機(jī)器間共享剪裁板上信息服務(wù)21Computer Browser服務(wù)（可選）禁止禁止跟蹤網(wǎng)絡(luò)上一個(gè)域內(nèi)的機(jī)器服務(wù)22Messenger服務(wù)禁止禁止即時(shí)通訊服務(wù)23Remote Registry Service服務(wù)禁止禁止遠(yuǎn)程操作注冊(cè)表服務(wù)24Routing and Remote Access服務(wù)禁止禁止

11、路由和遠(yuǎn)程訪問服務(wù)25Print Spooler（可選）禁止禁止后臺(tái)打印處理服務(wù)26Automatic Updates服務(wù)（可選）禁止禁止自動(dòng)更新服務(wù)27Terminal Service服務(wù)（可選）禁止禁止終端服務(wù)1.2.4. 訪問控制通過對(duì)系統(tǒng)配置參數(shù)調(diào)整，提高系統(tǒng)安全性，詳見表9。表9 Windows系統(tǒng)訪問控制基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明28文件系統(tǒng)格式NTFS磁盤文件系統(tǒng)格式為NTFS29桌面屏保10分鐘桌面屏保策略30防病毒軟件安裝賽門鐵克生產(chǎn)環(huán)境安裝賽門鐵克防病毒最新版本軟件31防病毒代碼庫升級(jí)時(shí)間7天32文件共享（可選）禁止禁止配置文件共享，若工作需要必須配

12、置共享，須設(shè)置賬號(hào)與口令33系統(tǒng)自帶防火墻（可選）禁止禁止自帶防火墻34默認(rèn)共享IPC$、ADMIN$、C$、D$等禁止 安全控制選項(xiàng)優(yōu)化35不允許匿名枚取SAM賬號(hào)與共享啟用網(wǎng)絡(luò)訪問安全控制選項(xiàng)優(yōu)化36不顯示上次的用戶名啟用交互式登錄安全控制選項(xiàng)優(yōu)化37控制驅(qū)動(dòng)器禁止禁止自動(dòng)運(yùn)行38藍(lán)屏后自動(dòng)啟動(dòng)機(jī)器（可選）禁止禁止藍(lán)屏后自動(dòng)啟動(dòng)機(jī)器39統(tǒng)一時(shí)間 接入統(tǒng)一NTP服務(wù)器保障生產(chǎn)環(huán)境所有系統(tǒng)時(shí)間統(tǒng)一1.2.5. 補(bǔ)丁管理通過進(jìn)行定期更新，降低常見的漏洞被利用，詳見表10。表10 Windows系統(tǒng)補(bǔ)丁管理基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明40安全服務(wù)包win2003 SP2win

13、2008 SP1安裝微軟最新的安全服務(wù)包41安全補(bǔ)?。蛇x）更新到最新根據(jù)實(shí)際需要更新安全補(bǔ)丁1.3. Linux系統(tǒng)安全基線1.3.1. 系統(tǒng)管理通過配置系統(tǒng)安全管理工具，提高系統(tǒng)運(yùn)維管理的安全性，詳見表11。表11 Linux系統(tǒng)管理基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明1安裝SSH管理遠(yuǎn)程工具(可選)安裝OpenSSHOpenSSH為遠(yuǎn)程管理高安全性工具，保護(hù)管理過程中傳輸數(shù)據(jù)的安全2配置本機(jī)訪問控制列表（可選）配置/etc/hosts.allow,/etc/hosts.deny安裝TCP Wrapper，提高對(duì)系統(tǒng)訪問控制1.3.2. 用戶賬號(hào)與口令通過配置Linux系統(tǒng)用

14、戶賬號(hào)與口令安全策略，提高系統(tǒng)賬號(hào)與口令安全性，詳見表12。表12 Linux系統(tǒng)用戶賬號(hào)與口令基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明3禁止系統(tǒng)無用默認(rèn)賬號(hào)登錄1) Operator2) Halt3) Sync4) News5) Uucp6) Lp7) nobody8) Gopher禁止清理多余用戶賬號(hào)，限制系統(tǒng)默認(rèn)賬號(hào)登錄，同時(shí)，針對(duì)需要使用的用戶，制訂用戶列表進(jìn)行妥善保存4root遠(yuǎn)程登錄禁止禁止root遠(yuǎn)程登錄5口令使用最長(zhǎng)周期90天口令安全策略（超級(jí)用戶口令）6口令過期提示修改時(shí)間28天口令安全策略（超級(jí)用戶口令）7口令最小長(zhǎng)度8位口令安全策略8設(shè)置超時(shí)時(shí)間10分鐘口令安全

