XXXX农商银行信息系统安全基线技术规范

XXXX农商银行信息系统安全配置基线规范1 范围 本规范适用于XXXX农商银行所有信息系统相关主流支撑平台设备。2 规范性引用文件下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本规范。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本规范。中华人民共和国计算机信息系统安全保护条例中华人民共和国国家安全法中华人民共和国保守国家秘密法计算机信息系统国际联网保密管理规定中华人民共和国计算机信息网络国际联网管理暂行规定ISO27001标准/ISO27002指南公通字200743号信息安全等级保护管理办法GB/T 21028-2007 信息安全技术 服务器安全技术要求GB/T 20269-2006 信息安全技术 信息系统安全管理要求GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南3 术语和定义 安全基线：指针对IT设备的安全特性，选择合适的安全控制措施，定义不同IT设备的最低安全配置要求，则该最低安全配置要求就称为安全基线。管理信息大区：发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统，原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区I)和非控制区(安全区)；管理信息大区内部在不影响生产控制大区安全的前提下，可以根据各企业不同安全要求划分安全区。根据应用系统实际情况，在满足总体安全要求的前提下，可以简化安全区的设置，但是应当避免通过广域网形成不同安全区的纵向交叉连接。4 总则4.1 指导思想围绕公司打造经营型、服务型、一体化、现代化的国内领先、国际著名企业的战略总体目标，为切实践行南网方略，保障信息化建设，提高信息安全防护能力，通过规范IT主流设备安全基线，建立公司管理信息大区IT主流设备安全防护的最低标准，实现公司IT主流设备整体防护的技术措施标准化、规范化、指标化。4.2 目标 管理信息大区内IT主流设备安全配置所应达到的安全基线规范，主要包括针对AIX系统、Windows系统、Linux系统、HP UNIX系统、Oracle数据库系统、MS SQL数据库系统,WEB Logic中间件、Apache HTTP Server中间件、Tomcat中间件、IIS中间件、Cisco路由器/交换机、华为网络设备、Cisco防火墙、Juniper防火墙和Nokia防火墙等的安全基线设置规范。通过该规范的实施，提升管理信息大区内的信息安全防护能力。5 安全基线技术要求5.1 操作系统5.1.1 AIX系统安全基线技术要求 设备管理应通过配置系统安全管理工具，预防远程访问服务攻击或非授权访问，提高主机系统远程管理安全。基线技术要求基线标准点（参数）说明管理远程工具安装SSHOpenSSH为远程管理高安全性工具，可保护管理过程中传输数据的安全访问控制安装TCP Wrapper，配置/etc/hosts.allow,/etc/hosts.deny配置本机访问控制列表，提高对主机系统访问控制 用户账号与口令安全应通过配置用户账号与口令安全策略，提高主机系统账户与口令安全。基线技术要求基线标准点（参数）说明限制系统无用的默认账号登录1) Daemon2) Bin3) Sys4) Adm5) Uucp6) Nuucp7) Lpd8) Imnadm9) Ldap10) Lp11) Snapp12) invscout清理多余用户账号，限制系统默认账号登录，同时，针对需要使用的用户，制订用户列表进行妥善保存root远程登录禁止禁止root远程登录口令策略1) maxrepeats=3 2) minlen=8 3) minalpha=4 4) minother=1 5) mindiff=4 6) minage=17) maxage=25（可选）8) histsize=101) 口令中某一字符最多只能重复3次2) 口令最短为8个字符3) 口令中最少包含4个字母字符4) 口令中最少包含一个非字母数字字符5) 新口令中最少有4个字符和旧口令不同6) 口令最小使用寿命1周7) 口令的最大寿命25周8) 口令不重复的次数10次FTP用户账号控制/etc/ftpusers禁止root用户使用FTP 日志与审计应对系统的日志进行安全控制与管理，保护日志的安全与有效性。