信息系统安全基线.doc-道客多多

资源描述

1、1.操作系统安全基线技术要求AIX 系统安全基线1.1.1. 系统管理通过配置操作系统运维管理安全策略，提高系统运维管理安全性，详见表 1。表 1 AIX 系统管理基线技术要求序号基线技术要求基线标准点（参数）说明1限制超级管理员权限的用户远程登录PermitRootLogin no 限制 root 用户远程使用 telnet 登录（可选）2 使用动态口令令牌登录安装动态口令3 配置本机访问控制列表（可选）配置/etc/hosts.allow,/etc/hosts.deny 安装 TCP Wrapper，提高对系统访问控制1.1.2. 用户账号与口令通过配置操作系统用户账号与口令安全

2、策略，提高系统账号与口令安全性，详见表 2。表 2 AIX 系统用户账户与口令基线技术要求序号基线技术要求基线标准点（参数）说明4 限制系统无用默认账号登录daemon（禁用）bin（禁用）sys（禁用）adm（禁用）uucp（禁用）nuucp（禁用）lpd（禁用）guest（禁用）pconsole（禁用）esaadmin（禁用）sshd（禁用）清理多余用户账号，限制系统默认账号登录，同时，针对需要使用的用户，制订用户列表，并妥善保存5 控制用户登录超时时间 10 分钟控制用户登录会话，设置超时时间6 口令最小长度 8 位口令安全策略（口令为超级用户静态口令）7 口令中最少非字母数

3、字字符 1 个口令安全策略（口令为超级用户静态口令）8 信息系统的口令的最大周期 90 天口令安全策略（口令为超级用户静态口令）9 口令不重复的次数 10 次口令安全策略（口令为超级用户静态口令）1.1.3. 日志与审计通过对操作系统的日志进行安全控制与管理，提高日志的安全性，详见表 3。表 3 AIX 系统日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明10 系统日志记录（可选） authlog、sulog、wtmp、failedlogin 记录必需的日志信息，以便进行审计11 系统日志存储（可选) 对接到统一日志服务器使用日志服务器接收与存储主机日志，网管平台统

4、一管理12 日志保存要求（可选） 6 个月等保三级要求日志必须保存 6 个月 13 配置日志系统文件保护属性（可选） 400 修改配置文件 syslog.conf 权限为管理员账号只读14 修改日志文件保护权限（可选） 400修改日志文件authlog、wtmp、sulog、failedlogin 的权限管理员账号只读1.1.4. 服务优化通过优化操作系统资源，提高系统服务安全性，详见表 4。表 4 AIX 系统服务优化基线技术要求序号基线技术要求基线标准点（参数）说明15 discard 服务禁止网络测试服务，丢弃输入, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用1

5、6 daytime 服务禁止网络测试服务，显示时间, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用17 chargen 服务禁止网络测试服务，回应随机字符串 , 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用18 comsat 服务禁止comsat 通知接收的电子邮件，以 root 用户身份运行，因此涉及安全性, 除非需要接收邮件，否则禁用19 ntalk 服务禁止ntalk 允许用户相互交谈，以 root 用户身份运行，除非绝对需要，否则禁用20 talk 服务禁止在网上两个用户间建立分区屏幕，不是必需服务，与 talk 命令一起使用，在端口 517

6、提供 UDP 服务21 tftp 服务禁止以 root 用户身份运行并且可能危及安全22 ftp 服务（可选）禁止防范非法访问目录风险23 telnet 服务禁止远程访问服务24 uucp 服务禁止除非有使用 UUCP 的应用程序，否则禁用25 dtspc 服务（可选）禁止 CDE 子过程控制不用图形管理则禁用26 klogin 服务（可选）禁止 Kerberos 登录，如果站点使用 Kerberos 认证则启用27 kshell 服务（可选）禁止 Kerberos shell，如果站点使用 Kerberos 认证则启用1.1.5. 访问控制通过对操作系统安全权限参数进

