電網(wǎng)IT主流設(shè)備安全基線技術(shù)規(guī)范

36/36范圍本規(guī)范適用于中國XXx電網(wǎng)有限責(zé)任公司及所屬單位治理信息大區(qū)所有信息系統(tǒng)相關(guān)主流支撐平臺(tái)設(shè)備。規(guī)范性引用文件下列文件關(guān)于本規(guī)范的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本規(guī)范。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本規(guī)范。——中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全愛護(hù)條例——中華人民共和國國家安全法——中華人民共和國保守國家秘密法——計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密治理規(guī)定——中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)治理暫行規(guī)定——ISO27001標(biāo)準(zhǔn)/ISO27002指南——公通字[2007]43號(hào) 信息安全等級(jí)愛護(hù)治理方法——GB/T21028-2007 信息安全技術(shù)服務(wù)器安全技術(shù)要求——GB/T20269-2006 信息安全技術(shù)信息系統(tǒng)安全治理要求——GB/T22239-2008 信息安全技術(shù)信息系統(tǒng)安全等級(jí)愛護(hù)差不多要求——GB/T22240-2008 信息安全技術(shù)信息系統(tǒng)安全等級(jí)愛護(hù)定級(jí)指南術(shù)語和定義安全基線：指針對(duì)IT設(shè)備的安全特性，選擇合適的安全操縱措施，定義不同IT設(shè)備的最低安全配置要求，則該最低安全配置要求就稱為安全基線。治理信息大區(qū)：發(fā)電企業(yè)、電網(wǎng)企業(yè)、供電企業(yè)內(nèi)部基于計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)，原則上劃分為生產(chǎn)操縱大區(qū)和治理信息大區(qū)。生產(chǎn)操縱大區(qū)能夠分為操縱區(qū)(安全區(qū)I)和非操縱區(qū)(安全區(qū)Ⅱ)；治理信息大區(qū)內(nèi)部在不阻礙生產(chǎn)操縱大區(qū)安全的前提下，能夠依照各企業(yè)不同安全要求劃分安全區(qū)。依照顧用系統(tǒng)實(shí)際情況，在滿足總體安全要求的前提下，能夠簡化安全區(qū)的設(shè)置，然而應(yīng)當(dāng)幸免通過廣域網(wǎng)形成不同安全區(qū)的縱向交叉連接。總則指導(dǎo)思想圍繞公司打造經(jīng)營型、服務(wù)型、一體化、現(xiàn)代化的國內(nèi)領(lǐng)先、國際聞名企業(yè)的戰(zhàn)略總體目標(biāo)，為切實(shí)踐行南網(wǎng)方略，保障信息化建設(shè)，提高信息安全防護(hù)能力，通過規(guī)范IT主流設(shè)備安全基線，建立公司治理信息大區(qū)IT主流設(shè)備安全防護(hù)的最低標(biāo)準(zhǔn)，實(shí)現(xiàn)公司IT主流設(shè)備整體防護(hù)的技術(shù)措施標(biāo)準(zhǔn)化、規(guī)范化、指標(biāo)化。目標(biāo)治理信息大區(qū)內(nèi)IT主流設(shè)備安全配置所應(yīng)達(dá)到的安全基線規(guī)范，要緊包括針對(duì)AIX系統(tǒng)、Windows系統(tǒng)、Linux系統(tǒng)、HPUNIX系統(tǒng)、Oracle數(shù)據(jù)庫系統(tǒng)、MSSQL數(shù)據(jù)庫系統(tǒng),WEBLogic中間件、ApacheHTTPServer中間件、Tomcat中間件、IIS中間件、Cisco路由器/交換機(jī)、華為網(wǎng)絡(luò)設(shè)備、Cisco防火墻、Juniper防火墻和Nokia防火墻等的安全基線設(shè)置規(guī)范。通過該規(guī)范的實(shí)施，提升治理信息大區(qū)內(nèi)的信息安全防護(hù)能力。安全基線技術(shù)要求操作系統(tǒng)AIX系統(tǒng)安全基線技術(shù)要求設(shè)備治理應(yīng)通過配置系統(tǒng)安全治理工具，預(yù)防遠(yuǎn)程訪問服務(wù)攻擊或非授權(quán)訪問，提高主機(jī)系統(tǒng)遠(yuǎn)程治理安全。基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明治理遠(yuǎn)程工具安裝SSHOpenSSH為遠(yuǎn)程治理高安全性工具，可愛護(hù)治理過程中傳輸數(shù)據(jù)的安全訪問操縱安裝TCPWrapper，配置/etc/hosts.allow,/etc/hosts.deny配置本機(jī)訪問操縱列表，提高對(duì)主機(jī)系統(tǒng)訪問操縱用戶賬號(hào)與口令安全應(yīng)通過配置用戶賬號(hào)與口令安全策略，提高主機(jī)系統(tǒng)賬戶與口令安全?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明限制系統(tǒng)無用的默認(rèn)賬號(hào)登錄DaemonBinSysAdmUucpNuucpLpdImnadmLdapLpSnappinvscout清理多余用戶賬號(hào)，限制系統(tǒng)默認(rèn)賬號(hào)登錄，同時(shí)，針對(duì)需要使用的用戶，制訂用戶列表進(jìn)行妥善保存root遠(yuǎn)程登錄禁止禁止root遠(yuǎn)程登錄口令策略maxrepeats=3minlen=8minalpha=4minother=1mindiff=4minage=1maxage=25（可選）histsize=10口令中某一字符最多只能重復(fù)3次口令最短為8個(gè)字符口令中最少包含4個(gè)字母字符口令中最少包含一個(gè)非字母數(shù)字字符新口令中最少有4個(gè)字符和舊口令不同口令最小使用壽命1周口令的最大壽命25周口令不重復(fù)的次數(shù)10次FTP用戶賬號(hào)操縱/etc/ftpusers禁止root用戶使用FTP日志與審計(jì)應(yīng)對(duì)系統(tǒng)的日志進(jìn)行安全操縱與治理，愛護(hù)日志的安全與有效性?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明日志記錄記錄authlog、wtmp.log、sulog、failedlogin記錄必需的日志信息，以便進(jìn)行審計(jì)日志存儲(chǔ)(可選)日志必須存儲(chǔ)在日志服務(wù)器中使用日志服務(wù)器同意與存儲(chǔ)主機(jī)日志日志保存要求2個(gè)月日志必須保存2個(gè)月日志系統(tǒng)配置文件愛護(hù)文件屬性400（治理員賬號(hào)只讀）修改日志配置文件（syslog.conf）權(quán)限為400日志文件愛護(hù)文件屬性400（治理員賬號(hào)只讀）修改日志文件authlog、wtmp.log、sulog、failedlogin的權(quán)限為400服務(wù)優(yōu)化應(yīng)提高系統(tǒng)服務(wù)安全，優(yōu)化系統(tǒng)資源。基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明Finger服務(wù)禁止Finger同意遠(yuǎn)程查詢登陸用戶信息telnet服務(wù)禁止遠(yuǎn)程訪問服務(wù)ftp服務(wù)（可選）禁止文件上傳服務(wù)（需要通過批準(zhǔn)才啟用）sendmail服務(wù)（可選）禁止郵件服務(wù)Time服務(wù)禁止遠(yuǎn)程查詢登陸用戶信息服務(wù)Echo服務(wù)禁止網(wǎng)絡(luò)測(cè)試服務(wù)，回顯字符串,為“拒絕服務(wù)”攻擊提供機(jī)會(huì),除非正在測(cè)試網(wǎng)絡(luò)，否則禁用Discard服務(wù)禁止網(wǎng)絡(luò)測(cè)試服務(wù)，丟棄輸入,為“拒絕服務(wù)”攻擊提供機(jī)會(huì),除非正在測(cè)試網(wǎng)絡(luò)，否則禁用Daytime服務(wù)禁止網(wǎng)絡(luò)測(cè)試服務(wù)，顯示時(shí)刻,為“拒絕服務(wù)”攻擊提供機(jī)會(huì),除非正在測(cè)試網(wǎng)絡(luò)，否則禁用Chargen服務(wù)禁止網(wǎng)絡(luò)測(cè)試服務(wù)，回應(yīng)隨機(jī)字符串,為“拒絕服務(wù)”攻擊提供機(jī)會(huì),除非正在測(cè)試網(wǎng)絡(luò)，否則禁用comsat服務(wù)禁止comsat通知接收的電子郵件，以root用戶身份運(yùn)行，因此涉及安全性,專門少需要的,禁用klogin服務(wù)（可選）禁止Kerberos登錄，假如您的站點(diǎn)使用Kerberos認(rèn)證則啟用（需要通過批準(zhǔn)才啟用）kshell服務(wù)（可選）禁止Kerberosshell，假如您的站點(diǎn)使用Kerberos認(rèn)證則啟用（需要通過批準(zhǔn)才啟用）ntalk服務(wù)禁止ntalk同意用戶相互交談，以root用戶身份運(yùn)行，除非絕對(duì)需要，否則禁用talk服務(wù)禁止在網(wǎng)上兩個(gè)用戶間建立分區(qū)屏幕，不是必需服務(wù)，與talk命令一起使用，在端口517提供UDP服務(wù)tftp服務(wù)禁止以root用戶身份運(yùn)行同時(shí)可能危及安全uucp服務(wù)禁止除非有使用UUCP的應(yīng)用程序，否則禁用dtspc服務(wù)（可選）禁止CDE子過程操縱，不用圖形治理則禁用安全防護(hù)應(yīng)對(duì)系統(tǒng)安全配置參數(shù)進(jìn)行調(diào)整，提高系統(tǒng)安全?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明Umask權(quán)限022修改默認(rèn)文件權(quán)限操縱用戶登錄會(huì)話設(shè)置為600秒設(shè)置超時(shí)時(shí)刻，操縱用戶登錄會(huì)話其他應(yīng)對(duì)關(guān)鍵文件進(jìn)行權(quán)限調(diào)整，提高關(guān)鍵文件的安全?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明關(guān)鍵文件的安全愛護(hù)/etc/passwd/etc/group/etc/security目錄設(shè)置passwd、group、security等關(guān)鍵文件和目錄的權(quán)限Windows系統(tǒng)安全基線技術(shù)要求補(bǔ)丁治理應(yīng)使Windows操作系統(tǒng)的補(bǔ)丁達(dá)到治理基線?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明安全服務(wù)包win2003SP2，win2000SP4安裝微軟最新的安全服務(wù)包安全補(bǔ)丁更新到最新補(bǔ)丁更新至最新用戶賬號(hào)與口令安全應(yīng)配置用戶賬號(hào)與口令安全策略，提高主機(jī)系統(tǒng)賬戶與口令安全?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明密碼必須符合復(fù)雜性要求（可選）啟用密碼安全策略密碼長度最小值8密碼安全策略密碼最長使用期限（可選）180天密碼安全策略密碼最短使用期限1天密碼安全策略強(qiáng)制密碼歷史5次密碼安全策略復(fù)位帳戶鎖定計(jì)數(shù)器3分鐘帳戶鎖定策略帳戶鎖定時(shí)刻5分鐘帳戶鎖定策略帳戶鎖定閥值5次無效登錄帳戶鎖定策略guest賬號(hào)禁止禁用guest用戶使用administrator（可選）重命名加強(qiáng)administrator使用帳號(hào)檢查與治理禁用無需使用帳號(hào)禁用無需使用帳號(hào)日志與審計(jì)應(yīng)對(duì)系統(tǒng)的日志進(jìn)行安全操縱與治理，愛護(hù)日志的安全與有效性。基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明審核帳號(hào)登錄事件成功與失敗日志審核策略審核帳號(hào)治理成功與失敗日志審核策略審核目錄服務(wù)訪問成功日志審核策略審核登錄事件成功與失敗日志審核策略審核對(duì)象訪問無審核日志審核策略審核策略更改成功與失敗日志審核策略審核特權(quán)使用無審核日志審核策略審核過程跟蹤無審核日志審核策略審核系統(tǒng)事件成功日志審核策略應(yīng)用日志50-1024M最大日志容量安全日志50-1024M最大日志容量系統(tǒng)日志50-1024M最大日志容量日志存儲(chǔ)（可選）指定日志服務(wù)器日志存儲(chǔ)在日志服務(wù)器中日志保存要求2個(gè)月日志必須保存2個(gè)月服務(wù)優(yōu)化應(yīng)提高系統(tǒng)服務(wù)安全，優(yōu)化系統(tǒng)資源?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明Alerter服務(wù)禁止Clipbook服務(wù)禁止