基线技术要求基线标准点（参数）说明日志记录记录authlog、wtmp.log、sulog、failedlogin记录必需的日志信息，以便进行审计日志存储(可选)日志必须存储在日志服务器中使用日志服务器接受与存储主机日志日志保存要求2个月日志必须保存2个月 日志系统配置文件保护文件属性400（管理员账号只读）修改日志配置文件（syslog.conf）权限为400日志文件保护文件属性400（管理员账号只读）修改日志文件authlog、wtmp.log、sulog、failedlogin的权限为400 服务优化应提高系统服务安全，优化系统资源。基线技术要求基线标准点（参数）说明Finger 服务禁止Finger允许远程查询登陆用户信息telnet 服务禁止远程访问服务ftp 服务（可选）禁止文件上传服务（需要经过批准才启用）sendmail 服务（可选）禁止邮件服务Time 服务禁止远程查询登陆用户信息服务Echo 服务禁止网络测试服务，回显字符串, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用Discard 服务禁止网络测试服务，丢弃输入, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用Daytime 服务禁止网络测试服务，显示时间, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用Chargen 服务禁止网络测试服务，回应随机字符串, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用comsat 服务禁止comsat通知接收的电子邮件，以 root 用户身份运行，因此涉及安全性, 很少需要的,禁用klogin 服务（可选）禁止 Kerberos 登录，如果您的站点使用 Kerberos 认证则启用（需要经过批准才启用）kshell 服务（可选）禁止Kerberos shell，如果您的站点使用 Kerberos 认证则启用（需要经过批准才启用）ntalk 服务禁止ntalk允许用户相互交谈，以 root 用户身份运行，除非绝对需要，否则禁用talk 服务禁止在网上两个用户间建立分区屏幕，不是必需服务，与 talk 命令一起使用，在端口 517 提供 UDP 服务tftp 服务禁止以 root 用户身份运行并且可能危及安全uucp 服务禁止除非有使用 UUCP 的应用程序，否则禁用dtspc 服务（可选）禁止CDE 子过程控制，不用图形管理则禁用 安全防护应对系统安全配置参数进行调整，提高系统安全。基线技术要求基线标准点（参数）说明Umask权限022修改默认文件权限控制用户登录会话设置为600秒设置超时时间，控制用户登录会话 其他 应对关键文件进行权限调整，提高关键文件的安全。基线技术要求基线标准点（参数）说明关键文件的安全保护a) /etc/passwdb) /etc/groupc) /etc/security目录设置passwd、group、security等关键文件和目录的权限5.1.2 Windows系统安全基线技术要求 补丁管理应使Windows操作系统的补丁达到管理基线。基线技术要求基线标准点（参数）说明安全服务包win2003 SP2，win2000 SP4安装微软最新的安全服务包安全补丁更新到最新补丁更新至最新 用户账号与口令安全应配置用户账号与口令安全策略，提高主机系统账户与口令安全。基线技术要求基线标准点（参数）说明密码必须符合复杂性要求（可选）启用密码安全策略密码长度最小值8密码安全策略密码最长使用期限（可选）180天密码安全策略密码最短使用期限1天密码安全策略强制密码历史5次密码安全策略复位帐户锁定计数器3分钟帐户锁定策略帐户锁定时间5分钟帐户锁定策略帐户锁定阀值5次无效登录帐户锁定策略guest账号禁止禁用guest用户使用administrator（可选）重命名加强administrator使用帐号检查与管理禁用无需使用帐号禁用无需使用帐号 日志与审计应对系统的日志进行安全控制与管理，保护日志的安全与有效性。