信息系统安全系统基线

来源：小侦探旅游网

实用标准

1. 操作系统安全基线技术要求 1.1. AIX系统安全基线 1.1.1. 系统管理

通过配置操作系统运维管理安全策略，提高系统运维管理安全性，详见表1。

表1 AIX系统管理基线技术要求

序号 1 基线技术要求超级管理员权限的用户远程登录 2 3 使用动态口令令牌登录配置本机访问控制列表（可选）安装动态口令配置/etc/hosts.allow, /etc/hosts.deny PermitRootLogin no 基线标准点（参数）说明 root用户远程使用telnet登录（可选）安装TCP Wrapper，提高对系统访问控制 1.1.2. 用户账号与口令

通过配置操作系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表2。

表2 AIX系统用户账户与口令基线技术要求

序号基线技术要求基线标准点（参数） daemon（禁用） bin（禁用） sys（禁用） adm（禁用） 4 系统无用默认账号登录 uucp（禁用） nuucp（禁用） lpd（禁用） guest（禁用） pconsole（禁用） esaadmin（禁用） sshd（禁用） 5 控制用户登录超时时间 10分钟控制用户登录会话，设置超时时间清理多余用户账号，系统默认账号登录，同时，针对需要使用的用户，制订用户列表，并妥善保存说明文案大全

实用标准

6 7 8 9 口令最小长度口令中最少非字母数字字符信息系统的口令的最大周期口令不重复的次数 8位 1个 90天 10次口令安全策略（口令为超级用户静态口令）口令安全策略（口令为超级用户静态口令）口令安全策略（口令为超级用户静态口令）口令安全策略（口令为超级用户静态口令） 1.1.3. 日志与审计

通过对操作系统的日志进行安全控制与管理，提高日志的安全性，详见表3。

表3 AIX系统日志与审计基线技术要求

序号 10 11 12 13 基线技术要求系统日志记录（可选）系统日志存储（可选) 日志保存要求（可选）配置日志系统文件保护属性（可选）修改日志文件保护权限（可选）基线标准点（参数） authlog、sulog、wtmp、failedlogin 对接到统一日志服务器 6个月 400 计使用日志服务器接收与存储主机日志，网管平台统一管理等保三级要求日志必须保存6个月修改配置文件syslog.conf权限为管理员账号只读修改日志文件authlog、wtmp、400 sulog、failedlogin的权限管理员账号只读说明记录必需的日志信息，以便进行审14 1.1.4. 服务优化

通过优化操作系统资源，提高系统服务安全性，详见表4。

表4 AIX系统服务优化基线技术要求

序号 15 基线技术要求 discard 服务基线标准点（参数）禁止说明网络测试服务，丢弃输入, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用网络测试服务，显示时间, 为“拒16 daytime 服务禁止绝服务”攻击提供机会, 除非正在测试网络，否则禁用文案大全

实用标准

网络测试服务，回应随机字符串, 17 chargen 服务禁止为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用 comsat通知接收的电子邮件，以 18 comsat 服务禁止 root 用户身份运行，因此涉及安全性, 除非需要接收邮件，否则禁用 ntalk允许用户相互交谈，以 root 19 ntalk 服务禁止用户身份运行，除非绝对需要，否则禁用在网上两个用户间建立分区屏幕，20 talk 服务禁止不是必需服务，与 talk 命令一起使用，在端口 517 提供 UDP 服务 21 22 23 24 25 26 27 tftp 服务 ftp 服务（可选） telnet服务 uucp 服务禁止禁止禁止禁止以 root 用户身份运行并且可能危及安全防范非法访问目录风险远程访问服务除非有使用 UUCP 的应用程序，否则禁用 CDE 子过程控制不用图形管理则禁用 Kerberos 登录，如果站点使用 Kerberos 认证则启用 Kerberos shell，如果站点使用 Kerberos 认证则启用 dtspc 服务（可选）禁止 klogin 服务（可选）禁止 kshell 服务（可选）禁止 1.1.5. 访问控制

通过对操作系统安全权限参数进行调整，提高系统访问安全性，详见表5。

表5 AIX系统访问控制基线技术要求

序号 28 基线技术要求修改Umask权限基线标准点（参数） 022或027 passwd、group、29 关键文件权限控制 security的所有者必须是root和security组成员文案大全

