2023年7月3日发(作者:)
系统软硬件维护手册
1.
操作系统安全基线要求
1.1. Windows
1.1.1. 密码长度
编号
项目
要求
备注说明
检查方法(参考)
检查工具
实施负责
检查负责
WINDOWS-001
密码长度限制
设置最小长度为8位
无
控制面板->管理工具->本地安全策略->windows设置->安全设置->帐户策略->密码策略:查看“密码长度最小值”项
无
操作系统管理员
信息安全人员
1.1.2. 密码过期时间
编号
项目
要求
备注说明
WINDOWS-002
密码过期时间
设置密码过期时间最长90天,最短1天
*以下条件可以不符合本条目:
Administrator(密码定期修改,如每年修改一次)
Replicate账户
IUSR_{system} and IWAM_{system} (IIS使用的账户)
或通过堡垒机实现
控制面板->管理工具->本地安全策略->windows设置->安全设置->帐户策略->密码策略:查看“密码最长使用期限”、“密码最短使用期限”项
或是否已通过堡垒机实现
无
操作系统管理员
信息安全人员
检查方法(参考)
检查工具
实施负责
检查负责
1.1.3. 密码复杂度
编号
项目
WINDOWS-003
密码复杂度 要求
备注说明
检查方法(参考)
检查工具
实施负责
检查负责
启用密码复杂度策略
无
控制面板->管理工具->本地安全策略->windows设置->安全设置->帐户策略->密码策略:查看“密码必须符合复杂性要求”项
无
操作系统管理员
信息安全人员
1.1.4. 密码加密
编号
项目
要求
备注说明
检查方法(参考)
检查工具
实施负责
检查负责
WINDOWS-004
密码加密
禁用“用可还原的加密来存储密码”策略
无
控制面板->管理工具->本地安全策略->windows设置->安全设置->帐户策略->密码策略:查看“用可还原的加密来存储密码”项
无
操作系统管理员
信息安全人员
1.1.5. 密码历史
编号
项目
要求
备注说明
检查方法(参考)
检查工具
实施负责
检查负责
WINDOWS-005
密码历史
设置“强制密码历史”为5
无
控制面板->管理工具->本地安全策略->windows设置->安全设置->帐户策略->密码策略:查看“强制密码历史”项
无
操作系统管理员
信息安全人员
1.1.6. 登录超时
编号
项目
要求
备注说明
检查方法(参考)
WINDOWS-006
操作超时时自动断开
设置登录超时不超过120分钟
可通过组策略设置,也可以通过堡垒机等工具实现
Windows本地组策略检查方法:
控制面板->管理工具->本地安全策略->windows设置->安全设置->本地策略->安全选项:查看“Microsoft 网络服务器:在挂起会话之前所需的空闲时间”项
检查工具
实施负责
检查负责
无
操作系统管理员
信息安全人员
1.1.7. 禁用GUEST
编号
项目
要求
备注说明
检查方法(参考)
检查工具
实施负责
检查负责
WINDOWS-007
Guest账户
禁用Guest账户策略(适用于不需要使用Guest账户的服务)
无
计算机管理->本地用户和组->用户
无
操作系统管理员
信息安全人员
1.1.8. 账户锁定
编号
项目
要求
备注说明
检查方法(参考)
WINDOWS-008
账户锁定策略
设置账户锁定策略为5次或更低,账户锁定时间不小于10分钟
无
控制面板->管理工具->本地安全策略->windows设置->安全设置->账户策略->账户锁定策略:查看子项
“复位账户锁定计数器”
“账户锁定时间”
“账户锁定阈值”
无
操作系统管理员
信息安全人员
检查工具
实施负责
检查负责
1.1.9. 登录信息清除
编号
项目
要求
备注说明
检查方法(参考)
检查工具
WINDOWS-009
不显示上次登录的用户名
启用相关策略
本地策略->安全选项->交互式登录:不显示上次登录用户名
控制面板->管理工具->本地安全策略->windows设置->安全设置->本地策略->安全选项:查看“交互式登录:不显示上次的用户名”项
无 实施负责
检查负责
操作系统管理员
信息安全人员
1.1.10. 服务最小化
编号
项目
要求
WINDOWS-010
关闭高危服务
关闭下列高危服务:
MESSENGER(03以下有)、ALERTER服务、WIRELESS ZERO
CONFIGURATION(03以下有)、TELNET(视业务情况确定)
上述服务均属于高危且不常使用的服务,对于上述服务需开启的应进行说明。
开始->运行->、工具扫描
端口扫描工具
操作系统管理员
信息安全人员
备注说明
检查方法(参考)
检查工具
实施负责
检查负责
1.1.11. 补丁更新
编号
项目
要求
备注说明
检查方法(参考)
检查工具
实施负责
检查负责
WINDOWS-011
补丁更新
安装最新的service pack,安装最新的安全补丁。
由管理员根据实际情况查找最新的service pack及安全补丁并安装
1、打开“开始->运行->cmd->systeminfo”命令,查看“修补程序”项目下修补程序数目;
2、打开“开始->运行->cmd->wmic qfe”命令,查看补丁最近更新时间。
无
操作系统管理员
信息安全人员
1.1.12. 其他安全策略
编号
项目
WINDOWS-012
其他安全策略 要求 开启下列安全策略:
1)禁止磁盘自动运行 开启相关安全策略
2)增大日志文件大小(如200M) 开启相关安全策略
3)防止用户安装打印机驱动程序 开启相关安全策略
备注说明
检查方法(参考)
无
1)磁盘自动运行:控制面板->管理工具->本地安全策略->管理模板->系统,查看子项:“关闭自动播放”;
2)、增大日志文件大小:控制面板->管理工具->计算机管理->系统工具->事件查看器,右击日志名->属性->常规,查看“日志大小”选项;
3)控制面板->管理工具->本地安全策略->windows设置->安全设置->本地策略->安全选项,查看子项:“设备:防止用户安装打印机驱动程序”。
无
操作系统管理员
信息安全人员
检查工具
实施负责
检查负责
1.1.13. 病毒防护
编号
项目
要求
WINDOWS-013
杀毒软件
安装防病毒软件并更新病毒定义到最新(病毒库在一周内);
启用自动防护功能;
设定了统一查杀策略;
应没有未清除的恶意代码。
无
查看桌面右下角图标,打开杀毒软件界面,查看查杀日志、病毒库更新日期、软件版本、查杀策略
无
操作系统管理员、防病毒管理员
信息安全人员
备注说明
检查方法(参考)
检查工具
实施负责
检查负责
1.1.14. 日志审计
编号
项目
WINDOWS-014
审计策略 要求 要求系统日志包括登录帐号、登录IP、登录时间、操作内容、操作结果;设置审计策略如下表所示:
审核账户登录事件
审核账户管理
审核系统事件
审核特权使用
审核策略更改
审核登录事件
审核过程跟踪
审核策略设置为"成功失败"
审核策略设置为"成功失败"
审核策略设置为"成功失败"
审核策略设置为"成功失败"
审核策略设置为"成功失败"
审核策略设置为"成功失败"
审核策略设置为“失败”
备注说明
检查方法(参考)
无
控制面板->管理工具->本地安全策略->windows设置->安全设置->本地策略>审核策略,查看各审核策略配置:“审核账户登录事件”、“审核账户管理”、“审核系统事件”、“审核特权使用”、“审核策略更改”、“审核登录事件”、“审核过程跟踪”
无
操作系统管理员
信息安全人员
检查工具
实施负责
检查负责
1.1.15. 账户安全
编号
项目
要求
备注说明
检查方法(参考)
WINDOWS-015
账号安全
不存在可疑账户、克隆账户、多余的账户、过期的账户;
无
计算机管理->本地用户和组->用户
1)控制面板->管理工具->计算机管理->系统工具->本地用户和组->用户:查看是否存在可疑账户、多余账户、过期账户等;
2)“开始->运行->regedit”命令,在“HKEY-LOCAL-MACHINE->SAM->SAM->Domains->Account->Users”项查看子项F键值是否存在克隆。(此项需要给administrator分配读取权限:右击“SAM子项->权限->administrator”,勾选读取权限)。
无
操作系统管理员
信息安全人员
检查工具
实施负责
检查负责
1.1.16. SNMP服务管理
编号
项目
要求
WINDOWS-016
启用系统SNMP V2c协议和修改community
配置服务开始-运行-查找snmp服务;修改community默认名称public,密码复杂度符合本标准要求,限制接收SNMP消息的IP地址
无
进入“控制面板->管理工具->服务”,右击“SNMP Services->属性->安全”,查看接受团体名称栏
无
操作系统管理员
信息安全人员
备注说明
检查方法(参考)
检查工具
实施负责
检查负责
1.2. Linux
1.2.1. 密码长度
编号
项目
要求
备注说明
检查方法(参考)
检查工具
实施负责
检查负责
LINUX-001
密码长度限制
设置最小长度为8位
无
cat /etc/-> PASS_MIN_LEN=8
无
操作系统管理员
信息安全人员
1.2.2.
