2024年信息系統(tǒng)安全基線

操作系統(tǒng)安全基線技術(shù)規(guī)定AIX系統(tǒng)安全基線系統(tǒng)管理通過配置操作系統(tǒng)運維管理安全方略，提高系統(tǒng)運維管理安全性，詳見表1。表1AIX系統(tǒng)管理基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明限制超級管理員權(quán)限的顧客遠程登錄PermitRootLoginno限制root顧客遠程使用telnet登錄（可選）使用動態(tài)口令令牌登錄安裝動態(tài)口令配置本機訪問控制列表（可選）配置/etc/hosts.allow,/etc/hosts.deny安裝TCPWrapper，提高對系統(tǒng)訪問控制顧客賬號與口令通過配置操作系統(tǒng)顧客賬號與口令安全方略，提高系統(tǒng)賬號與口令安全性，詳見表2。表2AIX系統(tǒng)顧客賬戶與口令基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明限制系統(tǒng)無用默認賬號登錄daemon（禁用）bin（禁用）sys（禁用）adm（禁用）uucp（禁用）nuucp（禁用）lpd（禁用）guest（禁用）pconsole（禁用）esaadmin（禁用）sshd（禁用）清理多出顧客賬號，限制系統(tǒng)默認賬號登錄，同步，針對需要使用的顧客，制定顧客列表，并妥善保留控制顧客登錄超時時間10分鐘控制顧客登錄會話，設(shè)置超時時間口令最小長度8位口令安全方略（口令為超級顧客靜態(tài)口令）口令中至少非字母數(shù)字字符1個口令安全方略（口令為超級顧客靜態(tài)口令）信息系統(tǒng)的口令的最大周期90天口令安全方略（口令為超級顧客靜態(tài)口令）口令不反復的次數(shù)10次口令安全方略（口令為超級顧客靜態(tài)口令）曰志與審計通過對操作系統(tǒng)的曰志進行安全控制與管理，提高曰志的安全性，詳見表3。表3AIX系統(tǒng)曰志與審計基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明系統(tǒng)曰志記錄（可選）authlog、sulog、wtmp、failedlogin記錄必需的曰志信息，以便進行審計系統(tǒng)曰志存儲（可選)對接到統(tǒng)壹曰志服務(wù)器使用曰志服務(wù)器接受與存儲主機曰志，網(wǎng)管平臺統(tǒng)壹管理曰志保留規(guī)定（可選）6個月等保三級規(guī)定曰志必須保留6個月配置曰志系統(tǒng)文獻保護屬性（可選）400修改配置文獻syslog.conf權(quán)限為管理員賬號只讀修改曰志文獻保護權(quán)限（可選）400修改曰志文獻authlog、wtmp、sulog、failedlogin的權(quán)限管理員賬號只讀服務(wù)優(yōu)化通過優(yōu)化操作系統(tǒng)資源，提高系統(tǒng)服務(wù)安全性，詳見表4。表4AIX系統(tǒng)服務(wù)優(yōu)化基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明discard服務(wù)嚴禁網(wǎng)絡(luò)測試服務(wù)，丟棄輸入,為“拒絕服務(wù)”襲擊提供機會,除非正在測試網(wǎng)絡(luò)，否則禁用daytime服務(wù)嚴禁網(wǎng)絡(luò)測試服務(wù)，顯示時間,為“拒絕服務(wù)”襲擊提供機會,除非正在測試網(wǎng)絡(luò)，否則禁用chargen服務(wù)嚴禁網(wǎng)絡(luò)測試服務(wù)，回應(yīng)隨機字符串,為“拒絕服務(wù)”襲擊提供機會,除非正在測試網(wǎng)絡(luò)，否則禁用comsat服務(wù)嚴禁comsat告知接受的電子郵件，以root顧客身份運行，因此波及安全性,除非需要接受郵件，否則禁用ntalk服務(wù)嚴禁ntalk容許顧客互相交談，以root顧客身份運行，除非絕對需要，否則禁用talk服務(wù)嚴禁在網(wǎng)上兩個顧客間建立分區(qū)屏幕，不是必需服務(wù)，與talk命令壹起使用，在端口517提供UDP服務(wù)tftp服務(wù)嚴禁以root顧客身份運行并且也許危及安全ftp服務(wù)（可選）嚴禁防備非法訪問目錄風險telnet服務(wù)嚴禁遠程訪問服務(wù)uucp服務(wù)嚴禁除非有使用UUCP的應(yīng)用程序，否則禁用dtspc服務(wù)（可選）嚴禁CDE子過程控制不用圖形管理則禁用klogin服務(wù)（可選）嚴禁Kerberos登錄，假如站點使用Kerberos認證則啟用kshell服務(wù)（可選）嚴禁Kerberosshell，假如站點使用Kerberos認證則啟用訪問控制通過對操作系統(tǒng)安全權(quán)限參數(shù)進行調(diào)整，提高系統(tǒng)訪問安全性，詳見表5。