it主流設(shè)備安全基線技術(shù)規(guī)范

范本規(guī)范適用于中國(guó)電網(wǎng)限任公司及所屬單位管理信息大區(qū)所有信息系統(tǒng)相關(guān)主流支撐平臺(tái)設(shè)備。

規(guī)性用件下列文件對(duì)于本規(guī)范的應(yīng)用是必不可少的是注日期的引用文件注期的版本適用于本規(guī)范。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本規(guī)范?！腥A人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例——中華人民共和國(guó)國(guó)家安全法——中華人民共和國(guó)保守國(guó)家秘密法——計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定——中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定——標(biāo)/ISO27002指——公通字號(hào)——GB/T21028-2007——GB/T20269-2006——GB/T22239-2008——GB/T22240-2008

信息安全等級(jí)保護(hù)管理辦法信息安全技術(shù)服器安全技術(shù)求信息安全技術(shù)信息統(tǒng)安全管理要求信息安全技術(shù)信系統(tǒng)安全等保護(hù)基本要求信息安全技術(shù)信系統(tǒng)安全等保護(hù)定級(jí)指南

術(shù)和義安基：指針對(duì)IT設(shè)的安全特性選擇合適的安全控制措施，定義不同IT設(shè)的最低安全配置要求，則該最低安全配置要求就稱為安全基線。管信大電業(yè)企企內(nèi)基于計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)，原則上劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)產(chǎn)控制大區(qū)可以分為控制區(qū)(安全區(qū)I)和非控制區(qū)安區(qū))理信息大區(qū)內(nèi)部在不影響生產(chǎn)控制大區(qū)安全的前提下以據(jù)各企業(yè)不同安全要求劃分安全區(qū)根應(yīng)用系統(tǒng)實(shí)際情況在足總體安全要求的前提下以簡(jiǎn)化安全區(qū)的設(shè)置，但是應(yīng)當(dāng)避免通過(guò)廣域網(wǎng)形成不同安全區(qū)的縱向交叉連接。

總4.1指思圍繞公司打造經(jīng)營(yíng)型、服務(wù)型體現(xiàn)代化的國(guó)內(nèi)領(lǐng)先國(guó)際著名企業(yè)的戰(zhàn)略總體目標(biāo)，為切實(shí)踐行南網(wǎng)方略，保障信息化建設(shè)，提高信息安全防護(hù)能力，通過(guò)規(guī)范IT主流設(shè)備安全基線立公司管理信息大區(qū)IT主設(shè)備安全防護(hù)的最低標(biāo)準(zhǔn)現(xiàn)司IT主設(shè)備整體防護(hù)的技術(shù)措施標(biāo)準(zhǔn)化、規(guī)范化、指標(biāo)化。4.2目管理信息大區(qū)內(nèi)IT主設(shè)備安配置所應(yīng)達(dá)到的安全基線規(guī)范，主要包括針對(duì)AIX系統(tǒng)Windows系統(tǒng)Linux系統(tǒng)HPUNIX系Oracle數(shù)庫(kù)系統(tǒng)SQL數(shù)庫(kù)系統(tǒng)WEBLogic中件、HTTPServer中件Tomcat中間、中件Cisco路器

交換機(jī)、華為網(wǎng)絡(luò)設(shè)備、Cisco防墻Juniper防墻和Nokia防墻等的安全基線設(shè)置規(guī)范。通過(guò)該規(guī)范的實(shí)施，提升管理信息大區(qū)內(nèi)的信息安全防護(hù)能力。

安基技要5.1操系A(chǔ)IX系統(tǒng)全線術(shù)求設(shè)備理應(yīng)通過(guò)配置系統(tǒng)安全管理工具防程訪問(wèn)服務(wù)攻擊或非授權(quán)訪問(wèn)高機(jī)系統(tǒng)遠(yuǎn)程管理安全。基線技術(shù)求管理遠(yuǎn)程工具

基線標(biāo)準(zhǔn)（參數(shù)）安裝SSH安裝TCPWrapper配置

說(shuō)明OpenSSH為遠(yuǎn)程管理高安全性工具護(hù)管理過(guò)程中傳輸數(shù)據(jù)的安全配置本機(jī)訪問(wèn)控制列表，提高對(duì)主機(jī)系統(tǒng)訪訪問(wèn)控制/etc/hosts.allow,/etc/hos問(wèn)控制ts.deny用戶號(hào)口安應(yīng)通過(guò)配置用戶賬號(hào)與口令安全策略，提高主機(jī)系統(tǒng)賬戶與口令安全?；€技術(shù)求

基線標(biāo)準(zhǔn)（參數(shù)）

說(shuō)明1)2)3)4)5)

DaemonBinSysAdmUucp清理多余用戶賬號(hào)限系統(tǒng)默認(rèn)賬號(hào)登錄，限制系統(tǒng)無(wú)用的默認(rèn)

6)

Nuucp同時(shí)，針對(duì)需要使用的用戶，制訂用戶列表賬號(hào)登錄

7)

Lpdroot遠(yuǎn)登錄

8)Imnadm9)Ldap10)Lp11)Snapp12)invscout禁止

進(jìn)行妥善保存禁止遠(yuǎn)程登錄

基線技術(shù)求

基線標(biāo)準(zhǔn)（參數(shù)）

說(shuō)明1)2)3)4)

maxrepeats=3minlen=8minalpha=4minother=1

1)2)3)4)

口令中某一字符最多只能重復(fù)次口令最短為8個(gè)符口令中最少包含4個(gè)字母字符口令中最少包含一個(gè)非字母數(shù)字字符口令策略5)6)7)8)

mindiff=4minage=1maxage=25（選）histsize=10

5)6)7)8)

新口令中最少有4個(gè)字符和舊口令不同口令最小使用壽命1周口令的最大壽命25周口令不重復(fù)的次數(shù)10次FTP戶賬號(hào)控制日志審

/etc/ftpusers

禁止用戶使用FTP應(yīng)對(duì)系統(tǒng)的日志進(jìn)行安全控制與管理，保護(hù)日志的安全與有效性?；€技術(shù)求日志記錄日志存儲(chǔ)(選)日志保存要求日志系統(tǒng)配置文件保護(hù)日志文件保護(hù)

基線標(biāo)準(zhǔn)（參數(shù)）記錄authlog、wtmp.log、sulogfailedlogin日志必須存儲(chǔ)在日志服務(wù)器中2個(gè)文件屬性（管理員賬號(hào)只讀）文件屬性（管理員賬號(hào)只

說(shuō)明記錄必需的日志信息，以便進(jìn)行審計(jì)使用日志服務(wù)器接受與存儲(chǔ)主機(jī)日志日志必須保存月修改日志配置文限400修改日志文件wtmp.logsulog讀）failedlogin權(quán)限為服務(wù)化應(yīng)提高系統(tǒng)服務(wù)安全，優(yōu)化系統(tǒng)資源。基線技術(shù)求Finger服務(wù)telnet服務(wù)ftp服務(wù)（可選）sendmail服務(wù)（可選）Time服務(wù)Echo服務(wù)

