信息系统的安全基线.pdf

《信息系统的安全基线.pdf》由会员分享，可在线阅读，更多相关《信息系统的安全基线.pdf（20页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1.1.操作系统安全基线技术要求操作系统安全基线技术要求1.1.1.1.AIXAIX 系统安全基线系统安全基线1.1.1.系统管理通过配置操作系统运维管理安全策略，提高系统运维管理安全性，详见表 1。表 1 AIX 系统管理基线技术要求序号序号1基线技术要求基线技术要求限制超 级管理 员权限的 用户远 程登录23使用动 态口令 令牌登录配置本 机访问 控制列表（可选）安装动态口令配置/etc/,/etc/PermitRootLogin no基线标准点（参数）基线标准点（参数）说明说明限制 root 用户远程使用 telnet 登录（可选）安装 TCP Wrapper，提高对系统访问控制1.1.

2、2.用户账号与口令通过配置操作系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表 2。表 2 AIX 系统用户账户与口令基线技术要求序号序号基线技术要求基线技术要求基线标准点（参数）基线标准点（参数）daemon（禁用）bin（禁用）sys（禁用）adm（禁用）4限制系统无用默认账号登录uucp（禁用）nuucp（禁用）lpd（禁用）guest（禁用）pconsole（禁用）esaadmin（禁用）sshd（禁用）5控制用户登录超时时间10 分钟控制用户登录会话，设置超时时间清理多余用户账号，限制系统默认账号登录，同时，针对需要使用的用户，制订用户列表，并妥善保存说明说明6789口令

3、最小长度口令中最少非字母数字字符信息系统的口令的最大周期口令不重复的次数8 位1 个90 天10 次口令安全策略（口令为超级用户静态口令）口令安全策略（口令为超级用户静态口令）口令安全策略（口令为超级用户静态口令）口令安全策略（口令为超级用户静态口令）1.1.3.日志与审计通过对操作系统的日志进行安全控制与管理，提高日志的安全性，详见表 3。表 3 AIX 系统日志与审计基线技术要求序号序号10111213基线技术要求基线技术要求系统日志记录（可选）系统日志存储（可选)日志保存要求（可选）配置日志系统文件保护属性（可选）修改日志文件保护权限（可选）基线标准点（参数）基线标准点（参数）authl

4、og、sulog、wtmp、failedlogin对接到统一日志服务器6 个月400计使用日志服务器接收与存储主机日志，网管平台统一管理等保三级要求日志必须保存6 个月修改配置文件权限为管理员账号只读修改日志文件 authlog、wtmp、400sulog、failedlogin 的权限管理员账号只读说明说明记录必需的日志信息，以便进行审141.1.4.服务优化通过优化操作系统资源，提高系统服务安全性，详见表 4。表 4 AIX 系统服务优化基线技术要求序号序号15基线技术要求基线技术要求discard 服务基线标准点（参数）基线标准点（参数）禁止说明说明网络测试服务，丢弃输入,为“拒绝服务”

5、攻击提供机会,除非正在测试网络，否则禁用网络测试服务，显示时间,为“拒16daytime 服务禁止绝服务”攻击提供机会,除非正在测试网络，否则禁用网络测试服务，回应随机字符串,17chargen 服务禁止为“拒绝服务”攻击提供机会,除非正在测试网络，否则禁用comsat 通知接收的电子邮件，以18comsat 服务禁止root 用户身份运行，因此涉及安全性,除非需要接收邮件，否则禁用ntalk 允许用户相互交谈，以 root19ntalk 服务禁止用户身份运行，除非绝对需要，否则禁用在网上两个用户间建立分区屏幕，20talk 服务禁止不是必需服务，与 talk 命令一起使用，在端口 517 提

6、供 UDP 服务21222324252627tftp 服务ftp 服务（可选）telnet 服务uucp 服务禁止禁止禁止禁止以 root 用户身份运行并且可能危及安全防范非法访问目录风险远程访问服务除非有使用 UUCP 的应用程序，否则禁用CDE 子过程控制不用图形管理则禁用Kerberos 登录，如果站点使用Kerberos 认证则启用Kerberos shell，如果站点使用Kerberos 认证则启用dtspc 服务（可选）禁止klogin 服 务（可选）禁止kshell 服务（可选）禁止1.1.5.访问控制通过对操作系统安全权限参数进行调整，提高系统访问安全性，详见表 5。表 5 A