7、行调整，提高系统访问安全性，详见表 5。表 5 AIX 系统访问控制基线技术要求序号基线技术要求基线标准点（参数）说明28 修改 Umask 权限 022 或 027 要求修改默认文件权限29passwd、group、security的所有者必须是 root 和security 组成员设置/etc/passwd，/etc/group， /etc/security 等关键文件和目录的权限30 audit 的所有者必须是root 和 audit 组成员 /etc/security/audit 的所有者必须是 root 和 audit 组成员31 /etc/passwd rw-r-r- /

8、etc/passwd 目录权限为 644 所有用户可读，root 用户可写32关键文件权限控制/etc/group rw-r-r- /etc/group root 目录权限为 644所有用户可读，root 用户可写 33 统一时间接入统一 NTP 服务器保障生产环境所有系统时间统一1.2. Windows 系统安全基线1.2.1. 用户账号与口令通过配置操作系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表 6。表 6 Windows 系统用户账号与口令基线技术要求序号基线技术要求基线标准点（参数）说明1 口令必须符合复杂性要求启用口令安全策略（不涉及终端及动态口令）2

9、口令长度最小值 8 位口令安全策略（不涉及终端）3 口令最长使用期限 90 天口令安全策略（不涉及终端）4 强制口令历史 10 次口令安全策略（不涉及终端）5 复位账号锁定计数器 10 分钟账号锁定策略（不涉及终端）6 账号锁定时间（可选） 10 分钟账号锁定策略（不涉及终端）7 账号锁定阀值（可选） 10 次账号锁定策略（不涉及终端）8 guest 账号禁止禁用 guest 账号9 administrator（可选）重命名保护 administrator 安全10 无需账号检查与管理禁用禁用无需使用账号1.2.2. 日志与审计通过对操作系统日志进行安全控制与管理，提

10、高日志的安全性与有效性，详见表 7。表 7 Windows 系统日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明11 审核账号登录事件成功与失败日志审核策略12 审核账号管理成功与失败日志审核策略13 审核目录服务访问成功日志审核策略14 审核登录事件成功与失败日志审核策略15 审核策略更改成功与失败日志审核策略16 审核系统事件成功日志审核策略17 日志存储地址（可选）接入到统一日志服务器日志存储在统一日志服务器中18 日志保存要求（可选） 6 个月等保三级要求日志保存 6 个月 1.2.3. 服务优化通过优化系统资源，提高系统服务安全性，详见

11、表 8。表 8 Windows 系统服务优化基线技术要求序号基线技术要求基线标准点（参数）说明19 Alerter 服务禁止禁止进程间发送信息服务20 Clipbook（可选）禁止禁止机器间共享剪裁板上信息服务21 Computer Browser 服务（可选）禁止禁止跟踪网络上一个域内的机器服务22 Messenger 服务禁止禁止即时通讯服务23 Remote Registry Service 服务禁止禁止远程操作注册表服务24 Routing and Remote Access 服务禁止禁止路由和远程访问服务25 Print Spooler（可选）禁止禁

12、止后台打印处理服务26 Automatic Updates 服务（可选）禁止禁止自动更新服务27 Terminal Service 服务（可选）禁止禁止终端服务1.2.4. 访问控制通过对系统配置参数调整，提高系统安全性，详见表 9。表 9 Windows 系统访问控制基线技术要求序号基线技术要求基线标准点（参数）说明28 文件系统格式 NTFS 磁盘文件系统格式为 NTFS29 桌面屏保 10 分钟桌面屏保策略30 防病毒软件安装赛门铁克生产环境安装赛门铁克防病毒最新版本软件31 防病毒代码库升级时间 7 天32 文件共享（可选）禁止禁止配置文件共享，若工作需要必须配置