基線標(biāo)準(zhǔn)（參數(shù)）禁止禁止禁止禁止禁止禁止

說(shuō)明Finger許遠(yuǎn)程查詢登陸用戶信息遠(yuǎn)程訪問(wèn)服務(wù)文件上傳服務(wù)（需要經(jīng)過(guò)批準(zhǔn)才啟用）郵件服務(wù)遠(yuǎn)程查詢登陸用戶信息服務(wù)網(wǎng)絡(luò)測(cè)試服務(wù)，回顯字符,為“拒絕服務(wù)”攻擊提供機(jī)會(huì),除非正在測(cè)試網(wǎng)絡(luò)，否則禁用

基線技術(shù)求Discard服務(wù)Daytime服務(wù)Chargen服務(wù)comsat服務(wù)

基線標(biāo)準(zhǔn)（參數(shù)）禁止禁止禁止禁止

說(shuō)明網(wǎng)絡(luò)測(cè)試服務(wù)，丟棄輸入,為“拒絕服務(wù)”攻擊提供機(jī)會(huì),除非正在測(cè)試網(wǎng)絡(luò)，否則禁用網(wǎng)絡(luò)測(cè)試服務(wù)，顯示時(shí)間,為“拒絕服務(wù)”攻擊提供機(jī)會(huì),除非正在測(cè)試網(wǎng)絡(luò)，否則禁用網(wǎng)絡(luò)測(cè)試服務(wù)，回應(yīng)隨機(jī)字符串為“拒絕服務(wù)”攻擊提供機(jī)會(huì),除非正在測(cè)試網(wǎng)絡(luò)，否則禁用comsat知接收的電子郵件，以root用戶身份運(yùn)行因此涉及全性,很少需要的,禁用Kerberos登錄，如果您的站點(diǎn)使用klogin服務(wù)（可選）kshell服務(wù)（可選）ntalk服務(wù)

禁止Kerberos認(rèn)證則啟用（需要經(jīng)過(guò)批準(zhǔn)才啟用）Kerberosshell如果您的站點(diǎn)使用禁止Kerberos認(rèn)證則啟用（需要經(jīng)過(guò)批準(zhǔn)才啟用）ntalk允許用戶相互交談root用戶身份禁止運(yùn)行，除非絕對(duì)需要，否則禁用在網(wǎng)上兩個(gè)用戶間建立分區(qū)屏幕，不是必需talk服務(wù)tftp服務(wù)uucp服務(wù)dtspc服務(wù)（可選）安全護(hù)

禁止禁止禁止禁止

服務(wù)，與talk命令一起使用，在端口提供UDP服務(wù)以root用戶身份運(yùn)行并且可能危及安全除非有使用UUCP的應(yīng)用程序，否則禁用CDE子過(guò)程控制，不用圖形管理則禁用應(yīng)對(duì)系統(tǒng)安全配置參數(shù)進(jìn)行調(diào)整，提高系統(tǒng)安全。基線技術(shù)求Umask限控制用戶登錄會(huì)話其他

基線標(biāo)準(zhǔn)（參數(shù)）022設(shè)置為600秒

說(shuō)明修改默認(rèn)文件權(quán)限設(shè)置超時(shí)時(shí)間，控制用戶登錄會(huì)話應(yīng)對(duì)關(guān)鍵文件進(jìn)行權(quán)限調(diào)整，提高關(guān)鍵文件的安全。

基線技術(shù)求

基線標(biāo)準(zhǔn)（參數(shù)）

說(shuō)明a)

/etc/passwd設(shè)置、group、security關(guān)鍵文件和關(guān)鍵文件的安全保護(hù)b)

/etc/group目錄的權(quán)限c)

/etc/security目錄系統(tǒng)全線術(shù)求補(bǔ)丁理應(yīng)使Windows操系統(tǒng)的補(bǔ)丁達(dá)到管理基線?；€技術(shù)求安全服務(wù)包安全補(bǔ)丁

基線標(biāo)準(zhǔn)（參數(shù)）win2003SP2win2000SP4更新到最新

說(shuō)明安裝微軟最新的安全服務(wù)包補(bǔ)丁更新至最新用戶號(hào)口安應(yīng)配置用戶賬號(hào)與口令安全策略，提高主機(jī)系統(tǒng)賬戶與口令安全。基線技術(shù)求密碼必須符合復(fù)雜性要求（可選）密碼長(zhǎng)度最小值密碼最長(zhǎng)使用期限（可選）密碼最短使用期限強(qiáng)制密碼歷史復(fù)位帳戶鎖定計(jì)數(shù)器帳戶鎖定時(shí)間帳戶鎖定閥值guest號(hào)administrator（可選）帳號(hào)檢查與管理日志審

基線標(biāo)準(zhǔn)（參數(shù)）啟用81801天5次3鐘5鐘5次無(wú)效登錄禁止重命名禁用無(wú)需使用帳號(hào)

說(shuō)明密碼安全策略密碼安全策略密碼安全策略密碼安全策略密碼安全策略帳戶鎖定策略帳戶鎖定策略帳戶鎖定策略禁用戶使用加強(qiáng)用禁用無(wú)需使用帳號(hào)應(yīng)對(duì)系統(tǒng)的日志進(jìn)行安全控制與管理，保護(hù)日志的安全與有效性?；€技術(shù)求

基線標(biāo)準(zhǔn)（參數(shù)）

說(shuō)明審核帳號(hào)登錄事件審核帳號(hào)管理審核目錄服務(wù)訪問(wèn)

成功與失敗成功與失敗成功

日志審核策略日志審核策略日志審核策略

基線技術(shù)求審核登錄事件審核對(duì)象訪問(wèn)審核策略更改審核特權(quán)使用審核過(guò)程跟蹤審核系統(tǒng)事件應(yīng)用日志安全日志系統(tǒng)日志日志存儲(chǔ)（可選）日志保存要求服務(wù)化

基線標(biāo)準(zhǔn)（參數(shù)）成功與失敗無(wú)審核成功與失敗無(wú)審核無(wú)審核成功50-1024M50-1024M50-1024M指定日志服務(wù)器2月

說(shuō)明日志審核策略日志審核策略日志審核策略日志審核策略日志審核策略日志審核策略最大日志容量最大日志容量最大日志容量日志存儲(chǔ)在日志服務(wù)器中日志必須保存月應(yīng)提高系統(tǒng)服務(wù)安全，優(yōu)化系統(tǒng)資源。基線技術(shù)求

基線標(biāo)準(zhǔn)（參數(shù)）

說(shuō)明Alerter

服務(wù)

禁止Clipbook服務(wù)ComputerBrowserMessengerRemoteRegistryServiceRoutingandRemoteAccessSimpleMailTrasferProtocol(SMTP)（可選）SimpleNetworkManagementProtocol(SNMP)Service（可選）SimpleNetworkManagementProtocol(SNMP)Trap（可選）TelnetWorldWideWebPublishing

禁止禁止禁止禁止禁止禁止禁止禁止禁止

若網(wǎng)管需要可開(kāi)放該服務(wù)，但需修改缺省SNMP體名和僅對(duì)指定管理IP開(kāi)。Service（可選）

禁止

基線技術(shù)求PrintSpoolerAutomaticUpdatesTerminalService安全護(hù)

