信息系統(tǒng)安全基線.doc
《信息系統(tǒng)安全基線.doc》由會(huì)員分享,可在線閱讀,更多相關(guān)《信息系統(tǒng)安全基線.doc(18頁珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
1. 操作系統(tǒng)安全基線技術(shù)要求1.1.1. AIX系統(tǒng)安全基線1.1.1. 系統(tǒng)管理通過配置操作系統(tǒng)運(yùn)維管理安全策略,提高系統(tǒng)運(yùn)維管理安全性,詳見表1。表1 AIX系統(tǒng)管理基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明1限制超級(jí)管理員權(quán)限的用戶遠(yuǎn)程登錄PermitRootLogin no限制root用戶遠(yuǎn)程使用telnet登錄(可選)2使用動(dòng)態(tài)口令令牌登錄安裝動(dòng)態(tài)口令3配置本機(jī)訪問控制列表(可選)配置/etc/hosts.allow,/etc/hosts.deny安裝TCP Wrapper,提高對(duì)系統(tǒng)訪問控制1.1.2. 用戶賬號(hào)與口令通過配置操作系統(tǒng)用戶賬號(hào)與口令安全策略,提高系統(tǒng)賬號(hào)與口令安全性,詳見表2。表2 AIX系統(tǒng)用戶賬戶與口令基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明4限制系統(tǒng)無用默認(rèn)賬號(hào)登錄daemon(禁用)bin(禁用)sys(禁用)adm(禁用)uucp(禁用)nuucp(禁用)lpd(禁用)guest(禁用)pconsole(禁用)esaadmin(禁用)sshd(禁用)清理多余用戶賬號(hào),限制系統(tǒng)默認(rèn)賬號(hào)登錄,同時(shí),針對(duì)需要使用的用戶,制訂用戶列表,并妥善保存5控制用戶登錄超時(shí)時(shí)間10分鐘控制用戶登錄會(huì)話,設(shè)置超時(shí)時(shí)間6口令最小長(zhǎng)度8位口令安全策略(口令為超級(jí)用戶靜態(tài)口令)7口令中最少非字母數(shù)字字符1個(gè)口令安全策略(口令為超級(jí)用戶靜態(tài)口令)8信息系統(tǒng)的口令的最大周期90天口令安全策略(口令為超級(jí)用戶靜態(tài)口令)9口令不重復(fù)的次數(shù)10次口令安全策略(口令為超級(jí)用戶靜態(tài)口令)1.1.3. 日志與審計(jì)通過對(duì)操作系統(tǒng)的日志進(jìn)行安全控制與管理,提高日志的安全性,詳見表3。表3 AIX系統(tǒng)日志與審計(jì)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明10系統(tǒng)日志記錄(可選)authlog、sulog、wtmp、failedlogin記錄必需的日志信息,以便進(jìn)行審計(jì)11系統(tǒng)日志存儲(chǔ)(可選)對(duì)接到統(tǒng)一日志服務(wù)器使用日志服務(wù)器接收與存儲(chǔ)主機(jī)日志,網(wǎng)管平臺(tái)統(tǒng)一管理12日志保存要求(可選)6個(gè)月等保三級(jí)要求日志必須保存6個(gè)月 13配置日志系統(tǒng)文件保護(hù)屬性(可選)400修改配置文件syslog.conf權(quán)限為管理員賬號(hào)只讀14修改日志文件保護(hù)權(quán)限(可選)400修改日志文件authlog、wtmp、sulog、failedlogin的權(quán)限管理員賬號(hào)只讀1.1.4. 服務(wù)優(yōu)化通過優(yōu)化操作系統(tǒng)資源,提高系統(tǒng)服務(wù)安全性,詳見表4。表4 AIX系統(tǒng)服務(wù)優(yōu)化基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明15discard 服務(wù)禁止網(wǎng)絡(luò)測(cè)試服務(wù),丟棄輸入, 為“拒絕服務(wù)”攻擊提供機(jī)會(huì), 除非正在測(cè)試網(wǎng)絡(luò),否則禁用16daytime 服務(wù)禁止網(wǎng)絡(luò)測(cè)試服務(wù),顯示時(shí)間, 為“拒絕服務(wù)”攻擊提供機(jī)會(huì), 除非正在測(cè)試網(wǎng)絡(luò),否則禁用17chargen 服務(wù)禁止網(wǎng)絡(luò)測(cè)試服務(wù),回應(yīng)隨機(jī)字符串, 為“拒絕服務(wù)”攻擊提供機(jī)會(huì), 除非正在測(cè)試網(wǎng)絡(luò),否則禁用18comsat 服務(wù)禁止comsat通知接收的電子郵件,以 root 用戶身份運(yùn)行,因此涉及安全性, 除非需要接收郵件,否則禁用19ntalk 服務(wù)禁止ntalk允許用戶相互交談,以 root 用戶身份運(yùn)行,除非絕對(duì)需要,否則禁用20talk 服務(wù)禁止在網(wǎng)上兩個(gè)用戶間建立分區(qū)屏幕,不是必需服務(wù),與 talk 命令一起使用,在端口 517 提供 UDP 服務(wù)21tftp 服務(wù)禁止以 root 用戶身份運(yùn)行并且可能危及安全22ftp 服務(wù)(可選)禁止防范非法訪問目錄風(fēng)險(xiǎn)23telnet服務(wù)禁止遠(yuǎn)程訪問服務(wù)24uucp 服務(wù)禁止除非有使用 UUCP 的應(yīng)用程序,否則禁用25dtspc 服務(wù)(可選)禁止CDE 子過程控制不用圖形管理則禁用26klogin 服務(wù)(可選)禁止Kerberos 登錄,如果站點(diǎn)使用 Kerberos 認(rèn)證則啟用27kshell 服務(wù)(可選)禁止Kerberos shell,如果站點(diǎn)使用 Kerberos 認(rèn)證則啟用1.1.5. 