信息系统安全基线.docx

信息系统安全基线.docx

《信息系统安全基线.docx》由会员分享，可在线阅读，更多相关《信息系统安全基线.docx（30页珍藏版）》请在冰豆网上搜索。

信息系统安全基线

1.操作系统安全基线技术要求

1.

1.1.AIX系统安全基线

1.1.1.系统管理

通过配置操作系统运维管理安全策略，提高系统运维管理安全性，详见表1。

表1AIX系统管理基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

1

限制超级管理员权限的用户远程登录

PermitRootLoginno

限制root用户远程使用telnet登录（可选）

2

使用动态口令令牌登录

安装动态口令

3

配置本机访问控制列表（可选）

配置/etc/hosts.allow,

/etc/hosts.deny

安装TCPWrapper，提高对系统访问控制

1.1.2.用户账号与口令

通过配置操作系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表2。

表2AIX系统用户账户与口令基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

4

限制系统无用默认账号登录

daemon（禁用）

bin（禁用）

sys（禁用）

adm（禁用）

uucp（禁用）

nuucp（禁用）

lpd（禁用）

guest（禁用）

pconsole（禁用）

esaadmin（禁用）

sshd（禁用）

清理多余用户账号，限制系统默认账号登录，同时，针对需要使用的用户，制订用户列表，并妥善保存

5

控制用户登录超时时间

10分钟

控制用户登录会话，设置超时时间

6

口令最小长度

8位

口令安全策略（口令为超级用户静态口令）

7

口令中最少非字母数字字符

1个

口令安全策略（口令为超级用户静态口令）

8

信息系统的口令的最大周期

90天

口令安全策略（口令为超级用户静态口令）

9

口令不重复的次数

10次

口令安全策略（口令为超级用户静态口令）

1.1.3.日志与审计

通过对操作系统的日志进行安全控制与管理，提高日志的安全性，详见表3。

表3AIX系统日志与审计基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

10

系统日志记录（可选）

authlog、sulog、wtmp、failedlogin

记录必需的日志信息，以便进行审计

11

系统日志存储（可选）

对接到统一日志服务器

使用日志服务器接收与存储主机日志，网管平台统一管理

12

日志保存要求（可选）

6个月

等保三级要求日志必须保存6个月

13

配置日志系统文件保护属性（可选）

400

修改配置文件syslog.conf权限为管理员账号只读

14

修改日志文件保护权限（可选）

400

修改日志文件authlog、wtmp、sulog、failedlogin的权限管理员账号只读

1.1.4.服务优化

通过优化操作系统资源，提高系统服务安全性，详见表4。

表4AIX系统服务优化基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

15

discard服务

禁止

网络测试服务，丢弃输入,为“拒绝服务”攻击提供机会,除非正在测试网络，否则禁用

16

daytime服务

禁止

网络测试服务，显示时间,为“拒绝服务”攻击提供机会,除非正在测试网络，否则禁用

17

chargen服务

禁止

网络测试服务，回应随机字符串,为“拒绝服务”攻击提供机会,除非正在测试网络，否则禁用

18

comsat服务

禁止

comsat通知接收的电子邮件，以root用户身份运行，因此涉及安全性,除非需要接收邮件，否则禁用

19

ntalk服务

禁止

ntalk允许用户相互交谈，以root用户身份运行，除非绝对需要，否则禁用

20

talk服务

禁止

在网上两个用户间建立分区屏幕，不是必需服务，与talk命令一起使用，在端口517提供UDP服务

21

tftp服务

禁止

以root用户身份运行并且可能危及安全

22

ftp服务（可选）

禁止

防范非法访问目录风险

23

telnet服务

禁止

远程访问服务

24

uucp服务

禁止

除非有使用UUCP的应用程序，否则禁用

25

dtspc服务（可选）

禁止

CDE子过程控制不用图形管理则禁用

26

klogin服务（可选）

禁止

Kerberos登录，如果站点使用Kerberos认证则启用

27

kshell服务（可选）

禁止

Kerberosshell，如果站点使用Kerberos认证则启用

1.1.5.访问控制

通过对操作系统安全权限参数进行调整，提高系统访问安全性，详见表5。

表5AIX系统访问控制基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

28

修改Umask权限

022或027

要求修改默认文件权限

29

关键文件权限控制

passwd、group、security的所有者必须是root和security组成员

设置/etc/passwd，/etc/group，

/etc/security等关键文件和目录的权限

30

audit的所有者必须是root和audit组成员

/etc/security/audit的所有者必须是root和audit组成员

