信息系统安全基线Word文件下载.docx

1、1个8信息系统的口令的最大周期90天9口令不重复的次数10次1.1.3.日志与审计通过对操作系统的日志进行安全控制与管理，提高日志的安全性，详见表3。表3 AIX系统日志与审计基线技术要求10系统日志记录（可选）authlog、sulog、wtmp、failedlogin记录必需的日志信息，以便进行审计11系统日志存储（可选）对接到统一日志服务器使用日志服务器接收与存储主机日志，网管平台统一管理12日志保存要求（可选）6个月等保三级要求日志必须保存6个月 13配置日志系统文件保护属性（可选）400修改配置文件syslog.conf权限为管理员账号只读14修改日志文件保护权限（可选）修改日志文件

2、authlog、wtmp、sulog、failedlogin的权限管理员账号只读1.1.4.服务优化通过优化操作系统资源，提高系统服务安全性，详见表4。表4 AIX系统服务优化基线技术要求15discard 服务禁止网络测试服务，丢弃输入, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用16daytime 服务网络测试服务，显示时间, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用17chargen 服务网络测试服务，回应随机字符串, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用18comsat 服务comsat通知接收的电子邮件，以 root 用户身份运行，因

3、此涉及安全性, 除非需要接收邮件，否则禁用19ntalk 服务ntalk允许用户相互交谈，以 root 用户身份运行，除非绝对需要，否则禁用20talk 服务在网上两个用户间建立分区屏幕，不是必需服务，与 talk 命令一起使用，在端口 517 提供 UDP 服务21tftp 服务以 root 用户身份运行并且可能危及安全22ftp 服务（可选）防范非法访问目录风险23telnet服务远程访问服务24uucp 服务除非有使用 UUCP 的应用程序，否则禁用25dtspc 服务（可选）CDE 子过程控制不用图形管理则禁用26klogin 服务（可选）Kerberos 登录，如果站点使用 Kerb

4、eros 认证则启用27kshell 服务（可选）Kerberos shell，如果站点使用 Kerberos 认证则启用1.1.5.访问控制通过对操作系统安全权限参数进行调整，提高系统访问安全性，详见表5。表5 AIX系统访问控制基线技术要求28修改Umask权限022或027要求修改默认文件权限29关键文件权限控制passwd、group、security的所有者必须是root和security组成员设置/etc/passwd，/etc/group， /etc/security等关键文件和目录的权限30audit的所有者必须是root和audit组成员/etc/security/audit

5、的所有者必须是root和audit组成员31/etc/passwdrw-r-r-/etc/passwd目录权限为 644所有用户可读，root用户可写32/etc/group rw-r-r-/etc/group root目录权限为644所有用户可读，root用户可写 33统一时间接入统一NTP服务器保障生产环境所有系统时间统一1.2.Windows系统安全基线1.2.1.用户账号与口令通过配置操作系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表6。表6Windows系统用户账号与口令基线技术要求口令必须符合复杂性要求启用口令安全策略（不涉及终端及动态口令）口令长度最小值口令安全策略

6、（不涉及终端）口令最长使用期限强制口令历史复位账号锁定计数器账号锁定策略（不涉及终端）账号锁定时间（可选）账号锁定阀值（可选）guest账号禁用guest账号administrator（可选）重命名保护administrator安全无需账号检查与管理禁用禁用无需使用账号1.2.2.日志与审计通过对操作系统日志进行安全控制与管理，提高日志的安全性与有效性，详见表7。表7Windows系统日志与审计基线技术要求审核账号登录事件成功与失败日志审核策略审核账号管理审核目录服务访问成功审核登录事件审核策略更改审核系统事件日志存储地址（可选）接入到统一日志服务器日志存储在统一日志服务器中等保三级要求日志保

7、存6个月 1.2.3.服务优化通过优化系统资源，提高系统服务安全性，详见表8。表8Windows系统服务优化基线技术要求Alerter服务禁止进程间发送信息服务Clipbook（可选）禁止机器间共享剪裁板上信息服务Computer Browser服务（可选）禁止跟踪网络上一个域内的机器服务Messenger服务禁止即时通讯服务Remote Registry Service服务禁止远程操作注册表服务Routing and Remote Access服务禁止路由和远程访问服务Print Spooler（可选）禁止后台打印处理服务Automatic Updates服务（可选）禁止自动更新服务Term

