28-SGISLOP-SA38-10-AIX等级保护测评作业指导书(四级)

1、28-SGISLOP-SA38-10-AIX 等 级 保护测评作业指导书 （ 四级）控制编号： SGISL/OP-SA38-10信息安全等级保护测评作业指导书AIX 主机（三级）版号：第2 版修改次 数：第0 次生效日 期：2010 年 01 月 06 日中国电力科学研究院信息安全实验室中国电力科学研究院信息安全实验室控制编号 ： SGISL/OP-SA38-10第 1 页 共 32 页AIX 等级保护测评作业指导书（三级）第 2 版 第 0 次修订发布日期： 2010年 01 月 06 日修改页修订号控制编号版号/ 章节号修改人修订原因批准人批准日期备注1SGIS L/OP -SA38 -1

2、0郝增 帅按公安部 要求修订詹雄2010.38中国电力科学研究院信息安全实验室控制编号 ： SGISL/OP-SA38-10第 2 页 共 32 页AIX 等级保护测评作业指导书（三级）第 2 版 第 0 次修订发布日期： 2010年 01 月 06 日一、身份鉴别1. 用户身份标识和鉴别测评项编号ADT-O S-AIX- 01对应要求应对登录操作系统的用 户进行身份标识和鉴 别。测评项名称用户身份标识和鉴别测评分项 1：检查并记录 R 族文件的配置，记录主 机信任关系操作步骤#find / -name .rhosts 对每个 .rhosts 文件进 行检#find / -name .netr

3、c 对 .netrc 文件进行检#more /etc/hosts.equiv适用版 本任何版本实施风 险无符合性判定如果不存在信任关系或存在细粒度控制的 信任关系，判定结果为符合； 如果存在与任意主机任意用户的信任关中国电力科学研究院信息安全实验室控制编号 ： SGISL/OP-SA38-10第 3 页 共 32 页AIX 等级保护测评作业指导书（三级）第 2 版 第 0 次修订发布日期： 2010年 01 月 06 日系，判定结果为不符合。测评分项 2：查看系统是否存在空口令用户操作步骤# more /etc/security/passwd 检查空口令帐 号，适用版 本任何版本实施风 险无符

4、合性判定/etc/security/passwd 中所有密码位不为空， 判定结果为符合；/etc/security/passwd 中所存在密码位为空， 判定结果为不符合。备注2. 账号口令强度测评项编号ADT-OS-AIX- 02对应要求操作系统管理用户身份 标识应具有不易被冒用 的特点，口令应有复杂 度要求并定期更换中国电力科学研究院信息安全实验室控制编号 ： SGISL/OP-SA38-10第 4 页 共 32 页AIX 等级保护测评作业指导书（三级）第 2 版 第 0 次修订发布日期： 2010年 01 月 06 日测评项名称账号口令强度测评分项 1： 检查系统帐号密码策略操作步 骤执行

5、以下命令：#more /etc/security/user 记录Default 规则, 以及各用户配置的规则，重点关注： minlen 口令最短长度 minalpha 口令中最少包含字母字符个数 minother 口令中最少包含非字母数字字符 个数loginretries 连续登录失败后锁定用户适用版 本任何版本实施风 险无符合性判定密码要求 8 位以上字母、数字、非字母组 合,判定结果为符合；密码要求 8 位以下或未要求字母、数字、 非字母组合 ,判定结果为不符合；测评分项 2：检查系统中是否存在空口令或者是弱 口令中国电力科学研究院信息安全实验室控制编号 ： SGISL/OP-SA38-1

6、0第 5 页 共 32 页AIX 等级保护测评作业指导书（三级）第 2 版 第 0 次修订发布日期： 2010年 01 月 06 日操作步 骤1. 利用扫描工具进行查看2. 询问管理员系统中是否存在弱口令3. 手工尝试密码是否与用户名相同适用版 本任何版本实施风 险扫描可能会造成账号被锁定符合性判定系统中不存在弱口令账户，判定结果为符 合；合；系统中存在弱口令账户，判定结果为不符 合；合；备注3. 登录失败处理策略测评项编号ADT-O S-AIX- 03对应要求应启用登录失败处理功 能，可采取结束会话、 限制非法登录次数和自 动退出等措施测评项名称登录失败处理策略中国电力科学研究院信息安全实验

