2022年信息系统的安全基线.pdf

《2022年信息系统的安全基线.pdf》由会员分享，可在线阅读，更多相关《2022年信息系统的安全基线.pdf（20页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息系统的安全基线1. 操作系统安全基线技术要求1.1.AIX 系统安全基线1.1.1.系统管理通过配置操作系统运维管理安全策略,提高系统运维管理安全性,详见表 1。表 1 AIX 系统管理基线技术要求序号基线技术要求基线标准点 (参数 ) 说明1限 制超 级管理 员权 限的 用户远 程登录PermitRootLogin no 限制 root用户远程使用telnet登录(可选 ) 2使 用动 态口令 令牌登录安装动态口令3配 置本 机访问 控制列表 (可选 ) 配置/etc/hosts、allow, /etc/hosts、deny 安装TCP Wrapper,提高对系统访问控制1.1.2.用户

2、账号与口令通过配置操作系统用户账号与口令安全策略,提高系统账号与口令安全性 ,详见表 2。表 2 AIX 系统用户账户与口令基线技术要求序号基线技术要求基线标准点 (参数 ) 说明4限制系统无用默认账号登录daemon(禁用 )bin( 禁用 )sys(禁用 )adm( 禁用 )uucp( 禁用 ) nuucp( 禁用 )lpd( 禁用) guest( 禁用 ) pconsole(禁用) esaadmin(禁用 ) sshd( 禁用 )清理多余用户账号,限制系统默认账号登录 ,同时 ,针对需要使用的用户,制订用户列表,并妥善保存5控制用户登录超时时间10 分钟控制用户登录会话,设置超时时间精品

3、资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 1 页，共 20 页 - - - - - - - - - - 信息系统的安全基线6口令最小长度8 位口令安全策略( 口令为超级用户静态口令 ) 7口令中最少非字母数字字符1 个口令安全策略( 口令为超级用户静态口令 ) 8信息系统的口令的最大周期90 天口令安全策略( 口令为超级用户静态口令 )9口令不重复的次数10 次口令安全策略( 口令为超级用户静态口令 ) 1.1.3.日志与审计通过对操作系统的日志进行安全控制与管理,提高日志的安全性,详见表 3。表 3

4、AIX 系统日志与审计基线技术要求序号基线技术要求基线标准点 (参数 ) 说明10系统日志记录 (可选) authlog、 sulog、wtmp 、failedlogin 记录必需的日志信息,以便进行审计11系统日志存储 (可选) 对接到统一日志服务器使用日志服务器接收与存储主机日志,网管平台统一管理12日志保存要求 (可选) 6 个月等保三级要求日志必须保存6 个月13配置日志系统文件保护属性 (可选) 400 修改配置文件syslog 、 conf 权限为管理员账号只读14修改日志文件保护权限 (可选 ) 400 修改日志文件authlog、wtmp 、sulog 、failedlogin

5、的权限管理员账号只读1.1.4.服务优化通过优化操作系统资源,提高系统服务安全性,详见表 4。表 4 AIX 系统服务优化基线技术要求序号基线技术要求基线标准点 (参数 ) 说明15discard 服务禁止网络测试服务,丢弃输入 , 为“拒绝服务”攻击提供机会, 除非正在测试网络 ,否则禁用16daytime 服务禁止网络测试服务,显示时间 , 为“拒绝服务”攻击提供机会, 除非正在测试网络 ,否则禁用精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 2 页，共 20 页 - - - - - - - - -

6、 - 信息系统的安全基线17chargen 服务禁止网络测试服务,回应随机字符串, 为“拒绝服务”攻击提供机会, 除非正在测试网络,否则禁用18comsat 服务禁止comsat通知接收的电子邮件,以root 用户身份运行,因此涉及安全性, 除非需要接收邮件,否则禁用19ntalk 服务禁止ntalk允许用户相互交谈,以root 用户身份运行,除非绝对需要,否则禁用20talk 服务禁止在网上两个用户间建立分区屏幕,不就是必需服务,与 talk 命令一起使用 ,在端口517 提供UDP 服务21tftp 服务禁止以 root 用户身份运行并且可能危及安全22ftp 服务 (可选 ) 禁止防范非