8、inal Service服务（可选）禁止终端服务1.2.4.访问控制通过对系统配置参数调整，提高系统安全性，详见表9。表9Windows系统访问控制基线技术要求文件系统格式NTFS磁盘文件系统格式为NTFS桌面屏保桌面屏保策略防病毒软件安装赛门铁克生产环境安装赛门铁克防病毒最新版本软件防病毒代码库升级时间7天文件共享（可选）禁止配置文件共享，若工作需要必须配置共享，须设置账号与口令系统自带防火墙（可选）禁止自带防火墙34默认共享IPC$、ADMIN$、C$、D$等禁止 安全控制选项优化35不允许匿名枚取SAM账号与共享网络访问安全控制选项优化36不显示上次的用户名交互式登录安全控制选项优化37

9、控制驱动器禁止自动运行38蓝屏后自动启动机器（可选）禁止蓝屏后自动启动机器391.2.5.补丁管理通过进行定期更新，降低常见的漏洞被利用，详见表10。表10Windows系统补丁管理基线技术要求40安全服务包win2003 SP2win2008 SP1安装微软最新的安全服务包41安全补丁（可选）更新到最新根据实际需要更新安全补丁1.3.Linux系统安全基线1.3.1.系统管理通过配置系统安全管理工具，提高系统运维管理的安全性，详见表11。表11Linux系统管理基线技术要求安装SSH管理远程工具（可选）安装OpenSSHOpenSSH为远程管理高安全性工具，保护管理过程中传输数据的安全1.3

10、.2.用户账号与口令通过配置Linux系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表12。表12Linux系统用户账号与口令基线技术要求禁止系统无用默认账号登录1）Operator2）Halt3）Sync4）News5）Uucp6）Lp7）nobody8）Gopher清理多余用户账号，限制系统默认账号登录，同时，针对需要使用的用户，制订用户列表进行妥善保存root远程登录禁止root远程登录口令使用最长周期口令安全策略（超级用户口令）口令过期提示修改时间28天口令安全策略设置超时时间1.3.3.日志与审计通过对Linux系统的日志进行安全控制与管理，提高日志的安全性与有效性，详见

11、表13。表13Linux系统日志与审计基线技术要求记录安全日志authpriv日志记录网络设备启动、usermod、change等方面日志日志存储（可选）使用统一日志服务器接收并存储系统日志日志保存时间日志系统配置文件保护修改配置文件syslog.conf权限为管理员用户只读1.3.4.服务优化通过优化Linux系统资源，提高系统服务安全性，详见表14。表14Linux系统服务优化基线技术要求文件上传服务sendmail 服务邮件服务new talk以 root 用户身份运行可能危及安全imap 服务（可选）pop3服务（可选）telnet 服务（可选 ）GUI服务（可选）图形管理服务xine

12、td服务（可选）启动增强系统安全1.3.5.访问控制通过对Linux系统配置参数调整，提高系统安全性，详见表15。表15Linux系统访问控制基线技术要求Umask权限修改默认文件权限1）/etc/passwd 目录权限为644/etc/passwd rw-r-r所有用户可读，root用户可写2）/etc/shadow目录权限为400 /etc/shadow r-只有root可读 3）/etc/group root目录权限为644/etc/group rw-r-r2.数据库安全基线技术要求2.1.Oracle数据库系统安全基线2.1.1.用户账号与口令通过配置数据库系统用户账号与口令安全策略，

13、提高数据库系统账号与口令安全性，详见表16。表16Oracle系统用户账号与口令基线技术要求Oracle无用账号TIGERSCOTT等禁用无用账号默认管理账号管理SYSTEMDMSYS等更改口令账号安全策略（新系统）数据库自动登录SYSDBA账号账号安全策略口令安全策略（新系统）口令有效期12个月新系统执行此项要求禁止使用已设置过的口令次数2.1.2.日志与审计通过对数据库系统的日志进行安全控制与管理，提高日志的安全性与有效性，详见表17。表17Oracle系统日志与审计基线技术要求3个月日志必须保存3个月 日志文件保护设置访问日志文件权限2.1.3.访问控制通过对数据库系统配置参数调整，提高