基線標(biāo)準(zhǔn)（參數(shù)）禁止禁止禁止

說(shuō)明應(yīng)通過(guò)對(duì)系統(tǒng)配置參數(shù)調(diào)整，提高系統(tǒng)安全?；€技術(shù)求文件系統(tǒng)格式桌面屏保防病毒軟件防病毒代碼庫(kù)文件共享（可選）系統(tǒng)自帶防火墻（可選）默認(rèn)共享網(wǎng)絡(luò)訪問(wèn):不允許匿名枚取SAM帳與共享網(wǎng)絡(luò)訪問(wèn):不允許匿名枚取ASM帳交互式登錄顯示上次的用戶名控制驅(qū)動(dòng)器自動(dòng)運(yùn)行控制在藍(lán)屏后自動(dòng)啟動(dòng)機(jī)器

基線標(biāo)準(zhǔn)（參數(shù)）NTFS3鐘安裝防病毒軟件及時(shí)更新控制啟用禁止IPC$、ADMIN$、C$、啟用啟用啟用禁止禁止

說(shuō)明指定磁盤(pán)文件系統(tǒng)桌面屏保設(shè)置為鐘安裝防病毒軟件更新到最新版本原則上禁止配置文件共享，但因工作需要必須配置共享，須設(shè)置帳戶與口令啟用禁止安全控制選項(xiàng)優(yōu)化安全控制選項(xiàng)優(yōu)化安全控制選項(xiàng)優(yōu)化禁止自動(dòng)運(yùn)行禁止藍(lán)屏后自動(dòng)啟動(dòng)機(jī)器Linux系安基技要設(shè)備理

應(yīng)配置系統(tǒng)安全管理工具防程訪問(wèn)服務(wù)攻擊或非授權(quán)訪問(wèn)高機(jī)系統(tǒng)遠(yuǎn)程管理安全?；€技術(shù)求管理遠(yuǎn)程工具訪問(wèn)控制

基線標(biāo)準(zhǔn)（參數(shù)）安裝SSH配置/etc/hosts.allow、/etc/hosts.deny

說(shuō)明OpenSSH為程管理高安全性工具，可保護(hù)管理過(guò)程中傳輸數(shù)據(jù)的安全,linux當(dāng)前版本都默認(rèn)安裝配置本機(jī)訪問(wèn)控制列表，提高主機(jī)系統(tǒng)安全訪問(wèn)用戶號(hào)口安應(yīng)配置用戶賬號(hào)與口令安全策略，提高主機(jī)系統(tǒng)賬戶與口令安全?；€技術(shù)求

基線標(biāo)準(zhǔn)（參數(shù)）

說(shuō)明a)b)c)

DaemonBinSys

清理多余用戶帳號(hào)，限制系統(tǒng)默認(rèn)帳號(hào)登錄，同限制系統(tǒng)無(wú)用的默認(rèn)d)

Adm

時(shí)，針對(duì)需要使用的用戶，制訂用戶列表進(jìn)行妥帳號(hào)登錄e)f)g)

UucpLpnobody

善保存root遠(yuǎn)登錄

禁止a)PASS_MAX_DAYS180（可選）

禁止遠(yuǎn)登錄a)密碼使用最長(zhǎng)期限為180天b)密碼1天內(nèi)不能更改口令策略b)

PASS_MIN_DAYS1控制用戶登錄會(huì)話FTP戶帳號(hào)控制日志審

c)PASS_WARN_AGE28d)PASS_MIN_LEN8設(shè)置為600秒/etc/ftpusers

c)密碼過(guò)期之前28天提示修改d)密碼長(zhǎng)度最小8位字符設(shè)置超時(shí)時(shí)間，控制用戶登錄會(huì)話禁止用使用FTP應(yīng)對(duì)系統(tǒng)的日志進(jìn)行安全控制與管理，保護(hù)日志的安全與有效性?；€技術(shù)求捕獲authpriv消息日志存儲(chǔ)（可選）日志保存要求

基線標(biāo)準(zhǔn)（參數(shù)）authpriv日指定日志服務(wù)器2月

說(shuō)明記錄有關(guān)安全方面日志消息(網(wǎng)絡(luò)設(shè)備啟動(dòng)、usermod、等)使用日志服務(wù)器接受與存儲(chǔ)主機(jī)日志日志必須保存?zhèn)€月

基線技術(shù)求日志系統(tǒng)配置文件保護(hù)服務(wù)化

基線標(biāo)準(zhǔn)（參數(shù)）文件屬性（管理員號(hào)只讀）

說(shuō)明修改日志配置文件（syslog.conf）權(quán)限為應(yīng)提高系統(tǒng)服務(wù)安全，優(yōu)化系統(tǒng)資源?；€技術(shù)求telnet服務(wù)ftp服務(wù)（可選）sendmail服務(wù)（可選）klogin服務(wù)kshell服務(wù)ntalk服務(wù)tftp服務(wù)imap服務(wù)（可選）pop3服（可選）GUI務(wù)（可選）X務(wù)（可選）xinetd啟動(dòng)服務(wù)（可選）安全護(hù)

基線標(biāo)準(zhǔn)（參數(shù)）禁止禁止禁止禁止禁止禁止禁止禁止禁止禁止禁止禁止

說(shuō)明遠(yuǎn)程訪問(wèn)服務(wù)文件上傳服務(wù)（需要經(jīng)過(guò)批準(zhǔn)才啟用）郵件服務(wù)Kerberos登錄果您的站點(diǎn)使用Kerberos認(rèn)證則啟用（需要經(jīng)過(guò)批準(zhǔn)才啟用）Kerberosshell如果您的站點(diǎn)使用認(rèn)證則啟用（需要經(jīng)過(guò)批準(zhǔn)才啟用）newtalk以root用戶身份運(yùn)行并且可能危及安全郵件服務(wù)郵件服務(wù)圖形管理服務(wù)通用的界面系統(tǒng)自動(dòng)啟動(dòng)服務(wù)：nfs、nfslock、autofs、ypbindypserv、yppasswdd、portmapsmb、lpd、httpd、snmpd、postgresql、mysqld、webmin、kudzu、cups、ip6tablesiptables、pcmcia、bluetoothNSResponder、、avahi-daemoncanna、cups-config-daemonFreeWnn、hidd應(yīng)對(duì)Linux系配置參數(shù)調(diào)整，高系統(tǒng)安全。

基線技術(shù)求Umask限

基線標(biāo)準(zhǔn)（參數(shù)）022a)/etc/passwd

說(shuō)明修改默認(rèn)文件權(quán)限敏感文件安全保護(hù)b)c)

/etc/group/etc/shadow

保護(hù)口令文件UNIX系統(tǒng)安基技要設(shè)備理應(yīng)配置系統(tǒng)安全管理工具防程訪問(wèn)服務(wù)攻擊或非授權(quán)訪問(wèn)高機(jī)系統(tǒng)遠(yuǎn)程管理安全?；€技術(shù)求管理遠(yuǎn)程工具訪問(wèn)控制工具控制遠(yuǎn)程管理

基線標(biāo)準(zhǔn)（參數(shù)）安裝安裝配置訪問(wèn)管理

說(shuō)明OpenSSH遠(yuǎn)程管理高安全性工具，可保護(hù)管理過(guò)程中傳輸數(shù)據(jù)的安全TCP_Wrappers為訪問(wèn)控制組件，通過(guò)配訪問(wèn)控制列表，限制利用問(wèn)主機(jī)允許系統(tǒng)管理員可訪SSH服務(wù)用戶號(hào)口安應(yīng)配置用戶賬號(hào)與口令安全策略，提高主機(jī)系統(tǒng)賬戶與口令安全?；€技術(shù)求

