《信息系统安全基线新修订》由会员分享,可在线阅读,更多相关《信息系统安全基线新修订(18页珍藏版)》请在金锄头文库上搜索。
1、1.操作系统安全基线技术要求1.操作系统安全基线技术要求 1.1. AIX 系统安全基线1.1. AIX 系统安全基线 1.1.1. 系统管理 通过配置操作系统运维管理安全策略,提高系统运维管理安全 性,详见表 1。 表 1 AIX 系统管理基线技术要求 序号序号基线技术要求基线技术要求基线标准点(参数)基线标准点(参数)说明说明 1 限制超级管理员 权限的用户远程 登录 PermitRootLogin no 限制 root 用户远程使用 telnet 登录 (可选) 2 使用动态口令令 牌登录 安装动态口令 3 配置本机访问控 制列表(可选) 配置/etc/hosts.allow, /etc
2、/hosts.deny 安装 TCP Wrapper,提高对系统访 问控制 1.1.2. 用户账号与口令 通过配置操作系统用户账号与口令安全策略,提高系统账号与 口令安全性,详见表 2。 表 2 AIX 系统用户账户与口令基线技术要求 序号序号基线技术要求基线技术要求基线标准点(参数)基线标准点(参数)说明说明 4 限制系统无用默认 账号登录 daemon(禁用) bin(禁用) sys(禁用) adm(禁用) uucp(禁用) nuucp(禁用) lpd(禁用) guest(禁用) pconsole(禁用) esaadmin(禁用) sshd(禁用) 清理多余用户账号,限制系统默认 账号登录
3、,同时,针对需要使用的 用户,制订用户列表,并妥善保存 5 控制用户登录超时 时间 10 分钟控制用户登录会话,设置超时时间 6口令最小长度8 位 口令安全策略(口令为超级用户静 态口令) 7 口令中最少非字母 数字字符 1 个 口令安全策略(口令为超级用户静 态口令) 8 信息系统的口令的 最大周期 90 天 口令安全策略(口令为超级用户静 态口令) 9口令不重复的次数10 次 口令安全策略(口令为超级用户静 态口令) 1.1.3. 日志与审计 通过对操作系统的日志进行安全控制与管理,提高日志的安全 性,详见表 3。 表 3 AIX 系统日志与审计基线技术要求 序号序号基线技术要求基线技术要
4、求基线标准点(参数)基线标准点(参数)说明说明 10 系统日志记录(可 选) authlog、sulog、wtmp、 failedlogin 记录必需的日志信息,以便进行审 计 11 系统日志存储(可 选) 对接到统一日志服务 器 使用日志服务器接收与存储主机日 志,网管平台统一管理 12 日志保存要求(可 选) 6 个月等保三级要求日志必须保存 6 个月 13 配置日志系统文件 保护属性(可选) 400 修改配置文件 syslog.conf 权限为管 理员账号只读 14 修改日志文件保护 权限(可选) 400 修改日志文件 authlog、wtmp、sulog、 failedlogin 的权
5、限管理员账号只读 1.1.4. 服务优化 通过优化操作系统资源,提高系统服务安全性,详见表 4。 表 4 AIX 系统服务优化基线技术要求 序号序号基线技术要求基线技术要求基线标准点(参数)基线标准点(参数)说明说明 15discard 服务禁止 网络测试服务,丢弃输入, 为“拒绝 服务”攻击提供机会, 除非正在测 试网络,否则禁用 16daytime 服务禁止 网络测试服务,显示时间, 为“拒绝 服务”攻击提供机会, 除非正在测 试网络,否则禁用 17chargen 服务禁止 网络测试服务,回应随机字符串, 为 “拒绝服务”攻击提供机会, 除非正 在测试网络,否则禁用 18comsat 服务
