1.操作系统安全基线技术要求1.1.AIX系统安全基线1.1.1.系统管理通过配置操作系统运维管理安全策略,提高系统运维管理安全性,详见表1。表1AIX系统管理基线技术要求序号基线技术要求基线标准点(参数)说明1限制超级管理员权限的用户远程登录PermitRootLoginno限制root用户远程使用telnet登录(可选)2使用动态口令令牌登录安装动态口令3配置本机访问控制列表(可选)配置/etc/hosts.allow,/etc/hosts.deny安装TCPWrapper,提高对系统访问控制1.1.2.用户账号与口令通过配置操作系统用户账号与口令安全策略,提高系统账号与口令安全性,详见表2。表2AIX系统用户账户与口令基线技术要求序号基线技术要求基线标准点(参数)说明4限制系统无用默认账号登录daemon(禁用)bin(禁用)sys(禁用)adm(禁用)uucp(禁用)nuucp(禁用)lpd(禁用)guest(禁用)pconsole(禁用)esaadmin(禁用)sshd(禁用)清理多余用户账号,限制系统默认账号登录,同时,针对需要使用的用户,制订用户列表,并妥善保存5控制用户登录超时时间10分钟控制用户登录会话,设置超时时间6口令最小长度8位口令安全策略(口令为超级用户静态口令)7口令中最少非字母数字字符1个口令安全策略(口令为超级用户静态口令)8信息系统的口令的最大周期90天口令安全策略(口令为超级用户静态口令)9口令不重复的次数10次口令安全策略(口令为超级用户静态口令)1.1.3.日志与审计通过对操作系统的日志进行安全控制与管理,提高日志的安全性,详见表3。表3AIX系统日志与审计基线技术要求序号基线技术要求基线标准点(参数)说明10系统日志记录(可选)authlog、sulog、wtmp、failedlogin记录必需的日志信息,以便进行审计11系统日志存储(可选)对接到统一日志服务器使用日志服务器接收与存储主机日志,网管平台统一管理12日志保存要求(可选)6个月等保三级要求日志必须保存6个月13配置日志系统文件保护属性(可选)400修改配置文件syslog.conf权限为管理员账号只读14修改日志文件保护权限(可选)400修改日志文件authlog、wtmp、sulog、failedlogin的权限管理员账号只读1.1.4.服务优化通过优化操作系统资源,提高系统服务安全性,详见表4。表4AIX系统服务优化基线技术要求序号基线技术要求基线标准点(参数)说明15discard服务禁止网络测试服务,丢弃输入,为“拒绝服务”攻击提供机会,除非正在测试网络,否则禁用16daytime服务禁止网络测试服务,显示时间,为“拒绝服务”攻击提供机会,除非正在测试网络,否则禁用17chargen服务禁止网络测试服务,回应随机字符串,为“拒绝服务”攻击提供机会,除非正在测试网络,否则禁用18comsat服务禁止comsat通知接收的电子邮件,以root用户身份运行,因此涉及安全性,除非需要接收邮件,否则禁用19ntalk服务禁止ntalk允许用户相互交谈,以root用户身份运行,除非绝对需要,否则禁用20talk服务禁止在网上两个用户间建立分区屏幕,不是必需服务,与talk命令一起使用,在端口517提供UDP服务21tftp服务禁止以root用户身份运行并且可能危及安全22ftp服务(可选)禁止防范非法访问目录风险23telnet服务禁止远程访问服务24uucp服务禁止除非有使用UUCP的应用程序,否则禁用25dtspc服务(可选)禁止CDE子过程控制不用图形管理则禁用26klogin服务(可选)禁止Kerberos登录,如果站点使用Kerberos认证则启用27kshell服务(可选)禁止Kerberosshell,如果站点使用Kerberos认证则启用1.1.5.访问控制通过对操作系统安全权限参数进行调整,提高系统访问安全性,详见表5。表5AIX系统访问控制基线技术要求序号基线技术要求基线标准点(参数)说明28修改Umask权限022或027要求修改默认文件权限29关键文件权限控制passwd、group、security的所有者必须是root和security组成员设置/etc/passwd,/etc/group,/etc/security等关键文件和目录的权限30audit的所有者必须是root和audit组成员/etc/security/audit的所有者必须是root和audit组成员31/etc/passwdrw-r--r--/etc/passwd目录权限为644所有用户可读,root用户可写32/etc/grouprw-r--r--/etc/grouproot目录权限为644所有用户可读,root用户可写33统一时间接入统一NTP服务器保障生产环境所有系统时间统一1.2.Windows系统安全基线1.2.1.用户账号与口令通过配置操作系统用户账号与口令安全策略,提高系统账号与口令安全性,详见表6。表6Windows系统用户账号与口令基线技术要求序号基线技术要求基线标准点(参数)说明1口令必须符合复杂性要求启用口令安全策略(不涉及终端及动态口令)2口令长度最小值8位口令安全策略(不涉及终端)3口令最长使用期限90天口令安全策略(不涉及终端)4强制口令历史10次口令安全策略(不涉及终端)5复位账号锁定计数器10分钟账号锁定策略(不涉及终端)6账号锁定时间(可选)10分钟账号锁定策略(不涉及终端)7账号锁定阀值(可选)10次账号锁定策略(不涉及终端)8guest账号禁止禁用guest账号9administrator(可选)重命名保护administrator安全10无需账号检查与管理禁用禁用无需使用账号1.2.2.日志与审计通过对操作系统日志进行安全控制与管理,提高日志的安全性与有效性,详见表7。