企业IT主流设备安全基线技术规范
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Echo服务
禁止
网络测试服务,回显字符串, 为“拒绝服务”攻击提供机会, 除非正在测试网络,否则禁用
Discard服务
禁止
网络测试服务,丢弃输入, 为“拒绝服务”攻击提供机会, 除非正在测试网络,否则禁用
Daytime服务
禁止
网络测试服务,显示时间, 为“拒绝服务”攻击提供机会, 除非正在测试网络,否则禁用
使用日志服务器接受与存储主机日志
日志保存要求
2个月
日志必须保存2个月
日志系统配置文件保护
文件属性400(管理员账号只读)
修改日志配置文件(syslog.conf)权限为400
日志文件保护
文件属性400(管理员账号只读)
修改日志文件authlog、wtmp.log、sulog、failedlogin的权限为400
——中华人民共和国国家安全法
——中华人民共和国保守国家秘密法
——计算机信息系统国际联网保密管理规定
——中华人民共和国计算机信息网络国际联网管理暂行规定
——ISO27001标准/ISO27002指南
——公通字[2015]43号信息安全等级保护管理办法
——GB/T 21028-2007信息安全技术服务器安全技术要求
7)maxage=25(可选)
8)histsize=10
1)口令中某一字符最多只能重复3次
2)口令最短为8个字符
3)口令中最少包含4个字母字符
4)口令中最少包含一个非字母数字字符
5)新口令中最少有4个字符和旧口令不同
6)口令最小使用寿命1周
7)口令的最大寿命25周
8)口令不重复的次数10次
FTP用户账号控制
企业IT主流设备
安全基线技术规范
1
本规范适用于企业及所属单位管理信息大区所有信息系统相关主流支撑平台设备。
2
下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本规范。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本规范。
——中华人民共和国计算机信息系统安全保护条例
5.1.1.4
应提高系统服务安全,优化系统资源。
基线技术要求
基线标准点(参数)
说明
Finger服务
禁止
Finger允许远程查询登陆用户信息
telnet服务
禁止
远程访问服务
ftp服务(可选)
禁止
文件上传服务(需要经过批准才启用)
sendmail服务(可选)
禁止
邮件服务
Time服务
禁止
远程查询登陆用户信息服务
配置本机访问控制列表,提高对主机系统访问控制
5.1.1.2
应通过配置用户账号与口令安全策略,提高主机系统账户与口令安全。
基线技术要求
基线标准点(参数)
说明
限制系统无用的默认账号登录
1)Daemon
2)Bin
3)Sys
4)Adm
5)Uucp
6)Nwk.baidu.comucp
7)Lpd
8)Imnadm
9)Ldap
10)Lp
管理信息大区:企业内部基于计算机和网络技术的业务系统,原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各企业不同安全要求划分安全区。根据应用系统实际情况,在满足总体安全要求的前提下,可以简化安全区的设置,但是应当避免通过广域网形成不同安全区的纵向交叉连接。
11)Snapp
12)invscout
清理多余用户账号,限制系统默认账号登录,同时,针对需要使用的用户,制订用户列表进行妥善保存
root远程登录
禁止
禁止root远程登录
口令策略
1)maxrepeats=3
2)minlen=8
3)minalpha=4
4)minother=1
5)mindiff=4
6)minage=1
4
4.1
围绕公司打造经营型、服务型、一体化、现代化的国内领先、国际著名企业的战略总体目标,为切实践行南网方略,保障信息化建设,提高信息安全防护能力,通过规范IT主流设备安全基线,建立公司管理信息大区IT主流设备安全防护的最低标准,实现公司IT主流设备整体防护的技术措施标准化、规范化、指标化。
4.2
