SGISLOPSAAIX等级保护测评作业指导说明书.doc

1、 控制编号：SGISL/OP-SA38-10 信息安全等级保护测评作业指导书 AIX主机（三级） 版 号： 第 2 版 修 改 次 数： 第 0 次 生 效 日 期： 01月06日 中国电力科学研究院信息安全试验室 修改页 修订号 控制编号 版号/ 章节号 修改人 修订原因 同意人 同意日期 备注 1 SGISL/OP-SA3

2、8-10 郝增帅 按公安部要求修订 詹雄 .3.8 一、身份判别 1. 用户身份标识和判别 测评项编号 ADT-OS-AIX-01 对应要求 应对登录操作系统用户进行身份标识和判别。 测评项名称 用户身份标识和判别 测评分项1：检验并统计R族文件配置，统计主机信任关系 操作步骤 #find / -name .rhosts 对每个.rhosts文件进行检 #find / -name .netrc 对.netrc文件进行检 #m

3、ore /etc/hosts.equiv 适用版本 任何版本 实施风险 无 符合性判定 假如不存在信任关系或存在细粒度控制信任关系，判定结果为符合； 假如存在和任意主机任意用户信任关系，判定结果为不符合。 测评分项2：查看系统是否存在空口令用户 操作步骤 # more /etc/security/passwd检验空口令帐号， 适用版本 任何版本 实施风险 无 符合性判定 /etc/security/passwd中全部密码位不为空，判定结果为符合； /etc/security/passwd中所存在密码位为空，判定结果为不符合。 备注 2. 账号口令强

4、度 测评项编号 ADT-OS-AIX-02 对应要求 操作系统管理用户身份标识应含有不易被冒用特点，口令应有复杂度要求并定时更换 测评项名称 账号口令强度 测评分项1： 检验系统帐号密码策略 操作步骤 实施以下命令： #more /etc/security/user统计Default规则,和各用户配置规则，关键关注： minlen口令最短长度 minalpha口令中最少包含字母字符个数 minother口令中最少包含非字母数字字符个数 loginretries 连续登录失败后锁定用户 适用版本 任何版本 实施风险 无 符合性判定 密码要求8位以上字母、数

5、字、非字母组合,判定结果为符合； 密码要求8位以下或未要求字母、数字、非字母组合,判定结果为不符合； 测评分项2：检验系统中是否存在空口令或是弱口令 操作步骤 1. 利用扫描工具进行查看 2. 问询管理员系统中是否存在弱口令 3. 手工尝试密码是否和用户名相同 适用版本 任何版本 实施风险 扫描可能会造成账号被锁定 符合性判定 系统中不存在弱口令账户，判定结果为符合； 系统中存在弱口令账户，判定结果为不符合； 备注 3. 登录失败处理策略 测评项编号 ADT-OS-AIX-03 对应要求 应启用登录失败处理功效，可采取结束会话、限制非法登录次数和自动退

6、出等方法 测评项名称 登录失败处理策略 测评分项1： 检验系统帐号登录失败处理策略 操作步骤 实施以下命令 #more /etc/security/user统计Default规则,和各用户配置规则 检验loginretries 值 #more /etc/security/login.cfg 检验loginreenable值（端口锁定解锁时间） logindelay （失败登录后延迟时间） 适用版本 任何版本 实施风险 无 符合性判定 系统配置了合理帐号锁定阀值及失败登录间隔时间，判定结果为符合； 系统未配置登录失败处理策略，判定结果为不符合； 测评分

7、项2：假如启用了SSH远程登录，则检验SSH远程用户登录失败处理策略 操作步骤 实施以下命令 cat /etc/sshd_config 查看MaxAuthTries 等参数。 LoginGraceTime 1m 帐号锁定时间（提议为30 分钟） PermitRootLogin no MaxAuthTries 3 帐号锁定阀值（提议5 次） 适用版本 任何版本 实施风险 无 符合性判定 系统配置了合理登录失败处理策略，帐号锁定阀值及帐号锁定时间，判定结果为符合； 系统未配置登录失败处理策略，判定结果为不符合； 备注 4. 远程管理方法 测评项编号 AD

