Q/CR 655-2018 铁路信息系统设备安全配置基线.pdf
- 文档部分内容预览:
Q/CR 655-2018 铁路信息系统设备安全配置基线
a)应配置登录空闲退出功能,账号登录系统后,连续5min内未做任何操作,应自动断开连接并 退出系统; b) 应配置登录失败处理功能,账号连续登录失败5次则锁定,需管理员解锁,管理员账号除外; C 应仅授予账号所需最小访问权限; 应配置文件与目录访问的最小权限,严格限制口令文件等关键文件目录访问权限; e 应配置日志文件访问的最小权限,控制用户对日志文件读取、修改和删除; f) 非管理员组账号不应具有关闭系统、远程强制关机的权限; 名) 非管理员组账户不应取得其他账号的文件或对象的所有权权限; h 应启用指定授权账号访问系统功能; 应仅允许授权账号通过网络访问系统; 应将查看共享文件夹权限仅授予指定账号; k) 应禁用置名FTP账户登录; 1 应设置专用的FTP账号,修改缺省访问目录,控制账号访问权限,不应使用FTP账号登录 系统; m 应禁用可远程访问的注册表路径和子路径; n) 不应使用来宾账号登录系统; 应禁用蓝屏后自动启动设备功能; P) 应及时删除已不使用的、过期的和与运行、维护无关的系统账号; q 宜删除操作系统敏感别名文件; 可关闭默认共享功能,如CS逻辑共享、DS逻辑共享、IPCS通道共享、ADMINS目录共享等; S 可重命名系统管理员缺省账号名称; 可启用TCP/IP筛选功能或系统防火墙功能,仅开放业务所需的TCP、UDP和IP端口; u 可限制访问操作系统的源IP地址。
a 应启用操作系统本地日志功能,记录用户登录操作系统、转换提权获取管理员权限、定时任务 行为等内容; b 应配备集中日志服务器,并启用远程日志记录功能; 应至少保留180d日志信息; d 应启用NTP服务,并与时钟源同步; e)应设置系统日志文件内部缓冲区为8192kB或设备允许的最大值。 入侵防范 人侵防范具体要求如下: a)应遵循操作系统最小安装原则,仅安装必需的操作系统服务组件; 应关闭不必要的操作系统服务; 应启用SNMPv2.0及以上版本,删除默认团体名,仅启用只读团体名,团体名长度不应少于8
a)应启用操作系统本地日志功能电网标准规范范本,记录用户登录操作系统、转换提权获取管理员权限、定时 行为等内容; b 应配备集中日志服务器,并启用远程日志记录功能; 应至少保留180d日志信息; d) 应启用NTP服务,并与时钟源同步; e) 应设置系统日志文件内部缓冲区为8192kB或设备允许的最大值。
e)应设置系统日志文件内部缓冲区为8192kB或设备允许的最大值。 入侵防范 入侵防范具体要求如下: a)应遵循操作系统最小安装原则,仅安装必需的操作系统服务组件; b) 应关闭不必要的操作系统服务; 应启用SNMPv2.0及以上版本,删除默认团体名,仅启用只读团体名,团体名长度不应少于8 个字符,由数字及大小写字母混合组成; 应关闭系统自动补丁更新功能,及时将系统补丁更新至最新版本; e 应及时修复安全漏洞; 应安装符合国家标准或规定的安全防护和防病毒软件,并及时更新代码库; 可修改默认服务端口限制登录IP地址,以控制远程桌面服务的使用
应关闭主机系统ICMP重定向功能; b) 应建立2个或以上磁盘分区,且宜使用NTFS文件系统; c) 应关闭系统自动播放功能; d) 应限制系统最大用户进程数、进程可打开的文件数等; 可启用DEP功能。
剩余信息具体要求如下: a)不应设置在登录界面显示上次登录用户信息; b)关机时应清除虚拟内存页面; c)可禁用ctrl+alt+del快捷命令。
其他安全具体要求如下: a) 应制定主机命名规则,并在操作系统上进行配置; b) 应对重要操作系统在变更前后进行备份,并保留不少于2份副本; c 设备报废时,磁介质应进行消磁处理,其他存储介质应进行销毁处理。