密码过期时间
编号
项目
要求
备注说明
LINUX-002
密码过期时间
设置密码过期时间最长90天,最短1天
系统对系统,不可登录的账户可以不符合本项
ROOT密码定期修改(如每年修改一次)
或通过堡垒机实现
cat /etc/-> PASS_MAX_DAYS=90
或检查是否已通过堡垒机实现
无
操作系统管理员
信息安全人员
检查方法(参考)
检查工具
实施负责
检查负责 1.2.3. 密码复杂度
编号
项目
要求
备注说明
检查方法(参考)
LINUX-003
开启密码复杂度限制
设置必须包含大小写字母、数字组合和特殊字符
无
cat /etc/pam.d/system-auth-> password requisite pam_这么一行替换成如下:
password requisite pam_ retry=3(尝试3次) difok=3(不同字符) ucredit=-1(最少大写) lcredit= -1(最少小写) dcredit=-1(最少数字)
无
操作系统管理员
信息安全人员
检查工具
实施负责
检查负责
1.2.4. 密码重复次数
编号
项目
要求
备注说明
检查方法(参考)
检查工具
实施负责
检查负责
LINUX-004
密码使用历史限制
设置策略5次内设置密码不能重复
无
cat /etc/pam.d/system-auth查看:
remember=4
无
操作系统管理员
信息安全人员
1.2.5. 多余用户删除
编号
项目
要求
备注说明
检查方法(参考)
检查工具
实施负责
检查负责
LINUX-005
删除或锁定不使用的账户
检查系统账户,对于不使用的用户进行删除
无
cat /etc/passwd
无
操作系统管理员
信息安全人员 1.2.6. 登录超时
编号
项目
要求
备注说明
检查方法(参考)
检查工具
实施负责
检查负责
LINUX-006
操作超时时自动断开
设置登录超时时间1800秒(30分钟)
无
cat /etc/profile
设置如下语句:
TMOUT=1800
无
操作系统管理员
信息安全人员
1.2.7. 目录访问
编号
项目
要求
备注说明
检查方法(参考)
检查工具
实施负责
检查负责
LINUX-007
系统目录访问控制
设置下列目录权限others只有r-x或者更严格的权限
/opt、/etc、/usr和/var
无
ls –l –
无
操作系统管理员
信息安全人员
1.2.8. 文件权限
编号
项目
要求
LINUX-008
对关键文件做安全设置
更改/var/log/messages、/var/log/messages.*、/etc/shadow、/etc/passwd、/etc/group、/etc/gshadow、/etc/inittab、 /etc/profile的属性,设置更严格访问策略644
由管理员根据运维需要制定访问控制策略
ls –l查看文件权限设置
无
操作系统管理员
信息安全人员
备注说明
检查方法(参考)
检查工具
实施负责
检查负责 1.2.9. UMASK值
编号
项目
要求
备注说明
检查方法(参考)
检查工具
实施负责
检查负责
LINUX-009
重置UMASK值
将UMASK值设置为x22或更严格
无
cat /etc/profile中的UMASK项
无
操作系统管理员
信息安全人员
1.2.10. FTP限制
编号
项目
要求
LINUX-010
限制FTP Server使用
默认使用SFTP。
不允许使用非加密的FTP Server,如需要应使用加密的 FTP Server(如SSL over FTP Server)。限制登录的账户,密码复杂度需符合本标准要求。
不使用FTP的应关闭FTP服务
人工检查
人工检查
操作系统管理员
信息安全人员
备注说明
检查方法(参考)
检查工具
实施负责
检查负责
1.2.11. 远程管理
编号
项目
要求
备注说明
检查方法(参考)
检查工具
实施负责
检查负责
LINUX-011
使用SSH代替Telnet登录
安装OpenSSH最新版并关闭telnet,使用ssh登录
无
查看/etc/xinetd.d 下有无telnet文件,若有,将“disable = yes”改为“disable = no”。若无telnet文件,则表示telnet没安装
无
操作系统管理员
信息安全人员 1.2.12. IP转发
编号
项目
要求
LINUX-012
关闭IP转发
配置网络参数,关闭服务器IP转发功能(评估业务允许关闭的前提下进行)
# Controls IP packet forwarding
_forward = 0
# Controls source route verification
_filter = 1
# Do not accept source routing
_source_route = 0
无
cat /etc/
无
操作系统管理员
信息安全人员
备注说明
检查方法(参考)
检查工具
实施负责
检查负责
1.2.13. 日志文件权限限制
编号
项目
要求
备注说明
检查方法(参考)
检查工具
实施负责
检查负责
LINUX-013
对日志文件/var/log/*、/var/log/messages.*设置只有root有修改、删除权限
查看ls –l /var/log目录下权限,设置只有root有修改、删除权限
无
ls –l /var/log
无
操作系统管理员
信息安全人员
1.2.14. 配置SNMP
编号
项目
要求
备注说明
检查方法(参LINUX-014
启用系统SNMP V2协议和修改community
配置 /etc/snmp/修改community选项public
无
cat /etc/snmp/ 考)
检查工具
实施负责
检查负责
无
操作系统管理员
信息安全人员
1.2.15. 高危补丁更新
编号
项目
要求
备注说明
检查方法
检查工具
实施负责
检查负责
LINUX-015
系统补丁
检查并安装最新的严重高危安全补丁(在测试环境测试OK后,再在生产环境上进行更新)
无
人工检查
无
操作系统管理员
信息安全专职人员
2. Web中间件安全基线要求
2.1. Apache
2.1.1. 补丁更新
编号
项目
要求
备注说明
检查方法(参考)
APACHE-001
安装最新补丁
查找适用于应用系统的最新补丁及版本并进行安装(在测试环境测试OK后,再在生产环境上进行更新)
无
1、 查看Apache版本:
i. Windows下查看版本:运行apache服务,界面右下角显示了版本信息。
ii. Linux下查看版本:进入apache安装目录的bin目录,运行“./httpd -v”即可查看到目前版本信息。
2、/security_查看最新补丁
检查工具
实施负责
检查负责
无
应用管理员
信息安全人员 2.1.2. TRACE禁止
编号
项目
要求
APACHE-002
禁止TRACE方法
应禁止服务其使用TRACE方法
配置参考:(2.2以下)
①开启Apache 的mod_rewrite功能:在Apahce的配置文件中把#LoadModule rewrite_module modules/mod_前的#去掉。在中找到下面这段
AllowOverride None 将AllowOverride None 改成
AllowOverride ALL这样Apache的mod_rewrite就开启了
②在最后加上