基线技术要求基线标准点（参数）说明审核帐号登录事件成功与失败日志审核策略审核帐号管理成功与失败日志审核策略审核目录服务访问成功日志审核策略审核登录事件成功与失败日志审核策略审核对象访问无审核日志审核策略审核策略更改成功与失败日志审核策略审核特权使用无审核日志审核策略审核过程跟踪无审核日志审核策略审核系统事件成功日志审核策略应用日志50-1024M最大日志容量安全日志50-1024M最大日志容量系统日志50-1024M最大日志容量日志存储（可选）指定日志服务器日志存储在日志服务器中日志保存要求2个月日志必须保存2个月 服务优化应提高系统服务安全，优化系统资源。基线技术要求基线标准点（参数）说明Alerter 服务禁止Clipbook 服务禁止Computer Browser禁止Messenger 禁止Remote Registry Service禁止Routing and Remote Access 禁止Simple Mail Trasfer Protocol(SMTP) （可选）禁止Simple Network Management Protocol(SNMP) Service （可选）禁止若网管需要可开放该服务，但需修改缺省SNMP团体名和仅对指定管理IP开放。Simple Network Management Protocol(SNMP) Trap （可选）禁止Telnet 禁止World Wide Web Publishing Service （可选）禁止Print Spooler禁止Automatic Updates禁止Terminal Service禁止 安全防护应通过对系统配置参数调整，提高系统安全。基线技术要求基线标准点（参数）说明文件系统格式NTFS指定磁盘NTFS文件系统桌面屏保3分钟桌面屏保设置为3分钟防病毒软件安装防病毒软件安装防病毒软件防病毒代码库及时更新更新到最新版本文件共享（可选）控制原则上禁止配置文件共享，但因工作需要必须配置共享，须设置帐户与口令系统自带防火墙（可选）启用启用默认共享禁止IPC$、ADMIN$、C$、D$等 禁止网络访问: 不允许匿名枚取SAM帐号与共享启用安全控制选项优化网络访问: 不允许匿名枚取ASM帐号启用安全控制选项优化交互式登录：不显示上次的用户名启用安全控制选项优化控制驱动器自动运行禁止禁止自动运行控制在蓝屏后自动启动机器禁止禁止蓝屏后自动启动机器5.1.3 Linux系统安全基线技术要求 设备管理应配置系统安全管理工具，预防远程访问服务攻击或非授权访问，提高主机系统远程管理安全。 基线技术要求基线标准点（参数）说明管理远程工具安装SSHOpenSSH为远程管理高安全性工具，可保护管理过程中传输数据的安全,linux当前版本都已默认安装访问控制配置/etc/hosts.allow、/etc/hosts.deny配置本机访问控制列表，提高主机系统安全访问 用户账号与口令安全应配置用户账号与口令安全策略，提高主机系统账户与口令安全。基线技术要求基线标准点（参数）说明限制系统无用的默认帐号登录a) Daemonb) Binc) Sysd) Adme) Uucpf) Lpg) nobody清理多余用户帐号，限制系统默认帐号登录，同时，针对需要使用的用户，制订用户列表进行妥善保存root远程登录禁止禁止root远程登录口令策略a) PASS_MAX_DAYS 180（可选）b) PASS_MIN_DAYS 1c) PASS_WARN_AGE 28d) PASS_MIN_LEN 8a) 密码使用最长期限为180天b) 密码1天之内不能更改c) 密码过期之前28天提示修改d) 密码长度最小8位字符控制用户登录会话设置为600秒设置超时时间，控制用户登录会话FTP用户帐号控制/etc/ftpusers禁止root用户使用FTP 日志与审计应对系统的日志进行安全控制与管理，保护日志的安全与有效性。基线技术要求基线标准点（参数）说明捕获authpriv消息authpriv日志记录有关安全方面日志消息(如网络设备启动、usermod、change等)日志存储（可选）指定日志服务器使用日志服务器接受与存储主机日志日志保存要求2个月日志必须保存2个月 日志系统配置文件保护文件属性400（管理员账号只读）修改日志配置文件（syslog.conf）权限为400 服务优化应提高系统服务安全，优化系统资源。