表7Windows系统日志与审计基线技术要求序号基线技术要求基线标准点(参数)说明11审核账号登录事件成功与失败日志审核策略12审核账号管理成功与失败日志审核策略13审核目录服务访问成功日志审核策略14审核登录事件成功与失败日志审核策略15审核策略更改成功与失败日志审核策略16审核系统事件成功日志审核策略17日志存储地址(可选)接入到统一日志服务器日志存储在统一日志服务器中18日志保存要求(可选)6个月等保三级要求日志保存6个月1.2.3.服务优化通过优化系统资源,提高系统服务安全性,详见表8。表8Windows系统服务优化基线技术要求序号基线技术要求基线标准点(参数)说明19Alerter服务禁止禁止进程间发送信息服务20Clipbook(可选)禁止禁止机器间共享剪裁板上信息服务21ComputerBrowser服务(可选)禁止禁止跟踪网络上一个域内的机器服务22Messenger服务禁止禁止即时通讯服务23RemoteRegistryService服务禁止禁止远程操作注册表服务24RoutingandRemoteAccess服务禁止禁止路由和远程访问服务25PrintSpooler(可选)禁止禁止后台打印处理服务26AutomaticUpdates服务(可选)禁止禁止自动更新服务27TerminalService服务(可选)禁止禁止终端服务1.2.4.访问控制通过对系统配置参数调整,提高系统安全性,详见表9。表9Windows系统访问控制基线技术要求序号基线技术要求基线标准点(参数)说明28文件系统格式NTFS磁盘文件系统格式为NTFS29桌面屏保10分钟桌面屏保策略30防病毒软件安装赛门铁克生产环境安装赛门铁克防病毒最新版本软件31防病毒代码库升级时间7天32文件共享(可选)禁止禁止配置文件共享,若工作需要必须配置共享,须设置账号与口令33系统自带防火墙(可选)禁止禁止自带防火墙34默认共享IPC$、ADMIN$、C$、D$等禁止安全控制选项优化35不允许匿名枚取SAM账号与共享启用网络访问安全控制选项优化36不显示上次的用户名启用交互式登录安全控制选项优化37控制驱动器禁止禁止自动运行38蓝屏后自动启动机器(可选)禁止禁止蓝屏后自动启动机器39统一时间接入统一NTP服务器保障生产环境所有系统时间统一1.2.5.补丁管理通过进行定期更新,降低常见的漏洞被利用,详见表10。表10Windows系统补丁管理基线技术要求序号基线技术要求基线标准点(参数)说明40安全服务包win2003SP2win2008SP1安装微软最新的安全服务包41安全补丁(可选)更新到最新根据实际需要更新安全补丁1.3.Linux系统安全基线1.3.1.系统管理通过配置系统安全管理工具,提高系统运维管理的安全性,详见表11。表11Linux系统管理基线技术要求序号基线技术要求基线标准点(参数)说明1安装SSH管理远程工具(可选)安装OpenSSHOpenSSH为远程管理高安全性工具,保护管理过程中传输数据的安全2配置本机访问控制列表(可选)配置/etc/hosts.allow,/etc/hosts.deny安装TCPWrapper,提高对系统访问控制1.3.2.用户账号与口令通过配置Linux系统用户账号与口令安全策略,提高系统账号与口令安全性,详见表12。表12Linux系统用户账号与口令基线技术要求序号基线技术要求基线标准点(参数)说明3禁止系统无用默认账号登录1)Operator2)Halt3)Sync4)News5)Uucp6)Lp7)nobody8)Gopher禁止清理多余用户账号,限制系统默认账号登录,同时,针对需要使用的用户,制订用户列表进行妥善保存4root远程登录禁止禁止root远程登录5口令使用最长周90天口令安全策略(超级用户口令)期6口令过期提示修改时间28天口令安全策略(超级用户口令)7口令最小长度8位口令安全策略8设置超时时间10分钟口令安全策略1.3.3.日志与审计通过对Linux系统的日志进行安全控制与管理,提高日志的安全性与有效性,详见表13。表13Linux系统日志与审计基线技术要求序号基线技术要求基线标准点(参数)说明9记录安全日志authpriv日志记录网络设备启动、usermod、change等方面日志10日志存储(可选)接入到统一日志服务器使用统一日志服务器接收并存储系统日志11日志保存时间6个月等保三级要求日志必须保存6个月12日志系统配置文件保护400修改配置文件syslog.conf权限为管理员用户只读1.3.4.服务优化通过优化Linux系统资源,提高系统服务安全性,详见表14。表14Linux系统服务优化基线技术要求序号基线技术要求基线标准点(参数)说明13ftp服务(可选)禁止文件上传服务14sendmail服务禁止邮件服务15klogin服务(可选)禁止Kerberos登录,如果站点使用Kerberos认证则启用16kshell服务(可选)禁止Kerberosshell,如果站点使用Kerberos认证则启用17ntalk服务禁止newtalk18tftp服务禁止以root用户身份运行可能危及安全19imap服务(可选)禁止邮件服务20pop3服务(可选)禁止邮件服务21telnet服务(可选)禁止远程访问服务22GUI服务(可选)禁止图形管理服务23xinetd服务(可选)启动增强系统安全1.3.5.访问控制通过对Linux系统配置参数调整,提高系统安全性,详见表15。表15Linux系统访问控制基线技术要求序号基线技术要求基线标准点(参数)说明24Umask权限022或027修改默认文件权限25关键文件权限控制1)/etc/passwd目录权限为644/etc/passwdrw-r--r—所有用户可读,root用户可写262)/etc/shadow目录权限为400/etc/shadowr--------只有root可读273)/etc/grouproot目录权限为644/etc/grouprw-r--r—所有用户可读,root用户可写28统一时间接入统一NTP服务器保障生产