信息系统安全系统基线
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
修改日志文件保护 权限(可选)
authlog 、 sulog 、 wtmp 、failedlogin 对接到统一日志服务 器
记录必需的日志信息,以便进行审 计 使用日志服务器接收与存储主机日 志,网管平台统一管理
6 个月
等保三级要求日志必须保存 6 个月
修改配置文件 syslog.conf 权限为 400
31
rw-r--r--
有用户可读, root 用户可写
/etc/group
/etc/group root 目录权限为 644
32
Βιβλιοθήκη Baidurw-r--r--
所有用户可读, root 用户可写
33
统一时间
接入统一 NTP 服务器
保障生产环境所有系统时间统一
1.2. Windows 系统安全基线 1.2.1. 用户账号与口令 通过配置操作系统用户账号与口令安全策略, 提高系统账号与 口令安全性,详见表 6。
10 分钟
8位
1个
90 天
清理多余用户账号,限制系统默认 账号登录,同时,针对需要使用的 用户,制订用户列表,并妥善保存
控制用户登录会话,设置超时时间 口令安全策略 ( 口令为超级用户静 态口令) 口令安全策略 ( 口令为超级用户静 态口令) 口令安全策略 ( 口令为超级用户静 态口令)
实用标准
9
口令不重复的次数
10 次
口令安全策略 ( 口令为超级用户静 态口令)
1.1.3. 日志与审计
通过对操作系统的日志进行安全控制与管理, 提高日志的安全
性,详见表 3。
序号 10 11 12 13
14
表 3 AIX 系统日志与审计基线技术要求
基线技术要求
基线标准点(参数)
说明
系统日志记录(可 选) 系统日志存储(可 选) 日志保存要求(可 选) 配置日志系统文件 保护属性(可选)
表 6 Windows 系统用户账号与口令基线技术要求
文案大全
实用标准
序号 1
基线技术要求
口令必须符合复杂性 要求
2 口令长度最小值
基线标准点(参数) 启用 8位
说明 口令安全策略(不涉及终端及动 态口令)
口令安全策略(不涉及终端)
说明
discard 服务
禁止
daytime 服务
禁止
chargen 服务
禁止
comsat 服务
禁止
ntalk 服务
禁止
talk 服务
禁止
网络测试服务,丢弃输入 , 为“拒
绝服务”攻击提供机会 , 除非正在
测试网络,否则禁用
网络测试服务,显示时间 , 为“拒
绝服务”攻击提供机会 , 除非正在
测试网络,否则禁用
管理员账号只读
修改日志文件 authlog 、 wtmp 、
400
sulog 、failedlogin 的权限管理员账
号只读
1.1.4. 服务优化
通过优化操作系统资源,提高系统服务安全性,详见表
4。
序号 15 16 17 18 19 20
表 4 AIX 系统服务优化基线技术要求
基线技术要求
基线标准点(参数)
登录
2
使 用动 态口令 令 安装动态口令
牌登录
配 置本 机访问 控 配置 /etc/hosts.allow,
3
制列表(可选)
/etc/hosts.deny
限制 root 用户远程使用 telnet 登录 (可选)
安装 TCP Wrapper ,提高对系统访 问控制
1.1.2. 用户账号与口令
通过配置操作系统用户账号与口令安全策略, 提高系统账号与
29
/etc/security 等关键文件和目录
是 root 和 security 组成 员
的权限
30
audit 的所有者必须是
/etc/security/audit
的所有者必
关键文件权限控制
root 和 audit 组成员
须是 root 和 audit 组成员
/etc/passwd
/etc/passwd 目录权限为 644 所
网络测试服务,回应随机字符串
,
为“拒绝服务”攻击提供机会 , 除
非正在测试网络,否则禁用
comsat 通知接收的电子邮件,以
root 用户身份运行, 因此涉及安全
性 , 除非需要接收邮件,否则禁用
ntalk 允许用户相互交谈,以 root
用户身份运行,除非绝对需要,否
则禁用
在网上两个用户间建立分区屏幕,
