信息系统安全基线新修订-

1.操作系统安全基线技术要求1.操作系统安全基线技术要求 1.1. AIX 系统安全基线1.1. AIX 系统安全基线 1.1.1. 系统管理通过配置操作系统运维管理安全策略，提高系统运维管理安全性，详见表 1。表 1 AIX 系统管理基线技术要求序号序号基线技术要求基线技术要求基线标准点（参数）基线标准点（参数）说明说明 1 限制超级管理员权限的用户远程登录 PermitRootLogin no 限制 root 用户远程使用 telnet 登录（可选） 2 使用动态口令令牌登录安装动态口令 3 配置本机访问控制列表（可选）配置/etc/hosts.allow, /etc/hosts.deny 安装 TCP Wrapper，提高对系统访问控制 1.1.2. 用户账号与口令通过配置操作系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表 2。表 2 AIX 系统用户账户与口令基线技术要求序号序号基线技术要求基线技术要求基线标准点（参数）基线标准点（参数）说明说明 4 限制系统无用默认账号登录 daemon（禁用） bin（禁用） sys（禁用） adm（禁用） uucp（禁用） nuucp（禁用） lpd（禁用） guest（禁用） pconsole（禁用） esaadmin（禁用） sshd（禁用）清理多余用户账号，限制系统默认账号登录，同时，针对需要使用的用户，制订用户列表，并妥善保存 5 控制用户登录超时时间 10 分钟控制用户登录会话，设置超时时间 6口令最小长度8 位口令安全策略（口令为超级用户静态口令） 7 口令中最少非字母数字字符 1 个口令安全策略（口令为超级用户静态口令） 8 信息系统的口令的最大周期 90 天口令安全策略（口令为超级用户静态口令） 9口令不重复的次数10 次口令安全策略（口令为超级用户静态口令） 1.1.3. 日志与审计通过对操作系统的日志进行安全控制与管理，提高日志的安全性，详见表 3。表 3 AIX 系统日志与审计基线技术要求序号序号基线技术要求基线技术要求基线标准点（参数）基线标准点（参数）说明说明 10 系统日志记录（可选） authlog、sulog、wtmp、 failedlogin 记录必需的日志信息，以便进行审计 11 系统日志存储（可选) 对接到统一日志服务器使用日志服务器接收与存储主机日志，网管平台统一管理 12 日志保存要求（可选） 6 个月等保三级要求日志必须保存 6 个月 13 配置日志系统文件保护属性（可选） 400 修改配置文件 syslog.conf 权限为管理员账号只读 14 修改日志文件保护权限（可选） 400 修改日志文件 authlog、wtmp、sulog、 failedlogin 的权限管理员账号只读 1.1.4. 服务优化通过优化操作系统资源，提高系统服务安全性，详见表 4。表 4 AIX 系统服务优化基线技术要求序号序号基线技术要求基线技术要求基线标准点（参数）基线标准点（参数）说明说明 15discard 服务禁止网络测试服务，丢弃输入, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用 16daytime 服务禁止网络测试服务，显示时间, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用 17chargen 服务禁止网络测试服务，回应随机字符串, 为 “拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用 18comsat 服务禁止 comsat 通知接收的电子邮件，以 root 用户身份运行，因此涉及安全性, 除非需要接收邮件，否则禁用 19ntalk 服务禁止 ntalk 允许用户相互交谈，以 root 用户身份运行，除非绝对需要，否则禁用 20talk 服务禁止在网上两个用户间建立分区屏幕，不是必需服务，与 talk 命令一起使用，在端口 517 提供 UDP 服务 21tftp 服务禁止以 root 用户身份运行并且可能危及安全 22ftp 服务（可选）禁止防范非法访问目录风险 23telnet 服务禁止远程访问服务 24uucp 服务禁止除非有使用 UUCP 的应用程序，否则禁用 25dtspc 服务（可选）禁止 CDE 子过程控制不用图形管理则禁用 26klogin 服务（可选）禁止 Kerberos 登录，如果站点使用 Kerberos 认证则启用 27kshell 服务（可选）禁止 Kerberos shell，如果站点使用 Kerberos 认证则启用 1.1.5. 访问控制通过对操作系统安全权限参数进行调整，提高系统访问安全性，详见表 5。表 5 AIX 系统访问控制基线技术要求序号序号基线技术要求基线技术要求基线标准点（参数）基线标准点（参数）说明说明 28修改 Umask 权限022 或 027要求修改默认文件权限 29 passwd、 group、 security 的所有者必须是 root 和 security 组成员设置/etc/passwd，/etc/group， /etc/security 等关键文件和目录的权限 30 audit 的所有者必须是 root 和 audit 组成员 /etc/security/audit 的所有者必须是 root 和 audit 组成员 31/etc/passwd rw-r-r- /etc/passwd 目录权限为 644 所有用户可读，root 用户可写 32 关键文件权限控制 /etc/group rw-r-r- /etc/group root 目录权限为 644 所有用户可读，root 用户可写 33统一时间接入统一 NTP 服务器保障生产环境所有系统时间统一 1.2. Windows 系统安全基线1.2. Windows 系统安全基线 1.2.1. 