15、策略1.3.3. 日志與審計(jì)通過對(duì)Linux系統(tǒng)的日志進(jìn)行安全控制與管理，提高日志的安全性與有效性，詳見表13。表13 Linux系統(tǒng)日志與審計(jì)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明9記錄安全日志authpriv日志記錄網(wǎng)絡(luò)設(shè)備啟動(dòng)、usermod、change等方面日志10日志存儲(chǔ)（可選）接入到統(tǒng)一日志服務(wù)器使用統(tǒng)一日志服務(wù)器接收并存儲(chǔ)系統(tǒng)日志11日志保存時(shí)間6個(gè)月等保三級(jí)要求日志必須保存6個(gè)月 12日志系統(tǒng)配置文件保護(hù)400修改配置文件syslog.conf權(quán)限為管理員用戶只讀1.3.4. 服務(wù)優(yōu)化通過優(yōu)化Linux系統(tǒng)資源，提高系統(tǒng)服務(wù)安全性，詳見表14。表14 Linux系

16、統(tǒng)服務(wù)優(yōu)化基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明13ftp 服務(wù)（可選）禁止文件上傳服務(wù)14sendmail 服務(wù)禁止郵件服務(wù)15klogin 服務(wù)（可選）禁止Kerberos 登錄，如果站點(diǎn)使用 Kerberos 認(rèn)證則啟用16kshell 服務(wù)（可選）禁止Kerberos shell，如果站點(diǎn)使用 Kerberos 認(rèn)證則啟用17ntalk 服務(wù)禁止new talk18tftp 服務(wù)禁止以 root 用戶身份運(yùn)行可能危及安全19imap 服務(wù)（可選）禁止郵件服務(wù)20pop3服務(wù)（可選）禁止郵件服務(wù)21telnet 服務(wù)(可選 )禁止遠(yuǎn)程訪問服務(wù)22GUI服務(wù)（可選）禁止圖形管理

17、服務(wù)23xinetd服務(wù)（可選）啟動(dòng)增強(qiáng)系統(tǒng)安全1.3.5. 訪問控制通過對(duì)Linux系統(tǒng)配置參數(shù)調(diào)整，提高系統(tǒng)安全性，詳見表15。表15 Linux系統(tǒng)訪問控制基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明24Umask權(quán)限022或027修改默認(rèn)文件權(quán)限25關(guān)鍵文件權(quán)限控制1) /etc/passwd 目錄權(quán)限為644/etc/passwd rw-r-r所有用戶可讀，root用戶可寫262) /etc/shadow目錄權(quán)限為400 /etc/shadow r-只有root可讀 273) /etc/group root目錄權(quán)限為644/etc/group rw-r-r所有用戶可讀，root

18、用戶可寫 28統(tǒng)一時(shí)間接入統(tǒng)一NTP服務(wù)器保障生產(chǎn)環(huán)境所有系統(tǒng)時(shí)間統(tǒng)一2. 數(shù)據(jù)庫安全基線技術(shù)要求2.1. Oracle數(shù)據(jù)庫系統(tǒng)安全基線2.1.1. 用戶賬號(hào)與口令通過配置數(shù)據(jù)庫系統(tǒng)用戶賬號(hào)與口令安全策略，提高數(shù)據(jù)庫系統(tǒng)賬號(hào)與口令安全性，詳見表16。表16 Oracle系統(tǒng)用戶賬號(hào)與口令基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明1Oracle無用賬號(hào)TIGERSCOTT等禁用禁用無用賬號(hào)2默認(rèn)管理賬號(hào)管理SYSTEMDMSYS等更改口令賬號(hào)安全策略（新系統(tǒng)）3數(shù)據(jù)庫自動(dòng)登錄SYSDBA賬號(hào)禁止賬號(hào)安全策略4口令最小長(zhǎng)度8位口令安全策略（新系統(tǒng)）5口令有效期12個(gè)月新系統(tǒng)執(zhí)行此項(xiàng)要求6