ComputerBrowser禁止Messenger禁止RemoteRegistryService禁止RoutingandRemoteAccess禁止SimpleMailTrasferProtocol(SMTP)（可選）禁止SimpleNetworkManagementProtocol(SNMP)Service（可選）禁止若網(wǎng)管需要可開放該服務(wù)，但需修改缺省SNMP團(tuán)體名和僅對(duì)指定治理IP開放。SimpleNetworkManagementProtocol(SNMP)Trap（可選）禁止Telnet禁止WorldWideWebPublishingService（可選）禁止PrintSpooler禁止AutomaticUpdates禁止TerminalService禁止安全防護(hù)應(yīng)通過對(duì)系統(tǒng)配置參數(shù)調(diào)整，提高系統(tǒng)安全?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明文件系統(tǒng)格式NTFS指定磁盤NTFS文件系統(tǒng)桌面屏保3分鐘桌面屏保設(shè)置為3分鐘防病毒軟件安裝防病毒軟件安裝防病毒軟件防病毒代碼庫及時(shí)更新更新到最新版本文件共享（可選）操縱原則上禁止配置文件共享，但因工作需要必須配置共享，須設(shè)置帳戶與口令系統(tǒng)自帶防火墻（可選）啟用啟用默認(rèn)共享禁止IPC$、ADMIN$、C$、D$等禁止網(wǎng)絡(luò)訪問:不同意匿名枚取SAM帳號(hào)與共享啟用安全操縱選項(xiàng)優(yōu)化網(wǎng)絡(luò)訪問:不同意匿名枚取ASM帳號(hào)啟用安全操縱選項(xiàng)優(yōu)化交互式登錄：不顯示上次的用戶名啟用安全操縱選項(xiàng)優(yōu)化操縱驅(qū)動(dòng)器自動(dòng)運(yùn)行禁止禁止自動(dòng)運(yùn)行操縱在藍(lán)屏后自動(dòng)啟動(dòng)機(jī)器禁止禁止藍(lán)屏后自動(dòng)啟動(dòng)機(jī)器Linux系統(tǒng)安全基線技術(shù)要求設(shè)備治理應(yīng)配置系統(tǒng)安全治理工具，預(yù)防遠(yuǎn)程訪問服務(wù)攻擊或非授權(quán)訪問，提高主機(jī)系統(tǒng)遠(yuǎn)程治理安全?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明治理遠(yuǎn)程工具安裝SSHOpenSSH為遠(yuǎn)程治理高安全性工具，可愛護(hù)治理過程中傳輸數(shù)據(jù)的安全,linux當(dāng)前版本都已默認(rèn)安裝訪問操縱配置/etc/hosts.allow、/etc/hosts.deny配置本機(jī)訪問操縱列表，提高主機(jī)系統(tǒng)安全訪問用戶賬號(hào)與口令安全應(yīng)配置用戶賬號(hào)與口令安全策略，提高主機(jī)系統(tǒng)賬戶與口令安全。基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明限制系統(tǒng)無用的默認(rèn)帳號(hào)登錄DaemonBinSysAdmUucpLpnobody清理多余用戶帳號(hào)，限制系統(tǒng)默認(rèn)帳號(hào)登錄，同時(shí)，針對(duì)需要使用的用戶，制訂用戶列表進(jìn)行妥善保存root遠(yuǎn)程登錄禁止禁止root遠(yuǎn)程登錄口令策略PASS_MAX_DAYS180（可選）PASS_MIN_DAYS1PASS_WARN_AGE28PASS_MIN_LEN8密碼使用最長期限為180天密碼1天之內(nèi)不能更改密碼過期之前28天提示修改密碼長度最小8位字符操縱用戶登錄會(huì)話設(shè)置為600秒設(shè)置超時(shí)時(shí)刻，操縱用戶登錄會(huì)話FTP用戶帳號(hào)操縱/etc/ftpusers禁止root用戶使用FTP日志與審計(jì)應(yīng)對(duì)系統(tǒng)的日志進(jìn)行安全操縱與治理，愛護(hù)日志的安全與有效性?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明捕獲authpriv消息authpriv日志記錄有關(guān)安全方面日志消息(如網(wǎng)絡(luò)設(shè)備啟動(dòng)、usermod、change等)日志存儲(chǔ)（可選）指定日志服務(wù)器使用日志服務(wù)器同意與存儲(chǔ)主機(jī)日志日志保存要求2個(gè)月日志必須保存2個(gè)月日志系統(tǒng)配置文件愛護(hù)文件屬性400（治理員賬號(hào)只讀）修改日志配置文件（syslog.conf）權(quán)限為400服務(wù)優(yōu)化應(yīng)提高系統(tǒng)服務(wù)安全，優(yōu)化系統(tǒng)資源。基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明telnet服務(wù)禁止遠(yuǎn)程訪問服務(wù)ftp服務(wù)（可選）禁止文件上傳服務(wù)（需要通過批準(zhǔn)才啟用）sendmail服務(wù)（可選）禁止郵件服務(wù)klogin服務(wù)禁止Kerberos登錄，假如您的站點(diǎn)使用Kerberos認(rèn)證則啟用（需要通過批準(zhǔn)才啟用）kshell服務(wù)禁止Kerberosshell，假如您的站點(diǎn)使用Kerberos認(rèn)證則啟用（需要通過批準(zhǔn)才啟用）ntalk服務(wù)禁止newtalktftp服務(wù)禁止以root用戶身份運(yùn)行同時(shí)可能危及安全imap服務(wù)（可選）禁止郵件服務(wù)pop3服務(wù)（可選）禁止郵件服務(wù)GUI服務(wù)（可選）禁止圖形治理服務(wù)Xwindows服務(wù)（可選）禁止通用的windows界面xinetd啟動(dòng)服務(wù)（可選）禁止系統(tǒng)自動(dòng)啟動(dòng)服務(wù)：

