Q/CR 655-2018 标准规范下载简介
Q/CR 655-2018 铁路信息系统设备安全配置基线.pdf身份鉴别具体要求如下: a) 应对登录操作系统用户进行唯一身份标识和鉴别; b) 应为每个用户创建账号,不应使用共享账号,并按组进行账号管理,如操作系统管理员、数据 库系统管理员、应用中间件系统管理员等; c 应设置账号口令,口令长度不应少于8个字符,应包括数字、大写字母、小写字母和特殊符号4 类中至少3类;口令更换周期应小于90d,且3次以内不应设置相同口令; d) 应关闭明文远程登录协议; e) 应使用SSH协议实现远程登录,并安全配置SSH服务; f 不应使用超级管理员账号直接远程登录。
防问控制具体要求如下 a 应配置登录空闲退出功能,账号登录系统后,连续5min内未做操作,应自动断开连接并退出 系统; b) 应配置登录失败处理功能,账号连续登录失败5次则锁定,需管理员解锁,管理员账号除外; 应仅授予账号所需最小访问权限; 应配置文件与目录访问的最小权限,严格限制口令文件等关键文件目录访问权限; e 应配置日志文件访问的最小权限,控制用户对日志文件读取、修改和删除; f 应禁用置名FTP账户登录; 名) 应设置专用的FTP账号,修改缺省访问目录,控制账号访问权限,并不应使用FTP账号登录 系统; h) 应及时删除已不使用的、过期的系统账号; i 应禁用系统安装时缺省创建的、暂不使用的系统账号; j) 应限制普通账号通过转换提权方式获取管理员权限; k) 应仅允许指定主机对系统进行SNMP访问; 1 宜删除操作系统敏感别名文件; m)可限制访问操作系统的源IP地址。
安全审计具体要求如下: a 应启用操作系统本地日志功能,记录用户登录操作系统、转换提权获取管理员权限、定时任务 行为等内容; b 应配备集中日志服务器,并启用远程日志记录功能; c) 应至少保留180d日志信息; d 应启用NTP服务,并与时钟源同步; e) 宜记录最多5条系统历史命令; f)可启用操作系统内核级审计功能
a 应遵循操作系统最小安装原则,仅安装必需的操作系统服务组件; b) 应关闭不必要的操作系统服务; C 应启用SNMPv2.0及以上版本,删除默认团体名,仅启用只读团体名,团体名长度不应少于8 个字符,由数字及大小写字母混合组成; d) 应及时修复安全漏洞; e) 应对访问设备连接成功提示信息进行修改,不应出现操作系统版本、IP地址、FTP版本号等敏 感信息; f) 宜及时将系统补丁更新至稳定版本; 名 可设置防止堆栈缓冲溢出功能。
T/CCIAT 0003-2019 建筑施工承插型轮扣式模板支架安全技术规程资源控制具体要求如下: a) 应关闭主机系统ICMP重定向功能; b) 应关闭数据包转发功能; c)应限制系统最大用户进程数、进程可打开的文件数等。
其他安全具体要求如下: a)应制定主机命名规则,并在操作系统上进行配置; b)应对重要设备操作系统在变更前后进行备份,并保留不少于2个副本; c)设备报废时,磁介质应进行消磁处理,其他存储介质应进行销毁处理。
视窗类操作系统安全配置基线
身份鉴别具体要求如下: a) 应对登录操作系统用户进行唯一身份标识和鉴别; b) 应为每个用户创建账号,不应使用共享账号,并按组进行账号管理,如操作系统管理员、数据 库系统管理员、应用中间件系统管理员等; C 应设置账号口令,口令长度不应少于8个字符,应包括数字、大写字母、小写字母和特殊符号4 类中至少3类;口令更换周期应小于90d,且3次以内不应设置相同口令; d) 不应置名远程登录; e)应启用域控制器进行身份验证,不使用域控制器的系统除外。
访问控制具体要求如下!