用户账号与口令通过配置操作系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表 6。表 6 Windows 系统用户账号与口令基线技术要求序号序号基线技术要求基线技术要求基线标准点（参数）基线标准点（参数）说明说明 1 口令必须符合复杂性要求启用口令安全策略（不涉及终端及动态口令） 2口令长度最小值8 位口令安全策略（不涉及终端） 3口令最长使用期限90 天口令安全策略（不涉及终端） 4强制口令历史10 次口令安全策略（不涉及终端） 5复位账号锁定计数器10 分钟账号锁定策略（不涉及终端） 6账号锁定时间（可选）10 分钟账号锁定策略（不涉及终端） 7账号锁定阀值（可选）10 次账号锁定策略（不涉及终端） 8guest 账号禁止禁用 guest 账号 9administrator（可选）重命名保护 administrator 安全 10无需账号检查与管理禁用禁用无需使用账号 1.2.2. 日志与审计通过对操作系统日志进行安全控制与管理，提高日志的安全性与有效性，详见表 7。表 7 Windows 系统日志与审计基线技术要求序号序号基线技术要求基线技术要求基线标准点（参数）基线标准点（参数）说明说明 11审核账号登录事件成功与失败日志审核策略 12审核账号管理成功与失败日志审核策略 13审核目录服务访问成功日志审核策略 14审核登录事件成功与失败日志审核策略 15审核策略更改成功与失败日志审核策略 16审核系统事件成功日志审核策略 17日志存储地址（可选）接入到统一日志服务器日志存储在统一日志服务器中 18日志保存要求（可选）6 个月等保三级要求日志保存 6 个月 1.2.3. 服务优化通过优化系统资源，提高系统服务安全性，详见表 8。表 8 Windows 系统服务优化基线技术要求序号序号基线技术要求基线技术要求基线标准点（参数）基线标准点（参数）说明说明 19Alerter 服务禁止禁止进程间发送信息服务 20Clipbook（可选）禁止禁止机器间共享剪裁板上信息服务 21 Computer Browser 服务（可选）禁止禁止跟踪网络上一个域内的机器服务 22Messenger 服务禁止禁止即时通讯服务 23 Remote Registry Service 服务禁止禁止远程操作注册表服务 24 Routing and Remote Access 服务禁止禁止路由和远程访问服务 25Print Spooler（可选）禁止禁止后台打印处理服务 26 Automatic Updates 服务（可选）禁止禁止自动更新服务 27 Terminal Service 服务（可选）禁止禁止终端服务 1.2.4. 访问控制通过对系统配置参数调整，提高系统安全性，详见表 9。表 9 Windows 系统访问控制基线技术要求序号序号基线技术要求基线技术要求基线标准点（参数）基线标准点（参数）说明说明 28文件系统格式NTFS磁盘文件系统格式为 NTFS 29桌面屏保10 分钟桌面屏保策略 30防病毒软件安装赛门铁克生产环境安装赛门铁克防病毒最新版本软件 31防病毒代码库升级时间7 天 32文件共享（可选）禁止禁止配置文件共享，若工作需要必须配置共享，须设置账号与口令 33系统自带防火墙（可选）禁止禁止自带防火墙 34 默认共享IPC$、 ADMIN$、C$、D$等禁止安全控制选项优化 35 不允许匿名枚取SAM账号与共享启用网络访问安全控制选项优化 36不显示上次的用户名启用交互式登录安全控制选项优化 37控制驱动器禁止禁止自动运行 38 蓝屏后自动启动机器（可选）禁止禁止蓝屏后自动启动机器 39统一时间接入统一 NTP 服务器保障生产环境所有系统时间统一 1.2.5. 补丁管理通过进行定期更新，降低常见的漏洞被利用，详见表 10。表 10 Windows 系统补丁管理基线技术要求序号序号基线技术要求基线技术要求基线标准点（参数）基线标准点（参数）说明说明 40安全服务包 win2003 SP2 win2008 SP1 安装微软最新的安全服务包 41安全补丁（可选）更新到最新根据实际需要更新安全补丁 1.3. Linux 系统安全基线1.3. Linux 系统安全基线 1.3.1. 系统管理通过配置系统安全管理工具，提高系统运维管理的安全性，详见表 11。表 11 Linux 系统管理基线技术要求序号序号基线技术要求基线技术要求基线标准点（参数）基线标准点（参数）说明说明 1 安装 SSH 管理远程工具(可选) 安装 OpenSSH OpenSSH 为远程管理高安全性工具，保护管理过程中传输数据的安全 2 配置本机访问控制列表（可选）配置/etc/hosts.allow, /etc/hosts.deny 安装 TCP Wrapper，提高对系统访问控制 1.3.2. 用户账号与口令通过配置 Linux 系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表 12。表 12 Linux 系统用户账号与口令基线技术要求序号序号基线技术要求基线技术要求基线标准点（参数）基线标准点（参数）说明说明 3 禁止系统无用默认账号登录 1)Operator 2)Halt 3)Sync 4)News 5)Uucp 6)Lp 7)nobody 8)Gopher 禁止清理多余用户账号，限制系统默认账号登录，同时，针对需要使用的用户，制订用户列表进行妥善保存 4root 远程登录禁止禁止 root 远程登录 5 口令使用最长周期 90 天口令安全策略（超级用户口令） 6 口令过期提示修改时间 28 天口令安全策略（超级用户口令） 7口令最小长度8 位口令安全策略 8设置超时时间10 分钟口令安全策略 1.3.3. 日志与审计通过对 Linux 系统的日志进行安