7、室控制编号 ： SGISL/OP-SA38-10第 6 页 共 32 页AIX 等级保护测评作业指导书（三级）第 2 版 第 0 次修订发布日期： 2010年 01 月 06 日测评分项 1： 检查系统帐号登录失败处理策略操作步骤执行以下命令#more /etc/security/user 记录 Default 规则 , 以及各用户配置的规则检查 loginretries 值#more /etc/security/login.cfg 检查loginreenable 值（端口锁定解锁时间） logindelay （失败登录后延迟时间）适用版 本任何版本实施风 险无符合性判定系统配置了合理的帐号锁

8、定阀值及失败登 录间隔时间，判定结果为符合； 系统未配置登录失败处理策略，判定结果 为不符合；测评分项 2：如果启用了 SSH 远程登录，则检查 SSH远程用户登录失败处理策略操作步执行以下命令中国电力科学研究院信息安全实验室控制编号 ： SGISL/OP-SA38-10第 7 页 共 32 页AIX 等级保护测评作业指导书（三级）第 2 版 第 0 次修订发布日期： 2010年 01 月 06 日骤cat /etc/sshd config查看 MaxAuthTries 等参数。LoginGraceTime 1m 帐号锁定时间 （建议 为30 分钟）PermitRootLogin noMaxA

9、uthTries 3 帐号锁定阀值（建议 5 次）适用版 本任何版本实施风 险无符合性判定系统配置了合理的登录失败处理策略，帐 号锁定阀值及帐号锁定时间，判定结果为 符合；系统未配置登录失败处理策略，判定结果 为不符合；备注4. 远程管理方式测评项ADT-O对应要当对服务器进行远程管中国电力科学研究院信息安全实验室控制编号 ： SGISL/OP-SA38-10第 8 页 共 32 页AIX 等级保护测评作业指导书（三级）第 2 版 第 0 次修订发布日期： 2010年 01 月 06 日编号S-AIX-04求理时，应采取必要措施， 防止鉴别信息在网络传 输过程中被窃听测评项名称检查系统远程管理

10、方式测评分项 1： 检查系统帐号登录失败处理策略操作步骤询问系统管理员，并查看开启的服务中是 否包含了不安全的远程管理方式， 如telnet, ftp,ssh,VNC 等。执行：#ps ef 查看开启的远程管理服务进 程执行： #netstat -a 查看开启的远程管理服 务端口适用版 本任何版本实施风 险无符合性判定系统采用了安全的远程管理方式，如 ssh； 且关闭了如 telnet、 ftp 等不安全的远程管 理方式，判定结果为符合； 系统的开启了 telnet 、ftp 等不安全的远程 管理方式，判定结果为不符合。中国电力科学研究院信息安全实验室控制编号 ： SGISL/OP-SA38-

11、10第 9 页 共 32 页AIX 等级保护测评作业指导书（三级）第 2 版 第 0 次修订发布日期： 2010年 01 月 06 日5. 账户分配及用户名唯一性测评项编号ADT-OS-AIX- 05对应要求应为操作系统和数据库 系统的不同用户分配不 同的用户名，确保用户 名具有唯一性测评项名称账户分配及用户名唯一性测评分项 1： 检查系统账户操作步骤执行以下命令：#cat /etc/passwd#cat /etc/security/passwd#cat /etc/group 查看UID 是否唯一 查看系统是否分别建立了系统专用管理帐 号，以及帐号的属组情况。适用版 本任何版本实施风 险无符合

12、性系统管理使用不同的帐户，且系统中不存 在重名帐号， UID 唯一，判定结果为符合；中国电力科学研究院信息安全实验室控制编号 ： SGISL/OP-SA38-10第 10 页 共 32 页AIX 等级保护测评作业指导书（三级）第 2 版 第 0 次修订发布日期： 2010年 01 月 06 日判定系统管理使用相同的帐户，系统帐号存在 重名情况， UID 不唯一，判定结果为不符 合。6. 双因子身份鉴别测评项编号ADT-OS-HPUX-05对应要求应采用两种或两种以上 组合的鉴别技术对管理 用户进行身份鉴别测评项名称双因子身份鉴别测评分项 1： 检查系统双因子身份鉴别操作步骤询问系统管理员，系统

