《XXX单位信息系统安全基线配置管理制度》由会员分享,可在线阅读,更多相关《XXX单位信息系统安全基线配置管理制度(44页珍藏版)》请在金锄头文库上搜索。
1、XXX单位安全基线配置管理制度1范围本规范适用于XXX单位所有信息系统相关主流支撑平台设备。2规范性引用文件下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件,仅注日 期的版本适用于本规范。凡是不注日期的引用文件,其最新版本(包括所有的修 改单)适用于本规范。中华人民共和国计算机信息系统安全保护条例 中华人民共和国国家安全法中华人民共和国保守国家秘密法 计算机信息系统国际联网保密管理规定 中华人民共和国计算机信息网络国际联网管理暂行规定GB/T 22239-2008 求GB/T 22240-2008南IS027001 标准/IS027002 指南GB/T 21028-2007信息安全技
2、术 服务器安全技术要求GB/T 20269-2006信息安全技术 信息系统安全管理要求公通字200743号信息安全等级保护管理办法信息安全技术 信息系统安全等级保护基本要信息安全技术 信息系统安全等级保护定级指3术语和定义安全基线:指针对信息化设备的安全特性,选择合适的安全控制措施,定义 不同信息化设备的最低安全配置要求,则该最低安全配置要求就称为安全基线。管理信息大区(具体指“XXX单位内部办公区域”):内部基于计算机和网络技术的业务系统;根据应用系统实际情况,在满足总体安全要求的前提下,可以简化安全区的设置,但是应当避免通过广域网形成不同安全区的纵向交叉连接。4总则4.1指导思想围绕保障信
3、息化建设,提高信息安全防护能力,通过规范信息化设备安全基 线,建立信息化设备安全防护的最低标准,实现设备整体防护的技术措施标准化、 规范化、指标化。4.2目标 管理信息大区内信息化设备安全配置所应达到的安全基线规范,主要包括针 对AIX系统、Windows系统、Linux系统、HP UNIX系统、Oracle数据库系统、 MS SQL 数据库系统,WEB Logic 中间件、Apache HTTP Server 中间件、Tomcat 中间件、IIS中间件、Cisco路由器/交换机、华为网络设备、Cisco防火墙、Juniper 防火墙和Nokia防火墙等的安全基线设置规范。通过该规范的实施,提
4、升管理信 息大区内的信息安全防护能力。5安全基线技术要求5.1操作系统5.1.1 AIX系统安全基线技术要求5.1.1.1 设备管理应通过配置系统安全管理工具,预防远程访问服务攻击或非授权访问,提高主机系统远程管理安全。基线技术要求基线标准点(参数)说明管理远程工具安装SSHOpenSSH为远程管理高安 全性工具,可保护管理过 程中传输数据的安全安装TCP Wrapper,配置访问控制配置本机访问控制列表, /et c/hos ts.allow,/e tc/提高对主机系统访问控制 hos ts.deny5.1.1.2 用户账号与口令安全应通过配置用户账号与口令安全策略,提高主机系统账户与口令安
5、全。基线技术要求基线标准点(参数)说明1) Daemon2) Bin3) Sys4) Adm5) Uucp清理多余用户账号,限制系限制系统无用的默6) Nuucp统默认账号登录,同时,针认账号登录7) Lpd对需要使用的用户,制订用8) Imnadm9) Ldap10) Lp11) Snapp12) invscout户列表进仃妥善保存root远稈登录禁止禁止root远稈登录1) maxrepeats=31) 口令中某一字符最多2) minlen=8只能重复3次口令策略3) minalpha=42) 口令最短为8个字符4) minother=13)口令中最少包含4个字5) mindiff=4母字
6、符基线技术要求基线标准点(参数)说明6) minage=17) maxage=25 (可选)8) histsize=104)口令中最少包含一个非字母数字字符5)新口令中最少有4个字符和旧口令不同6)口令最小使用寿命1周7)口令的最大寿命25周8)口令不重复的次数10 次FTP用户账号控制/etc/ftpusers禁止root用户使用FTP5.1.1.3 日志与审计应对系统的日志进行安全控制与管理,保护日志的安全与有效性。基线技术要求基线标准点(参数)说明日志记录记录 authlog、wtmp.log、sulog、 failedlogin记录必需的日志信息,以便进行审计日志存储(可选)日志必须存
7、储在日志服务器中使用日志服务器接受与存储主机日志日志保存要求2个月日志必须保存2个月日志系统配置文件保护文件属性400(管理员账号只读)修改日志配置文件(syslog.conf)权限为400日志文件保护文件属性400(管理员账号只读)修改日志文件authlog、wtmp.log、sulog、failedlogin 的权限为 4005.1.1.4 服务优化应提高系统服务安全,优化系统资源基线技术要求基线标准点(参数)说明Finger服务禁止Finger允许远稈杳询登陆 用户信息telnet服务禁止远程访问服务ftp服务(可选)禁止文件上传服务(需要经过批准才启用)sendmail服务(可选)禁止
