信息系统安全基线.docx
- 文档编号:5826566
- 上传时间:2023-01-01
- 格式:DOCX
- 页数:49
- 大小:33.30KB
信息系统安全基线.docx
《信息系统安全基线.docx》由会员分享,可在线阅读,更多相关《信息系统安全基线.docx(49页珍藏版)》请在冰豆网上搜索。
信息系统安全基线
1.操作系统安全基线技术要求
1.1.AIX系统安全基线
1.1.1.系统管理
经过配置操作系统运维管理安全策略,提升系统运维管理安全性,详见表1。
表1AIX系统管理基线技术要求
序号
基线技术要求
基线标准点(参数)
说明
限制超级管理员
限制root
用户远程使用telnet
1
权限的用户远程
PermitRootLoginno
登
录(可选)
登录
2
使用动向口令令
安装动向口令
牌登录
3
配置本机接见控
配置/etc/,
安装TCPWrapper,提升对系统访
/etc/
制列表(可选)
问控制
1.1.2.
用户账号与口令
经过配置操作系统用户账号与口令安全策略,
提升系统账号与
口令安全性,详见表
2。
表2AIX系统用户账户与口令基线技术要求
序号
基线技术要求
基线标准点(参数)
说明
daemon(禁用)
bin(禁用)
sys(禁用)
adm(禁用)
uucp(禁用)
清理剩余用户账号,限制系统默认
限制系统无用默认
4
账号登录
nuucp(禁用)
账号登录,同时,针对需要使用的
lpd(禁用)
用户,制定用户列表,并妥当保留
guest(禁用)
pconsole(禁用)
esaadmin(禁用)
sshd(禁用)
5
控制用户登录超时
10分钟
时间
控制用户登录会话,设置超不时间
6
8位
口令安全策略(口令为超级用户静
口令最小长度
态口令)
7
口令中最少非字母
1个
口令安全策略(口令为超级用户静
数字字符
态口令)
8
信息系统的口令的
90天
口令安全策略(口令为超级用户静
最大周期
态口令)
9
10次
口令安全策略(口令为超级用户静
口令不重复的次数
态口令)
1.1.3.日记与审计
经过对操作系统的日记进行安全控制与管理,提升日记的安全性,详见表3。
表3AIX
系统日记与审计基线技术要求
序号
基线技术要求
基线标准点(参数)
说明
10
系统日记记录(可
authlog、sulog、wtmp、记录必要的日记信息,以便进行审
failedlogin
选)
计
11
系统日记储存(可
对接到一致日记服务
使用日记服务器接收与储存主机日
选)
器
志,网管平台一致管理
12
日记保留要求(可
6个月
6个月
等保三级要求日记一定保留
选)
13
配置日记系统文件
400
改正配置文件权限为管理员账号只
保护属性(可选)
读
修他日记文件保护
修改日志文件authlog
、wtmp、
14
400
sulog、failedlogin
权限(可选)
的权限管理员
账号只读
1.1.4.
服务优化
经过优化操作系统资源,提升系统服务安全性,详见表
4。
表4AIX
系统服务优化基线技术要求
序号
基线技术要求
基线标准点(参数)
说明
15discard服务严禁网络测试服务,抛弃输入,为“拒
16
17
18
19
20
21
22
23
24
25
26
27
绝服务”攻击供给时机
除非正在
测试网络,不然禁用
网络测试服务,显示时间
为“拒
daytime
服务
严禁
绝服务”攻击供给时机
除非正在
测试网络,不然禁用
网络测试服务,回应随机字符串
chargen
服务
严禁
为“拒绝服务”攻击供给时机
除
非正在测试网络,不然禁用
comsat通知接收的电子邮件,以
comsat
服务
严禁
root
用户身份运转,所以波及安全
性,
除非需要接收邮件,不然禁用
ntalk
同意用户互相谈话,以
root
ntalk
服务
严禁
用户身份运转,除非绝对需要,否
则禁用
在网上两个用户间成立分区屏幕,
talk
服务
严禁
不是必要服务,与
talk
命令一同
使用,在端口517
供给UDP服务
tftp
以root
用户身份运转而且可能危
服务
严禁
及安全
ftp服务(可选)
严禁
防备非法接见目录风险
telnet
服务
严禁
远程接见服务
uucp
服务
严禁
除非有使用UUCP的应用程序,否
则禁用
dtspc
服务(可选)
严禁
CDE子过程控制不用图形管理则禁
用
klogin
服务(可
严禁
Kerberos
登录,假如站点使用
Kerberos
选)
认证则启用
kshell
服务(可
严禁
Kerberos
shell,如果站点使用
Kerberos
选)
认证则启用
1.1.5.接见控制
经过对操作系统安全权限参数进行调整,提升系统接见安全性,详见表5。
表5AIX
序号基线技术要求
28改正Umask权限
29
30重点文件权限控制
31
32
系统接见控制基线技术要求
基线标准点(参数)说明
022或027
要求改正默认文件权限
passwd