a)应配置登录空闲退出功能,账号登录系统后,连续5min内未做任何操作,应自动断开连接并 退出系统; b) 应配置登录失败处理功能,账号连续登录失败5次则锁定,需管理员解锁,管理员账号除外; C 应仅授予账号所需最小访问权限; 应配置文件与目录访问的最小权限,严格限制口令文件等关键文件目录访问权限; e 应配置日志文件访问的最小权限,控制用户对日志文件读取、修改和删除; f) 非管理员组账号不应具有关闭系统、远程强制关机的权限; 名) 非管理员组账户不应取得其他账号的文件或对象的所有权权限; h 应启用指定授权账号访问系统功能; 应仅允许授权账号通过网络访问系统; 应将查看共享文件夹权限仅授予指定账号; k) 应禁用置名FTP账户登录; 1 应设置专用的FTP账号,修改缺省访问目录,控制账号访问权限,不应使用FTP账号登录 系统; m 应禁用可远程访问的注册表路径和子路径; n) 不应使用来宾账号登录系统; 应禁用蓝屏后自动启动设备功能; P) 应及时删除已不使用的、过期的和与运行、维护无关的系统账号; q 宜删除操作系统敏感别名文件; 可关闭默认共享功能,如CS逻辑共享、DS逻辑共享、IPCS通道共享、ADMINS目录共享等; S 可重命名系统管理员缺省账号名称; 可启用TCP/IP筛选功能或系统防火墙功能,仅开放业务所需的TCP、UDP和IP端口; u 可限制访问操作系统的源IP地址。
a 应启用操作系统本地日志功能,记录用户登录操作系统、转换提权获取管理员权限、定时任务 行为等内容; b 应配备集中日志服务器,并启用远程日志记录功能; 应至少保留180d日志信息; d 应启用NTP服务,并与时钟源同步; e)应设置系统日志文件内部缓冲区为8192kB或设备允许的最大值。 入侵防范 人侵防范具体要求如下: a)应遵循操作系统最小安装原则,仅安装必需的操作系统服务组件; 应关闭不必要的操作系统服务; 应启用SNMPv2.0及以上版本,删除默认团体名,仅启用只读团体名,团体名长度不应少于8
a)应启用操作系统本地日志功能,记录用户登录操作系统、转换提权获取管理员权限、定时 行为等内容; b 应配备集中日志服务器,并启用远程日志记录功能; 应至少保留180d日志信息; d) 应启用NTP服务,并与时钟源同步; e) 应设置系统日志文件内部缓冲区为8192kB或设备允许的最大值。
e)应设置系统日志文件内部缓冲区为8192kB或设备允许的最大值。 入侵防范 入侵防范具体要求如下: a)应遵循操作系统最小安装原则,仅安装必需的操作系统服务组件; b) 应关闭不必要的操作系统服务; 应启用SNMPv2.0及以上版本,删除默认团体名,仅启用只读团体名,团体名长度不应少于8 个字符,由数字及大小写字母混合组成; 应关闭系统自动补丁更新功能,及时将系统补丁更新至最新版本; e 应及时修复安全漏洞; 应安装符合国家标准或规定的安全防护和防病毒软件,并及时更新代码库; 可修改默认服务端口限制登录IP地址,以控制远程桌面服务的使用
应关闭主机系统ICMP重定向功能; b) 应建立2个或以上磁盘分区,且宜使用NTFS文件系统; c) 应关闭系统自动播放功能; d) 应限制系统最大用户进程数、进程可打开的文件数等; 可启用DEP功能。
剩余信息具体要求如下: a)不应设置在登录界面显示上次登录用户信息; b)关机时应清除虚拟内存页面; c)可禁用ctrl+alt+del快捷命令。
其他安全具体要求如下: a) 应制定主机命名规则,并在操作系统上进行配置; b) 应对重要操作系统在变更前后进行备份,并保留不少于2份副本; c 设备报废时,磁介质应进行消磁处理,其他存储介质应进行销毁处理。