表5AIX系統(tǒng)訪問控制基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明修改Umask權(quán)限022或027規(guī)定修改默認文獻權(quán)限關(guān)鍵文獻權(quán)限控制passwd、group、security的所有者必須是root和security組組員設(shè)置/etc/passwd，/etc/group，/etc/security等關(guān)鍵文獻和目錄的權(quán)限audit的所有者必須是root和audit組組員/etc/security/audit的所有者必須是root和audit組組員/etc/passwdrw-r--r--/etc/passwd目錄權(quán)限為644所有顧客可讀，root顧客可寫/etc/grouprw-r--r--/etc/grouproot目錄權(quán)限為644所有顧客可讀，root顧客可寫統(tǒng)壹時間接入統(tǒng)壹NTP服務(wù)器保障生產(chǎn)環(huán)境所有系統(tǒng)時間統(tǒng)壹Windows系統(tǒng)安全基線顧客賬號與口令通過配置操作系統(tǒng)顧客賬號與口令安全方略，提高系統(tǒng)賬號與口令安全性，詳見表6。表6Windows系統(tǒng)顧客賬號與口令基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明口令必須符合復雜性規(guī)定啟用口令安全方略（不波及終端及動態(tài)口令）口令長度最小值8位口令安全方略（不波及終端）口令最長有效期限90天口令安全方略（不波及終端）強制口令歷史10次口令安全方略（不波及終端）復位賬號鎖定計數(shù)器10分鐘賬號鎖定方略（不波及終端）賬號鎖定期間（可選）10分鐘賬號鎖定方略（不波及終端）賬號鎖定閥值（可選）10次賬號鎖定方略（不波及終端）guest賬號嚴禁禁用guest賬號administrator（可選）重命名保護administrator安全無需賬號檢查與管理禁用禁用無需使用賬號曰志與審計通過對操作系統(tǒng)曰志進行安全控制與管理，提高曰志的安全性與有效性，詳見表7。表7Windows系統(tǒng)曰志與審計基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明審核賬號登錄事件成功與失敗曰志審核方略審核賬號管理成功與失敗曰志審核方略審核目錄服務(wù)訪問成功曰志審核方略審核登錄事件成功與失敗曰志審核方略審核方略更改成功與失敗曰志審核方略審核系統(tǒng)事件成功曰志審核方略曰志存儲地址（可選）接入到統(tǒng)壹曰志服務(wù)器曰志存儲在統(tǒng)壹曰志服務(wù)器中曰志保留規(guī)定（可選）6個月等保三級規(guī)定曰志保留6個月服務(wù)優(yōu)化通過優(yōu)化系統(tǒng)資源，提高系統(tǒng)服務(wù)安全性，詳見表8。表8Windows系統(tǒng)服務(wù)優(yōu)化基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明Alerter服務(wù)嚴禁嚴禁進程間發(fā)送信息服務(wù)Clipbook（可選）嚴禁嚴禁機器間共享剪裁板上信息服務(wù)ComputerBrowser服務(wù)（可選）嚴禁嚴禁跟蹤網(wǎng)絡(luò)上壹種域內(nèi)的機器服務(wù)Messenger服務(wù)嚴禁嚴禁即時通訊服務(wù)RemoteRegistryService服務(wù)嚴禁嚴禁遠程操作注冊表服務(wù)RoutingandRemoteAccess服務(wù)嚴禁嚴禁路由和遠程訪問服務(wù)PrintSpooler（可選）嚴禁嚴禁後臺打印處理服務(wù)AutomaticUpdates服務(wù)（可選）嚴禁嚴禁自動更新服務(wù)TerminalService服務(wù)（可選）嚴禁嚴禁終端服務(wù)訪問控制通過對系統(tǒng)配置參數(shù)調(diào)整，提高系統(tǒng)安全性，詳見表9。