7、IX 系统访问控制基线技术要求序号序号28基线技术要求基线技术要求修改 Umask 权限基线标准点（参数）基线标准点（参数）022 或 027passwd、group、29关键文件权限控制security 的所有者必须是root和security组成员说明说明要求修改默认文件权限设置/etc/passwd，/etc/group，/etc/security 等关键文件和目录的权限30audit 的所有者必须是root 和 audit 组成员/etc/passwd rw-r-r-/etc/security/audit 的所有者必须是 root 和 audit 组成员/etc/passwd目录权限为

8、 644 所有用户可读，root 用户可写/etc/group root目录权限为644所有用户可读，root 用户可写保障生产环境所有系统时间统一3132/etc/group rw-r-r-33统一时间接入统一 NTP 服务器1.2.1.2.WindowsWindows 系统安全基线系统安全基线1.2.1.用户账号与口令通过配置操作系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表 6。表 6 Windows 系统用户账号与口令基线技术要求序号序号12345678910基线技术要求基线技术要求口令必须符合复杂性要求口令长度最小值口令最长使用期限强制口令历史基线标准点（参数）基线标准

9、点（参数）启用8 位90 天10 次态口令）口令安全策略（不涉及终端）口令安全策略（不涉及终端）口令安全策略（不涉及终端）账号锁定策略（不涉及终端）账号锁定策略（不涉及终端）账号锁定策略（不涉及终端）禁用 guest 账号保护 administrator 安全禁用无需使用账号说明说明口令安全策略（不涉及终端及动复位账号锁定计数器10 分钟账号锁定时间（可选）10 分钟账号锁定阀值（可选）10 次guest 账号administrator（可选）禁止重命名无需账号检查与管理禁用1.2.2.日志与审计通过对操作系统日志进行安全控制与管理，提高日志的安全性与有效性，详见表 7。表 7 Windows

10、 系统日志与审计基线技术要求序号序号1112131415161718基线技术要求基线技术要求审核账号登录事件审核账号管理审核目录服务访问审核登录事件审核策略更改审核系统事件基线标准点（参数）基线标准点（参数）成功与失败成功与失败成功成功与失败成功与失败成功说明说明日志审核策略日志审核策略日志审核策略日志审核策略日志审核策略日志审核策略日志存储在统一日志服务器中等保三级要求日志保存6 个月日志存储地址（可选）接入到统一日志服务器日志保存要求（可选）6 个月1.2.3.服务优化通过优化系统资源，提高系统服务安全性，详见表 8。表 8 Windows 系统服务优化基线技术要求序号序号19202122

11、2324252627基线技术要求基线技术要求Alerter 服务Clipbook（可选）Computer Browser服务（可选）Messenger 服务Remote RegistryService 服务Routing and RemoteAccess 服务Automatic Updates服务（可选）Terminal Service服务（可选）基线标准点（参数）基线标准点（参数）禁止禁止禁止禁止禁止禁止说明说明禁止进程间发送信息服务禁止机器间共享剪裁板上信息服务禁止跟踪网络上一个域内的机器服务禁止即时通讯服务禁止远程操作注册表服务禁止路由和远程访问服务禁止后台打印处理服务禁止自动更新服务禁

12、止终端服务Print Spooler（可选）禁止禁止禁止1.2.4.访问控制通过对系统配置参数调整，提高系统安全性，详见表 9。表 9 Windows 系统访问控制基线技术要求序号序号28293031基线技术要求基线技术要求文件系统格式桌面屏保防病毒软件防病毒代码库升级时间基线标准点（参数）基线标准点（参数）NTFS10 分钟安装赛门铁克7 天说明说明磁盘文件系统格式为 NTFS桌面屏保策略生产环境安装赛门铁克防病毒最新版本软件禁止配置文件共享，若工作需要32文件共享（可选）禁止必须配置共享，须设置账号与口令33343536373839系统自带防火墙（可选）禁止默 认 共 享IPC$、禁止启用

