信息系统的安全基线

1、1.操作系统安全基线技术要求1.1. AIX系统安全基线1.1.1. 系统管理通过配置操作系统运维管理安全策略，提高系统运维管理安全性，详见表1。表1 AIX系统管理基线技术要求序号基线技术要求基线标准点（参数）说明1限制超级管理员 权限的用户远程 登录PermitRootLogi n no限制root用户远程使用telnet登 录（可选）2使用动态口令令牌登录安装动态口令3配置本机访问控制列表（可选）配置 /etc/hosts.allow, /etc/hosts.de ny安装TCP Wrapper ，提高对系统访问控制1.1.2.用户账号与口令通过配置操作系统用户账号与口令安全策略，提高系

2、统账号与口令安全性，详见表 2表2 AIX系统用户账户与口令基线技术要求序号基线技术要求基线标准点（参数）说明4限制系统无用默认账号登录daem on （禁用）bin （禁用） sys （禁用）adm （禁用）UUCP （禁用） n uucp （禁用）lpd （禁用）guest （禁用） peon sole （禁用） esaadm in （禁用） sshd （禁用）清理多余用户账号，限制系统默认 账号登录，同时，针对需要使用的 用户，制订用户列表，并妥善保存5控制用户登录超时时间10分钟控制用户登录会话，设置超时时间6口令最小长度8位口令安全策略（口令为超级用户静 态口令）7口令中最少非字母数

3、字字符1个口令安全策略（口令为超级用户静 态口令）8信息系统的口令的最大周期90天口令安全策略（口令为超级用户静 态口令）9口令不重复的次数10次口令安全策略（口令为超级用户静 态口令）1.1.3.日志与审计通过对操作系统的日志进行安全控制与管理，提高日志的安全性，详见表3。表3 AIX系统日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明10系统日志记录（可选）authlog 、 sulog 、 wtmp、failedlogin记录必需的日志信息，以便进行审 计11系统日志存储（可选）对接到统一日志服务 器使用日志服务器接收与存储主机日 志，网管平台统一管理12日志保存要求（可选）

4、6个月等保三级要求日志必须保存6个月13配置日志系统文件 保护属性（可选）400修改配置文件syslog.co nf权限为管理员账号只读14修改日志文件保护权限（可选）400修改日志文件 authlog 、wtmp、 sulog、failedlogin 的权限管理员 账号只读1.14服务优化通过优化操作系统资源，提高系统服务安全性，详见表4表4 AIX系统服务优化基线技术要求序号基线技术要求基线标准点（参数）说明15discard 服务禁止网络测试服务，丢弃输入 ,为“拒 绝服务”攻击提供机会，除非正在 测试网络，否则禁用16daytime 服务禁止网络测试服务，显示时间，为“拒绝服务”攻击提

5、供机会，除非正在 测试网络，否则禁用17charge n 服务禁止网络测试服务，回应随机字符串，为“拒绝服务”攻击提供机会 ，除 非正在测试网络，否则禁用18comsat 服务禁止comsat通知接收的电子，以root用户身份运行，因此涉及安全性，除非需要接收，否则禁用19n talk服务禁止ntalk允许用户相互交谈，以root用户身份运行，除非绝对需要，否 则禁用20talk服务禁止在网上两个用户间建立分区屏幕， 不是必需服务，与talk命令一起使用，在端口 517提供UDP服 务21tftp服务禁止以root用户身份运行并且可能危 及安全22ftp服务（可选）禁止防非法访问目录风险23t

6、elnet服务禁止远程访问服务24UUCP 服务禁止除非有使用 UUCP的应用程序， 否则禁用25dtspc服务（可选）禁止CDE子过程控制不用图形管理则 禁用26klogin 服务（可选）禁止Kerberos 登录，如果站点使用Kerberos 认证则启用27kshell服务（可选）禁止Kerberos shell ，如果站 点使用Kerberos 认证则启用1.1.5.访问控制通过对操作系统安全权限参数进行调整，提高系统访问安全性，详见表5。表5 AIX系统访问控制基线技术要求序号基线技术要求基线标准点（参数）说明28修改Umask权限022 或 027要求修改默认文件权限29关键文件权限

7、控制passwd 、 group 、 security 的所有者必须 是 root 禾口 security 组成 员设置 /etc/passwd ， /etc/group ， /etc/security等关键文件和目录的权限30audit的所有者必须是root和audit组成员/etc/security/audit的所有者必须是root和audit组成员31/etc/passwd rw-r-r-/etc/passwd目录权限为 644所有用户可读，root用户可写32/etc/group rw-r-r-/etc/group root目录权限为 644所有用户可读，root用户可写33统一时间接