身份鉴别具体要求如下: a) 应对登录中间件系统用户进行唯一身份标识和鉴别; b) 应为每个用户创建账号,不应使用共享账号; 应设置账号口令,口令长度不应少于8个字符,应包括数字、大写字母、小写字母和特 类中至少3类;口令更换周期应小于90d,且3次以内不应设置相同口令; 宜使用HTTPS方式实现远程登录并修改默认管理登录端口号。
访问控制具体要求如下: 应配置登录空闲退出功能,账号登录系统后,连续5min内未做任何操作,应自动断开连接 退出系统; b) 应配置登录失败处理功能,账号连续登录失败5次则锁定,需管理员解锁,管理员账号除外 C) 不应使用操作系统管理员账号启动应用中间件服务进程; d) 应仅授予账号所需最小访问权限; e) 应配置文件与目录访问的最小权限,严格限制口令文件等关键文件目录访问权限: f) 应配置日志文件访问的最小权限,控制用户对日志文件读取、修改和删除; g 应严格控制应用中间件目录访问权限; h) 应设置通用应用中间件仅访问授权的文件
安全审计具体要求如下: a) 应启用系统本地日志功能,记录运行错误、用户登录等内容; b) 应配备集中日志服务器,并启用远程日志记录功能; 应至少保留180d日志信息; d)可启用日志审计功能,记录管理员账号操作等信息。
入侵防范具体要求如下
入侵防范具体要求如下:
a)应及时修复安全漏洞; b) 应关闭跟踪服务; ) 不应使用不必要的HTTP方法,如PUT、DELETE等协议访问应用程序; d) 应隐藏中间件版本号等敏感信息; 宜及时将系统补丁更新至稳定版本; f 可修改中间件非公众服务默认端口。
资源控制具体要求如下: a)应限制访问中间件系统控制台的最大连接数; b)应限制中间件访间数据库系统的最大、最小连接数
应制定系统命名规则,并在系统
身份鉴别具体要求如下: a)应对登录数据库系统用户进行唯一身份标识和鉴别; 应为每个用户创建账号,不应使用共享账号; 应设置账号口令,口令长度不应少于8个字符,应包括数字、大写字母、小写字母和特殊符号4 类中至少3类;口令更换周期应小于90d,且3次以内不应设置相同口令; d 不应使用操作系统认证方式登录数据库系统; e 应禁用缺省管理员账号远程登录; f 宜为数据库系统重要角色设置口令。
访问控制具体要求如下: 应配置登录空闲退出功能,非应用生产账号登录系统后,连续5min内未做任何操作,应自动 断开连接并退出系统; b 应配置登录失败处理功能,账号连续登录失败5次则锁定,需管理员解锁,管理员账号除外; 应仅授予账号所需最小访问权限; 应配置文件与目录访问的最小权限,严格限制口令文件等关键文件目录访问权限; e) 应配置日志文件访问的最小权限,控制用户对日志文件读取、修改和删除; 应及时禁用已不使用的、过期的账号; 多 应为所有用户配置缺省的、合理的存储空间,限制多用户共用同一逻辑存储空间; 应禁用公共角色对数据库的默认访问权限; 中间件等应用不应使用DBA账号访问数据库; 宜限制访问数据库的IP地址范围; K 可限制普通用户对系统级数据字典访问权限
安全审计具体要求如下: a) 应启用系统本地日志功能,记录登录信息、用户行为等内容; b) 应配备集中日志服务器,并启用远程日志记录功能; c)应至少保留180d日志信息; d)应启用数据库登录审核功能.记录数据库登录成功及失败情况
助和关闭设置密码,修改监听默认端口
入侵防范具体要求如下: a) 应遵循最小安装原则,仅安装必需的数据库服务组件; b) 应及时删除不必要的数据库存储过程; c) 应限制数据库存储过程对系统资源的访问权限; d) 应禁用数据库不必要的组件及功能; 应及时修复安全漏洞;
资源控制具体要求如下: a)应限制单个账号的最大连接数; b)可限制系统最大总连接数。
