信息系统安全基线.docx

信息系统安全基线.docx

《信息系统安全基线.docx》由会员分享，可在线阅读，更多相关《信息系统安全基线.docx（49页珍藏版）》请在冰豆网上搜索。

信息系统安全基线

1.操作系统安全基线技术要求

1.1.AIX系统安全基线

1.1.1.系统管理

经过配置操作系统运维管理安全策略，提升系统运维管理安全性，详见表1。

表1AIX系统管理基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

限制超级管理员

限制root

用户远程使用telnet

1

权限的用户远程

PermitRootLoginno

登

录（可选）

登录

2

使用动向口令令

安装动向口令

牌登录

3

配置本机接见控

配置/etc/,

安装TCPWrapper，提升对系统访

/etc/

制列表（可选）

问控制

1.1.2.

用户账号与口令

经过配置操作系统用户账号与口令安全策略，

提升系统账号与

口令安全性，详见表

2。

表2AIX系统用户账户与口令基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

daemon（禁用）

bin（禁用）

sys（禁用）

adm（禁用）

uucp（禁用）

清理剩余用户账号，限制系统默认

限制系统无用默认

4

账号登录

nuucp（禁用）

账号登录，同时，针对需要使用的

lpd（禁用）

用户，制定用户列表，并妥当保留

guest（禁用）

pconsole（禁用）

esaadmin（禁用）

sshd（禁用）

5

控制用户登录超时

10分钟

时间

控制用户登录会话，设置超不时间

6

8位

口令安全策略（口令为超级用户静

口令最小长度

态口令）

7

口令中最少非字母

1个

口令安全策略（口令为超级用户静

数字字符

态口令）

8

信息系统的口令的

90天

口令安全策略（口令为超级用户静

最大周期

态口令）

9

10次

口令安全策略（口令为超级用户静

口令不重复的次数

态口令）

1.1.3.日记与审计

经过对操作系统的日记进行安全控制与管理，提升日记的安全性，详见表3。

表3AIX

系统日记与审计基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

10

系统日记记录（可

authlog、sulog、wtmp、记录必要的日记信息，以便进行审

failedlogin

选）

计

11

系统日记储存（可

对接到一致日记服务

使用日记服务器接收与储存主机日

选）

器

志，网管平台一致管理

12

日记保留要求（可

6个月

6个月

等保三级要求日记一定保留

选）

13

配置日记系统文件

400

改正配置文件权限为管理员账号只

保护属性（可选）

读

修他日记文件保护

修改日志文件authlog

、wtmp、

14

400

sulog、failedlogin

权限（可选）

的权限管理员

账号只读

1.1.4.