13、启用禁止禁止接入统一NTP服务器禁止自带防火墙安全控制选项优化网络访问安全控制选项优化交互式登录安全控制选项优化禁止自动运行禁止蓝屏后自动启动机器保障生产环境所有系统时间统一ADMIN$、C$、D$等不允许匿名枚取SAM账号与共享不显示上次的用户名控制驱动器蓝屏后自动启动机器（可选）统一时间1.2.5.补丁管理通过进行定期更新，降低常见的漏洞被利用，详见表 10。表 10 Windows 系统补丁管理基线技术要求序号序号4041基线技术要求基线技术要求安全服务包基线标准点（参数）基线标准点（参数）win2003 SP2win2008 SP1说明说明安装微软最新的安全服务包根据实际需要更新安全补

14、丁安全补丁（可选）更新到最新1.3.1.3.LinuxLinux 系统安全基线系统安全基线1.3.1.系统管理通过配置系统安全管理工具，提高系统运维管理的安全性，详见表 11。表 11 Linux 系统管理基线技术要求序号序号1基线技术要求基线技术要求安装 SSH 管理远程工具(可选)配置本机访问控制列表（可选）基线标准点（参数）基线标准点（参数）安装 OpenSSH说明说明OpenSSH 为远程管理高安全性工具，保护管理过程中传输数据的安全配置/etc/,/etc/安装 TCP Wrapper，提高对系统访问控制21.3.2.用户账号与口令通过配置 Linux 系统用户账号与口令安全策略，提

15、高系统账号与口令安全性，详见表 12。表 12 Linux 系统用户账号与口令基线技术要求序号序号基线技术要求基线技术要求禁止系统无用默认账号登录1)Operator2)Halt33)Sync4)News5)Uucp6)Lp7)nobody8)Gopher45678root 远程登录口令使用最长周期口令过期提示修改时间口令最小长度设置超时时间禁止90 天28 天8 位10 分钟禁止 root 远程登录口令安全策略（超级用户口令）口令安全策略（超级用户口令）口令安全策略口令安全策略禁止清理多余用户账号，限制系统默认账号登录，同时，针对需要使用的用户，制订用户列表进行妥善保存基线标准点（参数）基线

16、标准点（参数）说明说明1.3.3.日志与审计通过对 Linux 系统的日志进行安全控制与管理，提高日志的安全性与有效性，详见表 13。表 13 Linux 系统日志与审计基线技术要求序号序号9101112基线技术要求基线技术要求记录安全日志基线标准点（参数）基线标准点（参数）authpriv 日志说明说明记录网络设备启动、usermod、change 等方面日志使用统一日志服务器接收并存储系统日志等保三级要求日志必须保存 6 个月修改配置文件权限为管理员用户只读日志存储（可选）接入到统一日志服务器日志保存时间日志系统配置文件保护6 个月4001.3.4.服务优化通过优化 Linux 系统资源，

17、提高系统服务安全性，详见表 14。表 14 Linux 系统服务优化基线技术要求序号序号1314151617181920212223基线技术要求基线技术要求ftp 服务（可选）sendmail 服务klogin 服 务（可选）基线标准点（参数）基线标准点（参数）禁止禁止禁止说明说明文件上传服务邮件服务Kerberos 登录，如果站点使用Kerberos 认证则启用Kerberos shell，如果站点使用Kerberos 认证则启用new talk以 root 用户身份运行可能危及安全邮件服务邮件服务远程访问服务图形管理服务增强系统安全kshell 服务（可选）禁止ntalk 服务tftp 服

18、务禁止禁止imap 服务（可选）禁止pop3 服务（可选）禁止telnet服 务(可选)GUI 服务（可选）禁止禁止xinetd 服务（可选）启动1.3.5.访问控制通过对 Linux 系统配置参数调整，提高系统安全性，详见表15。表 15 Linux 系统访问控制基线技术要求序号序号2425262728基线技术要求基线技术要求Umask 权限基线标准点（参数）基线标准点（参数）022 或 0271)/etc/passwd 目录权限为 644说明说明修改默认文件权限/etc/passwd rw-r-r所有用户可读，root 用户可写/etc/shadow r-只有 root 可读/etc/gr