8、T-OS-AIX-04 对应要求 当对服务器进行远程管理时，应采取必需方法，预防判别信息在网络传输过程中被窃听 测评项名称 检验系统远程管理方法 测评分项1： 检验系统帐号登录失败处理策略 操作步骤 问询系统管理员，并查看开启服务中是否包含了不安全远程管理方法，如telnet, ftp,ssh,VNC 等。 实施：#ps –ef 查看开启远程管理服务进程 实施：#netstat -a 查看开启远程管理服务端口 适用版本 任何版本 实施风险 无 符合性判定 系统采取了安全远程管理方法，如ssh；且关闭了如telnet、ftp 等不安全远程管理方法，判定结果为符合；

9、 系统开启了telnet、ftp 等不安全远程管理方法，判定结果为不符合。 5. 账户分配及用户名唯一性 测评项编号 ADT-OS-AIX-05 对应要求 应为操作系统和数据库系统不一样用户分配不一样用户名，确保用户名含有唯一性 测评项名称 账户分配及用户名唯一性 测评分项1： 检验系统账户 操作步骤 实施以下命令： #cat /etc/passwd #cat /etc/security/passwd #cat /etc/group 查看UID是否唯一 查看系统是否分别建立了系统专用管理帐号，和帐号属组情况。 适用版本 任何版本 实施风险 无 符合性

10、判定 系统管理使用不一样帐户，且系统中不存在重名帐号，UID唯一，判定结果为符合； 系统管理使用相同帐户，系统帐号存在重名情况，UID不唯一，判定结果为不符合。 6. 双因子身份判别 测评项编号 ADT-OS-HPUX-05 对应要求 应采取两种或两种以上组合判别技术对管理用户进行身份判别 测评项名称 双因子身份判别 测评分项1： 检验系统双因子身份判别 操作步骤 问询系统管理员，系统是否采取两种或两种以上组合判别技术对管理用户进行身份判别。 如：帐户/口令判别，生物判别、认证服务器判别。 适用版本 任何版本 实施风险 无 符合性判定 系统采取双因子身份判

11、别，判定结果为符合； 系统未采取双因子身份判别，判定结果为不符合。 二、访问控制 1. 检验文件访问控制策略 测评项编号 ADT-OS-AIX-06 对应要求 应启用访问控制功效，依据安全策略控制用户对资源访问 测评项名称 检察访问控制策略 测评分项1：检验关键配置文件或关键文件目录访问控制 操作步骤 查看系统命令文件和配置文件访问许可有没有被更改比如： #ls -al /usr/etc /etc/security/* /etc/security/passwd /etc/group /etc/passwd /etc/inetd.conf /var

12、/spool/cron/crontabs/* /etc/securetty /sbin/rc*.d/ /etc/login.defs /etc/*.conf 适用版本 任何版本 实施风险 无 符合性判定 系统内配置文件目录 中，全部文件和子目录对组用户和其它用户不提供写权限，判定结果为符合； 组用户和其它用户对配置文件目录/etc 中全部（部分）文件和子目录含有写权限，判定结果为不符合。 测评分项2：检验文件初始权限 操作步骤 实施以下命令： #umask 查看输出文件属主、同组用户、其它用户对于文件操作权限 适用版本 任何版本 实施风险 无 符合性判

13、定 umask 值设置合理，为077 或027，判定结果为符合； umask 值为000、002、022等判定结果为不符合。 测评分项3：检验root 帐号是否许可远程登录 操作步骤 查看ssh 服务配置文件是否设置登录失败处理策略，实施以下 命令： #cat /etc/ssh_config 查看PermitRootLogin 参数 #more /etc/security/user 查看root用户rlogin参数 适用版本 任何版本 实施风险 无 符合性判定 PermitRootLogin 值为no，且root用户设置了rlogin = no, root

