XXXX農(nóng)商銀行信息系統(tǒng)安全基線技術(shù)規(guī)范

1、XXXX農(nóng)商銀行信息系統(tǒng)安全配置基線規(guī)范范圍本規(guī)范適用于xxxx農(nóng)商銀行所有信息系統(tǒng)相關(guān)主流支撐平臺設(shè)備。規(guī)范性引用文件下列文件對于本規(guī)范的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本規(guī)范。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本規(guī)范中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例中華人民共和國國家安全法中華人民共和國保守國家秘密法計算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定中華人民共和國計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定IS027001標(biāo)準(zhǔn)/IS027002指南公通字200743號GB/T21028-2007GB/T22240-2008信息安全等級保護(hù)管理辦法信息安全技

2、術(shù)服務(wù)器安全技術(shù)要求GB/T20269-2006GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全管理要求信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南術(shù)語和定義安全基線：指針對IT設(shè)備的安全特性，選擇合適的安全控制措施，定義不同IT設(shè)備的最低安全配置要求，則該最低安全配置要求就稱為安全基線。管理信息大區(qū)：發(fā)電企業(yè)、電網(wǎng)企業(yè)、供電企業(yè)內(nèi)部基于計算機(jī)和網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)，原則上劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)可以分為控制區(qū)（安全區(qū)I）和非控制區(qū)（安全區(qū)II）;管理信息大區(qū)內(nèi)部在不影響生產(chǎn)控制大區(qū)安全的前提下，可以根據(jù)各企業(yè)不同安全要求劃分安全區(qū)。

3、根據(jù)應(yīng)用系統(tǒng)實(shí)際情況，在滿足總體安全要求的前提下，可以簡化安全區(qū)的設(shè)置，但是應(yīng)當(dāng)避免通過廣域網(wǎng)形成不同安全區(qū)的縱向交叉連接?？倓t指導(dǎo)思想圍繞公司打造經(jīng)營型、服務(wù)型、一體化、現(xiàn)代化的國內(nèi)領(lǐng)先、國際著名企業(yè)的戰(zhàn)略總體目標(biāo)，為切實(shí)踐行南網(wǎng)方略，保障信息化建設(shè)，提高信息安全防護(hù)能力，通過規(guī)范IT主流設(shè)備安全基線，建立公司管理信息大區(qū)IT主流設(shè)備安全防護(hù)的最低標(biāo)準(zhǔn)，實(shí)現(xiàn)公司IT主流設(shè)備整體防護(hù)的技術(shù)措施標(biāo)準(zhǔn)化、規(guī)范化、指標(biāo)化。目標(biāo)管理信息大區(qū)內(nèi)IT主流設(shè)備安全配置所應(yīng)達(dá)到的安全基線規(guī)范，主要包括針對AIX系統(tǒng)、Windows系統(tǒng)、Linux系統(tǒng)、HPUNIX系統(tǒng)、Oracle數(shù)據(jù)庫系統(tǒng)、MSSQL數(shù)據(jù)庫

4、系統(tǒng),WEBLogic中間件、ApacheHTTPServer中間件、Tomcat中間件、IIS中間件、Cisco路由器/交換機(jī)、華為網(wǎng)絡(luò)設(shè)備、Cisco防火墻、Juniper防火墻和Nokia防火墻等的安全基線設(shè)置規(guī)范。通過該規(guī)范的實(shí)施，提升管理信息大區(qū)內(nèi)的信息安全防護(hù)能力。安全基線技術(shù)要求5.1操作系統(tǒng)AIX系統(tǒng)安全基線技術(shù)要求設(shè)備管理應(yīng)通過配置系統(tǒng)安全管理工具，預(yù)防遠(yuǎn)程訪問服務(wù)攻擊或非授權(quán)訪問，提高主機(jī)系統(tǒng)遠(yuǎn)程管理安全?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明管理遠(yuǎn)程工具安裝SSHOpenSSH為遠(yuǎn)程管理高安全性工具，可保護(hù)管理過程中傳輸數(shù)據(jù)的安全訪問控制安裝TCPWrapper，配置/etc

5、/hostsallow,/etc/hosts.deny配置本機(jī)訪問控制列表，提高對主機(jī)系統(tǒng)訪問控制用戶賬號與口令安全應(yīng)通過配置用戶賬號與口令安全策略，提高主機(jī)系統(tǒng)賬戶與口令安全?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明限制系統(tǒng)無用的默認(rèn)賬號登錄DaemonBinSysAdmUucpNuucpLpdImnadmLdapLpSnappinvscout清理多余用戶賬號，限制系統(tǒng)默認(rèn)賬號登錄，同時，針對需要使用的用戶，制訂用戶列表進(jìn)行妥善保存root遠(yuǎn)程登錄禁止禁止root遠(yuǎn)程登錄基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明1)maxrepeats=31）口令中某一字符最多只能重復(fù)3次2)minlen=82）口令最短

