【文章內(nèi)容簡介】 trators組；g) 在本地安全設(shè)置中取得文件或其它對象的所有權(quán)僅指派給Administrators。2. 日志安全要求a) 設(shè)備應(yīng)配置日志功能，對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的IP地址；b) 啟用組策略中對Windows系統(tǒng)的審核策略更改，成功和失敗都要審核；c) 啟用組策略中對Windows系統(tǒng)的審核對象訪問，成功和失敗都要審核；d) 啟用組策略中對Windows系統(tǒng)的審核目錄服務(wù)訪問，失?。籩) 啟用組策略中對Windows系統(tǒng)的審核特權(quán)使用，成功和失敗都要審核；f) 啟用組策略中對Windows系統(tǒng)的審核系統(tǒng)事件，成功和失敗都要審核；g) 啟用組策略中對Windows系統(tǒng)的審核帳戶管理，成功和失敗都要審核；h) 啟用組策略中對Windows系統(tǒng)的審核過程追蹤失敗；i) 設(shè)置應(yīng)用日志文件大小至少為8192KB，設(shè)置當達到最大的日志尺寸時，按需要改寫事件。3. IP協(xié)議安全要求a) 啟用SYN攻擊保護；指定觸發(fā)SYN洪水攻擊保護所必須超過的TCP連接請求數(shù)閥值為5；指定處于 SYN_RCVD 狀態(tài)的 TCP 連接數(shù)的閾值為500；指定處于至少已發(fā)送一次重傳的 SYN_RCVD 狀態(tài)中的 TCP 連接數(shù)的閾值為400。4. 其他安全要求a) 非域環(huán)境中，關(guān)閉Windows硬盤默認共享，例如C$，D$；b) 對于Windows XP SP2及Windows 2003對Windows操作系統(tǒng)程序和服務(wù)啟用系統(tǒng)自帶DEP功能(數(shù)據(jù)執(zhí)行保護)，防止在受保護內(nèi)存位置運行有害代碼；c) 如需啟用SNMP服務(wù)，則修改默認的SNMP Community String設(shè)置；d) 關(guān)閉Windows自動播放功能。 Unix類系統(tǒng)基線要求Unix類系統(tǒng)包括AIX、Solaris、Linux、HPUX等系列系統(tǒng)，具體基線檢查要求如下：1. 賬號管理、認證授權(quán)安全要求a) 操作系統(tǒng)只存在系統(tǒng)必須用到的帳號，刪除無用的系統(tǒng)默認帳號；b) 刪除不必要的用戶組，用戶組文件配置安全屬性；c) 禁止root用戶直接登錄系統(tǒng)；d) 保證只有root用戶的UID為0；e) 確保root用戶的系統(tǒng)路徑中不包含父目錄，在非必要的情況下，不應(yīng)包含組權(quán)限為777的目錄；f) 確保Passwd/group等重要文件權(quán)限合理；g) 各帳號相應(yīng)口令長度均應(yīng)不少于8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號4類中至少3類。不使用與帳號名相同（或相似）拼寫的字符串作為口令；h) “密碼最長存留期”設(shè)置不大于“90天”；i) 刪除任何人都有寫權(quán)限的目錄；j) 刪除任何人都有寫權(quán)限的文件；k) 所有文件都有屬主；l) 只允許指定授權(quán)用戶啟用cron/at任務(wù)；m) 確保root用戶的系統(tǒng)路徑中不包含父目錄，在非必要的情況下，不應(yīng)包含組權(quán)限為777的目錄。2. 日志安全要求a) 記錄所有登錄事件；b) 配置專門的日志服務(wù)器，加強日志信息的異地同步備份。3. IP協(xié)議安全要求a) 確保web / mail / ftp等常規(guī)網(wǎng)絡(luò)服務(wù)的運行正常；b) 確保端口的開啟合理。4. 其他安全要求a) 關(guān)閉系統(tǒng)的core dump；b) 及時處理磁盤空間不足情況；c) 如非必要，建議停止NFS；d) 禁止不必要的基本網(wǎng)絡(luò)服務(wù)；e) 確保危險的SUID程序沒有被安裝，注意系統(tǒng)中所有的SUID和SGID的程序，并進行監(jiān)控和跟蹤；f) 建議設(shè)置用戶的默認umask=077。 數(shù)據(jù)庫安全基線數(shù)據(jù)庫安全基線主要檢查各類數(shù)據(jù)庫的安全配置是否符合安全基線要求。數(shù)據(jù)庫包括如下類型（根據(jù)各省調(diào)研結(jié)果，不屬于下列數(shù)據(jù)庫類型的主機后續(xù)擴展添加）：Oracle數(shù)據(jù)庫、DB2數(shù)據(jù)庫、My SQL數(shù)據(jù)庫、Microsoft SQL Server。具體基線要求如下：1. 賬號管理安全要求a) 應(yīng)刪除或鎖定與數(shù)據(jù)庫運行、維護等工作無關(guān)的賬號；b) 對用戶的屬性進行控制,配置用戶需用的最小權(quán)限，包括密碼策略、資源限制等；2. 口令安全要求a) 對于采用靜態(tài)口令認證技術(shù)的數(shù)據(jù)庫，賬戶口令的生存期不長于90天（根據(jù)具體的業(yè)務(wù)系統(tǒng)需要可進行調(diào)整）；b) 對于采用靜態(tài)口令認證技術(shù)的數(shù)據(jù)庫，應(yīng)配置數(shù)據(jù)庫，使用戶不能重復(fù)使用最近5次（含5次）內(nèi)已使用的口令；c) 對于采用靜態(tài)口令認證技術(shù)的數(shù)據(jù)庫，應(yīng)配置當用戶連續(xù)認證失敗次數(shù)超過6次（不含6次），鎖定該用戶使用的賬號；d) 更改數(shù)據(jù)庫默認帳號的密碼；e) 軟件賬戶的訪問控制可遵循操作系統(tǒng)賬戶的安全策略，比如不要共享賬戶、強制定期修改密碼、密碼需要有一定的復(fù)雜度等；f) 對于采用靜態(tài)口令進行認證的數(shù)據(jù)庫，口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號4類中至少2類。