基线技术要求基线标准点（参数）说明telnet 服务禁止远程访问服务ftp 服务（可选）禁止文件上传服务（需要经过批准才启用）sendmail 服务（可选）禁止邮件服务klogin 服务禁止 Kerberos 登录，如果您的站点使用 Kerberos 认证则启用（需要经过批准才启用）kshell 服务禁止Kerberos shell，如果您的站点使用 Kerberos 认证则启用（需要经过批准才启用）ntalk 服务禁止new talktftp 服务禁止以 root 用户身份运行并且可能危及安全imap 服务（可选）禁止邮件服务pop3服务（可选）禁止邮件服务GUI服务（可选）禁止图形管理服务X windows服务（可选）禁止通用的windows界面xinetd启动服务（可选）禁止系统自动启动服务：nfs、nfslock、autofs、ypbindypserv、yppasswdd、portmapsmb、netfs、lpd、apachehttpd、tux、snmpd、namedpostgresql、mysqld、webmin、kudzu、squid、cups、ip6tablesiptables、pcmcia、bluetoothNSResponder、apmd、avahi-daemoncanna、cups-config-daemonFreeWnn、gpm、hidd等 安全防护应对Linux系统配置参数调整，提高系统安全。基线技术要求基线标准点（参数）说明Umask权限022修改默认文件权限敏感文件安全保护a) /etc/passwdb) /etc/groupc) /etc/shadow保护口令文件5.1.4 HP UNIX系统安全基线技术要求 设备管理应配置系统安全管理工具，预防远程访问服务攻击或非授权访问，提高主机系统远程管理安全。基线技术要求基线标准点（参数）说明管理远程工具安装SSHOpenSSH为远程管理高安全性工具，可保护管理过程中传输数据的安全访问控制工具安装tcp_wrappersTCP_Wrappers为访问控制组件，通过配置访问控制列表，限制利用SSH访问主机控制远程管理配置访问管理IP允许系统管理员IP可访问SSH服务 用户账号与口令安全应配置用户账号与口令安全策略，提高主机系统账户与口令安全。基线技术要求基线标准点（参数）说明禁用默认无用用户a) wwwb) sysc) smbnulld) iwwwe) owwwf) sshdg) hpsmhh) namedi) uucpj) nuucpk) adml) daemonm) binn) lpo) nobodyp) noaccessq) hpdbr) useradm系统管理员应根据系统的具体情况对默认账号进行禁用或控制root远程登录禁止禁止root远程登录口令策略PASSWORD_MAXDAYS=180（可选）PASSWORD_MINDAYS=1 PASSWORD_WARNDAYS=28MIN_PASSWORD_LENGTH=8PASSWORD_HISTORY_DEPTH=10PASSWORD_MIN_UPPER_CASE_CHARS=1PASSWORD_MIN_DIGIT_CHARS=1PASSWORD_MIN_SPECIAL_CHARS=1 PASSWORD_MIN_LOWER_CASE_CHARS=1 口令最长有效期为180天口令最短有效期为1天口令到期之前28天提示修改口令最短为8个字符口令10次不能重复口令中最少有1个大写字母口令中最少包含1个数字口令中最少包含1个特殊字符口令中最少包含1个小写字母帐号策略AUTH_MAXTRIES=5连续5次登录失败后锁定用户帐号登录失败锁定为10分钟FTP用户帐号控制禁止非FTP账号使用修改ftpusers文件 日志与审计应对系统的日志进行安全控制与管理，保护日志的安全与有效性。基线技术要求基线标准点（参数）说明inetd日志开启记录日志信息ftp日志开启FTP日志接受远程日志禁止禁止接受网络日志日志保存要求2个月日志必须保存2个月 日志系统配置文件保护文件属性400控制日志文件访问 服务优化（可选）应提高系统服务安全，优化系统资源。