2024年信息系統(tǒng)安全基線(xiàn)

操作系統(tǒng)安全基線(xiàn)技術(shù)規(guī)定AIX系統(tǒng)安全基線(xiàn)系統(tǒng)管理通過(guò)配置操作系統(tǒng)運(yùn)維管理安全方略，提高系統(tǒng)運(yùn)維管理安全性，詳見(jiàn)表1。表1AIX系統(tǒng)管理基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明限制超級(jí)管理員權(quán)限的顧客遠(yuǎn)程登錄PermitRootLoginno限制root顧客遠(yuǎn)程使用telnet登錄（可選）使用動(dòng)態(tài)口令令牌登錄安裝動(dòng)態(tài)口令配置本機(jī)訪(fǎng)問(wèn)控制列表（可選）配置/etc/hosts.allow,/etc/hosts.deny安裝TCPWrapper，提高對(duì)系統(tǒng)訪(fǎng)問(wèn)控制顧客賬號(hào)與口令通過(guò)配置操作系統(tǒng)顧客賬號(hào)與口令安全方略，提高系統(tǒng)賬號(hào)與口令安全性，詳見(jiàn)表2。表2AIX系統(tǒng)顧客賬戶(hù)與口令基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明限制系統(tǒng)無(wú)用默認(rèn)賬號(hào)登錄daemon（禁用）bin（禁用）sys（禁用）adm（禁用）uucp（禁用）nuucp（禁用）lpd（禁用）guest（禁用）pconsole（禁用）esaadmin（禁用）sshd（禁用）清理多出顧客賬號(hào)，限制系統(tǒng)默認(rèn)賬號(hào)登錄，同步，針對(duì)需要使用的顧客，制定顧客列表，并妥善保留控制顧客登錄超時(shí)時(shí)間10分鐘控制顧客登錄會(huì)話(huà)，設(shè)置超時(shí)時(shí)間口令最小長(zhǎng)度8位口令安全方略（口令為超級(jí)顧客靜態(tài)口令）口令中至少非字母數(shù)字字符1個(gè)口令安全方略（口令為超級(jí)顧客靜態(tài)口令）信息系統(tǒng)的口令的最大周期90天口令安全方略（口令為超級(jí)顧客靜態(tài)口令）口令不反復(fù)的次數(shù)10次口令安全方略（口令為超級(jí)顧客靜態(tài)口令）曰志與審計(jì)通過(guò)對(duì)操作系統(tǒng)的曰志進(jìn)行安全控制與管理，提高曰志的安全性，詳見(jiàn)表3。表3AIX系統(tǒng)曰志與審計(jì)基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明系統(tǒng)曰志記錄（可選）authlog、sulog、wtmp、failedlogin記錄必需的曰志信息，以便進(jìn)行審計(jì)系統(tǒng)曰志存儲(chǔ)（可選)對(duì)接到統(tǒng)壹曰志服務(wù)器使用曰志服務(wù)器接受與存儲(chǔ)主機(jī)曰志，網(wǎng)管平臺(tái)統(tǒng)壹管理曰志保留規(guī)定（可選）6個(gè)月等保三級(jí)規(guī)定曰志必須保留6個(gè)月配置曰志系統(tǒng)文獻(xiàn)保護(hù)屬性（可選）400修改配置文獻(xiàn)syslog.conf權(quán)限為管理員賬號(hào)只讀修改曰志文獻(xiàn)保護(hù)權(quán)限（可選）400修改曰志文獻(xiàn)authlog、wtmp、sulog、failedlogin的權(quán)限管理員賬號(hào)只讀服務(wù)優(yōu)化通過(guò)優(yōu)化操作系統(tǒng)資源，提高系統(tǒng)服務(wù)安全性，詳見(jiàn)表4。表4AIX系統(tǒng)服務(wù)優(yōu)化基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明discard服務(wù)嚴(yán)禁網(wǎng)絡(luò)測(cè)試服務(wù)，丟棄輸入,為“拒絕服務(wù)”襲擊提供機(jī)會(huì),除非正在測(cè)試網(wǎng)絡(luò)，否則禁用daytime服務(wù)嚴(yán)禁網(wǎng)絡(luò)測(cè)試服務(wù)，顯示時(shí)間,為“拒絕服務(wù)”襲擊提供機(jī)會(huì),除非正在測(cè)試網(wǎng)絡(luò)，否則禁用chargen服務(wù)嚴(yán)禁網(wǎng)絡(luò)測(cè)試服務(wù)，回應(yīng)隨機(jī)字符串,為“拒絕服務(wù)”襲擊提供機(jī)會(huì),除非正在測(cè)試網(wǎng)絡(luò)，否則禁用comsat服務(wù)嚴(yán)禁comsat告知接受的電子郵件，以root顧客身份運(yùn)行，因此波及安全性,除非需要接受郵件，否則禁用ntalk服務(wù)嚴(yán)禁ntalk容許顧客互相交談，以root顧客身份運(yùn)行