19、oup rw-r-r所有用户可读，root 用户可写保障生产环境所有系统时间统一关键文件权限控制2)/etc/shadow 目录权限为 4003)/etc/group root 目录权限为 644统一时间接入统一 NTP 服务器2.2.数据库安全基线技术要求数据库安全基线技术要求2.1.2.1.OracleOracle 数据库系统安全基线数据库系统安全基线2.1.1.用户账号与口令通过配置数据库系统用户账号与口令安全策略，提高数据库系统账号与口令安全性，详见表 16。表 16 Oracle 系统用户账号与口令基线技术要求序号序号1基线技术要求基线技术要求Oracle 无用账号TIGERSCOT

20、T等默认管理账号管理2SYSTEMDMSYS 等3456数 据 库 自 动 登 录SYSDBA 账号口令最小长度口令有效期禁止使用已设置过的口令次数禁止8 位12 个月10 次账号安全策略口令安全策略（新系统）新系统执行此项要求口令安全策略更改口令账号安全策略（新系统）禁用禁用无用账号基线标准点（参数）基线标准点（参数）说明说明2.1.2.日志与审计通过对数据库系统的日志进行安全控制与管理，提高日志的安全性与有效性，详见表 17。表 17 Oracle 系统日志与审计基线技术要求序号序号78基线技术要求基线技术要求基线标准点（参数）基线标准点（参数）说明说明日志必须保存 3 个月设置访问日志文

21、件权限日志保存要求（可选）3 个月日志文件保护启用2.1.3.访问控制通过对数据库系统配置参数调整，提高数据库系统安全性，详见表 18。表 18 Oracle 系统访问控制基线技术要求序号序号910基线技术要求基线技术要求基线标准点（参数）基线标准点（参数）说明说明设置监听器口令（新系统）系统可执行此项要求监听程序加密（可选）设置口令修改服务监听默认端口（可选）非 TCP15213.3.中间件安全基线技术要求中间件安全基线技术要求3.1.3.1.TongTong（TongEASYTongEASY、TongLINKTongLINK 等）中间件安全基线等）中间件安全基线3.1.1.用户账号与口令通

22、过配置中间件用户账号与口令安全策略，提高系统账号与口令安全，详见表 19。表 19 Tong用户账号与口令基线技术要求序号序号1基线技术要求基线技术要求优化 Tong 服务账号和应用共用同一用户（可选）基线标准点（参数）基线标准点（参数）Tong 和应用共用同一用户说明说明与操作系统应用用户保持一致3.1.2.日志与审计通过对中间件的日志进行安全控制与管理，保护日志的安全与有效性，详见表 20。表 20 Tong日志与审计基线技术要求序号序号基线技术要求基线技术要求基线标准点（参数）基线标准点（参数）说明说明23456789事务包日志备份交易日志备份通信管理模块运行日志备份系统日志备份名字服务

23、日志备份调试日志备份通信管理模块错误日志备份日志保存时间(可选)Pktlog 达到进行备份Txlog达到进行备份达到进行备份syslog 达到进行备份Nsfwdlog 达到进行备份Testlog达到进行备份达到进行备份等保三级要求日志必须保存 6 个月6 个月3.1.3.访问控制通过配置中间件系统资源，提高中间件系统服务安全，详见表21。表 21 Tong访问控制基线技术要求序号序号10基线技术要求基线技术要求共享内存基线标准点（参数）基线标准点（参数）SHMMAX：4GSHMSEG：3 个以上SHMALL：12GMSGTQL：409611消息队列MSGMAX：8192MSGMNB：16384

24、Maxuproc：1000 以上12信号灯SEMMSL：13 以上SEMMNS：26 以上13进程数NPROC：2000 以上MAXUP：1000 以上设置同时运行进程数参数设置 Tong信号灯参数说明说明根据不同操作系统调整Tong的3个核心参数设置 Tong 核心应用系统程序进行数据传递参数3.1.4.安全防护通过对中间件配置参数调整，提高中间件系统安全，详见表22。表 22 Tong安全防护基线技术要求序号序号基线技术要求基线技术要求基线标准点（参数）基线标准点（参数）说明说明14数据传输安全根据应用需求设置加密标识tld根据应用需求保护数据传输安全通信管理模块、运行监控、接收处理、发送