管理信息大区内IT主流设备安全配置所应达到的安全基线规范,主要包括针对AIX系统、Windows系统、Linux系统、HP UNIX系统、Oracle数据库系统、MS SQL数据库系统,WEB Logic中间件、Apache HTTP Server中间件、Tomcat中间件、IIS中间件、Cisco路由器/交换机、华为网络设备、Cisco防火墙、Juniper防火墙和Nokia防火墙等的安全基线设置规范。通过该规范的实施,提升管理信息大区内的信息安全防护能力。
5
5.1
5.1.1
5.1.1.1
应通过配置系统安全管理工具,预防远程访问服务攻击或非授权访问,提高主机系统远程管理安全。
基线技术要求
基线标准点(参数)
说明
管理远程工具
安装SSH
OpenSSH为远程管理高安全性工具,可保护管理过程中传输数据的安全
访问控制
安装TCP Wrapper,配置/etc/hosts.allow,/etc/hosts.deny
——GB/T 20269-2006信息安全技术信息系统安全管理要求
——GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求
——GB/T 22240-2008信息安全技术信息系统安全等级保护定级指南
3
安全基线:指针对IT设备的安全特性,选择合适的安全控制措施,定义不同IT设备的最低安全配置要求,则该最低安全配置要求就称为安全基线。
/etc/ftpusers
禁止root用户使用FTP
5.1.1.3
应对系统的日志进行安全控制与管理,保护日志的安全与有效性。
基线技术要求
基线标准点(参数)
说明
日志记录
记录authlog、wtmp.log、sulog、failedlogin
记录必需的日志信息,以便进行审计
日志存储(可选)
日志必须存储在日志服务器中
Chargen服务
禁止
网络测试服务,回应随机字符串, 为“拒绝服务”攻击提供机会, 除非正在测试网络,否则禁用
comsat服务
禁止
comsat通知接收的电子邮件,以 root 用户身份运行,因此涉及安全性, 很少需要的,禁用
klogin服务(可选)
禁止
Kerberos 登录,如果您的站点使用 Kerberos 认证则启用(需要经过批准才启用)
kshell服务(可选)
禁止
Kerberos shell,如果您的站点使用 Kerberos 认证则启用(需要经过批准才启用)
禁止
网络测试服务,回显字符串, 为“拒绝服务”攻击提供机会, 除非正在测试网络,否则禁用
Discard服务
禁止
网络测试服务,丢弃输入, 为“拒绝服务”攻击提供机会, 除非正在测试网络,否则禁用
Daytime服务
禁止
网络测试服务,显示时间, 为“拒绝服务”攻击提供机会, 除非正在测试网络,否则禁用
使用日志服务器接受与存储主机日志
日志保存要求
2个月
日志必须保存2个月
日志系统配置文件保护
文件属性400(管理员账号只读)
修改日志配置文件(syslog.conf)权限为400
日志文件保护
文件属性400(管理员账号只读)
修改日志文件authlog、wtmp.log、sulog、failedlogin的权限为400
——中华人民共和国国家安全法
——中华人民共和国保守国家秘密法
——计算机信息系统国际联网保密管理规定
——中华人民共和国计算机信息网络国际联网管理暂行规定
——ISO27001标准/ISO27002指南
——公通字[2015]43号信息安全等级保护管理办法
——GB/T 21028-2007信息安全技术服务器安全技术要求
7)maxage=25(可选)
8)histsize=10
1)口令中某一字符最多只能重复3次
2)口令最短为8个字符
3)口令中最少包含4个字母字符
4)口令中最少包含一个非字母数字字符
5)新口令中最少有4个字符和旧口令不同
6)口令最小使用寿命1周
7)口令的最大寿命25周
8)口令不重复的次数10次
FTP用户账号控制
企业IT主流设备
安全基线技术规范
1
本规范适用于企业及所属单位管理信息大区所有信息系统相关主流支撑平台设备。
2
下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本规范。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本规范。
——中华人民共和国计算机信息系统安全保护条例
5.1.1.4
应提高系统服务安全,优化系统资源。
基线技术要求