nfs、nfslock、autofs、ypbind

ypserv、yppasswdd、portmap

smb、netfs、lpd、apache

httpd、tux、snmpd、named

postgresql、mysqld、webmin、

kudzu、squid、cups、ip6tables

iptables、pcmcia、bluetooth

NSResponder、apmd、avahi-daemon

canna、cups-config-daemon

FreeWnn、gpm、hidd等安全防護(hù)應(yīng)對(duì)Linux系統(tǒng)配置參數(shù)調(diào)整，提高系統(tǒng)安全?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明Umask權(quán)限022修改默認(rèn)文件權(quán)限敏感文件安全愛護(hù)/etc/passwd/etc/group/etc/shadow愛護(hù)口令文件HPUNIX系統(tǒng)安全基線技術(shù)要求設(shè)備治理應(yīng)配置系統(tǒng)安全治理工具，預(yù)防遠(yuǎn)程訪問服務(wù)攻擊或非授權(quán)訪問，提高主機(jī)系統(tǒng)遠(yuǎn)程治理安全?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明治理遠(yuǎn)程工具安裝SSHOpenSSH為遠(yuǎn)程治理高安全性工具，可愛護(hù)治理過程中傳輸數(shù)據(jù)的安全訪問操縱工具安裝tcp_wrappersTCP_Wrappers為訪問操縱組件，通過配置訪問操縱列表，限制利用SSH訪問主機(jī)操縱遠(yuǎn)程治理配置訪問治理IP同意系統(tǒng)治理員IP可訪問SSH服務(wù)用戶賬號(hào)與口令安全應(yīng)配置用戶賬號(hào)與口令安全策略，提高主機(jī)系統(tǒng)賬戶與口令安全?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明禁用默認(rèn)無用用戶wwwsyssmbnulliwwwowwwsshdhpsmhnameduucpnuucpadmdaemonbinlpnobodynoaccesshpdbuseradm系統(tǒng)治理員應(yīng)依照系統(tǒng)的具體情況對(duì)默認(rèn)賬號(hào)進(jìn)行禁用或操縱root遠(yuǎn)程登錄禁止禁止root遠(yuǎn)程登錄口令策略PASSWORD_MAXDAYS=180（可選）