资源控制具体要求如下: 且)应限制单个账号的最大连挂 b)可限制系统最大总连接数。
数据安全具体要求如下: 应对数据库定期进行本地或异地备份; b) 应定期进行数据完整性检查和数据备份恢复测试; 宜对敏感数据采用加密方式存储; d)宜限制数据库系统管理员对敏感数据访间权限
身份鉴别具体要求如下: 应对登录交换机的用户进行唯一身份标识和鉴别; b) 应基于用户对设备的管理需求分配不同的账号权限,不应使用共享账号; 应设置账号口令,口令长度不应少于8个字符,应包括数字、大写字母、小写字母和特殊符号4 类中至少3类;口令更换周期应小于90d,且3次以内不应设置相同口令;账号口令应加密 保存; d) 应配置登录失败处理功能,账号连续登录失败5次,则结束登录会话,并限制其5min内无法 再次登录; e 应及时删除设备上无效账号、缺省账号,若缺省账号无法删除,其口令长度不应少于8个字 符,应包括数字、大写字母、小写字母和特殊符号4类中至少3类; 关键设备应使用AAA认证方式进行认证,宜部署远程认证服务器并使用AAA远程认证方式; 多) 宜关闭明文远程登录协议,使用SSH方式实现远程登录。
访问控制具体要求如下: a) 应配置登录空闲退出功能,账号登录设备后,连续5min内未做任何操作,应自动断开连接并 退出系统; 应配置设备控制端口登录口令,且口令长度不应少于8个字符,由数字及大小写字母混合 组成:
应配置用户访问控制列表,仅允许网络管理员地址或网段管理设备; d) 应对访间设备连接成功提示信息进行修改,对非法登录提出警告; e 应仅允许指定的主机对设备进行SNMP访问; f)同一设备账号最大连接数宜设置为1。
安全审计具体要求如下: 应启用日志功能,记录设备运行状况及用户操作等内容; b) 应配备集中日志服务器,并启用远程日志记录功能; c) 应至少保留180d日志信息; d) 应启用NTP服务,并与时钟源同步; e)应设置设备日志文件内部缓冲为8192KB或设备允许的最大值,
其他安全具体要求如下: a)应制定交换机命名规则,并在设备上进行配置; b)应定期及变更前后对交换机配置进行备份,并保留2份或以上副本; 应在交换机端口、VLAN及静态路由的配置中加人描述信息; d)宜在端口下禁用VLAN1
身份鉴别具体要求如下: a 应对登录路由器的用户进行唯一身份标识和鉴别; 应基于用户对设备的管理需求分配不同的账号权限,不应使用共享账号; c) 应设置账号口令,口令长度不应少于8个字符,应包括数字、大写字母、小写字母和特殊符号4 类中至少3类;口令更换周期应小于90d,且3次以内不应设置相同口令;账号口令应加密 保存; d) 应配置登录失败处理功能,账号连续登录失败5次,则结束登录会话,并限制其5min内无法 再次登录; e 应及时删除设备上无效账号、缺省账号,若缺省账号无法删除,其口令长度不应少于8个字 符,应包括数字、大写字母、小写字母和特殊符号4类中至少3类; f 关键设备应使用AAA认证方式进行认证,宜部署远程认证服务器并使用AAA远程认证 方式; 宜关闭明文远程登录协议,使用SSH方式实现远程登录。
Q/C6552018 访问控制 访问控制具体要求如下: 应配置登录空闲退出功能,账号登录设备后,连续5min内未做任何操作,应自动断开连接并 退出系统; b) 应配置设备控制端口登录口令,且口令长度不应少于8个字符,由数字及大小写字母混合 组成; c) 应配置用户访问控制列表,仅允许网络管理员地址或网段管理设备; d) 应对访问设备连接成功提示信息进行修改,对非法登录提出警告; e) 应及时删除不必要的静态路由和访问控制策略; f 应仅允许指定的主机对设备进行SNMP访问; g) 同一设备账号最大连接数宜设置为1。 