身份鉴别具体要求如下: a) 应对登录中间件系统用户进行唯一身份标识和鉴别; b) 应为每个用户创建账号,不应使用共享账号; 应设置账号口令,口令长度不应少于8个字符,应包括数字、大写字母、小写字母和特 类中至少3类;口令更换周期应小于90d,且3次以内不应设置相同口令; 宜使用HTTPS方式实现远程登录并修改默认管理登录端口号。
访问控制具体要求如下: 应配置登录空闲退出功能,账号登录系统后,连续5min内未做任何操作,应自动断开连接 退出系统; b) 应配置登录失败处理功能,账号连续登录失败5次则锁定,需管理员解锁,管理员账号除外 C) 不应使用操作系统管理员账号启动应用中间件服务进程; d) 应仅授予账号所需最小访问权限; e) 应配置文件与目录访问的最小权限,严格限制口令文件等关键文件目录访问权限: f) 应配置日志文件访问的最小权限,控制用户对日志文件读取、修改和删除; g 应严格控制应用中间件目录访问权限; h) 应设置通用应用中间件仅访问授权的文件
安全审计具体要求如下: a) 应启用系统本地日志功能,记录运行错误、用户登录等内容; b) 应配备集中日志服务器,并启用远程日志记录功能; 应至少保留180d日志信息; d)可启用日志审计功能,记录管理员账号操作等信息。
入侵防范具体要求如下
入侵防范具体要求如下:
a)应及时修复安全漏洞; b) 应关闭跟踪服务; ) 不应使用不必要的HTTP方法,如PUT、DELETE等协议访问应用程序; d) 应隐藏中间件版本号等敏感信息; 宜及时将系统补丁更新至稳定版本; f 可修改中间件非公众服务默认端口。
资源控制具体要求如下: a)应限制访问中间件系统控制台的最大连接数; b)应限制中间件访间数据库系统的最大、最小连接数
应制定系统命名规则,并在系统
身份鉴别具体要求如下: a)应对登录数据库系统用户进行唯一身份标识和鉴别; 应为每个用户创建账号,不应使用共享账号; 应设置账号口令,口令长度不应少于8个字符,应包括数字、大写字母、小写字母和特殊符号4 类中至少3类;口令更换周期应小于90d,且3次以内不应设置相同口令; d 不应使用操作系统认证方式登录数据库系统; e 应禁用缺省管理员账号远程登录; f 宜为数据库系统重要角色设置口令。
访问控制具体要求如下: 应配置登录空闲退出功能,非应用生产账号登录系统后,连续5min内未做任何操作,应自动 断开连接并退出系统; b 应配置登录失败处理功能,账号连续登录失败5次则锁定,需管理员解锁,管理员账号除外; 应仅授予账号所需最小访问权限; 应配置文件与目录访问的最小权限,严格限制口令文件等关键文件目录访问权限; e) 应配置日志文件访问的最小权限,控制用户对日志文件读取、修改和删除; 应及时禁用已不使用的、过期的账号; 多 应为所有用户配置缺省的、合理的存储空间,限制多用户共用同一逻辑存储空间; 应禁用公共角色对数据库的默认访问权限; 中间件等应用不应使用DBA账号访问数据库; 宜限制访问数据库的IP地址范围; K 可限制普通用户对系统级数据字典访问权限
安全审计具体要求如下: a) 应启用系统本地日志功能,记录登录信息、用户行为等内容; b) 应配备集中日志服务器,并启用远程日志记录功能; c)应至少保留180d日志信息; d)应启用数据库登录审核功能.记录数据库登录成功及失败情况
助和关闭设置密码,修改监听默认端口
入侵防范具体要求如下: a) 应遵循最小安装原则,仅安装必需的数据库服务组件; b) 应及时删除不必要的数据库存储过程; c) 应限制数据库存储过程对系统资源的访问权限; d) 应禁用数据库不必要的组件及功能; 应及时修复安全漏洞;
资源控制具体要求如下: a)应限制单个账号的最大连接数; b)可限制系统最大总连接数。
资源控制具体要求如下: 且)应限制单个账号的最大连挂 b)可限制系统最大总连接数。
