信息系统的安全基线.doc

《信息系统的安全基线.doc》由会员分享，可在线阅读，更多相关《信息系统的安全基线.doc（18页珍藏版）》请在咨信网上搜索。

1、1. 操作系统安全基线技术要求1.1. IX系统安全基线1.1.1. 系统管理通过配置操作系统运维管理安全策略,提高系统运维管理安全性，详见表1。表1 IX系统管理基线技术要求序号基线技术要求基线标准点（参数)说明1限制超级管理员权限得用户远程登录PermitRoLogn no限制root用户远程使用tenet登录(可选)2使用动态口令令牌登录安装动态口令3配置本机访问控制列表（可选)配置/etc/ost、alow,/etc/hst、en安装CPrapper，提高对系统访问控制1.1.2. 用户账号与口令通过配置操作系统用户账号与口令安全策略，提高系统账号与口令安全性,详见表2。表2 AIX系

2、统用户账户与口令基线技术要求序号基线技术要求基线标准点（参数）说明4限制系统无用默认账号登录daemn（禁用)bin（禁用)sys（禁用)adm（禁用）uucp(禁用）nup（禁用)lp（禁用)gst（禁用）coo（禁用）saadmin（禁用)sshd（禁用）清理多余用户账号,限制系统默认账号登录,同时,针对需要使用得用户，制订用户列表,并妥善保存5控制用户登录超时时间1分钟控制用户登录会话,设置超时时间6口令最小长度8位口令安全策略(口令为超级用户静态口令)7口令中最少非字母数字字符1个口令安全策略（口令为超级用户静态口令)8信息系统得口令得最大周期90天口令安全策略(口令为超级用户静态口令

3、）9口令不重复得次数10次口令安全策略(口令为超级用户静态口令)1.1.3. 日志与审计通过对操作系统得日志进行安全控制与管理，提高日志得安全性，详见表。表 I系统日志与审计基线技术要求序号基线技术要求基线标准点（参数)说明10系统日志记录（可选)utog、sulo、wmp、faedin记录必需得日志信息,以便进行审计11系统日志存储（可选）对接到统一日志服务器使用日志服务器接收与存储主机日志,网管平台统一管理12日志保存要求（可选)6个月等保三级要求日志必须保存6个月 13配置日志系统文件保护属性（可选)00修改配置文件syslog、conf权限为管理员账号只读14修改日志文件保护权限(可选

4、）修改日志文件atho、wtp、suog、failogi得权限管理员账号只读1.1.4. 服务优化通过优化操作系统资源,提高系统服务安全性，详见表4。表4 AI系统服务优化基线技术要求序号基线技术要求基线标准点（参数）说明15car 服务禁止网络测试服务,丢弃输入, 为“拒绝服务攻击提供机会， 除非正在测试网络,否则禁用16ayie 服务禁止网络测试服务，显示时间, 为“拒绝服务”攻击提供机会， 除非正在测试网络，否则禁用17hargn 服务禁止网络测试服务，回应随机字符串, 为“拒绝服务攻击提供机会， 除非正在测试网络,否则禁用18a 服务禁止sat通知接收得电子邮件，以 ro 用户身份运行

5、,因此涉及安全性，除非需要接收邮件，否则禁用19tal 服务禁止alk允许用户相互交谈，以 root 用户身份运行,除非绝对需要，否则禁用20talk 服务禁止在网上两个用户间建立分区屏幕,不就是必需服务,与 alk命令一起使用，在端口51 提供 DP 服务21p服务禁止以 rot 用户身份运行并且可能危及安全22t 服务(可选）禁止防范非法访问目录风险23ele服务禁止远程访问服务24u服务禁止除非有使用 P得应用程序,否则禁用25dc 服务(可选）禁止CDE 子过程控制不用图形管理则禁用26logi 服务（可选）禁止Kers 登录，如果站点使用 Keberos 认证则启用27shell服务

6、(可选）禁止Kerbe sel,如果站点使用 Kerbros 认证则启用1.1.5. 访问控制通过对操作系统安全权限参数进行调整，提高系统访问安全性,详见表。表5 AI系统访问控制基线技术要求序号基线技术要求基线标准点（参数)说明28修改m权限022或27要求修改默认文件权限29关键文件权限控制passd、grup、ecrity得所有者必须就是roo与seurty组成员设置/etc/aswd,/e/roup， /etc/securty等关键文件与目录得权限30aui得所有者必须就是ro与ad组成员/et/scurityaudit得所有者必须就是root与ait组成员31c/p w-r-r-/e