基线标准点(参数)
说明
Finger服务
禁止
Finger允许远程查询登陆用户信息
telnet服务
禁止
远程访问服务
ftp服务(可选)
禁止
文件上传服务(需要经过批准才启用)
sendmail服务(可选)
禁止
邮件服务
Time服务
禁止
远程查询登陆用户信息服务
配置本机访问控制列表,提高对主机系统访问控制
5.1.1.2
应通过配置用户账号与口令安全策略,提高主机系统账户与口令安全。
基线技术要求
基线标准点(参数)
说明
限制系统无用的默认账号登录
1)Daemon
2)Bin
3)Sys
4)Adm
5)Uucp
6)Nwk.baidu.comucp
7)Lpd
8)Imnadm
9)Ldap
10)Lp
管理信息大区:企业内部基于计算机和网络技术的业务系统,原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各企业不同安全要求划分安全区。根据应用系统实际情况,在满足总体安全要求的前提下,可以简化安全区的设置,但是应当避免通过广域网形成不同安全区的纵向交叉连接。
11)Snapp
12)invscout
清理多余用户账号,限制系统默认账号登录,同时,针对需要使用的用户,制订用户列表进行妥善保存
root远程登录
禁止
禁止root远程登录
口令策略
1)maxrepeats=3
2)minlen=8
3)minalpha=4
4)minother=1
5)mindiff=4
6)minage=1
4
4.1
围绕公司打造经营型、服务型、一体化、现代化的国内领先、国际著名企业的战略总体目标,为切实践行南网方略,保障信息化建设,提高信息安全防护能力,通过规范IT主流设备安全基线,建立公司管理信息大区IT主流设备安全防护的最低标准,实现公司IT主流设备整体防护的技术措施标准化、规范化、指标化。
4.2
管理信息大区内IT主流设备安全配置所应达到的安全基线规范,主要包括针对AIX系统、Windows系统、Linux系统、HP UNIX系统、Oracle数据库系统、MS SQL数据库系统,WEB Logic中间件、Apache HTTP Server中间件、Tomcat中间件、IIS中间件、Cisco路由器/交换机、华为网络设备、Cisco防火墙、Juniper防火墙和Nokia防火墙等的安全基线设置规范。通过该规范的实施,提升管理信息大区内的信息安全防护能力。
5
5.1
5.1.1
5.1.1.1
应通过配置系统安全管理工具,预防远程访问服务攻击或非授权访问,提高主机系统远程管理安全。
基线技术要求
基线标准点(参数)
说明
管理远程工具
安装SSH
OpenSSH为远程管理高安全性工具,可保护管理过程中传输数据的安全
访问控制
安装TCP Wrapper,配置/etc/hosts.allow,/etc/hosts.deny
——GB/T 20269-2006信息安全技术信息系统安全管理要求
——GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求
——GB/T 22240-2008信息安全技术信息系统安全等级保护定级指南
3
安全基线:指针对IT设备的安全特性,选择合适的安全控制措施,定义不同IT设备的最低安全配置要求,则该最低安全配置要求就称为安全基线。
/etc/ftpusers
禁止root用户使用FTP
5.1.1.3
应对系统的日志进行安全控制与管理,保护日志的安全与有效性。
基线技术要求
基线标准点(参数)
说明
日志记录
记录authlog、wtmp.log、sulog、failedlogin
记录必需的日志信息,以便进行审计
日志存储(可选)
日志必须存储在日志服务器中
Chargen服务
禁止
网络测试服务,回应随机字符串, 为“拒绝服务”攻击提供机会, 除非正在测试网络,否则禁用
comsat服务
禁止
comsat通知接收的电子邮件,以 root 用户身份运行,因此涉及安全性, 很少需要的,禁用
klogin服务(可选)
禁止
Kerberos 登录,如果您的站点使用 Kerberos 认证则启用(需要经过批准才启用)
kshell服务(可选)
禁止
Kerberos shell,如果您的站点使用 Kerberos 认证则启用(需要经过批准才启用)