数据安全具体要求如下: 应对数据库定期进行本地或异地备份; b) 应定期进行数据完整性检查和数据备份恢复测试; 宜对敏感数据采用加密方式存储; d)宜限制数据库系统管理员对敏感数据访间权限
身份鉴别具体要求如下: 应对登录交换机的用户进行唯一身份标识和鉴别; b) 应基于用户对设备的管理需求分配不同的账号权限,不应使用共享账号; 应设置账号口令,口令长度不应少于8个字符,应包括数字、大写字母、小写字母和特殊符号4 类中至少3类;口令更换周期应小于90d,且3次以内不应设置相同口令;账号口令应加密 保存; d) 应配置登录失败处理功能,账号连续登录失败5次,则结束登录会话,并限制其5min内无法 再次登录; e 应及时删除设备上无效账号、缺省账号,若缺省账号无法删除,其口令长度不应少于8个字 符,应包括数字、大写字母、小写字母和特殊符号4类中至少3类; 关键设备应使用AAA认证方式进行认证,宜部署远程认证服务器并使用AAA远程认证方式; 多) 宜关闭明文远程登录协议,使用SSH方式实现远程登录。
访问控制具体要求如下: a) 应配置登录空闲退出功能,账号登录设备后,连续5min内未做任何操作,应自动断开连接并 退出系统; 应配置设备控制端口登录口令,且口令长度不应少于8个字符,由数字及大小写字母混合 组成:
应配置用户访问控制列表,仅允许网络管理员地址或网段管理设备; d) 应对访间设备连接成功提示信息进行修改,对非法登录提出警告; e 应仅允许指定的主机对设备进行SNMP访问; f)同一设备账号最大连接数宜设置为1。
安全审计具体要求如下: 应启用日志功能,记录设备运行状况及用户操作等内容; b) 应配备集中日志服务器,并启用远程日志记录功能; c) 应至少保留180d日志信息; d) 应启用NTP服务,并与时钟源同步; e)应设置设备日志文件内部缓冲为8192KB或设备允许的最大值,
其他安全具体要求如下: a)应制定交换机命名规则,并在设备上进行配置; b)应定期及变更前后对交换机配置进行备份,并保留2份或以上副本; 应在交换机端口、VLAN及静态路由的配置中加人描述信息; d)宜在端口下禁用VLAN1
身份鉴别具体要求如下: a 应对登录路由器的用户进行唯一身份标识和鉴别; 应基于用户对设备的管理需求分配不同的账号权限,不应使用共享账号; c) 应设置账号口令,口令长度不应少于8个字符,应包括数字、大写字母、小写字母和特殊符号4 类中至少3类;口令更换周期应小于90d,且3次以内不应设置相同口令;账号口令应加密 保存; d) 应配置登录失败处理功能,账号连续登录失败5次,则结束登录会话,并限制其5min内无法 再次登录; e 应及时删除设备上无效账号、缺省账号,若缺省账号无法删除,其口令长度不应少于8个字 符,应包括数字、大写字母、小写字母和特殊符号4类中至少3类; f 关键设备应使用AAA认证方式进行认证,宜部署远程认证服务器并使用AAA远程认证 方式; 宜关闭明文远程登录协议,使用SSH方式实现远程登录。
Q/C6552018 访问控制 访问控制具体要求如下: 应配置登录空闲退出功能,账号登录设备后,连续5min内未做任何操作,应自动断开连接并 退出系统; b) 应配置设备控制端口登录口令,且口令长度不应少于8个字符,由数字及大小写字母混合 组成; c) 应配置用户访问控制列表,仅允许网络管理员地址或网段管理设备; d) 应对访问设备连接成功提示信息进行修改,对非法登录提出警告; e) 应及时删除不必要的静态路由和访问控制策略; f 应仅允许指定的主机对设备进行SNMP访问; g) 同一设备账号最大连接数宜设置为1。 安全审计 安全审计具体要求如下: a) 应启用日志功能,记录设备运行状况及用户操作等内容; b) 应配备集中日志服务器,并启用远程日志记录功能; c) 应至少保留180d日志信息; 应启用NTP服务,并与时钟源同步; e 应设置设备日志文件内部缓冲为8192KB或设备允许的最大值。 