南方电网安全基线技术规范文档格式.docx

1、5.1.1.2 用户账号与口令安全应通过配置用户账号与口令安全策略，提高主机系统账户与口令安全。限制系统无用的默认账号登录1） Daemon2） Bin3） Sys4） Adm5） Uucp6） Nuucp7） Lpd8） Imnadm9） Ldap10） Lp11） Snapp12） invscout清理多余用户账号，限制系统默认账号登录，同时，针对需要使用的用户，制订用户列表进行妥善保存root远程登录禁止禁止root远程登录口令策略1） maxrepeats=3 2） minlen=8 3） minalpha=4 4） minother=1 5） mindiff=4 6） minage=

2、17） maxage=25（可选）8） histsize=101） 口令中某一字符最多只能重复3次2） 口令最短为8个字符3） 口令中最少包含4个字母字符4） 口令中最少包含一个非字母数字字符5） 新口令中最少有4个字符和旧口令不同6） 口令最小使用寿命1周7） 口令的最大寿命25周8） 口令不重复的次数10次FTP用户账号控制/etc/ftpusers禁止root用户使用FTP5.1.1.3 日志与审计应对系统的日志进行安全控制与管理，保护日志的安全与有效性。日志记录记录authlog、wtmp.log、sulog、failedlogin记录必需的日志信息，以便进行审计日志存储（可选）日志必

3、须存储在日志服务器中使用日志服务器接受与存储主机日志日志保存要求2个月日志必须保存2个月 日志系统配置文件保护文件属性400（管理员账号只读）修改日志配置文件（syslog.conf）权限为400日志文件保护修改日志文件authlog、wtmp.log、sulog、failedlogin的权限为4005.1.1.4 服务优化应提高系统服务安全，优化系统资源。Finger 服务Finger允许远程查询登陆用户信息telnet 服务远程访问服务ftp 服务（可选）文件上传服务（需要经过批准才启用）sendmail 服务（可选）邮件服务Time 服务远程查询登陆用户信息服务Echo 服务网络测试服务

4、，回显字符串, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用Discard 服务网络测试服务，丢弃输入, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用Daytime 服务网络测试服务，显示时间, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用Chargen 服务网络测试服务，回应随机字符串, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用comsat 服务comsat通知接收的电子邮件，以 root 用户身份运行，因此涉及安全性, 很少需要的,禁用klogin 服务（可选） Kerberos 登录，如果您的站点使用 Kerberos 认证则启用（需要

5、经过批准才启用）kshell 服务（可选）Kerberos shell，如果您的站点使用 Kerberos 认证则启用（需要经过批准才启用）ntalk 服务ntalk允许用户相互交谈，以 root 用户身份运行，除非绝对需要，否则禁用talk 服务在网上两个用户间建立分区屏幕，不是必需服务，与 talk 命令一起使用，在端口 517 提供 UDP 服务tftp 服务以 root 用户身份运行并且可能危及安全uucp 服务除非有使用 UUCP 的应用程序，否则禁用dtspc 服务（可选）CDE 子过程控制，不用图形管理则禁用5.1.1.5 安全防护应对系统安全配置参数进行调整，提高系统安全。Um

6、ask权限022修改默认文件权限控制用户登录会话设置为600秒设置超时时间，控制用户登录会话5.1.1.6 其他 应对关键文件进行权限调整，提高关键文件的安全。关键文件的安全保护a） /etc/passwdb） /etc/groupc） /etc/security目录设置passwd、group、security等关键文件和目录的权限5.1.2 Windows系统安全基线技术要求5.1.2.1 补丁管理应使Windows操作系统的补丁达到管理基线。安全服务包win2003 SP2，win2000 SP4安装微软最新的安全服务包安全补丁更新到最新补丁更新至最新5.1.2.2 用户账号与口令安全应

