信息系统的安全基线.doc_咨信网zixin.com.cn

资源描述

1. 操作系统安全基线技术要求 1.1. ＡIX系统安全基线 1.1.1. 系统管理通过配置操作系统运维管理安全策略,提高系统运维管理安全性，详见表1。表1 ＡIX系统管理基线技术要求序号基线技术要求基线标准点（参数) 说明 1 限制超级管理员权限得用户远程登录 PermitRｏoｔLogｉn no 限制root用户远程使用teｌnet登录(可选) 2 使用动态口令令牌登录安装动态口令 3 配置本机访问控制列表（可选) 配置/etc/ｈostｓ、alｌow, /etc/hｏstｓ、ｄenｙ安装ＴCP　Ｗrapper，提高对系统访问控制 1.1.2. 用户账号与口令通过配置操作系统用户账号与口令安全策略，提高系统账号与口令安全性,详见表2。表2 AIX系统用户账户与口令基线技术要求序号基线技术要求基线标准点（参数）说明 4 限制系统无用默认账号登录 daemｏn（禁用) bin（禁用) sys（禁用) adm（禁用） uucp(禁用） nuｕｃp（禁用) lpｄ（禁用) gｕｅst（禁用）ｐcoｎｓoｌｅ（禁用）ｅsaadmin（禁用) sshd（禁用）清理多余用户账号,限制系统默认账号登录,同时,针对需要使用得用户，制订用户列表,并妥善保存 5 控制用户登录超时时间 1０分钟控制用户登录会话,设置超时时间 6 口令最小长度 8位口令安全策略(口令为超级用户静态口令) 7 口令中最少非字母数字字符 1个口令安全策略（口令为超级用户静态口令) 8 信息系统得口令得最大周期 90天口令安全策略(口令为超级用户静态口令） 9 口令不重复得次数 10次口令安全策略(口令为超级用户静态口令) 1.1.3. 日志与审计通过对操作系统得日志进行安全控制与管理，提高日志得安全性，详见表３。表３ＡIＸ系统日志与审计基线技术要求序号基线技术要求基线标准点（参数) 说明 10 系统日志记录（可选) ａutｈｌog、suloｇ、wｔmp、faｉｌedｌｏｇin 记录必需得日志信息,以便进行审计 11 系统日志存储（可选）对接到统一日志服务器使用日志服务器接收与存储主机日志,网管平台统一管理 12 日志保存要求（可选) 6个月等保三级要求日志必须保存6个月 13 配置日志系统文件保护属性（可选) ４00 修改配置文件syslog、conf权限为管理员账号只读 14 修改日志文件保护权限(可选）４００修改日志文件aｕthｌoｇ、wtｍp、suｌog、faiｌｅｄlogiｎ得权限管理员账号只读 1.1.4. 服务优化通过优化操作系统资源,提高系统服务安全性，详见表4。表4 AIＸ系统服务优化基线技术要求序号基线技术要求基线标准点（参数）说明 15 ｄｉｓcarｄ服务禁止网络测试服务,丢弃输入, 为“拒绝服务"攻击提供机会，除非正在测试网络,否则禁用 16 ｄayｔiｍe 服务禁止网络测试服务，显示时间, 为“拒绝服务”攻击提供机会，除非正在测试网络，否则禁用 17 ｃhargｅn 服务禁止网络测试服务，回应随机字符串, 为“拒绝服务"攻击提供机会，除非正在测试网络,否则禁用 18 ｓaｔ服务禁止 sat通知接收得电子邮件，以 rｏoｔ用户身份运行,因此涉及安全性，　除非需要接收邮件，否则禁用 19 ｎtalｋ服务禁止ｎｔalk允许用户相互交谈，以 root 用户身份运行,除非绝对需要，否则禁用 20 talk 服务禁止在网上两个用户间建立分区屏幕,不就是必需服务,与ｔalk　命令一起使用，在端口　51７提供ＵDP 服务 21 ｔｆｔp　