，除非絕對(duì)需要，否則禁用talk服務(wù)嚴(yán)禁在網(wǎng)上兩個(gè)顧客間建立分區(qū)屏幕，不是必需服務(wù)，與talk命令壹起使用，在端口517提供UDP服務(wù)tftp服務(wù)嚴(yán)禁以root顧客身份運(yùn)行并且也許危及安全ftp服務(wù)（可選）嚴(yán)禁防備非法訪(fǎng)問(wèn)目錄風(fēng)險(xiǎn)telnet服務(wù)嚴(yán)禁遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)uucp服務(wù)嚴(yán)禁除非有使用UUCP的應(yīng)用程序，否則禁用dtspc服務(wù)（可選）嚴(yán)禁CDE子過(guò)程控制不用圖形管理則禁用klogin服務(wù)（可選）嚴(yán)禁Kerberos登錄，假如站點(diǎn)使用Kerberos認(rèn)證則啟用kshell服務(wù)（可選）嚴(yán)禁Kerberosshell，假如站點(diǎn)使用Kerberos認(rèn)證則啟用訪(fǎng)問(wèn)控制通過(guò)對(duì)操作系統(tǒng)安全權(quán)限參數(shù)進(jìn)行調(diào)整，提高系統(tǒng)訪(fǎng)問(wèn)安全性，詳見(jiàn)表5。表5AIX系統(tǒng)訪(fǎng)問(wèn)控制基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明修改Umask權(quán)限022或027規(guī)定修改默認(rèn)文獻(xiàn)權(quán)限關(guān)鍵文獻(xiàn)權(quán)限控制passwd、group、security的所有者必須是root和security組組員設(shè)置/etc/passwd，/etc/group，/etc/security等關(guān)鍵文獻(xiàn)和目錄的權(quán)限audit的所有者必須是root和audit組組員/etc/security/audit的所有者必須是root和audit組組員/etc/passwdrw-r--r--/etc/passwd目錄權(quán)限為644所有顧客可讀，root顧客可寫(xiě)/etc/grouprw-r--r--/etc/grouproot目錄權(quán)限為644所有顧客可讀，root顧客可寫(xiě)統(tǒng)壹時(shí)間接入統(tǒng)壹NTP服務(wù)器保障生產(chǎn)環(huán)境所有系統(tǒng)時(shí)間統(tǒng)壹Windows系統(tǒng)安全基線(xiàn)顧客賬號(hào)與口令通過(guò)配置操作系統(tǒng)顧客賬號(hào)與口令安全方略，提高系統(tǒng)賬號(hào)與口令安全性，詳見(jiàn)表6。表6Windows系統(tǒng)顧客賬號(hào)與口令基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明口令必須符合復(fù)雜性規(guī)定啟用口令安全方略（不波及終端及動(dòng)態(tài)口令）口令長(zhǎng)度最小值8位口令安全方略（不波及終端）口令最長(zhǎng)有效期限90天口令安全方略（不波及終端）強(qiáng)制口令歷史10次口令安全方略（不波及終端）復(fù)位賬號(hào)鎖定計(jì)數(shù)器10分鐘賬號(hào)鎖定方略（不波及終端）賬號(hào)鎖定期間（可選）10分鐘賬號(hào)鎖定方略（不波及終端）賬號(hào)鎖定閥值（可選）10次賬號(hào)鎖定方略（不波及終端）guest賬號(hào)嚴(yán)禁禁用guest賬號(hào)administrator（可選）重命名保護(hù)administrator安全無(wú)需賬號(hào)檢查與管理禁用禁用無(wú)需使用賬號(hào)曰志與審計(jì)通過(guò)對(duì)操作系統(tǒng)曰志進(jìn)行安全控制與管理，提高曰志的安全性與有效性，詳見(jiàn)表7。表7Windows系統(tǒng)曰志與審計(jì)基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明審核賬號(hào)登錄事件成功與失敗曰志審核方略審核賬號(hào)管理成功與失敗曰志審核方略審核目錄服務(wù)訪(fǎng)問(wèn)成功曰志審核方略審核登錄事件成功與失敗曰志審核方略審核方略更改成功與失敗曰志審核方略審核系統(tǒng)事件成功曰志審核方略曰志存儲(chǔ)地址（可選）接入到統(tǒng)壹曰志服務(wù)器曰志存儲(chǔ)在統(tǒng)壹曰志服務(wù)器中曰志保留規(guī)定（可選）6個(gè)月等保三級(jí)規(guī)定曰志保留6個(gè)月服務(wù)優(yōu)化通過(guò)優(yōu)化系統(tǒng)資源，提高系統(tǒng)服務(wù)安全性，詳見(jiàn)表8。