基線標(biāo)準(zhǔn)（參數(shù)）

說(shuō)明a)b)c)d)e)f)g)

wwwsyssmbnulliwwwowwwsshdhpsmh系統(tǒng)管理員應(yīng)根據(jù)系統(tǒng)的具體情況禁用默認(rèn)無(wú)用用戶h)

named對(duì)默認(rèn)賬號(hào)進(jìn)行禁用或控制i)j)k)l)m)n)o)

uucpnuucpadmdaemonbinlpnobody

基線技術(shù)求root遠(yuǎn)登錄

基線標(biāo)準(zhǔn)（參數(shù)）p)noaccessq)hpdbr)useradm禁止PASSWORD_MAXDAYS=180（可選）PASSWORD_MINDAYS=1PASSWORD_WARNDAYS=28MIN_PASSWORD_LENGTH=8

說(shuō)明禁止遠(yuǎn)程登錄口令最長(zhǎng)有效期為天口令最短有效期為天口令到期之前天提示修改口令最短為字符口令策略PASSWORD_HISTORY_DEPTH=10PASSWORD_MIN_UPPER_CASE_CHARS=1PASSWORD_MIN_DIGIT_CHARS=1PASSWORD_MIN_SPECIAL_CHARS=1PASSWORD_MIN_LOWER_CASE_CHARS=1

口令次不能重復(fù)口令中最少有大寫(xiě)字母口令中最少包含數(shù)字口令中最少包含特殊字符口令中最少包含小寫(xiě)字母連續(xù)登錄失敗后鎖定用戶帳號(hào)策略FTP戶帳號(hào)控制

AUTH_MAXTRIES=5禁止非號(hào)使用

帳號(hào)登錄失敗鎖定為10分鐘修改文件日志審應(yīng)對(duì)系統(tǒng)的日志進(jìn)行安全控制與管理，保護(hù)日志的安全與有效性?；€技術(shù)求inetd志ftp志接受遠(yuǎn)程日志日志保存要求日志系統(tǒng)配置文件保護(hù)

基線標(biāo)準(zhǔn)（參數(shù)）開(kāi)啟開(kāi)啟禁止2個(gè)月文件屬性

說(shuō)明記錄日志信息FTP日志禁止接受網(wǎng)絡(luò)日志日志必須保存2個(gè)月控制日志文件訪問(wèn)服務(wù)化可）應(yīng)提高系統(tǒng)服務(wù)安全，優(yōu)化系統(tǒng)資源?；€技術(shù)求

基線標(biāo)準(zhǔn)（參數(shù)）

說(shuō)明echo服discard務(wù)daytime務(wù)chargen務(wù)

禁止禁止禁止禁止

字符回顯測(cè)試丟棄字符測(cè)試時(shí)間同步發(fā)送字符測(cè)試

基線技術(shù)求exec服ntalk務(wù)finger服uucp服rpc.rstat務(wù)rpc.rusersd務(wù)rpc.rwalld服rpc.sprayd服rpc.cmsd服printer務(wù)kshell服klogin服nis.server服nis.client服

基線標(biāo)準(zhǔn)（參數(shù)）禁止禁止禁止禁止禁止禁止禁止禁止禁止禁止禁止禁止禁止

說(shuō)明提供rexec遠(yuǎn)執(zhí)行命令基于字符的聊天用戶信息查詢unix-to-unix貝查詢服務(wù)器內(nèi)核信息查詢用戶信息用戶信息通告系統(tǒng)性能信息服務(wù)CDE環(huán)境的的日歷服務(wù)打印服務(wù)kerbores議的shell服kerbores議的login服nis服務(wù)端nisplus.server務(wù)nisplus.client務(wù)

nis客戶端禁止nis+服務(wù)端nis+客戶端sendmail服lp服tps.rc服pd服mrouted務(wù)rwhod務(wù)named務(wù)samba務(wù)cifsclient務(wù)安全護(hù)

禁止禁止禁止禁止禁止禁止禁止禁止禁止

SMTP務(wù)打印服務(wù)打印服務(wù)打印服務(wù)路由服務(wù)用戶信息查詢DNS服務(wù)windows系統(tǒng)文件共享訪問(wèn)windows文系統(tǒng)應(yīng)對(duì)系統(tǒng)配置參數(shù)進(jìn)行調(diào)整，提高系統(tǒng)安全?；€技術(shù)求.netrc.rhosts

基線標(biāo)準(zhǔn)（參數(shù)）

說(shuō)明禁用

該服務(wù)存在可以繞過(guò)登錄、.shosts文件cron安

控制權(quán)限為root擁只讀權(quán)限

基線技術(shù)求Umask限SNMP優(yōu)

基線標(biāo)準(zhǔn)（參數(shù)）022修改

說(shuō)明修改默認(rèn)文件權(quán)限防止信息泄漏5.2數(shù)庫(kù)數(shù)據(jù)系安基技要用戶號(hào)口安應(yīng)配置用戶賬號(hào)與口令安全策略，提高數(shù)據(jù)庫(kù)系統(tǒng)賬戶與口令安全。基線技術(shù)求數(shù)據(jù)庫(kù)主機(jī)管理員帳號(hào)oracle帳

基線技術(shù)（參數(shù)）控制默認(rèn)主機(jī)管理員賬號(hào)刪除無(wú)用帳號(hào)

說(shuō)明禁止使用oracle作為數(shù)據(jù)庫(kù)主機(jī)管理員帳號(hào)清理帳號(hào)，刪除無(wú)用帳號(hào)如默認(rèn)帳號(hào)數(shù)據(jù)SYSDBA帳號(hào)

修改口令DBSNMPSCOTT修改配置參數(shù)禁止遠(yuǎn)程登禁止遠(yuǎn)程登錄錄修改配置參數(shù)禁止自動(dòng)登禁止自動(dòng)登錄錄a)口令策略b)c)

PASSWORD_VERIFY_FUNCTION8PASSWORD_LIFE_TIME180(可選）PASSWORD_REUSE_MAX5

a)b)c)

密碼復(fù)雜度8個(gè)符口令有效期180天禁止使用最近次使用的口令帳號(hào)策略public權(quán)

FAILED_LOGIN_ATTEMPTS5優(yōu)化

連續(xù)5次錄失敗后鎖定用戶清理public各默認(rèn)權(quán)限日志審應(yīng)對(duì)系統(tǒng)的日志進(jìn)行安全控制與管理，保護(hù)日志的安全與有效性?；€技術(shù)求

基線標(biāo)準(zhǔn)（參數(shù)）

說(shuō)明日志審核登錄日志記錄數(shù)據(jù)庫(kù)操作日志（可選）日志審計(jì)策略（可選）

啟用啟動(dòng)啟動(dòng)OS

啟用數(shù)據(jù)庫(kù)審計(jì)功能建立日志表，啟動(dòng)觸發(fā)器建立日志表，啟動(dòng)觸發(fā)器日志記錄在操作系統(tǒng)中日志保存要求2月

日志必須保存2個(gè)月

基線技術(shù)求

基線標(biāo)準(zhǔn)（參數(shù)）

說(shuō)明日志文件保護(hù)安全護(hù)