服务禁止以 roｏt 用户身份运行并且可能危及安全 22 ｆtｐ服务(可选）禁止防范非法访问目录风险 23 ｔelｎeｔ服务禁止远程访问服务 24 ｕuｃｐ　服务禁止除非有使用ＵＵＣP　得应用程序,否则禁用 25 dｔｓｐc 服务(可选）禁止 CDE 子过程控制不用图形管理则禁用 26 ｋlogiｎ服务（可选）禁止 Keｒｂｅrｏs 登录，如果站点使用 Keｒberos 认证则启用 27 ｋshell　服务(可选）禁止 Kerbeｒｏｓ sｈelｌ,如果站点使用 Kerbｅros 认证则启用 1.1.5. 访问控制通过对操作系统安全权限参数进行调整，提高系统访问安全性,详见表５。表5 AIＸ系统访问控制基线技术要求序号基线技术要求基线标准点（参数) 说明 28 修改Ｕmａｓｋ权限 022或０27 要求修改默认文件权限 29 关键文件权限控制 passｗd、grｏup、ｓecｕrity得所有者必须就是rooｔ与seｃurｉty组成员设置/etc/ｐasｓwd,/eｔｃ/ｇroup， /etc/securｉty等关键文件与目录得权限 30 auｄiｔ得所有者必须就是rｏoｔ与aｕdｉｔ组成员 /etｃ/sｅcurity／audit得所有者必须就是root与aｕｄit组成员 31 ／ｅｔc/pａｓｓｗｄｒw-r—-r-- /etc/pasｓwd目录权限为 644所有用户可读，roｏt用户可写 32 /etc/grｏup rｗ-ｒ-－r—— /ｅtc/group rｏot目录权限为６44 所有用户可读，ｒoot用户可写 33 统一时间　接入统一NTP服务器保障生产环境所有系统时间统一 1.2. Winｄｏｗs系统安全基线 1.2.1. 用户账号与口令通过配置操作系统用户账号与口令安全策略，提高系统账号与口令安全性,详见表６。表6 Ｗｉｎdoｗs系统用户账号与口令基线技术要求序号基线技术要求基线标准点(参数) 说明 1 口令必须符合复杂性要求启用口令安全策略（不涉及终端及动态口令） 2 口令长度最小值 8位口令安全策略（不涉及终端) 3 口令最长使用期限９0天口令安全策略（不涉及终端） 4 强制口令历史 10次口令安全策略（不涉及终端) 5 复位账号锁定计数器 1０分钟账号锁定策略（不涉及终端） 6 账号锁定时间(可选）１0分钟账号锁定策略（不涉及终端） 7 账号锁定阀值（可选) １0次账号锁定策略(不涉及终端） 8 ｇueｓｔ账号禁止禁用guest账号 9 aｄｍinisｔraｔor（可选）重命名保护administrａtor安全 10 无需账号检查与管理禁用禁用无需使用账号 1.2.2. 日志与审计通过对操作系统日志进行安全控制与管理，提高日志得安全性与有效性,详见表7. 表7　Windoｗs系统日志与审计基线技术要求序号基线技术要求基线标准点(参数) 说明 11 审核账号登录事件成功与失败日志审核策略 12 审核账号管理成功与失败日志审核策略 13 审核目录服务访问成功日志审核策略 14 审核登录事件成功与失败日志审核策略 15 审核策略更改成功与失败日志审核策略 16 审核系统事件成功日志审核策略 17 日志存储地址（可选）接入到统一日志服务器日志存储在统一日志服务器中 18 日志保存要求(可选） 6个月等保三级要求日志保存６个月 1.2.3. 服务优化通过优化系统资源,提高系统服务安全性，详见表8。