安全审计 安全审计具体要求如下: a) 应启用日志功能,记录设备运行状况及用户操作等内容; b) 应配备集中日志服务器,并启用远程日志记录功能; c) 应至少保留180d日志信息; 应启用NTP服务,并与时钟源同步; e 应设置设备日志文件内部缓冲为8192KB或设备允许的最大值。 入侵防范 人侵防范具体要求如下: a) 应关闭路由器上不必要的服务、端口及协议; b) 应启用SNMPv2.0及以上版本,删除默认团体名,仅启用只读团体名,团体名长度不应少于8 个字符,由数字及大小写字母混合组成; c 应关闭路由器上未使用的物理接口; d 若启用OSPF或BGP路由协议,宜配置安全认证,且口令长度不应少于8个字符,由数字及大 小写字母混合组成并加密保存; e)宜及时将系统补丁更新至稳定版本。 其他安全
访问控制具体要求如下: a 应配置登录空闲退出功能,账号登录设备后,连续5min内未做任何操作,应自动断开连接并 退出系统; b) 应配置设备控制端口登录口令,且口令长度不应少于8个字符,由数字及大小写字母混合 组成; c) 应配置用户访问控制列表,仅允许网络管理员地址或网段管理设备; 应对访问设备连接成功提示信息进行修改,对非法登录提出警告; e) 应及时删除不必要的静态路由和访问控制策略; f) 应仅允许指定的主机对设备进行SNMP访问; g) 同一设备账号最大连接数宜设置为1。
安全审计具体要求如下: 应启用日志功能,记录设备运行状况及用户操作等内容; b) 应配备集中日志服务器,并启用远程日志记录功能; c) 应至少保留180d日志信息; d) 应启用NTP服务,并与时钟源同步; e) 应设置设备日志文件内部缓冲为8192KB或设备允许的最大值
人侵防范具体要求如下: a) 应关闭路由器上不必要的服务、端口及协议; b) 应启用SNMPv2.0及以上版本,删除默认团体名,仅启用只读团体名,团体名长度不应少 个字符,由数字及大小写字母混合组成; 应关闭路由器上未使用的物理接口; d) 若启用OSPF或BGP路由协议,宜配置安全认证,且口令长度不应少于8个字符,由数字 小写字母混合组成并加密保存; 宜及时将系统补丁更新至稳定版本
其他安全具体要求如下: a)应制定设备命名规则,并在设备上进行配置; b) 应定期及变更前后对交换机配置进行备份,并保留不少于2个副本; c 应在路由器端口、静态路由的配置中加入描述信息。
身份鉴别具体要求如下: a)应对登录防火墙的用户进行唯一身份标识和鉴别,不应使用共享账号; b 应基于用户对设备的管理需求分配不同的账号权限; 应设置账号口令,口令长度不应少于8个字符,应包括数字、大写字母、小写字母和特殊符号4 类中至少3类;口令更换周期应小于90d,且3次以内不应设置相同口令;账号口令应加密 保存; d 应配置登录失败处理功能,账号连续登录失败5次,则结束登录会话,并限制其5min内无法 再次登录:
身份鉴别具体要求如下: 应对登录防火墙的用户进行唯一身份标识和鉴别,不应使用共享账号; b 应基于用户对设备的管理需求分配不同的账号权限; 应设置账号口令,口令长度不应少于8个字符,应包括数字、大写字母、小写字母和特殊符号4 类中至少3类;口令更换周期应小于90d,且3次以内不应设置相同口令;账号口令应加密 保存; 应配置登录失败处理功能,账号连续登录失败5次,则结束登录会话,并限制其5min内无法 再次登录:
应及时删除设备上无效账号、缺省账号,若缺省账号无法删除,其口令长度不应少于8个字 符,应包括数字、大写字母、小写字母和特殊符号4类中至少3类; 关键设备应使用AAA认证方式进行认证,宜部署远程认证服务器并使用AAA远程认证方式; 宜关闭明文远程登录协议,使用SSH方式实现远程登录; h 宜使用HTTPS方式实现远程登录并修改默认管理登录端口号。