25、处理守护进程处于常开状态，随时处理应用程序的请求15守护进程安全tmmonitmrcvtmsnd3.1.5.补丁管理通过对 Tong的补丁进行定期更新，达到管理基线，防止常见的漏洞被利用，详见表 23。表 23 Tong补丁管理基线技术要求序号序号16基线技术要求基线技术要求基线标准点（参数）基线标准点（参数）说明说明根据实际需要更新安全补丁、适用于以上版本安全补丁（可选）根据实际需要更新3.2.3.2.ApacheApache 中间件安全基线中间件安全基线3.2.1.用户账号与口令通过配置中间件用户账号与口令安全策略，提高系统账号与口令安全性，详见表 24。表 24 Apache 用户账号与

26、口令基线技术要求序号序号1基线技术要求基线技术要求优化 WEB 服务账号基线标准点（参数）基线标准点（参数）新建 Apache 可访问 80 端口用户账号用户启动说明说明使用 WAS 中间件用户安装，root3.2.2.日志与审计通过对中间件的日志进行安全控制与管理，提高日志的安全性与有效性，详见表 25。表 25 Apache 日志与审计基线技术要求序号序号234基线技术要求基线技术要求基线标准点（参数）基线标准点（参数）说明说明采用 Info 日志级别，分析问题时采用更高日志级别配置错误日志文件名及位置配置访问日志文件名及位置日志级别（可选）Info错误日志及记录ErrorLog访问日志（

27、可选）CustomLog3.2.3.服务优化通过优化中间件系统资源，提高中间件系统服务安全性，详见表 26。表 26 Apache 服务优化基线技术要求序号序号5基线技术要求基线技术要求无用模块基线标准点（参数）基线标准点（参数）禁用说明说明禁用无用模块3.2.4.安全防护通过对中间件配置参数调整，提高中间件系统安全性，详见表27。表 27 Apache 安全防护基线技术要求序号序号67基线技术要求基线技术要求遍历操作系统目录（可选）服务器应答头中的版本信息服务器生成页面8的页脚中版本信息关闭不显示服务器默认欢迎页面基线标准点（参数）基线标准点（参数）禁止关闭说明说明修改参数文件，禁止目录遍历

28、隐藏版本信息，防止软件版本信息泄漏3.3.3.3.WASWAS 中间件安全基线中间件安全基线3.3.1.用户账号与口令通过配置用户账号与口令安全策略，提高系统账号与口令安全性，详见表 28。表 28 WAS 用户账号与口令基线技术要求序号序号12基线技术要求基线技术要求账号安全策略口令安全策略基线标准点（参数）基线标准点（参数）按照操作系统账号管理规范执行按照操作系统口令管理规范执行说明说明符合应用系统运行要求符合应用系统运行要求3.3.2.日志与审计通过对系统的日志进行安全控制与管理，提高日志的安全性与有效性，详见表 29。表 29 WAS 日志与审计基线技术要求序号序号34基线技术要求基线

29、技术要求故障日志记录级别基线标准点（参数）基线标准点（参数）开启Info说明说明记录相关日志记录相关日志级别3.3.3.服务优化通过优化系统资源，提高系统服务安全性，详见表 30。表 30 WAS 服务优化基线技术要求序号序号5基线技术要求基线技术要求file serving 服务配置 config 和6properties 目录权限755基线标准点（参数）基线标准点（参数）禁止说明说明开启用户可能非法浏览应用服务器目录和文件config和properties目录权限不当存在安全隐患3.3.4.安全防护通过对系统配置参数调整，提高系统安全性，详见表 31。表 31 WAS 安全防护基线技术要求

30、序号序号78910基线技术要求基线技术要求删除 sample 例子程序连接会话超时控制数据传输安全设置控制台会话最长时间基线标准点（参数）基线标准点（参数）删除示例域10 分钟加密传送30 分钟说明说明防止已知攻击设置超时时间，控制用户登录会话在服务器 console 管理中浏览器与服务器传输信息配置SSL控制台会话timeout低于30分钟3.3.5.补丁管理通过进行定期更新，达到管理基线，降低常见的的漏洞被利用，详见表 32。表 32 WAS 补丁管理基线技术要求序号序号11基线技术要求基线技术要求安全补丁（可选）基线标准点（参数）基线标准点（参数）按照系统管理室年度版本执行说明说明根据应