訪問控制通過對(duì)操作系統(tǒng)安全權(quán)限參數(shù)進(jìn)行調(diào)整,提高系統(tǒng)訪問安全性,詳見表5。表5 AIX系統(tǒng)訪問控制基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明28修改Umask權(quán)限022或027要求修改默認(rèn)文件權(quán)限29關(guān)鍵文件權(quán)限控制passwd、group、security的所有者必須是root和security組成員設(shè)置/etc/passwd,/etc/group, /etc/security等關(guān)鍵文件和目錄的權(quán)限30audit的所有者必須是root和audit組成員/etc/security/audit的所有者必須是root和audit組成員31/etc/passwd rw-r-r-/etc/passwd目錄權(quán)限為 644所有用戶可讀,root用戶可寫32/etc/group rw-r-r-/etc/group root目錄權(quán)限為644所有用戶可讀,root用戶可寫 33統(tǒng)一時(shí)間 接入統(tǒng)一NTP服務(wù)器保障生產(chǎn)環(huán)境所有系統(tǒng)時(shí)間統(tǒng)一1.2. Windows系統(tǒng)安全基線1.2.1. 用戶賬號(hào)與口令通過配置操作系統(tǒng)用戶賬號(hào)與口令安全策略,提高系統(tǒng)賬號(hào)與口令安全性,詳見表6。表6 Windows系統(tǒng)用戶賬號(hào)與口令基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明1口令必須符合復(fù)雜性要求啟用口令安全策略(不涉及終端及動(dòng)態(tài)口令)2口令長(zhǎng)度最小值8位口令安全策略(不涉及終端)3口令最長(zhǎng)使用期限90天口令安全策略(不涉及終端)4強(qiáng)制口令歷史10次口令安全策略(不涉及終端)5復(fù)位賬號(hào)鎖定計(jì)數(shù)器10分鐘賬號(hào)鎖定策略(不涉及終端)6賬號(hào)鎖定時(shí)間(可選)10分鐘賬號(hào)鎖定策略(不涉及終端)7賬號(hào)鎖定閥值(可選)10次賬號(hào)鎖定策略(不涉及終端)8guest賬號(hào)禁止禁用guest賬號(hào)9administrator(可選)重命名保護(hù)administrator安全10無需賬號(hào)檢查與管理禁用禁用無需使用賬號(hào)1.2.2. 日志與審計(jì)通過對(duì)操作系統(tǒng)日志進(jìn)行安全控制與管理,提高日志的安全性與有效性,詳見表7。表7 Windows系統(tǒng)日志與審計(jì)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明11審核賬號(hào)登錄事件成功與失敗日志審核策略12審核賬號(hào)管理成功與失敗日志審核策略13審核目錄服務(wù)訪問成功日志審核策略14審核登錄事件成功與失敗日志審核策略15審核策略更改成功與失敗日志審核策略16審核系統(tǒng)事件成功日志審核策略17日志存儲(chǔ)地址(可選)接入到統(tǒng)一日志服務(wù)器日志存儲(chǔ)在統(tǒng)一日志服務(wù)器中18日志保存要求(可選)6個(gè)月等保三級(jí)要求日志保存6個(gè)月 1.2.3. 服務(wù)優(yōu)化通過優(yōu)化系統(tǒng)資源,提高系統(tǒng)服務(wù)安全性,詳見表8。表8 Windows系統(tǒng)服務(wù)優(yōu)化基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明19Alerter服務(wù)禁止禁止進(jìn)程間發(fā)送信息服務(wù)20Clipbook(可選)禁止禁止機(jī)器間共享剪裁板上信息服務(wù)21Computer Browser服務(wù)(可選)禁止禁止跟蹤網(wǎng)絡(luò)上一個(gè)域內(nèi)的機(jī)器服務(wù)22Messenger服務(wù)禁止禁止即時(shí)通訊服務(wù)23Remote Registry Service服務(wù)禁止禁止遠(yuǎn)程操作注冊(cè)表服務(wù)24Routing and Remote Access服務(wù)禁止禁止路由和遠(yuǎn)程訪問服務(wù)25Print Spooler(可選)禁止禁止后臺(tái)打印處理服務(wù)26Automatic Updates服務(wù)(可選)禁止禁止自動(dòng)更新服務(wù)27Terminal Service服務(wù)(可選)禁止禁止終端服務(wù)1.2.4. 