信息系統(tǒng)安全系統(tǒng)基線

實用標準實用標準文案大全文案大全操作系統(tǒng)安全基線技術(shù)要求AIX系統(tǒng)安全基線系統(tǒng)管理通過配置操作系統(tǒng)運維管理安全策略，提高系統(tǒng)運維管理安全性，詳見表1。表1AIX系統(tǒng)管理基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明1限制超級管理員權(quán)限的用戶遠程登錄PermitRootLoginno限制root用戶遠程使用telnet登錄（可選）2使用動態(tài)口令令牌登錄安裝動態(tài)口令3配置本機訪問控制列表（可選）配置/etc/hosts.allow,/etc/hosts.deny安裝TCPWrapper，提高對系統(tǒng)訪問控制賬號與口令通過配置操作系統(tǒng)用戶賬號與口令安全策略，提高系統(tǒng)賬號與口令安全性，詳見表2。表2AIX系統(tǒng)用戶賬戶與口令基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明4限制系統(tǒng)無用默認賬號登錄daemon（禁用）環(huán)門（禁用）sys（禁用）adm（禁用）uucp（禁用）nuucp（禁用）lpd（禁用）guest（禁用）pconsole（禁用）esaadmin（禁用）sshd（禁用）清理多余用戶賬號，限制系統(tǒng)默認賬號登錄，同時，針對需要使用的用戶，制訂用戶列表，并妥善保存5控制用戶登錄超時時間10分鐘控制用戶登錄會話，設(shè)置超時時間

6口令最小長度8位口令安全策略（口令為超級用戶靜志口令）7口令中最少非字母數(shù)字字符1個口令安全策略（口令為超級用戶靜志口令）8信息系統(tǒng)的口令的最大周期90天口令安全策略（口令為超級用戶靜志口令）9口令不重復的次數(shù)10次口令安全策略（口令為超級用戶靜志口令）日志與審計通過對操作系統(tǒng)的日志進行安全控制與管理，提高日志的安全性，詳見表3。表3AIX系統(tǒng)日志與審計基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明10系統(tǒng)日志記錄（可選）authlog、sulog、wtmp、failedlogin記錄必需的日志信息，以便進行審計11系統(tǒng)日志存儲（可選）對接到統(tǒng)一日志服務器使用日志服務器接收與存儲主機日志，網(wǎng)管平臺統(tǒng)一管理12日志保存要求（可選）6個月等保三級要求日志必須保存6個月13配置日志系統(tǒng)文件保護屬性（可選）400修改配置文件syslog.conf權(quán)1限為管理員賬號只讀14修改日志文件保護權(quán)限（可選）400修改日志文件authlog、wtmp、sulog、failedlogin的權(quán)限管理員賬號只讀服務優(yōu)化通過優(yōu)化操作系統(tǒng)資源，提高系統(tǒng)服務安全性，詳見表4。表4AIX系統(tǒng)服務優(yōu)化基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明15discard服務禁止網(wǎng)絡(luò)測試服務，丟棄輸入，為“拒絕服務”攻擊提供機會，除非正在測試網(wǎng)絡(luò)，否則禁用16daytime服務禁止網(wǎng)絡(luò)測試服務，顯示時間，為“拒絕服務”攻擊提供機會，除非正在測試網(wǎng)絡(luò)，否則禁用

17chargen服務禁止網(wǎng)絡(luò)測試服務，回應隨機字符串，為“拒絕服務”攻擊提供機會，除非正在測試網(wǎng)絡(luò)，否則禁用18comsat服務禁止comsat通知接收的電子郵件，以root用戶身份運行，因此涉及安全性，除非需要接收郵件，否則禁用19ntalk服務禁止ntalk允許用戶相互交談，以root用戶身份運行，除非絕對需要，否則禁用20talk服務禁止在網(wǎng)上兩個用戶間建立分區(qū)屏幕，不是必需服務，與talk命令一起使用，在端口517提供UDP服務21tftp服務禁止以root用戶身份運行并且可能危及安全22ftp服務（可選）禁止防范非法訪問目錄風險23telnet服務禁止遠程訪問服務24uucp服務禁止除非有使用UUCP的應用程序，否則禁用25dtspc服務（可選）禁止CDE子過程控制不用圖形管理則禁用26klogin服務（可選）禁止Kerberos登錄，如果站點使用Kerberos認證則啟用27kshell服務（可選）禁止Kerberosshell，如果站點使用Kerberos認證則啟用訪問控制通過對操作系統(tǒng)安全權(quán)限參數(shù)進行調(diào)整，提高系統(tǒng)訪問安全性，詳見表5。表5AIX系統(tǒng)訪問控制基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明28修改Umask權(quán)限022或027要求修改默認文件權(quán)限29關(guān)鍵文件權(quán)限控制passwd、group、security的所有者必須是root和security組成員設(shè)置/etc/passwd，/etc/group，/etc/security等關(guān)鍵文件和目錄的權(quán)限

