it主流设备安全基线技术规范docxWord文档下载推荐.docx
《it主流设备安全基线技术规范docxWord文档下载推荐.docx》由会员分享,可在线阅读,更多相关《it主流设备安全基线技术规范docxWord文档下载推荐.docx(47页珍藏版)》请在冰点文库上搜索。
应通过配置用户账号与口令安全策略,提高主机系统账户与口令安全。
限制系统无用的默认账号登录
1)Daemon
2)Bin
3)Sys
4)Adm
5)Uucp
6)Nuucp
7)Lpd
8)Imnadm
9)Ldap
10)Lp
11)Snapp
12)invscout
清理多余用户账号,限制系统默认账号登录,同时,针对需要使用的用户,制订用户列表进行妥善保存
root远程登录
禁止
禁止root远程登录
口令策略
1)maxrepeats=3
2)minlen=8
3)minalpha=4
4)minother=1
5)mindiff=4
6)minage=1
7)maxage=25(可选)
8)histsize=10
1)口令中某一字符最多只能重复3次
2)口令最短为8个字符
3)口令中最少包含4个字母字符
4)口令中最少包含一个非字母数字字符
5)新口令中最少有4个字符和旧口令不同
6)口令最小使用寿命1周
7)口令的最大寿命25周
8)口令不重复的次数10次
FTP用户账号控制
/etc/ftpusers
禁止root用户使用FTP
5.1.1.3日志与审计
应对系统的日志进行安全控制与管理,保护日志的安全与有效性。
日志记录
记录authlog、wtmp.log、sulog、failedlogin
记录必需的日志信息,以便进行审计
日志存储(可选)
日志必须存储在日志服务器中
使用日志服务器接受与存储主机日志
日志保存要求
2个月
日志必须保存2个月
日志系统配置文件保护
文件属性400(管理员账号只读)
修改日志配置文件(syslog.conf)权限为400
日志文件保护
修改日志文件authlog、wtmp.log、sulog、failedlogin的权限为400
5.1.1.4服务优化
应提高系统服务安全,优化系统资源。
Finger服务
Finger允许远程查询登陆用户信息
telnet服务
远程访问服务
ftp服务(可选)
文件上传服务(需要经过批准才启用)
sendmail服务(可选)
邮件服务
Time服务
远程查询登陆用户信息服务
Echo服务
网络测试服务,回显字符串,为“拒绝服务”攻击提供机会,除非正在测试网络,否则禁用
Discard服务
网络测试服务,丢弃输入,为“拒绝服务”攻击提供机会,除非正在测试网络,否则禁用
Daytime服务
网络测试服务,显示时间,为“拒绝服务”攻击提供机会,除非正在测试网络,否则禁用
Chargen服务
网络测试服务,回应随机字符串,为“拒绝服务”攻击提供机会,除非正在测试网络,否则禁用
comsat服务
comsat通知接收的电子邮件,以root用户身份运行,因此涉及安全性,很少需要的,禁用
klogin服务(可选)
Kerberos登录,如果您的站点使用Kerberos认证则启用(需要经过批准才启用)
kshell服务(可选)
Kerberosshell,如果您的站点使用Kerberos认证则启用(需要经过批准才启用)
ntalk服务
ntalk允许用户相互交谈,以root用户身份运行,除非绝对需要,否则禁用
talk服务
在网上两个用户间建立分区屏幕,不是必需服务,与talk命令一起使用,在端口517提供UDP服务
tftp服务
以root用户身份运行并且可能危及安全
uucp服务
除非有使用UUCP的应用程序,否则禁用
dtspc服务(可选)
CDE子过程控制,不用图形管理则禁用
5.1.1.5安全防护
应对系统安全配置参数进行调整,提高系统安全。
Umask权限
022
修改默认文件权限
控制用户登录会话
设置为600秒
设置超时时间,控制用户登录会话
5.1.1.6其他
应对关键文件进行权限调整,提高关键文件的安全。
关键文件的安全保护
a)/etc/passwd
b)/etc/group
c)/etc/security目录
设置passwd、group、security等关键文件和目录的权限
5.1.2Windows系统安全基线技术要求
5.1.2.1补丁管理
应使Windows操作系统的补丁达到管理基线。
安全服务包
win2003SP2,win2000SP4
安装微软最新的安全服务包
安全补丁
更新到最新
补丁更新至最新
5.1.2.2用户账号与口令安全
应配置用户账号与口令安全策略,提高主机系统账户与口令安全。