7、法访问目录风险23telnet服务禁止远程访问服务24uucp 服务禁止除非有使用UUCP 的应用程序 ,否则禁用25dtspc 服务(可选 ) 禁止CDE 子过程控制不用图形管理则禁用26klogin 服务 (可选 ) 禁止Kerberos 登 录 , 如 果 站 点 使 用Kerberos 认证则启用27kshell 服务 (可选 ) 禁止Kerberos shell, 如 果 站 点 使 用Kerberos 认证则启用1.1.5.访问控制通过对操作系统安全权限参数进行调整,提高系统访问安全性,详见表 5。表 5 AIX 系统访问控制基线技术要求序号基线技术要求基线标准点 (参数 ) 说明

8、28修改 Umask权限022 或 027 要求修改默认文件权限29关键文件权限控制passwd、group、security的所有者必须就是 root 与 security组成员设置 /etc/passwd,/etc/group, /etc/security等关键文件与目录的权限精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 3 页，共 20 页 - - - - - - - - - - 信息系统的安全基线30audit的所有者必须就是 root 与 audit组成员/etc/security/audit

9、的所有者必须就是 root与 audit组成员31/etc/passwd rw-r-r- /etc/passwd目录权限为644 所有用户可读 ,root 用户可写32/etc/group rw-r-r- /etc/group root目录权限为644 所有用户可读 ,root 用户可写33统一时间接入统一 NTP 服务器保障生产环境所有系统时间统一1.2.Windows 系统安全基线1.2.1.用户账号与口令通过配置操作系统用户账号与口令安全策略,提高系统账号与口令安全性 ,详见表 6。表 6 Windows系统用户账号与口令基线技术要求序号基线技术要求基线标准点 (参数 ) 说明1口令必须

10、符合复杂性要求启用口令安全策略(不涉及终端及动态口令 ) 2口令长度最小值8 位口令安全策略 (不涉及终端 ) 3口令最长使用期限90 天口令安全策略 (不涉及终端 ) 4强制口令历史10 次口令安全策略 (不涉及终端 ) 5复位账号锁定计数器10 分钟账号锁定策略 (不涉及终端 ) 6账号锁定时间 (可选 ) 10 分钟账号锁定策略 (不涉及终端 ) 7账号锁定阀值 (可选 ) 10 次账号锁定策略 (不涉及终端 ) 8guest账号禁止禁用 guest 账号9administrator(可选) 重命名保护 administrator安全10无需账号检查与管理禁用禁用无需使用账号1.2.2.

11、日志与审计通过对操作系统日志进行安全控制与管理,提高日志的安全性与有效性 ,详见表 7。精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 4 页，共 20 页 - - - - - - - - - - 信息系统的安全基线表 7 Windows系统日志与审计基线技术要求序号基线技术要求基线标准点 (参数 ) 说明11审核账号登录事件成功与失败日志审核策略12审核账号管理成功与失败日志审核策略13审核目录服务访问成功日志审核策略14审核登录事件成功与失败日志审核策略15审核策略更改成功与失败日志审核策略16审核系

12、统事件成功日志审核策略17日志存储地址 (可选 ) 接入到统一日志服务器日志存储在统一日志服务器中18日志保存要求 (可选 ) 6 个月等保三级要求日志保存6 个月1.2.3.服务优化通过优化系统资源,提高系统服务安全性,详见表 8。表 8 Windows系统服务优化基线技术要求序号基线技术要求基线标准点 (参数 ) 说明19Alerter服务禁止禁止进程间发送信息服务20Clipbook(可选) 禁止禁止机器间共享剪裁板上信息服务21Computer Browser服务 (可选 ) 禁止禁止跟踪网络上一个域内的机器服务22Messenger服务禁止禁止即时通讯服务23Remote Regis