19、禁止使用已設(shè)置過的口令次數(shù)10次口令安全策略2.1.2. 日志與審計(jì)通過對(duì)數(shù)據(jù)庫系統(tǒng)的日志進(jìn)行安全控制與管理，提高日志的安全性與有效性，詳見表17。表17 Oracle系統(tǒng)日志與審計(jì)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明7日志保存要求（可選）3個(gè)月日志必須保存3個(gè)月 8日志文件保護(hù)啟用設(shè)置訪問日志文件權(quán)限2.1.3. 訪問控制通過對(duì)數(shù)據(jù)庫系統(tǒng)配置參數(shù)調(diào)整，提高數(shù)據(jù)庫系統(tǒng)安全性，詳見表18。表18 Oracle系統(tǒng)訪問控制基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明9監(jiān)聽程序加密（可選）設(shè)置口令設(shè)置監(jiān)聽器口令（新系統(tǒng)）10修改服務(wù)監(jiān)聽默認(rèn)端口（可選）非TCP1521系統(tǒng)可執(zhí)行此

20、項(xiàng)要求3. 中間件安全基線技術(shù)要求4.3.1. Tong（TongEASY、TongLINK等）中間件安全基線3.1.1. 用戶賬號(hào)與口令通過配置中間件用戶賬號(hào)與口令安全策略，提高系統(tǒng)賬號(hào)與口令安全，詳見表19。表19 Tong用戶賬號(hào)與口令基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明1優(yōu)化Tong服務(wù)賬號(hào)和應(yīng)用共用同一用戶（可選）Tong和應(yīng)用共用同一用戶與操作系統(tǒng)應(yīng)用用戶保持一致3.1.2. 日志與審計(jì)通過對(duì)中間件的日志進(jìn)行安全控制與管理，保護(hù)日志的安全與有效性，詳見表20。表20 Tong日志與審計(jì)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明2事務(wù)包日志備份1.5GPktlo

21、g達(dá)到1.5G進(jìn)行備份3交易日志備份1.5GTxlog達(dá)到1.5G進(jìn)行備份4通信管理模塊運(yùn)行日志備份1.5GTonglink.log達(dá)到1.5G進(jìn)行備份5系統(tǒng)日志備份1.5Gsyslog達(dá)到1.5G進(jìn)行備份6名字服務(wù)日志備份1.5GNsfwdlog達(dá)到1.5G進(jìn)行備份7調(diào)試日志備份1.5GTestlog達(dá)到1.5G進(jìn)行備份8通信管理模塊錯(cuò)誤日志備份1.5GTonglink.err達(dá)到1.5G進(jìn)行備份9日志保存時(shí)間(可選)6個(gè)月等保三級(jí)要求日志必須保存6個(gè)月 3.1.3. 訪問控制通過配置中間件系統(tǒng)資源，提高中間件系統(tǒng)服務(wù)安全，詳見表21。表21 Tong訪問控制基線技術(shù)要求序號(hào)基線技術(shù)要求基線

22、標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明10共享內(nèi)存SHMMAX：4GSHMSEG： 3個(gè)以上SHMALL：12G根據(jù)不同操作系統(tǒng)調(diào)整Tong的3個(gè)核心參數(shù)11消息隊(duì)列MSGTQL ：4096MSGMAX：8192MSGMNB：16384設(shè)置Tong核心應(yīng)用系統(tǒng)程序進(jìn)行數(shù)據(jù)傳遞參數(shù)12信號(hào)燈Maxuproc：1000以上SEMMSL：13以上SEMMNS：26以上設(shè)置Tong信號(hào)燈參數(shù)13進(jìn)程數(shù)NPROC：2000以上MAXUP：1000以上設(shè)置同時(shí)運(yùn)行進(jìn)程數(shù)參數(shù)服務(wù)器應(yīng)答頭中的版本信息關(guān)閉隱藏版本信息，防止軟件版本信息泄漏3.1.4. 安全防護(hù)通過對(duì)中間件配置參數(shù)調(diào)整，提高中間件系統(tǒng)安全，詳見表22。表22 To