13、共享，须设置账号与口令33 系统自带防火墙（可选）禁止禁止自带防火墙34默认共享IPC$、ADMIN$、C$、D$等禁止安全控制选项优化35 不允许匿名枚取 SAM账号与共享启用网络访问安全控制选项优化36 不显示上次的用户名启用交互式登录安全控制选项优化37 控制驱动器禁止禁止自动运行38 蓝屏后自动启动机器（可选）禁止禁止蓝屏后自动启动机器39 统一时间接入统一 NTP 服务器保障生产环境所有系统时间统一1.2.5. 补丁管理通过进行定期更新，降低常见的漏洞被利用，详见表 10。表 10 Windows 系统补丁管理基线技术要求序号基线技术要求基线标准点（参数

14、）说明40 安全服务包 win2003 SP2win2008 SP1 安装微软最新的安全服务包41 安全补丁（可选）更新到最新根据实际需要更新安全补丁1.3. Linux 系统安全基线1.3.1. 系统管理通过配置系统安全管理工具，提高系统运维管理的安全性，详见表 11。表 11 Linux 系统管理基线技术要求序号基线技术要求基线标准点（参数）说明1 安装 SSH 管理远程工具(可选) 安装 OpenSSHOpenSSH 为远程管理高安全性工具，保护管理过程中传输数据的安全2 配置本机访问控制列表（可选）配置/etc/hosts.allow,/etc/hosts.deny安

15、装 TCP Wrapper，提高对系统访问控制1.3.2. 用户账号与口令通过配置 Linux 系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表 12。表 12 Linux 系统用户账号与口令基线技术要求序号基线技术要求基线标准点（参数）说明3禁止系统无用默认账号登录1) Operator2) Halt3) Sync4) News5) Uucp6) Lp7) nobody8) Gopher禁止清理多余用户账号，限制系统默认账号登录，同时，针对需要使用的用户，制订用户列表进行妥善保存4 root 远程登录禁止禁止 root 远程登录5 口令使用最长周期 90 天口令安

16、全策略（超级用户口令）6 口令过期提示修改时间 28 天口令安全策略（超级用户口令）7 口令最小长度 8 位口令安全策略8 设置超时时间 10 分钟口令安全策略1.3.3. 日志与审计通过对 Linux 系统的日志进行安全控制与管理，提高日志的安全性与有效性，详见表 13。表 13 Linux 系统日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明9 记录安全日志 authpriv 日志记录网络设备启动、usermod、change 等方面日志10 日志存储（可选）接入到统一日志服务器使用统一日志服务器接收并存储系统日志11 日志保存时间 6 个月等保三级要求日

17、志必须保存 6 个月 12 日志系统配置文件保护 400 修改配置文件 syslog.conf 权限为管理员用户只读1.3.4. 服务优化通过优化 Linux 系统资源，提高系统服务安全性，详见表 14。表 14 Linux 系统服务优化基线技术要求序号基线技术要求基线标准点（参数）说明13 ftp 服务（可选）禁止文件上传服务14 sendmail 服务禁止邮件服务15 klogin 服务（可选）禁止 Kerberos 登录，如果站点使用 Kerberos 认证则启用16 kshell 服务（可选）禁止 Kerberos shell，如果站点使用 Kerberos 认

18、证则启用17 ntalk 服务禁止 new talk18 tftp 服务禁止以 root 用户身份运行可能危及安全19 imap 服务（可选）禁止邮件服务20 pop3 服务（可选）禁止邮件服务21 telnet 服务( 可选 ) 禁止远程访问服务22 GUI 服务（可选）禁止图形管理服务23 xinetd 服务（可选）启动增强系统安全1.3.5. 访问控制通过对 Linux 系统配置参数调整，提高系统安全性，详见表15。表 15 Linux 系统访问控制基线技术要求序号基线技术要求基线标准点（参数）说明24 Umask 权限 022 或 027

19、修改默认文件权限25 1) /etc/passwd 目录权限为644 /etc/passwd rw-r-r所有用户可读，root 用户可写26 2) /etc/shadow 目录权限为400 /etc/shadow r-只有 root 可读 27关键文件权限控制3) /etc/group root 目录权限为 644/etc/group rw-r-r所有用户可读，root 用户可写 28 统一时间接入统一 NTP 服务器保障生产环境所有系统时间统一2.数据库安全基线技术要求2.1. Oracle 数据库系统安全基线2.1.1. 用户账号与口令通过配置数据库系统用户账号与口令安全策略，提高数