6、為8個字符3)minalpha=43）口令中最少包含4個字母字符4)minother=l4）口令中最少包含一個非字母數(shù)字字符口令策略5)mindiff=45）新口令中最少有4個字符和舊口令不同6)minage=16）口令最小使用壽命1周7)maxage=25(可選)7）口令的最大壽命25周8)histsize=108）口令不重復(fù)的次數(shù)10次FTP用戶賬號控制/etc/ftpusers禁止root用戶使用FTP日志與審計應(yīng)對系統(tǒng)的日志進(jìn)行安全控制與管理，保護(hù)日志的安全與有效性?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明日志記錄記錄authlog、wtmp.log、sulog、failedlogin記錄必

7、需的日志信息，以便進(jìn)行審計日志存儲（可選）日志必須存儲在日志服務(wù)器中使用日志服務(wù)器接受與存儲主機(jī)日志日志保存要求2個月日志必須保存2個月日志系統(tǒng)配置文件保護(hù)文件屬性400（管理員賬號只讀）修改日志配置文件（syslog.conf）權(quán)限為400日志文件保護(hù)文件屬性400（管理員賬號只讀）修改日志文件authlog、wtmp.log、sulog、failedlogin的權(quán)限為400服務(wù)優(yōu)化應(yīng)提高系統(tǒng)服務(wù)安全，優(yōu)化系統(tǒng)資源基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明Finger服務(wù)禁止Finger允許遠(yuǎn)程查詢登陸用戶信息telnet服務(wù)禁止遠(yuǎn)程訪問服務(wù)ftp服務(wù)（可選）禁止文件上傳服務(wù)（需要經(jīng)過批準(zhǔn)才啟用）s

8、endmail服務(wù)（可選）禁止郵件服務(wù)Time服務(wù)禁止遠(yuǎn)程查詢登陸用戶信息服務(wù)Echo服務(wù)禁止網(wǎng)絡(luò)測試服務(wù)，回顯字符串，為“拒絕服務(wù)”攻擊提供機(jī)會，除非正在測試網(wǎng)絡(luò)，否則禁用基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明Discard服務(wù)禁止網(wǎng)絡(luò)測試服務(wù)，丟棄輸入，為“拒絕服務(wù)”攻擊提供機(jī)會，除非正在測試網(wǎng)絡(luò)，否則禁用Daytime服務(wù)禁止網(wǎng)絡(luò)測試服務(wù)，顯示時間，為“拒絕服務(wù)”攻擊提供機(jī)會，除非正在測試網(wǎng)絡(luò)，否則禁用Chargen服務(wù)禁止網(wǎng)絡(luò)測試服務(wù)，回應(yīng)隨機(jī)字符串，為“拒絕服務(wù)”攻擊提供機(jī)會，除非正在測試網(wǎng)絡(luò)，否則禁用comsat服務(wù)禁止comsat通知接收的電子郵件，以root用戶身份運(yùn)行，因此涉及安

9、全性，很少需要的，禁用klogin服務(wù)（可選）禁止Kerberos登錄，如果您的站點(diǎn)使用Kerberos認(rèn)證則啟用（需要經(jīng)過批準(zhǔn)才啟用）kshell服務(wù)（可選）禁止Kerberosshell，如果您的站點(diǎn)使用Kerberos認(rèn)證則啟用（需要經(jīng)過批準(zhǔn)才啟用）ntalk服務(wù)禁止ntalk允許用戶相互交談，以root用戶身份運(yùn)行，除非絕對需要，否則禁用talk服務(wù)禁止在網(wǎng)上兩個用戶間建立分區(qū)屏幕，不是必需服務(wù)，與talk命令一起使用，在端口517提供UDP服務(wù)tftp服務(wù)禁止以root用戶身份運(yùn)行并且可能危及安全uucp服務(wù)禁止除非有使用UUCP的應(yīng)用程序，否則禁用dtspc服務(wù)（可選）禁止CDE子

10、過程控制，不用圖形管理則禁用安全防護(hù)應(yīng)對系統(tǒng)安全配置參數(shù)進(jìn)行調(diào)整，提高系統(tǒng)安全基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明Umask權(quán)限022修改默認(rèn)文件權(quán)限控制用戶登錄會話設(shè)置為600秒設(shè)置超時時間，控制用戶登錄會話其他應(yīng)對關(guān)鍵文件進(jìn)行權(quán)限調(diào)整，提高關(guān)鍵文件的安全?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明關(guān)鍵文件的安全保護(hù)/etc/passwd/etc/group/etc/security目錄設(shè)置passwd、group、security等關(guān)鍵文件和目錄的權(quán)限Windows系統(tǒng)安全基線技術(shù)要求補(bǔ)丁管理應(yīng)使Windows操作系統(tǒng)的補(bǔ)丁達(dá)到管理基線?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明安全服務(wù)包win2003SP