30audit的所有者必須是root和audit組成員/etc/security/audit的所有者必須是root和audit組成員31/etc/passwdrw-r--r--/etc/passwd目錄權(quán)限為644所有用戶可讀，root用戶可寫32/etc/grouprw-r--r--/etc/grouproot目錄權(quán)I限為644所有用戶可讀，root用戶可寫33統(tǒng)一時間接入統(tǒng)一NTP服務器保障生產(chǎn)環(huán)境所有系統(tǒng)時間統(tǒng)一Windows系統(tǒng)安全基線用戶賬號與口令通過配置操作系統(tǒng)用戶賬號與口令安全策略，提高系統(tǒng)賬號與口令安全性，詳見表6。表6Windows系統(tǒng)用戶賬號與口令基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明1口令必須符合復雜性要求啟用口令安全策略（不涉及終端及動志口令）2口令長度最小值8位口令安全策略（不涉及終端）3口令最長使用期限90天口令安全策略（不涉及終端）4強制口令歷史10次口令安全策略（不涉及終端）5復位賬號鎖定計數(shù)器10分鐘賬號鎖定策略（不涉及終端）6賬號鎖定時間（可選）10分鐘賬號鎖定策略（不涉及終端）7賬號鎖定閥值（可選）10次賬號鎖定策略（不涉及終端）8guest賬號禁止禁用guest賬號9administrator（可選）重命名保護administrator安全10無需賬號檢查與管理禁用禁用無需使用賬號日志與審計通過對操作系統(tǒng)日志進行安全控制與管理，提高日志的安全性與有效性，詳見表7。

表7Windows系統(tǒng)日志與審計基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明11審核賬號登錄事件成功與失敗日志審核策略12審核賬號管理成功與失敗日志審核策略13審核目錄服務訪問成功日志審核策略14審核登錄事件成功與失敗日志審核策略15審核策略更改成功與失敗日志審核策略16審核系統(tǒng)事件成功日志審核策略17日志存儲地址（可選）接入到統(tǒng)一日志服務器日志存儲在統(tǒng)一日志服務器中18日志保存要求（可選）6個月等保三級要求日志保存6個月服務優(yōu)化通過優(yōu)化系統(tǒng)資源，提高系統(tǒng)服務安全性，詳見表8。表8Windows系統(tǒng)服務優(yōu)化基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明19Alerter服務禁止禁止進程間發(fā)送信息服務20Clipbook（可選）禁止禁止機器間共享剪裁板上信息服務21ComputerBrowser服務（可選）禁止禁止跟蹤網(wǎng)絡(luò)上一個域內(nèi)的機器服務22Messenger服務禁止禁止即時通訊服務23RemoteRegistryService服務禁止禁止遠程操作注冊表服務24RoutingandRemoteAccess服務禁止禁止路由和遠程訪問服務25PrintSpooler（可選）禁止禁止后臺打印處理服務26AutomaticUpdates服務（可選）禁止禁止自動更新服務27TerminalService月服務（可選）禁止禁止終端服務1.2.4.訪問控制通過對系統(tǒng)配置參數(shù)調(diào)整，提高系統(tǒng)安全性，詳見表9。表9Windows系統(tǒng)訪問控制基線技術(shù)要求