14、 帐号不能够远程登录，判定结果为符合； PermitRootLogin 所属行被注释或值为yes，root用户未设置rlogin或rlogin =yes，root 帐号能够远程登录，判定结果为不符合。 2. 数据库系统特权用户权限分离 测评项编号 ADT-OS-AIX-07 对应要求 应实现操作系统和数据库系统特权用户权限分离 测评项名称 特权用户权限分离 测评分项1：检验系统帐户权限设置 操作步骤 问询管理员系统定义了哪些角色，是否分配给操作系统和数据库系统特权用户不一样角色 适用版本 任何版本 实施风险 无 符合性判定 系统为操作系统和数据库系统特权用

15、户设置了不一样角色，实现了 权限分离，判定结果为符合； 系统没有为操作系统和数据库系统特权用户分配角色，判定结果为不符合。 3. 特权用户权限分离 测评项编号 ADT-OS-HPUX-07 对应要求 应依据管理用户角色分配权限，实现管理用户权限分离，仅授予管理用户所需最小权限； 测评项名称 特权用户权限分离 测评分项1：检验系统特权帐户权限设置 操作步骤 问询管理员系统定义了哪些管理用户角色，是否仅授予管理用户所需最小权限 # SMIT 查看用户角色授权 适用版本 任何版本 实施风险 无 符合性判定 系统实现管理用户权限分离，判定结果为符合； 系统没

16、有实现管理用户权限分离，判定结果为不符合。 4. 默认账户访问权限 测评项编号 ADT-OS-AIX-07 对应要求 应限制默认帐户访问权限，重命名系统默认帐户，修改这些帐户默认口令 测评项名称 默认账户访问权限 测评分项1：检验系统帐户权限设置 操作步骤 实施： # cat /etc/passwd或/etc/security/passwd 查看不需要账号games, news, gopher, ftp 、lp是否被删除 查看不需要特权账号halt, shutdown, reboot 、who是否被删除 适用版本 任何版本 实施风险 无 符合性判定 系

17、统删除无用默认账户，判定结果为符合； 系统没有删除无用默认账户，判定结果为不符合。 5. 多出及过期账户 测评项编号 ADT-OS-AIX-08 对应要求 应立即删除多出、过期帐户，避免共享帐户存在 测评项名称 多出及过期账户 测评分项1：检验系统多出及过期账户 操作步骤 访谈系统管理员，是否存在无用多出帐号。同时实施以下命令： cat /etc/passwd或 cat /etc/security/passwd 适用版本 任何版本 实施风险 无 符合性判定 系统中不存在多出自建帐户，判定结果为符合； 没有删除多出自建账户，判定结果为不符合。 6.

18、 基于标识访问控制 测评项编号 ADT-OS-HPUX-08 对应要求 应对关键信息资源设置敏感 标识 测评项名称 资源敏感标识设置检验 测评分项1：检验系统对关键信息资源是否设置了敏感标识 操作步骤 问询管理员系统是否对关键信息资源（关键文件、文件夹、关键服务器）设 置了敏感标识。并查看标识设置规则。 适用版本 任何版本 实施风险 无 符合性判定 符合：系统对关键信息资源设置敏感标识。 不符合：没有对系统关键信息资源设置敏感标 测评分项2：检验对有敏感标识资源访问控制情况 操作步骤 问询管理员系统是否对关键信息资源（关键文件、文件夹、关键服务器）设

19、 置了敏感标识。并查看访问控制规则设置规则。 适用版本 任何版本 实施风险 无 符合：制订了有效安全策略，依据安全策略严格控制用户对有敏感标识信 息资源操作 不符合：没有制订有效安全策略或没有依据安全策略严格控制用户对有敏 感标识信息资源操作 三、安全审计 1. 开启日志审核功效 测评项编号 ADT-OS-AIX-09 对应要求 审计范围应覆盖到服务器上每个操作系统用户 测评项名称 开启日志审核功效 测评分项1：检验系统日志是否开启 操作步骤 实施 #ps -ef |grep syslogd 查看系统是否运行syslogd进程 问询并