啟用

設(shè)置訪問(wèn)日志文件權(quán)限應(yīng)對(duì)系統(tǒng)配置參數(shù)進(jìn)行調(diào)整，提高數(shù)據(jù)庫(kù)系統(tǒng)安全?；€技術(shù)求數(shù)據(jù)字典保護(hù)監(jiān)聽(tīng)程序加密監(jiān)聽(tīng)服務(wù)連接超時(shí)服務(wù)監(jiān)聽(tīng)端口（可選）

基線標(biāo)準(zhǔn)（參數(shù)）啟用數(shù)據(jù)字典保護(hù)設(shè)置監(jiān)聽(tīng)器口令編輯文件connect_timeout_listener=10秒在不影響應(yīng)用的情況下，更改默認(rèn)端口

說(shuō)明限制只SYSDBA權(quán)限的用戶才能訪問(wèn)數(shù)據(jù)字典設(shè)置監(jiān)聽(tīng)器口令設(shè)置監(jiān)聽(tīng)器連接超時(shí)修改默認(rèn)端口TCP1521數(shù)據(jù)系安基技要用戶號(hào)口安應(yīng)配置用戶賬號(hào)與口令安全策略，提高數(shù)據(jù)庫(kù)系統(tǒng)賬戶與口令安全。基線技術(shù)求administrator（可禁止登錄選）sa帳控可）重命名

基線標(biāo)準(zhǔn)（參數(shù)）

說(shuō)明禁止通過(guò)操作系統(tǒng)直接登錄防止利用SA攻用戶賬號(hào)權(quán)限口令策略（20052008版）

最小化8位字符須有大小寫(xiě)須有字母與數(shù)字

限制guest帳對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)加強(qiáng)數(shù)據(jù)庫(kù)口令安全日志審應(yīng)對(duì)系統(tǒng)的日志進(jìn)行安全控制與管理，保護(hù)日志的安全與有效性?；€技術(shù)求

基線標(biāo)準(zhǔn)（參數(shù)）

說(shuō)明登錄日志日志保存要求安全護(hù)

全部2個(gè)月

記錄登錄日志日志必須保存2個(gè)月應(yīng)對(duì)SQL系配置調(diào)整，提高系統(tǒng)安全。

基線技術(shù)求分離默認(rèn)安裝數(shù)據(jù)

基線標(biāo)準(zhǔn)（參數(shù)）pubs、NorthWind

說(shuō)明防止已知攻擊庫(kù)服務(wù)端口tcp1433

更改防止對(duì)TCP1433端口攻擊（可選）5.3中件Logic中件全線術(shù)求設(shè)備理應(yīng)配置管理控制臺(tái)，提高系統(tǒng)遠(yuǎn)程管理安全?；€技術(shù)求管理控制臺(tái)(選)

基線標(biāo)準(zhǔn)（參數(shù)）重命名控制臺(tái)文件夾（console

說(shuō)明將控制臺(tái)console重命名，禁止默認(rèn)方式訪問(wèn)用戶號(hào)口安應(yīng)配置用戶賬號(hào)與口令安全策略，提高系統(tǒng)賬戶與口令安全?；€技術(shù)求

基線標(biāo)準(zhǔn)（參數(shù)）

說(shuō)明口令策略

口令長(zhǎng)度最小字符

加強(qiáng)口令設(shè)置a)賬號(hào)策略b)c)日志審

LockoutThreshold(5)LockoutDuration(3)LockoutResetDuration(3)

失敗嘗試次數(shù)5次帳號(hào)鎖定時(shí)間3分鐘失敗嘗試時(shí)間3分鐘應(yīng)對(duì)系統(tǒng)的日志進(jìn)行安全控制與管理，保護(hù)日志的安全與有效性?；€技術(shù)求weblogin日記錄HTTP日記錄日志保存要求安全護(hù)

基線標(biāo)準(zhǔn)（參數(shù)）定義日志名稱及存儲(chǔ)位置定義日志名稱及存儲(chǔ)位置2個(gè)月

說(shuō)明記錄相關(guān)日志記錄相關(guān)日志日志必須保存2個(gè)月應(yīng)通過(guò)對(duì)Weblogic系統(tǒng)配置參數(shù)調(diào)整，提高系統(tǒng)安全?；€技術(shù)求

基線標(biāo)準(zhǔn)（參數(shù)）

說(shuō)明安裝優(yōu)化(選)

刪除Wizard刪除Builder刪除

防止已知攻擊防止已知攻擊防止已知攻擊

基線技術(shù)求

基線標(biāo)準(zhǔn)（參數(shù)）

說(shuō)明刪除示例域

防止已知攻擊連接會(huì)話超時(shí)控制5分鐘

設(shè)置超時(shí)時(shí)間，控制用戶登錄會(huì)話（10.3版）在服務(wù)器console管理中瀏覽器與服數(shù)據(jù)傳輸安全SSL碼服務(wù)端口SSL護(hù)Banner信其它容

修改默認(rèn)端口啟用主機(jī)名校驗(yàn)禁止發(fā)送服務(wù)標(biāo)識(shí)

器傳輸信息配置SSL默認(rèn)服務(wù)端口TCP7001修改為其它端通過(guò)禁用”HostnameVerificationIgnored”護(hù)SSL中間人攻擊通過(guò)禁用配置文件“ServerHeader”，防止信泄漏應(yīng)限制服務(wù)器的Socket數(shù)量?；€技術(shù)求

基線標(biāo)準(zhǔn)（參數(shù)）

說(shuō)明服務(wù)Socket數(shù)量MaximumOpenSockets=250HTTPServer中間安基技要求用戶號(hào)口安

限制應(yīng)用服務(wù)器Socket數(shù)量應(yīng)配置用戶賬號(hào)與口令安全策略，提高系統(tǒng)賬戶與口令安全?；€技術(shù)求優(yōu)化WEB服賬號(hào)

基線標(biāo)準(zhǔn)（參數(shù)）建立新的用戶、組作為的服務(wù)帳號(hào)

說(shuō)明為WEB服提供唯一小權(quán)限的用戶與組日志審應(yīng)對(duì)系統(tǒng)的日志進(jìn)行安全控制與管理，保護(hù)日志的安全與有效性?；€技術(shù)求日志級(jí)別錯(cuò)誤日志及記錄訪問(wèn)日志

基線標(biāo)準(zhǔn)（參數(shù)）noticeErrorLog/var/log/httpd/error_logCustomLog/var/log/httpd/access_logcombined

說(shuō)明采用notice日級(jí)別錯(cuò)誤日志保存配置訪問(wèn)日志文件名及位置日志保存要求2月服務(wù)化應(yīng)提高系統(tǒng)服務(wù)安全，優(yōu)化系統(tǒng)資源。

日志必須保存2個(gè)月

基線技術(shù)求精簡(jiǎn)系統(tǒng)模塊安全護(hù)

基線標(biāo)準(zhǔn)（參數(shù)）禁用不需要的模塊

說(shuō)明禁止安裝無(wú)需使用的模塊應(yīng)通過(guò)對(duì)Apache的配置調(diào)整，高系統(tǒng)安全?；€技術(shù)求禁止目錄遍歷隱藏版本信息連接超時(shí)優(yōu)化錯(cuò)誤信息自定義其它容

基線標(biāo)準(zhǔn)（參數(shù)）修改參數(shù)文件，禁止目錄遍歷關(guān)閉服務(wù)器應(yīng)答頭中的版本信息關(guān)閉服務(wù)器生成頁(yè)面的頁(yè)腳中版本信息設(shè)置為秒自定義401403404405500誤文件