6、禁止 comsat 通知接收的电子邮件,以 root 用户身份运行,因此涉及安全 性, 除非需要接收邮件,否则禁用 19ntalk 服务禁止 ntalk 允许用户相互交谈,以 root 用户身份运行,除非绝对需要,否 则禁用 20talk 服务禁止 在网上两个用户间建立分区屏幕, 不 是必需服务,与 talk 命令一起使 用,在端口 517 提供 UDP 服务 21tftp 服务禁止 以 root 用户身份运行并且可能危 及安全 22ftp 服务(可选)禁止防范非法访问目录风险 23telnet 服务禁止远程访问服务 24uucp 服务禁止 除非有使用 UUCP 的应用程序,否 则禁用 25d
7、tspc 服务(可选)禁止 CDE 子过程控制不用图形管理则 禁用 26klogin 服务(可选)禁止 Kerberos 登 录 , 如 果 站 点 使 用 Kerberos 认证则启用 27kshell 服务(可选)禁止 Kerberos shell, 如 果 站 点 使 用 Kerberos 认证则启用 1.1.5. 访问控制 通过对操作系统安全权限参数进行调整,提高系统访问安全性, 详见表 5。 表 5 AIX 系统访问控制基线技术要求 序号序号基线技术要求基线技术要求基线标准点(参数)基线标准点(参数)说明说明 28修改 Umask 权限022 或 027要求修改默认文件权限 29 p
8、asswd、 group、 security 的所有者必须是 root 和 security 组成员 设置/etc/passwd,/etc/group, /etc/security 等关键文件和目录的 权限 30 audit 的所有者必须是 root 和 audit 组成员 /etc/security/audit 的 所 有 者 必 须 是 root 和 audit 组成员 31/etc/passwd rw-r-r- /etc/passwd 目录权限为 644 所有 用户可读,root 用户可写 32 关键文件权限控制 /etc/group rw-r-r- /etc/group root 目录
9、权限为 644 所有用户可读,root 用户可写 33统一时间 接入统一 NTP 服务器保障生产环境所有系统时间统一 1.2. Windows 系统安全基线1.2. Windows 系统安全基线 1.2.1. 用户账号与口令 通过配置操作系统用户账号与口令安全策略,提高系统账号与 口令安全性,详见表 6。 表 6 Windows 系统用户账号与口令基线技术要求 序号序号基线技术要求基线技术要求基线标准点(参数)基线标准点(参数)说明说明 1 口令必须符合复杂性 要求 启用 口令安全策略(不涉及终端及动态 口令) 2口令长度最小值8 位口令安全策略(不涉及终端) 3口令最长使用期限90 天口令安
10、全策略(不涉及终端) 4强制口令历史10 次口令安全策略(不涉及终端) 5复位账号锁定计数器10 分钟账号锁定策略(不涉及终端) 6账号锁定时间(可选)10 分钟账号锁定策略(不涉及终端) 7账号锁定阀值(可选)10 次账号锁定策略(不涉及终端) 8guest 账号禁止禁用 guest 账号 9administrator(可选)重命名保护 administrator 安全 10无需账号检查与管理禁用禁用无需使用账号 1.2.2. 日志与审计 通过对操作系统日志进行安全控制与管理,提高日志的安全性 与有效性,详见表 7。 表 7 Windows 系统日志与审计基线技术要求 序号序号基线技术要求基
11、线技术要求基线标准点(参数)基线标准点(参数)说明说明 11审核账号登录事件成功与失败日志审核策略 12审核账号管理成功与失败日志审核策略 13审核目录服务访问成功日志审核策略 14审核登录事件成功与失败日志审核策略 15审核策略更改成功与失败日志审核策略 16审核系统事件成功日志审核策略 17日志存储地址(可选)接入到统一日志服务器日志存储在统一日志服务器中 18日志保存要求(可选)6 个月等保三级要求日志保存 6 个月 1.2.3. 服务优化 通过优化系统资源,提高系统服务安全性,详见表 8。 表 8 Windows 系统服务优化基线技术要求 序号序号基线技术要求基线技术要求基线标准点(参