访问控制具体要求如下: a) 应配置登录空闲退出功能,账号登录设备后,连续5min内未做任何操作,应自动断开连接并 退出系统; b) 应配置用户访问控制列表,仅允许网络管理员地址或网段管理设备; c) 应仅允许指定的主机对设备进行SNMP访问; d) 同一设备账号最大连接数宜设置为1。 安全审计 安全审计具体要求如下: a) 应启用日志功能,记录设备运行状况及用户操作等内容 应配备集中日志服务器,并启用远程日志记录功能; 应至少保留180d日志信息; d 应启用NTP服务,并与时钟源同步; e 应设置设备日志文件内部缓冲为8192KB或设备允许的最大值。 入侵防范 入侵防范具体要求如下: a) 应根据使用情况关闭不必要的服务、端口及协议; b) 应关闭防火墙上未使用的物理接口; c 应启用SNMPv2.0及以上版本,删除默认团体名,仅启用只读团体名,团体名长度不应少于8 个字符,由数字及大小写字母混合组成; 应及时修复安全漏洞; e) 应及时更新防火墙病毒库及IPS安全策略库; f) 宜及时将系统补丁更新至稳定版本。 安全策略 安全策略具体要求如下: a 应按照用户和系统间访问规则配置细粒度的访问控制策略,并在描述中对策略进行说明; b)应根据实际业务需求,配置防火墙的NAT策略;
访问控制具体要求如下: a) 应配置登录空闲退出功能,账号登录设备后,连续5min内未做任何操作,应自动断开连接并 退出系统; b) 应配置用户访问控制列表,仅允许网络管理员地址或网段管理设备; c 应仅允许指定的主机对设备进行SNMP访问; 小同一设务账品最大连控数宜设置为1
安全审计具体要求如下: a) 应启用日志功能,记录设 b) 应配备集中日志服务器,未 c) 应至少保留180d日志信 d) 应启用NTP服务,并与时 e) 应设置设备日志文件内部
安全策略具体要求如下: 应按照用户和系统间访问规则配置细粒度的访问控制策略,并在描述中对策略进行说明; b) 应根据实际业务需求,配置防火墙的NAT策略; 宜根据防火墙用途,配置入侵防御功能,并根据业需求制定防范策略; d) 宜根据防火墙用途,配置防病毒功能; e) 宜根据防火墙用途,配置抗DDoS攻击功能; f 宜根据实际情况,配置防火墙的会话老化时间; 8 宜根据防火墙用途,配置防火墙应用层协议检测功能。
其他安全具体要求如下: a) 应制定设备命名规则,并在设备上进行配置; 应开启访问控制策略命中数统计功能; c) 应定期及变更前后对防火墙配置进行备份,并保留不少于2个副本; d)应在防火墙端口、VLAN及静态路由的配置中加人描述信息。
10负载均衡设备安全配置基线
访问控制具体要求如下: a) 应配置登录空闲退出功能,账号登录设备后,连续5min内未做任何操作,应自动断开连接并 退出系统; b 应配置用户访问控制列表,仅允许网络管理员地址或网段管理设备; c) 应仅允许指定的主机对设备进行SNMP访问; d) 同一设备账号最大连接数宜设置为1; e) 宜使用管理接口对负载均衡设备进行管理。 0.3 安全审计 安全审计具体要求如下: a) 应启用日志功能,记录设备运行状况及用户操作等内容; b) 应配备集中日志服务器,并启用远程日志记录功能; c) 应至少保留180d日志信息; d) 应启用NTP服务,并与时钟源同步; e) 应设置设备日志文件内部缓冲为8192KB或设备允许的最大值。 0.4入侵防范 入侵防范具体要求如下: a) 应根据使用情况关闭不必要的服务、端口及协议; b) 应关闭设备上未使用的物理接口; c) 应启用SNMPv2.0及以上版本,删除默认团体名,仅启用只读团体名,团体名长度不应少于8 个字符,由数字及大小写字母混合组成; d) 应及时修复安全漏洞; e) 宜及时将系统补丁更新至稳定版本