3. 日志審計安全要求a) 根據(jù)業(yè)務(wù)要求制定數(shù)據(jù)庫審計策略。b) 對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的賬號、登錄是否成功、登錄時間以及遠程登錄時用戶使用的IP地址；c) 記錄用戶對數(shù)據(jù)庫的操作，包括但不限于以下內(nèi)容：賬號創(chuàng)建、刪除和權(quán)限修改、口令修改、讀取和修改數(shù)據(jù)庫配置、讀取和修改業(yè)務(wù)用戶的話費數(shù)據(jù)、身份數(shù)據(jù)、涉及通信隱私數(shù)據(jù)。記錄需要包含用戶賬號，操作時間，操作內(nèi)容以及操作結(jié)果；d) 記錄對與數(shù)據(jù)庫相關(guān)的安全事件。4. 其他安全要求a) 定期備份數(shù)據(jù)庫，并且確認在故障發(fā)生時，可以有效的恢復(fù)；b) 刪除范例數(shù)據(jù)庫；c) 為oracle10g版本之前的數(shù)據(jù)庫監(jiān)聽器（LISTENER）的關(guān)閉和啟動設(shè)置密碼。 中間件安全基線中間件安全基線主要檢查各類中間件的安全配置是否符合安全基線要求。中間件包括如下類型（根據(jù)各省調(diào)研結(jié)果，不屬于下列中間件類型的主機后續(xù)擴展添加）：Apache、Tomcat、WebSphere、WebLogic、IIS等。具體基線要求如下：1. 賬號管理、認證授權(quán)安全要求a) 應(yīng)按照用戶分配賬號。避免不同用戶間共享賬號。避免用戶賬號和設(shè)備間通信使用的賬號共享；b) 應(yīng)刪除或鎖定與設(shè)備運行、維護等工作無關(guān)的賬號；c) 對于采用靜態(tài)口令認證技術(shù)的設(shè)備，口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號4類中至少2類；d) 對于采用靜態(tài)口令認證技術(shù)的設(shè)備，應(yīng)支持按天配置口令生存期功能，帳號口令的生存期不長于90天；e) 在設(shè)備權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限。2. 日志安全要求a) 設(shè)備應(yīng)配置日志功能，對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的IP地址；b) 更改默認日志記錄路徑，并配置日志文件合理的權(quán)限；3. 其他安全要求a) 對于具備字符交互界面的設(shè)備，應(yīng)支持定時賬戶自動登出。登出后用戶需再次登錄才能進入系統(tǒng)；b) 更改服務(wù)器默認端口；c) 錯誤頁面重定向；d) 禁止列表顯示文件；e) 隱藏版本號及其他敏感信息；e) IIS應(yīng)刪除不必要的腳本影射。 路由交換設(shè)備安全基線路由交換設(shè)備安全基線主要檢查各類路由器、交換機設(shè)備的安全配置是否符合安全基線要求。路由交換設(shè)備包括如下類型（根據(jù)各省調(diào)研結(jié)果，不屬于下列類型的網(wǎng)絡(luò)設(shè)備后續(xù)擴展添加）：Cisco路由交換設(shè)備、華為路由交換設(shè)備、Juniper路由交換設(shè)備。具體基線要求如下：1. 賬號管理、認證授權(quán)安全要求a) 應(yīng)按照用戶分配賬號,避免不同用戶間共享賬號,避免用戶賬號和設(shè)備間通信使用的賬號共享；b) 應(yīng)刪除與設(shè)備運行、維護等工作無關(guān)的賬號；c) 靜態(tài)口令必須使用不可逆加密算法加密，以密文形式存放；d) 對于采用靜態(tài)口令認證技術(shù)的設(shè)備，口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號4類中至少2類；e) 在設(shè)備權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限；f) 對于使用IP協(xié)議進行遠程維護的設(shè)備，設(shè)備應(yīng)配置使用SSH等加密協(xié)議。2. 日志安全要求a) 設(shè)備應(yīng)配置日志功能，對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的IP地址；b) 設(shè)備應(yīng)配置日志功能，記錄用戶對設(shè)備的操作，如賬號創(chuàng)建、刪除和權(quán)限修改，口令修改，讀取和修改設(shè)備配置，讀取和修改業(yè)務(wù)用戶的話費數(shù)據(jù)、身份數(shù)據(jù)、涉及通信隱私數(shù)據(jù)。記錄需要包含用戶賬號，操作時間，操作內(nèi)容以及操作結(jié)果；c) 開啟NTP服務(wù)，保證日志功能記錄的時間的準確性；d) 設(shè)備應(yīng)支持遠程日志功能。所有設(shè)備日志均能通過遠程日志功能傳輸?shù)饺罩痉?wù)器。設(shè)備應(yīng)支持至少一種通用的遠程標準日志接口，如SYSLOG、FTP等。3. IP協(xié)議安全要求a) 配置路由器，防止地址欺騙；b) 路由器以UDP/TCP協(xié)議對外提供服務(wù)，供外部主機進行訪問，如作為NTP服務(wù)器、TELNET服務(wù)器、TFTP服務(wù)器、FTP服務(wù)器、SSH服務(wù)器等，應(yīng)配置路由器，只允許特定主機訪問；c) 過濾已知攻擊，在網(wǎng)絡(luò)