南方电网安全基线技术规范.docx

1、1范围本规范适用于中国南方电网有限责任公司及所属单位管理信息大区所有信息系统相关主流支撑平台设备。2规范性引用文件下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本规范。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本规范。中华人民共和国计算机信息系统安全保护条例中华人民共和国国家安全法中华人民共和国保守国家秘密法计算机信息系统国际联网保密管理规定中华人民共和国计算机信息网络国际联网管理暂行规定ISO27001标准/ISO27002指南公通字200743号信息安全等级保护管理办法GB/T 21028-2007信息安全技术服务器安全技术要求GB/T

2、20269-2006信息安全技术信息系统安全管理要求GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求GB/T 22240-2008信息安全技术信息系统安全等级保护定级指南3术语和定义安全基线：指针对IT设备的安全特性，选择合适的安全控制措施，定义不同IT设备的最低安全配置要求，则该最低安全配置要求就称为安全基线。管理信息大区：发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统，原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区I)和非控制区(安全区)；管理信息大区内部在不影响生产控制大区安全的前提下，可以根据各企业不同安全要求划分安全区

3、。根据应用系统实际情况，在满足总体安全要求的前提下，可以简化安全区的设置，但是应当避免通过广域网形成不同安全区的纵向交叉连接。4总则4.1指导思想围绕公司打造经营型、服务型、一体化、现代化的国内领先、国际著名企业的战略总体目标，为切实践行南网方略，保障信息化建设，提高信息安全防护能力，通过规范IT主流设备安全基线，建立公司管理信息大区IT主流设备安全防护的最低标准，实现公司IT主流设备整体防护的技术措施标准化、规范化、指标化。4.2目标管理信息大区内IT主流设备安全配置所应达到的安全基线规范，主要包括针对AIX系统、Windows系统、Linux系统、HP UNIX系统、Oracle数据库系统

4、、MS SQL数据库系统,WEB Logic中间件、Apache HTTP Server中间件、Tomcat中间件、IIS中间件、Cisco路由器/交换机、华为网络设备、Cisco防火墙、Juniper防火墙和Nokia防火墙等的安全基线设置规范。通过该规范的实施，提升管理信息大区内的信息安全防护能力。5安全基线技术要求5.1操作系统5.1.1AIX系统安全基线技术要求5.1.1.1设备管理应通过配置系统安全管理工具，预防远程访问服务攻击或非授权访问，提高主机系统远程管理安全。基线技术要求基线标准点（参数）说明管理远程工具安装SSHOpenSSH为远程管理高安全性工具，可保护管理过程中传输数据

5、的安全访问控制安装TCP Wrapper，配置/etc/hosts.allow,/etc/hosts.deny配置本机访问控制列表，提高对主机系统访问控制5.1.1.2用户账号与口令安全应通过配置用户账号与口令安全策略，提高主机系统账户与口令安全。基线技术要求基线标准点（参数）说明限制系统无用的默认账号登录1)Daemon2)Bin3)Sys4)Adm5)Uucp6)Nuucp7)Lpd8)Imnadm9)Ldap10)Lp11)Snapp12)invscout清理多余用户账号，限制系统默认账号登录，同时，针对需要使用的用户，制订用户列表进行妥善保存root远程登录禁止禁止root远程登录口令

6、策略1)maxrepeats=32)minlen=83)minalpha=44)minother=15)mindiff=46)minage=17)maxage=25（可选）8)histsize=101)口令中某一字符最多只能重复3次2)口令最短为8个字符3)口令中最少包含4个字母字符4)口令中最少包含一个非字母数字字符5)新口令中最少有4个字符和旧口令不同6)口令最小使用寿命1周7)口令的最大寿命25周8)口令不重复的次数10次FTP用户账号控制/etc/ftpusers禁止root用户使用FTP5.1.1.3日志与审计应对系统的日志进行安全控制与管理，保护日志的安全与有效性。基线技术要求基线

7、标准点（参数）说明日志记录记录authlog、wtmp.log、sulog、failedlogin记录必需的日志信息，以便进行审计日志存储(可选)日志必须存储在日志服务器中使用日志服务器接受与存储主机日志日志保存要求2个月日志必须保存2个月日志系统配置文件保护文件属性400（管理员账号只读）修改日志配置文件（syslog.conf）权限为400日志文件保护文件属性400（管理员账号只读）修改日志文件authlog、wtmp.log、sulog、failedlogin的权限为4005.1.1.4服务优化应提高系统服务安全，优化系统资源。基线技术要求基线标准点（参数）说明Finger服务禁止Fin