31

/etc/passwdrw-r--r--

/etc/passwd目录权限为644所有用户可读，root用户可写

32

/etc/grouprw-r--r--

/etc/grouproot目录权限为644

所有用户可读，root用户可写

33

统一时间

接入统一NTP服务器

保障生产环境所有系统时间统一

1.2.Windows系统安全基线

1.2.1.用户账号与口令

通过配置操作系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表6。

表6Windows系统用户账号与口令基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

1

口令必须符合复杂性要求

启用

口令安全策略（不涉及终端及动态口令）

2

口令长度最小值

8位

口令安全策略（不涉及终端）

3

口令最长使用期限

90天

口令安全策略（不涉及终端）

4

强制口令历史

10次

口令安全策略（不涉及终端）

5

复位账号锁定计数器

10分钟

账号锁定策略（不涉及终端）

6

账号锁定时间（可选）

10分钟

账号锁定策略（不涉及终端）

7

账号锁定阀值（可选）

10次

账号锁定策略（不涉及终端）

8

guest账号

禁止

禁用guest账号

9

administrator（可选）

重命名

保护administrator安全

10

无需账号检查与管理

禁用

禁用无需使用账号

1.2.2.日志与审计

通过对操作系统日志进行安全控制与管理，提高日志的安全性与有效性，详见表7。

表7Windows系统日志与审计基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

11

审核账号登录事件

成功与失败

日志审核策略

12

审核账号管理

成功与失败

日志审核策略

13

审核目录服务访问

成功

日志审核策略

14

审核登录事件

成功与失败

日志审核策略

15

审核策略更改

成功与失败

日志审核策略

16

审核系统事件

成功

日志审核策略

17

日志存储地址（可选）

接入到统一日志服务器

日志存储在统一日志服务器中

18

日志保存要求（可选）

6个月

等保三级要求日志保存6个月

1.2.3.服务优化

通过优化系统资源，提高系统服务安全性，详见表8。

表8Windows系统服务优化基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

19

Alerter服务

禁止

禁止进程间发送信息服务

20

Clipbook（可选）

禁止

禁止机器间共享剪裁板上信息服务

21

ComputerBrowser服务（可选）

禁止

禁止跟踪网络上一个域内的机器服务

22

Messenger服务

禁止

禁止即时通讯服务

23

RemoteRegistryService服务

禁止

禁止远程操作注册表服务

24

RoutingandRemoteAccess服务

禁止

禁止路由和远程访问服务

25

PrintSpooler（可选）

禁止

禁止后台打印处理服务

26

AutomaticUpdates服务（可选）

禁止

禁止自动更新服务

27

TerminalService服务（可选）

禁止

禁止终端服务

1.2.4.访问控制

通过对系统配置参数调整，提高系统安全性，详见表9。

表9Windows系统访问控制基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

28

文件系统格式

NTFS

磁盘文件系统格式为NTFS

29

桌面屏保

10分钟

桌面屏保策略

30

防病毒软件

安装赛门铁克

生产环境安装赛门铁克防病毒最新版本软件

31

防病毒代码库升级时间

7天

32

文件共享（可选）

禁止

禁止配置文件共享，若工作需要必须配置共享，须设置账号与口令

33

系统自带防火墙（可选）

禁止

禁止自带防火墙

34

默认共享IPC$、ADMIN$、C$、D$等

禁止

安全控制选项优化

35

不允许匿名枚取SAM账号与共享

启用

网络访问安全控制选项优化

36

不显示上次的用户名

启用

交互式登录安全控制选项优化

37

控制驱动器

禁止

禁止自动运行

38

蓝屏后自动启动机器（可选）

禁止

禁止蓝屏后自动启动机器

39

统一时间

接入统一NTP服务器

保障生产环境所有系统时间统一

1.2.5.补丁管理

通过进行定期更新，降低常见的漏洞被利用，详见表10。

表10Windows系统补丁管理基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

40

安全服务包

win2003SP2

win2008SP1

安装微软最新的安全服务包

41

安全补丁（可选）

更新到最新

根据实际需要更新安全补丁

1.3.Linux系统安全基线

1.3.1.系统管理

通过配置系统安全管理工具，提高系统运维管理的安全性，详见表11。

表11Linux系统管理基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

1

安装SSH管理远程工具（可选）

安装OpenSSH

OpenSSH为远程管理高安全性工具，保护管理过程中传输数据的安全

2

配置本机访问控制列表（可选）