密码必须符合复杂性要求(可选)
启用
密码安全策略
密码长度最小值
8
密码最长使用期限(可选)
180天
密码最短使用期限
1天
强制密码历史
5次
复位帐户锁定计数器
3分钟
帐户锁定策略
帐户锁定时间
5分钟
帐户锁定阀值
5次无效登录
guest账号
禁用guest用户使用
administrator(可选)
重命名
加强administrator使用
帐号检查与管理
禁用无需使用帐号
5.1.2.3日志与审计
审核帐号登录事件
成功与失败
日志审核策略
审核帐号管理
审核目录服务访问
成功
审核登录事件
审核对象访问
无审核
审核策略更改
审核特权使用
审核过程跟踪
审核系统事件
应用日志
50-1024M
最大日志容量
安全日志
系统日志
指定日志服务器
日志存储在日志服务器中
5.1.2.4服务优化
Alerter服务
Clipbook服务
ComputerBrowser
Messenger
RemoteRegistryService
RoutingandRemoteAccess
SimpleMailTrasferProtocol(SMTP)(可选)
SimpleNetworkManagementProtocol(SNMP)Service(可选)
若网管需要可开放该服务,但需修改缺省SNMP团体名和仅对指定管理IP开放。
SimpleNetworkManagementProtocol(SNMP)Trap(可选)
Telnet
WorldWideWebPublishingService(可选)
PrintSpooler
AutomaticUpdates
TerminalService
5.1.2.5安全防护
应通过对系统配置参数调整,提高系统安全。
文件系统格式
NTFS
指定磁盘NTFS文件系统
桌面屏保
桌面屏保设置为3分钟
防病毒软件
安装防病毒软件
防病毒代码库
及时更新
更新到最新版本
文件共享(可选)
控制
原则上禁止配置文件共享,但因工作需要必须配置共享,须设置帐户与口令
系统自带防火墙(可选)
默认共享
禁止IPC$、ADMIN$、C$、D$等
网络访问:
不允许匿名枚取SAM帐号与共享
安全控制选项优化
不允许匿名枚取ASM帐号
交互式登录:
不显示上次的用户名
控制驱动器自动运行
禁止自动运行
控制在蓝屏后自动启动机器
禁止蓝屏后自动启动机器
5.1.3Linux系统安全基线技术要求
5.1.3.1设备管理
应配置系统安全管理工具,预防远程访问服务攻击或非授权访问,提高主机系统远程管理安全。
OpenSSH为远程管理高安全性工具,可保护管理过程中传输数据的安全,linux当前版本都已默认安装
配置/etc/hosts.allow、/etc/hosts.deny
配置本机访问控制列表,提高主机系统安全访问
5.1.3.2用户账号与口令安全
限制系统无用的默认帐号登录
a)Daemon
b)Bin
c)Sys
d)Adm
e)Uucp
f)Lp
g)nobody
清理多余用户帐号,限制系统默认帐号登录,同时,针对需要使用的用户,制订用户列表进行妥善保存
a)PASS_MAX_DAYS180(可选)
b)PASS_MIN_DAYS1
c)PASS_WARN_AGE28
d)PASS_MIN_LEN8
a)密码使用最长期限为180天
b)密码1天之内不能更改
c)密码过期之前28天提示修改
d)密码长度最小8位字符
FTP用户帐号控制
5.1.3.3日志与审计
捕获authpriv消息
authpriv日志
记录有关安全方面日志消息(如网络设备启动、usermod、change等)
5.1.3.4服务优化
klogin服务
kshell服务
newtalk
imap服务(可选)
pop3服务(可选)
GUI服务(可选)
图形管理服务
Xwindows服务(可选)
通用的windows界面
xinetd启动服务(可选)
系统自动启动服务:
nfs、nfslock、autofs、ypbind
ypserv、yppasswdd、portmap
smb、netfs、lpd、apache
httpd、tux、snmpd、named
postgresql、mysqld、webmin、
kudzu、squid、cups、ip6tables
iptables、pcmcia、bluetooth
NSResponder、apmd、avahi-daemon
canna、cups-config-daemon
FreeWnn、gpm、hidd等
5.1.3.5安全防护
应对Linux系统配置参数调整,提高系统安全。
敏感文件安全保护
c)/etc/shadow
保护口令文件