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
(2.2以上)
添加TraceEnable off,关闭HTTP Trace/Track方法
无
通过telnet到HTTP的某个服务端口,进行测试:
1、 在cmd命令下输入telnet 127.0.0. 1 80(非本机则127.0.0.1改为服务器地址),回车
2、 输入Trace / http/1.0,回车
3、 输入X-Test:abc回车
看返回的信息,如果返回HTTP/1.1 200 OK,则表示启用Trace,如果返回HTTP/1.1 405 Method Not Allowed,则表示Trace禁止
检查工具
实施负责
检查负责
无
应用管理员
信息安全人员
备注说明
检查方法(参考)
2.1.3. 禁止目录浏览
编号
项目
要求
APACHE-003
关闭目录浏览
应禁止用户以网页形式浏览目录
配置参考:
修改Apache配置文件,把
Indexes FollowSymLinks ……中的Indexes删除即可。
无
1、浏览器输入浏览目录,检查是否可以进行目录浏览:
备注说明
检查方法(参考) 如:localhost:8080/demo/(非本机测试,则localhost改为服务器ip地址,demo为一个存在的目录)
2、进入安装目录->conf目录,查看文件, “xxxx/xxx”>Options Indexes FollowSymLinks ……
无
应用管理员
信息安全人员
检查工具
实施负责
检查负责
2.1.4. 关闭版本信息
编号
项目
要求
APACHE-004
防止服务器版本泄露
进行配置禁止显示具体服务器版本
配置参考:
在配置文件Apache2.2/conf/中加入ServerTokens
Prod[uctOnly](等级[Prod,Major, Minor, Min, OS])
ServerSignature Off重启 apache 现在 http 头里面只看到: Server:
Apache[/2, /2.0, /2.0.41, /2.0.41 (Unix)]
无
1、 直接访问一个不存在的页面,查看错误页面是否泄漏版本信息
如:localhost:8080/111(非本机测试,则localhost改为服务器ip地址)
2、到安装目录->conf目录,查看中是否存在
ServerTokens Prod[uctOnly] ServerSignature off,存在则已关闭版本信息
工具扫描:
采用极光、wvs等专业web扫描工具进行扫描
Web扫描工具
应用管理员
信息安全人员
备注说明
检查方法(参考)
检查工具
实施负责
检查负责
2.1.5. 交互方式
编号
项目
要求
APACHE-005
只允许Get与Post方法
应该限制与客户端的信息交互方式,仅允许GET与POST方法
配置参考:
deny from all
Order allow,deny
Allow from all
Options –Includes –Indexs –Multiviews
备注说明
检查方法(参考)
与应用开发人员确认开发过程中是否仅使用GETPOST两种方式
进入安装目录->conf目录,查看文件,查找 /usr/local/apache/htdocs/> …….
(注:/usr/local/apache/htdocs为htdocs目录所处的windows或linux的绝对路径)
看是否存在如下配置,存在则只允许POST、GET方法
deny from all
无
应用管理员
信息安全人员
检查工具
实施负责
检查负责
2.1.6. 最小化设置
编号
项目
要求
APACHE-006
功能模块最小化
应进行下列控制,对于不使用的模块进行禁用
1. 建议去掉那些不使用的apache静态和动态功能模块来增强apache安全性和提高运行速度,如:mod_proxy, mod_perl, mod_php4(通常为动态模块加载类型) , mod_userdir等。
2. mod_proxy 用来支持apache proxy功能,存在相关问题;
3. mod_perl,支持cgi以及对cgi支持的相关dbi模块;
4. mod_php4,该版本仅在去年就发现了8个mod_php对php代码解析过程中的漏洞;
5. mod_userdir,用户站点发布功能,默认配置打开了
处理办法:
修改apache安装目录下的conf/文件,在需要去掉的模块前加“#”字符,重新启动apache服务
与应用开发人员确认是否使用上述模块,对于不禁止或删除的模块,应说明理由
进入安装目录->conf目录,查看文件,查询以上相应模块的注销情况
无
备注说明
检查方法(参考)
检查工具 实施负责
检查负责
应用管理员
信息安全人员
2.1.7. 多余文件
编号
项目
要求
备注说明
检查方法(参考)
检查工具
实施负责
检查负责
APACHE-007
删除缺省的安装文件
删除默认的htdocs下的测试及帮助文档
删除cgi-bin下示例cgi程序
无
进入安装目录->htdocs目录,查看是否存在文件;进入安装目录->cgi-bin目录,查看是否存在文件
Web扫描工具
应用管理员
信息安全人员
2.1.8. 用户权限
编号
项目
要求
APACHE-008
用户权限设定
应设置使用非ROOT用户启动APACHE
配置参考:
修改文件—
User nobody
Group nobody
重启apache
无
进入安装目录->conf目录,查看文件,查询User、Group后面的用户和组是否为nobody,是则符合
无
应用管理员
信息安全人员
备注说明
检查方法(参考)
检查工具
实施负责
检查负责
2.1.9. 日志审计
编号
项目
要求
APACHE-009
开启审计功能
应开启APACHE日志审计功能
参考操作:
编辑配置文件
LogLevel notice ErrorLog logs/error_log
LogFormat "%h %l %u %t "%r" %>s %b "%{Accept}i"
"%{Referer}i" "%{User-Agent}i"" combined
CustomLog logs/access_log combined
备注说明
检查方法(参考)
无
1、进入安装目录->logs目录,查看是否存在、文件,记录是否完整;
2、进入安装目录->conf目录,查看httpd,conf文件,找到如下配置,看前面是否有#注销,未注销则开启日志审计功能。
LogLevel notice
ErrorLog logs/error_log
LogFormat "%h %l %u %t "%r" %>s %b "%{Accept}i"
"%{Referer}i" "%{User-Agent}i"" combined
CustomLog logs/access_log combined
无
应用管理员
信息安全人员
检查工具
实施负责
检查负责
2.1.10. 错误页面
编号
项目
要求
APACHE-010
定制缺省错误页面
修改配置文件:
ErrorDocument 400 /
ErrorDocument 401 /
ErrorDocument 403 /
ErrorDocument 404 /
ErrorDocument 405 /
ErrorDocument 500 /
将文件内容改为“There has been an error !”