PASSWORD_MINDAYS=1

PASSWORD_WARNDAYS=28

MIN_PASSWORD_LENGTH=8

PASSWORD_HISTORY_DEPTH=10

PASSWORD_MIN_UPPER_CASE_CHARS=1

PASSWORD_MIN_DIGIT_CHARS=1

PASSWORD_MIN_SPECIAL_CHARS=1

PASSWORD_MIN_LOWER_CASE_CHARS=1口令最長有效期為180天

口令最短有效期為1天

口令到期之前28天提示修改

口令最短為8個(gè)字符

口令10次不能重復(fù)

口令中最少有1個(gè)大寫字母

口令中最少包含1個(gè)數(shù)字

口令中最少包含1個(gè)專門字符

口令中最少包含1個(gè)小寫字母帳號(hào)策略AUTH_MAXTRIES=5連續(xù)5次登錄失敗后鎖定用戶

帳號(hào)登錄失敗鎖定為10分鐘FTP用戶帳號(hào)操縱禁止非FTP賬號(hào)使用修改ftpusers文件日志與審計(jì)應(yīng)對(duì)系統(tǒng)的日志進(jìn)行安全操縱與治理，愛護(hù)日志的安全與有效性。基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明inetd日志開啟記錄日志信息ftp日志開啟FTP日志同意遠(yuǎn)程日志禁止禁止同意網(wǎng)絡(luò)日志日志保存要求2個(gè)月日志必須保存2個(gè)月日志系統(tǒng)配置文件愛護(hù)文件屬性400操縱日志文件訪問服務(wù)優(yōu)化（可選）應(yīng)提高系統(tǒng)服務(wù)安全，優(yōu)化系統(tǒng)資源?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明echo服務(wù)禁止字符回顯測(cè)試discard服務(wù)禁止丟棄字符測(cè)試daytime服務(wù)禁止時(shí)刻同步chargen服務(wù)禁止發(fā)送字符測(cè)試exec服務(wù)禁止提供rexec遠(yuǎn)程執(zhí)行命令ntalk服務(wù)禁止基于字符的談天finger服務(wù)禁止用戶信息查詢uucp服務(wù)禁止unix-to-unix拷貝rpc.rstat服務(wù)禁止查詢服務(wù)器內(nèi)核信息rpc.rusersd服務(wù)禁止查詢用戶信息rpc.rwalld服務(wù)禁止用戶信息通告rpc.sprayd服務(wù)禁止系統(tǒng)性能信息服務(wù)rpc.cmsd服務(wù)禁止CDE環(huán)境的的日歷服務(wù)printer服務(wù)禁止打印服務(wù)kshell服務(wù)禁止kerbores協(xié)議的shell服務(wù)klogin服務(wù)禁止kerbores協(xié)議的login服務(wù)nis.server服務(wù)禁止nis服務(wù)端nis.client服務(wù)

nisplus.server服務(wù)

nisplus.client服務(wù)禁止nis客戶端

nis+服務(wù)端

nis+客戶端sendmail服務(wù)禁止SMTP服務(wù)lp服務(wù)禁止打印服務(wù)tps.rc服務(wù)禁止打印服務(wù)pd服務(wù)禁止打印服務(wù)mrouted服務(wù)禁止路由服務(wù)rwhod服務(wù)禁止用戶信息查詢named服務(wù)禁止DNS服務(wù)samba服務(wù)禁止windows系統(tǒng)文件共享cifsclient服務(wù)禁止訪問windows文件系統(tǒng)安全防護(hù)應(yīng)對(duì)系統(tǒng)配置參數(shù)進(jìn)行調(diào)整，提高系統(tǒng)安全。基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明.netrc、.rhosts、.shosts文件禁用該服務(wù)存在能夠繞過登錄cron安全操縱權(quán)限為400root擁有只讀權(quán)限Umask權(quán)限022修改默認(rèn)文件權(quán)限SNMP優(yōu)化修改public防止信息泄漏數(shù)據(jù)庫Oracle數(shù)據(jù)庫系統(tǒng)安全基線技術(shù)要求用戶賬號(hào)與口令安全應(yīng)配置用戶賬號(hào)與口令安全策略，提高數(shù)據(jù)庫系統(tǒng)賬戶與口令安全?；€技術(shù)要求基線技術(shù)點(diǎn)（參數(shù)）講明數(shù)據(jù)庫主機(jī)治理員帳號(hào)操縱默認(rèn)主機(jī)治理員賬號(hào)禁止使用oracle或administrator作為數(shù)據(jù)庫主機(jī)治理員帳號(hào)oracle帳號(hào)刪除無用帳號(hào)清理帳號(hào)，刪除無用帳號(hào)默認(rèn)帳號(hào)修改口令如