5.1.4HPUNIX系统安全基线技术要求
5.1.4.1设备管理
访问控制工具
安装tcp_wrappers
TCP_Wrappers为访问控制组件,通过配置访问控制列表,限制利用SSH访问主机
控制远程管理
配置访问管理IP
允许系统管理员IP可访问SSH服务
5.1.4.2用户账号与口令安全
禁用默认无用用户
a)www
b)sys
c)smbnull
d)iwww
e)owww
f)sshd
g)hpsmh
h)named
i)uucp
j)nuucp
k)adm
l)daemon
m)bin
n)lp
o)nobody
p)noaccess
q)hpdb
r)useradm
系统管理员应根据系统的具体情况对默认账号进行禁用或控制
PASSWORD_MAXDAYS=180(可选)
PASSWORD_MINDAYS=1
PASSWORD_WARNDAYS=28
MIN_PASSWORD_LENGTH=8
PASSWORD_HISTORY_DEPTH=10
PASSWORD_MIN_UPPER_CASE_CHARS=1
PASSWORD_MIN_DIGIT_CHARS=1
PASSWORD_MIN_SPECIAL_CHARS=1
PASSWORD_MIN_LOWER_CASE_CHARS=1
口令最长有效期为180天
口令最短有效期为1天
口令到期之前28天提示修改
口令最短为8个字符
口令10次不能重复
口令中最少有1个大写字母
口令中最少包含1个数字
口令中最少包含1个特殊字符
口令中最少包含1个小写字母
帐号策略
AUTH_MAXTRIES=5
连续5次登录失败后锁定用户
帐号登录失败锁定为10分钟
禁止非FTP账号使用
修改ftpusers文件
5.1.4.3日志与审计
inetd日志
开启
记录日志信息
ftp日志
FTP日志
接受远程日志
禁止接受网络日志
文件属性400
控制日志文件访问
5.1.4.4服务优化(可选)
echo服务
字符回显测试
discard服务
丢弃字符测试
daytime服务
时间同步
chargen服务
发送字符测试
exec服务
提供rexec远程执行命令
ntalk服务
基于字符的聊天
finger服务
用户信息查询
uucp服务
unix-to-unix拷贝
rpc.rstat服务
查询服务器内核信息
rpc.rusersd服务
查询用户信息
rpc.rwalld服务
用户信息通告
rpc.sprayd服务
系统性能信息服务
rpc.cmsd服务
CDE环境的的日历服务
printer服务
打印服务
kshell服务
kerbores协议的shell服务
klogin服务
kerbores协议的login服务
nis.server服务
nis服务端
nis.client服务
nisplus.server服务
nisplus.client服务
nis客户端
nis+服务端
nis+客户端
sendmail服务
SMTP服务
lp服务
tps.rc服务
pd服务
mrouted服务
路由服务
rwhod服务
named服务
DNS服务
samba服务
windows系统文件共享
cifsclient服务
访问windows文件系统
5.1.4.5安全防护
应对系统配置参数进行调整,提高系统安全。
.netrc、.rhosts、.shosts文件
禁用
该服务存在可以绕过登录
cron安全
控制权限为400
root拥有只读权限
SNMP优化
修改public
防止信息泄漏
5.2数据库
5.2.1Oracle数据库系统安全基线技术要求
5.2.1.1用户账号与口令安全
应配置用户账号与口令安全策略,提高数据库系统账户与口令安全。
基线技术点(参数)
数据库主机管理员帐号
控制默认主机管理员账号
禁止使用oracle或administrator作为数据库主机管理员帐号
oracle帐号
删除无用帐号
清理帐号,删除无用帐号
默认帐号
修改口令
如
DBSNMP
SCOTT
数据库SYSDBA帐号
禁止远程登录
修改配置参数,禁止SYSDBA远程登录
禁止自动登录
修改配置参数,禁止SYSDBA自动登录
a)PASSWORD_VERIFY_FUNCTION8
b)PASSWORD_LIFE_TIME180(可选)
c)PASSWORD_REUSE_MAX5
a)密码复杂度8个字符
b)口令有效期180天
c)禁止使用最近5次使用的口令
FAILED_LOGIN_ATTEMPTS5
public权限
优化
清理public各种默认权限
5.2.1.2日志与审计
应对系统的日志进行安全控制与管理,保护日志的安全与有效性
升级会员 