说明要求修改默认文件权限设置/etc/passwd，/etc/group， /etc/security等关键文件和目录的权限实用标准

30 audit的所有者必须是root和audit组成员 /etc/passwd rw-r--r-- /etc/security/audit的所有者必须是root和audit组成员 /etc/passwd目录权限为 4所有用户可读，root用户可写 /etc/group root目录权限为4 所有用户可读，root用户可写保障生产环境所有系统时间统一 31 32 /etc/group rw-r--r-- 33 统一时间接入统一NTP服务器 1.2. Windows系统安全基线 1.2.1. 用户账号与口令

通过配置操作系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表6。

表6 Windows系统用户账号与口令基线技术要求

序号 1 2 3 4 5 6 7 8 9 10 基线技术要求口令必须符合复杂性要求口令长度最小值口令最长使用期限强制口令历史基线标准点（参数）启用 8位 90天 10次态口令）口令安全策略（不涉及终端）口令安全策略（不涉及终端）口令安全策略（不涉及终端）账号锁定策略（不涉及终端）账号锁定策略（不涉及终端）账号锁定策略（不涉及终端）禁用guest账号保护administrator安全禁用无需使用账号说明口令安全策略（不涉及终端及动复位账号锁定计数器 10分钟账号锁定时间（可选） 10分钟账号锁定阀值（可选） 10次 guest账号 administrator（可选）禁止重命名无需账号检查与管理禁用 1.2.2. 日志与审计

通过对操作系统日志进行安全控制与管理，提高日志的安全性与有效性，详见表7。

文案大全

实用标准

表7 Windows系统日志与审计基线技术要求

序号 11 12 13 14 15 16 17 18 基线技术要求审核账号登录事件审核账号管理审核目录服务访问审核登录事件审核策略更改审核系统事件基线标准点（参数）成功与失败成功与失败成功成功与失败成功与失败成功说明日志审核策略日志审核策略日志审核策略日志审核策略日志审核策略日志审核策略日志存储在统一日志服务器中等保三级要求日志保存6个月日志存储地址（可选）接入到统一日志服务器日志保存要求（可选） 6个月 1.2.3. 服务优化

通过优化系统资源，提高系统服务安全性，详见表8。

表8 Windows系统服务优化基线技术要求

序号 19 20 21 22 23 24 25 26 27 基线技术要求 Alerter服务 Clipbook（可选） Computer Browser服务（可选） Messenger服务 Remote Registry Service服务 Routing and Remote Access服务 Automatic Updates服务（可选） Terminal Service服务（可选）基线标准点（参数）禁止禁止禁止禁止禁止禁止说明禁止进程间发送信息服务禁止机器间共享剪裁板上信息服务禁止跟踪网络上一个域内的机器服务禁止即时通讯服务禁止远程操作注册表服务禁止路由和远程访问服务禁止后台打印处理服务禁止自动更新服务禁止终端服务 Print Spooler（可选）禁止禁止禁止 1.2.4. 访问控制

通过对系统配置参数调整，提高系统安全性，详见表9。

表9 Windows系统访问控制基线技术要求

文案大全

实用标准

序号 28 29 30 31 基线技术要求文件系统格式桌面屏保防病毒软件防病毒代码库升级时间基线标准点（参数） NTFS 10分钟安装赛门铁克 7天说明磁盘文件系统格式为NTFS 桌面屏保策略生产环境安装赛门铁克防病毒最新版本软件禁止配置文件共享，若工作需要32 文件共享（可选）禁止必须配置共享，须设置账号与口令 33 34 35 36 37 38 39 系统自带防火墙（可选）禁止默认共享IPC$、禁止启用启用禁止禁止接入统一NTP服务器禁止自带防火墙安全控制选项优化网络访问安全控制选项优化交互式登录安全控制选项优化禁止自动运行禁止蓝屏后自动启动机器保障生产环境所有系统时间统一 ADMIN$、C$、D$等不允许匿名枚取SAM账号与共享不显示上次的用户名控制驱动器蓝屏后自动启动机器（可选）统一时间 1.2.5. 补丁管理

通过进行定期更新，降低常见的漏洞被利用，详见表10。

表10 Windows系统补丁管理基线技术要求

序号 40 41 基线技术要求安全服务包基线标准点（参数） win2003 SP2 win2008 SP1 说明安装微软最新的安全服务包根据实际需要更新安全补丁安全补丁（可选）更新到最新 1.3. Linux系统安全基线 1.3.1. 系统管理

