基线技术要求 p) q) r) root远程登录 基线标准点(参数) noaccess hpdb useradm 说明 禁止 PASSWORD_MAXDAYS=180(可选) PASSWORD_MINDAYS=1 PASSWORD_WARNDAYS=28 MIN_PASSWORD_LENGTH=8 禁止root远程登录 口令最长有效期为180天 口令最短有效期为1天 口令到期之前28天提示修改 口令最短为8个字符 口令10次不能重复 口令中最少有1个大写字母 口令中最少包含1个数字 口令中最少包含1个特殊字符 口令中最少包含1个小写字母 连续5次登录失败后锁定用户 口令策略 PASSWORD_HISTORY_DEPTH=10 PASSWORD_MIN_UPPER_CASE_CHARS=1 PASSWORD_MIN_DIGIT_CHARS=1 PASSWORD_MIN_SPECIAL_CHARS=1 PASSWORD_MIN_LOWER_CASE_CHARS=1 帐号策略 FTP用户帐号控制 AUTH_MAXTRIES=5 帐号登录失败锁定为10分钟 禁止非FTP账号使用 修改ftpusers文件 5.1.4.3 日志与审计
应对系统的日志进行安全控制与管理,保护日志的安全与有效性。
基线技术要求 inetd日志 ftp日志 接受远程日志 日志保存要求 日志系统配置文件文件属性400 保护 控制日志文件访问 开启 开启 禁止 2个月 基线标准点(参数) 记录日志信息 FTP日志 禁止接受网络日志 日志必须保存2个月 说明 5.1.4.4 服务优化(可选)
应提高系统服务安全,优化系统资源。
基线技术要求 echo服务 discard服务 daytime服务 chargen服务 基线标准点(参数) 禁止 禁止 禁止 禁止 字符回显测试 丢弃字符测试 时间同步 发送字符测试 说明 基线技术要求 exec服务 ntalk服务 finger服务 uucp服务 rpc.rstat服务 rpc.rusersd服务 rpc.rwalld服务 rpc.sprayd服务 rpc.cmsd服务 printer服务 kshell服务 klogin服务 nis.server服务 nis.client服务 nisplus.server服务 nisplus.client服务 sendmail服务 lp服务 tps.rc服务 pd服务 mrouted服务 rwhod服务 named服务 samba服务 cifsclient服务 基线标准点(参数) 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 说明 提供rexec远程执行命令 基于字符的聊天 用户信息查询 unix-to-unix拷贝 查询服务器内核信息 查询用户信息 用户信息通告 系统性能信息服务 CDE环境的的日历服务 打印服务 kerbores协议的shell服务 kerbores协议的login服务 nis服务端 nis客户端 禁止 nis+服务端 nis+客户端 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 SMTP服务 打印服务 打印服务 打印服务 路由服务 用户信息查询 DNS服务 windows系统文件共享 访问windows文件系统 5.1.4.5 安全防护
应对系统配置参数进行调整,提高系统安全。
基线技术要求 .netrc、 .rhosts禁用 、.shosts 文件 cron安全 控制权限为400 root拥有只读权限 该服务存在可以绕过登录 基线标准点(参数) 说明 基线技术要求 Umask权限 SNMP优化 022 基线标准点(参数) 说明 修改默认文件权限 防止信息泄漏 修改public 5.2 数据库
5.2.1 Oracle 数据库系统安全基线技术要求 5.2.1.1 用户账号与口令安全
应配置用户账号与口令安全策略,提高数据库系统账户与口令安全。