說(shuō)明禁止遍歷操作系統(tǒng)目錄防止軟件版本信息泄漏拒絕服務(wù)防護(hù)修改錯(cuò)誤文件信息,止信息泄漏應(yīng)加強(qiáng)文件的權(quán)限，提高文件的安全?；€技術(shù)求權(quán)限增強(qiáng)

基線標(biāo)準(zhǔn)（參數(shù)）設(shè)置配置文件為屬主可讀寫(xiě)，其他用戶無(wú)權(quán)限

說(shuō)明嚴(yán)格設(shè)置配置文件和日志文件的權(quán)限止未授權(quán)訪問(wèn)中件全線術(shù)求用戶號(hào)口安應(yīng)配置用戶賬號(hào)與口令安全策略，提高系統(tǒng)賬戶與口令安全?；€技術(shù)求修改默認(rèn)口令優(yōu)化WEB服賬號(hào)設(shè)置SHUTDOWN字符串日志審

基線標(biāo)準(zhǔn)（參數(shù)）修改默認(rèn)口令或禁用默認(rèn)賬號(hào)以Tomcat用運(yùn)行服務(wù)設(shè)置shutdown為復(fù)雜的字符串

說(shuō)明提高賬號(hào)口令安全為WEB服提供唯一小權(quán)限的用戶與組，增強(qiáng)安全性防止惡意用戶telnet8005端口后送SHUTDOWN命停止Tomcat服務(wù)應(yīng)對(duì)系統(tǒng)的日志進(jìn)行安全控制與管理，保護(hù)日志的安全與有效性?；€技術(shù)求訪問(wèn)日志審計(jì)日志保存要求安全護(hù)

基線標(biāo)準(zhǔn)（參數(shù)）增加訪問(wèn)日志審計(jì)2個(gè)月

說(shuō)明記錄錯(cuò)誤信息和訪問(wèn)信息日志必須保存2個(gè)月

應(yīng)對(duì)系統(tǒng)的配置進(jìn)行調(diào)整，提高系統(tǒng)安全。基線技術(shù)求隱藏版本信息禁止目錄遍歷錯(cuò)誤信息自定義

基線標(biāo)準(zhǔn)（參數(shù)）去掉版本信息文件中的版本信息修改參數(shù)文件，禁止目錄遍歷自定義400403404500錯(cuò)誤文件

說(shuō)明防止軟件版本信息泄漏禁止遍歷操作系統(tǒng)目錄修改錯(cuò)誤文件信息內(nèi)容止信息泄漏IIS中間安基技要安全置應(yīng)通過(guò)對(duì)系統(tǒng)的參數(shù)進(jìn)行配置，提高系統(tǒng)安全。基線技術(shù)求IIS省安裝文件IIS務(wù)配置IIS全配置日志審

基線標(biāo)準(zhǔn)（參數(shù)）刪除不需要使用默認(rèn)安裝文件卸載不需要的IIS服務(wù)超時(shí)設(shè)置為120秒

說(shuō)明刪除部分安裝缺省文件或目錄，加IIS安全對(duì)默認(rèn)服務(wù)進(jìn)行優(yōu)化升系統(tǒng)安全性和資源利用效率通過(guò)對(duì)配置調(diào)整，提高系統(tǒng)安全應(yīng)對(duì)系統(tǒng)的日志進(jìn)行安全控制與管理，保護(hù)日志的安全與有效性?；€技術(shù)求日志審計(jì)日志保存要求其他容

基線標(biāo)準(zhǔn)（參數(shù)）啟用IIS日志2個(gè)月

說(shuō)明啟用IIS日記錄錄詳細(xì)的志信息日志必須保存2個(gè)月應(yīng)最小化腳本映射，達(dá)到減少被腳本攻擊的風(fēng)險(xiǎn)?；€技術(shù)求最小化腳本映射配置（可選）

基線標(biāo)準(zhǔn)（參數(shù)）刪除.cdx和cer

說(shuō)明減少服務(wù)器腳本攻擊的風(fēng)險(xiǎn)5.4路器交機(jī)路器交機(jī)全基技要設(shè)備理應(yīng)配置設(shè)備管理服務(wù)防程問(wèn)服務(wù)攻擊或非授權(quán)訪問(wèn)高絡(luò)設(shè)備遠(yuǎn)程管理安全。

基線技術(shù)求遠(yuǎn)程管理服務(wù)認(rèn)證方式管理IP地控制

基線標(biāo)準(zhǔn)（參數(shù)）啟用ssh服采用本地認(rèn)證允許管理員IP地址

說(shuō)明采用ssh服代替telnet服管理網(wǎng)絡(luò)設(shè)備，提高設(shè)備管理安全性啟用設(shè)備本地認(rèn)證配置訪問(wèn)控制列表，只允許管理員IP或網(wǎng)段能訪問(wèn)網(wǎng)絡(luò)設(shè)備管理服務(wù)console口管理

console口令認(rèn)證console配置口令認(rèn)證信息用戶號(hào)口安應(yīng)配置用戶賬號(hào)與口令安全策略，提高網(wǎng)絡(luò)設(shè)備賬戶與口令安全?；€技術(shù)求Servicepassword密碼enable密帳戶登錄空閑時(shí)間密碼長(zhǎng)度日志審

基線標(biāo)準(zhǔn)（參數(shù)）加密加密登錄超時(shí)時(shí)間5分鐘8位

說(shuō)明采用servicepassword-encryption采用secret對(duì)碼進(jìn)行加密設(shè)置consolevty登錄超時(shí)時(shí)5分鐘密碼長(zhǎng)度為8個(gè)符應(yīng)對(duì)系統(tǒng)的日志進(jìn)行安全控制與管理，保護(hù)日志的安全與有效性。基線技術(shù)求更SNMP團(tuán)體選）轉(zhuǎn)存日志（可選）

基線標(biāo)準(zhǔn)（參數(shù)）更改SNMPCommunity配置日志服務(wù)器

說(shuō)明修改默認(rèn)值public更改SNMP主機(jī)IP設(shè)置接受與存儲(chǔ)日志信息日志保存要求（可選）2月服務(wù)化應(yīng)提高網(wǎng)絡(luò)設(shè)備的安全性，對(duì)設(shè)備服務(wù)進(jìn)行優(yōu)化。

日志必須保存2個(gè)月基線技術(shù)求

基線標(biāo)準(zhǔn)（參數(shù)）

說(shuō)明TCP、Small服務(wù)Finger服HTTP服HTTPS務(wù)BOOTp務(wù)IPSourceRouting務(wù)ARP-Proxy務(wù)

禁止禁止禁止禁止禁止禁止禁止

禁用無(wú)用服務(wù)禁用無(wú)用服務(wù)禁用無(wú)用服務(wù)禁用無(wú)用服務(wù)禁用無(wú)用服務(wù)禁用無(wú)用服務(wù)禁用無(wú)用服務(wù)

基線技術(shù)求

基線標(biāo)準(zhǔn)（參數(shù)）

說(shuō)明cdp務(wù)（可選）FTP務(wù)安全護(hù)

禁止禁止

禁用無(wú)用服務(wù)禁用無(wú)用服務(wù)應(yīng)對(duì)設(shè)備配置進(jìn)行調(diào)整，提高設(shè)備或網(wǎng)絡(luò)安全性。基線技術(shù)求loginbanner信息NTP務(wù)使用BGP證（可選）EIGRP證（可選）OSPF認(rèn)（可選）RIPv2證（可選）