8、ger允许远程查询登陆用户信息telnet服务禁止远程访问服务ftp服务（可选）禁止文件上传服务（需要经过批准才启用）sendmail服务（可选）禁止邮件服务Time服务禁止远程查询登陆用户信息服务Echo服务禁止网络测试服务，回显字符串, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用Discard服务禁止网络测试服务，丢弃输入, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用Daytime服务禁止网络测试服务，显示时间, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用Chargen服务禁止网络测试服务，回应随机字符串, 为“拒绝服务”攻击提供机会, 除非正在测

9、试网络，否则禁用comsat服务禁止comsat通知接收的电子邮件，以 root 用户身份运行，因此涉及安全性, 很少需要的,禁用klogin服务（可选）禁止Kerberos 登录，如果您的站点使用 Kerberos 认证则启用（需要经过批准才启用）kshell服务（可选）禁止Kerberos shell，如果您的站点使用 Kerberos 认证则启用（需要经过批准才启用）ntalk服务禁止ntalk允许用户相互交谈，以 root 用户身份运行，除非绝对需要，否则禁用talk服务禁止在网上两个用户间建立分区屏幕，不是必需服务，与 talk 命令一起使用，在端口 517 提供 UDP 服务tft

10、p服务禁止以 root 用户身份运行并且可能危及安全uucp服务禁止除非有使用 UUCP 的应用程序，否则禁用dtspc服务（可选）禁止CDE 子过程控制，不用图形管理则禁用5.1.1.5安全防护应对系统安全配置参数进行调整，提高系统安全。基线技术要求基线标准点（参数）说明Umask权限022修改默认文件权限控制用户登录会话设置为600秒设置超时时间，控制用户登录会话5.1.1.6其他应对关键文件进行权限调整，提高关键文件的安全。基线技术要求基线标准点（参数）说明关键文件的安全保护a)/etc/passwdb)/etc/groupc)/etc/security目录设置passwd、group、

11、security等关键文件和目录的权限5.1.2Windows系统安全基线技术要求5.1.2.1补丁管理应使Windows操作系统的补丁达到管理基线。基线技术要求基线标准点（参数）说明安全服务包win2003 SP2，win2000 SP4安装微软最新的安全服务包安全补丁更新到最新补丁更新至最新5.1.2.2用户账号与口令安全应配置用户账号与口令安全策略，提高主机系统账户与口令安全。基线技术要求基线标准点（参数）说明密码必须符合复杂性要求（可选）启用密码安全策略密码长度最小值8密码安全策略密码最长使用期限（可选）180天密码安全策略密码最短使用期限1天密码安全策略强制密码历史5次密码安全策略复

12、位帐户锁定计数器3分钟帐户锁定策略帐户锁定时间5分钟帐户锁定策略帐户锁定阀值5次无效登录帐户锁定策略guest账号禁止禁用guest用户使用administrator（可选）重命名加强administrator使用帐号检查与管理禁用无需使用帐号禁用无需使用帐号5.1.2.3日志与审计应对系统的日志进行安全控制与管理，保护日志的安全与有效性。基线技术要求基线标准点（参数）说明审核帐号登录事件成功与失败日志审核策略审核帐号管理成功与失败日志审核策略审核目录服务访问成功日志审核策略审核登录事件成功与失败日志审核策略审核对象访问无审核日志审核策略审核策略更改成功与失败日志审核策略审核特权使用无审核日志

13、审核策略审核过程跟踪无审核日志审核策略审核系统事件成功日志审核策略应用日志50-1024M最大日志容量安全日志50-1024M最大日志容量系统日志50-1024M最大日志容量日志存储（可选）指定日志服务器日志存储在日志服务器中日志保存要求2个月日志必须保存2个月5.1.2.4服务优化应提高系统服务安全，优化系统资源。基线技术要求基线标准点（参数）说明Alerter服务禁止Clipbook服务禁止Computer Browser禁止Messenger禁止Remote Registry Service禁止Routing and Remote Access禁止Simple Mail Trasfer Protocol(SMTP)（可选）禁止Simple Network Management Protocol(SNMP) Service （可选）禁止若网管需要可开放该服务，但需修改缺省SNMP团体名和仅对指定管理IP开放。Simple Network Management Protocol(SNMP) Trap（可选）禁止Telnet禁止World Wide Web Publishing Service（可选）禁止Print Spooler禁止Automatic Updates禁止Terminal Service禁止5.1.2.5安全防护应通过