31、用系统实际情况选择4.4.网络设备安全基线技术要求网络设备安全基线技术要求4.1.4.1.CiscoCisco 路由器路由器/交换机安全基线交换机安全基线4.1.1.系统管理通过配置网络设备管理，提高系统运维管理安全性，详见表33。表 33 Cisco 系统管理基线技术要求序号序号1基线技术要求基线技术要求基线标准点（参数）基线标准点（参数）说明说明采用 ssh 服务代替 telnet 服务管远程 ssh 服务（可选）启用理网络设备，提高设备管理安全性2认证方式tacas/radius 认证启用设备认证配置访问控制列表，只允许管理345非管理员 IP 地址配置 console 端口统一时间禁止

32、口令认证员 IP 或网段能访问网络设备管理服务console 需配置口令认证信息接入统一 NTP 服务器保障生产环境所有设备时间统一4.1.2.用户账号与口令通过配置网络设备用户账号与口令安全策略，提高系统账号与口令安全性，详见表 34。表 34 Cisco 用户账号与口令基线技术要求序号序号678令enable 口令账号登录空闲超时时间基线技术要求基线技术要求Service password 口基线标准点（参数）基线标准点（参数）加密加密5 分钟采说明说明用servicepassword-encryption采用 secret 对口令进行加密设置 console 和 vty 的登录超时时间

33、5 分钟9口令最小长度8 位口令长度为 8 个字符4.1.3.日志与审计通过对网络设备的日志进行安全控制与管理，提高日志的安全性与有效性，详见表 35。表 35 Cisco 日志与审计基线技术要求序号序号101112基线技术要求基线技术要求串（可选）系统日志存储日志保存要求基线标准点（参数）基线标准点（参数）改Community对接到网管日志服务器6 个月说明说明更改 SNMP 主机 IP使用日志服务器接收与存储主机日志，网管平台统一管理等保三级要求日志必须保存 6 个月更改 SNMP 的团体更SNMP修改默认值 public4.1.4.服务优化通过优化网络设备，提高系统服务安全性，详见表 3

34、6。表 36 Cisco 服务优化基线技术要求序号序号131415161718192021基线技术要求基线技术要求TCP、UDP Small服务（可选）Finger 服务HTTP 服务HTTPS 服务BOOTp服务IP SourceRouting 服务ARP-Proxy 服务cdp 服务（可选）FTP 服务（可选）基线标准点（参数）基线标准点（参数）禁止禁止禁止禁止禁止禁止禁止禁止禁止禁用无用服务禁用无用服务禁用无用服务禁用无用服务禁用无用服务禁用无用服务禁用无用服务禁用无用服务(只适用于边界设备)禁用无用服务说明说明4.1.5.访问控制通过对设备配置进行调整，提高设备或网络安全性，详见表37

35、。表 37 Cisco 访问控制基线技术要求序号序号22232425262728基线技术要求基线技术要求login banner 信息BGP 认证（可选）EIGRP 认证（可选）OSPF 认证（可选）RIPv2 认证（可选）MAC 绑定（可选）基线标准点（参数）基线标准点（参数）说明说明修改默认值为警示语默认值不为空启用启用启用启用IP+MAC+端口绑定加强路由信息安全加强路由信息安全加强路由信息安全加强路由信息安全重要服务器采用 IP+MAC+端口绑定关闭没用网络端口网络端口 AUX（可选）关闭4.2.4.2.H3CH3C 路由器路由器/交换机安全基线交换机安全基线4.2.1.系统管理通过配

36、置网络设备管理，预防远程访问服务攻击或非授权访问，提高网络设备远程管理安全性，详见表 38。表 38 H3C 系统管理基线技术要求序号序号1基线技术要求基线技术要求基线标准点（参数）基线标准点（参数）说明说明采用 ssh 服务代替 telnet 服务管远程 ssh 服务（可选）启用理网络设备，提高设备管理安全性2认证方式tacas/radius 认证启用设备认证配置访问控制列表，只允许管理345非管理员 IP 地址配置 console 端口统一时间禁止口令认证员 IP 或网段能访问网络设备管理服务console 需配置口令认证信息接入统一 NTP 服务器保障生产环境所有设备时间统一4.2.2.