表9Windows系統(tǒng)訪問控制基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明文獻系統(tǒng)格式NTFS磁盤文獻系統(tǒng)格式為NTFS桌面屏保10分鐘桌面屏保方略防病毒軟件安裝賽門鐵克生產(chǎn)環(huán)境安裝賽門鐵克防病毒最新版本軟件防病毒代碼庫升級時間7天文獻共享（可選）嚴禁嚴禁配置文獻共享，若工作需要必須配置共享，須設(shè)置賬號與口令系統(tǒng)自帶防火墻（可選）嚴禁嚴禁自帶防火墻默認共享IPC$、ADMIN$、C$、D$等嚴禁安全控制選項優(yōu)化不容許匿名枚取SAM賬號與共享啟用網(wǎng)絡(luò)訪問安全控制選項優(yōu)化不顯示上次的顧客名啟用交互式登錄安全控制選項優(yōu)化控制驅(qū)動器嚴禁嚴禁自動運行藍屏後自動啟動機器（可選）嚴禁嚴禁藍屏後自動啟動機器統(tǒng)壹時間接入統(tǒng)壹NTP服務(wù)器保障生產(chǎn)環(huán)境所有系統(tǒng)時間統(tǒng)壹補丁管理通過進行定期更新，減少常見的漏洞被運用，詳見表10。表10Windows系統(tǒng)補丁管理基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明安全服務(wù)包winSP2winSP1安裝微軟最新的安全服務(wù)包安全補?。蛇x）更新到最新根據(jù)實際需要更新安全補丁Linux系統(tǒng)安全基線系統(tǒng)管理通過配置系統(tǒng)安全管理工具，提高系統(tǒng)運維管理的安全性，詳見表11。表11Linux系統(tǒng)管理基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明安裝SSH管理遠程工具(可選)安裝OpenSSHOpenSSH為遠程管理高安全性工具，保護管理過程中傳播數(shù)據(jù)的安全配置本機訪問控制列表（可選）配置/etc/hosts.allow,/etc/hosts.deny安裝TCPWrapper，提高對系統(tǒng)訪問控制顧客賬號與口令通過配置Linux系統(tǒng)顧客賬號與口令安全方略，提高系統(tǒng)賬號與口令安全性，詳見表12。表12Linux系統(tǒng)顧客賬號與口令基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明嚴禁系統(tǒng)無用默認賬號登錄OperatorHaltSyncNewsUucpLpnobodyGopher嚴禁清理多出顧客賬號，限制系統(tǒng)默認賬號登錄，同步，針對需要使用的顧客，制定顧客列表進行妥善保留root遠程登錄嚴禁嚴禁root遠程登錄口令使用最長周期90天口令安全方略（超級顧客口令）口令過期提醒修改時間28天口令安全方略（超級顧客口令）口令最小長度8位口令安全方略設(shè)置超時時間10分鐘口令安全方略曰志與審計通過對Linux系統(tǒng)的曰志進行安全控制與管理，提高曰志的安全性與有效性，詳見表13。表13Linux系統(tǒng)曰志與審計基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明記錄安全曰志authpriv曰志記錄網(wǎng)絡(luò)設(shè)備啟動、usermod、change等方面曰志曰志存儲（可選）接入到統(tǒng)壹曰志服務(wù)器使用統(tǒng)壹曰志服務(wù)器接受并存儲系統(tǒng)曰志曰志保留時間6個月等保三級規(guī)定曰志必須保留6個月曰志系統(tǒng)配置文獻保護400修改配置文獻syslog.conf權(quán)限為管理員顧客只讀服務(wù)優(yōu)化通過優(yōu)化Linux系統(tǒng)資源，提高系統(tǒng)服務(wù)安全性，詳見表14。表14Linux系統(tǒng)服務(wù)優(yōu)化基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明ftp服務(wù)（可選）嚴禁文獻上傳服務(wù)sendmail服務(wù)嚴禁郵件服務(wù)klogin服務(wù)（可選）嚴禁Kerberos登錄，假如站點使用Kerberos認證則啟用kshell服務(wù)（可選）嚴禁Kerberosshell，假如站點使用Kerberos認證則啟用ntalk服務(wù)嚴禁newtalktftp服務(wù)嚴禁以root顧客身份運行也許危及安全imap服務(wù)（可選）嚴禁郵件服務(wù)pop3服務(wù)（可選）嚴禁郵件服務(wù)telnet服務(wù)(可選)嚴禁遠程訪問服務(wù)GUI服務(wù)（可選）嚴禁圖形管理服務(wù)xinetd服務(wù)（可選）啟動增強系統(tǒng)安全訪問控制通過對Linux系統(tǒng)配置參數(shù)調(diào)整，提高系統(tǒng)安全性，詳見表15。