14、数据库系统安全性，详见表18。表18Oracle系统访问控制基线技术要求监听程序加密（可选）设置口令设置监听器口令（新系统）修改服务监听默认端口（可选）非TCP1521系统可执行此项要求3.中间件安全基线技术要求4.3.1.Tong（TongEASY、TongLINK等）中间件安全基线3.1.1.用户账号与口令通过配置中间件用户账号与口令安全策略，提高系统账号与口令安全，详见表19。表19Tong用户账号与口令基线技术要求优化Tong服务账号和应用共用同一用户（可选）Tong和应用共用同一用户与操作系统应用用户保持一致3.1.2.日志与审计通过对中间件的日志进行安全控制与管理，保护日志的安全与

15、有效性，详见表20。表20Tong日志与审计基线技术要求事务包日志备份1.5GPktlog达到1.5G进行备份交易日志备份Txlog达到1.5G进行备份通信管理模块运行日志备份Tonglink.log达到1.5G进行备份系统日志备份syslog达到1.5G进行备份名字服务日志备份Nsfwdlog达到1.5G进行备份调试日志备份Testlog达到1.5G进行备份通信管理模块错误日志备份Tonglink.err达到1.5G进行备份日志保存时间（可选）3.1.3.访问控制通过配置中间件系统资源，提高中间件系统服务安全，详见表21。表21Tong访问控制基线技术要求共享内存SHMMAX：4GSHMSE

16、G： 3个以上SHMALL：12G根据不同操作系统调整Tong的3个核心参数消息队列MSGTQL ：4096MSGMAX：8192MSGMNB：16384设置Tong核心应用系统程序进行数据传递参数信号灯Maxuproc：1000以上SEMMSL：13以上SEMMNS：26以上设置Tong信号灯参数进程数NPROC：2000以上MAXUP：设置同时运行进程数参数服务器应答头中的版本信息关闭隐藏版本信息，防止软件版本信息泄漏3.1.4.安全防护通过对中间件配置参数调整，提高中间件系统安全，详见表22。表22Tong安全防护基线技术要求数据传输安全根据应用需求设置加密标识根据应用需求保护数据传输安

17、全守护进程安全tldtmmonitmrcvtmsnd通信管理模块、运行监控、接收处理、发送处理守护进程处于常开状态，随时处理应用程序的请求3.1.5.补丁管理通过对Tong的补丁进行定期更新，达到管理基线，防止常见的漏洞被利用，详见表23。表23Tong补丁管理基线技术要求根据实际需要更新根据实际需要更新安全补丁Tong4.2、Tong4.5、Tong4.6适用于AIX5.3以上版本3.2.Apache中间件安全基线3.2.1.用户账号与口令通过配置中间件用户账号与口令安全策略，提高系统账号与口令安全性，详见表24。表24Apache用户账号与口令基线技术要求优化WEB服务账号新建Apache

18、可访问80端口用户账号使用WAS中间件用户安装，root用户启动3.2.2.日志与审计通过对中间件的日志进行安全控制与管理，提高日志的安全性与有效性，详见表25。表25Apache日志与审计基线技术要求日志级别（可选）Info采用Info日志级别，分析问题时采用更高日志级别错误日志及记录ErrorLog 配置错误日志文件名及位置访问日志（可选）CustomLog 配置访问日志文件名及位置3.2.3.服务优化通过优化中间件系统资源，提高中间件系统服务安全性，详见表26。表26Apache服务优化基线技术要求无用模块禁用无用模块3.2.4.安全防护通过对中间件配置参数调整，提高中间件系统安全性，详

19、见表27。表27Apache安全防护基线技术要求遍历操作系统目录（可选）修改参数文件，禁止目录遍历服务器生成页面的页脚中版本信息不显示服务器默认欢迎页面3.3.WAS中间件安全基线3.3.1.用户账号与口令通过配置用户账号与口令安全策略，提高系统账号与口令安全性，详见表28。表28WAS用户账号与口令基线技术要求按照操作系统账号管理规范执行符合应用系统运行要求按照操作系统口令管理规范执行3.3.2.日志与审计通过对系统的日志进行安全控制与管理，提高日志的安全性与有效性，详见表29。表29WAS日志与审计基线技术要求故障日志开启记录相关日志记录级别记录相关日志级别3.3.3.服务优化通过优化系统资源，提高系统服务安全性，详见表30。表30WAS服务优化基线技术要求file serving服务开启用户可能非法浏览应用服务器目录和文件配置config和properties目录权限755config和properties目录权限不当存在安全隐患3.3.4.安全防护通过对系统配置参数调整，提高系统安全性，详见表31。表31WAS安全防护基线技术要求删除sample例子程序删除示例域防止已知攻击连接会话超时控制设置超时时间，控制用户登录会话加密传送