序號基線技術(shù)要求基線標準點（參數(shù)）說明28文件系統(tǒng)格式NTFS磁盤文件系統(tǒng)格式為NTFS29桌面屏保10分鐘桌面屏保策略30防病毒軟件安裝賽門鐵克生產(chǎn)環(huán)境安裝賽門鐵克防病毒最新版本軟件31防病毒代碼庫升級時間7天32文件共享（可選）禁止禁止配置文件共享，若工作需要必須配置共享，須設(shè)置賬號與口令33系統(tǒng)自帶防火墻（可選）禁止禁止自帶防火墻34默認共享IPC$、ADMIN$、C$、口$等禁止安全控制選項優(yōu)化35不允許匿名枚取SAM賬號與共享啟用網(wǎng)絡(luò)訪問安全控制選項優(yōu)化36不顯示上次的用戶名啟用交互式登錄安全控制選項優(yōu)化37控制驅(qū)動器禁止禁止自動運行38藍屏后自動啟動機器（可選）禁止禁止藍屏后自動啟動機器39統(tǒng)一時間接入統(tǒng)一NTP服務器保障生產(chǎn)環(huán)境所有系統(tǒng)時間統(tǒng)一補丁管理通過進行定期更新，降低常見的漏洞被利用，詳見表10。表10Windows系統(tǒng)補丁管理基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明40安全服務包win2003SP2win2008SP1安裝微軟最新的安全服務包41安全補?。蛇x）更新到最新根據(jù)實際需要更新安全補丁Linux系統(tǒng)安全基線系統(tǒng)管理通過配置系統(tǒng)安全管理工具，提高系統(tǒng)運維管理的安全性，詳見表11。

表11Linux系統(tǒng)管理基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明1安裝SSH管理遠程工具（可選）安裝OpenSSHOpenSSH為遠程管理高安全性工具，保護管理過程中傳輸數(shù)據(jù)的安全2配置本機訪問控制列表（可選）酉己置/etc/hosts.allow,/etc/hosts.deny安裝TCPWrapper，提高對系統(tǒng)訪問控制1.3.2.用戶賬號與口令通過配置Linux系統(tǒng)用戶賬號與口令安全策略，提高系統(tǒng)賬號與口令安全性，詳見表12。表12Linux系統(tǒng)用戶賬號與口令基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明3禁止系統(tǒng)無用默認賬號登錄OperatorHaltSyncNewsUucpLpnobodyGopher禁止清理多余用戶賬號，限制系統(tǒng)默認賬號登錄，同時，針對需要使用的用戶，制訂用戶列表進行妥善保存4root遠程登錄禁止禁止root遠程登錄5口令使用最長周期90天口令安全策略（超級用戶口令）6口令過期提示修改時間28天口令安全策略（超級用戶口令）7口令最小長度8位口令安全策略8設(shè)置超時時間10分鐘口令安全策略日志與審計通過對Linux系統(tǒng)的日志進行安全控制與管理，提高日志的安全性與有效性，詳見表13。

表13Linux系統(tǒng)日志與審計基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明9記錄安全日志authpriv日志記錄網(wǎng)絡(luò)設(shè)備啟動、usermod、change等方面日志10日志存儲（可選）接入到統(tǒng)一日志服務器使用統(tǒng)一日志服務器接收并存儲系統(tǒng)日志11日志保存時間6個月等保三級要求日志必須保存6個月12日志系統(tǒng)配置文件保護400修改配置文件syslog.conf權(quán)限為管理員用戶只讀服務優(yōu)化通過優(yōu)化Linux系統(tǒng)資源，提高系統(tǒng)服務安全性，詳見表14。表14Linux系統(tǒng)服務優(yōu)化基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明13ftp服務（可選）禁止文件上傳服務14sendmail服務禁止郵件服務15klogin服務（可選）禁止Kerberos登錄，如果站點使用Kerberos認證則啟用16kshell服務（可選）禁止Kerberosshell，如果站點使用Kerberos認證則啟用17ntalk服務禁止newtalk18tftp服務禁止以root用戶身份運彳行可能危及安全19im叩服務（可選）禁止郵件服務20pop3服務（可選）禁止郵件服務21telnet服務（可選）禁止遠程訪問服務22GUI服務（可選）禁止圖形管理服務23xinetd服務（可選）啟動增強系統(tǒng)安全訪問控制通過對Linux系統(tǒng)配置參數(shù)調(diào)整，提高系統(tǒng)安全性，詳見表15。表15Linux系統(tǒng)訪問控制基線技術(shù)要求