访问控制具体要求如下: a 应配置登录空闲退出功能,账号登录设备后,连续5min内未做任何操作,应自动断开连 退出系统; b) 应配置用户访问控制列表,仅允许网络管理员地址或网段管理设备; c) 应仅允许指定的主机对设备进行SNMP访问; d) 同一设备账号最大连接数宜设置为1; 宜使用管理接口对负载均衡设备进行管理。
安全审计具体要求如下: a) 应启用日志功能,记录设备运行状况及用户操作等内容; b) 应配备集中日志服务器,并启用远程日志记录功能; c 应至少保留180d日志信息; d) 应启用NTP服务,并与时钟源同步; e) 应设置设备日志文件内部缓冲为8192KB或设备允许的最大值。
d) 应启用NTP服务,并与时钟源同步; e 应设置设备日志文件内部缓冲为8192KB或设备允许的最大值。 4入侵防范 入侵防范具体要求如下: 应根据使用情况关闭不必要的服务、端口及协议; b) 应关闭设备上未使用的物理接口; C 应启用SNMPv2.0及以上版本,删除默认团体名,仅启用只读团体名,团体名长度不应少于8 个字符,由数字及大小写字母混合组成; d) 应及时修复安全漏洞; e) 宜及时将系统补丁更新至稳定版本
a)应制定设备命名规则,并在设备上进行配置; 应设置负载均衡设备的NAT地址池,并根据业务规模预留足够的NAT地址;NAT地址应 载均衡设备对外服务地址在相同网段:
11VPN设备安全配置基线
身份鉴别具体要求如下: a) 应对登录VPN的用户进行唯一身份标识和鉴别; b 应基于用户对设备的管理需求分配不同的账号权限,不应使用共享账号; 应设置账号口令,口令长度不应少于8个字符,应包括数字、大写字母、小写字母和特殊符号4 类中至少3类;口令更换周期应小于90d,且3次以内不应设置相同口令;账号口令应加密 保存; d 应配置登录失败处理功能,账号连续登录失败5次,则结束登录会话,并限制其5min内无法 再次登录; 应及时删除设备上无效账号、缺省账号,若缺省账号无法删除,其口令长度不应少于8个字 符,应包括数字、大写字母、小写字母和特殊符号4类中至少3类; f 关键设备应使用AAA认证方式进行认证,宜部署远程认证服务器并使用AAA远程认证方式; g) 宜关闭明文远程登录协议,使用SSH方式实现远程登录; h)宜使用HTTPS方式实现远程登录并修改默认管理登录端口号。 2访问控制 访问控制具体要求如下:
访问控制具体要求如下: a) 应配置登录空闲退出功能,账号登录设备后,连续5min内未做任何操作,应自动断 退出系统; b) 应配置用户访问控制列表,仅允许网络管理员地址或网段管理设备; 应仅允许指定的主机对设备进行SNMP访问; d) 同一设备账号最大连接数宜设置为1。
安全审计具体要求如下: a 应启用日志功能,记录设备运行状况及用户操作等内容; b) 应配备集中日志服务器,并启用远程日志记录功能; C) 应至少保留180d日志信息; d) 应启用NTP服务,并与时钟源同步; e)应设置设备日志文件内部缓冲为8192KB或设备允许的最大值。
人侵防范具体要求如下: 应根据使用情况关闭虚拟专用网络设备上不必要的服务、端口及协议; b) 应关闭设备上未使用的物理接口; c) 应启用SNMPv2.0及以上版本,删除默认团体名,仅启用只读团体名,团体名长度不应少于8 个字符,由数字及大小写字母混合组成; d 应及时修复安全漏洞; e) 宜及时将系统补丁更新至稳定版本。
其他安全具体要求如下: )应制定设备命名规则,并在设备上进行配置; )不应使用L2TP、PPTP等不安全的协议,应使用SSL、IPsec等安全协议,且配置足够长度
密钥; 宜使用双因子认证方式接人VPN设备