11、2,win2000SP4安裝微軟最新的安全服務(wù)包安全補(bǔ)丁更新到最新補(bǔ)丁更新至最新用戶賬號與口令安全應(yīng)配置用戶賬號與口令安全策略，提高主機(jī)系統(tǒng)賬戶與口令安全?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明密碼必須符合復(fù)雜性要求（可選）啟用密碼安全策略密碼長度最小值8密碼安全策略密碼最長使用期限（可選）180天密碼安全策略密碼最短使用期限1天密碼安全策略強(qiáng)制密碼歷史5次密碼安全策略復(fù)位帳戶鎖定計數(shù)器3分鐘帳戶鎖定策略帳戶鎖定時間5分鐘帳戶鎖定策略帳戶鎖定閥值5次無效登錄帳戶鎖定策略guest賬號禁止禁用guest用戶使用administrator(可選)重命名加強(qiáng)administrator使用帳號檢查與管理禁

12、用無需使用帳號禁用無需使用帳號日志與審計應(yīng)對系統(tǒng)的日志進(jìn)行安全控制與管理，保護(hù)日志的安全與有效性。基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明審核帳號登錄事件成功與失敗日志審核策略審核帳號管理成功與失敗日志審核策略審核目錄服務(wù)訪問成功日志審核策略基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明審核登錄事件成功與失敗日志審核策略審核對象訪問無審核日志審核策略審核策略更改成功與失敗日志審核策略審核特權(quán)使用無審核日志審核策略審核過程跟蹤無審核日志審核策略審核系統(tǒng)事件成功日志審核策略應(yīng)用日志50T024M最大日志容量安全日志50T024M最大日志容量系統(tǒng)日志50-1024M最大日志容量日志存儲（可選）指定日志服務(wù)器日志存儲在

13、日志服務(wù)器中日志保存要求2個月日志必須保存2個月服務(wù)優(yōu)化應(yīng)提高系統(tǒng)服務(wù)安全，優(yōu)化系統(tǒng)資源?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明Alerter服務(wù)禁止Clipbook服務(wù)禁止ComputerBrowser禁止Messenger禁止RemoteRegistryService禁止RoutingandRemoteAccess禁止SimpleMailTrasferProtocol（SMTP）（可選）禁止SimpleNetworkManagementProtocol（SNMP）Service（可選）禁止若網(wǎng)管需要可開放該服務(wù)，但需修改缺省SNMP團(tuán)體名和僅對指定管理IP開放。SimpleNetworkMan

14、agementProtocol（SNMP）Trap（可選）禁止Telnet禁止禁止WorldWideWebPublishingService（可選）基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明PrintSpoolerAutomaticUpdatesTerminalService禁止禁止禁止安全防護(hù)應(yīng)通過對系統(tǒng)配置參數(shù)調(diào)整，提高系統(tǒng)安全?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明文件系統(tǒng)格式NTFS指定磁盤NTFS文件系統(tǒng)桌面屏保3分鐘桌面屏保設(shè)置為3分鐘防病毒軟件安裝防病毒軟件安裝防病毒軟件防病毒代碼庫及時更新更新到最新版本文件共享（可選）控制原則上禁止配置文件共享，但因工作需要必須配置共享，須設(shè)置帳戶與口令系

15、統(tǒng)自帶防火墻（可選）啟用啟用默認(rèn)共享禁止IPC$、ADMIN$、C$、。$等禁止網(wǎng)絡(luò)訪問：不允許匿名枚取SAM帳號與共享啟用安全控制選項優(yōu)化網(wǎng)絡(luò)訪問：不允許匿名枚取ASM帳號啟用安全控制選項優(yōu)化交互式登錄：不顯示上次的用戶名啟用安全控制選項優(yōu)化控制驅(qū)動器自動運(yùn)行禁止禁止自動運(yùn)行控制在藍(lán)屏后自動啟動機(jī)器禁止禁止藍(lán)屏后自動啟動機(jī)器Linux系統(tǒng)安全基線技術(shù)要求設(shè)備管理應(yīng)配置系統(tǒng)安全管理工具，預(yù)防遠(yuǎn)程訪問服務(wù)攻擊或非授權(quán)訪問，提高主機(jī)系統(tǒng)遠(yuǎn)程管理安全?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明管理遠(yuǎn)程工具安裝SSHOpenSSH為遠(yuǎn)程管理高安全性工具，可保護(hù)管理過程中傳輸數(shù)據(jù)的安全,linux當(dāng)前版本都已默

