信息系统的安全基线.docxVIP

专业资料整理 操作系统安全基线技术要求 1.1. AIX 系统安全基线 1.1.1. 系统管理 通过配置操作系统运维管理安全策略， 提高系统运维管理安全 性，详见表 1。 表 1 AIX 系统管理基线技术要求 序号 基线技术要求 基线标准点（参数） 说明 限制超级管理 员 限制 root 用户远程使用 telnet 登录 1 权限的用户远 程 PermitRootLogin no （可选） 登录 2 使用动态口令 令 安装动态口令 牌登录 3 配置本机访问 控 配置 /etc/hosts.allow, 安装 TCP Wrapper ，提高对系统访 制列表（可选） /etc/hosts.deny 问控制 1.1.2. 用户账号与口令 通过配置操作系统用户账号与口令安全策略， 提高系统账号与 口令安全性，详见表 2。 表 2 AIX 系统用户账户与口令基线技术要求 序号 基线技术要求 基线标准点（参数） 说明 daemon （禁用） bin （禁用） sys （禁用） adm （禁用） 限制系统无用默认 uucp （禁用） 清理多余用户账号，限制系统默认 4 nuucp （禁用） 账号登录 账号登录，同时，针对需要使用的 lpd （禁用） 用户，制订用户列表，并妥善保存 guest （禁用） pconsole （禁用） esaadmin （禁用） sshd （禁用） 5 控制用户登录超时 10 分钟 控制用户登录会话，设置超时时间 时间 6 口令最小长度 8 位 口令安全策略 （口令为超级用户静 态口令） 7 口令中最少非字母 1 个 口令安全策略 （口令为超级用户静 数字字符 态口令） 8 信息系统的口令的 90 天 口令安全策略 （口令为超级用户静 最大周期 态口令） 完美 WORD 格式 专业资料整理 口令安全策略 （口令为超级用户静 9 口令不重复的次数 10 次 态口令） 1.1.3. 日志与审计 通过对操作系统的日志进行安全控制与管理， 提高日志的安全 性，详见表 3。 表 3 AIX 系统日志与审计基线技术要求 序号 基线技术要求 基线标准点（参数） 说明 10 系统日志记录（可 authlog 、 sulog 、 记录必需的日志信息，以便进行审 选） wtmp 、failedlogin 计 11 系统日志存储（可 对接到统一日志服务 使用日志服务器接收与存储主机日 选 ) 器 志，网管平台统一管理 12 日志保存要求（可 6 个月 等保三级要求日志必须保存 6 个月 选） 13 配置日志系统文件 400 修改配置文件 syslog.conf 权限为 保护属性（可选） 管理员账号只读 修改日志文件保护 修改日志文件 authlog 、 wtmp 、 14 400 sulog 、failedlogin 的权限管理员账 权限（可选） 号只读 1.1.4. 服务优化 通过优化操作系统资源，提高系统服务安全性，详见表 4。 表 4 AIX 系统服务优化基线技术要求 序号 基线技术要求 基线标准点（参数） 说明 网络测试服务，丢弃输入 , 为“拒 15 discard 服务 禁止 绝服务”攻击提供机会 , 除非正在 测试网络，否则禁用 网络测试服务，显示时间 , 为“拒 16 daytime 服务 禁止 绝服务”攻击提供机会 , 除非正在 测试网络，否则禁用 网络测试服务，回应随机字符串 , 17 chargen 服务 禁止 为“拒绝服务”攻击提供机会 , 除 非正在测试网络，否则禁用 comsat 通知接收的电子邮件，以 18 comsat 服务 禁止 root 用户身份运行， 因此涉及安全 性 , 除非需要接收邮件，否则禁用 ntalk 允许用户相互交谈，以 root 19 ntalk 服务 禁止 用户身份运行，除非绝对需要，否 则禁用 在网上两个用户间建立分区屏幕， 20 talk 服务 禁止 不是必需服务，与 talk 命令一起 使用，在端口 517 提供 UDP 服务 完美 WORD 格式 专业资料整理 21 tftp 服务 禁止 以 root 用户身份运行并且可能危 及安全 22 ftp 服务（可选） 禁止 防范非法访问目录风险 23 telnet 服务 禁止 远程访问服务 24 uucp 服务 禁止 除非有使用 UUCP 的应用程序，否 则禁用 25 dtspc 服务（可选） 禁止 CDE 子过程控制不用图形管理则 禁用 26 klogin 服务（可选） 禁止 Kerberos 登录，如果站点使用 Kerberos 认证则启用 27 kshell 服务（可选） 禁止 Kerberos shell ， 如 果 站 点 使 用 Kerberos 认证则启用 1.1.5. 访