入侵防范 人侵防范具体要求如下: a) 应关闭路由器上不必要的服务、端口及协议; b) 应启用SNMPv2.0及以上版本,删除默认团体名,仅启用只读团体名,团体名长度不应少于8 个字符,由数字及大小写字母混合组成; c 应关闭路由器上未使用的物理接口; d 若启用OSPF或BGP路由协议,宜配置安全认证,且口令长度不应少于8个字符,由数字及大 小写字母混合组成并加密保存; e)宜及时将系统补丁更新至稳定版本。 其他安全
访问控制具体要求如下: a 应配置登录空闲退出功能,账号登录设备后,连续5min内未做任何操作,应自动断开连接并 退出系统; b) 应配置设备控制端口登录口令,且口令长度不应少于8个字符,由数字及大小写字母混合 组成; c) 应配置用户访问控制列表,仅允许网络管理员地址或网段管理设备; 应对访问设备连接成功提示信息进行修改,对非法登录提出警告; e) 应及时删除不必要的静态路由和访问控制策略; f) 应仅允许指定的主机对设备进行SNMP访问; g) 同一设备账号最大连接数宜设置为1。
安全审计具体要求如下: 应启用日志功能,记录设备运行状况及用户操作等内容; b) 应配备集中日志服务器,并启用远程日志记录功能; c) 应至少保留180d日志信息; d) 应启用NTP服务,并与时钟源同步; e) 应设置设备日志文件内部缓冲为8192KB或设备允许的最大值
人侵防范具体要求如下: a) 应关闭路由器上不必要的服务、端口及协议; b) 应启用SNMPv2.0及以上版本,删除默认团体名,仅启用只读团体名,团体名长度不应少 个字符,由数字及大小写字母混合组成; 应关闭路由器上未使用的物理接口; d) 若启用OSPF或BGP路由协议,宜配置安全认证,且口令长度不应少于8个字符,由数字 小写字母混合组成并加密保存; 宜及时将系统补丁更新至稳定版本
其他安全具体要求如下: a)应制定设备命名规则,并在设备上进行配置; b) 应定期及变更前后对交换机配置进行备份,并保留不少于2个副本; c 应在路由器端口、静态路由的配置中加入描述信息。
身份鉴别具体要求如下: a)应对登录防火墙的用户进行唯一身份标识和鉴别,不应使用共享账号; b 应基于用户对设备的管理需求分配不同的账号权限; 应设置账号口令,口令长度不应少于8个字符,应包括数字、大写字母、小写字母和特殊符号4 类中至少3类;口令更换周期应小于90d,且3次以内不应设置相同口令;账号口令应加密 保存; d 应配置登录失败处理功能,账号连续登录失败5次,则结束登录会话,并限制其5min内无法 再次登录:
身份鉴别具体要求如下: 应对登录防火墙的用户进行唯一身份标识和鉴别,不应使用共享账号; b 应基于用户对设备的管理需求分配不同的账号权限; 应设置账号口令,口令长度不应少于8个字符,应包括数字、大写字母、小写字母和特殊符号4 类中至少3类;口令更换周期应小于90d,且3次以内不应设置相同口令;账号口令应加密 保存; 应配置登录失败处理功能,账号连续登录失败5次,则结束登录会话,并限制其5min内无法 再次登录:
应及时删除设备上无效账号、缺省账号,若缺省账号无法删除,其口令长度不应少于8个字 符,应包括数字、大写字母、小写字母和特殊符号4类中至少3类; 关键设备应使用AAA认证方式进行认证,宜部署远程认证服务器并使用AAA远程认证方式; 宜关闭明文远程登录协议,使用SSH方式实现远程登录; h 宜使用HTTPS方式实现远程登录并修改默认管理登录端口号。