20、据库系统账号与口令安全性，详见表 16。表 16 Oracle 系统用户账号与口令基线技术要求序号基线技术要求基线标准点（参数）说明1Oracle 无用账号TIGERSCOTT 等禁用禁用无用账号2默认管理账号管理SYSTEMDMSYS 等更改口令账号安全策略（新系统）3 数据库自动登录SYSDBA 账号禁止账号安全策略4 口令最小长度 8 位口令安全策略（新系统）5 口令有效期 12 个月新系统执行此项要求6 禁止使用已设置过的口令次数 10 次口令安全策略2.1.2. 日志与审计通过对数据库系统的日志进行安全控制与管理，提高日志的安全性与有效性，详见表 17。表 17

21、 Oracle 系统日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明7 日志保存要求（可选） 3 个月日志必须保存 3 个月 8 日志文件保护启用设置访问日志文件权限2.1.3. 访问控制通过对数据库系统配置参数调整，提高数据库系统安全性，详见表 18。表 18 Oracle 系统访问控制基线技术要求序号基线技术要求基线标准点（参数）说明9 监听程序加密（可选）设置口令设置监听器口令（新系统）10 修改服务监听默认端口（可选）非 TCP1521 系统可执行此项要求3.中间件安全基线技术要求Tong（TongEASY、TongLINK 等）中间件安全基线3

22、.1.1. 用户账号与口令通过配置中间件用户账号与口令安全策略，提高系统账号与口令安全，详见表 19。表 19 Tong 用户账号与口令基线技术要求序号基线技术要求基线标准点（参数）说明1优化 Tong 服务账号和应用共用同一用户（可选）Tong 和应用共用同一用户与操作系统应用用户保持一致3.1.2. 日志与审计通过对中间件的日志进行安全控制与管理，保护日志的安全与有效性，详见表 20。表 20 Tong 日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明2 事务包日志备份 1.5G Pktlog 达到 1.5G 进行备份3 交易日志备份 1.5G Txlog 达到

23、1.5G 进行备份4 通信管理模块运行日志备份 1.5G Tonglink.log 达到 1.5G 进行备份5 系统日志备份 1.5G syslog 达到 1.5G 进行备份6 名字服务日志备份 1.5G Nsfwdlog 达到 1.5G 进行备份7 调试日志备份 1.5G Testlog 达到 1.5G 进行备份8 通信管理模块错误日志备份 1.5G Tonglink.err 达到 1.5G 进行备份9 日志保存时间(可选) 6 个月等保三级要求日志必须保存 6 个月 3.1.3. 访问控制通过配置中间件系统资源，提高中间件系统服务安全，详见表21。表 21 Tong 访问控制基线技术要求

24、序号基线技术要求基线标准点（参数）说明10 共享内存SHMMAX：4GSHMSEG： 3 个以上SHMALL：12G根据不同操作系统调整 Tong 的3 个核心参数11 消息队列MSGTQL ：4096MSGMAX：8192MSGMNB：16384设置 Tong 核心应用系统程序进行数据传递参数12 信号灯Maxuproc：1000 以上SEMMSL：13 以上SEMMNS：26 以上设置 Tong 信号灯参数13 进程数 NPROC：2000 以上MAXUP：1000 以上设置同时运行进程数参数服务器应答头中的版本信息关闭隐藏版本信息，防止软件版本信息泄漏3.1.4. 安全防护通

25、过对中间件配置参数调整，提高中间件系统安全，详见表22。表 22 Tong 安全防护基线技术要求序号基线技术要求基线标准点（参数）说明14 数据传输安全根据应用需求设置加密标识根据应用需求保护数据传输安全15 守护进程安全tldtmmonitmrcvtmsnd通信管理模块、运行监控、接收处理、发送处理守护进程处于常开状态，随时处理应用程序的请求3.1.5. 补丁管理通过对 Tong 的补丁进行定期更新，达到管理基线，防止常见的漏洞被利用，详见表 23。表 23 Tong 补丁管理基线技术要求序号基线技术要求基线标准点（参数）说明16 安全补丁（可选）根据实际需要更新根据实