配置/etc/hosts.allow,

/etc/hosts.deny

安装TCPWrapper，提高对系统访问控制

1.3.2.用户账号与口令

通过配置Linux系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表12。

表12Linux系统用户账号与口令基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

3

禁止系统无用默认账号登录

1）Operator

2）Halt

3）Sync

4）News

5）Uucp

6）Lp

7）nobody

8）Gopher

禁止

清理多余用户账号，限制系统默认账号登录，同时，针对需要使用的用户，制订用户列表进行妥善保存

4

root远程登录

禁止

禁止root远程登录

5

口令使用最长周期

90天

口令安全策略（超级用户口令）

6

口令过期提示修改时间

28天

口令安全策略（超级用户口令）

7

口令最小长度

8位

口令安全策略

8

设置超时时间

10分钟

口令安全策略

1.3.3.日志与审计

通过对Linux系统的日志进行安全控制与管理，提高日志的安全性与有效性，详见表13。

表13Linux系统日志与审计基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

9

记录安全日志

authpriv日志

记录网络设备启动、usermod、change等方面日志

10

日志存储（可选）

接入到统一日志服务器

使用统一日志服务器接收并存储系统日志

11

日志保存时间

6个月

等保三级要求日志必须保存6个月

12

日志系统配置文件保护

400

修改配置文件syslog.conf权限为管理员用户只读

1.3.4.服务优化

通过优化Linux系统资源，提高系统服务安全性，详见表14。

表14Linux系统服务优化基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

13

ftp服务（可选）

禁止

文件上传服务

14

sendmail服务

禁止

邮件服务

15

klogin服务（可选）

禁止

Kerberos登录，如果站点使用Kerberos认证则启用

16

kshell服务（可选）

禁止

Kerberosshell，如果站点使用Kerberos认证则启用

17

ntalk服务

禁止

newtalk

18

tftp服务

禁止

以root用户身份运行可能危及安全

19

imap服务（可选）

禁止

邮件服务

20

pop3服务（可选）

禁止

邮件服务

21

telnet服务（可选）

禁止

远程访问服务

22

GUI服务（可选）

禁止

图形管理服务

23

xinetd服务（可选）

启动

增强系统安全

1.3.5.访问控制

通过对Linux系统配置参数调整，提高系统安全性，详见表15。

表15Linux系统访问控制基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

24

Umask权限

022或027

修改默认文件权限

25

关键文件权限控制

1）/etc/passwd目录权限为644

/etc/passwdrw-r--r—

所有用户可读，root用户可写

26

2）/etc/shadow目录权限为400

/etc/shadowr--------

只有root可读

27

3）/etc/grouproot目录权限为644

/etc/grouprw-r--r—

所有用户可读，root用户可写

28

统一时间

接入统一NTP服务器

保障生产环境所有系统时间统一

2.数据库安全基线技术要求

2.1.Oracle数据库系统安全基线

2.1.1.用户账号与口令

通过配置数据库系统用户账号与口令安全策略，提高数据库系统账号与口令安全性，详见表16。

表16Oracle系统用户账号与口令基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

1

Oracle无用账号

TIGER

SCOTT等

禁用

禁用无用账号

2

默认管理账号管理

SYSTEM

DMSYS等

更改口令

账号安全策略（新系统）

3

数据库自动登录SYSDBA账号

禁止

账号安全策略

4

口令最小长度

8位

口令安全策略（新系统）

5

口令有效期

12个月

新系统执行此项要求

6

禁止使用已设置过的口令次数

10次

口令安全策略

2.1.2.日志与审计

通过对数据库系统的日志进行安全控制与管理，提高日志的安全性与有效性，详见表17。

表17Oracle系统日志与审计基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

7

日志保存要求（可选）

3个月

日志必须保存3个月

8

日志文件保护

启用

设置访问日志文件权限

2.1.3.访问控制

通过对数据库系统配置参数调整，提高数据库系统安全性，详见表18。

表18Oracle系统访问控制基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

9

监听程序加密（可选）

设置口令

设置监听器口令（新系统）

10

修改服务监听默认端口（可选）

非TCP1521

系统可执行此项要求

3.中间件安全基线技术要求

4.