无
1、在浏览器提交错误页面或非法参数,查看错误页面是否为定制错误页面:localhost:8080/111(非本机测试,则localhost改为主机ip地址)
2、
备注说明
检查方法(参考)
进入安装目录->conf目录,查看文件,查找如下配置,是否已修改为定制错误页面:ErrorDocument 400
ErrorDocument 401
ErrorDocument 403
ErrorDocument 404
ErrorDocument 405
ErrorDocument 500
检查工具
实施负责
无
应用管理员 检查负责 信息安全人员
2.1.11. 禁止访问
编号
项目
要求
APACHE-011
禁止Apache访问web目录之外的任何文件
1、参考配置操作
编辑配置文件,
Order Deny,Allow Deny from all
补充操作说明 设置可访问目录,
Order Allow,Deny Allow from all
其中/web为网站根目录
无
1、在浏览器访问一个非Web目录下的文件,看是否可以访问:localhost:8080/Error/(非本机测试,则localhost改为主机ip地址)
2、进入安装目录->conf目录,查看文件,查找如下配置,看是否进行了目录限制:
Order Deny,Allow Deny from all
此配置为默认配置,
无
应用管理员
信息安全人员
备注说明
检查方法(参考)
检查工具
实施负责
检查负责
2.2. IIS
2.2.1. 安装文件
编号
项目
要求
备注说明
检查方法(参IIS-001
删除默认安装文件
删除默认安装在C:Inetpub目录下的wwwroot目录和AdminScriitpts目录及包含的文件
无
人工检查: 考) 进入C:intertpub目录下的wwwroot目录和Adminiscripts目录查看是否存在默认安装的文件。
或在浏览器输入localhost:80/检查是否存在默认首页
Web扫描工具
应用管理员
信息安全人员
检查工具
实施负责
检查负责
2.2.2. 程序映射
编号
项目
要求
IIS-002
去掉不使用的应用程序射映
对于不使用的应用程序应禁止在服务器端执行
配置参考:
1、打开“internet信息服务”控制台,右键点击所管理的网站,选择“属性”
2、在属性中选择“主目录”标签,单击“配置”按钮
3、在“映射”选项卡中删除cer、cdx、asa等
无
人工检查:
1、打开“internet信息服务”控制台,右键点击所管理的网站,选择“属性”
2、在属性中选择“主目录”标签,单击“配置”按钮
3、在“映射”选项卡中查看是否存在cer、cdx、asa、idc等扩展名
无
应用管理员
信息安全人员
备注说明
检查方法(参考)
检查工具
实施负责
检查负责
2.2.3. 日志保存
编号
项目
要求
IIS-003
改变IIS日志默认存储路径
应启用日志审计功能,并进行适当保护
配置参考:
1、打开“internet信息服务”控制台,右键点击所管理的网站,选择“属性”
2、选择”web站点“标签,查看“启用日志记录”复选框是否选中
3、查看“活动日志格式”下拉框中是否选择“W3C扩充日志文件格式”;并点击“属性”
4、在打开的“扩充日志记录属性“对话框中,点击“常规属性”标签,查看“日志文件路径”,修改默认的路径
无
人工检查:
备注说明
检查方法(参考) 1、打开“internet信息服务”控制台,右键点击所管理的网站,选择“属性”
2、选择“网站”标签,查看“启用日志记录”复选框是否选中
3、查看“活动日志格式”下拉框中是否选择“W3C扩充日志文件格式”并点击“属性”
4、在打开的“扩充日志记录属性“对话框中,点击“常规属性”标签,查看“日志文件路径”,修改默认的路径(默认路径为C:WINDOWSsystem32LogFiles)
无
应用管理员
信息安全人员
检查工具
实施负责
检查负责
2.2.4. 文件权限
编号
项目
要求
IIS-004
根据需要修改IIS文件权限设置
为Web 站点上不同类型的文件都建立目录,然后给它们分配适当权限
配置参考:
静态文件文件夹允许读、拒绝写
ASP脚本文件夹允许执行、拒绝写和读取
EXE等可执行程序允许执行、拒绝读写
允许执行的目录不允许上传,允许上传的目录不允许执行
无
人工检查:
1、 进入网站所在目录,查看是否为不同类型文件建立相应目录
2、右键相应文件目录->属性->安全,选择 IIS的账户,查看其权限设置情况
检查工具
实施负责
检查负责
无
应用管理员
信息安全人员
备注说明
检查方法(参考)
2.2.5. 组件最小化
编号
项目
要求
备注说明
检查方法(参考)
IIS-005
仅安装必要的IIS组件
应删除不必要的组件如FTP、SMTP
管理员与应用开发人员联系后根据应用需求进行调整,对于不删除的应说明原因
人工检查:
1、打开“internet信息服务”控制台
2、查看是否存在FTP站点、SMTP、NNTP虚拟服务器等组件 删除组件方法:
1、 打开添加/删除程序----添加/删除windows组件
2、 选中“应用程序服务器”,点击“详细信息”
3、 选中“internet信息服务(iis)”,点击“详细信息”,将“SMTPServer”、“文件传输协议(ftp)服务”等不必要组件前面的勾选去掉
4、 点击确定->下一步->完成,即去掉了相应组件
或者运行“”在服务管理器里面禁用FTP、SMTP、NNTP等相应服务亦可
检查工具
实施负责
检查负责
无
应用管理员
信息安全人员
2.2.6. 站点权限
编号
项目
要求
IIS-006
设置Web站点权限
按照下列要求设置web站点权限:
读-允许
写-不允许
脚本资源访问-不允许
目录浏览-建议关闭
日志访问-建议关闭
索引资源-建议关闭
执行-推荐选择—仅限于脚本
管理员与应用开发人员联系后根据应用需求进行调整,对于不删除的应说明原因
人工检查:
1、打开“internet信息服务”控制台,右键点击所管理的网站,选择“属性”
2、查看“主目录”标签,查看“读”、“写”、“脚本资源访问”、“目录浏览”、“日志访问”、“索引资源”等选项前面的复选框勾选情况,查看执行权限选项内容
无
应用管理员
信息安全人员
备注说明
检查方法(参考)
检查工具
实施负责
检查负责
2.2.7. 服务与组件
编号
项目
IIS-007
服务与组件 要求 针对IIS服务与组件按照下表进行设置:
后台智能传输服务 (BITS) 服务器扩展 启用该服务
文件传输协议 (FTP) 服务
Internet 打印
NNTP 服务
SMTP 服务
万维网服务
FrontPage 2002 Server Extensions
Internet 信息服务管理器
Active Server Page
数据连接器
远程管理 (HTML)
远程桌面 Web 连接
服务器端包括
WebDAV
禁用该服务
禁用该服务
禁用该服务
禁用该服务
启用该服务
禁用该组件
启用该组件
启用该组件
禁用该组件
禁用该组件
禁用该组件
禁用该组件
禁用该组件
备注说明
检查方法(参考)
无
人工检查:
1、打开“internet信息服务”控制台,点击“web服务扩展”
2、查看FrontPage 2002 Server Extensions、Internet 信息服务管理器、ActiveServerPage、数据连接器、远程管理 (HTML)、WebDAV、远程桌面 Web 连接、服务器端包括等组件启用情况
3、打开“运行”命令框,输入“”,在服务管理器里面查看后台智能传输服务 (BITS) 服务器扩展、Internet 打印、文件传输协议
(FTP) 服务、NNTP 服务、万维网服务、SMTP 服务等服务的启用情况
端口扫描工具、WEB扫描工具
应用管理员
信息安全人员
检查工具
实施负责
检查负责
2.2.8. WEB防护
编号
项目
要求
备注说明
检查方法(参考)
IIS-008
安装IIS安全防护软件
安装微软官方IIS安全增强软件IISLockDown及URLScan,使用默认配置
无
人工检查:
1、 打开“允许”命令框,输入“”
2、 在“添加/删除程序”里面看是否安装了IISLockDown及URLScan。
或者到C:windowssystem32inetsrv目录下看是否存在urlscan的安装目录
检查工具 无 实施负责
检查负责
应用管理员
信息安全人员
2.2.9. 错误页面
编号
项目
要求
备注说明
检查方法(参考)
检查工具
实施负责
检查负责
IIS-009
定制缺省错误页面
定制缺省错误页面均为“There has been an error !”