訪問控制通過對(duì)系統(tǒng)配置參數(shù)調(diào)整,提高系統(tǒng)安全性,詳見表9。表9 Windows系統(tǒng)訪問控制基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明28文件系統(tǒng)格式NTFS磁盤文件系統(tǒng)格式為NTFS29桌面屏保10分鐘桌面屏保策略30防病毒軟件安裝賽門鐵克生產(chǎn)環(huán)境安裝賽門鐵克防病毒最新版本軟件31防病毒代碼庫升級(jí)時(shí)間7天32文件共享(可選)禁止禁止配置文件共享,若工作需要必須配置共享,須設(shè)置賬號(hào)與口令33系統(tǒng)自帶防火墻(可選)禁止禁止自帶防火墻34默認(rèn)共享IPC$、ADMIN$、C$、D$等禁止 安全控制選項(xiàng)優(yōu)化35不允許匿名枚取SAM賬號(hào)與共享啟用網(wǎng)絡(luò)訪問安全控制選項(xiàng)優(yōu)化36不顯示上次的用戶名啟用交互式登錄安全控制選項(xiàng)優(yōu)化37控制驅(qū)動(dòng)器禁止禁止自動(dòng)運(yùn)行38藍(lán)屏后自動(dòng)啟動(dòng)機(jī)器(可選)禁止禁止藍(lán)屏后自動(dòng)啟動(dòng)機(jī)器39統(tǒng)一時(shí)間 接入統(tǒng)一NTP服務(wù)器保障生產(chǎn)環(huán)境所有系統(tǒng)時(shí)間統(tǒng)一1.2.5. 補(bǔ)丁管理通過進(jìn)行定期更新,降低常見的漏洞被利用,詳見表10。表10 Windows系統(tǒng)補(bǔ)丁管理基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明40安全服務(wù)包win2003 SP2win2008 SP1安裝微軟最新的安全服務(wù)包41安全補(bǔ)?。蛇x)更新到最新根據(jù)實(shí)際需要更新安全補(bǔ)丁1.3. Linux系統(tǒng)安全基線1.3.1. 系統(tǒng)管理通過配置系統(tǒng)安全管理工具,提高系統(tǒng)運(yùn)維管理的安全性,詳見表11。表11 Linux系統(tǒng)管理基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明1安裝SSH管理遠(yuǎn)程工具(可選)安裝OpenSSHOpenSSH為遠(yuǎn)程管理高安全性工具,保護(hù)管理過程中傳輸數(shù)據(jù)的安全2配置本機(jī)訪問控制列表(可選)配置/etc/hosts.allow,/etc/hosts.deny安裝TCP Wrapper,提高對(duì)系統(tǒng)訪問控制1.3.2. 用戶賬號(hào)與口令通過配置Linux系統(tǒng)用戶賬號(hào)與口令安全策略,提高系統(tǒng)賬號(hào)與口令安全性,詳見表12。表12 Linux系統(tǒng)用戶賬號(hào)與口令基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明3禁止系統(tǒng)無用默認(rèn)賬號(hào)登錄1) Operator2) Halt3) Sync4) News5) Uucp6) Lp7) nobody8) Gopher禁止清理多余用戶賬號(hào),限制系統(tǒng)默認(rèn)賬號(hào)登錄,同時(shí),針對(duì)需要使用的用戶,制訂用戶列表進(jìn)行妥善保存4root遠(yuǎn)程登錄禁止禁止root遠(yuǎn)程登錄5口令使用最長(zhǎng)周期90天口令安全策略(超級(jí)用戶口令)6口令過期提示修改時(shí)間28天口令安全策略(超級(jí)用戶口令)7口令最小長(zhǎng)度8位口令安全策略8設(shè)置超時(shí)時(shí)間10分鐘口令安全策略1.3.3. 日志與審計(jì)通過對(duì)Linux系統(tǒng)的日志進(jìn)行安全控制與管理,提高日志的安全性與有效性,詳見表13。表13 Linux系統(tǒng)日志與審計(jì)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明9記錄安全日志authpriv日志記錄網(wǎng)絡(luò)設(shè)備啟動(dòng)、usermod、change等方面日志10日志存儲(chǔ)(可選)接入到統(tǒng)一日志服務(wù)器使用統(tǒng)一日志服務(wù)器接收并存儲(chǔ)系統(tǒng)日志11日志保存時(shí)間6個(gè)月等保三級(jí)要求日志必須保存6個(gè)月 12日志系統(tǒng)配置文件保護(hù)400修改配置文件syslog.conf權(quán)限為管理員用戶只讀1.3.4. 服務(wù)優(yōu)化通過優(yōu)化Linux系統(tǒng)資源,提高系統(tǒng)服務(wù)安全性,詳見表14。