通过配置系统安全管理工具，提高系统运维管理的安全性，详见表11。

文案大全

实用标准

表11 Linux系统管理基线技术要求

序号 1 基线技术要求安装SSH管理远程工具(可选) 配置本机访问控制列表（可选）基线标准点（参数）安装OpenSSH 说明 OpenSSH为远程管理高安全性工具，保护管理过程中传输数据的安全配置/etc/hosts.allow, /etc/hosts.deny 安装TCP Wrapper，提高对系统访问控制 2 1.3.2. 用户账号与口令

通过配置Linux系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表12。

表12 Linux系统用户账号与口令基线技术要求

序号基线技术要求禁止系统无用默认账号登录 1) Operator 2) Halt 3 3) Sync 4) News 5) Uucp 6) Lp 7) nobody 8) Gopher 4 5 6 7 8 root远程登录口令使用最长周期口令过期提示修改时间口令最小长度设置超时时间禁止 90天 28天 8位 10分钟禁止root远程登录口令安全策略（超级用户口令）口令安全策略（超级用户口令）口令安全策略口令安全策略禁止清理多余用户账号，系统默认账号登录，同时，针对需要使用的用户，制订用户列表进行妥善保存基线标准点（参数）说明 1.3.3. 日志与审计

通过对Linux系统的日志进行安全控制与管理，提高日志的安全性与有效性，详见表13。

文案大全

实用标准

表13 Linux系统日志与审计基线技术要求

序号 9 10 11 12 基线技术要求记录安全日志基线标准点（参数） authpriv日志说明记录网络设备启动、usermod、change等方面日志使用统一日志服务器接收并存储系统日志等保三级要求日志必须保存6个月修改配置文件syslog.conf权限为管理员用户只读日志存储（可选）接入到统一日志服务器日志保存时间日志系统配置文件保护 6个月 400 1.3.4. 服务优化

通过优化Linux系统资源，提高系统服务安全性，详见表14。

表14 Linux系统服务优化基线技术要求

序号 13 14 15 16 17 18 19 20 21 22 23 基线技术要求 ftp 服务（可选） sendmail 服务 klogin 服务（可选）基线标准点（参数）禁止禁止禁止说明文件上传服务邮件服务 Kerberos 登录，如果站点使用 Kerberos 认证则启用 Kerberos shell，如果站点使用 Kerberos 认证则启用 new talk 以 root 用户身份运行可能危及安全邮件服务邮件服务远程访问服务图形管理服务增强系统安全 kshell 服务（可选）禁止 ntalk 服务 tftp 服务禁止禁止 imap 服务（可选）禁止 pop3服务（可选）禁止 telnet 服务(可选 ) GUI服务（可选）禁止禁止 xinetd服务（可选）启动 1.3.5. 访问控制

通过对Linux系统配置参数调整，提高系统安全性，详见表15。

表15 Linux系统访问控制基线技术要求

文案大全

实用标准

序号 24 25 26 27 28 统一时间关键文件权限控制基线技术要求 Umask权限基线标准点（参数） 022或027 1) /etc/passwd 目录权限为4 2) /etc/shadow目录权限为400 3) /etc/group root目录权限为4 接入统一NTP服务器说明修改默认文件权限 /etc/passwd rw-r--r— 所有用户可读，root用户可写 /etc/shadow r-------- 只有root可读 /etc/group rw-r--r— 所有用户可读，root用户可写保障生产环境所有系统时间统一 2. 数据库安全基线技术要求 2.1. Oracle数据库系统安全基线 2.1.1. 用户账号与口令

通过配置数据库系统用户账号与口令安全策略，提高数据库系统账号与口令安全性，详见表16。

表16 Oracle系统用户账号与口令基线技术要求

序号 1 基线技术要求 Oracle无用账号 TIGER SCOTT等默认管理账号管理 2 SYSTEM DMSYS等 3 4 5 6 数据库自动登录SYSDBA账号口令最小长度口令有效期禁止使用已设置过的口令次数禁止 8位 12个月 10次账号安全策略口令安全策略（新系统）新系统执行此项要求口令安全策略更改口令账号安全策略（新系统）禁用禁用无用账号基线标准点（参数）说明 2.1.2. 日志与审计