表8 Ｗindowｓ系统服务优化基线技术要求序号基线技术要求基线标准点（参数) 说明 19 Alerｔｅr服务禁止禁止进程间发送信息服务 20 Clｉｐbooｋ(可选）禁止禁止机器间共享剪裁板上信息服务 21 ｐuter Ｂrowsｅr服务（可选）禁止禁止跟踪网络上一个域内得机器服务 22 Mesｓenger服务禁止禁止即时通讯服务 23 Ｒemoｔe Regｉｓtry Servｉｃｅ服务禁止禁止远程操作注册表服务 24 Rouｔinｇ and Ｒemｏte Access服务禁止禁止路由与远程访问服务 25 Ｐrint Spooler（可选）禁止禁止后台打印处理服务 26 Autｏmatic Uｐdａtｅs服务（可选）禁止禁止自动更新服务 27 Terｍinal　Serｖicｅ服务（可选）禁止禁止终端服务 1.2.4. 访问控制通过对系统配置参数调整，提高系统安全性,详见表9。表9 Windｏws系统访问控制基线技术要求序号基线技术要求基线标准点(参数) 说明 28 文件系统格式 NTFＳ磁盘文件系统格式为NTＦS 29 桌面屏保 10分钟桌面屏保策略 30 防病毒软件安装赛门铁克生产环境安装赛门铁克防病毒最新版本软件 31 防病毒代码库升级时间 7天 32 文件共享(可选）禁止禁止配置文件共享，若工作需要必须配置共享，须设置账号与口令 33 系统自带防火墙(可选）禁止禁止自带防火墙 34 默认共享IPC＄、AＤＭＩN＄、C$、D＄等禁止　安全控制选项优化 35 不允许匿名枚取SAＭ账号与共享启用网络访问安全控制选项优化 36 不显示上次得用户名启用交互式登录安全控制选项优化 37 控制驱动器禁止禁止自动运行 38 蓝屏后自动启动机器(可选）禁止禁止蓝屏后自动启动机器 39 统一时间接入统一ＮTＰ服务器保障生产环境所有系统时间统一 1.2.5. 补丁管理通过进行定期更新,降低常见得漏洞被利用，详见表10。表１0 Ｗiｎdoｗs系统补丁管理基线技术要求序号基线技术要求基线标准点（参数）说明 40 安全服务包 wｉn2003 SＰ２ win２008 SP1 安装微软最新得安全服务包 41 安全补丁（可选）更新到最新根据实际需要更新安全补丁 1.3. Linuｘ系统安全基线 1.3.1. 系统管理通过配置系统安全管理工具，提高系统运维管理得安全性,详见表11。表1１ Lｉｎｕｘ系统管理基线技术要求序号基线技术要求基线标准点（参数) 说明 1 安装ＳSＨ管理远程工具(可选）安装OpｅnSSH ＯpenSSＨ为远程管理高安全性工具，保护管理过程中传输数据得安全 2 配置本机访问控制列表(可选）配置/etｃ/hosts、allow，／ｅtc/hｏsts、deny 安装TCP Wrapper,提高对系统访问控制 1.3.2. 用户账号与口令通过配置Lｉnux系统用户账号与口令安全策略，提高系统账号与口令安全性,详见表12。表１2 Liｎｕx系统用户账号与口令基线技术要求序号基线技术要求基线标准点(参数）说明 3 禁止系统无用默认账号登录 1) Operatoｒ 2) Halt 3) Sync 4) Neｗs 5) Uｕcｐ 6) Lp 7) nobｏdy 8) Ｇoｐｈer 禁止清理多余用户账号，限制系统默认账号登录，同时，针对需要使用得用户,制订用户列表进行妥善保存 4 ｒoot远程登录禁止禁止rｏｏｔ远程登录 5 口令使用最长周期 90天口令安全策略（超级用户口令） 6 口令过期提示修改时间２８天口令安全策略（超级用户口令) 7 口令最小长度 8位口令安全策略 8 设置超时时间 10分钟口令安全策略 1.3.3. 日志与审计通过对Lｉｎux系统得日志进行安全控制与管理，提高日志得安全性与有效性，详见表13. 表13 Linux系统日志与审计基线技术要求序号基线技术要求基线标准点(参数) 说明 9 记录安全日志 auｔhpｒiv日志记录网络设备启动、useｒmod、ｃhange等方面日志 10 日志存储（可选）接入到统一日志服务器使用统一日志服务器接收并存储系统日志 11 日志保存时间６个月等保三级要求日志必须保存6个月　 12 日志系统配置文件保护４00 修改配置文件sｙsloｇ、cｏnf权限为管理员用户只读 1.3.4. 服务优化通过优化Liｎux系统资源，提高系统服务安全性，详见表１4。表14 Linux系统服务优化基线技术要求序号基线技术要求基线标准点（参数）说明 13 ｆｔｐ服务（可选）禁止文件上传服务 14 ｓendmaｉl　服务禁止邮件服务 15 klogin 服务(可选) 禁止Ｋｅrｂeroｓ登录,如果站点使用 Kerｂerｏｓ　认证则启用 16 ｋsｈeｌｌ　服务(可选）禁止Ｋerbeｒos shelｌ，如果站点使用　Kerberｏs 认证则启用 17 ntalk 服务禁止ｎｅw tａlk 18 tftp 服务禁止以 rｏot 用户身份运行可能危及安全 19 iｍap 服务(可选）禁止邮件服务 20 pop3服务（可选) 禁止邮件服务 21 ｔelｎeｔ服务（可选　）禁止远程访问服务 22 GUI服务(可选) 禁止图形管理服务 23 xineｔd服务（可选）启动增强系统安全 1.3.5. 访问控制通过对Linux系统配置参数调整，提高系统安全性，详见表15。表1５ Lｉｎux系统访问控制基线技术要求序号基线技术要求基线标准点（参数) 说明 24 Umaｓk权限０２2或02７修改默认文件权限 25 关键文件权限控制 1) /etc／ｐasswd 目录权限为6４4 /eｔｃ/ｐasｓｗd rw－r－-ｒ— 所有用户可读，ｒoｏt用户可写 26 2) /etc/shａdｏｗ目录权限为４00　／ｅtｃ/shadoｗ　ｒ—----—-－只有ｒoot可读 27 3) /eｔc/ｇroup root目录权限为64４／etc／group　rｗ-r——r— 所有用户可读，rooｔ用户可写　 28 统一时间接入统一NTP服务器保障生产环境所有系统时间统一 2. 数据库安全基线技术要求 2.1. Ｏｒaｃle数据库系统安全基线 2.1.1. 用户账号与口令通过配置数据库系统用户账号与口令安全策略，提高数据库系统账号与口令安全性，详见表16. 表16 Oraclｅ系统用户账号与口令基线技术要求序号基线技术要求基线标准点(参数）说明 1 Ｏracle无用账号 TIGＥR SCＯTT等禁用禁用无用账号 2 默认管理账号管理 SYSTEM DＭSＹS等更改口令账号安全策略(新系统） 3 数据库自动登录ＳYSDBＡ账号禁止账号安全策略 4 口令最小长度 8位口令安全策略(新系统) 5 口令有效期 1２个月新系统执行此项要求 6 禁止使用已设置过得口令次数 1０次口令安全策略 2.1.2. 日志与审计通过对数据库系统得日志进行安全控制与管理，提高日志得安全性与有效性,详见表1７。表17 Orａcle系统日志与审计基线技术要求序号基线技术要求基线标准点(参数）说明 7 日志保存要求（可选）３个月日志必须保存3个月 8 日志文件保护启用设置访问日志文件权限 2.1.3. 访问控制通过对数据库系统配置参数调整，提高数据库系统安全性，详见表18. 表18 Ｏraｃle系统访问控制基线技术要求序号基线技术要求基线标准点（参数) 说明 9 监听程序加密（可选）设置口令设置监听器口令（新系统) 10 修改服务监听默认端口（可选）非TCＰ1５21 系统可执行此项要求 3. 中间件安全基线技术要求 3.1. Ｔonｇ（TｏngEＡSY、ToｎgLＩNK等）中间件安全基线 3.1.1. 用户账号与口令通过配置中间件用户账号与口令安全策略,提高系统账号与口令安全，详见表19。表19 Toｎg用户账号与口令基线技术要求序号基线技术要求基线标准点（参数) 说明 1 优化Ｔong服务账号与应用共用同一用户(可选) Ｔoｎg与应用共用同一用户与操作系统应用用户保持一致 3.1.2. 日志与审计通过对中间件得日志进行安全控制与管理，保护日志得安全与有效性，详见表２0。表20 Ｔonｇ日志与审计基线技术要求序号基线技术要求基线标准点(参数) 说明 2 事务包日志备份１、5G Pktlｏg达到1、5Ｇ进行备份 3 交易日志备份 1、5G Txｌog达到1、５G进行备份 4 通信管理模块运行日志备份 1、5G Tｏngliｎk、loｇ达到1、5Ｇ进行备份 5 系统日志备份１、５G ｓｙslｏg达到1、5Ｇ进行备份 6 名字服务日志备份 1、5G Nsｆｗdｌog达到1、5G进行备份 7 调试日志备份 1、5G Testloｇ达到1、5Ｇ进行备份 8 通信管理模块错误日志备份 1、５Ｇ Tonｇｌiｎk、eｒｒ达到1、5G进行备份 9 日志保存时间（可选) 6个月等保三级要求日志必须保存６个月 3.1.3. 访问控制通过配置中间件系统资源，提高中间件系统服务安全,详见表21。表21 Tong访问控制基线技术要求序号基线技术要求基线标准点（参数）说明 10 共享内存 SHMMAＸ:4G ＳＨMＳEG： 3个以上 SHMAＬL：1２G 根据不同操作系统调整Tonｇ得３个核心参数 11 消息队列 MSGＴQL　：40９6 MＳＧMＡＸ:８1９2 MSＧMＮB：１63８4 设置Tong核心应用系统程序进行数据传递参数 12 信号灯Ｍaxupｒｏｃ:1000以上 SEMMSＬ：13以上 SEＭMNS:２6以上设置Tｏng信号灯参数 13 进程数 NPROＣ:2000以上ＭＡＸUP：1０0０以上设置同时运行进程数参数服务器应答头中得版本信息关闭隐藏版本信息，防止软件版本信息泄漏 3.1.4. 安全防护通过对中间件配置参数调整，提高中间件系统安全，详见表２２。表2２ Tｏnｇ安全防护基线技术要求序号基线技术要求基线标准点(参数) 说明 14 数据传输安全根据应用需求设置加密标识根据应用需求保护数据传输安全 15 守护进程安全 tld tmｍoｎi tmrcｖ tmｓnｄ通信管理模块、运行监控、接收处理、发送处理守护进程处于常开状态，随时处理应用程序得请求 3.1.5. 补丁管理通过对Tong得补丁进行定期更新，达到管理基线,防止常见得漏洞被利用，详见表23。表23　Tｏｎg补丁管理基线技术要求序号基线技术要求基线标准点（参数）说明 16 安全补丁(可选) 根据实际需要更新根据实际需要更新安全补丁Tong４、２、Tong4、5、Tong4、6适用于AIX５、3以上版本 3.2. Apaｃhe中间件安全基线 3.2.1. 用户账号与口令通过配置中间件用户账号与口令安全策略，提高系统账号与口令安全性,详见表24。表24 Apａｃｈe用户账号与口令基线技术要求序号基线技术要求基线标准点（参数) 说明 1 优化WEB服务账号新建Apaｃｈe可访问８0端口用户账号使用WＡＳ中间件用户安装，rｏot用户启动 3.2.2. 日志与审计通过对中间件得日志进行安全控制与管理，提高日志得安全性与有效性,详见表2５。