基线技术要求 基线标准点(参数) 删除示例域 防止已知攻击 说明 连接会话超时控制5分钟 (10.3版本) 在服务器console管理中浏览器与服务数据传输安全 SSL密码 器传输信息配置SSL 服务端口 修改默认端口 默认服务端口TCP7001修改为其它端口 通过禁用”Hostname Verification SSL保护 启用主机名校验 Ignored”保护SSL中间人攻击 通过禁用配置文件“Send Server Banner信息 禁止发送服务标识 Header”,防止信息泄漏 设置超时时间,控制用户登录会话 5.3.1.5 其它内容
应限制服务器的Socket数量。
基线技术要求 基线标准点(参数) 说明 限制应用服务器Socket数量 服务器Socket数量 Maximum Open Sockets=250 5.3.2 Apache HTTP Server中间件安全基线技术要求 5.3.2.1 用户账号与口令安全
应配置用户账号与口令安全策略,提高系统账户与口令安全。
基线技术要求 优化WEB服务账号 基线标准点(参数) 建立新的用户、组作为Apache的服务帐号 组 说明 为WEB服务提供唯一、最小权限的用户与5.3.2.2 日志与审计
应对系统的日志进行安全控制与管理,保护日志的安全与有效性。
基线技术要求 日志级别 错误日志及记录 访问日志 combined 日志保存要求 2个月 日志必须保存2个月 notice ErrorLog /var/log/httpd/error_log CustomLog /var/log/httpd/access_log 配置访问日志文件名及位置 基线标准点(参数) 说明 采用notice日志级别 错误日志保存 5.3.2.3 服务优化
应提高系统服务安全,优化系统资源。
基线技术要求 精简系统模块 基线标准点(参数) 禁用不需要的模块 说明 禁止安装无需使用的模块 5.3.2.4 安全防护
应通过对Apache的配置调整,提高系统安全。
基线技术要求 禁止目录遍历 隐藏版本信息 关闭服务器生成页面的页脚中版本信息 连接超时优化 错误信息自定义 文件 设置为30秒 自定义400 401 403 404 405 500错误修改错误文件信息,防止信息泄漏 拒绝服务防护 基线标准点(参数) 修改参数文件,禁止目录遍历 关闭服务器应答头中的版本信息 防止软件版本信息泄漏 说明 禁止遍历操作系统目录 5.3.2.5 其它内容
应加强文件的权限,提高文件的安全。
基线技术要求 权限增强 无权限 止未授权访问 基线标准点(参数) 设置配置文件为属主可读写,其他用户说明 严格设置配置文件和日志文件的权限,防5.3.3 Tomcat中间件安全基线技术要求 5.3.3.1 用户账号与口令安全
应配置用户账号与口令安全策略,提高系统账户与口令安全。
基线技术要求 修改默认口令 基线标准点(参数) 修改默认口令或禁用默认账号 说明 提高账号口令安全 为WEB服务提供唯一、最小权限的用户与优化WEB服务账号 以Tomcat用户运行服务 组,增强安全性 防止恶意用户telnet到8005端口后,发设置SHUTDOWN字符串 设置shutdown为复杂的字符串 送SHUTDOWN命令停止Tomcat服务 5.3.3.2 日志与审计
应对系统的日志进行安全控制与管理,保护日志的安全与有效性。
基线技术要求 访问日志审计 日志保存要求 基线标准点(参数) 增加访问日志审计 2个月 说明 记录错误信息和访问信息 日志必须保存2个月 5.3.3.3 安全防护
应对系统的配置进行调整,提高系统安全。
基线技术要求 隐藏版本信息 禁止目录遍历 错误信息自定义 基线标准点(参数) 去掉版本信息文件中的版本信息 修改参数文件,禁止目录遍历 自定义400 403 404 500错误文件 说明 防止软件版本信息泄漏 禁止遍历操作系统目录 修改错误文件信息内容,防止信息泄漏 5.3.4 IIS中间件安全基线技术要求 5.3.4.1 安全配置
应通过对系统的参数进行配置,提高系统安全。
基线技术要求 IIS缺省安装文件 基线标准点(参数) 删除不需要使用默认安装文件 安全 对默认服务进行优化,提升系统安全性和IIS服务配置 IIS安全配置 卸载不需要的IIS服务 资源利用效率 超时设置为120秒 通过对配置调整,提高系统安全 说明 删除部分安装缺省文件或目录,加强IIS5.3.4.2 日志与审计