访问控制具体要求如下: a) 应配置登录空闲退出功能,账号登录设备后,连续5min内未做任何操作,应自动断开连接并 退出系统; b) 应配置用户访问控制列表,仅允许网络管理员地址或网段管理设备; c) 应仅允许指定的主机对设备进行SNMP访问; d) 同一设备账号最大连接数宜设置为1。 安全审计 安全审计具体要求如下: a) 应启用日志功能,记录设备运行状况及用户操作等内容 应配备集中日志服务器,并启用远程日志记录功能; 应至少保留180d日志信息; d 应启用NTP服务,并与时钟源同步; e 应设置设备日志文件内部缓冲为8192KB或设备允许的最大值。 入侵防范 入侵防范具体要求如下: a) 应根据使用情况关闭不必要的服务、端口及协议; b) 应关闭防火墙上未使用的物理接口; c 应启用SNMPv2.0及以上版本,删除默认团体名,仅启用只读团体名,团体名长度不应少于8 个字符,由数字及大小写字母混合组成; 应及时修复安全漏洞; e) 应及时更新防火墙病毒库及IPS安全策略库; f) 宜及时将系统补丁更新至稳定版本。 安全策略 安全策略具体要求如下: a 应按照用户和系统间访问规则配置细粒度的访问控制策略,并在描述中对策略进行说明; b)应根据实际业务需求,配置防火墙的NAT策略;
访问控制具体要求如下: a) 应配置登录空闲退出功能,账号登录设备后,连续5min内未做任何操作,应自动断开连接并 退出系统; b) 应配置用户访问控制列表,仅允许网络管理员地址或网段管理设备; c 应仅允许指定的主机对设备进行SNMP访问; 小同一设务账品最大连控数宜设置为1
安全审计具体要求如下: a) 应启用日志功能,记录设 b) 应配备集中日志服务器,未 c) 应至少保留180d日志信 d) 应启用NTP服务,并与时 e) 应设置设备日志文件内部
安全策略具体要求如下: 应按照用户和系统间访问规则配置细粒度的访问控制策略,并在描述中对策略进行说明; b) 应根据实际业务需求,配置防火墙的NAT策略; 宜根据防火墙用途,配置入侵防御功能,并根据业需求制定防范策略; d) 宜根据防火墙用途,配置防病毒功能; e) 宜根据防火墙用途,配置抗DDoS攻击功能; f 宜根据实际情况,配置防火墙的会话老化时间; 8 宜根据防火墙用途,配置防火墙应用层协议检测功能。
其他安全具体要求如下: a) 应制定设备命名规则,并在设备上进行配置; 应开启访问控制策略命中数统计功能; c) 应定期及变更前后对防火墙配置进行备份,并保留不少于2个副本; d)应在防火墙端口、VLAN及静态路由的配置中加人描述信息。
10负载均衡设备安全配置基线
访问控制具体要求如下: a) 应配置登录空闲退出功能,账号登录设备后,连续5min内未做任何操作,应自动断开连接并 退出系统; b 应配置用户访问控制列表,仅允许网络管理员地址或网段管理设备; c) 应仅允许指定的主机对设备进行SNMP访问; d) 同一设备账号最大连接数宜设置为1; e) 宜使用管理接口对负载均衡设备进行管理。 0.3 安全审计 安全审计具体要求如下: a) 应启用日志功能,记录设备运行状况及用户操作等内容; b) 应配备集中日志服务器,并启用远程日志记录功能; c) 应至少保留180d日志信息; d) 应启用NTP服务,并与时钟源同步; e) 应设置设备日志文件内部缓冲为8192KB或设备允许的最大值。 0.4入侵防范 入侵防范具体要求如下: a) 应根据使用情况关闭不必要的服务、端口及协议; b) 应关闭设备上未使用的物理接口; c) 应启用SNMPv2.0及以上版本,删除默认团体名,仅启用只读团体名,团体名长度不应少于8 个字符,由数字及大小写字母混合组成; d) 应及时修复安全漏洞; e) 宜及时将系统补丁更新至稳定版本
访问控制具体要求如下: a 应配置登录空闲退出功能,账号登录设备后,连续5min内未做任何操作,应自动断开连 退出系统; b) 应配置用户访问控制列表,仅允许网络管理员地址或网段管理设备; c) 应仅允许指定的主机对设备进行SNMP访问; d) 同一设备账号最大连接数宜设置为1; 宜使用管理接口对负载均衡设备进行管理。