无
人工检查:
在浏览器输入非法参数,查看弹出错误的页面是否为定制的错误页面。如:localhost/?id =!@#QWR,查看缺省的错误页面
无
应用管理员
信息安全人员
2.3. TOMCAT
2.3.1. 补丁更新
编号
项目
要求
备注说明
检查方法(参考)
TOMCAT-001
安装最新补丁
查找适用于应用系统的最新补丁及版本并进行安装(在测试环境测试OK后,再在生产环境上进行更新)
无
1、 查看Tomcat版本:
i. Windows下查看版本:运行Tomcat服务,界面General选项下的Description栏显示了Tomcat版本。或在tomcat安装目录的bin目录下执行查看版本信息
ii. Linux下查看版本:进入tomcat安装目录的bin目录,运行“./”即可查看到目前版本信息
2、 /security下载最新补丁
检查工具
实施负责
检查负责
无
应用管理员
信息安全人员 2.3.2. 启动账户
编号
项目
要求
TOMCAT-002
修改启动帐户权限
应限制操作系统启动本服务的用户权限
配置参考:
Windows:
进入服务管理配置,选中Apache Tomcat服务,在其属性配置窗口中选中登录选项,然后将登录身份修改为“此账户”,然后提供一个普通权限的账户和密码,重新启动服务。
使用非特权用户启动tomcat
Linux:su - tomcat -c /xx/xx/
管理员与应用开发人员联系,若必须使用高级别账户启动TOMCAT应进行说明
因Linux下非特权用户仅能启动1024以上的端口,如果需要使用1024以下的端口,需要进行转发
人工检查
Windows:进入服务管理配置,在属性配置窗口中选logon选项可以查看启动账户
Linux:进入tomcat安装目录的bin目录,使用如下命令查看文件的各用户组权限:“”
无
应用管理员
信息安全人员
备注说明
检查方法(参考)
检查工具
实施负责
检查负责
2.3.3. 关闭版本信息
编号
项目
要求
TOMCAT-003
防止服务器版本泄露
应防止访问者获得服务器具体版本
编辑文件 $CATALINA_HOME/conf/,替换如下:
server="Apache" /> 无 人工检查: 1、 直接访问一个不存在的页面,查看错误页面是否泄漏版本信息 如:localhost:8080/111(非本机测试,则localhost改为服务器ip地址) 2、 到安装目录->conf目录,查看中是否存在 检查方法(参考) 信息。 工具扫描: 采用极光、wvs等专业web扫描工具进行扫描 检查工具 实施负责 检查负责 端口扫描工具、web扫描工具 应用管理员 信息安全人员 2.3.4. 安装文件 编号 项目 要求 TOMCAT-004 移除缺省的安装文件 应删除安装过程中默认安装的文件如程序样例等 配置参考: 1. 删除$CATALINA_HOME/webapps (ROOT, balancer, jsp-examples, servlet-examples, tomcat-docs, webdav) 2. 如果不需要使用管理界面,删除$CATALINA_HOME/conf/Catalina/localhost/ and $CATALINA_HOME/conf/Catalina/localhost/ 无 人工检查: 1、在浏览器输入:localhost:8080/examples/检查样例是否存在。 在浏览器输入:localhost:8080/manager/html检查管理界面是否存在。(非本机测试,则localhost改为服务器ip地址) 2、进入安装目录->webapps目录,查看(ROOT, balancer, jsp-examples, servlet-examples, tomcat-docs, webdav)是否存在;进入安装目录->conf/Catalina/localhost目录,查看是否存在和,存在则不符合 Web扫描工具 应用管理员 信息安全人员 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 2.3.5. 禁止目录浏览 编号 项目 要求 TOMCAT-005 保证目录listing不可用 应防止访问者能够以网页形式访问文件目录 配置参考: 编辑$CATALINA_HOME/conf/,修改如下: 无 备注说明 检查方法(参考) 人工检查: 1、浏览器输入浏览目录,检查是否可以进行目录浏览: 如:localhost:8080/demo/(非本机测试,则localhost改为服务器ip地址,demo为一个存在的目录) 2、进入安装目录->conf目录,查看是否存在 无 应用管理员 信息安全人员 检查工具 实施负责 检查负责 2.3.6. 错误页面 编号 项目 要求 TOMCAT-006 定制缺省错误页面 应该定制错误页面,防止访问者获得后台信息 编辑文件$CATALINA_HOME /webapps/APP_NAME/WEB-INF/,增加下面行: 是定制的错误页面 文件内容为:There has been an error ! 无 1、在浏览器提交错误页面或非法参数,查看错误页面是否为定制错误页面:localhost:8080/111(非本机测试,则localhost改为主机ip地址) 2、进入安装目录->conf目录,查看是否存在 为自定义错误页面 无 应用管理员 信息安全人员 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 2.3.7. Tomcat自带web管理后台 编号 项目 TOMCAT-007 禁止访问默认tomcat管理后台 要求 备注说明 检查方法(参考) 限制访问的IP、修改默认账户口令,或删除web管理后台 无 人工检查: 在浏览器输入如下网址检查是否存在默认后台,使用默认账户tomcat及默认口令tomcat测试是否可以登录: localhost:8080/manager/html localhost:8080/manager/status 无 应用管理员 信息安全人员 检查工具 实施负责 检查负责 3. 数据库系统安全基线要求 3.1. Oracle数据库 3.1.1. 系统认证 编号 项目 要求 ORACLE -001 OS认证 os认证是把登录到数据库的用户和口令校验放在了操作系统一级,登录ORACLE时不需要用户名和密码 能过以下命令登录: sqlplus / as sysdba 备注说明 检查方法(参考) 是否禁用OS认证,综合考虑业务和管理需求决定 人工检查 设置后不能使用sqlplus / as sysdba登录数据库; 检查$ORACLE_HOME/network/admin/文件中是否设置参数tication_services参数 在中设置下面参数: tication_services=none 检查工具 实施负责 检查负责 无 数据库管理员 信息安全人员 1.1.1. 登录失败 编号 项目 要求 ORACLE-002 登录失败 Oracle的所有口令控制中,失败的登录尝试项是最重要的。应配置当用户连续认证失败次数超过5次(不含5次),锁定该用户使用的账号30分钟。建议在设置锁定次数的同时设置一个口令锁定时间值,使得超过此值则自动解除账号锁定 备注说明 检查方法(参考) 无 1、 查询参数 SQL>select * from dba_profiles where resource_type='PASSWORD'; 2、 设置能数 SQL> alter profile default limit failed_login_attempts 5 password_lock_time 30; 3、 补充操作说明 如果连续5次连接该用户不成功,用户将被锁定。 检查工具 实施负责 检查负责 无 数据库管理员 信息安全人员 3.1.2. 默认密码 编号 项目 要求 ORACLE-007 登录审计 Oracle数据库中的默认大多数账户使用用户名来设置口令,更改数据库默认帐号的密码,不能以用户名作为密码或使用默认密码的账户登录到数据库 无 使用以下命令查询 SQL> alter user username identified by password; 无 数据库管理员 信息安全人员 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 3.1.3. 密码复杂度 编号 项目 要求 ORACLE -009 密码复杂度 在日常应用中,一些非授权用户会对数据库的密码进行猜解,ORACLE数据库没有在密码复杂度上没有参数给我们设置,但ORACLE给了我们一个PASSWORD_VERIFY_FUNCTION 函数参数,可以根据需求来定义自己对密码的要求。 无 人工检查: 根所输出结果查询用户被赋予的角色 SQL> select * from dba_role_privs where grantee in (select username from dba_users where password='EXTERNAL'); 无 数据库管理员 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 信息安全人员 3.1.4. 监听加密 编号 项目 要求 ORACLE -010 监听加密 为数据库监听器(LISTENER)的关闭和启动设置密码。 这个配置文件可以识别监听器和正在监听的数据库。