表２5 Apache日志与审计基线技术要求序号基线技术要求基线标准点(参数) 说明 2 日志级别(可选) Ｉnfo 采用Info日志级别,分析问题时采用更高日志级别 3 错误日志及记录 ErｒｏrＬoｇ配置错误日志文件名及位置 4 访问日志（可选) CustoｍLog 配置访问日志文件名及位置 3.2.3. 服务优化通过优化中间件系统资源，提高中间件系统服务安全性,详见表26. 表26　Apacｈｅ服务优化基线技术要求序号基线技术要求基线标准点(参数) 说明 5 无用模块禁用禁用无用模块 3.2.4. 安全防护通过对中间件配置参数调整，提高中间件系统安全性，详见表27。表27　Ａｐａｃｈe安全防护基线技术要求序号基线技术要求基线标准点（参数）说明 6 遍历操作系统目录（可选）禁止修改参数文件，禁止目录遍历 7 服务器应答头中得版本信息关闭隐藏版本信息,防止软件版本信息泄漏 8 服务器生成页面得页脚中版本信息关闭不显示服务器默认欢迎页面 3.3. WAS中间件安全基线 3.3.1. 用户账号与口令通过配置用户账号与口令安全策略,提高系统账号与口令安全性,详见表2８。表2８ WAＳ用户账号与口令基线技术要求序号基线技术要求基线标准点（参数) 说明 1 账号安全策略按照操作系统账号管理规范执行符合应用系统运行要求 2 口令安全策略按照操作系统口令管理规范执行符合应用系统运行要求 3.3.2. 日志与审计通过对系统得日志进行安全控制与管理，提高日志得安全性与有效性,详见表29. 表29 ＷＡＳ日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明 3 故障日志开启记录相关日志 4 记录级别 Info 记录相关日志级别 3.3.3. 服务优化通过优化系统资源,提高系统服务安全性,详见表30。表30 ＷAS服务优化基线技术要求序号基线技术要求基线标准点（参数) 说明 5 服务禁止开启用户可能非法浏览应用服务器目录与文件 6 配置conｆiｇ与pｒopertｉｅｓ目录权限 755 config与prｏｐｅrties目录权限不当存在安全隐患 3.3.4. 安全防护通过对系统配置参数调整，提高系统安全性，详见表３1。表3１ＷＡS安全防护基线技术要求序号基线技术要求基线标准点(参数）说明 7 删除sａmｐｌe例子程序删除示例域防止已知攻击 8 连接会话超时控制 10分钟设置超时时间,控制用户登录会话 9 数据传输安全加密传送在服务器ｃonsole管理中浏览器与服务器传输信息配置SSL 10 设置控制台会话最长时间 30分钟控制台会话timeout低于３0分钟 3.3.5. 补丁管理通过进行定期更新，达到管理基线,降低常见得得漏洞被利用，详见表32。表32　WAＳ补丁管理基线技术要求序号基线技术要求基线标准点(参数）说明 11 安全补丁（可选）按照系统管理室年度版本执行根据应用系统实际情况选择 4. 网络设备安全基线技术要求 4.1. Cｉsco路由器/交换机安全基线 4.1.1. 系统管理通过配置网络设备管理，提高系统运维管理安全性，详见表33. 表33 Cisco系统管理基线技术要求序号基线技术要求基线标准点(参数）说明 1 远程ssｈ服务（可选) 启用采用ssh服务代替teｌnｅt服务管理网络设备,提高设备管理安全性 2 认证方式ｔacaｓ/ｒａdｉus认证启用设备认证 3 非管理员IP地址禁止配置访问控制列表，只允许管理员IP或网段能访问网络设备管理服务 4 配置ｃoｎsoｌｅ端口口令认证 consｏｌe需配置口令认证信息 5 统一时间接入统一NＴP服务器保障生产环境所有设备时间统一 4.1.2. 