应对系统的日志进行安全控制与管理,保护日志的安全与有效性。
基线技术要求 日志审计 日志保存要求 基线标准点(参数) 启用IIS日志 信息 2个月 日志必须保存2个月 说明 启用IIS日志记录,记录详细的IIS日志5.3.4.3 其他内容
应最小化脚本映射,达到减少被脚本攻击的风险。
基线技术要求 最小化脚本映射配置(可选) 基线标准点(参数) 删除.cdx和.cer 减少服务器脚本攻击的风险 说明
5.4 路由器/交换机
5.4.1 Cisco 路由器/交换机安全基线技术要求 5.4.1.1 设备管理
应配置设备管理服务,预防远程访问服务攻击或非授权访问,提高网络设备远程管理安全。
基线技术要求 远程管理服务 认证方式 管理IP地址控制 console端口管理 基线标准点(参数) 启用ssh服务 说明 采用ssh服务代替telnet服务管理网络设备,提高设备管理安全性 采用本地认证 允许管理员IP地址 启用设备本地认证 配置访问控制列表,只允许管理员IP或网段能访问网络设备管理服务 console口令认证 console需配置口令认证信息 5.4.1.2 用户账号与口令安全
应配置用户账号与口令安全策略,提高网络设备账户与口令安全。
基线技术要求 Service password密码 加密 enable密码 帐户登录空闲时间 密码长度 加密 登录超时时间5分钟 钟 8位 密码长度为8个字符 基线标准点(参数) 说明 采用service password-encryption 采用secret对密码进行加密 设置console和vty的登录超时时间5分5.4.1.3 日志与审计
应对系统的日志进行安全控制与管理,保护日志的安全与有效性。
基线技术要求 更改SNMP的团体串(可选) 转存日志(可选) 配置日志服务器 基线标准点(参数) 更改SNMP Community 说明 修改默认值public 更改SNMP主机IP 设置接受与存储日志信息 日志必须保存2个月 日志保存要求(可选) 2个月 5.4.1.4 服务优化
应提高网络设备的安全性,对设备服务进行优化。
基线技术要求 TCP、UDP Small服务 Finger服务 HTTP服务 HTTPS服务 BOOTp服务 IP Source Routing服务 ARP-Proxy服务 禁止 禁用无用服务 禁止 禁止 禁止 禁止 禁止 禁止 禁用无用服务 基线标准点(参数) 禁用无用服务 禁用无用服务 禁用无用服务 禁用无用服务 禁用无用服务 说明 基线技术要求 cdp服务(可选) FTP服务 禁止 禁止 基线标准点(参数) 禁用无用服务 禁用无用服务 说明 5.4.1.5 安全防护
应对设备配置进行调整,提高设备或网络安全性。
基线技术要求 login banner信息 NTP服务使用 BGP认证(可选) EIGRP认证(可选) OSPF认证(可选) RIPv2认证(可选) 基线标准点(参数) 修改默认值 统一NTP时间 启用 启用 启用 启用 防止信息泄露 建立统一时钟 加强路由信息安全 加强路由信息安全 加强路由信息安全 加强路由信息安全 大量的使用ICMP数据包的DoS攻击 震荡波端口 震荡波端口 Blaster端口 Slammer端口 重要服务器采用IP+MAC+端口绑定 关闭没用网络端口 说明 ICMP服务加强(可选) 数据流控制 接入层网络设备端口控制 TCP 5554 TCP 9996 TCP 4444 UDP 1434 MAC绑定 网络端口 IP+MAC+端口绑定 关闭 5.4.2 华为网络设备安全基线技术要求 5.4.2.1 设备管理
应配置设备管理服务,预防远程访问服务攻击或非授权访问,提高网络设备远程管理安全。
基线标准要求 基线技术点(参数) 说明 采用ssh服务代替telnet服务管理网络远程管理服务 启用ssh服务 设备,提高设备管理安全性,条件不具备的设备走特殊审批流程 认证方式 管理IP地址控制 console端口管理 采用本地认证 允许管理员IP地址 网段能访问网络设备管理服务 console口令认证 console需配置口令认证信息 启用设备本地认证 配置访问控制列表,只允许管理员IP或5.4.2.2 用户账号与口令安全
应配置用户账号与口令安全策略,提高网络设备账户与口令安全。