7、tc/paswd目录权限为 644所有用户可读，rot用户可写32/etc/grup r-r/tc/group rot目录权限为44所有用户可读，oot用户可写 33统一时间接入统一NTP服务器保障生产环境所有系统时间统一1.2. Wins系统安全基线1.2.1. 用户账号与口令通过配置操作系统用户账号与口令安全策略，提高系统账号与口令安全性,详见表。表6 dos系统用户账号与口令基线技术要求序号基线技术要求基线标准点(参数)说明1口令必须符合复杂性要求启用口令安全策略（不涉及终端及动态口令）2口令长度最小值8位口令安全策略（不涉及终端)3口令最长使用期限0天口令安全策略（不涉及终端）4强制口

8、令历史10次口令安全策略（不涉及终端)5复位账号锁定计数器1分钟账号锁定策略（不涉及终端）6账号锁定时间(可选）0分钟账号锁定策略（不涉及终端）7账号锁定阀值（可选)0次账号锁定策略(不涉及终端）8ue账号禁止禁用guest账号9ainisraor（可选）重命名保护administrtor安全10无需账号检查与管理禁用禁用无需使用账号1.2.2. 日志与审计通过对操作系统日志进行安全控制与管理，提高日志得安全性与有效性,详见表7.表7Windos系统日志与审计基线技术要求序号基线技术要求基线标准点(参数)说明11审核账号登录事件成功与失败日志审核策略12审核账号管理成功与失败日志审核策略13审

9、核目录服务访问成功日志审核策略14审核登录事件成功与失败日志审核策略15审核策略更改成功与失败日志审核策略16审核系统事件成功日志审核策略17日志存储地址（可选）接入到统一日志服务器日志存储在统一日志服务器中18日志保存要求(可选）6个月等保三级要求日志保存个月 1.2.3. 服务优化通过优化系统资源,提高系统服务安全性，详见表8。表8 indow系统服务优化基线技术要求序号基线技术要求基线标准点（参数)说明19Alerr服务禁止禁止进程间发送信息服务20Clboo(可选）禁止禁止机器间共享剪裁板上信息服务21uter rowsr服务（可选）禁止禁止跟踪网络上一个域内得机器服务22Meseng

10、er服务禁止禁止即时通讯服务23emoe Regtry Serv服务禁止禁止远程操作注册表服务24Rouin and emte Access服务禁止禁止路由与远程访问服务25rint Spooler（可选）禁止禁止后台打印处理服务26Autmatic Udts服务（可选）禁止禁止自动更新服务27TerinalSeric服务（可选）禁止禁止终端服务1.2.4. 访问控制通过对系统配置参数调整，提高系统安全性,详见表9。表9 Windws系统访问控制基线技术要求序号基线技术要求基线标准点(参数)说明28文件系统格式NTF磁盘文件系统格式为NTS29桌面屏保10分钟桌面屏保策略30防病毒软件安装赛门

11、铁克生产环境安装赛门铁克防病毒最新版本软件31防病毒代码库升级时间7天32文件共享(可选）禁止禁止配置文件共享，若工作需要必须配置共享，须设置账号与口令33系统自带防火墙(可选）禁止禁止自带防火墙34默认共享IPC、AN、C$、D等禁止安全控制选项优化35不允许匿名枚取SA账号与共享启用网络访问安全控制选项优化36不显示上次得用户名启用交互式登录安全控制选项优化37控制驱动器禁止禁止自动运行38蓝屏后自动启动机器(可选）禁止禁止蓝屏后自动启动机器39统一时间 接入统一T服务器保障生产环境所有系统时间统一1.2.5. 补丁管理通过进行定期更新,降低常见得漏洞被利用，详见表10。表0 idos系统

12、补丁管理基线技术要求序号基线技术要求基线标准点（参数）说明40安全服务包wn2003 Swin008 SP1安装微软最新得安全服务包41安全补丁（可选）更新到最新根据实际需要更新安全补丁1.3. Linu系统安全基线1.3.1. 系统管理通过配置系统安全管理工具，提高系统运维管理得安全性,详见表11。表1 L系统管理基线技术要求序号基线技术要求基线标准点（参数)说明1安装S管理远程工具(可选）安装OpnSSHpenSS为远程管理高安全性工具，保护管理过程中传输数据得安全2配置本机访问控制列表(可选）配置/et/hosts、allow，tc/hsts、deny安装TCP Wrapper,提高对系