表15Linux系統(tǒng)訪問控制基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明Umask權(quán)限022或027修改默認文獻權(quán)限關(guān)鍵文獻權(quán)限控制/etc/passwd目錄權(quán)限為644/etc/passwdrw-r--r—所有顧客可讀，root顧客可寫/etc/shadow目錄權(quán)限為400/etc/shadowr--------只有root可讀/etc/grouproot目錄權(quán)限為644/etc/grouprw-r--r—所有顧客可讀，root顧客可寫統(tǒng)壹時間接入統(tǒng)壹NTP服務(wù)器保障生產(chǎn)環(huán)境所有系統(tǒng)時間統(tǒng)壹數(shù)據(jù)庫安全基線技術(shù)規(guī)定Oracle數(shù)據(jù)庫系統(tǒng)安全基線顧客賬號與口令通過配置數(shù)據(jù)庫系統(tǒng)顧客賬號與口令安全方略，提高數(shù)據(jù)庫系統(tǒng)賬號與口令安全性，詳見表16。表16Oracle系統(tǒng)顧客賬號與口令基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明Oracle無用賬號TIGERSCOTT等禁用禁用無用賬號默認管理賬號管理SYSTEMDMSYS等更改口令賬號安全方略（新系統(tǒng)）數(shù)據(jù)庫自動登錄SYSDBA賬號嚴禁賬號安全方略口令最小長度8位口令安全方略（新系統(tǒng)）口令有效期12個月新系統(tǒng)執(zhí)行此項規(guī)定嚴禁使用已設(shè)置過的口令次數(shù)10次口令安全方略曰志與審計通過對數(shù)據(jù)庫系統(tǒng)的曰志進行安全控制與管理，提高曰志的安全性與有效性，詳見表17。表17Oracle系統(tǒng)曰志與審計基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明曰志保留規(guī)定（可選）3個月曰志必須保留3個月曰志文獻保護啟用設(shè)置訪問曰志文獻權(quán)限訪問控制通過對數(shù)據(jù)庫系統(tǒng)配置參數(shù)調(diào)整，提高數(shù)據(jù)庫系統(tǒng)安全性，詳見表18。表18Oracle系統(tǒng)訪問控制基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明監(jiān)聽程序加密（可選）設(shè)置口令設(shè)置監(jiān)聽器口令（新系統(tǒng)）修改服務(wù)監(jiān)聽默認端口（可選）非TCP1521系統(tǒng)可執(zhí)行此項規(guī)定中間件安全基線技術(shù)規(guī)定Tong（TongEASY、TongLINK等）中間件安全基線顧客賬號與口令通過配置中間件顧客賬號與口令安全方略，提高系統(tǒng)賬號與口令安全，詳見表19。表19Tong顧客賬號與口令基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明優(yōu)化Tong服務(wù)賬號和應(yīng)用共用同壹顧客（可選）Tong和應(yīng)用共用同壹顧客與操作系統(tǒng)應(yīng)用顧客保持壹致曰志與審計通過對中間件的曰志進行安全控制與管理，保護曰志的安全與有效性，詳見表20。表20Tong曰志與審計基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明事務(wù)包曰志備份1.5GPktlog到達1.5G進行備份交易曰志備份1.5GTxlog到達1.5G進行備份通信管理模塊運行曰志備份1.5GTonglink.log到達1.5G進行備份系統(tǒng)曰志備份1.5Gsyslog到達1.5G進行備份名字服務(wù)曰志備份1.5GNsfwdlog到達1.5G進行備份調(diào)試曰志備份1.5GTestlog到達1.5G進行備份通信管理模塊錯誤曰志備份1.5GTonglink.err到達1.5G進行備份曰志保留時間(可選)6個月等保三級規(guī)定曰志必須保留6個月訪問控制通過配置中間件系統(tǒng)資源，提高中間件系統(tǒng)服務(wù)安全，詳見表21。