表8Windows系統(tǒng)服務(wù)優(yōu)化基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明Alerter服務(wù)嚴(yán)禁嚴(yán)禁進(jìn)程間發(fā)送信息服務(wù)Clipbook（可選）嚴(yán)禁嚴(yán)禁機(jī)器間共享剪裁板上信息服務(wù)ComputerBrowser服務(wù)（可選）嚴(yán)禁嚴(yán)禁跟蹤網(wǎng)絡(luò)上壹種域內(nèi)的機(jī)器服務(wù)Messenger服務(wù)嚴(yán)禁嚴(yán)禁即時(shí)通訊服務(wù)RemoteRegistryService服務(wù)嚴(yán)禁嚴(yán)禁遠(yuǎn)程操作注冊(cè)表服務(wù)RoutingandRemoteAccess服務(wù)嚴(yán)禁嚴(yán)禁路由和遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)PrintSpooler（可選）嚴(yán)禁嚴(yán)禁後臺(tái)打印處理服務(wù)AutomaticUpdates服務(wù)（可選）嚴(yán)禁嚴(yán)禁自動(dòng)更新服務(wù)TerminalService服務(wù)（可選）嚴(yán)禁嚴(yán)禁終端服務(wù)訪(fǎng)問(wèn)控制通過(guò)對(duì)系統(tǒng)配置參數(shù)調(diào)整，提高系統(tǒng)安全性，詳見(jiàn)表9。表9Windows系統(tǒng)訪(fǎng)問(wèn)控制基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明文獻(xiàn)系統(tǒng)格式NTFS磁盤(pán)文獻(xiàn)系統(tǒng)格式為NTFS桌面屏保10分鐘桌面屏保方略防病毒軟件安裝賽門(mén)鐵克生產(chǎn)環(huán)境安裝賽門(mén)鐵克防病毒最新版本軟件防病毒代碼庫(kù)升級(jí)時(shí)間7天文獻(xiàn)共享（可選）嚴(yán)禁嚴(yán)禁配置文獻(xiàn)共享，若工作需要必須配置共享，須設(shè)置賬號(hào)與口令系統(tǒng)自帶防火墻（可選）嚴(yán)禁嚴(yán)禁自帶防火墻默認(rèn)共享IPC$、ADMIN$、C$、D$等嚴(yán)禁安全控制選項(xiàng)優(yōu)化不容許匿名枚取SAM賬號(hào)與共享啟用網(wǎng)絡(luò)訪(fǎng)問(wèn)安全控制選項(xiàng)優(yōu)化不顯示上次的顧客名啟用交互式登錄安全控制選項(xiàng)優(yōu)化控制驅(qū)動(dòng)器嚴(yán)禁嚴(yán)禁自動(dòng)運(yùn)行藍(lán)屏後自動(dòng)啟動(dòng)機(jī)器（可選）嚴(yán)禁嚴(yán)禁藍(lán)屏後自動(dòng)啟動(dòng)機(jī)器統(tǒng)壹時(shí)間接入統(tǒng)壹NTP服務(wù)器保障生產(chǎn)環(huán)境所有系統(tǒng)時(shí)間統(tǒng)壹補(bǔ)丁管理通過(guò)進(jìn)行定期更新，減少常見(jiàn)的漏洞被運(yùn)用，詳見(jiàn)表10。表10Windows系統(tǒng)補(bǔ)丁管理基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明安全服務(wù)包winSP2winSP1安裝微軟最新的安全服務(wù)包安全補(bǔ)丁（可選）更新到最新根據(jù)實(shí)際需要更新安全補(bǔ)丁Linux系統(tǒng)安全基線(xiàn)系統(tǒng)管理通過(guò)配置系統(tǒng)安全管理工具，提高系統(tǒng)運(yùn)維管理的安全性，詳見(jiàn)表11。表11Linux系統(tǒng)管理基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明安裝SSH管理遠(yuǎn)程工具(可選)安裝OpenSSHOpenSSH為遠(yuǎn)程管理高安全性工具，保護(hù)管理過(guò)程中傳播數(shù)據(jù)的安全配置本機(jī)訪(fǎng)問(wèn)控制列表（可選）配置/etc/hosts.allow,/etc/hosts.deny安裝TCPWrapper，提高對(duì)系統(tǒng)訪(fǎng)問(wèn)控制顧客賬號(hào)與口令通過(guò)配置Linux系統(tǒng)顧客賬號(hào)與口令安全方略，提高系統(tǒng)賬號(hào)與口令安全性，詳見(jiàn)表12。