基线技术要求基线标准点（参数）说明echo服务 禁止字符回显测试discard服务 禁止丢弃字符测试daytime服务 禁止时间同步chargen服务 禁止发送字符测试exec服务 禁止提供rexec远程执行命令ntalk服务 禁止基于字符的聊天finger服务 禁止用户信息查询uucp服务 禁止unix-to-unix拷贝rpc.rstat服务 禁止查询服务器内核信息rpc.rusersd服务禁止查询用户信息rpc.rwalld服务 禁止用户信息通告rpc.sprayd服务 禁止系统性能信息服务rpc.cmsd服务 禁止CDE环境的的日历服务printer服务 禁止打印服务kshell服务 禁止kerbores协议的shell服务klogin服务 禁止kerbores协议的login服务nis.server服务 禁止nis服务端nis.client服务 nisplus.server服务 nisplus.client服务 禁止nis客户端nis+服务端nis+客户端sendmail服务 禁止SMTP服务lp服务 禁止打印服务tps.rc服务 禁止打印服务pd服务 禁止打印服务mrouted服务 禁止路由服务rwhod服务 禁止用户信息查询named服务 禁止DNS服务samba服务禁止windows系统文件共享 cifsclient服务禁止访问windows文件系统 安全防护应对系统配置参数进行调整，提高系统安全。基线技术要求基线标准点（参数）说明.netrc、 .rhosts、.shosts 文件禁用该服务存在可以绕过登录cron安全控制权限为400root拥有只读权限Umask权限022修改默认文件权限SNMP优化修改public防止信息泄漏5.2 数据库5.2.1 Oracle 数据库系统安全基线技术要求 用户账号与口令安全应配置用户账号与口令安全策略，提高数据库系统账户与口令安全。基线技术要求基线技术点（参数）说明数据库主机管理员帐号控制默认主机管理员账号禁止使用oracle或administrator作为数据库主机管理员帐号oracle帐号删除无用帐号清理帐号，删除无用帐号默认帐号修改口令如DBSNMPSCOTT 数据库SYSDBA帐号禁止远程登录修改配置参数，禁止SYSDBA远程登录禁止自动登录修改配置参数，禁止SYSDBA自动登录口令策略a) PASSWORD_VERIFY_FUNCTION 8b) PASSWORD_LIFE_TIME 180(可选）c) PASSWORD_REUSE_MAX 5a) 密码复杂度8个字符b) 口令有效期180天c) 禁止使用最近5次使用的口令帐号策略FAILED_LOGIN_ATTEMPTS 5连续5次登录失败后锁定用户public权限优化清理public各种默认权限 日志与审计应对系统的日志进行安全控制与管理，保护日志的安全与有效性。基线技术要求基线标准点（参数）说明日志审核启用启用数据库审计功能登录日志记录启动建立日志表，启动触发器数据库操作日志（可选）启动建立日志表，启动触发器日志审计策略（可选）OS日志记录在操作系统中日志保存要求2个月日志必须保存2个月 日志文件保护启用设置访问日志文件权限 安全防护应对系统配置参数进行调整，提高数据库系统安全。基线技术要求基线标准点（参数）说明数据字典保护启用数据字典保护限制只有SYSDBA权限的用户才能访问数据字典监听程序加密设置监听器口令设置监听器口令监听服务连接超时编辑listener.ora文件 connect_timeout_listener=10秒设置监听器连接超时服务监听端口（可选）在不影响应用的情况下，更改默认端口修改默认端口TCP15215.2.2 MS SQL 数据库系统安全基线技术要求 用户账号与口令安全应配置用户账号与口令安全策略，提高数据库系统账户与口令安全。基线技术要求基线标准点（参数）说明administrator（可选）禁止登录禁止通过操作系统直接登录sa帐号控制（可选）重命名防止利用SA攻击用户账号权限最小化限制guest帐户对数据库的访问口令策略（2005、2008版本）8位字符须有大小写须有字母与数字加强数据库口令安全 日志与审计应对系统的日志进行安全控制与管理，保护日志的安全与有效性。基线技术要求基线标准点（参数）说明登录日志全部记录登录日志日志保存要求2个月日志必须保存2个月 安全防护应对SQL系统配置调整，提高系统安全。基线技术要求基线标准点（参数）说明分离默认安装数据库pubs、NorthWind防止已知攻击服务端口tcp1433（可选）更改防止对TCP1433端口攻击5.3 中间件5.3.1 WEB Logic中间件安全基线技术要求 设备管理应配置管理控制台，提高系统远程管理安全。基线技术要求基线标准点（参数）说明管理控制台(可选)重命名控制台文件夹（console）将控制台console重命名，禁止默认方式访问 用户账号与口令安全应配置用户账号与口令安全策略，提高系统账户与口令安全。