DBSNMP

SCOTT數(shù)據(jù)庫SYSDBA帳號(hào)禁止遠(yuǎn)程登錄修改配置參數(shù)，禁止SYSDBA遠(yuǎn)程登錄禁止自動(dòng)登錄修改配置參數(shù)，禁止SYSDBA自動(dòng)登錄口令策略PASSWORD_VERIFY_FUNCTION8PASSWORD_LIFE_TIME180(可選）PASSWORD_REUSE_MAX5密碼復(fù)雜度8個(gè)字符口令有效期180天禁止使用最近5次使用的口令帳號(hào)策略FAILED_LOGIN_ATTEMPTS5連續(xù)5次登錄失敗后鎖定用戶public權(quán)限優(yōu)化清理public各種默認(rèn)權(quán)限日志與審計(jì)應(yīng)對(duì)系統(tǒng)的日志進(jìn)行安全操縱與治理，愛護(hù)日志的安全與有效性。基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明日志審核啟用啟用數(shù)據(jù)庫審計(jì)功能登錄日志記錄啟動(dòng)建立日志表，啟動(dòng)觸發(fā)器數(shù)據(jù)庫操作日志（可選）啟動(dòng)建立日志表，啟動(dòng)觸發(fā)器日志審計(jì)策略（可選）OS日志記錄在操作系統(tǒng)中日志保存要求2個(gè)月日志必須保存2個(gè)月日志文件愛護(hù)啟用設(shè)置訪問日志文件權(quán)限安全防護(hù)應(yīng)對(duì)系統(tǒng)配置參數(shù)進(jìn)行調(diào)整，提高數(shù)據(jù)庫系統(tǒng)安全?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明數(shù)據(jù)字典愛護(hù)啟用數(shù)據(jù)字典愛護(hù)限制只有SYSDBA權(quán)限的用戶才能訪問數(shù)據(jù)字典監(jiān)聽程序加密設(shè)置監(jiān)聽器口令設(shè)置監(jiān)聽器口令監(jiān)聽服務(wù)連接超時(shí)編輯listener.ora文件connect_timeout_listener=10秒設(shè)置監(jiān)聽器連接超時(shí)服務(wù)監(jiān)聽端口（可選）在不阻礙應(yīng)用的情況下，更改默認(rèn)端口修改默認(rèn)端口TCP1521MSSQL數(shù)據(jù)庫系統(tǒng)安全基線技術(shù)要求用戶賬號(hào)與口令安全應(yīng)配置用戶賬號(hào)與口令安全策略，提高數(shù)據(jù)庫系統(tǒng)賬戶與口令安全?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明administrator（可選）禁止登錄禁止通過操作系統(tǒng)直接登錄sa帳號(hào)操縱（可選）重命名防止利用SA攻擊用戶賬號(hào)權(quán)限最小化限制guest帳戶對(duì)數(shù)據(jù)庫的訪問口令策略（2005、2008版本）8位字符

須有大小寫

須有字母與數(shù)字加強(qiáng)數(shù)據(jù)庫口令安全日志與審計(jì)應(yīng)對(duì)系統(tǒng)的日志進(jìn)行安全操縱與治理，愛護(hù)日志的安全與有效性?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明登錄日志全部記錄登錄日志日志保存要求2個(gè)月日志必須保存2個(gè)月安全防護(hù)應(yīng)對(duì)SQL系統(tǒng)配置調(diào)整，提高系統(tǒng)安全。基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明分離默認(rèn)安裝數(shù)據(jù)庫pubs、NorthWind防止已知攻擊服務(wù)端口tcp1433（可選）更改防止對(duì)TCP1433端口攻擊中間件WEBLogic中間件安全基線技術(shù)要求設(shè)備治理應(yīng)配置治理操縱臺(tái)，提高系統(tǒng)遠(yuǎn)程治理安全。基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明治理操縱臺(tái)(可選)重命名操縱臺(tái)文件夾（console）將操縱臺(tái)console重命名，禁止默認(rèn)方式訪問用戶賬號(hào)與口令安全應(yīng)配置用戶賬號(hào)與口令安全策略，提高系統(tǒng)賬戶與口令安全。基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明口令策略口令長度最小8個(gè)字符加強(qiáng)口令設(shè)置賬號(hào)策略LockoutThreshold(5)LockoutDuration(3)LockoutResetDuration(3)失敗嘗試次數(shù)5次

帳號(hào)鎖定時(shí)刻3分鐘

失敗嘗試時(shí)刻3分鐘日志與審計(jì)應(yīng)對(duì)系統(tǒng)的日志進(jìn)行安全操縱與治理，愛護(hù)日志的安全與有效性?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明weblogin日志記錄定義日志名稱及存儲(chǔ)位置記錄相關(guān)日志HTTP日志記錄定義日志名稱及存儲(chǔ)位置記錄相關(guān)日志日志保存要求2個(gè)月日志必須保存2個(gè)月安全防護(hù)應(yīng)通過對(duì)Weblogic系統(tǒng)配置參數(shù)調(diào)整，提高系統(tǒng)安全?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明安裝優(yōu)化(可選)刪除ConfigurationWizard防止已知攻擊刪除WebLogicBuilder防止已知攻擊刪除jCOM防止已知攻擊刪除示例域防止已知攻擊連接會(huì)話超時(shí)操縱（10.3版本）5分鐘設(shè)置超時(shí)時(shí)刻，操縱用戶登錄會(huì)話數(shù)據(jù)傳輸安全SSL密碼在服務(wù)器console治理中掃瞄器與服務(wù)器傳輸信息配置SSL服務(wù)端口修改默認(rèn)端口默認(rèn)服務(wù)端口TCP7001修改為其它端口SSL愛護(hù)啟用主機(jī)名校驗(yàn)通過禁用”HostnameVerificationIgnored”愛護(hù)SSL中間人攻擊Banner信息禁止發(fā)送服務(wù)標(biāo)識(shí)通過禁用配置文件“SendServerHeader”，防止信息泄漏其它內(nèi)容應(yīng)限制服務(wù)器的Socket數(shù)量。基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明服務(wù)器Socket數(shù)量MaximumOpenSockets=250限制應(yīng)用服務(wù)器Socket數(shù)量ApacheHTTPServer中間件安全基線技術(shù)要求用戶賬號(hào)與口令安全應(yīng)配置用戶賬號(hào)與口令安全策略，提高系統(tǒng)賬戶與口令安全?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明優(yōu)化WEB服務(wù)賬號(hào)建立新的用戶、組作為Apache的服務(wù)帳號(hào)為WEB服務(wù)提供唯一、最小權(quán)限的用戶與組日志與審計(jì)應(yīng)對(duì)系統(tǒng)的日志進(jìn)行安全操縱與治理，愛護(hù)日志的安全與有效性?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明日志級(jí)不notice采納notice日志級(jí)不錯(cuò)誤日志及記錄ErrorLog/var/log/httpd/error_log錯(cuò)誤日志保存訪問日志CustomLog/var/log/httpd/access_logcombined配置訪問日志文件名及位置日志保存要求2個(gè)月日志必須保存2個(gè)月服務(wù)優(yōu)化應(yīng)提高系統(tǒng)服務(wù)安全，優(yōu)化系統(tǒng)資源。基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明精簡系統(tǒng)模塊禁用不需要的模塊禁止安裝無需使用的模塊安全防護(hù)應(yīng)通過對(duì)Apache的配置調(diào)整，提高系統(tǒng)安全?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明禁止目錄遍歷修改參數(shù)文件，禁止目錄遍歷禁止遍歷操作系統(tǒng)目錄隱藏版本信息關(guān)閉服務(wù)器應(yīng)答頭中的版本信息