表12Linux系統(tǒng)顧客賬號(hào)與口令基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明嚴(yán)禁系統(tǒng)無(wú)用默認(rèn)賬號(hào)登錄OperatorHaltSyncNewsUucpLpnobodyGopher嚴(yán)禁清理多出顧客賬號(hào)，限制系統(tǒng)默認(rèn)賬號(hào)登錄，同步，針對(duì)需要使用的顧客，制定顧客列表進(jìn)行妥善保留root遠(yuǎn)程登錄嚴(yán)禁嚴(yán)禁root遠(yuǎn)程登錄口令使用最長(zhǎng)周期90天口令安全方略（超級(jí)顧客口令）口令過(guò)期提醒修改時(shí)間28天口令安全方略（超級(jí)顧客口令）口令最小長(zhǎng)度8位口令安全方略設(shè)置超時(shí)時(shí)間10分鐘口令安全方略曰志與審計(jì)通過(guò)對(duì)Linux系統(tǒng)的曰志進(jìn)行安全控制與管理，提高曰志的安全性與有效性，詳見(jiàn)表13。表13Linux系統(tǒng)曰志與審計(jì)基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明記錄安全曰志authpriv曰志記錄網(wǎng)絡(luò)設(shè)備啟動(dòng)、usermod、change等方面曰志曰志存儲(chǔ)（可選）接入到統(tǒng)壹曰志服務(wù)器使用統(tǒng)壹曰志服務(wù)器接受并存儲(chǔ)系統(tǒng)曰志曰志保留時(shí)間6個(gè)月等保三級(jí)規(guī)定曰志必須保留6個(gè)月曰志系統(tǒng)配置文獻(xiàn)保護(hù)400修改配置文獻(xiàn)syslog.conf權(quán)限為管理員顧客只讀服務(wù)優(yōu)化通過(guò)優(yōu)化Linux系統(tǒng)資源，提高系統(tǒng)服務(wù)安全性，詳見(jiàn)表14。表14Linux系統(tǒng)服務(wù)優(yōu)化基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明ftp服務(wù)（可選）嚴(yán)禁文獻(xiàn)上傳服務(wù)sendmail服務(wù)嚴(yán)禁郵件服務(wù)klogin服務(wù)（可選）嚴(yán)禁Kerberos登錄，假如站點(diǎn)使用Kerberos認(rèn)證則啟用kshell服務(wù)（可選）嚴(yán)禁Kerberosshell，假如站點(diǎn)使用Kerberos認(rèn)證則啟用ntalk服務(wù)嚴(yán)禁newtalktftp服務(wù)嚴(yán)禁以root顧客身份運(yùn)行也許危及安全imap服務(wù)（可選）嚴(yán)禁郵件服務(wù)pop3服務(wù)（可選）嚴(yán)禁郵件服務(wù)telnet服務(wù)(可選)嚴(yán)禁遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)GUI服務(wù)（可選）嚴(yán)禁圖形管理服務(wù)xinetd服務(wù)（可選）啟動(dòng)增強(qiáng)系統(tǒng)安全訪(fǎng)問(wèn)控制通過(guò)對(duì)Linux系統(tǒng)配置參數(shù)調(diào)整，提高系統(tǒng)安全性，詳見(jiàn)表15。表15Linux系統(tǒng)訪(fǎng)問(wèn)控制基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明Umask權(quán)限022或027修改默認(rèn)文獻(xiàn)權(quán)限關(guān)鍵文獻(xiàn)權(quán)限控制/etc/passwd目錄權(quán)限為644/etc/passwdrw-r--r—所有顧客可讀，root顧客可寫(xiě)/etc/shadow目錄權(quán)限為400/etc/shadowr--------只有root可讀/etc/grouproot目錄權(quán)限為644/etc/grouprw-r--r—所有顧客可讀，root顧客可寫(xiě)統(tǒng)壹時(shí)間接入統(tǒng)壹NTP服務(wù)器保障生產(chǎn)環(huán)境所有系統(tǒng)時(shí)間統(tǒng)壹數(shù)據(jù)庫(kù)安全基線(xiàn)技術(shù)規(guī)定Oracle數(shù)據(jù)庫(kù)系統(tǒng)安全基線(xiàn)顧客賬號(hào)與口令通過(guò)配置數(shù)據(jù)庫(kù)系統(tǒng)顧客賬號(hào)與口令安全方略，提高數(shù)據(jù)庫(kù)系統(tǒng)賬號(hào)與口令安全性，詳見(jiàn)表16。表16Oracle系統(tǒng)顧客賬號(hào)與口令基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明Oracle無(wú)用賬號(hào)TIGERSCOTT等禁用禁用無(wú)用賬號(hào)默認(rèn)管理賬號(hào)管理SYSTEMDMSYS等更改口令賬號(hào)安全方略（新系統(tǒng)）數(shù)據(jù)庫(kù)自動(dòng)登錄SYSDBA賬號(hào)嚴(yán)禁賬號(hào)安全方略口令最小長(zhǎng)度8位口令安全方略（新系統(tǒng)）口令有效期12個(gè)月新系統(tǒng)執(zhí)行此項(xiàng)規(guī)定嚴(yán)禁使用已設(shè)置過(guò)的口令次數(shù)10次口令安全方略曰志與審計(jì)通過(guò)對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的曰志進(jìn)行安全控制與管理，提高曰志的安全性與有效性，詳見(jiàn)表17。