8、邮件服务Time服务禁止远程查询登陆用户信息服 务Echo服务禁止网络测试服务,回显字符 串,为“拒绝服务”攻击提 供机会,除非正在测试网 络,否则禁用Discard 服务禁止网络测试服务,丢弃输入, 为“拒绝服务”攻击提供机 会,除非正在测试网络,否 则禁用Day time 服务禁止网络测试服务,显示时间, 为“拒绝服务”攻击提供机 会,除非正在测试网络,否 则禁用基线技术要求基线标准点(参数)说明Chargen 服务禁止网络测试服务,回应随机字 符串,为“拒绝服务”攻击 提供机会,除非正在测试 网络,否则禁用comsat服务禁止comsat通知接收的电子邮 件,以root用户身份运 行,因
9、此涉及安全性,很少需要的,禁用klogin服务(可选)禁止Kerberos登录,如果您的 站点使用Kerberos认证 则启用(需要经过批准才启 用)kshell服务(可选)禁止Kerberos shell,如果您的 站点使用Kerberos认证 则启用(需要经过批准才启 用)ntalk服务禁止ntalk允许用户相互交谈, 以root用户身份运行,除 非绝对需要,否则禁用talk服务禁止在网上两个用户间建立分 区屏幕,不是必需服务,与 talk命令起使用,在端 口 517提供UDP服务基线技术要求基线标准点(参数)说明tftp服务禁止以root用户身份运行并且可能危及安全uucp服务禁止除非有
10、使用UUCP的应用程序,否则禁用dt spc服务(可选)禁止CDE子过程控制,不用图形管理则禁用5.1.1.5 安全防护应对系统安全配置参数进行调整,提高系统安全。基线技术要求基线标准点(参数)说明Umask权限022修改默认文件权限控制用户登录会话设置为600秒设置超时时间,控制用户登录会话5.1.1.6 其它应对关键文件进行权限调整,提高关键文件的安全。基线技术要求基线标准点(参数)说明关键文件的安全保护a) /etc/passwdb) /etc/groupc) /etc/security 目录设置 passwd、group、security等关键文件和目录的权限5.1.2 Windows
11、系统安全基线技术要求5.1.2.1 补丁管理应使Windows操作系统的补丁达到管理基线。基线技术要求基线标准点(参数)说明安全补丁更新到最新补丁更新至最新5.1.2.2 用户账号与口令安全应配置用户账号与口令安全策略,提高主机系统账户与口令安全。基线技术要求基线标准点(参数)说明密码必须符合复杂性要求(可选)启用密码安全策略密码长度最小值8密码安全策略密码最长使用期限(可选)180天密码安全策略密码最短使用期限1天密码安全策略强制密码历史5次密码安全策略复位帐户锁定计数器3分钟帐户锁定策略帐户锁定时间5分钟帐户锁定策略帐户锁定阀值5次无效登录帐户锁定策略guest账号禁止禁用guest用户使
12、用administrator (可选)重命名力口强 administrator 使用帐号检杳与管理禁用无需使用帐号禁用无需使用帐号5.1.2.3 日志与审计应对系统的日志进行安全控制与管理,保护日志的安全与有效性。基线技术要求基线标准点(参数)说明基线技术要求基线标准点(参数)说明审核帐号登录事件成功与失败日志审核策略审核帐号管理成功与失败日志审核策略审核目录服务访问成功日志审核策略审核登录事件成功与失败日志审核策略审核对象访问无审核日志审核策略审核策略更改成功与失败日志审核策略审核特权使用无审核日志审核策略审核过程跟踪无审核日志审核策略审核系统事件成功日志审核策略应用日志50-1024M最大
13、日志容量安全日志50-1024M最大日志容量系统日志50-1024M最大日志容量日志存储(可选)指定日志服务器日志存储在日志服务器中日志保存要求2个月日志必须保存2个月5.1.2.4 服务优化应提高系统服务安全,优化系统资源。基线技术要求基线标准点(参数)说明Aler ter 服务禁止Clipbook 服务禁止Computer Browser禁止Messenger禁止基线技术要求基线标准点(参数)说明Remote RegistryService禁止Routing and RemoteAccess禁止Simple MailTrasferPro tocol(SMTP)(可选)禁止Simple NetworkManagementPro tocol(SNMP)Service (可选)禁止若网管需要可开放该服 务,但需修改缺省SNMP团 体名和仅对指定管理IP开 放。Simple NetworkManagementPro tocol(SNMP)Trap (可选)禁止Telnet禁止Publishing Service禁止World Wide Web(可选)Print Spooler禁止Automatic Updates禁止基线技术要求基线标准点(参数)说明Terminal Service禁
