文档介绍:XXXX农商银行信息系统安全基线技术规范
XXXX农商银行信息系统安全基线技术规范
XXXX农商银行信息系统安全基线技术规范
XXXX农商银行
信息系统安全配置基线规范
范围
本规范适用于XXXX农商银行所有信息系统相关stsize=10
口令中某一字符最多只能重复3次
口令最短为8个字符
口令中最少包含4个字母字符
口令中最少包含一个非字母数字字符
新口令中最少有4个字符和旧口令不同
口令最小使用寿命1周
口令的最大寿命25周
口令不重复的次数10次
FTP用户账号控制
/etc/
禁止root用户使用FTP
XXXX农商银行信息系统安全基线技术规范
XXXX农商银行信息系统安全基线技术规范
XXXX农商银行信息系统安全基线技术规范
日志与审计
应对系统的日志进行安全控制与管理,保护日志的安全与有效性.
基线技术要求
基线标准点(参数)
说明
日志记录
记录authlog、wtmp。log、sulog、failedlogin
记录必需的日志信息,以便进行审计
日志存储(可选)
日志必须存储在日志服务器中
使用日志服务器接受与存储主机日志
日志保存要求
2个月
日志必须保存2个月
日志系统配置文件保护
文件属性400(管理员账号只读)
修改日志配置文件()权限为400
日志文件保护
文件属性400(管理员账号只读)
修改日志文件authlog、、sulog、failedlogin的权限为400
服务优化
应提高系统服务安全,优化系统资源。
基线技术要求
基线标准点(参数)
说明
Finger 服务
禁止
Finger允许远程查询登陆用户信息
telnet 服务
禁止
远程访问服务
ftp 服务(可选)
禁止
文件上传服务(需要经过批准才启用)
XXXX农商银行信息系统安全基线技术规范
XXXX农商银行信息系统安全基线技术规范
XXXX农商银行信息系统安全基线技术规范
基线技术要求
基线标准点(参数)
说明
sendmail 服务(可选)
禁止
邮件服务
Time 服务
禁止
远程查询登陆用户信息服务
Echo 服务
禁止
网络测试服务,回显字符串, 为“拒绝服务”攻击提供机会, 除非正在测试网络,否则禁用
Discard 服务
禁止
网络测试服务,丢弃输入, 为“拒绝服务”攻击提供机会, 除非正在测试网络,否则禁用
Daytime 服务
禁止
网络测试服务,显示时间, 为“拒绝服务”攻击提供机会, 除非正在测试网络,否则禁用
Chargen 服务
禁止
网络测试服务,回应随机字符串, 为“拒绝服务"攻击提供机会, 除非正在测试网络,否则禁用
comsat 服务
禁止
comsat通知接收的电子邮件,以 root 用户身份运行,因此涉及安全性, 很少需要的,禁用
klogin 服务(可选)
禁止
Kerberos 登录,如果您的站点使用 Kerberos 认证则启用(需要经过批准才启用)
XXXX农商银行信息系统安全基线技术规范
XXXX农商银行信息系统安全基线技术规范
XXXX农商银行信息系统安全基线技术规范
基线技术要求
基线标准点(参数)
说明
kshell 服务(可选)
禁止
Kerberos shell,如果您的站点使用 Kerberos 认证则启用(需要经过批准才启用)
ntalk 服务
禁止
ntalk允许用户相互交谈,以 root 用户身份运行,除非绝对需要,否则禁用
talk 服务
禁止
在网上两个用户间建立分区屏幕,不是必需服务,与 talk 命令一起使用,在端口 517 提供 UDP 服务
tftp 服务
禁止
以 root 用户身份运行并且可能危及安全
uucp 服务
禁止
除非有使用 UUCP 的应用程序,否则禁用
dtspc 服务(可选)
禁止
CDE 子过程控制,不用图形管理则禁用
安全防护
应对系统安全配置参数进行调整,提高系统安全.
基线技术要求
基线标准点(参数)
说明
XXXX农商银行信息系统安全基线技术规范
XXXX农商银行信息系统安全基线技术规范
XXXX农商银行信息系统安全基线技术规范
Umask权限
022
修改默认文件权限
控制用户登录会话
设置为600秒
设置超时时间,控制用户登录会话
其他
应对关键文件进行权限调整,提高关键文件的安全。
基线技术要求
基线标准点(参数)
说明
关键文件的安全保护
/etc/passwd
/etc/group
/etc/securi