通过对操作系统安全权限参数进行调整, 提高系统访问安全性,
详见表 5。
表 5 AIX 系统访问控制基线技术要求
序号
基线技术要求
基线标准点(参数)
说明
28
修改 Umask 权限 022 或 027
要求修改默认文件权限
passwd 、 group 、
security 的所有者必须
设置 /etc/passwd ,/etc/group ,
实用标准
1. 操作系统安全基线技术要求
1.1. AIX 系统安全基线
1.1.1. 系统管理
通过配置操作系统运维管理安全策略, 提高系统运维管理安全
性,详见表 1。
表 1 AIX 系统管理基线技术要求
序号
基线技术要求
基线标准点(参数)
说明
限 制超 级管理 员
1
权 限的 用户远 程 PermitRootLogin no
1.1.5. 访问控制
以 root 用户身份运行并且可能危 及安全
防范非法访问目录风险
远程访问服务 除非有使用 UUCP 的应用程序, 否 则禁用 CDE 子过程控制不用图形管理则 禁用 Kerberos 登 录 , 如 果 站 点 使 用 Kerberos 认证则启用 Kerberos shell , 如 果 站 点 使 用 Kerberos 认证则启用
不是必需服务,与 talk 命令一起
使用, 在端口 517 提供 UDP 服务
文案大全
实用标准
21
tftp 服务
禁止
22
ftp 服务(可选) 禁止
23
telnet 服务
禁止
24
uucp 服务
禁止
25
dtspc 服务(可选) 禁止
26
klogin 服务(可选) 禁止
27
kshell 服务(可选) 禁止
口令安全性,详见表 2。
序号
4
5 6 7 8
文案大全
表 2 AIX 系统用户账户与口令基线技术要求
基线技术要求
基线标准点(参数)
说明
限制系统无用默认 账号登录
控制用户登录超时 时间 口令最小长度 口令中最少非字母 数字字符 信息系统的口令的 最大周期
daemon (禁用) bin (禁用) sys (禁用) adm (禁用) uucp (禁用) nuucp (禁用) lpd (禁用) guest (禁用) pconsole (禁用) esaadmin (禁用) sshd (禁用)
authlog 、 sulog 、 wtmp 、failedlogin 对接到统一日志服务 器
记录必需的日志信息,以便进行审 计 使用日志服务器接收与存储主机日 志,网管平台统一管理
6 个月
等保三级要求日志必须保存 6 个月
修改配置文件 syslog.conf 权限为 400
31
rw-r--r--
有用户可读, root 用户可写
/etc/group
/etc/group root 目录权限为 644
32
Βιβλιοθήκη Baidurw-r--r--
所有用户可读, root 用户可写
33
统一时间
接入统一 NTP 服务器
保障生产环境所有系统时间统一
1.2. Windows 系统安全基线 1.2.1. 用户账号与口令 通过配置操作系统用户账号与口令安全策略, 提高系统账号与 口令安全性,详见表 6。
10 分钟
8位
1个
90 天
清理多余用户账号,限制系统默认 账号登录,同时,针对需要使用的 用户,制订用户列表,并妥善保存
控制用户登录会话,设置超时时间 口令安全策略 ( 口令为超级用户静 态口令) 口令安全策略 ( 口令为超级用户静 态口令) 口令安全策略 ( 口令为超级用户静 态口令)
实用标准
9
口令不重复的次数
10 次
口令安全策略 ( 口令为超级用户静 态口令)
1.1.3. 日志与审计
通过对操作系统的日志进行安全控制与管理, 提高日志的安全
性,详见表 3。
序号 10 11 12 13
14
表 3 AIX 系统日志与审计基线技术要求
基线技术要求
基线标准点(参数)
说明
系统日志记录(可 选) 系统日志存储(可 选) 日志保存要求(可 选) 配置日志系统文件 保护属性(可选)
表 6 Windows 系统用户账号与口令基线技术要求
文案大全
实用标准
序号 1
基线技术要求
口令必须符合复杂性 要求
2 口令长度最小值
基线标准点(参数) 启用 8位
说明 口令安全策略(不涉及终端及动 态口令)
口令安全策略(不涉及终端)
说明
discard 服务