身份鉴别具体要求如下: a) 应对登录网闸的用户进行唯一身份标识和鉴别; 应基于用户对设备的管理需求分配不同的账号权限,不应使用共享账号; c) 应设置账号口令,口令长度不应少于8个字符,应包括数字、大写字母、小写字母和特殊符号4 类中至少3类;口令更换周期应小于90d,且3次以内不应设置相同口令;账号口令应加密 保存; d) 应配置登录失败处理功能,账号连续登录失败5次,则结束登录会话,并限制其5min内无法 再次登录; e) 应及时删除设备上无效账号、缺省账号,若缺省账号无法删除,其口令长度不应少于8个字 符,应包括数字、大写字母、小写字母和特殊符号4类中至少3类; f) 关键设备应使用AAA认证方式进行认证,宜部署远程认证服务器并使用AAA远程认证 方式; g) 宜关闭明文远程登录协议二建标准规范范本,使用SSH方式实现远程登录; h) 宜使用HTTPS方式实现远程登录并修改默认管理登录端口号。 2.2 访问控制 访问控制具体要求如下:
符,应包括数字、大写字母、小写字母和特殊符号4类中至少3类; f 关键设备应使用AAA认证方式进行认证,宜部署远程认证服务器并使用AAA远程认证 方式; g) 宜关闭明文远程登录协议,使用SSH方式实现远程登录; h) 宜使用HTTPS方式实现远程登录并修改默认管理登录端口号。 12.2 访问控制 访问控制具体要求如下: a) 应配置登录空闲退出功能,账号登录设备后,连续5min内未做任何操作,应自动断开连接并 退出系统; b) 应配置用户访问控制列表,仅允许网络管理员地址或网段管理设备; c) 同一设备账号最大连接数宜设置为1。
访问控制具体要求如下: a) 应配置登录空闲退出功能,账号登录设备后,连续5min内未做任何操作,应自动断开连 退出系统; b) 应配置用户访问控制列表,仅允许网络管理员地址或网段管理设备; c)同一设备账号最大连接数宜设置为1
安全审计具体要求如下: 应启用日志功能,记录设备运行状况及用户操作等内容; 应配备集中日志服务器,并启用远程日志记录功能; c) 应至少保留180d日志信息; d) 应启用NTP服务,并与时钟源同步; e) 应设置设备日志文件内部缓冲为8192KB或设备允许的最大值
人侵防范具体要求如下: a)应根据使用情况关闭网闸上不必要的服务、端口及协议; b)应关闭网闸上未使用的物理接口。
其他安全具体要求如下:
a)应制定设备命名规则,并在设备上进行配置; b)应在网闸端口、静态路由的配置中加入用途描述信息。
铁路工程施工组织设计[1] GB/T 18018—2007 信息安全技术路由器安全技术要求 [2] GB/T 20269—2006 信息安全技术信息系统安全管理要求 [3] GB/T 20270—2006 信息安全技术 网络基础安全技术要求 [4] GB/T 20272—2006 信息安全技术操作系统安全技术要求 [5] GB/T 20273—2006 信息安全技术数据库管理系统安全技术要求 [6] GB/T 20275—2006 信息安全技术人侵检测系统技术要求和测试评价方法 [7] GB/T 20281—2006 信息安全技术防火墙技术要求和测试评价方法 [8] GB/T 22239—2008 信息安全技术信息系统安全等级保护基本要求 [9] GA/T 711—2007 信息安全技术应用软件系统安全等级保护通用技术指南 [10]Q/CR545—2016 铁路计算机终端安全防护系统技术规范
中国铁路总公司 企业标准 铁路信息系统设备安全配置基线 Securitybaselineof railwayinformation systemequipment Q/CR655—2018 * 中国铁道出版社出版 (100054,北京市西城区右安门西街8号) 北京建宏印刷有限公司印刷 版权专有侵权必究 开本:880mm×1230mm1/16印张:1.5字数:29千字 2018年9月第1版2018年9月第1次印刷 统一书号:15113·5478(内部用书)
....- 相关专题: