基线技术要求 审核登录事件 审核对象访问 审核策略更改 审核特权使用 审核过程跟踪 审核系统事件 应用日志 安全日志 系统日志 日志存储(可选) 日志保存要求 基线标准点(参数) 成功与失败 无审核 成功与失败 无审核 无审核 成功 50-1024M 50-1024M 50-1024M 指定日志服务器 2个月 日志审核策略 日志审核策略 日志审核策略 日志审核策略 日志审核策略 日志审核策略 最大日志容量 最大日志容量 最大日志容量 说明 日志存储在日志服务器中 日志必须保存2个月 5.1.2.4 服务优化
应提高系统服务安全,优化系统资源。
基线技术要求 Alerter 服务 Clipbook 服务 Computer Browser 禁止 基线标准点(参数) 禁止 禁止 说明 Messenger Remote Registry Service Routing and Remote Access Simple Mail Trasfer 禁止 禁止 禁止 禁止 Protocol(SMTP) (可选) Simple Network Management Protocol(SNMP) Service (可选) Simple Network Management Protocol(SNMP) Trap (可选) 禁止 禁止 若网管需要可开放该服务,但需修改缺省SNMP团体名和仅对指定管理IP开放。 Telnet World Wide Web Publishing Service (可选) 禁止 禁止 基线技术要求 Print Spooler 基线标准点(参数) 禁止 说明 Automatic Updates 禁止 Terminal Service 禁止 5.1.2.5 安全防护
应通过对系统配置参数调整,提高系统安全。
基线技术要求 文件系统格式 桌面屏保 防病毒软件 防病毒代码库 文件共享(可选) 基线标准点(参数) NTFS 3分钟 安装防病毒软件 及时更新 控制 说明 指定磁盘NTFS文件系统 桌面屏保设置为3分钟 安装防病毒软件 更新到最新版本 原则上禁止配置文件共享,但因工作需要必须配置共享,须设置帐户与口令 系统自带防火墙(可选) 默认共享 网络访问: 不允许匿名枚取SAM帐号与共享 网络访问: 不允许匿名枚取ASM帐号 交互式登录:不显示上次的用户名 控制驱动器自动运行 控制在蓝屏后自动启动机器 禁止 禁止 禁止自动运行 禁止蓝屏后自动启动机器 启用 安全控制选项优化 启用 安全控制选项优化 禁止IPC$、ADMIN$、C$、D$等 禁止 启用 安全控制选项优化 启用 启用 5.1.3 Linux系统安全基线技术要求 5.1.3.1 设备管理
应配置系统安全管理工具,预防远程访问服务攻击或非授权访问,提高主机系统远程管理安全。
基线技术要求 基线标准点(参数) 说明 OpenSSH为远程管理高安全性工具,可保护管理过管理远程工具 安装SSH 程中传输数据的安全,linux当前版本都已默认安装 配置/etc/hosts.allow、访问控制 /etc/hosts.deny 配置本机访问控制列表,提高主机系统安全访问 5.1.3.2 用户账号与口令安全
应配置用户账号与口令安全策略,提高主机系统账户与口令安全。
基线技术要求 基线标准点(参数) a) b) c) 限制系统无用的默认d) 帐号登录 e) f) g) root远程登录 Uucp Lp nobody 禁止root远程登录 a) (可选) b) 口令策略 b) c) d) 控制用户登录会话 FTP用户帐号控制 PASS_MIN_DAYS 1 c) PASS_WARN_AGE 28 d) PASS_MIN_LEN 8 设置超时时间,控制用户登录会话 禁止root用户使用FTP 设置为600秒 /etc/ftpusers 密码长度最小8位字符 密码过期之前28天提示修改 密码1天之内不能更改 密码使用最长期限为180天 善保存 Adm 时,针对需要使用的用户,制订用户列表进行妥Daemon Bin Sys 清理多余用户帐号,限制系统默认帐号登录,同说明 禁止 a) PASS_MAX_DAYS 1805.1.3.3 日志与审计
应对系统的日志进行安全控制与管理,保护日志的安全与有效性。
基线技术要求 捕获authpriv消息 基线标准点(参数) authpriv日志 usermod、change等) 日志存储(可选) 日志保存要求 指定日志服务器 2个月 使用日志服务器接受与存储主机日志 日志必须保存2个月 说明 记录有关安全方面日志消息(如网络设备启动、基线技术要求 日志系统配置文件保护 基线标准点(参数) 文件属性400(管理员账号说明 修改日志配置文件(syslog.conf)权限为400 只读) 5.1.3.4 服务优化
应提高系统服务安全,优化系统资源。
基线技术要求 telnet 服务 ftp 服务(可选) sendmail 服务(可选) klogin 服务 证则启用(需要经过批准才启用) 禁止 kshell 服务 证则启用(需要经过批准才启用) ntalk 服务 tftp 服务 imap 服务(可选) pop3服务(可选) GUI服务(可选) X windows服务(可选) xinetd启动服务(可选) 禁止 禁止 禁止 禁止 禁止 禁止 禁止 new talk 以 root 用户身份运行并且可能危及安全 邮件服务 邮件服务 图形管理服务 通用的windows界面 系统自动启动服务: nfs、nfslock、autofs、ypbind ypserv、yppasswdd、portmap smb、netfs、lpd、apache httpd、tux、snmpd、named postgresql、mysqld、webmin、 kudzu、squid、cups、ip6tables iptables、pcmcia、bluetooth NSResponder、apmd、avahi-daemon canna、cups-config-daemon FreeWnn、gpm、hidd等 Kerberos shell,如果您的站点使用 Kerberos 认基线标准点(参数) 禁止 禁止 禁止 禁止 远程访问服务 文件上传服务(需要经过批准才启用) 邮件服务 Kerberos 登录,如果您的站点使用 Kerberos 认说明
5.1.3.5 安全防护
应对Linux系统配置参数调整,提高系统安全。
基线技术要求 Umask权限 基线标准点(参数) 022 a) /etc/passwd /etc/group /etc/shadow 说明 修改默认文件权限 敏感文件安全保护 b) c) 保护口令文件 5.1.4 HP UNIX系统安全基线技术要求 5.1.4.1 设备管理
应配置系统安全管理工具,预防远程访问服务攻击或非授权访问,提高主机系统远程管理安全。
基线技术要求 管理远程工具 基线标准点(参数) 安装SSH 程中传输数据的安全 TCP_Wrappers为访问控制组件,通过配置访问控访问控制工具 安装tcp_wrappers 制列表,限制利用SSH访问主机 控制远程管理 配置访问管理IP 允许系统管理员IP可访问SSH服务 说明 OpenSSH为远程管理高安全性工具,可保护管理过5.1.4.2 用户账号与口令安全
应配置用户账号与口令安全策略,提高主机系统账户与口令安全。
基线技术要求 a) b) c) d) e) f) g) 禁用默认无用用户 h) i) j) k) l) m) n) o) www sys smbnull iwww owww sshd hpsmh 系统管理员应根据系统的具体情况named 对默认账号进行禁用或控制 uucp nuucp adm daemon bin lp nobody 基线标准点(参数) 说明