13、try Service服务禁止禁止远程操作注册表服务24Routing and Remote Access 服务禁止禁止路由与远程访问服务25Print Spooler(可选 ) 禁止禁止后台打印处理服务26Automatic Updates服务 (可选 ) 禁止禁止自动更新服务27Terminal Service服务(可选 ) 禁止禁止终端服务1.2.4.访问控制通过对系统配置参数调整,提高系统安全性,详见表 9。表 9 Windows系统访问控制基线技术要求精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -

14、第 5 页，共 20 页 - - - - - - - - - - 信息系统的安全基线序号基线技术要求基线标准点 (参数 ) 说明28文件系统格式NTFS 磁盘文件系统格式为NTFS 29桌面屏保10 分钟桌面屏保策略30防病毒软件安装赛门铁克生产环境安装赛门铁克防病毒最新版本软件31防病毒代码库升级时间7 天32文件共享 (可选) 禁止禁止配置文件共享,若工作需要必须配置共享 ,须设置账号与口令33系统自带防火墙(可选 ) 禁止禁止自带防火墙34默 认 共 享IPC$ 、ADMIN$、C$、D$ 等禁止安全控制选项优化35不允许匿名枚取SAM账号与共享启用网络访问安全控制选项优化36不显示上次

15、的用户名启用交互式登录安全控制选项优化37控制驱动器禁止禁止自动运行38蓝屏后自动启动机器(可选) 禁止禁止蓝屏后自动启动机器39统一时间接入统一 NTP 服务器保障生产环境所有系统时间统一1.2.5.补丁管理通过进行定期更新,降低常见的漏洞被利用,详见表 10。表 10 Windows系统补丁管理基线技术要求序号基线技术要求基线标准点 (参数 ) 说明40安全服务包win2003 SP2 win2008 SP1 安装微软最新的安全服务包41安全补丁 (可选) 更新到最新根据实际需要更新安全补丁1.3.Linux 系统安全基线1.3.1.系统管理通过配置系统安全管理工具,提高系统运维管理的安全

16、性,详见表 11。表 11 Linux 系统管理基线技术要求精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 6 页，共 20 页 - - - - - - - - - - 信息系统的安全基线序号基线技术要求基线标准点 (参数 ) 说明1安装SSH 管理远程工具 (可选) 安装 OpenSSH OpenSSH为远程管理高安全性工具 ,保护管理过程中传输数据的安全2配置本机访问控制列表 (可选 ) 配置/etc/hosts、allow, /etc/hosts、deny 安装TCP Wrapper,提高对系统访问

17、控制1.3.2.用户账号与口令通过配置Linux系统用户账号与口令安全策略,提高系统账号与口令安全性 ,详见表 12。表 12 Linux 系统用户账号与口令基线技术要求序号基线技术要求基线标准点 (参数 ) 说明3禁止系统无用默认账号登录1)Operator 2)Halt 3)Sync 4)News 5)Uucp 6)Lp 7)nobody 8)Gopher 禁止清理多余用户账号,限制系统默认账号登录 ,同时 ,针对需要使用的用户,制订用户列表进行妥善保存4root远程登录禁止禁止 root远程登录5口令使用最长周期90 天口令安全策略 (超级用户口令 ) 6口令过期提示修改时间28 天口令

18、安全策略 (超级用户口令 ) 7口令最小长度8 位口令安全策略8设置超时时间10 分钟口令安全策略1.3.3.日志与审计通过对Linux系统的日志进行安全控制与管理,提高日志的安全性与有效性 ,详见表 13。表 13 Linux 系统日志与审计基线技术要求序号基线技术要求基线标准点 (参数 ) 说明精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 7 页，共 20 页 - - - - - - - - - - 信息系统的安全基线9记录安全日志authpriv日志记录网络设备启动、usermod、change等