13、是否采用两种或两 种以上组合的鉴别技术对管理用户进行身 份鉴别。如：帐户 /口令鉴别，生物鉴别、认证服务器鉴别。适用版 本任何版本实施风 险无符合性判定系统采用双因子身份鉴别，判定结果为符 合；合；中国电力科学研究院信息安全实验室控制编号 ： SGISL/OP-SA38-10第 11 页 共 32 页AIX 等级保护测评作业指导书（三级）第 2 版 第 0 次修订发布日期： 2010年 01 月 06 日系统未采用双因子身份鉴别，判定结果为不符合。二、访问控制1. 检查文件访问控制策略测评项编号ADT-O S-AIX- 06对应要 求应启用访问控制功能， 依据安全策略控制用户 对资源的访问测评

14、项名称检查访问控制策略测评分项 1：检查重要配置文件或重要文件目录的 访问控制操作步骤查看系统命令文件和配置文件的访问许可 有无被更改例如：#ls -al /usr/etc /etc/security/* /etc/security/passwd /etc/group /etc/passwd /etc/inetd.conf /var/spool/cron/crontabs/* /etc/securetty /sbin/rc*.d/ /etc/login.defs /etc/*.conf适用版 本任何版本实施风 险无中国电力科学研究院信息安全实验室控制编号 ： SGISL/OP-SA38-10第

15、 12 页 共 32 页AIX 等级保护测评作业指导书（三级）第 2 版 第 0 次修订发布日期： 2010年 01 月 06 日符合性判定系统内的配置文件目录 中，所有文件和子 目录对组用户和其他用户不提供写权限， 判定结果为符合；组用户和其他用户对配置文件目录 /etc 中 所有（部分）文件和子目录具有写权限， 判定结果为不符合。测评分项 2：检查文件初始权限操作步骤执行以下命令：#umask 查看输出文件属主、同组用户、其他用户 对于文件的操作权限适用版 本任何版本实施风 险无符合性判定umask 值设置合理，为 077 或027，判定 结果为符合；umask 值为 000、002、02

16、2等判定结果为 不符合。测评分项 3：检查 root 帐号是否允许远程登录中国电力科学研究院信息安全实验室控制编号 ： SGISL/OP-SA38-10第 13 页 共 32 页AIX 等级保护测评作业指导书（三级）第 2 版 第 0 次修订发布日期： 2010年 01 月 06 日操作步骤查看 ssh 服务配置文件是否设置登录失败 处理策略，执行以下命令：#cat /etc/ssh_config 查看 PermitRootLogin 参数 #more /etc/security/user 查看root用户的 rlogin 参数适用版 本任何版本实施风 险无符合性判定PermitRootLog

17、in 值为 no，且 root用户设 置了rlogin = no, root 帐号不可以远程登 录，判定结果为符合；PermitRootLogin 所属行被注释或值为 yes，root用户未设置 rlogin 或rlogin =yes ， root 帐号可以远程登录，判定结果为不符 合。2. 数据库系统特权用户权限分离测评项编号ADT-OS-AIX- 07对应要求应实现操作系统和数据 库系统特权用户的权限中国电力科学研究院信息安全实验室控制编号 ： SGISL/OP-SA38-10第 14 页 共 32 页AIX 等级保护测评作业指导书（三级）第 2 版 第 0 次修订发布日期： 2010年

18、01 月 06 日分离测评项名称特权用户权限分离测评分项 1：检查系统帐户权限设置操作步骤询问管理员系统定义了哪些角色，是否分 配给操作系统和数据库系统特权用户不同 的角色适用版 本任何版本实施风 险无符合性判定系统为操作系统和数据库系统特权用户的 设置了不同的角色，实现了 权限分离，判定结果为符合；系统没有为操作系统和数据库系统特权用 户分配角色，判定结果为不符合。3. 特权用户权限分离测评项编号ADT-OS-HPUX-07对应要求应根据管理用户的角色 分配权限，实现管理用 户的权限分离，仅授予中国电力科学研究院信息安全实验室控制编号 ： SGISL/OP-SA38-10第 15 页 共 3