基线技术要求基线标准点（参数）说明口令策略口令长度最小8个字符加强口令设置账号策略a) Lockout Threshold(5)b) Lockout Duration(3)c) Lockout Reset Duration(3)失败尝试次数5次帐号锁定时间3分钟失败尝试时间3分钟 日志与审计应对系统的日志进行安全控制与管理，保护日志的安全与有效性。基线技术要求基线标准点（参数）说明weblogin日志记录定义日志名称及存储位置记录相关日志HTTP日志记录定义日志名称及存储位置记录相关日志日志保存要求2个月日志必须保存2个月 安全防护应通过对Weblogic系统配置参数调整，提高系统安全。基线技术要求基线标准点（参数）说明安装优化(可选)删除Configuration Wizard防止已知攻击删除WebLogic Builder防止已知攻击删除jCOM防止已知攻击删除示例域防止已知攻击连接会话超时控制（10.3版本）5分钟设置超时时间，控制用户登录会话数据传输安全SSL密码在服务器console管理中浏览器与服务器传输信息配置SSL服务端口修改默认端口默认服务端口TCP7001修改为其它端口SSL保护启用主机名校验通过禁用”Hostname Verification Ignored”保护SSL中间人攻击Banner信息禁止发送服务标识通过禁用配置文件“Send Server Header”，防止信息泄漏 其它内容应限制服务器的Socket数量。基线技术要求基线标准点（参数）说明服务器Socket数量Maximum Open Sockets=250限制应用服务器Socket数量5.3.2 Apache HTTP Server中间件安全基线技术要求 用户账号与口令安全应配置用户账号与口令安全策略，提高系统账户与口令安全。基线技术要求基线标准点（参数）说明优化WEB服务账号建立新的用户、组作为Apache的服务帐号为WEB服务提供唯一、最小权限的用户与组 日志与审计应对系统的日志进行安全控制与管理，保护日志的安全与有效性。基线技术要求基线标准点（参数）说明日志级别notice采用notice日志级别错误日志及记录ErrorLog /var/log/httpd/error_log错误日志保存访问日志CustomLog /var/log/httpd/access_log combined配置访问日志文件名及位置日志保存要求2个月日志必须保存2个月 服务优化应提高系统服务安全，优化系统资源。基线技术要求基线标准点（参数）说明精简系统模块禁用不需要的模块禁止安装无需使用的模块 安全防护应通过对Apache的配置调整，提高系统安全。基线技术要求基线标准点（参数）说明禁止目录遍历修改参数文件，禁止目录遍历禁止遍历操作系统目录隐藏版本信息关闭服务器应答头中的版本信息关闭服务器生成页面的页脚中版本信息防止软件版本信息泄漏连接超时优化设置为30秒拒绝服务防护错误信息自定义自定义400 401 403 404 405 500错误文件修改错误文件信息,防止信息泄漏 其它内容应加强文件的权限，提高文件的安全。基线技术要求基线标准点（参数）说明权限增强设置配置文件为属主可读写，其他用户无权限严格设置配置文件和日志文件的权限，防止未授权访问5.3.3 Tomcat中间件安全基线技术要求 用户账号与口令安全应配置用户账号与口令安全策略，提高系统账户与口令安全。基线技术要求基线标准点（参数）说明修改默认口令修改默认口令或禁用默认账号提高账号口令安全优化WEB服务账号以Tomcat用户运行服务为WEB服务提供唯一、最小权限的用户与组，增强安全性设置SHUTDOWN字符串设置shutdown为复杂的字符串防止恶意用户telnet到8005端口后，发送SHUTDOWN命令停止Tomcat服务 日志与审计应对系统的日志进行安全控制与管理，保护日志的安全与有效性。基线技术要求基线标准点（参数）说明访问日志审计增加访问日志审计记录错误信息和访问信息日志保存要求2个月日志必须保存2个月 安全防护应对系统的配置进行调整，提高系统安全。基线技术要求基线标准点（参数）说明隐藏版本信息去掉版本信息文件中的版本信息防止软件版本信息泄漏禁止目录遍历修改参数文件，禁止目录遍历禁止遍历操作系统目录错误信息自定义自定义400 403 404 500错误文件修改错误文件信息内容,防止信息泄漏5.3.4 IIS中间件安全基线技术要求 安全配置应通过对系统的参数进行配置，提高系统安全。