3.1.Tong（TongEASY、TongLINK等）中间件安全基线

3.1.1.用户账号与口令

通过配置中间件用户账号与口令安全策略，提高系统账号与口令安全，详见表19。

表19Tong用户账号与口令基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

1

优化Tong服务账号和应用共用同一用户（可选）

Tong和应用共用同一用户

与操作系统应用用户保持一致

3.1.2.日志与审计

通过对中间件的日志进行安全控制与管理，保护日志的安全与有效性，详见表20。

表20Tong日志与审计基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

2

事务包日志备份

1.5G

Pktlog达到1.5G进行备份

3

交易日志备份

1.5G

Txlog达到1.5G进行备份

4

通信管理模块运行日志备份

1.5G

Tonglink.log达到1.5G进行备份

5

系统日志备份

1.5G

syslog达到1.5G进行备份

6

名字服务日志备份

1.5G

Nsfwdlog达到1.5G进行备份

7

调试日志备份

1.5G

Testlog达到1.5G进行备份

8

通信管理模块错误日志备份

1.5G

Tonglink.err达到1.5G进行备份

9

日志保存时间（可选）

6个月

等保三级要求日志必须保存6个月

3.1.3.访问控制

通过配置中间件系统资源，提高中间件系统服务安全，详见表21。

表21Tong访问控制基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

10

共享内存

SHMMAX：

4G

SHMSEG：

3个以上

SHMALL：

12G

根据不同操作系统调整Tong的3个核心参数

11

消息队列

MSGTQL：

4096

MSGMAX：

8192

MSGMNB：

16384

设置Tong核心应用系统程序进行数据传递参数

12

信号灯

Maxuproc：

1000以上

SEMMSL：

13以上

SEMMNS：

26以上

设置Tong信号灯参数

13

进程数

NPROC：

2000以上

MAXUP：

1000以上

设置同时运行进程数参数

服务器应答头中的版本信息

关闭

隐藏版本信息，防止软件版本信息泄漏

3.1.4.安全防护

通过对中间件配置参数调整，提高中间件系统安全，详见表22。

表22Tong安全防护基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

14

数据传输安全

根据应用需求设置加密标识

根据应用需求保护数据传输安全

15

守护进程安全

tld

tmmoni

tmrcv

tmsnd

通信管理模块、运行监控、接收处理、发送处理守护进程处于常开状态，随时处理应用程序的请求

3.1.5.补丁管理

通过对Tong的补丁进行定期更新，达到管理基线，防止常见的漏洞被利用，详见表23。

表23Tong补丁管理基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

16

安全补丁（可选）

根据实际需要更新

根据实际需要更新安全补丁Tong4.2、Tong4.5、Tong4.6适用于AIX5.3以上版本

3.2.Apache中间件安全基线

3.2.1.用户账号与口令

通过配置中间件用户账号与口令安全策略，提高系统账号与口令安全性，详见表24。

表24Apache用户账号与口令基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

1

优化WEB服务账号

新建Apache可访问80端口用户账号

使用WAS中间件用户安装，root用户启动

3.2.2.日志与审计

通过对中间件的日志进行安全控制与管理，提高日志的安全性与有效性，详见表25。

表25Apache日志与审计基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

2

日志级别（可选）

Info

采用Info日志级别，分析问题时采用更高日志级别

3

错误日志及记录

ErrorLog

配置错误日志文件名及位置

4

访问日志（可选）

CustomLog

配置访问日志文件名及位置

3.2.3.服务优化

通过优化中间件系统资源，提高中间件系统服务安全性，详见表26。

表26Apache服务优化基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

5

无用模块

禁用

禁用无用模块

3.2.4.安全防护

通过对中间件配置参数调整，提高中间件系统安全性，详见表27。

表27Apache安全防护基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

6

遍历操作系统目录（可选）

禁止

修改参数文件，禁止目录遍历

7

服务器应答头中的版本信息

关闭

隐藏版本信息，防止软件版本信息泄漏

8

服务器生成页面的页脚中版本信息

关闭

不显示服务器默认欢迎页面

3.3.WAS中间件安全基线

3.3.1.用户账号与口令

通过配置用户账号与口令安全策略，提高系统账号与口令安全性，详见表28。

表28WAS用户账号与口令基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

1

账号安全策略

按照操作系统账号管理规范执行

符合应用系统运行要求

2

口令安全策略

按照操作系统口令管理规范执行

符合应用系统运行要求

3.3.2.日志与审计

通过对系统的日志进行安全控制与管理，提高日志的安全性与有效性，详见表29。

表29WAS日志与审计基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

3

故障日志

开启

记录相关日志

4

记录级别

Info

记录相关日志级别

3.3.3.服务优化

通过优化系统资源，提高系统服务安全性，详见表30。

表30WAS服务优化基线技术要求

序号

基线技术要求

基线标准点（参数）

说明

5

fileserving服务

禁止

开启用户可能非法浏览应用服务器目录和文件

6

配置config和prope