19、2 页AIX 等级保护测评作业指导书（三级）第 2 版 第 0 次修订发布日期： 2010年 01 月 06 日管理用户所需的最小权限；测评项名称特权用户权限分离测评分项 1：检查系统特权帐户权限设置操作步骤询问管理员系统定义了哪些管理用户角 色，是否仅授予管理用户所需的最小权限 # SMIT 查看用户角色的授权适用版 本任何版本实施风 险无符合性判定系统实现管理用户的权限分离，判定结果 为符合；系统没有实现管理用户的权限分离，判定结果为不符合。4. 默认账户访问权限测评项编号ADT-OS-AIX- 07对应要 求应限制默认帐户的访问 权限，重命名系统默认 帐户，修改这些帐户的中国电力科学研究

20、院信息安全实验室控制编号 ： SGISL/OP-SA38-10第 16 页 共 32 页AIX 等级保护测评作业指导书（三级）第 2 版 第 0 次修订发布日期： 2010年 01 月 06 日默认口令测评项名称默认账户访问权限测评分项 1：检查系统帐户权限设置操作步骤执行：# cat /etc/passwd或者 /etc/security/passwd 查看不需要的账号 games, news, gopher, ftp 、lp 是否被删除 查看不需要的特权账号 halt, shutdown, reboot 、who 是否被删除适用版 本任何版本实施风 险无符合性判定系统删除无用默认账户， 判

21、定结果为符合；系统没有删除无用默认账户，判定结果为 不符合。5. 多余及过期账户测评项ADT-OS-AIX-对应要应及时删除多余的、过中国电力科学研究院信息安全实验室控制编号 ： SGISL/OP-SA38-10第 17 页 共 32 页AIX 等级保护测评作业指导书（三级）第 2 版 第 0 次修订发布日期： 2010年 01 月 06 日编号08求 期的帐户，避免共享帐 户的存在测评项名称多余及过期账户测评分项 1：检查系统多余及过期账户操作步骤访谈系统管理员，是否存在无用的多余帐 号。同时执行以下命令： cat /etc/passwd或 cat /etc/security/passwd适

22、用版 本任何版本实施风 险无符合性判定系统中不存在多余自建帐户，判定结果为 符合；没有删除多余自建账户，判定结果为不符 合。6. 基于标记的访问控制测评项编号ADT-OS-HPUX-08对应要求应对重要信息资源设置敏感标记测评项资源敏感标记设置检查中国电力科学研究院信息安全实验室控制编号 ： SGISL/OP-SA38-10第 18 页 共 32 页AIX 等级保护测评作业指导书（三级）第 2 版 第 0 次修订发布日期： 2010年 01 月 06 日名称测评分项 1：检查系统对重要信息资源是否设置了 敏感标记操作步骤询问管理员系统是否对重要信息资源（重 要文件、文件夹、重要服务器）设 置了

23、敏感标记。并查看标记的设置规则。适用版 本任何版本实施风 险无符合性判定符合：系统对重要信息资源设置敏感标记。 不符合：没有对系统重要信息资源设置敏 感标测评分项 2：检查对有敏感标记资源的访问控制情 况操作步 骤询问管理员系统是否对重要信息资源（重 要文件、文件夹、重要服务器）设 置了敏感标记。并查看访问控制规则的设 置规则。适用版 本任何版本实施风无中国电力科学研究院信息安全实验室控制编号 ： SGISL/OP-SA38-10第 19 页 共 32 页AIX 等级保护测评作业指导书（三级）第 2 版 第 0 次修订发布日期： 2010年 01 月 06 日险符合：制定了有效的安全策略，依据

24、安全 策略严格控制用户对有敏感标记信 息资源的操作不符合：没有制定有效的安全策略或没有 依据安全策略严格控制用户对有敏 感标记信息资源的操作三、安全审计1. 开启日志审核功能测评项编号ADT-O S-AIX- 09对应要求审计范围应覆盖到服务 器上的每个操作系统用 户测评项名称开启日志审核功能测评分项 1：检查系统日志是否开启操作步骤执行#ps -ef |grep syslogd 查看系统是否运行 syslogd进程询问并查看是否有第三方审计工具或系统中国电力科学研究院信息安全实验室控制编号 ： SGISL/OP-SA38-10第 20 页 共 32 页AIX 等级保护测评作业指导书（三级）第