表14 Linux系統(tǒng)服務(wù)優(yōu)化基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明13ftp 服務(wù)(可選)禁止文件上傳服務(wù)14sendmail 服務(wù)禁止郵件服務(wù)15klogin 服務(wù)(可選)禁止Kerberos 登錄,如果站點(diǎn)使用 Kerberos 認(rèn)證則啟用16kshell 服務(wù)(可選)禁止Kerberos shell,如果站點(diǎn)使用 Kerberos 認(rèn)證則啟用17ntalk 服務(wù)禁止new talk18tftp 服務(wù)禁止以 root 用戶身份運(yùn)行可能危及安全19imap 服務(wù)(可選)禁止郵件服務(wù)20pop3服務(wù)(可選)禁止郵件服務(wù)21telnet 服務(wù)(可選 )禁止遠(yuǎn)程訪問服務(wù)22GUI服務(wù)(可選)禁止圖形管理服務(wù)23xinetd服務(wù)(可選)啟動(dòng)增強(qiáng)系統(tǒng)安全1.3.5. 訪問控制通過對(duì)Linux系統(tǒng)配置參數(shù)調(diào)整,提高系統(tǒng)安全性,詳見表15。表15 Linux系統(tǒng)訪問控制基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明24Umask權(quán)限022或027修改默認(rèn)文件權(quán)限25關(guān)鍵文件權(quán)限控制1) /etc/passwd 目錄權(quán)限為644/etc/passwd rw-r-r所有用戶可讀,root用戶可寫262) /etc/shadow目錄權(quán)限為400 /etc/shadow r-只有root可讀 273) /etc/group root目錄權(quán)限為644/etc/group rw-r-r所有用戶可讀,root用戶可寫 28統(tǒng)一時(shí)間接入統(tǒng)一NTP服務(wù)器保障生產(chǎn)環(huán)境所有系統(tǒng)時(shí)間統(tǒng)一2. 數(shù)據(jù)庫安全基線技術(shù)要求2.1. Oracle數(shù)據(jù)庫系統(tǒng)安全基線2.1.1. 用戶賬號(hào)與口令通過配置數(shù)據(jù)庫系統(tǒng)用戶賬號(hào)與口令安全策略,提高數(shù)據(jù)庫系統(tǒng)賬號(hào)與口令安全性,詳見表16。表16 Oracle系統(tǒng)用戶賬號(hào)與口令基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明1Oracle無用賬號(hào)TIGERSCOTT等禁用禁用無用賬號(hào)2默認(rèn)管理賬號(hào)管理SYSTEMDMSYS等更改口令賬號(hào)安全策略(新系統(tǒng))3數(shù)據(jù)庫自動(dòng)登錄SYSDBA賬號(hào)禁止賬號(hào)安全策略4口令最小長(zhǎng)度8位口令安全策略(新系統(tǒng))5口令有效期12個(gè)月新系統(tǒng)執(zhí)行此項(xiàng)要求6禁止使用已設(shè)置過的口令次數(shù)10次口令安全策略2.1.2. 日志與審計(jì)通過對(duì)數(shù)據(jù)庫系統(tǒng)的日志進(jìn)行安全控制與管理,提高日志的安全性與有效性,詳見表17。表17 Oracle系統(tǒng)日志與審計(jì)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明7日志保存要求(可選)3個(gè)月日志必須保存3個(gè)月 8日志文件保護(hù)啟用設(shè)置訪問日志文件權(quán)限2.1.3. 訪問控制通過對(duì)數(shù)據(jù)庫系統(tǒng)配置參數(shù)調(diào)整,提高數(shù)據(jù)庫系統(tǒng)安全性,詳見表18。表18 Oracle系統(tǒng)訪問控制基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明9監(jiān)聽程序加密(可選)設(shè)置口令設(shè)置監(jiān)聽器口令(新系統(tǒng))10修改服務(wù)監(jiān)聽默認(rèn)端口(可選)非TCP1521系統(tǒng)可執(zhí)行此項(xiàng)要求3. 中間件安全基線技術(shù)要求4.3.1. Tong(TongEASY、TongLINK等)中間件安全基線3.1.1. 用戶賬號(hào)與口令通過配置中間件用戶賬號(hào)與口令安全策略,提高系統(tǒng)賬號(hào)與口令安全,詳見表19。表19 Tong用戶賬號(hào)與口令基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明1優(yōu)化Tong服務(wù)賬號(hào)和應(yīng)用共用同一用戶(可選)Tong和應(yīng)用共用同一用戶與操作系統(tǒng)應(yīng)用用戶保持一致3.1.2. 日志與審計(jì)通過對(duì)中間件的日志進(jìn)行安全控制與管理,保護(hù)日志的安全與有效性,詳見表20。