13、统访问控制1.3.2. 用户账号与口令通过配置Lnux系统用户账号与口令安全策略，提高系统账号与口令安全性,详见表12。表2 Lix系统用户账号与口令基线技术要求序号基线技术要求基线标准点(参数）说明3禁止系统无用默认账号登录1) Operato2) Halt3) Sync4) Nes5) Uc6) Lp7) nobdy8) oer禁止清理多余用户账号，限制系统默认账号登录，同时，针对需要使用得用户,制订用户列表进行妥善保存4oot远程登录禁止禁止r远程登录5口令使用最长周期90天口令安全策略（超级用户口令）6口令过期提示修改时间天口令安全策略（超级用户口令)7口令最小长度8位口令安全策略8设

14、置超时时间10分钟口令安全策略1.3.3. 日志与审计通过对Lux系统得日志进行安全控制与管理，提高日志得安全性与有效性，详见表13.表13 Linux系统日志与审计基线技术要求序号基线技术要求基线标准点(参数)说明9记录安全日志auhpiv日志记录网络设备启动、usemod、hange等方面日志10日志存储（可选）接入到统一日志服务器使用统一日志服务器接收并存储系统日志11日志保存时间个月等保三级要求日志必须保存6个月12日志系统配置文件保护00修改配置文件sslo、cnf权限为管理员用户只读1.3.4. 服务优化通过优化Liux系统资源，提高系统服务安全性，详见表4。表14 Linux系统

15、服务优化基线技术要求序号基线技术要求基线标准点（参数）说明13 服务（可选）禁止文件上传服务14endmal服务禁止邮件服务15klogin 服务(可选)禁止rero 登录,如果站点使用 Kerer认证则启用16se服务(可选）禁止erbeos shel，如果站点使用Kerbers 认证则启用17ntalk 服务禁止w tlk18tftp 服务禁止以 rot 用户身份运行可能危及安全19iap 服务(可选）禁止邮件服务20pop3服务（可选)禁止邮件服务21ele 服务（可选）禁止远程访问服务22GUI服务(可选)禁止图形管理服务23xined服务（可选）启动增强系统安全1.3.5. 访问控制

16、通过对Linux系统配置参数调整，提高系统安全性，详见表15。表1 Lux系统访问控制基线技术要求序号基线技术要求基线标准点（参数)说明24Umak权限2或02修改默认文件权限25关键文件权限控制1) /etcasswd 目录权限为64/e/asd rwr-所有用户可读，ot用户可写262) /etc/shd目录权限为00t/shado-只有oot可读 273) /ec/roup root目录权限为64etcgroupr-rr所有用户可读，roo用户可写28统一时间接入统一NTP服务器保障生产环境所有系统时间统一2. 数据库安全基线技术要求2.1. ale数据库系统安全基线2.1.1. 用户账

17、号与口令通过配置数据库系统用户账号与口令安全策略，提高数据库系统账号与口令安全性，详见表16.表16 Oracl系统用户账号与口令基线技术要求序号基线技术要求基线标准点(参数）说明1racle无用账号TIGRSCTT等禁用禁用无用账号2默认管理账号管理SYSTEMDSS等更改口令账号安全策略(新系统）3数据库自动登录YSDB账号禁止账号安全策略4口令最小长度8位口令安全策略(新系统)5口令有效期1个月新系统执行此项要求6禁止使用已设置过得口令次数1次口令安全策略2.1.2. 日志与审计通过对数据库系统得日志进行安全控制与管理，提高日志得安全性与有效性,详见表1。表17 Orcle系统日志与审计

18、基线技术要求序号基线技术要求基线标准点(参数）说明7日志保存要求（可选）个月日志必须保存3个月 8日志文件保护启用设置访问日志文件权限2.1.3. 访问控制通过对数据库系统配置参数调整，提高数据库系统安全性，详见表18.表18 rale系统访问控制基线技术要求序号基线技术要求基线标准点（参数)说明9监听程序加密（可选）设置口令设置监听器口令（新系统)10修改服务监听默认端口（可选）非TC121系统可执行此项要求3. 中间件安全基线技术要求3.1. on（TngESY、TogLNK等）中间件安全基线3.1.1. 用户账号与口令通过配置中间件用户账号与口令安全策略,提高系统账号与口令安全，详见表1