25、 2 版 第 0 次修订发布日期： 2010年 01 月 06 日适用版 本任何版本实施风 险无符合性判定系统启用了 syslogd进程或有第三方审计系 统，判定结果为符合；系统未启用 syslogd进程也没有第三方审计 系统，判定结果为不符合。测评项名称开启日志审核功能操作步骤执行# audsys（或者输入 sam启动系统管理菜单 GUI ，点 击“审计和安全 ”，点击 “用户 ”查看被审计 的用户，点击 “事件 ”查看审计的事件， “ system calls查看”被审计的系统调用。 ） #more /etc/rc.config.d./auditing 中的 auditing 字段值（=1

26、 已开启 ）#audusr 查看选择的被审计用户适用版本 任何版本中国电力科学研究院信息安全实验室控制编号 ： SGISL/OP-SA38-10第 21 页 共 32 页AIX 等级保护测评作业指导书（三级）第 2 版 第 0 次修订发布日期： 2010年 01 月 06 日实施风险无符合性判定系统运行在 trusted mode 下且开启审计功 能，审计范围覆盖到服务器上的每个操作 系统用户判定结果为符合；系统未启用审计功能，审计范围未覆盖到 服务器上的每个操作系统用户，判定结果 为不符合。测评分项 1：检查系统审计功能是否开启操作步骤执行# /usr/sbin/audit query 显示

27、审计系统的当前状态# more /etc/security/audit/config 查看选择的被审计用户适用版本任何版本实施风险无符合性判定系统开启审计功能，审计范围覆盖到服务器上的每个操作系统用户判定结果为符 合；系统未启用审计功能，审计范围未覆盖到中国电力科学研究院信息安全实验室控制编号 ： SGISL/OP-SA38-10第 22 页 共 32 页AIX 等级保护测评作业指导书（三级）第 2 版 第 0 次修订发布日期： 2010年 01 月 06 日服务器上的每个操作系统用户，判定结果 为不符合。2. 日志审计内容测评项编号ADT-O S-AIX- 10对应要 求审计内容应包括重要用

28、 户行为、系统资源的异 常使用和重要系统命令 的使用等系统内重要的 安全相关事件测评项名称日志审计内容测评分项 1：检查系统日志审计策略配置操作步 骤执行：#cat /etc/syslog.conf 查看系统日志配置适用版 本任何版本实施风 险无符合性判定syslog.conf 配置文件设置合理，对大多数 系统行为、用户行为进行了中国电力科学研究院信息安全实验室控制编号 ： SGISL/OP-SA38-10第 23 页 共 32 页AIX 等级保护测评作业指导书（三级）第 2 版 第 0 次修订发布日期： 2010年 01 月 06 日纪录，并存储在指定的文档中， syslong.conf 中

29、至少应包括：local0.crit /dev/ /usr/es/adm/cluster.loguser.notice /usr/es/adm/cluster.log ； 判定结果为符合；syslog.conf 配置文件设置不合理，对大多 数系统行为、用户行为未 进行纪录，判定结果为不符合。测评分项 3：检查系统审计策略配置操作步骤执行：#more /etc/security/audit/objects 查看对象审计#more /etc/security/audit/config 查看对象审计#more /etc/security/audit/events 查

30、看被审计的事件适用版 本任何版本实施风 险无中国电力科学研究院信息安全实验室控制编号 ： SGISL/OP-SA38-10第 24 页 共 32 页AIX 等级保护测评作业指导书（三级）第 2 版 第 0 次修订发布日期： 2010年 01 月 06 日符合性判定系统配置了合理的审计策略，判定结果为 符合；系统未配置合理的审计策略，判定结果为不符合。测评分项 3：审计记录应包括事件的日期、时间、 类型、主体标识、客体标识和结果等操作步骤执行：#more /usr/es/adm/cluster.log #last 查看系统历史日志信息 #auditpr -v hhelrtRpPTc 获取所有审计