26、际需要更新安全补丁Tong4.2、Tong4.5、Tong4.6 适用于 AIX5.3 以上版本3.2. Apache 中间件安全基线3.2.1. 用户账号与口令通过配置中间件用户账号与口令安全策略，提高系统账号与口令安全性，详见表 24。表 24 Apache 用户账号与口令基线技术要求序号基线技术要求基线标准点（参数）说明1 优化 WEB 服务账号新建 Apache 可访问 80 端口用户账号使用 WAS 中间件用户安装，root用户启动3.2.2. 日志与审计通过对中间件的日志进行安全控制与管理，提高日志的安全性与有效性，详见表 25。表 25 Apache 日志与审计基线技

27、术要求序号基线技术要求基线标准点（参数）说明2 日志级别（可选） Info 采用 Info 日志级别，分析问题时采用更高日志级别3 错误日志及记录 ErrorLog 配置错误日志文件名及位置4 访问日志（可选） CustomLog 配置访问日志文件名及位置3.2.3. 服务优化通过优化中间件系统资源，提高中间件系统服务安全性，详见表 26。表 26 Apache 服务优化基线技术要求序号基线技术要求基线标准点（参数）说明5 无用模块禁用禁用无用模块3.2.4. 安全防护通过对中间件配置参数调整，提高中间件系统安全性，详见表27。表 27 Apache 安全防护基线技术要求序号

28、基线技术要求基线标准点（参数）说明6 遍历操作系统目录（可选）禁止修改参数文件，禁止目录遍历7 服务器应答头中的版本信息关闭隐藏版本信息，防止软件版本信息泄漏8服务器生成页面的页脚中版本信息关闭不显示服务器默认欢迎页面3.3. WAS 中间件安全基线3.3.1. 用户账号与口令通过配置用户账号与口令安全策略，提高系统账号与口令安全性，详见表 28。表 28 WAS 用户账号与口令基线技术要求序号基线技术要求基线标准点（参数）说明1 账号安全策略按照操作系统账号管理规范执行符合应用系统运行要求2 口令安全策略按照操作系统口令管理规范执行符合应用系统运行要求3.3.2

29、. 日志与审计通过对系统的日志进行安全控制与管理，提高日志的安全性与有效性，详见表 29。表 29 WAS 日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明3 故障日志开启记录相关日志4 记录级别 Info 记录相关日志级别3.3.3. 服务优化通过优化系统资源，提高系统服务安全性，详见表 30。表 30 WAS 服务优化基线技术要求序号基线技术要求基线标准点（参数）说明5 file serving 服务禁止开启用户可能非法浏览应用服务器目录和文件6配置 config 和properties 目录权限755 config 和 properties 目录权限不当存

30、在安全隐患3.3.4. 安全防护通过对系统配置参数调整，提高系统安全性，详见表 31。表 31 WAS 安全防护基线技术要求序号基线技术要求基线标准点（参数）说明7 删除 sample 例子程序删除示例域防止已知攻击8 连接会话超时控制 10 分钟设置超时时间，控制用户登录会话9 数据传输安全加密传送在服务器 console 管理中浏览器与服务器传输信息配置 SSL10 设置控制台会话最长时间 30 分钟控制台会话 timeout 低于 30 分钟3.3.5. 补丁管理通过进行定期更新，达到管理基线，降低常见的的漏洞被利用，详见表 32。表 32 WAS 补丁管理基线技术