20、查看是否有第三方审计工具或系统 适用版本 任何版本 实施风险 无 符合性判定 系统启用了syslogd进程或有第三方审计系统，判定结果为符合； 系统未启用syslogd进程也没有第三方审计系统，判定结果为不符合。 测评项名称 开启日志审核功效 操作步骤 实施 # audsys （或输入sam开启系统管理菜单GUI，点击“审计和安全”，点击“用户”查看被审计用户，点击“事件”查看审计事件，“system calls”查看被审计系统调用。） #more /etc/rc.config.d./auditing 中auditing字段值(=1 已开启) #audusr

21、 查看选择被审计用户 适用版本 任何版本 实施风险 无 符合性判定 系统运行在trusted mode下且开启审计功效，审计范围覆盖到服务器上每个操作系统用户判定结果为符合； 系统未启用审计功效，审计范围未覆盖到服务器上每个操作系统用户，判定结果为不符合。 测评分项1：检验系统审计功效是否开启 操作步骤 实施 # /usr/sbin/audit query 显示审计系统目前状态 # more /etc/security/audit/config 查看选择被审计用户 适用版本 任何版本 实施风险 无 符合性判定 系统开启审计功效，审计范围覆盖到服务器上

22、每个操作系统用户判定结果为符合； 系统未启用审计功效，审计范围未覆盖到服务器上每个操作系统用户，判定结果为不符合。 2. 日志审计内容 测评项编号 ADT-OS-AIX-10 对应要求 审计内容应包含关键用户行为、系统资源异常使用和关键系统命令使用等系统内关键安全相关事件 测评项名称 日志审计内容 测评分项1：检验系统日志审计策略配置 操作步骤 实施： #cat /etc/syslog.conf 查看系统日志配置 适用版本 任何版本 实施风险 无 符合性判定 syslog.conf 配置文件设置合理，对大多数系统行为、用户行为进行了 纪录，

23、并存放在指定文档中，syslong.conf 中最少应包含： local0.crit /dev/console local0.info /usr/es/adm/cluster.log user.notice /usr/es/adm/cluster.log； 判定结果为符合； syslog.conf 配置文件设置不合理，对大多数系统行为、用户行为未 进行纪录，判定结果为不符合。 测评分项3：检验系统审计策略配置 操作步骤 实施： #more /etc/security/audit/objects 查看对象审计 #more /etc/security/audit/co

24、nfig 查看对象审计 #more /etc/security/audit/events 查看被审计事件 适用版本 任何版本 实施风险 无 符合性判定 系统配置了合理审计策略，判定结果为符合； 系统未配置合理审计策略，判定结果为不符合。 测评分项3：审计统计应包含事件日期、时间、类型、主体标识、客体标识和结果等 操作步骤 实施： #more /usr/es/adm/cluster.log #last 查看系统历史日志信息 #auditpr -v –hhelrtRpPTc 获取全部审计信息 适用版本 任何版本 实施风险 无 符合性判定 审计统计包含

25、事件日期、时间、类型、主体标识、客体标识和结果等 判定结果为符合； 审计统计不包含事件日期、时间、类型、主体标识、客体标识和结果等判定结果为符合； 3. 审计进程保护 测评项编号 ADT-OS-AIX-12 对应要求 应保护审计统计，避免受到未预期删除、修改或覆盖等 测评分项1：查看日志审计文件权限设置 操作步骤 实施： ls –la /etc/syslog.conf /usr/es/adm/cluster.log /var/adm 查看系统历史日志文件权限或访问控制是否合理 适用版本 任何版本 实施风险 无 符合性判定 符合：日志访问权限合理，除属

26、主外，组用户和其它用户全部不含有写、实施 权限； 不符合：日志访问权限不合理，除属主外，部分组用户和其它用户含有写、 实施权限 测评分项2：查看审计文件权限设置 操作步骤 实施： #more /etc/security/audit/config 查看日志模式，比如 binmode = on streammode = off # ls 查看申日文件权限或访问控制是否合理 比如 ls –l /audit/bin1 bin2 = /audit/bin2 适用版本 任何版本 实施风险 无 符合性判定 符合：审计文件访问权限合理，除属主外，组用户和其它用户全部不含有