表21Tong訪問控制基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明共享內(nèi)存SHMMAX：4GSHMSEG：3個以上SHMALL：12G根據(jù)不壹樣操作系統(tǒng)調(diào)整Tong的3個關(guān)鍵參數(shù)消息隊列MSGTQL：4096MSGMAX：8192MSGMNB：16384設(shè)置Tong關(guān)鍵應(yīng)用系統(tǒng)程序進行數(shù)據(jù)傳遞參數(shù)信號燈Maxuproc：1000以上SEMMSL：13以上SEMMNS：26以上設(shè)置Tong信號燈參數(shù)進程數(shù)NPROC：以上MAXUP：1000以上設(shè)置同步運行進程數(shù)參數(shù)服務(wù)器應(yīng)答頭中的版本信息關(guān)閉隱藏版本信息，防止軟件版本信息泄漏安全防護通過對中間件配置參數(shù)調(diào)整，提高中間件系統(tǒng)安全，詳見表22。表22Tong安全防護基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明數(shù)據(jù)傳播安全根據(jù)應(yīng)用需求設(shè)置加密標識根據(jù)應(yīng)用需求保護數(shù)據(jù)傳播安全守護進程安全tldtmmonitmrcvtmsnd通信管理模塊、運行監(jiān)控、接受處理、發(fā)送處理守護進程處在常開狀態(tài)，隨時處理應(yīng)用程序的祈求補丁管理通過對Tong的補丁進行定期更新，到達管理基線，防止常見的漏洞被運用，詳見表23。表23Tong補丁管理基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明安全補?。蛇x）根據(jù)實際需要更新根據(jù)實際需要更新安全補丁Tong4.2、Tong4.5、Tong4.6合用于AIX5.3以上版本Apache中間件安全基線顧客賬號與口令通過配置中間件顧客賬號與口令安全方略，提高系統(tǒng)賬號與口令安全性，詳見表24。表24Apache顧客賬號與口令基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明優(yōu)化WEB服務(wù)賬號新建Apache可訪問80端口顧客賬號使用WAS中間件顧客安裝，root顧客啟動曰志與審計通過對中間件的曰志進行安全控制與管理，提高曰志的安全性與有效性，詳見表25。表25Apache曰志與審計基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明曰志級別（可選）Info采用Info曰志級別，分析問題時采用更高曰志級別錯誤曰志及記錄ErrorLog配置錯誤曰志文獻名及位置訪問曰志（可選）CustomLog配置訪問曰志文獻名及位置服務(wù)優(yōu)化通過優(yōu)化中間件系統(tǒng)資源，提高中間件系統(tǒng)服務(wù)安全性，詳見表26。表26Apache服務(wù)優(yōu)化基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明無用模塊禁用禁用無用模塊安全防護通過對中間件配置參數(shù)調(diào)整，提高中間件系統(tǒng)安全性，詳見表27。表27Apache安全防護基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明遍歷操作系統(tǒng)目錄（可選）嚴禁修改參數(shù)文獻，嚴禁目錄遍歷服務(wù)器應(yīng)答頭中的版本信息關(guān)閉隱藏版本信息，防止軟件版本信息泄漏服務(wù)器生成頁面的頁腳中版本信息關(guān)閉不顯示服務(wù)器默認歡迎頁面WAS中間件安全基線顧客賬號與口令通過配置顧客賬號與口令安全方略，提高系統(tǒng)賬號與口令安全性，詳見表28。