19、方面日志10日志存储 (可选) 接入到统一日志服务器使用统一日志服务器接收并存储系统日志11日志保存时间6 个月等保三级要求日志必须保存6 个月12日志系统配置文件保护400 修改配置文件syslog 、conf 权限为管理员用户只读1.3.4.服务优化通过优化 Linux 系统资源 ,提高系统服务安全性,详见表 14 。表 14 Linux系统服务优化基线技术要求序号基线技术要求基线标准点 (参数 ) 说明13ftp 服务 (可选 ) 禁止文件上传服务14sendmail 服务禁止邮件服务15klogin 服务 (可选 ) 禁止Kerberos 登 录 ,如 果 站 点 使 用Kerbero

20、s 认证则启用16kshell 服务 (可选 ) 禁止Kerberos shell, 如 果 站 点 使 用Kerberos 认证则启用17ntalk 服务禁止new talk 18tftp 服务禁止以 root 用户身份运行可能危及安全19imap 服务 (可选 ) 禁止邮件服务20pop3服务(可选 ) 禁止邮件服务21telnet 服 务 ( 可选 ) 禁止远程访问服务22GUI 服务(可选 ) 禁止图形管理服务23xinetd服务 (可选 ) 启动增强系统安全1.3.5.访问控制通过对 Linux 系统配置参数调整,提高系统安全性,详见表 15 。表 15 Linux系统访问控制基线技

21、术要求序号基线技术要求基线标准点 (参数 ) 说明24Umask权限022 或 027 修改默认文件权限25关键文件权限控制1)/etc/passwd 目录权限为 644 /etc/passwd rw-r-r所有用户可读 ,root 用户可写精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 8 页，共 20 页 - - - - - - - - - - 信息系统的安全基线262)/etc/shadow目录权限为 400 /etc/shadow r- 只有 root可读273)/etc/group root目录

22、权限为 644 /etc/group rw-r-r所有用户可读 ,root 用户可写28统一时间接入统一NTP 服务器保障生产环境所有系统时间统一2. 数据库安全基线技术要求2.1.Oracle 数据库系统安全基线2.1.1.用户账号与口令通过配置数据库系统用户账号与口令安全策略,提高数据库系统账号与口令安全性,详见表 16 。表 16 Oracle系统用户账号与口令基线技术要求序号基线技术要求基线标准点 (参数 ) 说明1Oracle 无用账号TIGER SCOTT 等禁用禁用无用账号2默认管理账号管理SYSTEM DMSYS 等更改口令账号安全策略 (新系统 ) 3数 据 库 自 动 登

23、录SYSDBA 账号禁止账号安全策略4口令最小长度8 位口令安全策略 (新系统 ) 5口令有效期12 个月新系统执行此项要求6禁止使用已设置过的口令次数10 次口令安全策略2.1.2.日志与审计通过对数据库系统的日志进行安全控制与管理,提高日志的安全性与有效性 ,详见表 17。表 17 Oracle系统日志与审计基线技术要求序号基线技术要求基线标准点 (参数 ) 说明7日志保存要求 (可选 ) 3 个月日志必须保存3 个月精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 9 页，共 20 页 - - - -

24、 - - - - - - 信息系统的安全基线8日志文件保护启用设置访问日志文件权限2.1.3.访问控制通过对数据库系统配置参数调整,提高数据库系统安全性,详见表 18。表 18 Oracle系统访问控制基线技术要求序号基线技术要求基线标准点 (参数 ) 说明9监听程序加密 (可选 ) 设置口令设置监听器口令(新系统 ) 10修改服务监听默认端口(可选 ) 非 TCP1521 系统可执行此项要求3. 中间件安全基线技术要求3.1.Tong(TongEASY 、TongLINK 等)中间件安全基线3.1.1.用户账号与口令通过配置中间件用户账号与口令安全策略,提高系统账号与口令安全 ,详见表 19