基线技术要求基线标准点（参数）说明IIS缺省安装文件删除不需要使用默认安装文件删除部分安装缺省文件或目录，加强IIS安全IIS服务配置卸载不需要的IIS服务对默认服务进行优化，提升系统安全性和资源利用效率IIS安全配置超时设置为120秒通过对配置调整，提高系统安全 日志与审计应对系统的日志进行安全控制与管理，保护日志的安全与有效性。基线技术要求基线标准点（参数）说明日志审计启用IIS日志启用IIS日志记录，记录详细的IIS日志信息日志保存要求2个月日志必须保存2个月 其他内容应最小化脚本映射，达到减少被脚本攻击的风险。基线技术要求基线标准点（参数）说明最小化脚本映射配置（可选）删除.cdx和.cer减少服务器脚本攻击的风险5.4 路由器/交换机5.4.1 Cisco 路由器/交换机安全基线技术要求 设备管理应配置设备管理服务，预防远程访问服务攻击或非授权访问，提高网络设备远程管理安全。基线技术要求基线标准点（参数）说明远程管理服务启用ssh服务采用ssh服务代替telnet服务管理网络设备，提高设备管理安全性认证方式采用本地认证启用设备本地认证管理IP地址控制允许管理员IP地址配置访问控制列表，只允许管理员IP或网段能访问网络设备管理服务console端口管理console口令认证console需配置口令认证信息 用户账号与口令安全应配置用户账号与口令安全策略，提高网络设备账户与口令安全。基线技术要求基线标准点（参数）说明Service password密码加密采用service password-encryptionenable密码加密采用secret对密码进行加密帐户登录空闲时间登录超时时间5分钟设置console和vty的登录超时时间5分钟密码长度8位密码长度为8个字符 日志与审计应对系统的日志进行安全控制与管理，保护日志的安全与有效性。基线技术要求基线标准点（参数）说明更改SNMP的团体串（可选）更改SNMP Community修改默认值public更改SNMP主机IP转存日志（可选）配置日志服务器设置接受与存储日志信息日志保存要求（可选）2个月日志必须保存2个月 服务优化应提高网络设备的安全性，对设备服务进行优化。基线技术要求基线标准点（参数）说明TCP、UDP Small服务禁止禁用无用服务Finger服务禁止禁用无用服务HTTP服务禁止禁用无用服务HTTPS服务禁止禁用无用服务BOOTp服务禁止禁用无用服务IP Source Routing服务禁止禁用无用服务ARP-Proxy服务禁止禁用无用服务cdp服务（可选）禁止禁用无用服务FTP服务禁止禁用无用服务 安全防护应对设备配置进行调整，提高设备或网络安全性。基线技术要求基线标准点（参数）说明login banner信息修改默认值防止信息泄露NTP服务使用统一NTP时间建立统一时钟BGP认证（可选）启用加强路由信息安全EIGRP认证（可选）启用加强路由信息安全OSPF认证（可选）启用加强路由信息安全RIPv2认证（可选）启用加强路由信息安全ICMP服务加强（可选）数据流控制大量的使用ICMP数据包的DoS攻击接入层网络设备端口控制TCP 5554震荡波端口TCP 9996震荡波端口TCP 4444Blaster端口UDP 1434Slammer端口MAC绑定IP+MAC+端口绑定重要服务器采用IP+MAC+端口绑定网络端口关闭关闭没用网络端口5.4.2 华为网络设备安全基线技术要求 设备管理应配置设备管理服务，预防远程访问服务攻击或非授权访问，提高网络设备远程管理安全。基线标准要求基线技术点（参数）说明远程管理服务启用ssh服务采用ssh服务代替telnet服务管理网络设备，提高设备管理安全性，条件不具备的设备走特殊审批流程认证方式采用本地认证启用设备本地认证管理IP地址控制允许管理员IP地址配置访问控制列表，只允许管理员IP或网段能访问网络设备管理服务console端口管理console口令认证console需配置口令认证信息 用户账号与口令安全应配置用户账号与口令安全策略，提高网络设备账户与口令安全。基线标准要求基线标准点（参数）说明system密码加密采用cipher对密码进行加密帐户登录空闲时间登录超时时间5分钟设置console和vty的登录超时时间5分钟密码长度8位密码长度为8个字符 日志与审计应对系统的日志进行安全控制与管理，保护日志的安全与有效性。