12、数)基线标准点(参数)说明说明 19Alerter 服务禁止禁止进程间发送信息服务 20Clipbook(可选)禁止禁止机器间共享剪裁板上信息服务 21 Computer Browser 服 务(可选) 禁止 禁止跟踪网络上一个域内的机器服 务 22Messenger 服务禁止禁止即时通讯服务 23 Remote Registry Service 服务 禁止禁止远程操作注册表服务 24 Routing and Remote Access 服务 禁止禁止路由和远程访问服务 25Print Spooler(可选)禁止禁止后台打印处理服务 26 Automatic Updates 服 务(可选) 禁
13、止禁止自动更新服务 27 Terminal Service 服务 (可选) 禁止禁止终端服务 1.2.4. 访问控制 通过对系统配置参数调整,提高系统安全性,详见表 9。 表 9 Windows 系统访问控制基线技术要求 序号序号基线技术要求基线技术要求基线标准点(参数)基线标准点(参数)说明说明 28文件系统格式NTFS磁盘文件系统格式为 NTFS 29桌面屏保10 分钟桌面屏保策略 30防病毒软件安装赛门铁克 生产环境安装赛门铁克防病毒最 新版本软件 31防病毒代码库升级时间7 天 32文件共享(可选)禁止 禁止配置文件共享,若工作需要 必须配置共享,须设置账号与口 令 33系统自带防火墙
14、(可选)禁止禁止自带防火墙 34 默认共享IPC$、 ADMIN$、C$、D$等 禁止 安全控制选项优化 35 不允许匿名枚取SAM账 号与共享 启用网络访问安全控制选项优化 36不显示上次的用户名启用交互式登录安全控制选项优化 37控制驱动器禁止禁止自动运行 38 蓝屏后自动启动机器(可 选) 禁止禁止蓝屏后自动启动机器 39统一时间 接入统一 NTP 服务 器 保障生产环境所有系统时间统一 1.2.5. 补丁管理 通过进行定期更新,降低常见的漏洞被利用,详见表 10。 表 10 Windows 系统补丁管理基线技术要求 序号序号基线技术要求基线技术要求基线标准点(参数)基线标准点(参数)说
15、明说明 40安全服务包 win2003 SP2 win2008 SP1 安装微软最新的安全服务包 41安全补丁(可选)更新到最新根据实际需要更新安全补丁 1.3. Linux 系统安全基线1.3. Linux 系统安全基线 1.3.1. 系统管理 通过配置系统安全管理工具,提高系统运维管理的安全性,详 见表 11。 表 11 Linux 系统管理基线技术要求 序号序号基线技术要求基线技术要求基线标准点(参数)基线标准点(参数)说明说明 1 安 装 SSH 管 理 远程工具(可选) 安装 OpenSSH OpenSSH 为远程管理高安全性工 具,保护管理过程中传输数据的 安全 2 配置本机访问控
16、 制列表(可选) 配置/etc/hosts.allow, /etc/hosts.deny 安装 TCP Wrapper,提高对系统访 问控制 1.3.2. 用户账号与口令 通过配置 Linux 系统用户账号与口令安全策略,提高系统账号 与口令安全性,详见表 12。 表 12 Linux 系统用户账号与口令基线技术要求 序号序号基线技术要求基线技术要求基线标准点(参数)基线标准点(参数)说明说明 3 禁止系统无用默 认账号登录 1)Operator 2)Halt 3)Sync 4)News 5)Uucp 6)Lp 7)nobody 8)Gopher 禁止 清理多余用户账号,限制系统默 认账号登录,同时,针对需要使用 的用户,制订用户列表进行妥善 保存 4root 远程登录禁止禁止 root 远程登录 5 口令使用最长周 期 90 天口令安全策略(超级用户口令) 6 口令过期提示修 改时间 28 天口令安全策略(超级用户口令) 7口令最小长度8 位口令安全策略 8设置超时时间10 分钟口令安全策略 1.3.3. 日志与审计 通过对 Linux 系统的日志进行安