服务优化

经过优化操作系统资源，提升系统服务安全性，详见表

4。

表4AIX

系统服务优化基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

15discard服务严禁网络测试服务，抛弃输入,为“拒

16

17

18

19

20

21

22

23

24

25

26

27

绝服务”攻击供给时机

除非正在

测试网络，不然禁用

网络测试服务，显示时间

为“拒

daytime

服务

严禁

绝服务”攻击供给时机

除非正在

测试网络，不然禁用

网络测试服务，回应随机字符串

chargen

服务

严禁

为“拒绝服务”攻击供给时机

除

非正在测试网络，不然禁用

comsat通知接收的电子邮件，以

comsat

服务

严禁

root

用户身份运转，所以波及安全

性,

除非需要接收邮件，不然禁用

ntalk

同意用户互相谈话，以

root

ntalk

服务

严禁

用户身份运转，除非绝对需要，否

则禁用

在网上两个用户间成立分区屏幕，

talk

服务

严禁

不是必要服务，与

talk

命令一同

使用，在端口517

供给UDP服务

tftp

以root

用户身份运转而且可能危

服务

严禁

及安全

ftp服务（可选）

严禁

防备非法接见目录风险

telnet

服务

严禁

远程接见服务

uucp

服务

严禁

除非有使用UUCP的应用程序，否

则禁用

dtspc

服务（可选）

严禁

CDE子过程控制不用图形管理则禁

用

klogin

服务（可

严禁

Kerberos

登录，假如站点使用

Kerberos

选）

认证则启用

kshell

服务（可

严禁

Kerberos

shell，如果站点使用

Kerberos

选）

认证则启用

1.1.5.接见控制

经过对操作系统安全权限参数进行调整，提升系统接见安全性，详见表5。

表5AIX

序号基线技术要求

28改正Umask权限

29

30重点文件权限控制

31

32

系统接见控制基线技术要求

基线标准点（参数）说明

022或027

要求改正默认文件权限

passwd

、group

、

security

设置/etc/passwd

，/etc/group

，

的全部者一定

是root

和security

/etc/security

等重点文件和目

组

录的权限

成员

audit

的全部者一定是

/etc/security/audit

的所有者

root和audit构成员

一定是root

和audit构成员

/etc/passwdrw-r--r--

/etc/passwd

目录权限为644

所

实用户可读，root用户可写

/etc/grouprw-r--r--

/etc/grouproot

目录权限为644

所实用户可读，root用户可写

33一致时间接入一致NTP服务器保障生产环境全部系统时间一致

1.2.Windows系统安全基线

1.2.1.用户账号与口令

经过配置操作系统用户账号与口令安全策略，

提升系统账号与

口令安全性，详见表6。

表6Windows系统用户账号与口令基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

1

口令一定切合复杂性

启用

口令安全策略（不波及终端及动

要求

态口令）

2

口令长度最小值

8位

口令安全策略（不波及终端）

3

口令最长使用限期

90

天

口令安全策略（不波及终端）

4

强迫口令历史

10

次

口令安全策略（不波及终端）

5

复位账号锁定计数器

10

分钟

账号锁定策略（不波及终端）

6账号锁准时间（可选）10分钟账号锁定策略（不波及终端）

7

账号锁定阀值（可选）

10次

账号锁定策略（不波及终端）

8

guest账号

严禁

禁用guest账号

9

administrator（可

重命名

保护administrator

安全

选）

10

无需账号检查与管理

禁用

禁用无需使用账号

1.2.2.日记与审计

经过对操作系统日记进行安全控制与管理，提升日记的安全性与有效性，详见表7。

表7Windows系统日记与审计基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

11

审查账号登录事件

成功与失败

日记审查策略

12

审查账号管理

成功与失败

日记审查策略

13

审查目录服务接见

成功

日记审查策略

14

审查登录事件

成功与失败

日记审查策略

15

审查策略改正

成功与失败

日记审查策略

16

审查系统事件

成功

日记审查策略

17

日记储存地点（可选）

接入到一致日记服务器

日记储存在一致日记服务器中

18

日记保留要求（可选）

6个月

等保三级要求日记保留

6个月

1.2.3.服务优化

经过优化系统资源，提升系统服务安全性，详见表8。

表8Windows系统服务优化基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

19

Alerter服务

严禁

严禁进度间发送信息服务

20

Clipbook（可选）

严禁

严禁机器间共享剪裁板上信息服务

21

ComputerBrowser服

严禁

严禁追踪网络上一个域内的机器服

务（可选）

务

22Messenger服务严禁严禁即时通信服务

23

RemoteRegistry

Service服务

严禁

严禁远程操作注册表服务

24

RoutingandRemote

Access服务

严禁

严禁路由和远程接见服务

25

PrintSpooler（可选）

严禁

严禁后台打印办理服务

26

AutomaticUpdates

服

严禁

严禁自动更新服务

务（可选）

27

TerminalService

服

严禁

严禁终端服务

务（可选）

1.2.4.

接见控制

经过对系统配置参数调整，提升系统安全性，详见表

9。

表9Windows系统接见控制基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

28

文件系统格式

NTFS

磁盘文件系统格式为

NTFS

29

桌面屏保

10分钟

桌面屏保策略

30

防病毒软件

安装赛门铁克

生产环境安装赛门铁克防病毒最

新版本软件

31

防病毒代码库升级时间

7天

严禁配置文件共享，若工作需要

32

文件共享（可选）

严禁

一定配置共享，须设置账号与口

令

33

系统自带防火墙（可选）

严禁

严禁自带防火墙

34

默认共享IPC$、ADMIN$、

严禁

安全控制选项优化

C$、D$等

35

不一样意匿名枚取SAM账

启用

网络接见安全控制选项优化

号与共享

36

不显示上一次的用户名

启用

交互式登录安全控制选项优化

37

控制驱动器

严禁

严禁自动运转

38

蓝屏后自动启动机器

严禁

严禁蓝屏后自动启动机器

（可选）

39

接入一致

NTP服务

一致时间

保障生产环境全部系统时间一致

器

1.2.5.

补丁管理

经过进行按期更新，降低常有的破绽被利用，详见表

10。

表10Windows系统补丁管理基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

40

win2003SP2

安全服务包

win2008SP1

安装微软最新的安全服务包

41

安全补丁（可选）更新到最新

依据实质需要更新安全补丁

1.3.

Linux系统安全基线

1.3.1.