25、。表 19 Tong用户账号与口令基线技术要求序号基线技术要求基线标准点 (参数 ) 说明1优化 Tong服务账号与应用共用同一用户 (可选 ) Tong与应用共用同一用户与操作系统应用用户保持一致3.1.2.日志与审计通过对中间件的日志进行安全控制与管理,保护日志的安全与有效性 ,详见表 20。表 20 Tong日志与审计基线技术要求序号基线技术要求基线标准点 (参数 ) 说明2事务包日志备份1、5G Pktlog达到 1、5G 进行备份3交易日志备份1、5G Txlog 达到 1、5G 进行备份4通信管理模块运行日志备份1、5G Tonglink 、log 达到 1、5G 进行备份精品资料

26、 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 10 页，共 20 页 - - - - - - - - - - 信息系统的安全基线5系统日志备份1、5G syslog 达到 1、5G 进行备份6名字服务日志备份1、5G Nsfwdlog达到 1、 5G 进行备份7调试日志备份1、5G Testlog 达到 1、5G 进行备份8通信管理模块错误日志备份1、5G Tonglink 、err 达到 1、5G 进行备份9日 志 保 存 时 间 (可选) 6 个月等保三级要求日志必须保存6 个月3.1.3.访问控制通过配置

27、中间件系统资源,提高中间件系统服务安全,详见表21。表 21 Tong访问控制基线技术要求序号基线技术要求基线标准点 (参数 ) 说明10共享内存SHMMAX:4G SHMSEG: 3个以上SHMALL:12G 根据不同操作系统调整Tong 的 3个核心参数11消息队列MSGTQL :4096 MSGMAX:8192 MSGMNB:16384 设置Tong核心应用系统程序进行数据传递参数12信号灯Maxuproc:1000以上SEMMSL:13以上SEMMNS:26以上设置 Tong 信号灯参数13进程数NPROC:2000以上MAXUP:1000以上设置同时运行进程数参数3.1.4.安全防护

28、通过对中间件配置参数调整,提高中间件系统安全,详见表 22 。表 22 Tong安全防护基线技术要求序号基线技术要求基线标准点 (参数 ) 说明14数据传输安全根据应用需求设置加密标识根据应用需求保护数据传输安全15守护进程安全tld tmmoni tmrcv tmsnd 通信管理模块、运行监控、接收处理、发送处理守护进程处于常开状态 ,随时处理应用程序的请求精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 11 页，共 20 页 - - - - - - - - - - 信息系统的安全基线3.1.5.补丁管

29、理通过对 Tong 的补丁进行定期更新,达到管理基线 ,防止常见的漏洞被利用 ,详见表 23。表 23 Tong补丁管理基线技术要求序号基线技术要求基线标准点 (参数 ) 说明16安全补丁 (可选) 根据实际需要更新根 据 实 际 需 要 更 新 安 全 补 丁Tong4 、2、Tong4 、5、Tong4 、6 适用于 AIX5 、3 以上版本3.2.Apache 中间件安全基线3.2.1.用户账号与口令通过配置中间件用户账号与口令安全策略,提高系统账号与口令安全性 ,详见表 24。表 24 Apache用户账号与口令基线技术要求序号基线技术要求基线标准点 (参数 ) 说明1优化 WEB 服

30、务账号新建 Apache可访问 80 端口用户账号使用 WAS中间件用户安装,root用户启动3.2.2.日志与审计通过对中间件的日志进行安全控制与管理,提高日志的安全性与有效性 ,详见表 25。表 25 Apache日志与审计基线技术要求序号基线技术要求基线标准点 (参数 ) 说明2日志级别 (可选) Info 采用 Info 日志级别 ,分析问题时采用更高日志级别3错误日志及记录ErrorLog 配置错误日志文件名及位置4访问日志 (可选) CustomLog 配置访问日志文件名及位置3.2.3.服务优化通过优化中间件系统资源,提高中间件系统服务安全性,详见表26。精品资料 - - - 欢