表28WAS顧客賬號與口令基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明賬號安全方略按照操作系統(tǒng)賬號管理規(guī)范執(zhí)行符合應(yīng)用系統(tǒng)運行規(guī)定口令安全方略按照操作系統(tǒng)口令管理規(guī)范執(zhí)行符合應(yīng)用系統(tǒng)運行規(guī)定曰志與審計通過對系統(tǒng)的曰志進行安全控制與管理，提高曰志的安全性與有效性，詳見表29。表29WAS曰志與審計基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明故障曰志啟動記錄有關(guān)曰志記錄級別Info記錄有關(guān)曰志級別服務(wù)優(yōu)化通過優(yōu)化系統(tǒng)資源，提高系統(tǒng)服務(wù)安全性，詳見表30。表30WAS服務(wù)優(yōu)化基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明fileserving服務(wù)嚴禁啟動顧客也許非法瀏覽應(yīng)用服務(wù)器目錄和文獻配置config和properties目錄權(quán)限755config和properties目錄權(quán)限不妥存在安全隱患安全防護通過對系統(tǒng)配置參數(shù)調(diào)整，提高系統(tǒng)安全性，詳見表31。表31WAS安全防護基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明刪除sample例子程序刪除示例域防止已知襲擊連接會話超時控制10分鐘設(shè)置超時時間，控制顧客登錄會話數(shù)據(jù)傳播安全加密傳送在服務(wù)器console管理中瀏覽器與服務(wù)器傳播信息配置SSL設(shè)置控制臺會話最長時間30分鐘控制臺會話timeout低于30分鐘補丁管理通過進行定期更新，到達管理基線，減少常見的的漏洞被運用，詳見表32。表32WAS補丁管理基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明安全補丁（可選）按照系統(tǒng)管理室年度版本執(zhí)行根據(jù)應(yīng)用系統(tǒng)實際狀況選擇網(wǎng)絡(luò)設(shè)備安全基線技術(shù)規(guī)定Cisco路由器/互換機安全基線系統(tǒng)管理通過配置網(wǎng)絡(luò)設(shè)備管理，提高系統(tǒng)運維管理安全性，詳見表33。表33Cisco系統(tǒng)管理基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明遠程ssh服務(wù)（可選）啟用采用ssh服務(wù)替代telnet服務(wù)管理網(wǎng)絡(luò)設(shè)備，提高設(shè)備管理安全性認證方式tacas/radius認證啟用設(shè)備認證非管理員IP地址嚴禁配置訪問控制列表，只容許管理員IP或網(wǎng)段能訪問網(wǎng)絡(luò)設(shè)備管理服務(wù)配置console端口口令認證console需配置口令認證信息統(tǒng)壹時間接入統(tǒng)壹NTP服務(wù)器保障生產(chǎn)環(huán)境所有設(shè)備時間統(tǒng)壹顧客賬號與口令通過配置網(wǎng)絡(luò)設(shè)備顧客賬號與口令安全方略，提高系統(tǒng)賬號與口令安全性，詳見表34。表34Cisco顧客賬號與口令基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明Servicepassword口令加密采用servicepassword-encryptionenable口令加密采用secret對口令進行加密賬號登錄空閑超時時間5分鐘設(shè)置console和vty的登錄超時時間5分鐘口令最小長度8位口令長度為8個字符曰志與審計通過對網(wǎng)絡(luò)設(shè)備的曰志進行安全控制與管理，提高曰志的安全性與有效性，詳見表35。表35Cisco曰志與審計基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明更改SNMP的團體串（可選）更改SNMPCommunity修改默認值public更改SNMP主機IP系統(tǒng)曰志存儲對接到網(wǎng)管曰志服務(wù)器使用曰志服務(wù)器接受與存儲主機曰志，網(wǎng)管平臺統(tǒng)壹管理曰志保留規(guī)定6個月等保三級規(guī)定曰志必須保留6個月服務(wù)優(yōu)化通過優(yōu)化網(wǎng)絡(luò)設(shè)備，提高系統(tǒng)服務(wù)安全性，詳見表36。