基线技术要求 数据库主机管理员控制默认主机管理员账号 帐号 oracle帐号 删除无用帐号 作为数据库主机管理员帐号 清理帐号,删除无用帐号 如 默认帐号 修改口令 DBSNMP SCOTT 修改配置参数,禁止SYSDBA远程登禁止远程登录 录 数据库SYSDBA帐号 修改配置参数,禁止SYSDBA自动登禁止自动登录 录 a) 口令策略 b) c) 帐号策略 public权限 PASSWORD_VERIFY_FUNCTION 8 PASSWORD_LIFE_TIME 180(可选) PASSWORD_REUSE_MAX 5 a) b) c) 密码复杂度8个字符 口令有效期180天 禁止使用最近5次使用的口令 基线技术点(参数) 说明 禁止使用oracle或administratorFAILED_LOGIN_ATTEMPTS 5 优化 连续5次登录失败后锁定用户 清理public各种默认权限 5.2.1.2 日志与审计
应对系统的日志进行安全控制与管理,保护日志的安全与有效性。
基线技术要求 日志审核 登录日志记录 数据库操作日志启动 (可选) 日志审计策略(可OS 选) 日志保存要求 2个月 日志必须保存2个月 日志记录在操作系统中 建立日志表,启动触发器 启用 启动 基线标准点(参数) 说明 启用数据库审计功能 建立日志表,启动触发器 基线技术要求 日志文件保护 启用 基线标准点(参数) 说明 设置访问日志文件权限 5.2.1.3 安全防护
应对系统配置参数进行调整,提高数据库系统安全。
基线技术要求 数据字典保护 问数据字典 监听程序加密 监听服务连接超时 connect_timeout_listener=10秒 服务监听端口(可在不影响应用的情况下,更改默认端口 选) 修改默认端口TCP1521 设置监听器口令 编辑listener.ora文件 设置监听器连接超时 设置监听器口令 基线标准点(参数) 启用数据字典保护 说明 限制只有SYSDBA权限的用户才能访5.2.2 MS SQL 数据库系统安全基线技术要求 5.2.2.1 用户账号与口令安全
应配置用户账号与口令安全策略,提高数据库系统账户与口令安全。
基线技术要求 administrator(可禁止登录 选) sa帐号控制(可选) 重命名 用户账号权限 口令策略(2005、须有大小写 2008版本) 须有字母与数字 加强数据库口令安全 最小化 8位字符 防止利用SA攻击 限制guest帐户对数据库的访问 禁止通过操作系统直接登录 基线标准点(参数) 说明 5.2.2.2 日志与审计
应对系统的日志进行安全控制与管理,保护日志的安全与有效性。
基线技术要求 登录日志 日志保存要求 全部 2个月 基线标准点(参数) 记录登录日志 日志必须保存2个月 说明
5.2.2.3 安全防护
应对SQL系统配置调整,提高系统安全。
基线技术要求 分离默认安装数据库 服务端口tcp1433(可选) 更改 基线标准点(参数) pubs、NorthWind 防止已知攻击 说明 防止对TCP1433端口攻击 5.3 中间件
5.3.1 WEB Logic中间件安全基线技术要求 5.3.1.1 设备管理
应配置管理控制台,提高系统远程管理安全。
基线技术要求 管理控制台(可选) 基线标准点(参数) 重命名控制台文件夹(console) 认方式访问 说明 将控制台console重命名,禁止默5.3.1.2 用户账号与口令安全
应配置用户账号与口令安全策略,提高系统账户与口令安全。
基线技术要求 口令策略 基线标准点(参数) 口令长度最小8个字符 a) 账号策略 b) c) Lockout Threshold(5) Lockout Duration(3) Lockout Reset Duration(3) 加强口令设置 失败尝试次数5次 帐号锁定时间3分钟 失败尝试时间3分钟 说明 5.3.1.3 日志与审计
应对系统的日志进行安全控制与管理,保护日志的安全与有效性。
基线技术要求 基线标准点(参数) 说明 记录相关日志 记录相关日志 日志必须保存2个月 weblogin日志记录 定义日志名称及存储位置 HTTP日志记录 日志保存要求 定义日志名称及存储位置 2个月 5.3.1.4 安全防护
应通过对Weblogic系统配置参数调整,提高系统安全。
基线技术要求 基线标准点(参数) 删除Configuration Wizard 安装优化(可选) 删除WebLogic Builder 删除jCOM 防止已知攻击 防止已知攻击 防止已知攻击 说明