对监听器配置的更改可以通过对直接编辑,是一个需要保护的关键文件,尤其是写访问时 为实现数据库HA配置需要,监听可不做加密设置 Oracle 11.2以上版本不适用 人工检查: 使用lsnrctl start或lsnrctl stop命令起停listener需要密码; 检查$ORACLE_HOME/network/admin/文件中是否设置参数PASSWORDS_LISTENER。 无 数据库管理员 信息安全人员 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 3.1.5. 角色检查 编号 项目 要求 备注说明 检查方法(参考) ORACLE -011 角色检查 DBA的权限是非常大的,相当于系统中的ROOT。在日常管理中,对DBA的授权要相当的谨慎 无 人工检查: 参考配置操作 SQL> select * from dba_role_privs where grantee not in ('SYS', 'SYSTEM', 'SYSMAN') and granted_role='DBA'; 无 数据库管理员 信息安全人员 检查工具 实施负责 检查负责 3.1.6. 归档日志 编号 项目 要求 ORACLE -012 日志 归档日志是联机重做日志组文件的一个副本,联机日志会被不停的覆盖,想永久保留日志,须开启归档,归档日志是数据库恢复了一个重要因素。 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 无 人工检查: SQL>select log_mode from v$database; 返回结果是NOARCHIVELOG为没有开启归档 无 数据库管理员 信息安全人员 3.1.7. 备份 编号 项目 要求 ORACLE -013 备份 系统在运行的过程中,会出现各种各样的问题,如系统故障、人工误操作等,备份可以为数据安全提供一种保证,减少在数据发生故障时数据 无 人工检查: RMAN>show all 查看CONFIGURE BACKUP OPTIMIZATION是否为ON 如果将此项参数打开,在备份任何数据时都会自动备份一份控制文件 查看configure channel device type disk format是否有指定格式 对这个参数进行设置来确定备份的格式,不然系统自动备份时会出现重命名出错的提示。 RMAN> list backup; 查看备份片 无 数据库管理员 信息安全人员 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 3.1.8. 有效性 编号 项目 要求 备注说明 检查方法(参考) ORACLE -014 有效性 数据备份的过程中可能会出现各种各样的错误,对备份有效性的验证是必不可少的操作,可以规避在数据需要恢复时出现备份失效等情况 无 人工检查: 验证数据库备份 RMAN>restore validate database; 验验证控制文件 RMAN>restore validate controlfile; 验证参数文件 检查工具 实施负责 检查负责 无 数据库管理员 信息安全人员 3.2. MSSQL数据库 3.2.1. 用户管理 编号 项目 要求 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 SQL-001 用户管理 查看当前数据库用户,对于未使用的数据库用户应删除,对于正在使用用户应适当分配数据库访问权限 管理员应与开发人员联系,确认当前数据库用户访问权限列表。 运行企业管理器登录后双击安全性,然后点击登录名展开,双击需要检查的账户 无 数据库管理员 信息安全人员 3.2.2. 密码策略 编号 项目 要求 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 SQL-002 密码策略 应该开启“强制密码策略” 此选项仅在SQL版本不低于2005,且操作系统版本不低于Windows2003 中有效 查询WINDOWS操作系统是否启用密码策略 SQL 2008强制密码策略和登录失败处理是分开两个选项 无 数据库管理员 信息安全人员 3.2.3. 口令管理 编号 项目 要求 SQL-003 口令管理 对于采用静态口令进行认证的数据库,口令长度至少8 位,并包括数 字、小写字母、大写字母和特殊符号4 类中至少3 类 无 备注说明 检查方法(参考) 1、 查看服务器密码配置策略是否启用以及复杂度要求 2、 运行企业管理器登录后双击安全性,然后点击登录名展开,双击需要检查账户属性,查看强制实施密码策略是否勾选,勾选则启用了密码复杂度要求 检查工具 实施负责 检查负责 无 数据库管理员 信息安全人员 3.2.4. 数据传输 编号 项目 要求 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 SQL-004 数据传输安全 使用Oracle 提供的高级安全选件来加密客户端与数据库之间或中间件与数据库之间的网络传输数据 无 打开企业管理器单击连接属性,勾选加密连接然后点击连接,弹出无法连接到SQL则代表服务器未启用加密连接 无 数据库管理员 信息安全人员 3.2.5. 存储过程 编号 项目 要求 SQL-005 扩展存储过程控制 应该删除危险的扩展存储过程 配置参考: 去掉xp_cmdshell扩展存储过程,使用: use master sp_dropextendedproc 'xp_cmdshell' 对于下列扩展存储过程,与应用开发人员沟通后删除。 Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regremovemultistring xp_sdidebug xp_availablemedia xp_cmdshell xp_deletemail xp_dirtree xp_dropwebtask xp_dsninfo xp_enumdsn xp_enumerrorlogs xp_enumgroups xp_enumqueuedtasks xp_eventlog xp_findnextmsg xp_fixeddrives xp_getfiledetails xp_getnetname xp_grantlogin xp_logevent xp_loginconfig xp_logininfo xp_makewebtask xp_msver xp_perfend xp_perfmonitor xp_perfsample xp_perfstart xp_readerrorlog xp_readmail xp_revokelogin xp_runwebtask xp_schedulersignal xp_sendmail xp_servicecontrol xp_snmp_getstate xp_snmp_raisetrap xp_sprintf xp_sqlinventory xp_sqlregister xp_sqltrace xp_sscanf xp_startmail xp_stopmail xp_subdirs xp_unc_to_drive xp_dirtree 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 管理员根据应用需求选择,有可能会影响到应用 Exec sp_helpextendedproc‘存储过程名称’ 无 数据库管理员 信息安全人员 3.2.6. 日志审计 编号 项目 要求 SQL-006 日志审计 开启相关日志审计功能 配置参考: 打开数据库属性,选择安全性,将安全性中的审计级别调整为“全部”,身份验证调整为“SQL Server 和Windows” 无 打开数据库属性,选择安全性,将安全性中的登录审核选择为失败和成功的登录,选项一栏中,勾选全部三项(开启后产生的日志量较大) 无 数据库管理员 信息安全人员 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 4. 网络设备基线要求 4.1. CISCO交换机 4.1.1. 登录方式 编号 项目 要求 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 CISCO-001 登录方式 配置使用用户名密码方式登录 无 show running-config 无 网络管理员 信息安全人员 1.1.2. 密码复杂度 编号 项目 要求 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 CISCO-002 密码复杂度 设备使用的密码、认证字段均要求长度不小于8位,使用字母、数字、特殊符号组合 CISCO设备不提供强制密码策略设置功能。依靠管理员手工设置 使用show running-config命令 无 网络管理员 信息安全人员 4.1.2. 密码加密 编号 项目 要求 备注说明 检查方法(参考) CISCO-003 密码加密 登录密码进行加密存储 无 # config t Enter configuration commands, one per line. End with CNTL/Z. (config)# enable secret 2-mAny-rOUtEs (config)# no enable password (config)# end 使用show running-config命令 如果不加密,使用show running-config命令,可以看到未加密的密码 无 网络管理员 信息安全人员 检查工具 实施负责 检查负责 4.1.3. 