通过对数据库系统的日志进行安全控制与管理，提高日志的安全性与有效性，详见表17。

文案大全

实用标准

表17 Oracle系统日志与审计基线技术要求

序号 7 8 基线技术要求基线标准点（参数）说明日志必须保存3个月设置访问日志文件权限日志保存要求（可选） 3个月日志文件保护启用 2.1.3. 访问控制

通过对数据库系统配置参数调整，提高数据库系统安全性，详见表18。

表18 Oracle系统访问控制基线技术要求

序号 9 10 基线技术要求基线标准点（参数）说明设置口令（新系统）系统可执行此项要求监听程序加密（可选）设置口令修改服务监听默认端口（可选）非TCP1521 3. 中间件安全基线技术要求

3.1. Tong（TongEASY、TongLINK等）中间件安全基线 3.1.1. 用户账号与口令

通过配置中间件用户账号与口令安全策略，提高系统账号与口令安全，详见表19。

表19 Tong用户账号与口令基线技术要求

序号 1 基线技术要求优化Tong服务账号和应用共用同一用户（可选）基线标准点（参数） Tong和应用共用同一用户说明与操作系统应用用户保持一致 3.1.2. 日志与审计

通过对中间件的日志进行安全控制与管理，保护日志的安全与有效性，详见表20。

表20 Tong日志与审计基线技术要求

序号基线技术要求基线标准点（参数）说明文案大全

实用标准

2 3 4 5 6 7 8 9 事务包日志备份交易日志备份通信管理模块运行日志备份系统日志备份名字服务日志备份调试日志备份通信管理模块错误日志备份日志保存时间(可选) 6个月等保三级要求日志必须保存6个月 1.5G 1.5G 1.5G 1.5G 1.5G 1.5G 1.5G Pktlog达到1.5G进行备份 Txlog达到1.5G进行备份 Tonglink.log达到1.5G进行备份 syslog达到1.5G进行备份 Nsfwdlog达到1.5G进行备份 Testlog达到1.5G进行备份 Tonglink.err达到1.5G进行备份 3.1.3. 访问控制

通过配置中间件系统资源，提高中间件系统服务安全，详见表21。

表21 Tong访问控制基线技术要求

序号 10 基线技术要求共享内存基线标准点（参数） SHMMAX：4G SHMSEG： 3个以上 SHMALL：12G MSGTQL ：4096 11 消息队列 MSGMAX：8192 MSGMNB：16384 Maxuproc：1000以上 12 信号灯 SEMMSL：13以上 SEMMNS：26以上 13 进程数 NPROC：2000以上 MAXUP：1000以上设置同时运行进程数参数

设置Tong信号灯参数说明根据不同操作系统调整Tong的3个核心参数设置Tong核心应用系统程序进行数据传递参数

3.1.4. 安全防护

通过对中间件配置参数调整，提高中间件系统安全，详见表22。

表22 Tong安全防护基线技术要求

序号文案大全

基线技术要求基线标准点（参数）说明实用标准

14 数据传输安全根据应用需求设置加密标识 tld 15 守护进程安全 tmmoni tmrcv tmsnd 根据应用需求保护数据传输安全通信管理模块、运行监控、接收处理、发送处理守护进程处于常开状态，随时处理应用程序的请求 3.1.5. 补丁管理

通过对Tong的补丁进行定期更新，达到管理基线，防止常见的漏洞被利用，详见表23。

表23 Tong补丁管理基线技术要求

序号 16 基线技术要求基线标准点（参数）说明根据实际需要更新安全补丁安全补丁（可选）根据实际需要更新 Tong4.2、Tong4.5、Tong4.6适用于AIX5.3以上版本 3.2. Apache中间件安全基线 3.2.1. 用户账号与口令

通过配置中间件用户账号与口令安全策略，提高系统账号与口令安全性，详见表24。

表24 Apache用户账号与口令基线技术要求

序号 1 基线技术要求优化WEB服务账号基线标准点（参数）新建Apache可访问80端口用户账号用户启动说明使用WAS中间件用户安装，root3.2.2. 日志与审计

通过对中间件的日志进行安全控制与管理，提高日志的安全性与有效性，详见表25。

表25 Apache日志与审计基线技术要求

序号 2 3 4 文案大全

基线技术要求基线标准点（参数）说明采用Info日志级别，分析问题时采用更高日志级别配置错误日志文件名及位置配置访问日志文件名及位置日志级别（可选） Info 错误日志及记录 ErrorLog 访问日志（可选） CustomLog 实用标准