表17Oracle系統(tǒng)曰志與審計(jì)基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明曰志保留規(guī)定（可選）3個(gè)月曰志必須保留3個(gè)月曰志文獻(xiàn)保護(hù)啟用設(shè)置訪(fǎng)問(wèn)曰志文獻(xiàn)權(quán)限訪(fǎng)問(wèn)控制通過(guò)對(duì)數(shù)據(jù)庫(kù)系統(tǒng)配置參數(shù)調(diào)整，提高數(shù)據(jù)庫(kù)系統(tǒng)安全性，詳見(jiàn)表18。表18Oracle系統(tǒng)訪(fǎng)問(wèn)控制基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明監(jiān)聽(tīng)程序加密（可選）設(shè)置口令設(shè)置監(jiān)聽(tīng)器口令（新系統(tǒng)）修改服務(wù)監(jiān)聽(tīng)默認(rèn)端口（可選）非TCP1521系統(tǒng)可執(zhí)行此項(xiàng)規(guī)定中間件安全基線(xiàn)技術(shù)規(guī)定Tong（TongEASY、TongLINK等）中間件安全基線(xiàn)顧客賬號(hào)與口令通過(guò)配置中間件顧客賬號(hào)與口令安全方略，提高系統(tǒng)賬號(hào)與口令安全，詳見(jiàn)表19。表19Tong顧客賬號(hào)與口令基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明優(yōu)化Tong服務(wù)賬號(hào)和應(yīng)用共用同壹顧客（可選）Tong和應(yīng)用共用同壹顧客與操作系統(tǒng)應(yīng)用顧客保持壹致曰志與審計(jì)通過(guò)對(duì)中間件的曰志進(jìn)行安全控制與管理，保護(hù)曰志的安全與有效性，詳見(jiàn)表20。表20Tong曰志與審計(jì)基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明事務(wù)包曰志備份1.5GPktlog到達(dá)1.5G進(jìn)行備份交易曰志備份1.5GTxlog到達(dá)1.5G進(jìn)行備份通信管理模塊運(yùn)行曰志備份1.5GTonglink.log到達(dá)1.5G進(jìn)行備份系統(tǒng)曰志備份1.5Gsyslog到達(dá)1.5G進(jìn)行備份名字服務(wù)曰志備份1.5GNsfwdlog到達(dá)1.5G進(jìn)行備份調(diào)試曰志備份1.5GTestlog到達(dá)1.5G進(jìn)行備份通信管理模塊錯(cuò)誤曰志備份1.5GTonglink.err到達(dá)1.5G進(jìn)行備份曰志保留時(shí)間(可選)6個(gè)月等保三級(jí)規(guī)定曰志必須保留6個(gè)月訪(fǎng)問(wèn)控制通過(guò)配置中間件系統(tǒng)資源，提高中間件系統(tǒng)服務(wù)安全，詳見(jiàn)表21。表21Tong訪(fǎng)問(wèn)控制基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明共享內(nèi)存SHMMAX：4GSHMSEG：3個(gè)以上SHMALL：12G根據(jù)不壹樣操作系統(tǒng)調(diào)整Tong的3個(gè)關(guān)鍵參數(shù)消息隊(duì)列MSGTQL：4096MSGMAX：8192MSGMNB：16384設(shè)置Tong關(guān)鍵應(yīng)用系統(tǒng)程序進(jìn)行數(shù)據(jù)傳遞參數(shù)信號(hào)燈Maxuproc：1000以上SEMMSL：13以上SEMMNS：26以上設(shè)置Tong信號(hào)燈參數(shù)進(jìn)程數(shù)NPROC：以上MAXUP：1000以上設(shè)置同步運(yùn)行進(jìn)程數(shù)參數(shù)服務(wù)器應(yīng)答頭中的版本信息關(guān)閉隱藏版本信息，防止軟件版本信息泄漏安全防護(hù)通過(guò)對(duì)中間件配置參數(shù)調(diào)整，提高中間件系統(tǒng)安全，詳見(jiàn)表22。