31、迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 12 页，共 20 页 - - - - - - - - - - 信息系统的安全基线表 26 Apache服务优化基线技术要求序号基线技术要求基线标准点 (参数 ) 说明5无用模块禁用禁用无用模块3.2.4.安全防护通过对中间件配置参数调整,提高中间件系统安全性,详见表27。表 27 Apache安全防护基线技术要求序号基线技术要求基线标准点 (参数 ) 说明6遍历操作系统目录(可选 ) 禁止修改参数文件 ,禁止目录遍历7服务器应答头中的版本信息关闭隐藏版本信息,防止软件版本信息泄漏

32、8服务器生成页面的页脚中版本信息关闭不显示服务器默认欢迎页面3.3.WAS 中间件安全基线3.3.1.用户账号与口令通过配置用户账号与口令安全策略,提高系统账号与口令安全性,详见表 28。表 28 WAS 用户账号与口令基线技术要求序号基线技术要求基线标准点 (参数 ) 说明1账号安全策略按照操作系统账号管理规范执行符合应用系统运行要求2口令安全策略按照操作系统口令管理规范执行符合应用系统运行要求3.3.2.日志与审计通过对系统的日志进行安全控制与管理,提高日志的安全性与有效性 ,详见表 29。表 29 WAS 日志与审计基线技术要求序号基线技术要求基线标准点 (参数 ) 说明精品资料 - -

33、 - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 13 页，共 20 页 - - - - - - - - - - 信息系统的安全基线3故障日志开启记录相关日志4记录级别Info 记录相关日志级别3.3.3.服务优化通过优化系统资源,提高系统服务安全性,详见表 30。表 30 WAS 服务优化基线技术要求序号基线技术要求基线标准点 (参数 ) 说明5服务禁止开启用户可能非法浏览应用服务器目录与文件6配置 config与properties目录权限755 config与 properties目录权限不当存在安全隐患3.3.4.

34、安全防护通过对系统配置参数调整,提高系统安全性,详见表 31。表 31 WAS 安全防护基线技术要求序号基线技术要求基线标准点 (参数 ) 说明7删除 sample例子程序删除示例域防止已知攻击8连接会话超时控制10 分钟设置超时时间 ,控制用户登录会话9数据传输安全加密传送在服务器console管理中浏览器与服务器传输信息配置SSL 10设置控制台会话最长时间30 分钟控制台会话 timeout低于 30 分钟3.3.5.补丁管理通过进行定期更新,达到管理基线,降低常见的的漏洞被利用,详见表 32。表 32 WAS 补丁管理基线技术要求序号基线技术要求基线标准点 (参数 ) 说明11安全补丁

35、 (可选) 按照系统管理室年度版本执行根据应用系统实际情况选择4. 网络设备安全基线技术要求精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 14 页，共 20 页 - - - - - - - - - - 信息系统的安全基线4.1.Cisco 路由器 / 交换机安全基线4.1.1.系统管理通过配置网络设备管理,提高系统运维管理安全性,详见表 33 。表 33 Cisco 系统管理基线技术要求序号基线技术要求基线标准点 (参数 ) 说明1远程 ssh 服务 (可选 ) 启用采用 ssh 服务代替telnet服

36、务管理网络设备 ,提高设备管理安全性2认证方式tacas/radius认证启用设备认证3非管理员 IP 地址禁止配置访问控制列表,只允许管理员IP 或网段能访问网络设备管理服务4配置 console端口口令认证console需配置口令认证信息5统一时间接入统一 NTP 服务器保障生产环境所有设备时间统一4.1.2.用户账号与口令通过配置网络设备用户账号与口令安全策略,提高系统账号与口令安全性 ,详见表 34。表 34 Cisco 用户账号与口令基线技术要求序号基线技术要求基线标准点 (参数 ) 说明6Service password口令加密采用service password-encrypti