3.2.3. 服务优化

通过优化中间件系统资源，提高中间件系统服务安全性，详见表26。

表26 Apache服务优化基线技术要求

序号 5 基线技术要求无用模块基线标准点（参数）禁用说明禁用无用模块 3.2.4. 安全防护

通过对中间件配置参数调整，提高中间件系统安全性，详见表27。

表27 Apache安全防护基线技术要求

序号 6 7 基线技术要求遍历操作系统目录（可选）服务器应答头中的版本信息服务器生成页面8 的页脚中版本信息关闭不显示服务器默认欢迎页面基线标准点（参数）禁止关闭说明修改参数文件，禁止目录遍历隐藏版本信息，防止软件版本信息泄漏 3.3. WAS中间件安全基线 3.3.1. 用户账号与口令

通过配置用户账号与口令安全策略，提高系统账号与口令安全性，详见表28。

表28 WAS用户账号与口令基线技术要求

序号 1 2 基线技术要求账号安全策略口令安全策略基线标准点（参数）按照操作系统账号管理规范执行按照操作系统口令管理规范执行说明符合应用系统运行要求符合应用系统运行要求 3.3.2. 日志与审计

文案大全

实用标准

通过对系统的日志进行安全控制与管理，提高日志的安全性与有效性，详见表29。

表29 WAS日志与审计基线技术要求

序号 3 4 基线技术要求故障日志记录级别基线标准点（参数）开启 Info 说明记录相关日志记录相关日志级别 3.3.3. 服务优化

通过优化系统资源，提高系统服务安全性，详见表30。

表30 WAS服务优化基线技术要求

序号 5 基线技术要求 file serving服务配置config和6 properties目录权限 755 基线标准点（参数）禁止说明开启用户可能非法浏览应用服务器目录和文件 config和properties目录权限不当存在安全隐患 3.3.4. 安全防护

通过对系统配置参数调整，提高系统安全性，详见表31。

表31 WAS安全防护基线技术要求

序号 7 8 9 10 基线技术要求删除sample例子程序连接会话超时控制数据传输安全设置控制台会话最长时间基线标准点（参数）删除示例域 10分钟加密传送 30分钟说明防止已知攻击设置超时时间，控制用户登录会话在服务器console管理中浏览器与服务器传输信息配置SSL 控制台会话timeout低于30分钟 3.3.5. 补丁管理

通过进行定期更新，达到管理基线，降低常见的的漏洞被利用，详见表32。

文案大全

实用标准

表32 WAS补丁管理基线技术要求

序号 11 基线技术要求安全补丁（可选）基线标准点（参数）按照系统管理室年度版本执行说明根据应用系统实际情况选择 4. 网络设备安全基线技术要求 4.1. Cisco路由器/交换机安全基线 4.1.1. 系统管理

通过配置网络设备管理，提高系统运维管理安全性，详见表33。

表33 Cisco系统管理基线技术要求

序号 1 基线技术要求基线标准点（参数）说明采用ssh服务代替telnet服务管远程ssh服务（可选）启用理网络设备，提高设备管理安全性 2 认证方式 tacas/radius认证启用设备认证配置访问控制列表，只允许管理3 4 5 非管理员IP地址配置console端口统一时间禁止口令认证员IP或网段能访问网络设备管理服务 console需配置口令认证信息接入统一NTP服务器保障生产环境所有设备时间统一 4.1.2. 用户账号与口令

通过配置网络设备用户账号与口令安全策略，提高系统账号与口令安全性，详见表34。

表34 Cisco用户账号与口令基线技术要求

序号 6 7 8 令 enable口令账号登录空闲超时时间基线技术要求 Service password口基线标准点（参数）加密加密 5分钟采说明用service password-encryption 采用secret对口令进行加密设置console和vty的登录超时时间5分钟文案大全

实用标准

9 口令最小长度 8位口令长度为8个字符 4.1.3. 日志与审计

通过对网络设备的日志进行安全控制与管理，提高日志的安全性与有效性，详见表35。

表35 Cisco日志与审计基线技术要求

序号 10 11 12 基线技术要求串（可选）系统日志存储日志保存要求基线标准点（参数）改Community 对接到网管日志服务器 6个月说明更改SNMP主机IP 使用日志服务器接收与存储主机日志，网管平台统一管理等保三级要求日志必须保存6个月更改SNMP的团体更SNMP 修改默认值public 4.1.4. 服务优化