27、写、实施 权限； 不符合：审计文件访问权限不合理，除属主外，部分组用户和其它用户含有写、 实施权限 四、剩下信息保护（HPUX系统不适用） 五、入侵防范 1. 入侵防范 测评项编号 ADT-OS-AIX-13 对应要求 操作系统应遵照最小安装标准，仅安装需要组件和应用程序，并经过设置升级服务器等方法保持系统补丁立即得到更新 测评项名称 入侵防范 测评分项1：检验操作系统是否开启了和业务无关服务 操作步骤 实施以下命令： ps –ef 实施#more /etc/inetd.conf|grep -v "#"统计系统开启服务 #more /etc/rc.nfs

28、 #more /etc/rc.tcpip 适用版本 任何版本 实施风险 无 符合性判定 系统没有开启和业务无关服务，判定结果为符合； 系统开启了和业务无关服务，判定结果为符合； 测评分项2：查检验操作系统是否开启了和业务无关网络端口 操作步骤 实施以下命令： netstat –an netstat –a 适用版本 任何版本 实施风险 无 符合性判定 系统禁用了和业务无关端口，判定结果为符合； 系统没有禁用和业务无关端口，判定结果为不符合 测评分项3：检验操作系统版本和补丁升级情况 操作步骤 实施以下命令，查看AIX 内核版本： 版本信息：#o

29、slevel ： #oslevel –q： 补丁安装情况#instfix –i |grep ML 适用版本 任何版本 实施风险 无 符合性判定 系统安装了最新补丁，判定结果为符合； 系统没有安装最新补丁，判定结果为不符合 五、恶意代码防范（AIX系统不适用） 六、资源控制 1. 终端登录限制 测评项编号 ADT-OS-AIX-14 对应要求 应经过设定终端接入方法、网络地址范围等条件限制终端登录； 测评项名称 终端登录限制 测评分项1：检验系统是否有网络访问控制策略 操作步骤 访谈系统管理员，是否制订了严格访问控制策略，包含是

30、否限制登录 用户，对远程登录IP 是否有限制，采取哪种远程登录方法等。 查看hosts.allow、hosts.deny 是否对一些服务，一些IP 进行了限制。 #cat hosts.allow #cat hosts.deny #cat /etc/ftpusers #cat /etc/ftpaccess 适用版本 任何版本 实施风险 无 符合性判定 系统开启了远程登录IP 限制功效，并配置了合理限制策略，判定结果为符合； 系统没有开启远程登录IP 限制功效，未配置合理限制策略，判定结果为不符合 2. 终端操作超时锁定 测评项编号 ADT-OS-AIX-15

31、 对应要求 应依据安全策略设置登录终端操作超时锁定； 测评项名称 终端操作超时锁定 测评分项1：检验系统是否开启了超时自动注销功效 操作步骤 实施以下命令： cat /etc/profile | grep TMOUT 查看输出结果 适用版本 任何版本 实施风险 无 符合性判定 系统开启了超时注销功效，并设置了合理TMOUT 注销时间（如5 分钟、10 分钟、15 分钟等），判定结果为符合； 系统没有开启超时注销功效，判定结果为不符合 3. 单个用户系统资源使用限制 测评项编号 ADT-OS-AIX-16 对应要求 应限制单个用户对系统资源最大或最小使用程度； 测评项名称 单个用户系统资源使用限制 测评分项1：检验系统是否限制单个用户系统资源使用 操作步骤 实施： #quota UserName 查看UserName 用户对系统资源使用限制值 适用版本 任何版本 实施风险 无 符合性判定 限制了单个用户对系统资源最大或最小使用，判定结果为符合； 未限制单个用户对系统资源最大或最小使用，判定结果为不符合；