37、on 7enable口令加密采用 secret对口令进行加密8账号登录空闲超时时间5 分钟设置 console与 vty 的登录超时时间 5 分钟9口令最小长度8 位口令长度为8 个字符4.1.3.日志与审计通过对网络设备的日志进行安全控制与管理,提高日志的安全性与有效性 ,详见表 35。表 35 Cisco 日志与审计基线技术要求序号基线技术要求基线标准点 (参数 ) 说明10更改 SNMP 的团体更改SNMP 修改默认值public 精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 15 页，共 20

38、页 - - - - - - - - - - 信息系统的安全基线串(可选 ) Community 更改 SNMP 主机 IP 11系统日志存储对接到网管日志服务器使用日志服务器接收与存储主机日志 ,网管平台统一管理12日志保存要求6 个月等保三级要求日志必须保存6 个月4.1.4.服务优化通过优化网络设备,提高系统服务安全性,详见表 36 。表 36 Cisco 服务优化基线技术要求序号基线技术要求基线标准点 (参数 ) 说明13TCP、UDP Small服务 (可选 ) 禁止禁用无用服务14Finger服务禁止禁用无用服务15HTTP 服务禁止禁用无用服务16HTTPS 服务禁止禁用无用服务1

39、7BOOTp 服务禁止禁用无用服务18IP Source Routing服务禁止禁用无用服务19ARP-Proxy服务禁止禁用无用服务20cdp 服务 (可选 ) 禁止禁用无用服务 (只适用于边界设备) 21FTP 服务(可选 ) 禁止禁用无用服务4.1.5.访问控制通过对设备配置进行调整,提高设备或网络安全性,详见表 37 。表 37 Cisco 访问控制基线技术要求序号基线技术要求基线标准点 (参数 ) 说明22login banner信息修改默认值为警示语默认值不为空23BGP 认证(可选 ) 启用加强路由信息安全24EIGRP 认证 (可选 ) 启用加强路由信息安全25OSPF 认证

40、(可选 ) 启用加强路由信息安全26RIPv2 认证 (可选 ) 启用加强路由信息安全精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 16 页，共 20 页 - - - - - - - - - - 信息系统的安全基线27MAC 绑定 (可选 ) IP+MAC+端口绑定重要服务器采用IP+MAC+端口绑定28网络端口 AUX( 可选) 关闭关闭没用网络端口4.2.H3C路由器 / 交换机安全基线4.2.1.系统管理通过配置网络设备管理,预防远程访问服务攻击或非授权访问,提高网络设备远程管理安全性,详见表 3

41、8。表 38 H3C 系统管理基线技术要求序号基线技术要求基线标准点 (参数 ) 说明1远程 ssh 服务 (可选 ) 启用采用 ssh 服务代替telnet服务管理网络设备 ,提高设备管理安全性2认证方式tacas/radius认证启用设备认证3非管理员 IP 地址禁止配置访问控制列表,只允许管理员IP 或网段能访问网络设备管理服务4配置 console端口口令认证console需配置口令认证信息5统一时间接入统一 NTP 服务器保障生产环境所有设备时间统一4.2.2.用户账号与口令通过配置用户账号与口令安全策略,提高系统账号与口令安全,详见表 39。表 39 H3C 用户账号与口令基线技术

42、要求序号基线技术要求基线标准点 (参数 ) 说明6system口令加密方式采用 cipher对口令进行加密7账号登录空闲超时时间5 分钟设置 console与 vty 的登录超时时间 5 分钟8口令最小长度8 位口令安全策略4.2.3.日志与审计通过对网络设备的日志进行安全控制与管理,提高日志的安全性与有效性 ,详见表 40。表 40 H3C 日志与审计基线技术要求精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 17 页，共 20 页 - - - - - - - - - - 信息系统的安全基线序号基线技术