用户账号与口令通过配置网络设备用户账号与口令安全策略，提高系统账号与口令安全性,详见表3４。表３4 Cisｃo用户账号与口令基线技术要求序号基线技术要求基线标准点（参数）说明 6 Serｖice paｓsword口令加密采用service　passｗoｒd—ｅncryｐtiｏｎ 7 ｅnaｂlｅ口令加密采用seｃｒeｔ对口令进行加密 8 账号登录空闲超时时间 5分钟设置consｏle与vｔy得登录超时时间5分钟 9 口令最小长度 8位口令长度为8个字符 4.1.3. 日志与审计通过对网络设备得日志进行安全控制与管理，提高日志得安全性与有效性，详见表35。表35 Ciscｏ日志与审计基线技术要求序号基线技术要求基线标准点（参数) 说明 10 更改SＮMP得团体串（可选) 更改SNＭP mｕnitｙ修改默认值ｐublic 更改SNMP主机IP 11 系统日志存储对接到网管日志服务器使用日志服务器接收与存储主机日志,网管平台统一管理 12 日志保存要求 6个月等保三级要求日志必须保存6个月 4.1.4. 服务优化通过优化网络设备，提高系统服务安全性，详见表36。表36　Ciscｏ服务优化基线技术要求序号基线技术要求基线标准点(参数) 说明 13 TCＰ、UＤP Ｓmall服务（可选) 禁止禁用无用服务 14 Fingｅr服务禁止禁用无用服务 15 服务禁止禁用无用服务 16 S服务禁止禁用无用服务 17 BOOTp服务禁止禁用无用服务 18 ＩP SouｒcｅＲoｕtiｎg服务禁止禁用无用服务 19 ARP－Proxy服务禁止禁用无用服务 20 ｃｄp服务（可选）禁止禁用无用服务（只适用于边界设备) 21 FTP服务（可选）禁止禁用无用服务 4.1.5. 访问控制通过对设备配置进行调整,提高设备或网络安全性，详见表3７。表37 Cｉsco访问控制基线技术要求序号基线技术要求基线标准点（参数) 说明 22 loｇin　ｂannｅr信息修改默认值为警示语默认值不为空 23 BGP认证（可选) 启用加强路由信息安全 24 ＥＩGRP认证(可选）启用加强路由信息安全 25 ＯＳＰＦ认证（可选) 启用加强路由信息安全 26 ＲIPv2认证（可选）启用加强路由信息安全 27 MAC绑定（可选） IP+MＡC＋端口绑定重要服务器采用IP+MAC+端口绑定 28 网络端口AUＸ(可选) 关闭关闭没用网络端口 4.2. Ｈ3Ｃ路由器/交换机安全基线 4.2.1. 系统管理通过配置网络设备管理，预防远程访问服务攻击或非授权访问，提高网络设备远程管理安全性，详见表３8。表38 H3C系统管理基线技术要求序号基线技术要求基线标准点(参数) 说明 1 远程ssh服务（可选）启用采用ssh服务代替teｌnet服务管理网络设备,提高设备管理安全性 2 认证方式 tacas/radius认证启用设备认证 3 非管理员ＩP地址禁止配置访问控制列表,只允许管理员IＰ或网段能访问网络设备管理服务 4 配置consoｌe端口口令认证 console需配置口令认证信息 5 统一时间　接入统一NTP服务器保障生产环境所有设备时间统一 4.2.2. 用户账号与口令通过配置用户账号与口令安全策略，提高系统账号与口令安全，详见表39。表39　H3C用户账号与口令基线技术要求序号基线技术要求基线标准点（参数）说明 6 sｙsｔem口令加密方式采用cｉphｅr对口令进行加密 7 账号登录空闲超时时间 5分钟设置cｏｎｓolｅ与vty得登录超时时间5分钟 8 口令最小长度 8位口令安全策略 4.2.3. 日志与审计通过对网络设备得日志进行安全控制与管理，提高日志得安全性与有效性，详见表４０。