31、的信息适用版 本任何版本实施风 险无符合性判定审计记录包括事件的日期、时间、类型、 主体标识、客体标识和结果等 判定结果为符合； 审计记录不包括事件的日期、 时间、类型、 主体标识、客体标识和结果等判定结果为 符合；3. 审计进程保护中国电力科学研究院信息安全实验室控制编号 ： SGISL/OP-SA38-10第 25 页 共 32 页AIX 等级保护测评作业指导书（三级）第 2 版 第 0 次修订发布日期： 2010年 01 月 06 日测评项编号ADT-OS-AIX-12对应要求应保护审计记录，避免 受到未预期的删除、修 改或覆盖等测评分项 1：查看日志审计文件权限设置操作步骤执行：ls

32、la /etc/syslog.conf /usr/es/adm/cluster.log /var/adm查看系统历史日志文件的权限或访问控制 是否合理适用版 本任何版本实施风 险无符合性判定符合：日志访问权限合理，除属主外，组 用户和其它用户都不具有写、执行 权限；不符合： 日志访问权限不合理， 除属主外， 部分组用户和其它用户具有写、 执行权限测评分项 2：查看审计文件权限设置操作步执行：中国电力科学研究院信息安全实验室控制编号 ： SGISL/OP-SA38-10第 26 页 共 32 页AIX 等级保护测评作业指导书（三级）第 2 版 第 0 次修订发布日期： 2010年 01 月 06

33、 日骤#more /etc/security/audit/config 查看日志模式，例如 binmode = on streammode = off# ls 查看申日文件的权限或访问控制是否 合理例如 ls l /audit/bin1 bin2 = /audit/bin2适用版 本任何版本实施风 险无符合性判定符合：审计文件访问权限合理， 除属主外， 组用户和其它用户都不具有写、执行 权限； 不符合：审计文件访问权限不合理，除属 主外，部分组用户和其它用户具有写、 执行权限四、剩余信息保护（ HPUX 系统不适用） 五、入侵防范1. 入侵防范测评项ADT-O对应要操作系统应遵循最小安中国电力

34、科学研究院信息安全实验室控制编号 ： SGISL/OP-SA38-10第 27 页 共 32 页AIX 等级保护测评作业指导书（三级）第 2 版 第 0 次修订发布日期： 2010年 01 月 06 日编号S-AIX-13求装的原则，仅安装需要 的组件和应用程序，并 通过设置升级服务器等 方式保持系统补丁及时 得到更新测评项名称入侵防范测评分项 1：检查操作系统是否开启了与业务无关 的服务操作步骤执行以下命令： ps ef 执行 #more /etc/inetd.conf|grep -v "#" 记录 系统开启的服务 #more /etc/rc.nfs#more /etc/

35、rc.tcpip适用版 本任何版本实施风 险无符合性判定系统没有开启与业务无关的服务，判定结果为符合；中国电力科学研究院信息安全实验室控制编号 ： SGISL/OP-SA38-10第 28 页 共 32 页AIX 等级保护测评作业指导书（三级）第 2 版 第 0 次修订发布日期： 2010年 01 月 06 日系统开启了与业务无关的服务，判定结果为符合；测评分项 2：查检查操作系统是否开启了与业务无 关的网络端口操作步骤执行以下命令： netstat an netstat a适用版 本任何版本实施风 险无符合性判定系统禁用了与业务无关的端口，判定结果 为符合；系统没有禁用与业务无关的端口，判定结果为不符合测评分项 3：检查操作系统版本与补丁升级情况操作步 骤执行以下命版本信息：补丁安装情令，查看 AIX 内核版本：#oslevel ：#oslevel q：况 #instfix i |grep ML适用版 本任何版本中国电力科学研究院信息安全实验室控制编号 ： SGISL/OP-SA38-10第 29 页 共 32 页AIX 等级保护测评作业指导书（三级）第 2 版 第 0 次修订发布日期： 2010年 01 月 06 日实施风 险无符合性判定系统安装了最新的补丁， 判定结果为符合； 系统没有安装最新的补丁，判定结果为不 符合五、