安全审计具体要求如下: a) 应启用日志功能,记录设备运行状况及用户操作等内容; b) 应配备集中日志服务器,并启用远程日志记录功能; c 应至少保留180d日志信息; d) 应启用NTP服务,并与时钟源同步; e) 应设置设备日志文件内部缓冲为8192KB或设备允许的最大值。
d) 应启用NTP服务,并与时钟源同步; e 应设置设备日志文件内部缓冲为8192KB或设备允许的最大值。 4入侵防范 入侵防范具体要求如下: 应根据使用情况关闭不必要的服务、端口及协议; b) 应关闭设备上未使用的物理接口; C 应启用SNMPv2.0及以上版本,删除默认团体名,仅启用只读团体名,团体名长度不应少于8 个字符,由数字及大小写字母混合组成; d) 应及时修复安全漏洞; e) 宜及时将系统补丁更新至稳定版本
a)应制定设备命名规则,并在设备上进行配置; 应设置负载均衡设备的NAT地址池,并根据业务规模预留足够的NAT地址;NAT地址应 载均衡设备对外服务地址在相同网段:
11VPN设备安全配置基线
身份鉴别具体要求如下: a) 应对登录VPN的用户进行唯一身份标识和鉴别; b 应基于用户对设备的管理需求分配不同的账号权限,不应使用共享账号; 应设置账号口令,口令长度不应少于8个字符,应包括数字、大写字母、小写字母和特殊符号4 类中至少3类;口令更换周期应小于90d,且3次以内不应设置相同口令;账号口令应加密 保存; d 应配置登录失败处理功能,账号连续登录失败5次,则结束登录会话,并限制其5min内无法 再次登录; 应及时删除设备上无效账号、缺省账号,若缺省账号无法删除,其口令长度不应少于8个字 符,应包括数字、大写字母、小写字母和特殊符号4类中至少3类; f 关键设备应使用AAA认证方式进行认证,宜部署远程认证服务器并使用AAA远程认证方式; g) 宜关闭明文远程登录协议,使用SSH方式实现远程登录; h)宜使用HTTPS方式实现远程登录并修改默认管理登录端口号。 2访问控制 访问控制具体要求如下:
访问控制具体要求如下: a) 应配置登录空闲退出功能,账号登录设备后,连续5min内未做任何操作,应自动断 退出系统; b) 应配置用户访问控制列表,仅允许网络管理员地址或网段管理设备; 应仅允许指定的主机对设备进行SNMP访问; d) 同一设备账号最大连接数宜设置为1。
安全审计具体要求如下: a 应启用日志功能,记录设备运行状况及用户操作等内容; b) 应配备集中日志服务器,并启用远程日志记录功能; C) 应至少保留180d日志信息; d) 应启用NTP服务,并与时钟源同步; e)应设置设备日志文件内部缓冲为8192KB或设备允许的最大值。
人侵防范具体要求如下: 应根据使用情况关闭虚拟专用网络设备上不必要的服务、端口及协议; b) 应关闭设备上未使用的物理接口; c) 应启用SNMPv2.0及以上版本,删除默认团体名,仅启用只读团体名,团体名长度不应少于8 个字符,由数字及大小写字母混合组成; d 应及时修复安全漏洞; e) 宜及时将系统补丁更新至稳定版本。
其他安全具体要求如下: )应制定设备命名规则,并在设备上进行配置; )不应使用L2TP、PPTP等不安全的协议,应使用SSL、IPsec等安全协议,且配置足够长度
密钥; 宜使用双因子认证方式接人VPN设备