表40　H3C日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明 9 系统日志接入到网管日志服务器使用网管平台统一日志服务器接收与存储 10 日志保存要求 6个月等保三级要求日志必须保存6个月 4.2.4. 服务优化通过优化网络设备资源，提高设备服务安全性，详见表41。表41 H３Ｃ服务优化基线技术要求序号基线技术要求基线标准点(参数）说明 11 服务禁用关闭弱服务 12 ＦTP服务(可选）禁止禁用Ftp服务 4.2.5. 访问控制通过对网络设备配置参数调整，提高设备安全性，详见表42。表4２Ｈ3C访问控制基线技术要求序号基线技术要求基线标准点(参数) 说明 13 BGＰ认证(可选）启用加强路由信息安全 14 OSPF认证（可选）启用加强路由信息安全 15 ＲＩPv2认证(可选）启用加强路由信息安全 16 统一时间接入统一NTP服务器保障生产环境所有设备时间统一 17 重要服务器采用IP+ＭAC+端口绑定(可选） IＰ+MAC+端口绑定重要服务器采用IＰ+MAＣ+端口绑定 18 网络端口AUＸ（可选）关闭关闭没用网络端口 4.3. 防火墙安全基线 4.3.1. 系统管理通过配置网络设备管理，提高安全设备运维管理安全性,详见表4３。表43　防火墙系统管理基线技术要求序号基线技术要求基线标准点(参数) 说明 1 安全网络登录方式，SSＨ或者S 启用采用ssh(s）服务代替ｔｅlnet（)服务管理防火墙设备 2 限制登录口令录入时间 30秒设置登录口令录入时间，建议为30秒 3 限制可登录得访问地址配置管理客户端ＩP 地址限制对特定工作站得管理能力 4 只接收管理流量得逻辑管理IＰ地址（可选）启用网络用户流量分离管理流量大大增加了管理安全性，并确保了稳定得管理带宽 5 监听端口号（可选）更改通过更改监听端口号提高系统安全性 6 统一时间　接入统一NTP服务器保障生产环境所有设备时间统一 4.3.2. 用户账号与口令通过配置网络设备用户账号与口令安全策略,提高设备账号与口令安全性,详见表44。表44 防火墙用户账号与口令基线技术要求序号基线技术要求基线标准点（参数) 说明 7 系统初始账号与口令修改在完成初始配置后应尽快修改缺省用户名与口令口令最短长度 8位口令安全策略 4.3.3. 日志与审计通过对网络设备得日志进行安全控制与管理，提高日志得安全性与有效性,详见表45。表45 防火墙日志与审计基线技术要求序号基线技术要求基线标准点(参数）说明 8 发起ＳNＭP 连接限定源IＰ限制发起ＳNＭＰ连接得源地址 9 信息流日志开启针对重要策略开启信息流日志 10 系统日志(可选）对接到统一网管日志服务器使用网管平台统一日志服务器接收与存储系统日志 11 日志保存要求（可选） 6个月等保三级要求日志必须保存6个月 4.3.4. 安全防护通过对网络设备配置参数调整，提高设备安全性，详见表４6. 表46 防火墙安全防护基线技术要求序号基线技术要求基线标准点(参数) 说明 12 防火墙安全设置选项（可选） SＹN Ａｔtａｃk、ＩCMＰ Flｏoｄ、UＤＰ　Ｆｌｏod、 Pｏrt Scan tｔａck、 Limit ｓｅssioｎ、SYN－AＣK－ＡCK　Ｐroｘｙ、SYN　Ｆragment 开启防攻击选项包括:ＳYN Ａttａｃk、ICＭＰ Flｏoｄ、UDP Flｏoｄ、Poｒｔ Scan　Aｔtａcｋ、　Lｉmit sesｓiｏn、SYN-ACK-ACK　Pｒoxy 保护、SＹN Ｆragｍｅnｔ(SＹN　碎片)等。

展开阅读全文