關(guān)閉服務(wù)器生成頁面的頁腳中版本信息防止軟件版本信息泄漏連接超時(shí)優(yōu)化設(shè)置為30秒拒絕服務(wù)防護(hù)錯(cuò)誤信息自定義自定義400401403404405500錯(cuò)誤文件修改錯(cuò)誤文件信息,防止信息泄漏其它內(nèi)容應(yīng)加強(qiáng)文件的權(quán)限，提高文件的安全?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明權(quán)限增強(qiáng)設(shè)置配置文件為屬主可讀寫，其他用戶無權(quán)限嚴(yán)格設(shè)置配置文件和日志文件的權(quán)限，防止未授權(quán)訪問Tomcat中間件安全基線技術(shù)要求用戶賬號(hào)與口令安全應(yīng)配置用戶賬號(hào)與口令安全策略，提高系統(tǒng)賬戶與口令安全?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明修改默認(rèn)口令修改默認(rèn)口令或禁用默認(rèn)賬號(hào)提高賬號(hào)口令安全優(yōu)化WEB服務(wù)賬號(hào)以Tomcat用戶運(yùn)行服務(wù)為WEB服務(wù)提供唯一、最小權(quán)限的用戶與組，增強(qiáng)安全性設(shè)置SHUTDOWN字符串設(shè)置shutdown為復(fù)雜的字符串防止惡意用戶telnet到8005端口后，發(fā)送SHUTDOWN命令停止Tomcat服務(wù)日志與審計(jì)應(yīng)對(duì)系統(tǒng)的日志進(jìn)行安全操縱與治理，愛護(hù)日志的安全與有效性。基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明訪問日志審計(jì)增加訪問日志審計(jì)記錄錯(cuò)誤信息和訪問信息日志保存要求2個(gè)月日志必須保存2個(gè)月安全防護(hù)應(yīng)對(duì)系統(tǒng)的配置進(jìn)行調(diào)整，提高系統(tǒng)安全?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明隱藏版本信息去掉版本信息文件中的版本信息防止軟件版本信息泄漏禁止目錄遍歷修改參數(shù)文件，禁止目錄遍歷禁止遍歷操作系統(tǒng)目錄錯(cuò)誤信息自定義自定義400403404500錯(cuò)誤文件修改錯(cuò)誤文件信息內(nèi)容,防止信息泄漏IIS中間件安全基線技術(shù)要求安全配置應(yīng)通過對(duì)系統(tǒng)的參數(shù)進(jìn)行配置，提高系統(tǒng)安全。基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明IIS缺省安裝文件刪除不需要使用默認(rèn)安裝文件刪除部分安裝缺省文件或目錄，加強(qiáng)IIS安全I(xiàn)IS服務(wù)配置卸載不需要的IIS服務(wù)對(duì)默認(rèn)服務(wù)進(jìn)行優(yōu)化，提升系統(tǒng)安全性和資源利用效率IIS安全配置超時(shí)設(shè)置為120秒通過對(duì)配置調(diào)整，提高系統(tǒng)安全日志與審計(jì)應(yīng)對(duì)系統(tǒng)的日志進(jìn)行安全操縱與治理，愛護(hù)日志的安全與有效性?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明日志審計(jì)啟用IIS日志啟用IIS日志記錄，記錄詳細(xì)的IIS日志信息日志保存要求2個(gè)月日志必須保存2個(gè)月其他內(nèi)容應(yīng)最小化腳本映射，達(dá)到減少被腳本攻擊的風(fēng)險(xiǎn)。基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明最小化腳本映射配置（可選）刪除.cdx和.cer減少服務(wù)器腳本攻擊的風(fēng)險(xiǎn)路由器/交換機(jī)Cisco路由器/交換機(jī)安全基線技術(shù)要求設(shè)備治理應(yīng)配置設(shè)備治理服務(wù)，預(yù)防遠(yuǎn)程訪問服務(wù)攻擊或非授權(quán)訪問，提高網(wǎng)絡(luò)設(shè)備遠(yuǎn)程治理安全。基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明遠(yuǎn)程治理服務(wù)啟用ssh服務(wù)采納ssh服務(wù)代替telnet服務(wù)治理網(wǎng)絡(luò)設(shè)備，提高設(shè)備治理安全性認(rèn)證方式采納本地認(rèn)證啟用設(shè)備本地認(rèn)證治理IP地址操縱同意治理員IP地址配置訪問操縱列表，只同意治理員IP或網(wǎng)段能訪問網(wǎng)絡(luò)設(shè)備治理服務(wù)console端口治理console口令認(rèn)證console需配置口令認(rèn)證信息用戶賬號(hào)與口令安全應(yīng)配置用戶賬號(hào)與口令安全策略，提高網(wǎng)絡(luò)設(shè)備賬戶與口令安全。基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明Servicepassword密碼加密采納servicepassword-encryptionenable密碼加密采納secret對(duì)密碼進(jìn)行加密帳戶登錄空閑時(shí)刻登錄超時(shí)時(shí)刻5分鐘設(shè)置console和vty的登錄超時(shí)時(shí)刻5分鐘密碼長度8位密碼長度為8個(gè)字符日志與審計(jì)應(yīng)對(duì)系統(tǒng)的日志進(jìn)行安全操縱與治理，愛護(hù)日志的安全與有效性。基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明更改SNMP的團(tuán)體串（可選）更改SNMPCommunity修改默認(rèn)值public更改SNMP主機(jī)IP轉(zhuǎn)存日志（可選）配置日志服務(wù)器設(shè)置同意與存儲(chǔ)日志信息日志保存要求（可選）2個(gè)月日志必須保存2個(gè)月服務(wù)優(yōu)化應(yīng)提高網(wǎng)絡(luò)設(shè)備的安全性，對(duì)設(shè)備服務(wù)進(jìn)行優(yōu)化。基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明TCP、UDPSmall服務(wù)禁止禁用無用服務(wù)Finger服務(wù)禁止禁用無用服務(wù)HTTP服務(wù)禁止禁用無用服務(wù)HTTPS服務(wù)禁止禁用無用服務(wù)BOOTp服務(wù)禁止禁用無用服務(wù)IPSourceRouting服務(wù)禁止禁用無用服務(wù)ARP-Proxy服務(wù)禁止禁用無用服務(wù)cdp服務(wù)（可選）禁止禁用無用服務(wù)FTP服務(wù)禁止禁用無用服務(wù)安全防護(hù)應(yīng)對(duì)設(shè)備配置進(jìn)行調(diào)整，提高設(shè)備或網(wǎng)絡(luò)安全性?