8、入统一 NTP服务器保障生产环境所有系统时间统一1.2. Windows系统安全基线1.2.1.用户账号与口令通过配置操作系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表 6表6 Windows 系统用户账号与口令基线技术要求序号基线技术要求基线标准点（参数）说明1口令必须符合复杂性要求启用口令安全策略（不涉及终端及动 态口令）2口令长度最小值8位口令安全策略（不涉及终端）3口令最长使用期限90天口令安全策略（不涉及终端）4强制口令历史10次口令安全策略（不涉及终端）5复位账号锁定计数器10分钟账号锁定策略（不涉及终端）6账号锁定时间（可选）10分钟账号锁定策略（不涉及终端）7账号

9、锁定阀值（可选）10次账号锁定策略（不涉及终端）8guest账号禁止禁用guest账号9administrator（可选）重命名保护 administrator 安全10无需账号检查与管理禁用禁用无需使用账号1.2.2.日志与审计通过对操作系统日志进行安全控制与管理，提高日志的安全性与有效性，详见表7表7 Windows 系统日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明11审核账号登录事件成功与失败日志审核策略12审核账号管理成功与失败日志审核策略13审核目录服务访问成功日志审核策略14审核登录事件成功与失败日志审核策略15审核策略更改成功与失败日志审核策略16审核系统事件成功

10、日志审核策略17日志存储地址（可选）接入到统一日志服务器日志存储在统一日志服务器中18日志保存要求（可选）6个月等保三级要求日志保存 6个月123.服务优化通过优化系统资源，提高系统服务安全性，详见表8表8 Windows 系统服务优化基线技术要求序号基线技术要求基线标准点（参数）说明19Alerter 服务禁止禁止进程间发送信息服务20Clipbook（可选）禁止禁止机器间共享剪裁板上信息服务21Computer Browser服务（可选）禁止禁止跟踪网络上一个域的机器服务22Messe nger 服务禁止禁止即时通讯服务23Remote RegistryService 服务禁止禁止远程操作

11、注册表服务24Routi ng and RemoteAccess服务禁止禁止路由和远程访问服务25Print Spooler（可选）禁止禁止后台打印处理服务26Automatic Updates 服务（可选）禁止禁止自动更新服务27Termi nal Service 服务（可选）禁止禁止终端服务1.24访问控制通过对系统配置参数调整，提高系统安全性，详见表表9 Windows 系统访问控制基线技术要求序号基线技术要求基线标准点（参数）说明28文件系统格式NTFS磁盘文件系统格式为 NTFS29桌面屏保10分钟桌面屏保策略30防病毒软件安装赛门铁克生产环境安装赛门铁克防病毒最新版本软件31防病毒

12、代码库升级时间7天32文件共享（可选）禁止禁止配置文件共享，若工作需要 必须配置共享，须设置账号与口 令33系统自带防火墙（可选）禁止禁止自带防火墙34默认共享IPC$、ADMIN$、C$、D$ 等禁止安全控制选项优化35不允许匿名枚取SAM账号与共享启用网络访问安全控制选项优化36不显示上次的用户名启用交互式登录安全控制选项优化37控制驱动器禁止禁止自动运行38蓝屏后自动启动机器（可选）禁止禁止蓝屏后自动启动机器39统一时间接入统一 NTP服务器保障生产环境所有系统时间统一125.补丁管理通过进行定期更新，降低常见的漏洞被利用，详见表10表10 Windows 系统补丁管理基线技术要求序号基

13、线技术要求基线标准点（参数）说明40安全服务包win2003 SP2win2008 SP1安装微软最新的安全服务包41安全补丁（可选）更新到最新根据实际需要更新安全补丁1.3. Linux系统安全基线1.3.1.系统管理通过配置系统安全管理工具，提高系统运维管理的安全性，详见表11表11 Linux系统管理基线技术要求序号基线技术要求基线标准点（参数）说明1安装SSH管理 远程工具（可选）安装 OpenSSHOpe nSSH 为远程管理高安全性 工具，保护管理过程中传输数据 的安全2配置本机访问控 制列表（可选）配置 /etc/hosts.allow, /etc/hosts.de ny安装TCP Wrapper，提高对系统访问控制132.用户账号与口令通过配置Linux系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表12。表12 Linux系统用户账号与口令基线技术要求序号基线技术要求基线标准点（参数）说明3禁止系统无用默 认账号登录1) Operator2) Halt3) Sy nc4) News5) Uucp6) Lp7)