23、ng安全防護(hù)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明14數(shù)據(jù)傳輸安全根據(jù)應(yīng)用需求設(shè)置加密標(biāo)識(shí)根據(jù)應(yīng)用需求保護(hù)數(shù)據(jù)傳輸安全15守護(hù)進(jìn)程安全tldtmmonitmrcvtmsnd通信管理模塊、運(yùn)行監(jiān)控、接收處理、發(fā)送處理守護(hù)進(jìn)程處于常開狀態(tài)，隨時(shí)處理應(yīng)用程序的請(qǐng)求3.1.5. 補(bǔ)丁管理通過對(duì)Tong的補(bǔ)丁進(jìn)行定期更新，達(dá)到管理基線，防止常見的漏洞被利用，詳見表23。表23 Tong補(bǔ)丁管理基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明16安全補(bǔ)?。蛇x）根據(jù)實(shí)際需要更新根據(jù)實(shí)際需要更新安全補(bǔ)丁Tong4.2、Tong4.5、Tong4.6適用于AIX5.3以上版本3.2. Apach

24、e中間件安全基線3.2.1. 用戶賬號(hào)與口令通過配置中間件用戶賬號(hào)與口令安全策略，提高系統(tǒng)賬號(hào)與口令安全性，詳見表24。表24 Apache用戶賬號(hào)與口令基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明1優(yōu)化WEB服務(wù)賬號(hào)新建Apache可訪問80端口用戶賬號(hào)使用WAS中間件用戶安裝，root用戶啟動(dòng)3.2.2. 日志與審計(jì)通過對(duì)中間件的日志進(jìn)行安全控制與管理，提高日志的安全性與有效性，詳見表25。表25 Apache日志與審計(jì)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明2日志級(jí)別（可選）Info采用Info日志級(jí)別，分析問題時(shí)采用更高日志級(jí)別3錯(cuò)誤日志及記錄ErrorLog 配置錯(cuò)誤

25、日志文件名及位置4訪問日志（可選）CustomLog 配置訪問日志文件名及位置3.2.3. 服務(wù)優(yōu)化通過優(yōu)化中間件系統(tǒng)資源，提高中間件系統(tǒng)服務(wù)安全性，詳見表26。表26 Apache服務(wù)優(yōu)化基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明5無用模塊禁用禁用無用模塊3.2.4. 安全防護(hù)通過對(duì)中間件配置參數(shù)調(diào)整，提高中間件系統(tǒng)安全性，詳見表27。表27 Apache安全防護(hù)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明6遍歷操作系統(tǒng)目錄（可選）禁止修改參數(shù)文件，禁止目錄遍歷7服務(wù)器應(yīng)答頭中的版本信息關(guān)閉隱藏版本信息，防止軟件版本信息泄漏8服務(wù)器生成頁面的頁腳中版本信息關(guān)閉不顯示服務(wù)器默認(rèn)歡

26、迎頁面3.3. WAS中間件安全基線3.3.1. 用戶賬號(hào)與口令通過配置用戶賬號(hào)與口令安全策略，提高系統(tǒng)賬號(hào)與口令安全性，詳見表28。表28 WAS用戶賬號(hào)與口令基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明1賬號(hào)安全策略按照操作系統(tǒng)賬號(hào)管理規(guī)范執(zhí)行符合應(yīng)用系統(tǒng)運(yùn)行要求2口令安全策略按照操作系統(tǒng)口令管理規(guī)范執(zhí)行符合應(yīng)用系統(tǒng)運(yùn)行要求3.3.2. 日志與審計(jì)通過對(duì)系統(tǒng)的日志進(jìn)行安全控制與管理，提高日志的安全性與有效性，詳見表29。表29 WAS日志與審計(jì)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明3故障日志開啟記錄相關(guān)日志4記錄級(jí)別Info記錄相關(guān)日志級(jí)別3.3.3. 服務(wù)優(yōu)化通過優(yōu)化系