16、認(rèn)安裝訪問控制配置/etc/hosts.allow、/etc/hosts.deny配置本機(jī)訪問控制列表，提高主機(jī)系統(tǒng)安全訪問用戶賬號與口令安全應(yīng)配置用戶賬號與口令安全策略，提高主機(jī)系統(tǒng)賬戶與口令安全。基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明限制系統(tǒng)無用的默認(rèn)帳號登錄DaemonBinSysAdmUucpLpnobody清理多余用戶帳號，限制系統(tǒng)默認(rèn)帳號登錄，同時，針對需要使用的用戶，制訂用戶列表進(jìn)行妥善保存root遠(yuǎn)程登錄禁止禁止root遠(yuǎn)程登錄口令策略PASS_MAX_DAYS180(可選)PASS_MIN_DAYS1PASS_WARN_AGE28PASS_MIN_LEN8a）密碼使用最長期限為1

17、80天b）密碼1天之內(nèi)不能更改c）密碼過期之前28天提示修改d）密碼長度最小8位字符控制用戶登錄會話設(shè)置為600秒設(shè)置超時時間，控制用戶登錄會話FTP用戶帳號控制/etc/ftpusers禁止root用戶使用FTP日志與審計應(yīng)對系統(tǒng)的日志進(jìn)行安全控制與管理，保護(hù)日志的安全與有效性。基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明捕獲authpriv消息authpriv日志記錄有關(guān)安全方面日志消息（如網(wǎng)絡(luò)設(shè)備啟動、usermod、change等）日志存儲（可選）指定日志服務(wù)器使用日志服務(wù)器接受與存儲主機(jī)日志日志保存要求2個月日志必須保存2個月基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明日志系統(tǒng)配置文件保護(hù)文件屬性400

18、（管理員賬號只讀）修改日志配置文件（syslog.conf）權(quán)限為400服務(wù)優(yōu)化應(yīng)提高系統(tǒng)服務(wù)安全，優(yōu)化系統(tǒng)資源基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明telnet服務(wù)禁止遠(yuǎn)程訪問服務(wù)ftp服務(wù)（可選）禁止文件上傳服務(wù)（需要經(jīng)過批準(zhǔn)才啟用）sendmail服務(wù)（可選）禁止郵件服務(wù)klogin服務(wù)禁止Kerberos登錄，如果您的站點(diǎn)使用Kerberos認(rèn)證則啟用（需要經(jīng)過批準(zhǔn)才啟用）kshell服務(wù)禁止Kerberosshell，如果您的站點(diǎn)使用Kerberos認(rèn)證則啟用（需要經(jīng)過批準(zhǔn)才啟用）ntalk服務(wù)禁止newtalktftp服務(wù)禁止以root用戶身份運(yùn)行并且可能危及安全imap服務(wù)（可選）禁

19、止郵件服務(wù)pop3服務(wù)（可選）禁止郵件服務(wù)GUI服務(wù)（可選）禁止圖形管理服務(wù)Xwindows服務(wù)（可選）禁止通用的windows界面xinetd啟動服務(wù)（可選）禁止系統(tǒng)自動啟動服務(wù)：nfs、nfslock、autofs、ypbindypserv、yppasswdd、portmapsmb、netfs、lpd、apachehttpd、tux、snmpd、namedpostgresql、mysqld、webmin、kudzu、squid、cups、ip6tablesiptables、pcmcia、bluetoothNSResponder、apmd、avahi-daemoncanna、cups-con

20、fig-daemonFreeWnn、gpm、hidd等安全防護(hù)應(yīng)對Linux系統(tǒng)配置參數(shù)調(diào)整，提高系統(tǒng)安全?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明Umask權(quán)限022修改默認(rèn)文件權(quán)限敏感文件安全保護(hù)/etc/passwd/etc/group/etc/shadow保護(hù)口令文件HPUNIX系統(tǒng)安全基線技術(shù)要求設(shè)備管理應(yīng)配置系統(tǒng)安全管理工具，預(yù)防遠(yuǎn)程訪問服務(wù)攻擊或非授權(quán)訪問，提高主機(jī)系統(tǒng)遠(yuǎn)程管理安全。基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）說明管理遠(yuǎn)程工具安裝SSHOpenSSH為遠(yuǎn)程管理高安全性工具，可保護(hù)管理過程中傳輸數(shù)據(jù)的安全訪問控制工具安裝tcp_wrappersTCP_Wrappers為訪問控制組件，通過配置訪問控制列表，限制利用SSH訪問主機(jī)控制遠(yuǎn)程管理配置訪問管理IP允許系統(tǒng)管理員IP可訪問SSH服務(wù)用戶賬號與口令安全應(yīng)配