基線標(biāo)準(zhǔn)（參數(shù)）修改默認(rèn)值統(tǒng)一NTP時(shí)啟用啟用啟用啟用

說(shuō)明防止信息泄露建立統(tǒng)一時(shí)鐘加強(qiáng)路由信息安全加強(qiáng)路由信息安全加強(qiáng)路由信息安全加強(qiáng)路由信息安全I(xiàn)CMP服加強(qiáng)（可選）數(shù)據(jù)流控制

大量的使用ICMP數(shù)據(jù)包的DoS攻擊接入層網(wǎng)絡(luò)設(shè)備端口控制MAC定網(wǎng)絡(luò)端口

TCP5554TCP9996TCP4444UDP1434IP+MAC+端綁定關(guān)閉

震蕩波端口震蕩波端口Blaster端口Slammer端口重要服務(wù)器采用IP+MAC+口綁定關(guān)閉沒(méi)用網(wǎng)絡(luò)端口華為絡(luò)備全線術(shù)求設(shè)備理應(yīng)配置設(shè)備管理服務(wù)防程問(wèn)服務(wù)攻擊或非授權(quán)訪問(wèn)高絡(luò)設(shè)備遠(yuǎn)程管理安全?；€標(biāo)準(zhǔn)求遠(yuǎn)程管理服務(wù)認(rèn)證方式管理IP地控制

基線技術(shù)（參數(shù)）啟用ssh服采用本地認(rèn)證允許管理員IP地址

說(shuō)明采用ssh服代替telnet服管理網(wǎng)絡(luò)設(shè)備提高設(shè)備管理安全性條件不具備的設(shè)備走特殊審批流程啟用設(shè)備本地認(rèn)證配置訪問(wèn)控制列表，只允許管理員IP或網(wǎng)段能訪問(wèn)網(wǎng)絡(luò)設(shè)備管理服務(wù)console口管理

console口令認(rèn)證console配置口令認(rèn)證信息用戶號(hào)口安應(yīng)配置用戶賬號(hào)與口令安全策略，提高網(wǎng)絡(luò)設(shè)備賬戶與口令安全。

基線標(biāo)準(zhǔn)求system密帳戶登錄空閑時(shí)間密碼長(zhǎng)度日志審

基線標(biāo)準(zhǔn)（參數(shù)）加密登錄超時(shí)時(shí)間5分鐘8位

說(shuō)明采用cipher對(duì)碼進(jìn)行加密設(shè)置consolevty登錄超時(shí)時(shí)5分鐘密碼長(zhǎng)度為8個(gè)符應(yīng)對(duì)系統(tǒng)的日志進(jìn)行安全控制與管理，保護(hù)日志的安全與有效性?；€技術(shù)求更SNMP團(tuán)體選）轉(zhuǎn)存日志（可選）

基線標(biāo)準(zhǔn)（參數(shù)）更改SNMPCommunity配置日志服務(wù)器

說(shuō)明修改默認(rèn)值public更改SNMP主機(jī)IP設(shè)置接受與存儲(chǔ)日志信息日志保存要求（可選）2月服務(wù)化應(yīng)提高網(wǎng)絡(luò)設(shè)備的安全性，優(yōu)化設(shè)備資源。

日志必須保存2個(gè)月基線技術(shù)求

基線標(biāo)準(zhǔn)（參數(shù)）

說(shuō)明telnet服http服FTP務(wù)安全護(hù)

禁用禁用禁止

采用ssh代telnet服，條件不具備的設(shè)備走特殊審批流程關(guān)閉弱服務(wù)禁用Ftp服應(yīng)對(duì)設(shè)備配置進(jìn)行調(diào)整，提高設(shè)備或網(wǎng)絡(luò)安全性?；€技術(shù)求BGP證（可選）OSPF認(rèn)（可選）RIPv2證（可選）NTP務(wù)使用接入層網(wǎng)絡(luò)設(shè)備端口控制MAC定網(wǎng)絡(luò)端口

基線標(biāo)準(zhǔn)（參數(shù)）啟用啟用啟用統(tǒng)一NTP時(shí)TCP5554TCP9996TCP4444UDP1434IP+MAC+端綁定關(guān)閉

說(shuō)明加強(qiáng)路由信息安全加強(qiáng)路由信息安全加強(qiáng)路由信息安全建立統(tǒng)一時(shí)鐘震蕩波端口震蕩波端口Blaster端口Slammer端口重要服務(wù)器采用IP+MAC+口綁定關(guān)閉沒(méi)用網(wǎng)絡(luò)端口中興由/換安基技要

設(shè)備理應(yīng)配置設(shè)備管理服務(wù)防程問(wèn)服務(wù)攻擊或非授權(quán)訪問(wèn)高絡(luò)設(shè)備遠(yuǎn)程管理安全?；€技術(shù)求遠(yuǎn)程管理服務(wù)認(rèn)證方式管理IP地控制

基線標(biāo)準(zhǔn)（參數(shù)）啟用ssh服采用本地認(rèn)證允許管理員IP地址

說(shuō)明采用ssh服代替telnet服管理網(wǎng)絡(luò)設(shè)備，提高設(shè)備管理安全性啟用設(shè)備本地認(rèn)證配置訪問(wèn)控制列表，只允許管理員IP或網(wǎng)段能訪問(wèn)網(wǎng)絡(luò)設(shè)備管理服務(wù)console口管理

console口令認(rèn)證console配置口令認(rèn)證信息用戶號(hào)口安應(yīng)配置用戶賬號(hào)與口令安全策略，提高網(wǎng)絡(luò)設(shè)備賬戶與口令安全。基線技術(shù)求Servicepassword密碼enable密帳戶登錄空閑時(shí)間密碼長(zhǎng)度日志審

基線標(biāo)準(zhǔn)（參數(shù)）加密加密登錄超時(shí)時(shí)間5分鐘8位

說(shuō)明采用servicepassword-encryption采用secret對(duì)碼進(jìn)行加密設(shè)置consolevty登錄超時(shí)時(shí)5分鐘密碼長(zhǎng)度為8個(gè)符應(yīng)對(duì)系統(tǒng)的日志進(jìn)行安全控制與管理，保護(hù)日志的安全與有效性?；€技術(shù)求更SNMP團(tuán)體選）轉(zhuǎn)存日志（可選）

基線標(biāo)準(zhǔn)（參數(shù)）更改SNMPCommunity更改SNMP主IP配置日志服務(wù)器

說(shuō)明修改默認(rèn)值public指定SNMP主機(jī)IP設(shè)置接受與存儲(chǔ)日志信息日志保存要求（可選）2月服務(wù)化應(yīng)提高網(wǎng)絡(luò)設(shè)備的安全性，對(duì)設(shè)備服務(wù)進(jìn)行優(yōu)化。

日志必須保存2個(gè)月基線技術(shù)求

基線標(biāo)準(zhǔn)（參數(shù)）

說(shuō)明TCP、Small服務(wù)Finger服HTTP服HTTPS務(wù)BOOTp務(wù)

禁止禁止禁止禁止禁止

禁用無(wú)用服務(wù)禁用無(wú)用服務(wù)禁用無(wú)用服務(wù)禁用無(wú)用服務(wù)禁用無(wú)用服務(wù)