27、統(tǒng)資源，提高系統(tǒng)服務(wù)安全性，詳見表30。表30 WAS服務(wù)優(yōu)化基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明5服務(wù)禁止開啟用戶可能非法瀏覽應(yīng)用服務(wù)器目錄和文件6配置config和properties目錄權(quán)限755config和properties目錄權(quán)限不當(dāng)存在安全隱患3.3.4. 安全防護(hù)通過對(duì)系統(tǒng)配置參數(shù)調(diào)整，提高系統(tǒng)安全性，詳見表31。表31 WAS安全防護(hù)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明7刪除sample例子程序刪除示例域防止已知攻擊8連接會(huì)話超時(shí)控制10分鐘設(shè)置超時(shí)時(shí)間，控制用戶登錄會(huì)話9數(shù)據(jù)傳輸安全加密傳送在服務(wù)器console管理中瀏覽器與服務(wù)器傳輸信息配置

28、SSL10設(shè)置控制臺(tái)會(huì)話最長(zhǎng)時(shí)間30分鐘控制臺(tái)會(huì)話timeout低于30分鐘3.3.5. 補(bǔ)丁管理通過進(jìn)行定期更新，達(dá)到管理基線，降低常見的的漏洞被利用，詳見表32。表32 WAS補(bǔ)丁管理基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明11安全補(bǔ)?。蛇x）按照系統(tǒng)管理室年度版本執(zhí)行根據(jù)應(yīng)用系統(tǒng)實(shí)際情況選擇4. 網(wǎng)絡(luò)設(shè)備安全基線技術(shù)要求4.1. Cisco路由器/交換機(jī)安全基線4.1.1. 系統(tǒng)管理通過配置網(wǎng)絡(luò)設(shè)備管理，提高系統(tǒng)運(yùn)維管理安全性，詳見表33。表33 Cisco系統(tǒng)管理基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明1遠(yuǎn)程ssh服務(wù)（可選）啟用采用ssh服務(wù)代替telnet服務(wù)管

29、理網(wǎng)絡(luò)設(shè)備，提高設(shè)備管理安全性2認(rèn)證方式tacas/radius認(rèn)證啟用設(shè)備認(rèn)證3非管理員IP地址禁止配置訪問控制列表，只允許管理員IP或網(wǎng)段能訪問網(wǎng)絡(luò)設(shè)備管理服務(wù)4配置console端口口令認(rèn)證console需配置口令認(rèn)證信息5統(tǒng)一時(shí)間 接入統(tǒng)一NTP服務(wù)器保障生產(chǎn)環(huán)境所有設(shè)備時(shí)間統(tǒng)一4.1.2. 用戶賬號(hào)與口令通過配置網(wǎng)絡(luò)設(shè)備用戶賬號(hào)與口令安全策略，提高系統(tǒng)賬號(hào)與口令安全性，詳見表34。表34 Cisco用戶賬號(hào)與口令基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明6Service password口令加密采用service password-encryption7enable口令加密采

30、用secret對(duì)口令進(jìn)行加密8賬號(hào)登錄空閑超時(shí)時(shí)間5分鐘設(shè)置console和vty的登錄超時(shí)時(shí)間5分鐘9口令最小長(zhǎng)度8位口令長(zhǎng)度為8個(gè)字符4.1.3. 日志與審計(jì)通過對(duì)網(wǎng)絡(luò)設(shè)備的日志進(jìn)行安全控制與管理，提高日志的安全性與有效性，詳見表35。表35 Cisco日志與審計(jì)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明10更改SNMP的團(tuán)體串（可選）更改SNMP Community修改默認(rèn)值public更改SNMP主機(jī)IP11系統(tǒng)日志存儲(chǔ)對(duì)接到網(wǎng)管日志服務(wù)器使用日志服務(wù)器接收與存儲(chǔ)主機(jī)日志，網(wǎng)管平臺(tái)統(tǒng)一管理12日志保存要求6個(gè)月等保三級(jí)要求日志必須保存6個(gè)月 4.1.4. 服務(wù)優(yōu)化通過優(yōu)化網(wǎng)絡(luò)設(shè)