序號基線技術(shù)要求基線標準點（參數(shù)）說明24Umask權(quán)限022或027修改默認文件權(quán)限25關(guān)鍵文件權(quán)限控制1)/etc/passwd目錄權(quán)限為644/etc/passwdrw-r--r—所有用戶可讀，root用戶可寫262)/etc/shadow目錄權(quán)限為400/etc/shadowr 只有root可讀273)/etc/grouproot目錄權(quán)限為644/etc/grouprw-r--r-所有用戶可讀，root用戶可寫28統(tǒng)一時間接入統(tǒng)一NTP服務器保障生產(chǎn)環(huán)境所有系統(tǒng)時間統(tǒng)一數(shù)據(jù)庫安全基線技術(shù)要求Oracle數(shù)據(jù)庫系統(tǒng)安全基線用戶賬號與口令通過配置數(shù)據(jù)庫系統(tǒng)用戶賬號與口令安全策略，提高數(shù)據(jù)庫系統(tǒng)賬號與口令安全性，詳見表16。表16Oracle系統(tǒng)用戶賬號與口令基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明1Oracle無用賬號TIGERSCOTT等禁用禁用無用賬號2默認管理賬號管理SYSTEMDMSYS等更改口令賬號安全策略（新系統(tǒng)）3數(shù)據(jù)庫自動登錄SYSDBA賬號禁止賬號安全策略4口令最小長度8位口令安全策略（新系統(tǒng)）5口令有效期12個月新系統(tǒng)執(zhí)行此項要求6禁止使用已設(shè)置過的口令次數(shù)10次口令安全策略日志與審計通過對數(shù)據(jù)庫系統(tǒng)的日志進行安全控制與管理，提高日志的安全性與有效性，詳見表17。表17Oracle系統(tǒng)日志與審計基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明7日志保存要求（可選）3個月日志必須保存3個月8日志文件保護啟用設(shè)置訪問日志文件權(quán)限訪問控制通過對數(shù)據(jù)庫系統(tǒng)配置參數(shù)調(diào)整，提高數(shù)據(jù)庫系統(tǒng)安全性，詳見表18。表18Oracle系統(tǒng)訪問控制基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明9監(jiān)聽程序加密（可選）設(shè)置口令設(shè)置監(jiān)聽器口令（新系統(tǒng)）10修改服務監(jiān)聽默認端口（可選）非01521系統(tǒng)可執(zhí)行此項要求中間件安全基線技術(shù)要求Tong（TongEASY、TongLINK等）中間件安全基線用戶賬號與口令通過配置中間件用戶賬號與口令安全策略，提高系統(tǒng)賬號與口令安全，詳見表19。表19Tong用戶賬號與口令基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明1優(yōu)化Tong服務賬號和應用共用同一用戶（可選）Tong和應用共用同一用戶與操作系統(tǒng)應用用戶保持一致日志與審計通過對中間件的日志進行安全控制與管理，保護日志的安全與有效性，詳見表20。表20Tong日志與審計基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明

2事務包日志備份1.5GPktlog達至1」1.5G進行備份3交易會備份1.5GTxlog達到1.5G進行備份4通信管理模塊運行日志備份1.5GTonglink.log達至1」1.5G進行備份5系統(tǒng)日志備份1.5Gsyslog達到1.5G進行備份6名字服務日志備份1.5GNsfwdlog達至1」1.5G進行備份7調(diào)試日志備份1.5GTestlog達到1.5G進行備份8通信管理模塊錯誤日志備份1.5GTonglink.err達至1」1.5G進行備份9日志保存時間（可選）6個月等保三級要求日志必須保存6個月訪問控缶U通過配置中間件系統(tǒng)資源，提高中間件系統(tǒng)服務安全，詳見表2121。表21Tong訪問控制基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明10共享內(nèi)存SHMMAX:4GSHMSEG:3個以上SHMALL:12G根據(jù)不同操作系統(tǒng)調(diào)整Tong的3個核心參數(shù)11消息隊列MSGTQL:4096MSGMAX:8192MSGMNB:16384設(shè)置Tong核心應用系統(tǒng)程序進行數(shù)據(jù)傳遞參數(shù)12信號燈Maxuproc:1000以上SEMMSL:13以上SEMMNS:26以上設(shè)置Tong信號燈參數(shù)13進程數(shù)NPROC:2000以上MAXUP:1000以上設(shè)置同時運行進程數(shù)參數(shù)安全防護通過對中間件配置參數(shù)調(diào)整，提高中間件系統(tǒng)安全，詳見表22。表22Tong安全防護基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明