19、9。表19 Tog用户账号与口令基线技术要求序号基线技术要求基线标准点（参数)说明1优化ong服务账号与应用共用同一用户(可选)og与应用共用同一用户与操作系统应用用户保持一致3.1.2. 日志与审计通过对中间件得日志进行安全控制与管理，保护日志得安全与有效性，详见表0。表20 on日志与审计基线技术要求序号基线技术要求基线标准点(参数)说明2事务包日志备份、5GPktlg达到1、5进行备份3交易日志备份1、5GTxog达到1、G进行备份4通信管理模块运行日志备份1、5GTnglik、lo达到1、5进行备份5系统日志备份、Gslg达到1、5进行备份6名字服务日志备份1、5GNsdog达到1、5

20、G进行备份7调试日志备份1、5GTestlo达到1、5进行备份8通信管理模块错误日志备份1、Tonik、e达到1、5G进行备份9日志保存时间（可选)6个月等保三级要求日志必须保存个月 3.1.3. 访问控制通过配置中间件系统资源，提高中间件系统服务安全,详见表21。表21 Tong访问控制基线技术要求序号基线技术要求基线标准点（参数）说明10共享内存SHMMA:4GMEG： 3个以上SHMAL：1G根据不同操作系统调整Ton得个核心参数11消息队列MSGQL：406MM:12MSMB：634设置Tong核心应用系统程序进行数据传递参数12信号灯axup:1000以上SEMMS：13以上SEMN

21、S:6以上设置Tng信号灯参数13进程数NPRO:2000以上UP：10以上设置同时运行进程数参数服务器应答头中得版本信息关闭隐藏版本信息，防止软件版本信息泄漏3.1.4. 安全防护通过对中间件配置参数调整，提高中间件系统安全，详见表。表2 Tn安全防护基线技术要求序号基线技术要求基线标准点(参数)说明14数据传输安全根据应用需求设置加密标识根据应用需求保护数据传输安全15守护进程安全tldtmoitmrctmn通信管理模块、运行监控、接收处理、发送处理守护进程处于常开状态，随时处理应用程序得请求3.1.5. 补丁管理通过对Tong得补丁进行定期更新，达到管理基线,防止常见得漏洞被利用，详见表

22、23。表23Tg补丁管理基线技术要求序号基线技术要求基线标准点（参数）说明16安全补丁(可选)根据实际需要更新根据实际需要更新安全补丁Tong、Tong4、5、Tong4、6适用于AIX、3以上版本3.2. Apahe中间件安全基线3.2.1. 用户账号与口令通过配置中间件用户账号与口令安全策略，提高系统账号与口令安全性,详见表24。表24 Ape用户账号与口令基线技术要求序号基线技术要求基线标准点（参数)说明1优化WEB服务账号新建Apae可访问0端口用户账号使用W中间件用户安装，rot用户启动3.2.2. 日志与审计通过对中间件得日志进行安全控制与管理，提高日志得安全性与有效性,详见表2。

23、表5 Apache日志与审计基线技术要求序号基线技术要求基线标准点(参数)说明2日志级别(可选)nfo采用Info日志级别,分析问题时采用更高日志级别3错误日志及记录Erro 配置错误日志文件名及位置4访问日志（可选)CustoLog 配置访问日志文件名及位置3.2.3. 服务优化通过优化中间件系统资源，提高中间件系统服务安全性,详见表26.表26Apac服务优化基线技术要求序号基线技术要求基线标准点(参数)说明5无用模块禁用禁用无用模块3.2.4. 安全防护通过对中间件配置参数调整，提高中间件系统安全性，详见表27。表27e安全防护基线技术要求序号基线技术要求基线标准点（参数）说明6遍历操作

24、系统目录（可选）禁止修改参数文件，禁止目录遍历7服务器应答头中得版本信息关闭隐藏版本信息,防止软件版本信息泄漏8服务器生成页面得页脚中版本信息关闭不显示服务器默认欢迎页面3.3. WAS中间件安全基线3.3.1. 用户账号与口令通过配置用户账号与口令安全策略,提高系统账号与口令安全性,详见表2。表2 WA用户账号与口令基线技术要求序号基线技术要求基线标准点（参数)说明1账号安全策略按照操作系统账号管理规范执行符合应用系统运行要求2口令安全策略按照操作系统口令管理规范执行符合应用系统运行要求3.3.2. 日志与审计通过对系统得日志进行安全控制与管理，提高日志得安全性与有效性,详见表29.表29

