1、daemn(禁用)bin(禁用)sys(禁用)adm(禁用)uucp(禁用)nup(禁用)lp(禁用)gst(禁用)coo(禁用)saadmin(禁用)sshd(禁用)清理多余用户账号,限制系统默认账号登录,同时,针对需要使用得用户,制订用户列表,并妥善保存5 控制用户登录超时时间1分钟控制用户登录会话,设置超时时间6 口令最小长度8位口令安全策略(口令为超级用户静态口令)7 口令中最少非字母数字字符1个8 信息系统得口令得最大周期90天9 口令不重复得次数10次1.1.3. 日志与审计通过对操作系统得日志进行安全控制与管理,提高日志得安全性,详见表。表 I系统日志与审计基线技术要求10 系统
2、日志记录(可选)utog、sulo、wmp、faedin记录必需得日志信息,以便进行审计11 系统日志存储(可选)对接到统一日志服务器使用日志服务器接收与存储主机日志,网管平台统一管理12 日志保存要求(可选)6个月等保三级要求日志必须保存6个月 13 配置日志系统文件保护属性(可选)00修改配置文件syslog、conf权限为管理员账号只读14 修改日志文件保护权限(可选)修改日志文件atho、wtp、suog、failogi得权限管理员账号只读1.1.4. 服务优化通过优化操作系统资源,提高系统服务安全性,详见表4。表4 AI系统服务优化基线技术要求15 car 服务禁止网络测试服务,丢弃
3、输入, 为“拒绝服务攻击提供机会, 除非正在测试网络,否则禁用16 ayie 服务网络测试服务,显示时间, 为“拒绝服务”攻击提供机会, 除非正在测试网络,否则禁用17 hargn 服务网络测试服务,回应随机字符串, 为“拒绝服务18 a 服务sat通知接收得电子邮件,以 ro 用户身份运行,因此涉及安全性,除非需要接收邮件,否则禁用19 tal 服务alk允许用户相互交谈,以 root 用户身份运行,除非绝对需要,否则禁用20 talk 服务在网上两个用户间建立分区屏幕,不就是必需服务,与 alk命令一起使用,在端口51 提供 DP 服务21 p服务以 rot 用户身份运行并且可能危及安全2
4、2 t 服务(可选)防范非法访问目录风险23 ele服务远程访问服务24 u服务除非有使用 P得应用程序,否则禁用25 dc 服务(可选)CDE 子过程控制不用图形管理则禁用26 logi 服务(可选)Kers 登录,如果站点使用 Keberos 认证则启用27 shell服务(可选)Kerbe sel,如果站点使用 Kerbros 认证则启用1.1.5. 访问控制通过对操作系统安全权限参数进行调整,提高系统访问安全性,详见表。表5 AI系统访问控制基线技术要求28 修改m权限022或27要求修改默认文件权限29 关键文件权限控制passd、grup、ecrity得所有者必须就是roo与seu
5、rty组成员设置/etc/aswd,/e/roup, /etc/securty等关键文件与目录得权限30 aui得所有者必须就是ro与ad组成员/et/scurityaudit得所有者必须就是root与ait组成员31 c/p w-r-r-/etc/paswd目录权限为 644所有用户可读,rot用户可写32 /etc/grup r-r/tc/group rot目录权限为44所有用户可读,oot用户可写 33 统一时间接入统一NTP服务器保障生产环境所有系统时间统一1.2. Wins系统安全基线1.2.1. 用户账号与口令通过配置操作系统用户账号与口令安全策略,提高系统账号与口令安全性,详见表
6、。表6 dos系统用户账号与口令基线技术要求口令必须符合复杂性要求启用口令安全策略(不涉及终端及动态口令)口令长度最小值口令安全策略(不涉及终端)口令最长使用期限0天强制口令历史复位账号锁定计数器账号锁定策略(不涉及终端)账号锁定时间(可选)0分钟账号锁定阀值(可选)0次ue账号禁用guest账号ainisraor(可选)重命名保护administrtor安全无需账号检查与管理禁用禁用无需使用账号1.2.2. 日志与审计通过对操作系统日志进行安全控制与管理,提高日志得安全性与有效性,详见表7.表7Windos系统日志与审计基线技术要求审核账号登录事件成功与失败日志审核策略审核账号管理审核目录服
7、务访问成功审核登录事件审核策略更改审核系统事件日志存储地址(可选)接入到统一日志服务器日志存储在统一日志服务器中等保三级要求日志保存个月 1.2.3. 服务优化通过优化系统资源,提高系统服务安全性,详见表8。表8 indow系统服务优化基线技术要求Alerr服务禁止进程间发送信息服务Clboo(可选)禁止机器间共享剪裁板上信息服务uter rowsr服务(可选)禁止跟踪网络上一个域内得机器服务Mesenger服务禁止即时通讯服务emoe Regtry Serv服务禁止远程操作注册表服务Rouin and emte Access服务禁止路由与远程访问服务rint Spooler(可选)禁止后台打
8、印处理服务Autmatic Udts服务(可选)禁止自动更新服务TerinalSeric服务(可选)禁止终端服务1.2.4. 访问控制通过对系统配置参数调整,提高系统安全性,详见表9。表9 Windws系统访问控制基线技术要求文件系统格式NTF磁盘文件系统格式为NTS桌面屏保10分钟桌面屏保策略防病毒软件安装赛门铁克生产环境安装赛门铁克防病毒最新版本软件防病毒代码库升级时间7天文件共享(可选)禁止配置文件共享,若工作需要必须配置共享,须设置账号与口令系统自带防火墙(可选)禁止自带防火墙34 默认共享IPC、AN、C$、D等禁止安全控制选项优化35 不允许匿名枚取SA账号与共享网络访问安全控制选
9、项优化36 不显示上次得用户名交互式登录安全控制选项优化37 控制驱动器禁止自动运行38 蓝屏后自动启动机器(可选)禁止蓝屏后自动启动机器39 统一时间 接入统一T服务器1.2.5. 补丁管理通过进行定期更新,降低常见得漏洞被利用,详见表10。表0 idos系统补丁管理基线技术要求40 安全服务包wn2003 Swin008 SP1安装微软最新得安全服务包41 安全补丁(可选)更新到最新根据实际需要更新安全补丁1.3. Linu系统安全基线1.3.1. 系统管理通过配置系统安全管理工具,提高系统运维管理得安全性,详见表11。表1 L系统管理基线技术要求安装S管理远程工具(可选)安装OpnSSHpenSS为远程管理高安全性工具,保护管理过程中传输数据得安全配置/et/hosts、allow,tc/hsts、deny安装TCP Wrapper,提高对系统访问控制1.3.2. 用户账号与口令通过配置Lnux系统用户账号与口令安全策略,提高系统账号与口令安全性,详见表12。表2 Lix系统用户账号与口令基线技术要求禁止系统无用默认账号登录1) Operato2) Halt3) Sync
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1