14數(shù)據(jù)傳輸安全根據(jù)應用需求設(shè)置加密標識根據(jù)應用需求保護數(shù)據(jù)傳輸安全15守護進程安全tldtmmonitmrcvtmsnd通信管理模塊、運行監(jiān)控、接收處理、發(fā)送處理守護進程處于常開狀態(tài)，隨時處理應用程序的請求補丁管理通過對Tong的補丁進行定期更新，達到管理基線，防止常見的漏洞被利用，詳見表23。表23Tong補丁管理基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明16安全補?。蛇x）根據(jù)實際需要更新根據(jù)實際需要更新安全補丁Tong4.2、Tong4.5、Tong4.6適用于AIX5.3以上版本Apache中間件安全基線用戶賬號與口令通過配置中間件用戶賬號與口令安全策略，提高系統(tǒng)賬號與口令安全性，詳見表24。表24Apache用戶賬號與口令基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明1優(yōu)化WEB服務賬號新建Apache可訪問80端口用戶賬號使用WAS中間件用戶安裝，root用戶啟動日志與審計通過對中間件的日志進行安全控制與管理，提高日志的安全性與有效性，詳見表25。表25Apache日志與審計基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明2日志級別（可選）Info采用Info日志級別，分析問題時采用更高日志級別3錯誤日志及記錄ErrorLog配置錯誤日志文件名及位置4訪問日志（可選）CustomLog配置訪問日志文件名及位置服務優(yōu)化通過優(yōu)化中間件系統(tǒng)資源，提高中間件系統(tǒng)服務安全性，詳見表26。表26Apache服務優(yōu)化基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明5無用模塊禁用禁用無用模塊安全防護通過對中間件配置參數(shù)調(diào)整，提高中間件系統(tǒng)安全性，詳見表27。表27Apache安全防護基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明6遍歷操作系統(tǒng)目錄（可選）禁止修改參數(shù)文件，禁止目錄遍歷7服務器應答頭中的版本信息關(guān)閉隱藏版本信息，防止軟件版本信息泄漏8服務器生成頁面的頁腳中版本信^息關(guān)閉不顯示服務器默認歡迎頁面WAS中間件安全基線用戶賬號與口令通過配置用戶賬號與口令安全策略，提高系統(tǒng)賬號與口令安全性，詳見表28。表28WAS用戶賬號與口令基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明1賬號安全策略按照操作系統(tǒng)賬號管理規(guī)范執(zhí)行符合應用系統(tǒng)運行要求2口令安全策略按照操作系統(tǒng)口令管理規(guī)范執(zhí)行符合應用系統(tǒng)運行要求3.32日志與審計

通過對系統(tǒng)的日志進行安全控制與管理，提高日志的安全性與有效性，詳見表29。表29WAS日志與審計基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明3故障日志開啟記錄相關(guān)日志4記錄級別Info記錄相關(guān)日志級別服務優(yōu)化通過優(yōu)化系統(tǒng)資源，提高系統(tǒng)服務安全性，詳見表30。表30WAS服務優(yōu)化基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明5fileserving月艮務禁止開啟用戶可能非法瀏覽應用服務器目錄和文件6酉己置config和properties目錄權(quán)限755config和properties目錄權(quán)限不當存在安全隱患安全防護通過對系統(tǒng)配置參數(shù)調(diào)整，提高系統(tǒng)安全性，詳見表31。表31WAS安全防護基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明7刪除sample例子程序刪除示例域防止已知攻擊8連接會話超時控制10分鐘設(shè)置超時時間，控制用戶登錄會話9數(shù)據(jù)傳輸安全加密傳送在服務器console管理中瀏覽器與服務器傳輸信息配置SSL10設(shè)置控制臺會話最長時間30分鐘控制臺會話timeout低于30分鐘補丁管理通過進行定期更新，達到管理基線，降低常見的的漏洞被利用，詳見表32。