表22Tong安全防護(hù)基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明數(shù)據(jù)傳播安全根據(jù)應(yīng)用需求設(shè)置加密標(biāo)識(shí)根據(jù)應(yīng)用需求保護(hù)數(shù)據(jù)傳播安全守護(hù)進(jìn)程安全tldtmmonitmrcvtmsnd通信管理模塊、運(yùn)行監(jiān)控、接受處理、發(fā)送處理守護(hù)進(jìn)程處在常開(kāi)狀態(tài)，隨時(shí)處理應(yīng)用程序的祈求補(bǔ)丁管理通過(guò)對(duì)Tong的補(bǔ)丁進(jìn)行定期更新，到達(dá)管理基線(xiàn)，防止常見(jiàn)的漏洞被運(yùn)用，詳見(jiàn)表23。表23Tong補(bǔ)丁管理基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明安全補(bǔ)?。蛇x）根據(jù)實(shí)際需要更新根據(jù)實(shí)際需要更新安全補(bǔ)丁Tong4.2、Tong4.5、Tong4.6合用于AIX5.3以上版本Apache中間件安全基線(xiàn)顧客賬號(hào)與口令通過(guò)配置中間件顧客賬號(hào)與口令安全方略，提高系統(tǒng)賬號(hào)與口令安全性，詳見(jiàn)表24。表24Apache顧客賬號(hào)與口令基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明優(yōu)化WEB服務(wù)賬號(hào)新建Apache可訪(fǎng)問(wèn)80端口顧客賬號(hào)使用WAS中間件顧客安裝，root顧客啟動(dòng)曰志與審計(jì)通過(guò)對(duì)中間件的曰志進(jìn)行安全控制與管理，提高曰志的安全性與有效性，詳見(jiàn)表25。表25Apache曰志與審計(jì)基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明曰志級(jí)別（可選）Info采用Info曰志級(jí)別，分析問(wèn)題時(shí)采用更高曰志級(jí)別錯(cuò)誤曰志及記錄ErrorLog配置錯(cuò)誤曰志文獻(xiàn)名及位置訪(fǎng)問(wèn)曰志（可選）CustomLog配置訪(fǎng)問(wèn)曰志文獻(xiàn)名及位置服務(wù)優(yōu)化通過(guò)優(yōu)化中間件系統(tǒng)資源，提高中間件系統(tǒng)服務(wù)安全性，詳見(jiàn)表26。表26Apache服務(wù)優(yōu)化基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明無(wú)用模塊禁用禁用無(wú)用模塊安全防護(hù)通過(guò)對(duì)中間件配置參數(shù)調(diào)整，提高中間件系統(tǒng)安全性，詳見(jiàn)表27。表27Apache安全防護(hù)基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明遍歷操作系統(tǒng)目錄（可選）嚴(yán)禁修改參數(shù)文獻(xiàn)，嚴(yán)禁目錄遍歷服務(wù)器應(yīng)答頭中的版本信息關(guān)閉隱藏版本信息，防止軟件版本信息泄漏服務(wù)器生成頁(yè)面的頁(yè)腳中版本信息關(guān)閉不顯示服務(wù)器默認(rèn)歡迎頁(yè)面WAS中間件安全基線(xiàn)顧客賬號(hào)與口令通過(guò)配置顧客賬號(hào)與口令安全方略，提高系統(tǒng)賬號(hào)與口令安全性，詳見(jiàn)表28。表28WAS顧客賬號(hào)與口令基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明賬號(hào)安全方略按照操作系統(tǒng)賬號(hào)管理規(guī)范執(zhí)行符合應(yīng)用系統(tǒng)運(yùn)行規(guī)定口令安全方略按照操作系統(tǒng)口令管理規(guī)范執(zhí)行符合應(yīng)用系統(tǒng)運(yùn)行規(guī)定曰志與審計(jì)通過(guò)對(duì)系統(tǒng)的曰志進(jìn)行安全控制與管理，提高曰志的安全性與有效性，詳見(jiàn)表29。表29WAS曰志與審計(jì)基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明故障曰志啟動(dòng)記錄有關(guān)曰志記錄級(jí)別Info記錄有關(guān)曰志級(jí)別服務(wù)優(yōu)化通過(guò)優(yōu)化系統(tǒng)資源，提高系統(tǒng)服務(wù)安全性，詳見(jiàn)表30。表30WAS服務(wù)優(yōu)化基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明fileserving服務(wù)嚴(yán)禁啟動(dòng)顧客也許非法瀏覽應(yīng)用服務(wù)器目錄和文獻(xiàn)配置config和properties目錄權(quán)限755config和properties目錄權(quán)限不妥存在安全隱患安全防護(hù)通過(guò)對(duì)系統(tǒng)配置參數(shù)調(diào)整，提高系統(tǒng)安全性，詳見(jiàn)表31。