31、備，提高系統(tǒng)服務(wù)安全性，詳見表36。表36 Cisco服務(wù)優(yōu)化基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明13TCP、UDP Small服務(wù)（可選）禁止禁用無用服務(wù)14Finger服務(wù)禁止禁用無用服務(wù)15HTTP服務(wù)禁止禁用無用服務(wù)16HTTPS服務(wù)禁止禁用無用服務(wù)17BOOTp服務(wù)禁止禁用無用服務(wù)18IP Source Routing服務(wù)禁止禁用無用服務(wù)19ARP-Proxy服務(wù)禁止禁用無用服務(wù)20cdp服務(wù)（可選）禁止禁用無用服務(wù)(只適用于邊界設(shè)備)21FTP服務(wù)（可選）禁止禁用無用服務(wù)4.1.5. 訪問控制通過對(duì)設(shè)備配置進(jìn)行調(diào)整，提高設(shè)備或網(wǎng)絡(luò)安全性，詳見表37。表37 Cisco

32、訪問控制基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明22login banner信息修改默認(rèn)值為警示語默認(rèn)值不為空23BGP認(rèn)證（可選）啟用加強(qiáng)路由信息安全24EIGRP認(rèn)證（可選）啟用加強(qiáng)路由信息安全25OSPF認(rèn)證（可選）啟用加強(qiáng)路由信息安全26RIPv2認(rèn)證（可選）啟用加強(qiáng)路由信息安全27MAC綁定（可選）IP+MAC+端口綁定重要服務(wù)器采用IP+MAC+端口綁定28網(wǎng)絡(luò)端口AUX（可選）關(guān)閉關(guān)閉沒用網(wǎng)絡(luò)端口4.2. H3C路由器/交換機(jī)安全基線4.2.1. 系統(tǒng)管理通過配置網(wǎng)絡(luò)設(shè)備管理，預(yù)防遠(yuǎn)程訪問服務(wù)攻擊或非授權(quán)訪問，提高網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理安全性，詳見表38。表38 H3C系統(tǒng)管

33、理基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明1遠(yuǎn)程ssh服務(wù)（可選）啟用采用ssh服務(wù)代替telnet服務(wù)管理網(wǎng)絡(luò)設(shè)備，提高設(shè)備管理安全性2認(rèn)證方式tacas/radius認(rèn)證啟用設(shè)備認(rèn)證3非管理員IP地址禁止配置訪問控制列表，只允許管理員IP或網(wǎng)段能訪問網(wǎng)絡(luò)設(shè)備管理服務(wù)4配置console端口口令認(rèn)證console需配置口令認(rèn)證信息5統(tǒng)一時(shí)間 接入統(tǒng)一NTP服務(wù)器保障生產(chǎn)環(huán)境所有設(shè)備時(shí)間統(tǒng)一4.2.2. 用戶賬號(hào)與口令通過配置用戶賬號(hào)與口令安全策略，提高系統(tǒng)賬號(hào)與口令安全，詳見表39。表39 H3C用戶賬號(hào)與口令基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明6system口令加密

34、方式采用cipher對(duì)口令進(jìn)行加密7賬號(hào)登錄空閑超時(shí)時(shí)間5分鐘設(shè)置console和vty的登錄超時(shí)時(shí)間5分鐘8口令最小長(zhǎng)度8位口令安全策略4.2.3. 日志與審計(jì)通過對(duì)網(wǎng)絡(luò)設(shè)備的日志進(jìn)行安全控制與管理，提高日志的安全性與有效性，詳見表40。表40 H3C日志與審計(jì)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明9系統(tǒng)日志接入到網(wǎng)管日志服務(wù)器使用網(wǎng)管平臺(tái)統(tǒng)一日志服務(wù)器接收與存儲(chǔ)10日志保存要求6個(gè)月等保三級(jí)要求日志必須保存6個(gè)月 4.2.4. 服務(wù)優(yōu)化通過優(yōu)化網(wǎng)絡(luò)設(shè)備資源，提高設(shè)備服務(wù)安全性，詳見表41。表41 H3C服務(wù)優(yōu)化基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明11http服務(wù)禁用關(guān)閉弱服務(wù)12FTP服務(wù)（可選）禁止禁用Ftp服務(wù)4.2.5. 訪問控制通過對(duì)網(wǎng)絡(luò)設(shè)備配置參數(shù)調(diào)整，提高設(shè)備安全性，詳見表42。表42 H3C訪問控制基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明13BGP認(rèn)證（可選）啟用加強(qiáng)路由信息安全14OS