、group
、
security
设置/etc/passwd
,/etc/group
,
的全部者一定
是root
和security
/etc/security
等重点文件和目
组
录的权限
成员
audit
的全部者一定是
/etc/security/audit
的所有者
root和audit构成员
一定是root
和audit构成员
/etc/passwdrw-r--r--
/etc/passwd
目录权限为644
所
实用户可读,root用户可写
/etc/grouprw-r--r--
/etc/grouproot
目录权限为644
所实用户可读,root用户可写
33一致时间接入一致NTP服务器保障生产环境全部系统时间一致
1.2.Windows系统安全基线
1.2.1.用户账号与口令
经过配置操作系统用户账号与口令安全策略,
提升系统账号与
口令安全性,详见表6。
表6Windows系统用户账号与口令基线技术要求
序号
基线技术要求
基线标准点(参数)
说明
1
口令一定切合复杂性
启用
口令安全策略(不波及终端及动
要求
态口令)
2
口令长度最小值
8位
口令安全策略(不波及终端)
3
口令最长使用限期
90
天
口令安全策略(不波及终端)
4
强迫口令历史
10
次
口令安全策略(不波及终端)
5
复位账号锁定计数器
10
分钟
账号锁定策略(不波及终端)
6账号锁准时间(可选)10分钟账号锁定策略(不波及终端)
7
账号锁定阀值(可选)
10次
账号锁定策略(不波及终端)
8
guest账号
严禁
禁用guest账号
9
administrator(可
重命名
保护administrator
安全
选)
10
无需账号检查与管理
禁用
禁用无需使用账号
1.2.2.日记与审计
经过对操作系统日记进行安全控制与管理,提升日记的安全性与有效性,详见表7。
表7Windows系统日记与审计基线技术要求
序号
基线技术要求
基线标准点(参数)
说明
11
审查账号登录事件
成功与失败
日记审查策略
12
审查账号管理
成功与失败
日记审查策略
13
审查目录服务接见
成功
日记审查策略
14
审查登录事件
成功与失败
日记审查策略
15
审查策略改正
成功与失败
日记审查策略
16
审查系统事件
成功
日记审查策略
17
日记储存地点(可选)
接入到一致日记服务器
日记储存在一致日记服务器中
18
日记保留要求(可选)
6个月
等保三级要求日记保留
6个月
1.2.3.服务优化
经过优化系统资源,提升系统服务安全性,详见表8。
表8Windows系统服务优化基线技术要求
序号
基线技术要求
基线标准点(参数)
说明
19
Alerter服务
严禁
严禁进度间发送信息服务
20
Clipbook(可选)
严禁
严禁机器间共享剪裁板上信息服务
21
ComputerBrowser服
严禁
严禁追踪网络上一个域内的机器服
务(可选)
务
22Messenger服务严禁严禁即时通信服务
23
RemoteRegistry
Service服务
严禁
严禁远程操作注册表服务
24
RoutingandRemote
Access服务
严禁
严禁路由和远程接见服务
25
PrintSpooler(可选)
严禁
严禁后台打印办理服务
26
AutomaticUpdates
服
严禁
严禁自动更新服务
务(可选)
27
TerminalService
服
严禁
严禁终端服务
务(可选)
1.2.4.
接见控制
经过对系统配置参数调整,提升系统安全性,详见表
9。
表9Windows系统接见控制基线技术要求
序号
基线技术要求
基线标准点(参数)
说明
28
文件系统格式
NTFS
磁盘文件系统格式为
NTFS
29
桌面屏保
10分钟
桌面屏保策略
30
防病毒软件
安装赛门铁克
生产环境安装赛门铁克防病毒最
新版本软件
31
防病毒代码库升级时间
7天
严禁配置文件共享,若工作需要
32
文件共享(可选)
严禁
一定配置共享,须设置账号与口
令
33
系统自带防火墙(可选)
严禁
严禁自带防火墙
34
默认共享IPC$、ADMIN$、
严禁
安全控制选项优化
C$、D$等
35
不一样意匿名枚取SAM账
启用
网络接见安全控制选项优化
号与共享
36
不显示上一次的用户名
启用
交互式登录安全控制选项优化
37
控制驱动器
严禁
严禁自动运转
38
蓝屏后自动启动机器
严禁
严禁蓝屏后自动启动机器
(可选)
39
接入一致
NTP服务
一致时间
保障生产环境全部系统时间一致
器
1.2.5.
补丁管理
经过进行按期更新,降低常有的破绽被利用,详见表
10。
表10Windows系统补丁管理基线技术要求
序号
基线技术要求
基线标准点(参数)
说明
40
win2003SP2
安全服务包
win2008SP1
安装微软最新的安全服务包
41
安全补丁(可选)更新到最新
依据实质需要更新安全补丁
1.3.
Linux系统安全基线
1.3.1.