禁止
daytime 服务
禁止
chargen 服务
禁止
comsat 服务
禁止
ntalk 服务
禁止
talk 服务
禁止
网络测试服务,丢弃输入 , 为“拒
绝服务”攻击提供机会 , 除非正在
测试网络,否则禁用
网络测试服务,显示时间 , 为“拒
绝服务”攻击提供机会 , 除非正在
测试网络,否则禁用
管理员账号只读
修改日志文件 authlog 、 wtmp 、
400
sulog 、failedlogin 的权限管理员账
号只读
1.1.4. 服务优化
通过优化操作系统资源,提高系统服务安全性,详见表
4。
序号 15 16 17 18 19 20
表 4 AIX 系统服务优化基线技术要求
基线技术要求
基线标准点(参数)
登录
2
使 用动 态口令 令 安装动态口令
牌登录
配 置本 机访问 控 配置 /etc/hosts.allow,
3
制列表(可选)
/etc/hosts.deny
限制 root 用户远程使用 telnet 登录 (可选)
安装 TCP Wrapper ,提高对系统访 问控制
1.1.2. 用户账号与口令
通过配置操作系统用户账号与口令安全策略, 提高系统账号与
29
/etc/security 等关键文件和目录
是 root 和 security 组成 员
的权限
30
audit 的所有者必须是
/etc/security/audit
的所有者必
关键文件权限控制
root 和 audit 组成员
须是 root 和 audit 组成员
/etc/passwd
/etc/passwd 目录权限为 644 所
网络测试服务,回应随机字符串
,
为“拒绝服务”攻击提供机会 , 除
非正在测试网络,否则禁用
comsat 通知接收的电子邮件,以
root 用户身份运行, 因此涉及安全
性 , 除非需要接收邮件,否则禁用
ntalk 允许用户相互交谈,以 root
用户身份运行,除非绝对需要,否
则禁用
在网上两个用户间建立分区屏幕,
通过对操作系统安全权限参数进行调整, 提高系统访问安全性,
详见表 5。
表 5 AIX 系统访问控制基线技术要求
序号
基线技术要求
基线标准点(参数)
说明
28
修改 Umask 权限 022 或 027
要求修改默认文件权限
passwd 、 group 、
security 的所有者必须
设置 /etc/passwd ,/etc/group ,
实用标准
1. 操作系统安全基线技术要求
1.1. AIX 系统安全基线
1.1.1. 系统管理
通过配置操作系统运维管理安全策略, 提高系统运维管理安全
性,详见表 1。
表 1 AIX 系统管理基线技术要求
序号
基线技术要求
基线标准点(参数)
说明
限 制超 级管理 员
1
权 限的 用户远 程 PermitRootLogin no
1.1.5. 访问控制
以 root 用户身份运行并且可能危 及安全
防范非法访问目录风险
远程访问服务 除非有使用 UUCP 的应用程序, 否 则禁用 CDE 子过程控制不用图形管理则 禁用 Kerberos 登 录 , 如 果 站 点 使 用 Kerberos 认证则启用 Kerberos shell , 如 果 站 点 使 用 Kerberos 认证则启用
不是必需服务,与 talk 命令一起
使用, 在端口 517 提供 UDP 服务
文案大全
实用标准
21
tftp 服务
禁止
22
ftp 服务(可选) 禁止
23
telnet 服务
禁止
24
uucp 服务
禁止
25
dtspc 服务(可选) 禁止
26
klogin 服务(可选) 禁止
27
kshell 服务(可选) 禁止
口令安全性,详见表 2。
序号
4
5 6 7 8
文案大全
表 2 AIX 系统用户账户与口令基线技术要求
基线技术要求
基线标准点(参数)
说明
限制系统无用默认 账号登录
控制用户登录超时 时间 口令最小长度 口令中最少非字母 数字字符 信息系统的口令的 最大周期
daemon (禁用) bin (禁用) sys (禁用) adm (禁用) uucp (禁用) nuucp (禁用) lpd (禁用) guest (禁用) pconsole (禁用) esaadmin (禁用) sshd (禁用)