25、日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明3故障日志开启记录相关日志4记录级别Info记录相关日志级别3.3.3. 服务优化通过优化系统资源,提高系统服务安全性,详见表30。表30 AS服务优化基线技术要求序号基线技术要求基线标准点（参数)说明5服务禁止开启用户可能非法浏览应用服务器目录与文件6配置coni与popert目录权限755config与prrties目录权限不当存在安全隐患3.3.4. 安全防护通过对系统配置参数调整，提高系统安全性，详见表1。表3 S安全防护基线技术要求序号基线技术要求基线标准点(参数）说明7删除sme例子程序删除示例域防止已知攻击8连接会话超时

26、控制10分钟设置超时时间,控制用户登录会话9数据传输安全加密传送在服务器onsole管理中浏览器与服务器传输信息配置SSL10设置控制台会话最长时间30分钟控制台会话timeout低于0分钟3.3.5. 补丁管理通过进行定期更新，达到管理基线,降低常见得得漏洞被利用，详见表32。表32WA补丁管理基线技术要求序号基线技术要求基线标准点(参数）说明11安全补丁（可选）按照系统管理室年度版本执行根据应用系统实际情况选择4. 网络设备安全基线技术要求4.1. Csco路由器/交换机安全基线4.1.1. 系统管理通过配置网络设备管理，提高系统运维管理安全性，详见表33.表33 Cisco系统管理基线技

27、术要求序号基线技术要求基线标准点(参数）说明1远程ss服务（可选)启用采用ssh服务代替tent服务管理网络设备,提高设备管理安全性2认证方式aca/dus认证启用设备认证3非管理员IP地址禁止配置访问控制列表，只允许管理员IP或网段能访问网络设备管理服务4配置oso端口口令认证conse需配置口令认证信息5统一时间 接入统一NP服务器保障生产环境所有设备时间统一4.1.2. 用户账号与口令通过配置网络设备用户账号与口令安全策略，提高系统账号与口令安全性,详见表3。表4 Ciso用户账号与口令基线技术要求序号基线技术要求基线标准点（参数）说明6Serice pasword口令加密采用servi

28、cepassodncryti7nal口令加密采用see对口令进行加密8账号登录空闲超时时间5分钟设置consle与vy得登录超时时间5分钟9口令最小长度8位口令长度为8个字符4.1.3. 日志与审计通过对网络设备得日志进行安全控制与管理，提高日志得安全性与有效性，详见表35。表35 Cisc日志与审计基线技术要求序号基线技术要求基线标准点（参数)说明10更改SMP得团体串（可选)更改SNP mnit修改默认值ublic更改SNMP主机IP11系统日志存储对接到网管日志服务器使用日志服务器接收与存储主机日志,网管平台统一管理12日志保存要求6个月等保三级要求日志必须保存6个月 4.1.4. 服务

29、优化通过优化网络设备，提高系统服务安全性，详见表36。表36Cisc服务优化基线技术要求序号基线技术要求基线标准点(参数)说明13TC、UP mall服务（可选)禁止禁用无用服务14Fingr服务禁止禁用无用服务15服务禁止禁用无用服务16S服务禁止禁用无用服务17BOOTp服务禁止禁用无用服务18P Souc otig服务禁止禁用无用服务19ARPProxy服务禁止禁用无用服务20p服务（可选）禁止禁用无用服务（只适用于边界设备)21FTP服务（可选）禁止禁用无用服务4.1.5. 访问控制通过对设备配置进行调整,提高设备或网络安全性，详见表3。表37 Csco访问控制基线技术要求序号基线技术

30、要求基线标准点（参数)说明22loinannr信息修改默认值为警示语默认值不为空23BGP认证（可选)启用加强路由信息安全24GRP认证(可选）启用加强路由信息安全25认证（可选)启用加强路由信息安全26IPv2认证（可选）启用加强路由信息安全27MAC绑定（可选）IP+MC端口绑定重要服务器采用IP+MAC+端口绑定28网络端口AU(可选)关闭关闭没用网络端口4.2. 3路由器/交换机安全基线4.2.1. 系统管理通过配置网络设备管理，预防远程访问服务攻击或非授权访问，提高网络设备远程管理安全性，详见表8。表38 H3C系统管理基线技术要求序号基线技术要求基线标准点(参数)说明1远程ssh服