7、配置用户账号与口令安全策略，提高主机系统账户与口令安全。密码必须符合复杂性要求（可选）启用密码安全策略密码长度最小值8密码最长使用期限（可选）180天密码最短使用期限1天强制密码历史5次复位帐户锁定计数器3分钟帐户锁定策略帐户锁定时间5分钟帐户锁定阀值5次无效登录guest账号禁用guest用户使用administrator（可选）重命名加强administrator使用帐号检查与管理禁用无需使用帐号5.1.2.3 日志与审计审核帐号登录事件成功与失败日志审核策略审核帐号管理审核目录服务访问成功审核登录事件审核对象访问无审核审核策略更改审核特权使用审核过程跟踪审核系统事件应用日志50-1024

8、M最大日志容量安全日志系统日志指定日志服务器日志存储在日志服务器中5.1.2.4 服务优化Alerter 服务Clipbook 服务Computer BrowserMessenger Remote Registry ServiceRouting and Remote Access Simple Mail Trasfer Protocol（SMTP） （可选）Simple Network Management Protocol（SNMP） Service （可选）若网管需要可开放该服务，但需修改缺省SNMP团体名和仅对指定管理IP开放。Simple Network Management Prot

9、ocol（SNMP） Trap （可选）Telnet World Wide Web Publishing Service （可选）Print SpoolerAutomatic UpdatesTerminal Service5.1.2.5 安全防护应通过对系统配置参数调整，提高系统安全。文件系统格式NTFS指定磁盘NTFS文件系统桌面屏保桌面屏保设置为3分钟防病毒软件安装防病毒软件防病毒代码库及时更新更新到最新版本文件共享（可选）控制原则上禁止配置文件共享，但因工作需要必须配置共享，须设置帐户与口令系统自带防火墙（可选）默认共享禁止IPC$、ADMIN$、C$、D$等 网络访问: 不允许匿名枚取

10、SAM帐号与共享安全控制选项优化 不允许匿名枚取ASM帐号交互式登录：不显示上次的用户名控制驱动器自动运行禁止自动运行控制在蓝屏后自动启动机器禁止蓝屏后自动启动机器5.1.3 Linux系统安全基线技术要求5.1.3.1 设备管理应配置系统安全管理工具，预防远程访问服务攻击或非授权访问，提高主机系统远程管理安全。 OpenSSH为远程管理高安全性工具，可保护管理过程中传输数据的安全,linux当前版本都已默认安装配置/etc/hosts.allow、/etc/hosts.deny配置本机访问控制列表，提高主机系统安全访问5.1.3.2 用户账号与口令安全限制系统无用的默认帐号登录a） Daem

11、onb） Binc） Sysd） Adme） Uucpf） Lpg） nobody清理多余用户帐号，限制系统默认帐号登录，同时，针对需要使用的用户，制订用户列表进行妥善保存a） PASS_MAX_DAYS 180（可选）b） PASS_MIN_DAYS 1c） PASS_WARN_AGE 28d） PASS_MIN_LEN 8a） 密码使用最长期限为180天b） 密码1天之内不能更改c） 密码过期之前28天提示修改d） 密码长度最小8位字符FTP用户帐号控制5.1.3.3 日志与审计捕获authpriv消息authpriv日志记录有关安全方面日志消息（如网络设备启动、usermod、chang

12、e等）5.1.3.4 服务优化klogin 服务kshell 服务new talkimap 服务（可选）pop3服务（可选）GUI服务（可选）图形管理服务X windows服务（可选）通用的windows界面xinetd启动服务（可选）系统自动启动服务：nfs、nfslock、autofs、ypbindypserv、yppasswdd、portmapsmb、netfs、lpd、apachehttpd、tux、snmpd、namedpostgresql、mysqld、webmin、kudzu、squid、cups、ip6tablesiptables、pcmcia、bluetoothNSRespo