表20 Tong日志與審計(jì)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明2事務(wù)包日志備份1.5GPktlog達(dá)到1.5G進(jìn)行備份3交易日志備份1.5GTxlog達(dá)到1.5G進(jìn)行備份4通信管理模塊運(yùn)行日志備份1.5GTonglink.log達(dá)到1.5G進(jìn)行備份5系統(tǒng)日志備份1.5Gsyslog達(dá)到1.5G進(jìn)行備份6名字服務(wù)日志備份1.5GNsfwdlog達(dá)到1.5G進(jìn)行備份7調(diào)試日志備份1.5GTestlog達(dá)到1.5G進(jìn)行備份8通信管理模塊錯(cuò)誤日志備份1.5GTonglink.err達(dá)到1.5G進(jìn)行備份9日志保存時(shí)間(可選)6個(gè)月等保三級(jí)要求日志必須保存6個(gè)月 3.1.3. 訪問控制通過配置中間件系統(tǒng)資源,提高中間件系統(tǒng)服務(wù)安全,詳見表21。表21 Tong訪問控制基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明10共享內(nèi)存SHMMAX:4GSHMSEG: 3個(gè)以上SHMALL:12G根據(jù)不同操作系統(tǒng)調(diào)整Tong的3個(gè)核心參數(shù)11消息隊(duì)列MSGTQL :4096MSGMAX:8192MSGMNB:16384設(shè)置Tong核心應(yīng)用系統(tǒng)程序進(jìn)行數(shù)據(jù)傳遞參數(shù)12信號(hào)燈Maxuproc:1000以上SEMMSL:13以上SEMMNS:26以上設(shè)置Tong信號(hào)燈參數(shù)13進(jìn)程數(shù)NPROC:2000以上MAXUP:1000以上設(shè)置同時(shí)運(yùn)行進(jìn)程數(shù)參數(shù)服務(wù)器應(yīng)答頭中的版本信息關(guān)閉隱藏版本信息,防止軟件版本信息泄漏3.1.4. 安全防護(hù)通過對(duì)中間件配置參數(shù)調(diào)整,提高中間件系統(tǒng)安全,詳見表22。表22 Tong安全防護(hù)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明14數(shù)據(jù)傳輸安全根據(jù)應(yīng)用需求設(shè)置加密標(biāo)識(shí)根據(jù)應(yīng)用需求保護(hù)數(shù)據(jù)傳輸安全15守護(hù)進(jìn)程安全tldtmmonitmrcvtmsnd通信管理模塊、運(yùn)行監(jiān)控、接收處理、發(fā)送處理守護(hù)進(jìn)程處于常開狀態(tài),隨時(shí)處理應(yīng)用程序的請(qǐng)求3.1.5. 補(bǔ)丁管理通過對(duì)Tong的補(bǔ)丁進(jìn)行定期更新,達(dá)到管理基線,防止常見的漏洞被利用,詳見表23。表23 Tong補(bǔ)丁管理基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明16安全補(bǔ)?。蛇x)根據(jù)實(shí)際需要更新根據(jù)實(shí)際需要更新安全補(bǔ)丁Tong4.2、Tong4.5、Tong4.6適用于AIX5.3以上版本3.2. Apache中間件安全基線3.2.1. 用戶賬號(hào)與口令通過配置中間件用戶賬號(hào)與口令安全策略,提高系統(tǒng)賬號(hào)與口令安全性,詳見表24。表24 Apache用戶賬號(hào)與口令基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明1優(yōu)化WEB服務(wù)賬號(hào)新建Apache可訪問80端口用戶賬號(hào)使用WAS中間件用戶安裝,root用戶啟動(dòng)3.2.2. 日志與審計(jì)通過對(duì)中間件的日志進(jìn)行安全控制與管理,提高日志的安全性與有效性,詳見表25。表25 Apache日志與審計(jì)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明2日志級(jí)別(可選)Info采用Info日志級(jí)別,分析問題時(shí)采用更高日志級(jí)別3錯(cuò)誤日志及記錄ErrorLog 配置錯(cuò)誤日志文件名及位置4訪問日志(可選)CustomLog 配置訪問日志文件名及位置3.2.3. 服務(wù)優(yōu)化通過優(yōu)化中間件系統(tǒng)資源,提高中間件系統(tǒng)服務(wù)安全性,詳見表26。表26 Apache服務(wù)優(yōu)化基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明5無用模塊禁用禁用無用模塊3.2.4. 安全防護(hù)通過對(duì)中間件配置參數(shù)調(diào)整,提高中間件系統(tǒng)安全性,詳見表27。表27 Apache安全防護(hù)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明6遍歷操作系統(tǒng)目錄(可選)禁止修改參數(shù)文件,禁止目錄遍歷7服務(wù)器應(yīng)答頭中的版本信息關(guān)閉隱藏版本信息,防止軟件版本信息泄漏8服務(wù)器生成頁面的頁腳中版本信息關(guān)閉不顯示服務(wù)器默認(rèn)歡迎頁面3.3. WAS中間件安全基線3.3.1. 用戶賬號(hào)與口令通過配置用戶賬號(hào)與口令安全策略,提高系統(tǒng)賬號(hào)與口令安全性,詳見表28。表28 WAS用戶賬號(hào)與口令基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明1賬號(hào)安全策略按照操作系統(tǒng)賬號(hào)管理規(guī)范執(zhí)行符合應(yīng)用系統(tǒng)運(yùn)行要求2口令安全策略按照操作系統(tǒng)口令管理規(guī)范執(zhí)行符合應(yīng)用系統(tǒng)運(yùn)行要求3.3.2. 日志與審計(jì)通過對(duì)系統(tǒng)的日志進(jìn)行安全控制與管理,提高日志的安全性與有效性,詳見表29。表29 WAS日志與審計(jì)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明3故障日志開啟記錄相關(guān)日志4記錄級(jí)別Info記錄相關(guān)日志級(jí)別3.3.3. 服務(wù)優(yōu)化通過優(yōu)化系統(tǒng)資源,提高系統(tǒng)服務(wù)安全性,詳見表30。表30 WAS服務(wù)優(yōu)化基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明5file serving服務(wù)禁止開啟用戶可能非法瀏覽應(yīng)用服務(wù)器目錄和文件6配置config和properties目錄權(quán)限755config和properties目錄權(quán)限不當(dāng)存在安全隱患3.3.4. 安全防護(hù)通過對(duì)系統(tǒng)配置參數(shù)調(diào)整,提高系統(tǒng)安全性,詳見表31。表31 WAS安全防護(hù)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明7刪除sample例子程序刪除示例域防止已知攻擊8連接會(huì)話超時(shí)控制10分鐘設(shè)置超時(shí)時(shí)間,控制用戶登錄會(huì)話9數(shù)據(jù)傳輸安全加密傳送在服務(wù)器console管理中瀏覽器與服務(wù)器傳輸信息配置SSL10設(shè)置控制臺(tái)會(huì)話最長(zhǎng)時(shí)間30分鐘控制臺(tái)會(huì)話timeout低于30分鐘3.3.5. 補(bǔ)丁管理通過進(jìn)行定期更新,達(dá)到管理基線,降低常見的的漏洞被利用,詳見表32。表32 WAS補(bǔ)丁管理基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明11安全補(bǔ)?。蛇x)按照系統(tǒng)管理室年度版本執(zhí)行根據(jù)應(yīng)用系統(tǒng)實(shí)際情況選擇4. 網(wǎng)絡(luò)設(shè)備安全基線技術(shù)要求4.1. Cisco路由器/交換機(jī)安全基線4.1.1. 系統(tǒng)管理通過配置網(wǎng)絡(luò)設(shè)備管理,提高系統(tǒng)運(yùn)維管理安全性,詳見表33。表33 Cisco系統(tǒng)管理基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明1遠(yuǎn)程ssh服務(wù)(可選)啟用采用ssh服務(wù)代替telnet服務(wù)管理網(wǎng)絡(luò)設(shè)備,提高設(shè)備管理安全性2認(rèn)證方式tacas/radius認(rèn)證啟用設(shè)備認(rèn)證3非管理員IP地址禁止配置訪問控制列表,只允許管理員IP或網(wǎng)段能訪問網(wǎng)絡(luò)設(shè)備管理服務(wù)4配置console端口口令認(rèn)證console需配置口令認(rèn)證信息5統(tǒng)一時(shí)間 接入統(tǒng)一NTP服務(wù)器保障生產(chǎn)環(huán)境所有設(shè)備時(shí)間統(tǒng)一4.1.2. 用戶賬號(hào)與口令通過配置網(wǎng)絡(luò)設(shè)備用戶賬號(hào)與口令安全策略,提高系統(tǒng)賬號(hào)與口令安全性,詳見表34。表34 Cisco用戶賬號(hào)與口令基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明6Service password口令加密采用service password-encryption7enable口令加密采用secret對(duì)口令進(jìn)行加密8賬號(hào)登錄空閑超時(shí)時(shí)間5分鐘設(shè)置console和vty的登錄超時(shí)時(shí)間5分鐘9口令最小長(zhǎng)度8位口令長(zhǎng)度為8個(gè)字符4.1.3. 日志與審計(jì)通過對(duì)網(wǎng)絡(luò)設(shè)備的日志進(jìn)行安全控制與管理,提高日志的安全性與有效性,詳見表35。表35 Cisco日志與審計(jì)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明10更改SNMP的團(tuán)體串(可選)更改SNMP Community修改默認(rèn)值public更改SNMP主機(jī)IP11系統(tǒng)日志存儲(chǔ)對(duì)接到網(wǎng)管日志服務(wù)器使用日志服務(wù)器接收與存儲(chǔ)主機(jī)日志,網(wǎng)管平臺(tái)統(tǒng)一管理12日志保存要求6個(gè)月等保三級(jí)要求日志必須保存6個(gè)月 4.1.4. 服務(wù)優(yōu)化通過優(yōu)化網(wǎng)絡(luò)設(shè)備,提高系統(tǒng)服務(wù)安全性,詳見表36。表36 Cisco服務(wù)優(yōu)化基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明13TCP、UDP Small服務(wù)(可選)禁止禁用無用服務(wù)14Finger服務(wù)禁止禁用無用服務(wù)15HTTP服務(wù)禁止禁用無用服務(wù)16HTTPS服務(wù)禁止禁用無用服務(wù)17BOOTp服務(wù)禁止禁用無用服務(wù)18IP Source Routing服務(wù)禁止禁用無用服務(wù)19ARP-Proxy服務(wù)禁止禁用無用服務(wù)20cdp服務(wù)(可選)禁止禁用無用服務(wù)(只適用于邊界設(shè)備)21FTP服務(wù)(可選)禁止禁用無用服務(wù)4.1.5. 訪問控制通過對(duì)設(shè)備配置進(jìn)行調(diào)整,提高設(shè)備或網(wǎng)絡(luò)安全性,詳見表37。表37 Cisco訪問控制基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明22login banner信息修改默認(rèn)值為警示語默認(rèn)值不為空23BGP認(rèn)證(可選)啟用加強(qiáng)路由信息安全24EIGRP認(rèn)證(可選)啟用加強(qiáng)路由信息安全25OSPF認(rèn)證(可選)啟用加強(qiáng)路由信息安全26RIPv2認(rèn)證(可選)啟用加強(qiáng)路由信息安全27MAC綁定(可選)IP+MAC+端口綁定重要服務(wù)器采用IP+MAC+端口綁定28網(wǎng)絡(luò)端口AUX(可選)關(guān)閉關(guān)閉沒用網(wǎng)絡(luò)端口4.2. H3C路由器/交換機(jī)安全基線4.2.1. 系統(tǒng)管理通過配置網(wǎng)絡(luò)設(shè)備管理,預(yù)防遠(yuǎn)程訪問服務(wù)攻擊或非授權(quán)訪問,提高網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理安全性,詳見表38。表38 H3C系統(tǒng)管理基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明1遠(yuǎn)程ssh服務(wù)(可選)啟用采用ssh服務(wù)代替telnet服務(wù)管理網(wǎng)絡(luò)設(shè)備,提高設(shè)備管理安全性2認(rèn)證方式tacas/radius認(rèn)證啟用設(shè)備認(rèn)證3非管理員IP地址禁止配置訪問控制列表,只允許管理員IP或網(wǎng)段能訪問網(wǎng)絡(luò)設(shè)備管理服務(wù)4配置console端口口令認(rèn)證console需配置口令認(rèn)證信息5統(tǒng)一時(shí)間 接入統(tǒng)一NTP服務(wù)器保障生產(chǎn)環(huán)境所有設(shè)備時(shí)間統(tǒng)一4.2.2. 用戶賬號(hào)與口令通過配置用戶賬號(hào)與口令安全策略,提高系統(tǒng)賬號(hào)與口令安全,詳見表39。表39 H3C用戶賬號(hào)與口令基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明6system口令加密方式采用cipher對(duì)口令進(jìn)行加密7賬號(hào)登錄空閑超時(shí)時(shí)間5分鐘設(shè)置console和vty的登錄超時(shí)時(shí)間5分鐘8口令最小長(zhǎng)度8位口令安全策略4.2.3. 日志與審計(jì)通過對(duì)網(wǎng)絡(luò)設(shè)備的日志進(jìn)行安全控制與管理,提高日志的安全性與有效性,詳見表40。表40 H3C日志與審計(jì)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明9系統(tǒng)日志接入到網(wǎng)管日志服務(wù)器使用網(wǎng)管平臺(tái)統(tǒng)一日志服務(wù)器接收與存儲(chǔ)10日志保存要求6個(gè)月等保三級(jí)要求日志必須保存6個(gè)月 4.2.4. 服務(wù)優(yōu)化通過優(yōu)化網(wǎng)絡(luò)設(shè)備資源,提高設(shè)備服務(wù)安全性,詳見表41。表41 H3C服務(wù)優(yōu)化基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明11http服務(wù)禁用關(guān)閉弱服務(wù)12FTP服務(wù)(可選)禁止禁用Ftp服務(wù)4.2.5. 訪問控制通過對(duì)網(wǎng)絡(luò)設(shè)備配置參數(shù)調(diào)整,提高設(shè)備安全性,詳見表42。表42 H3C訪問控制基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明13BGP認(rèn)證(可選)啟用加強(qiáng)路由信息安全14OSPF認(rèn)證(可選)啟用加強(qiáng)路由信息安全15RIPv2認(rèn)證(可選)啟用加強(qiáng)路由信息安全16統(tǒng)一時(shí)間 接入統(tǒng)一NTP服務(wù)器保障生產(chǎn)環(huán)境所有設(shè)備時(shí)間統(tǒng)一17重要服務(wù)器采用IP+MAC+端口綁定(可選)IP+MAC+端口綁定重要服務(wù)器采用IP+MAC+端口綁定18網(wǎng)絡(luò)端口AUX(可選)關(guān)閉關(guān)閉沒用網(wǎng)絡(luò)端口4.3. 防火墻安全基線4.3.1. 系統(tǒng)管理通過配置網(wǎng)絡(luò)設(shè)備管理,提高安全設(shè)備運(yùn)維管理安全性,詳見表43。表43 防火墻系統(tǒng)管理基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明1安全網(wǎng)絡(luò)登錄方式,SSH或者HTTPS啟用采用ssh(https)服務(wù)代替telnet(http)服務(wù)管理防火墻設(shè)備2限制登錄口令錄入時(shí)間30秒設(shè)置登錄口令錄入時(shí)間,建議為30秒3限制可登錄的訪問地址配置管理客戶端IP 地址限制對(duì)特定工作站的管理能力4只接收管理流量的邏輯管理IP地址(可選)啟用網(wǎng)絡(luò)用戶流量分離管理流量大大增加了管理安全性,并確保了穩(wěn)定的管理帶寬5HTTP監(jiān)聽端口號(hào)(可選)更改通過更改HTTP監(jiān)聽端口號(hào)提高系統(tǒng)安全性6統(tǒng)一時(shí)間 接入統(tǒng)一NTP服務(wù)器保障生產(chǎn)環(huán)境所有設(shè)備時(shí)間統(tǒng)一4.3.2. 用戶賬號(hào)與口令通過配置網(wǎng)絡(luò)設(shè)備用戶賬號(hào)與口令安全策略,提高設(shè)備賬號(hào)與口令安全性,詳見表44。表44 防火墻用戶賬號(hào)與口令基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明7系統(tǒng)初始賬號(hào)和口令修改在完成初始配置后應(yīng)盡快修改缺省用戶名和口令口令最短長(zhǎng)度8位口令安全策略4.3.3. 日志與審計(jì)通過對(duì)網(wǎng)絡(luò)設(shè)備的日志進(jìn)行安全控制與管理,提高日志的安全性與有效性,詳見表45。表45 防火墻日志與審計(jì)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明8發(fā)起SNMP 連接限定源IP限制發(fā)起SNMP連接的源地址9信息流日志開啟針對(duì)重要策略開啟信息流日志10系統(tǒng)日志(可選)對(duì)接到統(tǒng)一網(wǎng)管日志服務(wù)器使用網(wǎng)管平臺(tái)統(tǒng)一日志服務(wù)器接收與存儲(chǔ)系統(tǒng)日志11日志保存要求(可選)6個(gè)月等保三級(jí)要求日志必須保存6個(gè)月 4.3.4. 安全防護(hù)通過對(duì)網(wǎng)絡(luò)設(shè)備配置參數(shù)調(diào)整,提高設(shè)備安全性,詳見表46。表46 防火墻安全防護(hù)基線技術(shù)要求序號(hào)基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)(參數(shù))說明12防火墻安全設(shè)置選項(xiàng)(可選)SYN Attack、ICMP Flood、UDP Flood、Port Scan ttack、 Limit session、SYN-ACK-ACK Proxy、SYN Fragment開啟防攻擊選項(xiàng)包括:SYN Attack、ICMP Flood、UDP Flood、Port Scan Attack、 Limit session、SYN-ACK-ACK Proxy 保護(hù)、SYN Fragment(SYN 碎片)等。- 1.請(qǐng)仔細(xì)閱讀文檔,確保文檔完整性,對(duì)于不預(yù)覽、不比對(duì)內(nèi)容而直接下載帶來的問題本站不予受理。
- 2.下載的文檔,不會(huì)出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請(qǐng)點(diǎn)此認(rèn)領(lǐng)!既往收益都?xì)w您。
下載文檔到電腦,查找使用更方便
32 積分
下載 |
- 配套講稿:
如PPT文件的首頁顯示word圖標(biāo),表示該P(yáng)PT已包含配套word講稿。雙擊word圖標(biāo)可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國(guó)旗、國(guó)徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計(jì)者僅對(duì)作品中獨(dú)創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 信息系統(tǒng)安全 基線
鏈接地址:http://m.italysoccerbets.com/p-1572376.html