信息系統(tǒng)安全基線

1、1.1.操作系統(tǒng)安全基線技術要求操作系統(tǒng)安全基線技術要求AIXAIX系統(tǒng)安全基線系統(tǒng)安全基線1.1.1.系統(tǒng)管理通過配置操作系統(tǒng)運維管理安全策略，提高系統(tǒng)運維管理安全性，詳見表1。表1AIX系統(tǒng)管理基線技術要求序號序號基線技術要求要求基線標線標準點（參數(shù)）準點（參數(shù)）說明1限制超級管理員權限的用戶遠程登錄PermitRootLoginno限制root用戶遠程使用tel登錄（可選）2使用動態(tài)口令令牌登錄安裝動態(tài)口令3配置本機訪問控制列表（

2、可選）配置etchosts.allowetchosts.deny安裝TCPWrapper，提高對系統(tǒng)訪問控制1.1.2.用戶賬號與口令通過配置操作系統(tǒng)用戶賬號與口令安全策略，提高系統(tǒng)賬號與口令安全性，詳見表2。表2AIX系統(tǒng)用戶賬戶與口令基線技術要求序號序號基線技術要求要求基線標線標準點（參數(shù)）準點（參數(shù)）說明4限制系統(tǒng)無用默認賬號登錄daemon（禁用）bin（禁用）sys（禁用）adm（禁用）uucp（禁用）nuucp（禁用）lpd

3、（禁用）guest（禁用）pconsole（禁用）esaadmin（禁用）sshd（禁用）清理多余用戶賬號，限制系統(tǒng)默認賬號登錄，同時，針對需要使用的用戶，制訂用戶列表，并妥善保存5控制用戶登錄超時時間10分鐘控制用戶登錄會話，設置超時時間6口令最小長度8位口令安全策略（口令為超級用戶靜態(tài)口令）7口令中最少非字母數(shù)字字符1個口令安全策略（口令為超級用戶靜態(tài)口令）8信息系統(tǒng)的口令的最大周期90天口令安全策略（口令為超級用戶靜態(tài)口令）21t

4、ftp服務禁止以root用戶身份運行并且可能危及安全22ftp服務（可選）禁止防范非法訪問目錄風險23tel服務禁止遠程訪問服務24uucp服務禁止除非有使用UUCP的應用程序，否則禁用25dtspc服務（可選）禁止CDE子過程控制不用圖形管理則禁用26klogin服務（可選）禁止Kerberos登錄，如果站點使用Kerberos認證則啟用27kshell服務（可選）禁止Kerberosshell，如果站點使用Kerberos認證則啟用

5、1.1.5.訪問控制通過對操作系統(tǒng)安全權限參數(shù)進行調(diào)整，提高系統(tǒng)訪問安全性，詳見表5。表5AIX系統(tǒng)訪問控制基線技術要求序號序號基線技術要求要求基線標線標準點（參數(shù)）準點（參數(shù)）說明28修改Umask權限022或027要求修改默認文件權限29passwd、group、security的所有者必須是root和security組成員設置etcpasswd，etcgroup，etcsecurity等關鍵文件和目錄的權限30audit的所有者必

6、須是root和audit組成員etcsecurityaudit的所有者必須是root和audit組成員31etcpasswdrwrretcpasswd目錄權限為644所有用戶可讀，root用戶可寫32關鍵文件權限控制etcgrouprwrretcgrouproot目錄權限為644所有用戶可讀，root用戶可寫33統(tǒng)一時間接入統(tǒng)一NTP服務器保障生產(chǎn)環(huán)境所有系統(tǒng)時間統(tǒng)一1.2.1.2.WindowsWindows系統(tǒng)安全基線系統(tǒng)安全基線1