系统管理
经过配置系统安全管理工具,提升系统运维管理的安全性,
详
见表11。
表11Linux系统管理基线技术要求
序号
基线技术要求
基线标准点(参数)
说明
安装SSH管理远
OpenSSH为远程管理高安全性工
1
安装OpenSSH
程工具(可选)
具,保护管理过程中传输数据的
安全
安装TCPWrapper,提升对系统访
2
配置本机接见控
配置/etc/,
问控制
制列表(可选)
/etc/
1.3.2.用户账号与口令
经过配置Linux系统用户账号与口令安全策略,提升系统账号
与口令安全性,详见表12。
表12Linux系统用户账号与口令基线技术要求
序号
基线技术要求
基线标准点(参数)
说明
严禁系统无用默
清理剩余用户账号,限制系统默
3
认账号登录
严禁
认账号登录,同时,针对需要使
1)Operator
用的用户,制定用户列表进行妥
2)
Halt
善保留
3)
Sync
4)
News
5)
Uucp
6)
Lp
7)
nobody
8)
Gopher
4
root远程登录
严禁
严禁root远程登录
5
口令使用最长周
90天
口令安全策略(超级用户口令)
期
6
口令过期提示修
28天
口令安全策略(超级用户口令)
改时间
7
口令最小长度
8位
口令安全策略
8
设置超不时间
10分钟
口令安全策略
1.3.3.
日记与审计
经过对Linux系统的日记进行安全控制与管理,提升日记的安
全性与有效性,详见表
13。
表13Linux
系统日记与审计基线技术要求
序号
基线技术要求
基线标准点(参数)
说明
9
authpriv日记
记录网络设施启动、usermod、
记录安整日记
change等方面日记
10
使用一致日记服务器接收并储存
日记储存(可选)
接入到一致日记服务器
系统日记
11
6个月
等保三级要求日记一定保留
6个
日记保留时间
月
12
日记系统配置文
400
改正配置文件权限为管理员用户
件保护
只读
1.3.4.服务优化
经过优化Linux系统资源,提升系统服务安全性,详见表14。
表14Linux系统服务优化基线技术要求
序号
基线技术要求
基线标准点(参数)
说明
13
ftp服务(可选)
严禁
文件上传服务
14
sendmail服务
严禁
邮件服务
15
klogin
服务(可
严禁
Kerberos
登录,假如站点使用
Kerberos
选)
认证则启用
16
kshell
服务(可
严禁
Kerberosshell,假如站点使用
Kerberos
选)
认证则启用
17
ntalk
服务
严禁
newtalk
18
tftp
服务
严禁
以root
用户身份运转可能危及
安全
19
imap
服务(可选)
严禁
邮件服务
20
pop3服务(可选)
严禁
邮件服务
21
telnet
服务(可
严禁
远程接见服务
选)
22
GUI服务(可选)
严禁
图形管理服务
23
xinetd服务(可选)
启动
增强系统安全
1.3.5.
接见控制
经过对Linux系统配置参数调整,提升系统安全性,详见表
15。
表15Linux
系统接见控制基线技术要求
序号
基线技术要求
基线标准点(参数)
说明
24
Umask权限
022或027
改正默认文件权限
25
1)
/etc/passwd
目录权限
/etc/passwdrw-r--r
—
为644
所实用户可读,root
用户可写
26
重点文件权限
2)
/etc/shadow
目录权限
/etc/shadowr--------
为400
只有root可读
控制
27
3)
/etc/group
root目录权
/etc/grouprw-r--r
—
限为644
所实用户可读,root
用户可写
28一致时间接入一致NTP服务器保障生产环境全部系统时间一致
2.数据库安全基线技术要求
2.1.Oracle数据库系统安全基线
2.1.1.用户账号与口令
经过配置数据库系统用户账号与口令安全策略,提升数据库系统账号与口令安全性,详见表16。
表16Oracle系统用户账号与口令基线技术要求
序号基线技术要求基线标准点(参数)说明
Oracle无用账号
1
TIGER
禁用
禁用无用账号
SCOTT等
默认管理账号管理
2
SYSTEM
改正口令
账号安全策略(新系统)
DMSYS等
3
数据库自动登录
SYSDBA账号
严禁
账号安全策略
4
口令最小长度
8位
口令安全策略(新系统)
5
口令有效期
12个月
新系统履行此项要求
6
严禁使用已设置过
10次
的口令次数
口令安全策略
2.1.2.
日记与审计
经过对数据库系统的日记进行安全控制与管理,
提升日记的安
全性与有效性,详见表
17。
表17Oracle
系统日记与审计基线技术要求
序号
基线技术要求
基线标准点(参数)
说明
7
日记保留要求(可选)3个月
日记一定保留
3个月
8
日记文件保护
启用
设置接见日记文件权限
2.1.3.接见控制
经过对数据库系统配置参数调整,提升数据库系统安全性,详
见表18。
表18Oracle
系统接见控制基线技术要求
序号
基线技术要求
基线标准点(参数)
说明
9
监听程序加密(可选)设置口令
设置监听器口令(新系统)
10
改正服务监听默认端
非TCP1521
口(可选)
系统可履行此项要求
3.中间件安全基线技术要求
3.1.Tong(TongEASY、TongLINK
3.1.1.用户账号与口令
等)中间件安全基线
经过配置中间件用户账号与口令安全策略,提升系统账号与
口令安全,详见表19。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息系统安全 基线