表36Cisco服務(wù)優(yōu)化基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明TCP、UDPSmall服務(wù)（可選）嚴禁禁用無用服務(wù)Finger服務(wù)嚴禁禁用無用服務(wù)HTTP服務(wù)嚴禁禁用無用服務(wù)HTTPS服務(wù)嚴禁禁用無用服務(wù)BOOTp服務(wù)嚴禁禁用無用服務(wù)IPSourceRouting服務(wù)嚴禁禁用無用服務(wù)ARP-Proxy服務(wù)嚴禁禁用無用服務(wù)cdp服務(wù)（可選）嚴禁禁用無用服務(wù)(只合用于邊界設(shè)備)FTP服務(wù)（可選）嚴禁禁用無用服務(wù)訪問控制通過對設(shè)備配置進行調(diào)整，提高設(shè)備或網(wǎng)絡(luò)安全性，詳見表37。表37Cisco訪問控制基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明loginbanner信息修改默認值為警示語默認值不為空BGP認證（可選）啟用加強路由信息安全EIGRP認證（可選）啟用加強路由信息安全OSPF認證（可選）啟用加強路由信息安全RIPv2認證（可選）啟用加強路由信息安全MAC綁定（可選）IP+MAC+端口綁定重要服務(wù)器采用IP+MAC+端口綁定網(wǎng)絡(luò)端口AUX（可選）關(guān)閉關(guān)閉沒用網(wǎng)絡(luò)端口H3C路由器/互換機安全基線系統(tǒng)管理通過配置網(wǎng)絡(luò)設(shè)備管理，防止遠程訪問服務(wù)襲擊或非授權(quán)訪問，提高網(wǎng)絡(luò)設(shè)備遠程管理安全性，詳見表38。表38H3C系統(tǒng)管理基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明遠程ssh服務(wù)（可選）啟用采用ssh服務(wù)替代telnet服務(wù)管理網(wǎng)絡(luò)設(shè)備，提高設(shè)備管理安全性認證方式tacas/radius認證啟用設(shè)備認證非管理員IP地址嚴禁配置訪問控制列表，只容許管理員IP或網(wǎng)段能訪問網(wǎng)絡(luò)設(shè)備管理服務(wù)配置console端口口令認證console需配置口令認證信息統(tǒng)壹時間接入統(tǒng)壹NTP服務(wù)器保障生產(chǎn)環(huán)境所有設(shè)備時間統(tǒng)壹顧客賬號與口令通過配置顧客賬號與口令安全方略，提高系統(tǒng)賬號與口令安全，詳見表39。表39H3C顧客賬號與口令基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明system口令加密方式采用cipher對口令進行加密賬號登錄空閑超時時間5分鐘設(shè)置console和vty的登錄超時時間5分鐘口令最小長度8位口令安全方略曰志與審計通過對網(wǎng)絡(luò)設(shè)備的曰志進行安全控制與管理，提高曰志的安全性與有效性，詳見表40。表40H3C曰志與審計基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明系統(tǒng)曰志接入到網(wǎng)管曰志服務(wù)器使用網(wǎng)管平臺統(tǒng)壹曰志服務(wù)器接受與存儲曰志保留規(guī)定6個月等保三級規(guī)定曰志必須保留6個月服務(wù)優(yōu)化通過優(yōu)化網(wǎng)絡(luò)設(shè)備資源，提高設(shè)備服務(wù)安全性，詳見表41。表41H3C服務(wù)優(yōu)化基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明http服務(wù)禁用關(guān)閉弱服務(wù)FTP服務(wù)（可選）嚴禁禁用Ftp服務(wù)訪問控制通過對網(wǎng)絡(luò)設(shè)備配置參數(shù)調(diào)整，提高設(shè)備安全性，詳見表42。表42H3C訪問控制基線技術(shù)規(guī)定序號基線技術(shù)規(guī)定基線原則點（參數(shù)）闡明BGP認證（可選）啟用加強路由信息安全OSPF認證（可選）啟用