表31WAS安全防護(hù)基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明刪除sample例子程序刪除示例域防止已知襲擊連接會(huì)話(huà)超時(shí)控制10分鐘設(shè)置超時(shí)時(shí)間，控制顧客登錄會(huì)話(huà)數(shù)據(jù)傳播安全加密傳送在服務(wù)器console管理中瀏覽器與服務(wù)器傳播信息配置SSL設(shè)置控制臺(tái)會(huì)話(huà)最長(zhǎng)時(shí)間30分鐘控制臺(tái)會(huì)話(huà)timeout低于30分鐘補(bǔ)丁管理通過(guò)進(jìn)行定期更新，到達(dá)管理基線(xiàn)，減少常見(jiàn)的的漏洞被運(yùn)用，詳見(jiàn)表32。表32WAS補(bǔ)丁管理基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明安全補(bǔ)?。蛇x）按照系統(tǒng)管理室年度版本執(zhí)行根據(jù)應(yīng)用系統(tǒng)實(shí)際狀況選擇網(wǎng)絡(luò)設(shè)備安全基線(xiàn)技術(shù)規(guī)定Cisco路由器/互換機(jī)安全基線(xiàn)系統(tǒng)管理通過(guò)配置網(wǎng)絡(luò)設(shè)備管理，提高系統(tǒng)運(yùn)維管理安全性，詳見(jiàn)表33。表33Cisco系統(tǒng)管理基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明遠(yuǎn)程ssh服務(wù)（可選）啟用采用ssh服務(wù)替代telnet服務(wù)管理網(wǎng)絡(luò)設(shè)備，提高設(shè)備管理安全性認(rèn)證方式tacas/radius認(rèn)證啟用設(shè)備認(rèn)證非管理員IP地址嚴(yán)禁配置訪(fǎng)問(wèn)控制列表，只容許管理員IP或網(wǎng)段能訪(fǎng)問(wèn)網(wǎng)絡(luò)設(shè)備管理服務(wù)配置console端口口令認(rèn)證console需配置口令認(rèn)證信息統(tǒng)壹時(shí)間接入統(tǒng)壹NTP服務(wù)器保障生產(chǎn)環(huán)境所有設(shè)備時(shí)間統(tǒng)壹顧客賬號(hào)與口令通過(guò)配置網(wǎng)絡(luò)設(shè)備顧客賬號(hào)與口令安全方略，提高系統(tǒng)賬號(hào)與口令安全性，詳見(jiàn)表34。表34Cisco顧客賬號(hào)與口令基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明Servicepassword口令加密采用servicepassword-encryptionenable口令加密采用secret對(duì)口令進(jìn)行加密賬號(hào)登錄空閑超時(shí)時(shí)間5分鐘設(shè)置console和vty的登錄超時(shí)時(shí)間5分鐘口令最小長(zhǎng)度8位口令長(zhǎng)度為8個(gè)字符曰志與審計(jì)通過(guò)對(duì)網(wǎng)絡(luò)設(shè)備的曰志進(jìn)行安全控制與管理，提高曰志的安全性與有效性，詳見(jiàn)表35。表35Cisco曰志與審計(jì)基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明更改SNMP的團(tuán)體串（可選）更改SNMPCommunity修改默認(rèn)值public更改SNMP主機(jī)IP系統(tǒng)曰志存儲(chǔ)對(duì)接到網(wǎng)管曰志服務(wù)器使用曰志服務(wù)器接受與存儲(chǔ)主機(jī)曰志，網(wǎng)管平臺(tái)統(tǒng)壹管理曰志保留規(guī)定6個(gè)月等保三級(jí)規(guī)定曰志必須保留6個(gè)月服務(wù)優(yōu)化通過(guò)優(yōu)化網(wǎng)絡(luò)設(shè)備，提高系統(tǒng)服務(wù)安全性，詳見(jiàn)表36。表36Cisco服務(wù)優(yōu)化基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明TCP、UDPSmall服務(wù)（可選）嚴(yán)禁禁用無(wú)用服務(wù)Finger服務(wù)嚴(yán)禁禁用無(wú)用服務(wù)HTTP服務(wù)嚴(yán)禁禁用無(wú)用服務(wù)HTTPS服務(wù)嚴(yán)禁禁用無(wú)用服務(wù)BOOTp服務(wù)嚴(yán)禁禁用無(wú)用服務(wù)IPSourceRouting服務(wù)嚴(yán)禁禁用無(wú)用服務(wù)ARP-Proxy服務(wù)嚴(yán)禁禁用無(wú)用服務(wù)cdp服務(wù)（可選）嚴(yán)禁禁用無(wú)用服務(wù)(只合用于邊界設(shè)備)FTP服務(wù)（可選）嚴(yán)禁禁用無(wú)用服務(wù)訪(fǎng)問(wèn)控制通過(guò)對(duì)設(shè)備配置進(jìn)行調(diào)整，提高設(shè)備或網(wǎng)絡(luò)安全性，詳見(jiàn)表37。