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明loginbanner信息修改默認(rèn)值防止信息泄露NTP服務(wù)使用統(tǒng)一NTP時(shí)刻建立統(tǒng)一時(shí)鐘BGP認(rèn)證（可選）啟用加強(qiáng)路由信息安全EIGRP認(rèn)證（可選）啟用加強(qiáng)路由信息安全OSPF認(rèn)證（可選）啟用加強(qiáng)路由信息安全RIPv2認(rèn)證（可選）啟用加強(qiáng)路由信息安全I(xiàn)CMP服務(wù)加強(qiáng)（可選）數(shù)據(jù)流操縱大量的使用ICMP數(shù)據(jù)包的DoS攻擊接入層網(wǎng)絡(luò)設(shè)備端口操縱TCP5554震蕩波端口TCP9996震蕩波端口TCP4444Blaster端口UDP1434Slammer端口MAC綁定IP+MAC+端口綁定重要服務(wù)器采納IP+MAC+端口綁定網(wǎng)絡(luò)端口關(guān)閉關(guān)閉沒用網(wǎng)絡(luò)端口華為網(wǎng)絡(luò)設(shè)備安全基線技術(shù)要求設(shè)備治理應(yīng)配置設(shè)備治理服務(wù)，預(yù)防遠(yuǎn)程訪問服務(wù)攻擊或非授權(quán)訪問，提高網(wǎng)絡(luò)設(shè)備遠(yuǎn)程治理安全?；€標(biāo)準(zhǔn)要求基線技術(shù)點(diǎn)（參數(shù)）講明遠(yuǎn)程治理服務(wù)啟用ssh服務(wù)采納ssh服務(wù)代替telnet服務(wù)治理網(wǎng)絡(luò)設(shè)備，提高設(shè)備治理安全性，條件不具備的設(shè)備走專門審批流程認(rèn)證方式采納本地認(rèn)證啟用設(shè)備本地認(rèn)證治理IP地址操縱同意治理員IP地址配置訪問操縱列表，只同意治理員IP或網(wǎng)段能訪問網(wǎng)絡(luò)設(shè)備治理服務(wù)console端口治理console口令認(rèn)證console需配置口令認(rèn)證信息用戶賬號(hào)與口令安全應(yīng)配置用戶賬號(hào)與口令安全策略，提高網(wǎng)絡(luò)設(shè)備賬戶與口令安全?；€標(biāo)準(zhǔn)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明system密碼加密采納cipher對(duì)密碼進(jìn)行加密帳戶登錄空閑時(shí)刻登錄超時(shí)時(shí)刻5分鐘設(shè)置console和vty的登錄超時(shí)時(shí)刻5分鐘密碼長度8位密碼長度為8個(gè)字符日志與審計(jì)應(yīng)對(duì)系統(tǒng)的日志進(jìn)行安全操縱與治理，愛護(hù)日志的安全與有效性?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明更改SNMP的團(tuán)體串（可選）更改SNMPCommunity修改默認(rèn)值public更改SNMP主機(jī)IP轉(zhuǎn)存日志（可選）配置日志服務(wù)器設(shè)置同意與存儲(chǔ)日志信息日志保存要求（可選）2個(gè)月日志必須保存2個(gè)月服務(wù)優(yōu)化應(yīng)提高網(wǎng)絡(luò)設(shè)備的安全性，優(yōu)化設(shè)備資源?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明telnet服務(wù)禁用采納ssh代替telnet服務(wù)，條件不具備的設(shè)備走專門審批流程http服務(wù)禁用關(guān)閉弱服務(wù)FTP服務(wù)禁止禁用Ftp服務(wù)安全防護(hù)應(yīng)對(duì)設(shè)備配置進(jìn)行調(diào)整，提高設(shè)備或網(wǎng)絡(luò)安全性?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明BGP認(rèn)證（可選）啟用加強(qiáng)路由信息安全OSPF認(rèn)證（可選）啟用加強(qiáng)路由信息安全RIPv2認(rèn)證（可選）啟用加強(qiáng)路由信息安全NTP服務(wù)使用統(tǒng)一NTP時(shí)刻建立統(tǒng)一時(shí)鐘接入層網(wǎng)絡(luò)設(shè)備端口操縱TCP5554震蕩波端口TCP9996震蕩波端口TCP4444Blaster端口UDP1434Slammer端口MAC綁定IP+MAC+端口綁定重要服務(wù)器采納IP+MAC+端口綁定網(wǎng)絡(luò)端口關(guān)閉關(guān)閉沒用網(wǎng)絡(luò)端口中興路由器/交換機(jī)安全基線技術(shù)要求設(shè)備治理應(yīng)配置設(shè)備治理服務(wù)，預(yù)防遠(yuǎn)程訪問服務(wù)攻擊或非授權(quán)訪問，提高網(wǎng)絡(luò)設(shè)備遠(yuǎn)程治理安全?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明遠(yuǎn)程治理服務(wù)啟用ssh服務(wù)采納ssh服務(wù)代替telnet服務(wù)治理網(wǎng)絡(luò)設(shè)備，提高設(shè)備治理安全性認(rèn)證方式采納本地認(rèn)證啟用設(shè)備本地認(rèn)證治理IP地址操縱同意治理員IP地址配置訪問操縱列表，只同意治理員IP或網(wǎng)段能訪問網(wǎng)絡(luò)設(shè)備治理服務(wù)console端口治理console口令認(rèn)證console需配置口令認(rèn)證信息用戶賬號(hào)與口令安全應(yīng)配置用戶賬號(hào)與口令安全策略，提高網(wǎng)絡(luò)設(shè)備賬戶與口令安全?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明Servicepassword密碼加密采納servicepassword-encryptionenable密碼加密采納secret對(duì)密碼進(jìn)行加密帳戶登錄空閑時(shí)刻登錄超時(shí)時(shí)刻5分鐘設(shè)置console和vty的登錄超時(shí)時(shí)刻5分鐘密碼長度8位密碼長度為8個(gè)字符日志與審計(jì)應(yīng)對(duì)系統(tǒng)的日志進(jìn)行安全操縱與治理，愛護(hù)日志的安全與有效性?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明更改SNMP的團(tuán)體串（可選）更改SNMPCommunity更改SNMP主機(jī)IP修改默認(rèn)值public指定SNMP主機(jī)IP轉(zhuǎn)存日志（可選）配置日志服務(wù)器設(shè)置同意與存儲(chǔ)日志信息日志保存要求（可選）2個(gè)月日志必須保存2個(gè)月服務(wù)優(yōu)化應(yīng)提高網(wǎng)絡(luò)設(shè)備的安全性，對(duì)設(shè)備服務(wù)進(jìn)行優(yōu)化?