密码过期时间 编号 项目 要求 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 CISCO-004 密码过期最长时间 不大于90天 管理员手工定期修改;系统对系统,不可登录的账户可以不符合本项 略 无 网络管理员 信息安全人员 4.1.4. 特权模式 编号 项目 要求 备注说明 检查方法(参考) CISCO-005 特权模式 配置enable密码 密码同样应遵守基本的密码策略:长度不小于8位,使用字母、数字、特殊符号组合 # config t Enter configuration commands, one per line. End with CNTL/Z. (config)# enable secret 2-mAny-rOUtEs (config)# no enable password (config)# end 使用show running-config命令 如果不加密,使用show running-config命令,可以看到未加密的密码 无 网络管理员 信息安全人员 检查工具 实施负责 检查负责 4.1.5. 远程登录 编号 项目 要求 备注说明 检查方法(参考) CISCO-006 远程登录 使用SSH方式远程管理 不支持SSH例外 (config)# line vty 0 4 (config-line)# transport input ssh (config-line)# exit 使用show running-config命令 无 网络管理员 信息安全人员 检查工具 实施负责 检查负责 4.1.6. 登录限制 编号 项目 要求 备注说明 检查方法(参考) CISCO-007 登录访问控制 限定仅监控终端IP地址、堡垒机和紧急通道可访问SSH 通过配置访问控制列表实现 配置访问控制列表 (config)# no access-list 12 (config)# access-list 12 permit host 192.168.0.200 (config)# line vty 0 4 (config-line)# access-class 12 in (config-line)# exit 检查工具 实施负责 检查负责 无 网络管理员 信息安全人员 1.1.3. 登录超时 编号 项目 要求 备注说明 检查方法(参考) CISCO-008 登录超时 设置登录超时为15分钟 无 (config)#line vty 0 9 (config-line)# exec-timeout15 0 (config)#line con0 (config-line)# exec-timeout15 0 Cisco telnet会话空闲时间默认是10分钟,将原来已经配置为其它时间的都改成15分钟。 无 网络管理员 信息安全人员 检查工具 实施负责 检查负责 4.1.7. SNMP协议 编号 项目 要求 CISCO-010 SNMP协议安全 使用SNMP V3协议设备应修改Community默认通行字,认证密码不小于8位,限制接收源 配置参考: snmp-server community my_readonly RO snmp-server community my_readwrite RW 未使用SNMP协议的设备关闭SNMP、。 配置参考: no snmp-server 无 #show ru | include snmp-server community snmp-server community FullHardPassword SNMP协议可以进行自动化网络管理,如果不设置强口令容易给网络带来巨大的波动 端口扫描工具 网络管理员 信息安全人员 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 4.1.8. MPLS协议(可选) 编号 项目 要求 CISCO-011 MPLS安全 启用LDP标签分发协议时,打开LDP协议认证功能,认证密码不小于8位,并使用MD5散列。 配置参考: mpls ldp neighbor vrf vpn1 10.1.1.1 password 7 nbrce1pwd 不使用MPLS协议的非路由设备不设置 使用show running-config命令,如下例: #show running-config | include mpls mpls ldp vrf vpn1 password required mpls ldp neighbor vrf vpn1 10.1.1.1 password 7 nbrce1pwd 无 网络管理员 信息安全人员 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 4.1.9. 审计功能 编号 项目 要求 CISCO-012 开启审计 开启日志审计功能。 配置参考: aaa new-model 无 使用show running-config命令,如下例: 1#show runn | include aaa Current configuration: ! aaa new-model aaa accounting commands 1 default start-stop group tacacs+ aaa accounting commands 15 default start-stop group tacacs+ 无 网络管理员 信息安全人员 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 4.1.10. 登录审计 编号 项目 要求 CISCO-013 登录审计 审计功能应能记录用户登录情况 配置参考: aaa accounting connection default start-stop aaa accounting exec default start-stop 无 使用show running-config命令,如下例: 1#show runn | include aaa Current configuration: ! aaa new-model aaa accounting commands 1 default start-stop group tacacs+ aaa accounting commands 15 default start-stop group tacacs+ 无 网络管理员 信息安全人员 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 4.1.11. 操作审计 编号 项目 要求 CISCO-014 操作审计 审计功能应能记录用户操作情况 配置参考: aaa accounting commands 1 default start-stop aaa accounting commands 15 default start-stop 无 使用show running-config命令,如下例: 1#show runn | include aaa Current configuration: ! aaa new-model aaa accounting commands 1 default start-stop group tacacs+ aaa accounting commands 15 default start-stop group tacacs+ 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 无 网络管理员 信息安全人员 4.1.12. BANNER设置 编号 项目 要求 CISCO-015 屏蔽banner显示 不显示Banner或修改BANNER显示为: WARNING:Unauthorized access and use of this equipment will be vigorously prosecuted. 无 修改banner命令如下: # config t Enter configuration commands, one per line. End with CNTL/Z. (config)# banner motd ^T WARNING:Unauthorized access and use of this equipment will be vigorously prosecuted. ^T 无 网络管理员 信息安全人员 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 4.1.13. 端口最小化 编号 项目 要求 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 CISCO-016 关闭多余端口 服务器区使用shutdown命令关闭未使用的网络设备端口 无 (config-if)#shutdown 无 网络管理员 信息安全人员 4.1.14. 服务最小化 编号 项目 要求 CISCO-016 关闭服务 关闭未使用的服务包括SFTP、HTTP、TELNET、DNS等,无法关闭需要限制登录源地址(有此功能需启用) 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 关闭服务的列表由管理员根据实际运维情况制定,对于需开启的服务应进行说明 人工检查 端口扫描工具 网络管理员 信息安全人员 4.2. 防火墙 4.2.1. 开启NAT日志记录 编号 项目 要求 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 FW-001 开启NAT日志记录 开启记录NAT日志,记录转换前后IP地址的对应关系 依靠管理员手工设置 人工检查 无 网络管理员 信息安全人员 4.2.2. 