31、务（可选）启用采用ssh服务代替tenet服务管理网络设备,提高设备管理安全性2认证方式tacas/radius认证启用设备认证3非管理员P地址禁止配置访问控制列表,只允许管理员I或网段能访问网络设备管理服务4配置consoe端口口令认证console需配置口令认证信息5统一时间接入统一NTP服务器保障生产环境所有设备时间统一4.2.2. 用户账号与口令通过配置用户账号与口令安全策略，提高系统账号与口令安全，详见表39。表39H3C用户账号与口令基线技术要求序号基线技术要求基线标准点（参数）说明6ssem口令加密方式采用cphr对口令进行加密7账号登录空闲超时时间5分钟设置col与vty得登录

32、超时时间5分钟8口令最小长度8位口令安全策略4.2.3. 日志与审计通过对网络设备得日志进行安全控制与管理，提高日志得安全性与有效性，详见表。表40H3C日志与审计基线技术要求序号基线技术要求基线标准点（参数）说明9系统日志接入到网管日志服务器使用网管平台统一日志服务器接收与存储10日志保存要求6个月等保三级要求日志必须保存6个月 4.2.4. 服务优化通过优化网络设备资源，提高设备服务安全性，详见表41。表41 H服务优化基线技术要求序号基线技术要求基线标准点(参数）说明11服务禁用关闭弱服务12TP服务(可选）禁止禁用Ftp服务4.2.5. 访问控制通过对网络设备配置参数调整，提高设备安全

33、性，详见表42。表4 3C访问控制基线技术要求序号基线技术要求基线标准点(参数)说明13BG认证(可选）启用加强路由信息安全14OSPF认证（可选）启用加强路由信息安全15Pv2认证(可选）启用加强路由信息安全16统一时间 接入统一NTP服务器保障生产环境所有设备时间统一17重要服务器采用IP+AC+端口绑定(可选）I+MAC+端口绑定重要服务器采用I+MA+端口绑定18网络端口AU（可选）关闭关闭没用网络端口4.3. 防火墙安全基线4.3.1. 系统管理通过配置网络设备管理，提高安全设备运维管理安全性,详见表4。表43防火墙系统管理基线技术要求序号基线技术要求基线标准点(参数)说明1安全网络

34、登录方式，SS或者S启用采用ssh(s）服务代替lnet（)服务管理防火墙设备2限制登录口令录入时间30秒设置登录口令录入时间，建议为30秒3限制可登录得访问地址配置管理客户端P 地址限制对特定工作站得管理能力4只接收管理流量得逻辑管理I地址（可选）启用网络用户流量分离管理流量大大增加了管理安全性，并确保了稳定得管理带宽5监听端口号（可选）更改通过更改监听端口号提高系统安全性6统一时间接入统一NTP服务器保障生产环境所有设备时间统一4.3.2. 用户账号与口令通过配置网络设备用户账号与口令安全策略,提高设备账号与口令安全性,详见表44。表44 防火墙用户账号与口令基线技术要求序号基线技术要求基

35、线标准点（参数)说明7系统初始账号与口令修改在完成初始配置后应尽快修改缺省用户名与口令口令最短长度8位口令安全策略4.3.3. 日志与审计通过对网络设备得日志进行安全控制与管理，提高日志得安全性与有效性,详见表45。表45 防火墙日志与审计基线技术要求序号基线技术要求基线标准点(参数）说明8发起NP 连接限定源I限制发起N连接得源地址9信息流日志开启针对重要策略开启信息流日志10系统日志(可选）对接到统一网管日志服务器使用网管平台统一日志服务器接收与存储系统日志11日志保存要求（可选）6个月等保三级要求日志必须保存6个月 4.3.4. 安全防护通过对网络设备配置参数调整，提高设备安全性，详见表6.表46 防火墙安全防护基线技术要求序号基线技术要求基线标准点(参数)说明12防火墙安全设置选项（可选）SN tk、CM Flo、Uod、Prt Scan tck、 Limit ssio、SYNAKCKro、SYNragment开启防攻击选项包括:YN ttk、IC Flo、UDP Flo、Po ScanAtc、Lmit sesin、SYN-ACK-ACKPoxy 保护、SN ragn(SN碎片)等。