13、nder、apmd、avahi-daemoncanna、cups-config-daemonFreeWnn、gpm、hidd等5.1.3.5 安全防护应对Linux系统配置参数调整，提高系统安全。敏感文件安全保护c） /etc/shadow保护口令文件5.1.4 HP UNIX系统安全基线技术要求5.1.4.1 设备管理访问控制工具安装tcp_wrappersTCP_Wrappers为访问控制组件，通过配置访问控制列表，限制利用SSH访问主机控制远程管理配置访问管理IP允许系统管理员IP可访问SSH服务5.1.4.2 用户账号与口令安全禁用默认无用用户a） wwwb） sysc） smbnul

14、ld） iwwwe） owwwf） sshdg） hpsmhh） namedi） uucpj） nuucpk） adml） daemonm） binn） lpo） nobodyp） noaccessq） hpdbr） useradm系统管理员应根据系统的具体情况对默认账号进行禁用或控制PASSWORD_MAXDAYS=180（可选）PASSWORD_MINDAYS=1 PASSWORD_WARNDAYS=28MIN_PASSWORD_LENGTH=8PASSWORD_HISTORY_DEPTH=10PASSWORD_MIN_UPPER_CASE_CHARS=1PASSWORD_MIN_DIGI

15、T_CHARS=1PASSWORD_MIN_SPECIAL_CHARS=1 PASSWORD_MIN_LOWER_CASE_CHARS=1 口令最长有效期为180天口令最短有效期为1天口令到期之前28天提示修改口令最短为8个字符口令10次不能重复口令中最少有1个大写字母口令中最少包含1个数字口令中最少包含1个特殊字符口令中最少包含1个小写字母帐号策略AUTH_MAXTRIES=5连续5次登录失败后锁定用户帐号登录失败锁定为10分钟禁止非FTP账号使用修改ftpusers文件5.1.4.3 日志与审计inetd日志开启记录日志信息ftp日志FTP日志接受远程日志禁止接受网络日志文件属性400控制

16、日志文件访问5.1.4.4 服务优化（可选）echo服务 字符回显测试discard服务 丢弃字符测试daytime服务 时间同步chargen服务 发送字符测试exec服务 提供rexec远程执行命令ntalk服务 基于字符的聊天finger服务 用户信息查询uucp服务 unix-to-unix拷贝rpc.rstat服务 查询服务器内核信息rpc.rusersd服务查询用户信息rpc.rwalld服务 用户信息通告rpc.sprayd服务 系统性能信息服务rpc.cmsd服务 CDE环境的的日历服务printer服务 打印服务kshell服务 kerbores协议的shell服务klogi

17、n服务 kerbores协议的login服务nis.server服务 nis服务端nis.client服务 nisplus.server服务 nisplus.client服务 nis客户端nis+服务端nis+客户端sendmail服务 SMTP服务lp服务 tps.rc服务 pd服务 mrouted服务 路由服务rwhod服务 named服务 DNS服务samba服务windows系统文件共享 cifsclient服务访问windows文件系统5.1.4.5 安全防护应对系统配置参数进行调整，提高系统安全。.netrc、 .rhosts、.shosts 文件禁用该服务存在可以绕过登录cron

18、安全控制权限为400root拥有只读权限SNMP优化修改public防止信息泄漏5.2 数据库5.2.1 Oracle 数据库系统安全基线技术要求5.2.1.1 用户账号与口令安全应配置用户账号与口令安全策略，提高数据库系统账户与口令安全。基线技术点（参数）数据库主机管理员帐号控制默认主机管理员账号禁止使用oracle或administrator作为数据库主机管理员帐号oracle帐号删除无用帐号清理帐号，删除无用帐号默认帐号修改口令如DBSNMPSCOTT 数据库SYSDBA帐号禁止远程登录修改配置参数，禁止SYSDBA远程登录禁止自动登录修改配置参数，禁止SYSDBA自动登录a） PASSWORD_VERIFY_FUNCTION 8b） PASSWORD_LIFE_TIME 180（可选）c） PASSWORD_REUSE_MAX 5a） 密码复杂度8个字符b） 口令有效期180天c） 禁止使用最近5次使用的口令FAILED_LOGIN_ATTE