表32WAS補丁管理基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明11安全補?。蛇x）按照系統(tǒng)管理室年度版本執(zhí)行根據(jù)應用系統(tǒng)實際情況選擇網(wǎng)絡(luò)設(shè)備安全基線技術(shù)要求Cisco路由器/交換機安全基線系統(tǒng)管理通過配置網(wǎng)絡(luò)設(shè)備管理，提高系統(tǒng)運維管理安全性，詳見表33。表33Cisco系統(tǒng)管理基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明1遠程ssh服務（可選）啟用采用ssh服務代替telnet服務管理網(wǎng)絡(luò)設(shè)備，提高設(shè)備管理安全性2認證方式tacas/radius認證啟用設(shè)備認證3非管理員IP地址禁止配置訪問控制列表，只允許管理員IP或網(wǎng)段能訪問網(wǎng)絡(luò)設(shè)備管理服務4配置console端口口令認證console需配置口令認證信息54.1.2統(tǒng)一時間.用戶賬號與口接入統(tǒng)一NTP服務器令保障生產(chǎn)環(huán)境所有設(shè)備時間統(tǒng)一通過配置網(wǎng)絡(luò)設(shè)備用戶賬號與口令安全策略，提高系統(tǒng)賬號與口令安全性，詳見表34。表34Cisco用戶賬號與口令基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明6Servicepassword口令加密采 用 servicepassword-encryption7enable口令加密采用secret對口令進行加密8賬號登錄空閑超時時間5分鐘設(shè)置console和vty的登錄超時時間5分鐘

9口令最小長度9口令最小長度8位口令長度為8個字符通過對網(wǎng)絡(luò)設(shè)備的日志進行安全控制與管理，提高日志的安全性與有效性，詳見表35。表35Cisco日志與審計基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明10更改SNMP的團體串（可選）更改 SNMPCommunity修改默認值public更改SNMP主機IP11系統(tǒng)日志存儲對接到1網(wǎng)管酶服務器使用日志服務器接收與存儲主機日志，網(wǎng)管平臺統(tǒng)一管理12日志保存要求6個月等保三級要求日志必須保存6個月服務優(yōu)化通過優(yōu)化網(wǎng)絡(luò)設(shè)備，提高系統(tǒng)服務安全性，詳見表36。表36Cisco服務優(yōu)化基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明13TCP、UDPSmall服務（可選）禁止禁用無用服務14Finger服務禁止禁用無用服務15HTTP服務禁止禁用無用服務16HTTPS服務禁止禁用無用服務17BOOTp服務禁止禁用無用服務18IPSourceRouting服務禁止禁用無用服務19ARP-Proxy月服務禁止禁用無用服務20cdp服務（可選）禁止禁用無用服務（只適用于邊界設(shè)備）21FTP服務（可選）禁止禁用無用服務訪問控制通過對設(shè)備配置進行調(diào)整，提高設(shè)備或網(wǎng)絡(luò)安全性，詳見表

37。表37Cisco訪問控制基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明22loginbanner信息修改默認值為警示語默認值不為空23BGP認證（可選）啟用加強路由信息安全24EIGRP認證（可選）啟用加強路由信息安全25OSPF認證（可選）啟用加強路由信息安全26RIPv2認證（可選）啟用加強路由信息安全27MAC綁定（可選）IP+MAC+端口綁定重要服務器采用IP+MAC+端口綁定28網(wǎng)絡(luò)端口AUX（可選）關(guān)閉關(guān)閉沒用網(wǎng)絡(luò)端口H3c路由器/交換機安全基線系統(tǒng)管理通過配置網(wǎng)絡(luò)設(shè)備管理，預防遠程訪問服務攻擊或非授權(quán)訪問，提高網(wǎng)絡(luò)設(shè)備遠程管理安全性，詳見表38。表38H3c系統(tǒng)管理基線技術(shù)要求序號基線技術(shù)要求基線標準點（參數(shù)）說明1遠程ssh服務（可選）啟用采用ssh服務代替telnet服務管理網(wǎng)絡(luò)設(shè)備，提高設(shè)備管理安全性2認證方式tacas/radius認證啟用設(shè)備認證3非管理員IP地址禁止配置訪問控制列表，只允許管理員IP或網(wǎng)段能訪問網(wǎng)絡(luò)設(shè)備管理服務4配置console端口口令認證console需配置口令認證信息54.2.2統(tǒng)一時間.用戶賬號與口接入統(tǒng)一NTP服務器令保障生產(chǎn)環(huán)境所有設(shè)備時間統(tǒng)一通過配置用戶賬號與口令安全策略，提高系統(tǒng)賬號與口令安全，詳見表39。表39H3c用戶賬號與口令基線技術(shù)要求

序號基線技術(shù)要求基線標準點（