身份鉴别具体要求如下: a) 应对登录网闸的用户进行唯一身份标识和鉴别; 应基于用户对设备的管理需求分配不同的账号权限,不应使用共享账号; c) 应设置账号口令DB35/T 1840-2019 闽江干流航道维护技术规程,口令长度不应少于8个字符,应包括数字、大写字母、小写字母和特殊符号4 类中至少3类;口令更换周期应小于90d,且3次以内不应设置相同口令;账号口令应加密 保存; d) 应配置登录失败处理功能,账号连续登录失败5次,则结束登录会话,并限制其5min内无法 再次登录; e) 应及时删除设备上无效账号、缺省账号,若缺省账号无法删除,其口令长度不应少于8个字 符,应包括数字、大写字母、小写字母和特殊符号4类中至少3类; f) 关键设备应使用AAA认证方式进行认证,宜部署远程认证服务器并使用AAA远程认证 方式; g) 宜关闭明文远程登录协议,使用SSH方式实现远程登录; h) 宜使用HTTPS方式实现远程登录并修改默认管理登录端口号。 2.2 访问控制 访问控制具体要求如下:
符,应包括数字、大写字母、小写字母和特殊符号4类中至少3类; f 关键设备应使用AAA认证方式进行认证,宜部署远程认证服务器并使用AAA远程认证 方式; g) 宜关闭明文远程登录协议,使用SSH方式实现远程登录; h) 宜使用HTTPS方式实现远程登录并修改默认管理登录端口号。 12.2 访问控制 访问控制具体要求如下: a) 应配置登录空闲退出功能,账号登录设备后,连续5min内未做任何操作,应自动断开连接并 退出系统; b) 应配置用户访问控制列表,仅允许网络管理员地址或网段管理设备; c) 同一设备账号最大连接数宜设置为1。
访问控制具体要求如下: a) 应配置登录空闲退出功能,账号登录设备后,连续5min内未做任何操作,应自动断开连 退出系统; b) 应配置用户访问控制列表,仅允许网络管理员地址或网段管理设备; c)同一设备账号最大连接数宜设置为1
安全审计具体要求如下: 应启用日志功能,记录设备运行状况及用户操作等内容; 应配备集中日志服务器,并启用远程日志记录功能; c) 应至少保留180d日志信息; d) 应启用NTP服务,并与时钟源同步; e) 应设置设备日志文件内部缓冲为8192KB或设备允许的最大值
人侵防范具体要求如下: a)应根据使用情况关闭网闸上不必要的服务、端口及协议; b)应关闭网闸上未使用的物理接口。
其他安全具体要求如下:
a)应制定设备命名规则,并在设备上进行配置; b)应在网闸端口、静态路由的配置中加入用途描述信息。
[1] GB/T 18018—2007 信息安全技术路由器安全技术要求 [2] GB/T 20269—2006 信息安全技术信息系统安全管理要求 [3] GB/T 20270—2006 信息安全技术 网络基础安全技术要求 [4] GB/T 20272—2006 信息安全技术操作系统安全技术要求 [5] GB/T 20273—2006 信息安全技术数据库管理系统安全技术要求 [6] GB/T 20275—2006 信息安全技术人侵检测系统技术要求和测试评价方法 [7] GB/T 20281—2006 信息安全技术防火墙技术要求和测试评价方法 [8] GB/T 22239—2008 信息安全技术信息系统安全等级保护基本要求 [9] GA/T 711—2007 信息安全技术应用软件系统安全等级保护通用技术指南 [10]Q/CR545—2016 铁路计算机终端安全防护系统技术规范
中国铁路总公司 企业标准 铁路信息系统设备安全配置基线 Securitybaselineof railwayinformation systemequipment Q/CR655—2018 * 中国铁道出版社出版 (100054GB/T 11066.11-2021 金化学分析方法 第11部分:镁、铬、锰、铁、镍、铜、钯、银、锡、锑、铅和铋含量的测定 电感耦合等离子体质谱法.pdf,北京市西城区右安门西街8号) 北京建宏印刷有限公司印刷 版权专有侵权必究 开本:880mm×1230mm1/16印张:1.5字数:29千字 2018年9月第1版2018年9月第1次印刷 统一书号:15113·5478(内部用书)