系统管理

经过配置系统安全管理工具，提升系统运维管理的安全性，

详

见表11。

表11Linux系统管理基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

安装SSH管理远

OpenSSH为远程管理高安全性工

1

安装OpenSSH

程工具（可选）

具，保护管理过程中传输数据的

安全

安装TCPWrapper，提升对系统访

2

配置本机接见控

配置/etc/,

问控制

制列表（可选）

/etc/

1.3.2.用户账号与口令

经过配置Linux系统用户账号与口令安全策略，提升系统账号

与口令安全性，详见表12。

表12Linux系统用户账号与口令基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

严禁系统无用默

清理剩余用户账号，限制系统默

3

认账号登录

严禁

认账号登录，同时，针对需要使

1）Operator

用的用户，制定用户列表进行妥

2）

Halt

善保留

3）

Sync

4）

News

5）

Uucp

6）

Lp

7）

nobody

8）

Gopher

4

root远程登录

严禁

严禁root远程登录

5

口令使用最长周

90天

口令安全策略（超级用户口令）

期

6

口令过期提示修

28天

口令安全策略（超级用户口令）

改时间

7

口令最小长度

8位

口令安全策略

8

设置超不时间

10分钟

口令安全策略

1.3.3.

日记与审计

经过对Linux系统的日记进行安全控制与管理，提升日记的安

全性与有效性，详见表

13。

表13Linux

系统日记与审计基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

9

authpriv日记

记录网络设施启动、usermod、

记录安整日记

change等方面日记

10

使用一致日记服务器接收并储存

日记储存（可选）

接入到一致日记服务器

系统日记

11

6个月

等保三级要求日记一定保留

6个

日记保留时间

月

12

日记系统配置文

400

改正配置文件权限为管理员用户

件保护

只读

1.3.4.服务优化

经过优化Linux系统资源，提升系统服务安全性，详见表14。

表14Linux系统服务优化基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

13

ftp服务（可选）

严禁

文件上传服务

14

sendmail服务

严禁

邮件服务

15

klogin

服务（可

严禁

Kerberos

登录，假如站点使用

Kerberos

选）

认证则启用

16

kshell

服务（可

严禁

Kerberosshell，假如站点使用

Kerberos

选）

认证则启用

17

ntalk

服务

严禁

newtalk

18

tftp

服务

严禁

以root

用户身份运转可能危及

安全

19

imap

服务（可选）

严禁

邮件服务

20

pop3服务（可选）

严禁

邮件服务

21

telnet

服务（可

严禁

远程接见服务

选）

22

GUI服务（可选）

严禁

图形管理服务

23

xinetd服务（可选）

启动

增强系统安全

1.3.5.

接见控制

经过对Linux系统配置参数调整，提升系统安全性，详见表

15。

表15Linux

系统接见控制基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

24

Umask权限

022或027

改正默认文件权限

25

1）

/etc/passwd

目录权限

/etc/passwdrw-r--r

—

为644

所实用户可读，root

用户可写

26

重点文件权限

2）

/etc/shadow

目录权限

/etc/shadowr--------

为400

只有root可读

控制

27

3）

/etc/group

root目录权

/etc/grouprw-r--r

—

限为644

所实用户可读，root

用户可写

28一致时间接入一致NTP服务器保障生产环境全部系统时间一致

2.数据库安全基线技术要求

2.1.Oracle数据库系统安全基线

2.1.1.用户账号与口令

经过配置数据库系统用户账号与口令安全策略，提升数据库系统账号与口令安全性，详见表16。

表16Oracle系统用户账号与口令基线技术要求

序号基线技术要求基线标准点（参数）说明

Oracle无用账号

1

TIGER

禁用

禁用无用账号

SCOTT等

默认管理账号管理

2

SYSTEM

改正口令

账号安全策略（新系统）

DMSYS等

3

数据库自动登录

SYSDBA账号

严禁

账号安全策略

4

口令最小长度

8位

口令安全策略（新系统）

5

口令有效期

12个月

新系统履行此项要求

6

严禁使用已设置过

10次

的口令次数

口令安全策略

2.1.2.

日记与审计

经过对数据库系统的日记进行安全控制与管理，

提升日记的安

全性与有效性，详见表

17。

表17Oracle

系统日记与审计基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

7

日记保留要求（可选）3个月

日记一定保留

3个月

8

日记文件保护

启用

设置接见日记文件权限

2.1.3.接见控制

经过对数据库系统配置参数调整，提升数据库系统安全性，详

见表18。

表18Oracle

系统接见控制基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

9

监听程序加密（可选）设置口令

设置监听器口令（新系统）

10

改正服务监听默认端

非TCP1521

口（可选）

系统可履行此项要求

3.中间件安全基线技术要求

3.1.Tong（TongEASY、TongLINK

3.1.1.用户账号与口令

等）中间件安全基线

经过配置中间件用户账号与口令安全策略，提升系统账号与

口令安全，详见表19。