基线技术要求基线标准点（参数）说明更改SNMP的团体串（可选）更改SNMP Community修改默认值public更改SNMP主机IP转存日志（可选）配置日志服务器设置接受与存储日志信息日志保存要求（可选）2个月日志必须保存2个月 服务优化应提高网络设备的安全性，优化设备资源。基线技术要求基线标准点（参数）说明telnet服务禁用采用ssh代替telnet服务，条件不具备的设备走特殊审批流程http服务禁用关闭弱服务FTP服务禁止禁用Ftp服务 安全防护应对设备配置进行调整，提高设备或网络安全性。基线技术要求基线标准点（参数）说明BGP认证（可选）启用加强路由信息安全OSPF认证（可选）启用加强路由信息安全RIPv2认证（可选）启用加强路由信息安全NTP服务使用统一NTP时间建立统一时钟接入层网络设备端口控制TCP 5554震荡波端口TCP 9996震荡波端口TCP 4444Blaster端口UDP 1434Slammer端口MAC绑定IP+MAC+端口绑定重要服务器采用IP+MAC+端口绑定网络端口关闭关闭没用网络端口5.4.3 中兴路由器/交换机安全基线技术要求 设备管理应配置设备管理服务，预防远程访问服务攻击或非授权访问，提高网络设备远程管理安全。基线技术要求基线标准点（参数）说明远程管理服务启用ssh服务采用ssh服务代替telnet服务管理网络设备，提高设备管理安全性认证方式采用本地认证启用设备本地认证管理IP地址控制允许管理员IP地址配置访问控制列表，只允许管理员IP或网段能访问网络设备管理服务console端口管理console口令认证console需配置口令认证信息 用户账号与口令安全应配置用户账号与口令安全策略，提高网络设备账户与口令安全。基线技术要求基线标准点（参数）说明Service password密码加密采用service password-encryptionenable密码加密采用secret对密码进行加密帐户登录空闲时间登录超时时间5分钟设置console和vty的登录超时时间5分钟密码长度8位密码长度为8个字符 日志与审计应对系统的日志进行安全控制与管理，保护日志的安全与有效性。基线技术要求基线标准点（参数）说明更改SNMP的团体串（可选）更改SNMP Community更改SNMP主机IP修改默认值public指定SNMP主机IP转存日志（可选）配置日志服务器设置接受与存储日志信息日志保存要求（可选）2个月日志必须保存2个月 服务优化应提高网络设备的安全性，对设备服务进行优化。基线技术要求基线标准点（参数）说明TCP、UDP Small服务禁止禁用无用服务Finger服务禁止禁用无用服务HTTP服务禁止禁用无用服务HTTPS服务禁止禁用无用服务BOOTp服务禁止禁用无用服务IP Source Routing服务禁止禁用无用服务ARP-Proxy服务禁止禁用无用服务cdp服务（可选）禁止禁用无用服务FTP服务禁止禁用无用服务 安全防护应对设备配置进行调整，提高设备或网络安全性。基线技术要求基线标准点（参数）说明login banner信息修改默认值防止信息泄露NTP服务使用统一NTP时间建立统一时钟BGP认证（可选）启用加强路由信息安全EIGRP认证（可选）启用加强路由信息安全OSPF认证（可选）启用加强路由信息安全RIPv2认证（可选）启用加强路由信息安全ICMP服务加强（可选）数据流控制大量的使用ICMP数据包的DoS攻击接入层网络设备端口控制TCP 5554震荡波端口TCP 9996震荡波端口TCP 4444Blaster端口UDP 1434Slammer端口MAC绑定IP+MAC+端口绑定重要服务器采用IP+MAC+端口绑定网络端口关闭关闭没用网络端口5.5 防火墙 Cisco防火墙（Pix ASA FWSM）安全基线技术要求 设备管理应配置设备管理服务，预防远程访问服务攻击或非授权访问，提高安全设备远程管理安全。基线技术要求基线标准点（参数）说明远程管理服务启用ssh服务采用ssh服务代替telnet服务管理网络设备，提高设备管理安全性管理IP地址控制允许管理员IP地址配置访问控制列表，只允许管理员IP或网段访问设备管理服务 用户账号与口令安全应配置用户账号与口令安全策略，提高设备账户与口令安全。基线技术要求基线标准点（参数）说明Servic