表37Cisco訪(fǎng)問(wèn)控制基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明loginbanner信息修改默認(rèn)值為警示語(yǔ)默認(rèn)值不為空BGP認(rèn)證（可選）啟用加強(qiáng)路由信息安全EIGRP認(rèn)證（可選）啟用加強(qiáng)路由信息安全OSPF認(rèn)證（可選）啟用加強(qiáng)路由信息安全RIPv2認(rèn)證（可選）啟用加強(qiáng)路由信息安全MAC綁定（可選）IP+MAC+端口綁定重要服務(wù)器采用IP+MAC+端口綁定網(wǎng)絡(luò)端口AUX（可選）關(guān)閉關(guān)閉沒(méi)用網(wǎng)絡(luò)端口H3C路由器/互換機(jī)安全基線(xiàn)系統(tǒng)管理通過(guò)配置網(wǎng)絡(luò)設(shè)備管理，防止遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)襲擊或非授權(quán)訪(fǎng)問(wèn)，提高網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理安全性，詳見(jiàn)表38。表38H3C系統(tǒng)管理基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明遠(yuǎn)程ssh服務(wù)（可選）啟用采用ssh服務(wù)替代telnet服務(wù)管理網(wǎng)絡(luò)設(shè)備，提高設(shè)備管理安全性認(rèn)證方式tacas/radius認(rèn)證啟用設(shè)備認(rèn)證非管理員IP地址嚴(yán)禁配置訪(fǎng)問(wèn)控制列表，只容許管理員IP或網(wǎng)段能訪(fǎng)問(wèn)網(wǎng)絡(luò)設(shè)備管理服務(wù)配置console端口口令認(rèn)證console需配置口令認(rèn)證信息統(tǒng)壹時(shí)間接入統(tǒng)壹NTP服務(wù)器保障生產(chǎn)環(huán)境所有設(shè)備時(shí)間統(tǒng)壹顧客賬號(hào)與口令通過(guò)配置顧客賬號(hào)與口令安全方略，提高系統(tǒng)賬號(hào)與口令安全，詳見(jiàn)表39。表39H3C顧客賬號(hào)與口令基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明system口令加密方式采用cipher對(duì)口令進(jìn)行加密賬號(hào)登錄空閑超時(shí)時(shí)間5分鐘設(shè)置console和vty的登錄超時(shí)時(shí)間5分鐘口令最小長(zhǎng)度8位口令安全方略曰志與審計(jì)通過(guò)對(duì)網(wǎng)絡(luò)設(shè)備的曰志進(jìn)行安全控制與管理，提高曰志的安全性與有效性，詳見(jiàn)表40。表40H3C曰志與審計(jì)基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明系統(tǒng)曰志接入到網(wǎng)管曰志服務(wù)器使用網(wǎng)管平臺(tái)統(tǒng)壹曰志服務(wù)器接受與存儲(chǔ)曰志保留規(guī)定6個(gè)月等保三級(jí)規(guī)定曰志必須保留6個(gè)月服務(wù)優(yōu)化通過(guò)優(yōu)化網(wǎng)絡(luò)設(shè)備資源，提高設(shè)備服務(wù)安全性，詳見(jiàn)表41。表41H3C服務(wù)優(yōu)化基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明http服務(wù)禁用關(guān)閉弱服務(wù)FTP服務(wù)（可選）嚴(yán)禁禁用Ftp服務(wù)訪(fǎng)問(wèn)控制通過(guò)對(duì)網(wǎng)絡(luò)設(shè)備配置參數(shù)調(diào)整，提高設(shè)備安全性，詳見(jiàn)表42。表42H3C訪(fǎng)問(wèn)控制基線(xiàn)技術(shù)規(guī)定序號(hào)基線(xiàn)技術(shù)規(guī)定基線(xiàn)原則點(diǎn)（參數(shù)）闡明BGP認(rèn)證（可選）啟用加強(qiáng)路由信息安全OSPF認(rèn)證（可選）啟用