31、要求序号基线技术要求基线标准点（参数）说明11 安全补丁（可选）按照系统管理室年度版本执行根据应用系统实际情况选择4.网络设备安全基线技术要求4.1. Cisco 路由器/交换机安全基线4.1.1. 系统管理通过配置网络设备管理，提高系统运维管理安全性，详见表33。表 33 Cisco 系统管理基线技术要求序号基线技术要求基线标准点（参数）说明1 远程 ssh 服务（可选）启用采用 ssh 服务代替 telnet 服务管理网络设备，提高设备管理安全性2 认证方式 tacas/radius 认证启用设备认证3 非管理员 IP 地址禁止配置访问控制列表，只允许管理员 IP

32、或网段能访问网络设备管理服务4 配置 console 端口口令认证 console 需配置口令认证信息5 统一时间接入统一 NTP 服务器保障生产环境所有设备时间统一4.1.2. 用户账号与口令通过配置网络设备用户账号与口令安全策略，提高系统账号与口令安全性，详见表 34。表 34 Cisco 用户账号与口令基线技术要求序号基线技术要求基线标准点（参数）说明6 Service password 口令加密采用 service password-encryption7 enable 口令加密采用 secret 对口令进行加密8 账号登录空闲超时时间 5 分钟设置 con

33、sole 和 vty 的登录超时时间 5 分钟9 口令最小长度 8 位口令长度为 8 个字符4.1.3. 日志与审计通过对网络设备的日志进行安全控制与管理，提高日志的安全性与有效性，详见表 35。表 35 Cisco 日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明10 更改 SNMP 的团体串（可选）更改 SNMP Community 修改默认值 public更改 SNMP 主机 IP11 系统日志存储对接到网管日志服务器使用日志服务器接收与存储主机日志，网管平台统一管理12 日志保存要求 6 个月等保三级要求日志必须保存 6 个月 4.1.4. 服务优化通过优

34、化网络设备，提高系统服务安全性，详见表 36。表 36 Cisco 服务优化基线技术要求序号基线技术要求基线标准点（参数）说明13 TCP、UDP Small 服务（可选）禁止禁用无用服务14 Finger 服务禁止禁用无用服务15 HTTP 服务禁止禁用无用服务16 HTTPS 服务禁止禁用无用服务17 BOOTp 服务禁止禁用无用服务18 IP Source Routing服务禁止禁用无用服务19 ARP-Proxy 服务禁止禁用无用服务20 cdp 服务（可选）禁止禁用无用服务(只适用于边界设备)21 FTP 服务（可选）禁止禁用无用服务4

35、.1.5. 访问控制通过对设备配置进行调整，提高设备或网络安全性，详见表37。表 37 Cisco 访问控制基线技术要求序号基线技术要求基线标准点（参数）说明22 login banner 信息修改默认值为警示语默认值不为空23 BGP 认证（可选）启用加强路由信息安全24 EIGRP 认证（可选）启用加强路由信息安全25 OSPF 认证（可选）启用加强路由信息安全26 RIPv2 认证（可选）启用加强路由信息安全27 MAC 绑定（可选） IP+MAC+端口绑定重要服务器采用 IP+MAC+端口绑定28 网络端口 AUX（可选）关闭关闭没用网络端口

36、4.2. H3C 路由器/交换机安全基线4.2.1. 系统管理通过配置网络设备管理，预防远程访问服务攻击或非授权访问，提高网络设备远程管理安全性，详见表 38。表 38 H3C 系统管理基线技术要求序号基线技术要求基线标准点（参数）说明1 远程 ssh 服务（可选）启用采用 ssh 服务代替 telnet 服务管理网络设备，提高设备管理安全性2 认证方式 tacas/radius 认证启用设备认证3 非管理员 IP 地址禁止配置访问控制列表，只允许管理员 IP 或网段能访问网络设备管理服务4 配置 console 端口口令认证 console 需配置口令认证信息5 统一时间接