43、要求基线标准点 (参数 ) 说明9系统日志接入到网管日志服务器使用网管平台统一日志服务器接收与存储10日志保存要求6 个月等保三级要求日志必须保存6 个月4.2.4.服务优化通过优化网络设备资源,提高设备服务安全性,详见表 41。表 41 H3C 服务优化基线技术要求序号基线技术要求基线标准点 (参数 ) 说明11http服务禁用关闭弱服务12FTP 服务(可选 ) 禁止禁用 Ftp 服务4.2.5.访问控制通过对网络设备配置参数调整,提高设备安全性,详见表 42。表 42 H3C 访问控制基线技术要求序号基线技术要求基线标准点 (参数 ) 说明13BGP 认证(可选 ) 启用加强路由信息安全

44、14OSPF 认证 (可选 ) 启用加强路由信息安全15RIPv2 认证 (可选 ) 启用加强路由信息安全16统一时间接入统一NTP服务器保障生产环境所有设备时间统一17重 要 服 务 器 采 用IP+MAC+端 口 绑 定(可选) IP+MAC+端口绑定重要服务器采用IP+MAC+端口绑定18网络端口 AUX( 可选) 关闭关闭没用网络端口4.3.防火墙安全基线4.3.1.系统管理通过配置网络设备管理,提高安全设备运维管理安全性,详见表43。表 43 防火墙系统管理基线技术要求精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - -

45、- - - - -第 18 页，共 20 页 - - - - - - - - - - 信息系统的安全基线序号基线技术要求基线标准点 (参数 ) 说明1安 全 网 络 登 录 方式,SSH 或者 HTTPS启用采用ssh(https)服务代替telnet(http)服务管理防火墙设备2限制登录口令录入时间30 秒设置登录口令录入时间,建议为30 秒3限制可登录的访问地址配置管理客户端IP 地址限制对特定工作站的管理能力4只接收管理流量的逻辑管理IP 地址(可选) 启用网络用户流量分离管理流量大大增加了管理安全性,并确保了稳定的管理带宽5HTTP监听端口号(可选 ) 更改通过更改HTTP 监听端口

46、号提高系统安全性6统一时间接入统一 NTP 服务器保障生产环境所有设备时间统一4.3.2.用户账号与口令通过配置网络设备用户账号与口令安全策略,提高设备账号与口令安全性 ,详见表 44。表 44 防火墙用户账号与口令基线技术要求序号基线技术要求基线标准点 (参数 ) 说明7系统初始账号与口令修改在完成初始配置后应尽快修改缺省用户名与口令口令最短长度8 位口令安全策略4.3.3.日志与审计通过对网络设备的日志进行安全控制与管理,提高日志的安全性与有效性 ,详见表 45。表 45 防火墙日志与审计基线技术要求序号基线技术要求基线标准点 (参数 ) 说明8发起 SNMP 连接限定源 IP 限制发起

47、SNMP 连接的源地址9信息流日志开启针对重要策略开启信息流日志10系统日志 (可选) 对接到统一网管日志服务器使用网管平台统一日志服务器接收与存储系统日志11日志保存要求(可选) 6 个月等保三级要求日志必须保存6 个月精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 19 页，共 20 页 - - - - - - - - - - 信息系统的安全基线4.3.4.安全防护通过对网络设备配置参数调整,提高设备安全性,详见表 46。表 46 防火墙安全防护基线技术要求序号基线技术要求基线标准点 (参数 ) 说明

48、12防火墙安全设置选项 (可选 ) SYN Attack、ICMP Flood、UDP Flood、Port Scan ttack 、 Limit session 、SYN-ACK-ACK Proxy 、SYN Fragment 开启防攻击选项包括:SYN Attack、ICMP Flood、UDP Flood、Port Scan Attack、 Limit session、SYN-ACK-ACK Proxy 保护、SYN Fragment(SYN 碎片 )等。精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 20 页，共 20 页 - - - - - - - - - -