密码复杂度 编号 项目 要求 备注说明 检查方法 检查工具 实施负责 检查负责 FW-002 密码复杂度 设备使用的密码、认证字段均要求长度不小于8位,使用字母、数字、特殊符号组合 依靠管理员手工设置 人工检查 无 网络管理员 信息安全专职人员 4.2.3. 密码过期时间 编号 项目 要求 备注说明 检查方法 检查工具 FW-003 密码过期最长时间 不大于90天 管理员手工定期修改;系统对系统,不可登录的账户可以不符合本项 略 无 实施负责 检查负责 网络管理员 信息安全专职人员 4.2.4. 登录限制 编号 项目 要求 备注说明 检查方法 检查工具 实施负责 检查负责 FW-004 登录访问控制 限定仅监控终端IP地址、堡垒机和紧急通道可访问SSH 通过配置访问控制列表实现 人工检查 无 网络管理员 信息安全专职人员 4.2.5. 登录超时 编号 项目 要求 备注说明 检查方法 检查工具 实施负责 检查负责 FW-005 登录超时 设置登录超时为15分钟 无 人工检查 无 网络管理员 信息安全专职人员 4.2.6. 配置操作日志记录 编号 项目 要求 FW-006 配置操作日志记录 配置记录防火墙管理员操作日志,如管理员登录,修改管理员组操作,帐号解锁等信息。配置防火墙将相关的操作日志送往操作日志审计系统或者其他相关的安全管控系统 依靠管理员手工设置 人工检查 无 网络管理员 信息安全人员 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 4.2.7. 配置告警功能 编号 项目 要求 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 FW-007 配置告警功能 配置告警功能,报告对防火墙本身的攻击或者防火墙的系统内部错误 依靠管理员手工设置 人工检查 无 网络管理员 信息安全人员 4.2.8. 服务最小化 编号 项目 要求 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 FW-008 关闭服务 关闭未使用的服务包括SFTP、TELNET、DNS等 关闭服务的列表由管理员根据实际运维情况制定,对于需开启的服务应进行说明。 人工检查、工具扫描 端口扫描工具 网络管理员 信息安全人员 4.2.9. 软件版本更新 编号 项目 要求 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 FW-009 软件版本更新 定期对防火墙版本进行升级或者打补丁操作 无 人工检查、工具扫描 版本指纹扫描工具 网络管理员 信息安全人员 4.2.10. Snmp配置 编号 FW-010 项目 要求 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 启用SNMP V2协议和修改community 配置snmp-server参数,修改团体名称public,限制接收源,认证密码符合密码复杂度要求 人工检查 无 网络管理员 信息安全人员 4.3. 华为交换机 4.3.1. 密码长度 编号 项目 要求 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 Router-001 密码长度限制 设置最小长度为8位 无 略 无 网络管理员 信息安全人员 4.3.2. 密码过期时间 编号 项目 要求 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 Router-002 密码过期时间 设置密码过期时间最长90天,最短1天 通过堡垒机实现 检查是否已通过堡垒机实现 无 网络管理员 信息安全人员 4.3.3. 密码复杂度 编号 项目 要求 Router-003 密码复杂度 密码包括数字、大小字母和特殊字符 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 无 略 无 网络管理员 信息安全人员 4.3.4. 密码加密 编号 项目 要求 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 Router-004 密码加密 采用cipher对密码进行加密 无 略 无 网络管理员 信息安全人员 4.3.5. 密码登录空闲时间 编号 项目 要求 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 Router-005 设置密码登录空闲时间 登录超时时间10分钟 设置console和vty的登录超时时间5分钟 人工检查 无 网络管理员 信息安全人员 4.3.6. 远程管理服务 编号 项目 要求 备注说明 检查方法(参考) 检查工具 Router-006 ssh 启用ssh服务 采用ssh服务代替telnet服务管理网络设备,提高设备管理安全性,条件不具备的设备走特殊审批流程 人工检查 无 实施负责 检查负责 网络管理员 信息安全人员 4.3.7. 认证方式 编号 项目 要求 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 Router-007 认证 采用本地认证 启用设备本地认证 人工检查 无 网络管理员 信息安全人员 4.3.8. 管理IP地址控制 编号 项目 要求 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 Router-008 允许管理员IP地址 配置访问控制列表,只允许管理员IP或网段能访问网络设备管理服务 人工检查 无 网络管理员 信息安全人员 4.3.9. Console端口管理 编号 项目 要求 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 Router-009 console口令认证 console需配置口令认证信息 人工检查 无 网络管理员 信息安全人员 1.1.4. Telnet服务 编号 项目 要求 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 Router-010 禁用telnet(视业务情况决定) 采用ssh代替telnet服务 人工检查 无 网络管理员 信息安全人员 4.3.10. Snmp配置 编号 项目 要求 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 Router-011 更改SNMP的团体串(可选) 更改SNMP Community 修改默认值public 更改SNMP主机IP 人工检查 无 网络管理员 信息安全人员 4.3.11. 转存日志 编号 项目 要求 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 Router-012 转存日志(可选) 配置日志服务器 设置接受与存储日志信息 人工检查 无 网络管理员 信息安全人员 4.3.12. 日志保存 编号 项目 要求 备注说明 Router-013 日志保存要求(可选) 日志保存2个月或以上 检查方法(参考) 检查工具 实施负责 检查负责 人工检查 无 网络管理员 信息安全人员 4.3.13. FTP服务 编号 项目 要求 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 Router-014 禁用FTP服务 关闭弱服务 如需要使用,请使用SFTP服务 人工检查 无 网络管理员 信息安全人员 4.3.14. http服务 编号 项目 要求 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 Router-015 http服务 从互联网接入内部系统,敏感数据的传输,禁用http, 改用https 人工检查 无 网络管理员 信息安全人员 4.3.15. NTP服务使用 编号 项目 要求 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 Router-016 统一时钟 统一NTP时间 人工检查 无 网络管理员 信息安全人员 4.3.16. 接入层网络设备端口控制 编号 项目 要求 Router-017 接入层网络设备端口控制 关闭以下端口: 端口 TCP 5554 TCP 9996 TCP 4444 UDP 1434 说明 震荡波端口 震荡波端口 Blaster端口 Slammer端口 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 人工检查 无 网络管理员 信息安全人员 4.3.17. MAC绑定 编号 项目 要求 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 Router-018 MAC绑定 IP+MAC+端口绑定 重要服务器采用IP+MAC+端口绑定 人工检查 无 网络管理员 信息安全人员 4.3.18. 网络端口 编号 项目 要求 备注说明 检查方法(参考) 检查工具 实施负责 检查负责 Router-019 网络端口 关闭不需要的网络端口 人工检查 无 网络管理员 信息安全人员
发布者:admin,转转请注明出处:http://www.yc00.com/web/1688361254a126611.html
评论列表(0条)