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明TCP、UDPSmall服務(wù)禁止禁用無用服務(wù)Finger服務(wù)禁止禁用無用服務(wù)HTTP服務(wù)禁止禁用無用服務(wù)HTTPS服務(wù)禁止禁用無用服務(wù)BOOTp服務(wù)禁止禁用無用服務(wù)IPSourceRouting服務(wù)禁止禁用無用服務(wù)ARP-Proxy服務(wù)禁止禁用無用服務(wù)cdp服務(wù)（可選）禁止禁用無用服務(wù)FTP服務(wù)禁止禁用無用服務(wù)安全防護(hù)應(yīng)對(duì)設(shè)備配置進(jìn)行調(diào)整，提高設(shè)備或網(wǎng)絡(luò)安全性?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明loginbanner信息修改默認(rèn)值防止信息泄露NTP服務(wù)使用統(tǒng)一NTP時(shí)刻建立統(tǒng)一時(shí)鐘BGP認(rèn)證（可選）啟用加強(qiáng)路由信息安全EIGRP認(rèn)證（可選）啟用加強(qiáng)路由信息安全OSPF認(rèn)證（可選）啟用加強(qiáng)路由信息安全RIPv2認(rèn)證（可選）啟用加強(qiáng)路由信息安全I(xiàn)CMP服務(wù)加強(qiáng)（可選）數(shù)據(jù)流操縱大量的使用ICMP數(shù)據(jù)包的DoS攻擊接入層網(wǎng)絡(luò)設(shè)備端口操縱TCP5554震蕩波端口TCP9996震蕩波端口TCP4444Blaster端口UDP1434Slammer端口MAC綁定IP+MAC+端口綁定重要服務(wù)器采納IP+MAC+端口綁定網(wǎng)絡(luò)端口關(guān)閉關(guān)閉沒用網(wǎng)絡(luò)端口防火墻Cisco防火墻（PixASAFWSM）安全基線技術(shù)要求設(shè)備治理應(yīng)配置設(shè)備治理服務(wù)，預(yù)防遠(yuǎn)程訪問服務(wù)攻擊或非授權(quán)訪問，提高安全設(shè)備遠(yuǎn)程治理安全。基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明遠(yuǎn)程治理服務(wù)啟用ssh服務(wù)采納ssh服務(wù)代替telnet服務(wù)治理網(wǎng)絡(luò)設(shè)備，提高設(shè)備治理安全性治理IP地址操縱同意治理員IP地址配置訪問操縱列表，只同意治理員IP或網(wǎng)段訪問設(shè)備治理服務(wù)用戶賬號(hào)與口令安全應(yīng)配置用戶賬號(hào)與口令安全策略，提高設(shè)備賬戶與口令安全?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明Servicepassword密碼加密采納servicepassword-encryptionenable密碼加密采納secret對(duì)密碼進(jìn)行加密帳戶登錄空閑時(shí)刻登錄超時(shí)時(shí)刻5分鐘登錄超時(shí)時(shí)刻5分鐘密碼長度8位密碼長度為8個(gè)字符日志與審計(jì)應(yīng)對(duì)系統(tǒng)的日志進(jìn)行安全操縱與治理，愛護(hù)日志的安全與有效性?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明更改SNMP的團(tuán)體串（可選）更改SNMPCommunity修改默認(rèn)值public更改SNMP主機(jī)IP轉(zhuǎn)存日志（可選）配置日志服務(wù)器設(shè)置同意與存儲(chǔ)日志信息日志保存要求（可選）2個(gè)月日志必須保存2個(gè)月服務(wù)優(yōu)化應(yīng)提高設(shè)備的安全性，優(yōu)化設(shè)備資源?；€技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明HTTP服務(wù)（可選）禁止禁用弱服務(wù)Juniper(NetScreen系列)防火墻安全基線技術(shù)要求設(shè)備治理應(yīng)配置設(shè)備治理服務(wù)，預(yù)防遠(yuǎn)程訪問服務(wù)攻擊或非授權(quán)訪問，提高安全設(shè)備遠(yuǎn)程治理安全?；€標(biāo)準(zhǔn)要求基線技術(shù)點(diǎn)（參數(shù)）講明遠(yuǎn)程治理啟用安全網(wǎng)絡(luò)治理服務(wù)SSH采納ssh服務(wù)代替telnet服務(wù)治理網(wǎng)絡(luò)設(shè)備，提高設(shè)備治理安全性遠(yuǎn)程治理限制登錄口令錄入時(shí)刻設(shè)置登錄口令錄入時(shí)刻，建議為30秒遠(yuǎn)程治理限制root登錄限制root用戶只能通過CONSOLE接口訪問設(shè)備，而不能遠(yuǎn)程登錄遠(yuǎn)程治理限制可登錄的訪問地址限制對(duì)特定工作站的治理能力，必須配置治理客戶端IP地址遠(yuǎn)程治理啟用只同意治理流量的邏輯治理IP地址網(wǎng)絡(luò)用戶流量分離治理流量大大增加了治理安全性，并確保了穩(wěn)定的治理帶寬遠(yuǎn)程治理更改HTTP監(jiān)聽端口號(hào)通過更改HTTP監(jiān)聽端口號(hào)提高系統(tǒng)安全性遠(yuǎn)程治理使用SSL保障HTTP訪問的安全性配置并啟用HTTPS進(jìn)行設(shè)備遠(yuǎn)程治理用戶賬號(hào)與口令安全應(yīng)配置用戶賬號(hào)與口令安全策略，提高設(shè)備賬戶與口令安全。基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明賬號(hào)和密碼治理更改系統(tǒng)初始帳號(hào)和密碼在完成初始配置后應(yīng)盡快修改缺省用戶名和密碼賬號(hào)和密碼治理限制密碼最短長度應(yīng)將帳戶密碼最短長度設(shè)置為8位日志與審計(jì)應(yīng)對(duì)系統(tǒng)的日志進(jìn)行安全操縱與治理，愛護(hù)日志的安全與有效性。基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明SNMP配置限制發(fā)起SNMP連接的源地址設(shè)置并定期更改SNMPCommunity至少半年一次除專門情況，否則不設(shè)置SNMPRWCommunity安全審計(jì)針對(duì)重要策略開啟信息流日志安全審計(jì)將日志轉(zhuǎn)發(fā)至SYSLOG服務(wù)器轉(zhuǎn)存日志（可選）配置日志服務(wù)器設(shè)置同意與存儲(chǔ)日志信息日志保存要求（可選）2個(gè)月日志必須保存2個(gè)月安全防護(hù)應(yīng)對(duì)設(shè)備配置進(jìn)行調(diào)整，提高設(shè)備或網(wǎng)絡(luò)安全性。基線技術(shù)要求基線標(biāo)準(zhǔn)點(diǎn)（參數(shù)）講明安全設(shè)置NetScreen防火墻的防攻