基線技術(shù)求

基線標(biāo)準(zhǔn)（參數(shù)）

說(shuō)明IPSourceRouting務(wù)ARP-Proxy務(wù)cdp務(wù)（可選）FTP務(wù)安全護(hù)

禁止禁止禁止禁止

禁用無(wú)用服務(wù)禁用無(wú)用服務(wù)禁用無(wú)用服務(wù)禁用無(wú)用服務(wù)應(yīng)對(duì)設(shè)備配置進(jìn)行調(diào)整，提高設(shè)備或網(wǎng)絡(luò)安全性?；€技術(shù)求loginbanner信息NTP務(wù)使用BGP證（可選）EIGRP證（可選）OSPF認(rèn)（可選）RIPv2證（可選）

基線標(biāo)準(zhǔn)（參數(shù)）修改默認(rèn)值統(tǒng)一NTP時(shí)啟用啟用啟用啟用

說(shuō)明防止信息泄露建立統(tǒng)一時(shí)鐘加強(qiáng)路由信息安全加強(qiáng)路由信息安全加強(qiáng)路由信息安全加強(qiáng)路由信息安全I(xiàn)CMP服加強(qiáng)（可選）數(shù)據(jù)流控制

大量的使用ICMP數(shù)據(jù)包的DoS攻擊接入層網(wǎng)絡(luò)設(shè)備端口控制MAC定網(wǎng)絡(luò)端口

TCP5554TCP9996TCP4444UDP1434IP+MAC+端綁定關(guān)閉

震蕩波端口震蕩波端口Blaster端口Slammer端口重要服務(wù)器采用IP+MAC+口綁定關(guān)閉沒(méi)用網(wǎng)絡(luò)端口5.5防墻Cisco防墻PixFWSM）全線術(shù)求設(shè)備理應(yīng)配置設(shè)備管理服務(wù)防程問(wèn)服務(wù)攻擊或非授權(quán)訪問(wèn)高全設(shè)備遠(yuǎn)程管理安全。基線技術(shù)求遠(yuǎn)程管理服務(wù)管理IP地控制

基線標(biāo)準(zhǔn)（參數(shù)）啟用ssh服允許管理員IP地址

說(shuō)明采用ssh服代替telnet服管理網(wǎng)絡(luò)設(shè)備，提高設(shè)備管理安全性配置訪問(wèn)控制列表，只允許管理員IP或網(wǎng)段訪問(wèn)設(shè)備管理服務(wù)用戶號(hào)口安

應(yīng)配置用戶賬號(hào)與口令安全策略，提高設(shè)備賬戶與口令安全。基線技術(shù)求Servicepassword密碼enable密帳戶登錄空閑時(shí)間密碼長(zhǎng)度日志審

基線標(biāo)準(zhǔn)（參數(shù)）加密加密登錄超時(shí)時(shí)間5分鐘8位

說(shuō)明采用servicepassword-encryption采用secret對(duì)碼進(jìn)行加密登錄超時(shí)時(shí)間5分鐘密碼長(zhǎng)度為8個(gè)符應(yīng)對(duì)系統(tǒng)的日志進(jìn)行安全控制與管理，保護(hù)日志的安全與有效性?；€技術(shù)求更SNMP團(tuán)體選）轉(zhuǎn)存日志（可選）

基線標(biāo)準(zhǔn)（參數(shù)）更改SNMPCommunity配置日志服務(wù)器

說(shuō)明修改默認(rèn)值public更改SNMP主機(jī)IP設(shè)置接受與存儲(chǔ)日志信息日志保存要求（可選）2月服務(wù)化應(yīng)提高設(shè)備的安全性，優(yōu)化設(shè)備資源。

日志必須保存2個(gè)月基線技術(shù)求

基線標(biāo)準(zhǔn)（參數(shù)）

說(shuō)明HTTP服（可選）

禁止

禁用弱服務(wù)系列防墻全基技要設(shè)備理應(yīng)配置設(shè)備管理服務(wù)防程問(wèn)服務(wù)攻擊或非授權(quán)訪問(wèn)高全設(shè)備遠(yuǎn)程管理安全?；€標(biāo)準(zhǔn)求遠(yuǎn)程管理遠(yuǎn)程管理遠(yuǎn)程管理遠(yuǎn)程管理遠(yuǎn)程管理

基線技術(shù)（參數(shù)）啟用安全網(wǎng)絡(luò)管理服務(wù)SSH限制登錄口令錄入時(shí)間限制root登限制可登錄的訪問(wèn)地址啟用只接受管理流量的邏輯管理地址

說(shuō)明采用ssh服代替telnet服管理網(wǎng)絡(luò)設(shè)備，提高設(shè)備管理安全性設(shè)置登錄口令錄入時(shí)間，建議為30秒限制root用只能通過(guò)口訪問(wèn)設(shè)備，而不能遠(yuǎn)程登錄限制對(duì)特定工作站的管理能力，必須配置管理客戶端IP地址網(wǎng)絡(luò)用戶流量分離管理流量大大增加了管理安全性，并確保了穩(wěn)定的管理帶寬

基線標(biāo)準(zhǔn)求遠(yuǎn)程管理遠(yuǎn)程管理

基線技術(shù)（參數(shù)）更改HTTP監(jiān)端口號(hào)使用SSL保HTTP訪的安全性

說(shuō)明通過(guò)更改HTTP監(jiān)聽(tīng)端口號(hào)提高系統(tǒng)安全性配置并啟用HTTPS進(jìn)行設(shè)備遠(yuǎn)程管理用戶號(hào)口安應(yīng)配置用戶賬號(hào)與口令安全策略，提高設(shè)備賬戶與口令安全?；€技術(shù)求賬號(hào)和密碼管理賬號(hào)和密碼管理日志審

基線標(biāo)準(zhǔn)（參數(shù)）更改系統(tǒng)初始帳號(hào)和密碼限制密碼最短長(zhǎng)度

說(shuō)明在完成初始配置后應(yīng)盡快修改缺省用戶名和密碼應(yīng)將帳戶密碼最短長(zhǎng)度設(shè)置為8位應(yīng)對(duì)系統(tǒng)的日志進(jìn)行安全控制與管理，保護(hù)日志的安全與有效性?；€技術(shù)求SNMP配安全審計(jì)安全審計(jì)轉(zhuǎn)存日志（可選）

基線標(biāo)準(zhǔn)（參數(shù)）限制發(fā)起SNMP連接的源地址設(shè)置并定期更改SNMPCommunity除特殊情況，否則不設(shè)置SNMPRWCommunity針對(duì)重要策略開(kāi)啟信息流日志將日志轉(zhuǎn)發(fā)至SYSLOG服務(wù)器配置日志服務(wù)器

說(shuō)明至少半年一次設(shè)置接受與存儲(chǔ)日志信息日志保存要求（可選）2月安全護(hù)應(yīng)對(duì)設(shè)備配置進(jìn)行調(diào)整，提高設(shè)備或網(wǎng)絡(luò)安全性。

日志必須保存2個(gè)月基線技術(shù)求

基線標(biāo)準(zhǔn)（參數(shù)）

說(shuō)明防攻擊選項(xiàng)包括：SYNAttackICMPFloodUDPFloodPortAttack、安全設(shè)置NetScreen防墻的防攻擊設(shè)置Limit