通过优化网络设备，提高系统服务安全性，详见表36。

表36 Cisco服务优化基线技术要求

序号 13 14 15 16 17 18 19 20 21 基线技术要求 TCP、UDP Small服务（可选） Finger服务 HTTP服务 HTTPS服务 BOOTp服务 IP Source Routing服务 ARP-Proxy服务 cdp服务（可选） FTP服务（可选）基线标准点（参数）禁止禁止禁止禁止禁止禁止禁止禁止禁止禁用无用服务禁用无用服务禁用无用服务禁用无用服务禁用无用服务禁用无用服务禁用无用服务禁用无用服务(只适用于边界设备) 禁用无用服务说明 4.1.5. 访问控制

通过对设备配置进行调整，提高设备或网络安全性，详见表

文案大全

实用标准

37。

表37 Cisco访问控制基线技术要求

序号 22 23 24 25 26 27 28 基线技术要求 login banner信息 BGP认证（可选） EIGRP认证（可选） OSPF认证（可选） RIPv2认证（可选） MAC绑定（可选）基线标准点（参数）说明修改默认值为警示语默认值不为空启用启用启用启用 IP+MAC+端口绑定加强路由信息安全加强路由信息安全加强路由信息安全加强路由信息安全重要服务器采用IP+MAC+端口绑定关闭没用网络端口网络端口AUX（可选）关闭 4.2. H3C路由器/交换机安全基线 4.2.1. 系统管理

通过配置网络设备管理，预防远程访问服务攻击或非授权访问，提高网络设备远程管理安全性，详见表38。

表38 H3C系统管理基线技术要求

通过配置用户账号与口令安全策略，提高系统账号与口令安全，详见表39。

表39 H3C用户账号与口令基线技术要求

文案大全

实用标准

序号 6 7 8 基线技术要求 system口令账号登录空闲超时时间口令最小长度基线标准点（参数）加密方式 5分钟 8位说明采用cipher对口令进行加密设置console和vty的登录超时时间5分钟口令安全策略 4.2.3. 日志与审计

通过对网络设备的日志进行安全控制与管理，提高日志的安全性与有效性，详见表40。

表40 H3C日志与审计基线技术要求

序号 9 10 基线技术要求系统日志日志保存要求基线标准点（参数）接入到网管日志服务器 6个月收与存储等保三级要求日志必须保存6个月说明使用网管平台统一日志服务器接4.2.4. 服务优化

通过优化网络设备资源，提高设备服务安全性，详见表41。

表41 H3C服务优化基线技术要求

序号 11 12 基线技术要求 http服务基线标准点（参数）禁用关闭弱服务禁用Ftp服务说明 FTP服务（可选）禁止 4.2.5. 访问控制

通过对网络设备配置参数调整，提高设备安全性，详见表42。

表42 H3C访问控制基线技术要求

序号 13 14 15 16 基线技术要求 BGP认证（可选） OSPF认证（可选） RIPv2认证（可选）统一时间基线标准点（参数）启用启用启用接入统一NTP服务器说明加强路由信息安全加强路由信息安全加强路由信息安全保障生产环境所有设备时间统一文案大全

实用标准

重要服务器采用17 18 IP+MAC+端口绑定（可选）网络端口AUX（可选）关闭 IP+MAC+端口绑定重要服务器采用IP+MAC+端口绑定关闭没用网络端口 4.3. 防火墙安全基线 4.3.1. 系统管理

通过配置网络设备管理，提高安全设备运维管理安全性，详见表43。

表43 防火墙系统管理基线技术要求

序号 1 2 3 基线技术要求安全网络登录方式，SSH或者HTTPS 基线标准点（参数）启用 30秒配置管理客户端IP 地址启用采用说明 ssh(https)服务代替telnet(http)服务管理防火墙设备登录口令录入时间可登录的访问地址只接收管理流量的逻辑管理IP地址（可选） HTTP监听端口号（可选）统一时间设置登录口令录入时间，建议为30秒对特定工作站的管理能力网络用户流量分离管理流量大大增加了管理安全性，并确保了稳定的管理带宽通过更改HTTP监听端口号提高系统安全性保障生产环境所有设备时间统一 4 5 6 更改接入统一NTP服务器 4.3.2. 用户账号与口令

通过配置网络设备用户账号与口令安全策略，提高设备账号与口令安全性，详见表44。

表44 防火墙用户账号与口令基线技术要求

序号 7 基线技术要求系统初始账号和口令口令最短长度基线标准点（参数）修改 8位说明在完成初始配置后应尽快修改缺省用户名和口令口令安全策略 4.3.3. 日志与审计

通过对网络设备的日志进行安全控制与管理，提高日志的安全

文案大全

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文