37、入统一 NTP 服务器保障生产环境所有设备时间统一4.2.2. 用户账号与口令通过配置用户账号与口令安全策略，提高系统账号与口令安全，详见表 39。表 39 H3C 用户账号与口令基线技术要求序号基线技术要求基线标准点（参数）说明6 system 口令加密方式采用 cipher 对口令进行加密7 账号登录空闲超时时间 5 分钟设置 console 和 vty 的登录超时时间 5 分钟8 口令最小长度 8 位口令安全策略4.2.3. 日志与审计通过对网络设备的日志进行安全控制与管理，提高日志的安全性与有效性，详见表 40。表 40 H3C 日志与审计基线技术要求序号基线技术要求

38、基线标准点（参数）说明9 系统日志接入到网管日志服务器使用网管平台统一日志服务器接收与存储10 日志保存要求 6 个月等保三级要求日志必须保存 6 个月 4.2.4. 服务优化通过优化网络设备资源，提高设备服务安全性，详见表 41。表 41 H3C 服务优化基线技术要求序号基线技术要求基线标准点（参数）说明11 http 服务禁用关闭弱服务12 FTP 服务（可选）禁止禁用 Ftp 服务4.2.5. 访问控制通过对网络设备配置参数调整，提高设备安全性，详见表 42。表 42 H3C 访问控制基线技术要求序号基线技术要求基线标准点（参数）说明13 BGP 认证（

39、可选）启用加强路由信息安全14 OSPF 认证（可选）启用加强路由信息安全15 RIPv2 认证（可选）启用加强路由信息安全16 统一时间接入统一 NTP 服务器保障生产环境所有设备时间统一17重要服务器采用IP+MAC+端口绑定（可选）IP+MAC+端口绑定重要服务器采用 IP+MAC+端口绑定18 网络端口 AUX（可选）关闭关闭没用网络端口4.3. 防火墙安全基线4.3.1. 系统管理通过配置网络设备管理，提高安全设备运维管理安全性，详见表 43。表 43 防火墙系统管理基线技术要求序号基线技术要求基线标准点（参数）说明1 安全网络登录方式，SSH

40、或者 HTTPS 启用采用 ssh(https)服务代替 telnet(http)服务管理防火墙设备2 限制登录口令录入时间 30 秒设置登录口令录入时间，建议为30 秒3 限制可登录的访问地址配置管理客户端 IP 地址限制对特定工作站的管理能力4只接收管理流量的逻辑管理 IP 地址（可选）启用网络用户流量分离管理流量大大增加了管理安全性，并确保了稳定的管理带宽5 HTTP 监听端口号（可选）更改通过更改 HTTP 监听端口号提高系统安全性6 统一时间接入统一 NTP 服务器保障生产环境所有设备时间统一4.3.2. 用户账号与口令通过配置网络设备用户账号与口令安全策略，提高设备

41、账号与口令安全性，详见表 44。表 44 防火墙用户账号与口令基线技术要求序号基线技术要求基线标准点（参数）说明系统初始账号和口令修改在完成初始配置后应尽快修改缺省用户名和口令7口令最短长度 8 位口令安全策略4.3.3. 日志与审计通过对网络设备的日志进行安全控制与管理，提高日志的安全性与有效性，详见表 45。表 45 防火墙日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明8 发起 SNMP 连接限定源 IP 限制发起 SNMP 连接的源地址9 信息流日志开启针对重要策略开启信息流日志10 系统日志（可选) 对接到统一网管日志服务器使用网管平台统一日志服务

42、器接收与存储系统日志11 日志保存要求（可选） 6 个月等保三级要求日志必须保存 6 个月 4.3.4. 安全防护通过对网络设备配置参数调整，提高设备安全性，详见表 46。表 46 防火墙安全防护基线技术要求序号基线技术要求基线标准点（参数）说明12防火墙安全设置选项（可选）SYN Attack、ICMP Flood、UDP Flood、Port Scan ttack、 Limit session、SYN-ACK-ACK Proxy、SYN Fragment开启防攻击选项包括：SYN Attack、ICMP Flood、UDP Flood、Port Scan Attack、 Limit session、SYN-ACK-ACK Proxy 保护、SYN Fragment（SYN 碎片）等。

展开阅读全文