37、用户账号与口令通过配置用户账号与口令安全策略，提高系统账号与口令安全，详见表 39。表 39 H3C 用户账号与口令基线技术要求序号序号678基线技术要求基线技术要求system 口令账号登录空闲超时时间口令最小长度基线标准点（参数）基线标准点（参数）加密方式5 分钟8 位说明说明采用 cipher 对口令进行加密设置 console 和 vty 的登录超时时间 5 分钟口令安全策略4.2.3.日志与审计通过对网络设备的日志进行安全控制与管理，提高日志的安全性与有效性，详见表 40。表 40 H3C 日志与审计基线技术要求序号序号910基线技术要求基线技术要求系统日志日志保存要求基线标准点（参

38、数）基线标准点（参数）接入到网管日志服务器6 个月收与存储等保三级要求日志必须保存 6 个月说明说明使用网管平台统一日志服务器接4.2.4.服务优化通过优化网络设备资源，提高设备服务安全性，详见表 41。表 41 H3C 服务优化基线技术要求序号序号1112基线技术要求基线技术要求http 服务基线标准点（参数）基线标准点（参数）禁用关闭弱服务禁用 Ftp 服务说明说明FTP 服务（可选）禁止4.2.5.访问控制通过对网络设备配置参数调整，提高设备安全性，详见表 42。表 42 H3C 访问控制基线技术要求序号序号13141516基线技术要求基线技术要求BGP 认证（可选）OSPF 认证（可选

39、）RIPv2 认证（可选）统一时间基线标准点（参数）基线标准点（参数）启用启用启用接入统一 NTP 服务器说明说明加强路由信息安全加强路由信息安全加强路由信息安全保障生产环境所有设备时间统一重 要 服 务 器 采 用1718IP+MAC+端 口 绑 定（可选）网络端口 AUX（可选）关闭IP+MAC+端口绑定重要服务器采用 IP+MAC+端口绑定关闭没用网络端口4.3.4.3.防火墙安全基线防火墙安全基线4.3.1.系统管理通过配置网络设备管理，提高安全设备运维管理安全性，详见表 43。表 43 防火墙系统管理基线技术要求序号序号123基线技术要求基线技术要求安全网络登录方式，SSH 或者 H

40、TTPS基线标准点（参数）基线标准点（参数）启用30 秒配置管理客户端IP 地址启用采 用说明说明ssh(https)服 务 代 替telnet(http)服务管理防火墙设备限制登录口令录入时间限制可登录的访问地址只接收管理流量的逻辑管理IP 地址（可选）HTTP 监听端口号（可选）统一时间设置登录口令录入时间，建议为30 秒限制对特定工作站的管理能力网络用户流量分离管理流量大大增加了管理安全性，并确保了稳定的管理带宽通过更改 HTTP 监听端口号提高系统安全性保障生产环境所有设备时间统一456更改接入统一 NTP 服务器4.3.2.用户账号与口令通过配置网络设备用户账号与口令安全策略，提高设

41、备账号与口令安全性，详见表 44。表 44 防火墙用户账号与口令基线技术要求序号序号7基线技术要求基线技术要求系统初始账号和口令口令最短长度基线标准点（参数）基线标准点（参数）修改8 位说明说明在完成初始配置后应尽快修改缺省用户名和口令口令安全策略4.3.3.日志与审计通过对网络设备的日志进行安全控制与管理，提高日志的安全性与有效性，详见表 45。表 45 防火墙日志与审计基线技术要求序号序号891011基线技术要求基线技术要求基线标准点（参数）基线标准点（参数）说明说明限制发起 SNMP 连接的源地址针对重要策略开启信息流日志使用网管平台统一日志服务器接收与存储系统日志等保三级要求日志必须保

42、存 6 个月发起 SNMP 连接限定源 IP信息流日志系统日志（可选)日志保存要求（可选）开启对接到统一网管日志服务器6 个月4.3.4.安全防护通过对网络设备配置参数调整，提高设备安全性，详见表 46。表 46 防火墙安全防护基线技术要求序号序号基线技术要求基线技术要求防火墙安全设置选项（可选）SYN Attack、ICMP Flood、UDP Flood、12Port Scanttack、Limitsession、SYN-ACK-ACKProxy、SYNFragment开启防攻击选项包括：SYN Attack、ICMP Flood、UDP Flood、PortScan Attack、Limit session、SYN-ACK-ACK Proxy 保护、SYN Fragment（SYN 碎片）等。基线标准点（参数）基线标准点（参数）说明说明