等级保护测评指导书-主机系统

层面,控制点,测评项,重要性,级别,系统,实施过程,预期结果,说明

"主机

（可采用操作系统信息采集与分析工具对操作系统进行分析）","身份鉴别

（S1、S2、S3）",a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别；,重要,"S1

S2

S3",通用,"1）访谈系统管理员系统用户是否已设置密码且是否为空口令或弱口令，并查看登录过程中系统账户是否使用了密码进行验证登录

2）结合扫描结果进行判断",1)系统用户已设置密码且不为空密码或弱口令，并通过密码进行验证登录,"1)记录密码为空的用户名

2)扫描工具应为Nessus、Xscan、等。"

,,,,,WindowsXP,"1）访谈系统管理员系统用户是否已设置密码，并查看登录过程中系统账户是否使用了密码进行验证登录

2）结合扫描结果进行判断",1)系统用户已设置密码且不为空，并通过密码进行验证登录,"1)记录密码为空的用户名

2)扫描工具应为Nessus、Xscan、等。"

,,,,,WindowsServer2000,"1）访谈系统管理员系统用户是否已设置密码，并查看登录过程中系统账户是否使用了密码进行验证登录

2）结合扫描结果进行判断",1)系统用户已设置密码且不为空，并通过密码进行验证登录,"1)记录密码为空的用户名

2)扫描工具应为Nessus、Xscan、等。"

,,,,,WindowsServer2003,"1）访谈系统管理员系统用户是否已设置密码，并查看登录过程中系统账户是否使用了密码进行验证登录

2）结合扫描结果进行判断",1)系统用户已设置密码且不为空，并通过密码进行验证登录,"1)记录密码为空的用户名

2)扫描工具应为Nessus、Xscan、等。"

,,,,,WindowsServer2008,"1）访谈系统管理员系统用户是否已设置密码，并查看登录过程中系统账户是否使用了密码进行验证登录

2）结合扫描结果进行判断",1)系统用户已设置密码且不为空，并通过密码进行验证登录,"1)记录密码为空的用户名

2)扫描工具应为Nessus、Xscan、等。"

,,,,,RedhatLinux,"1）在root权限下，使用命令查看/etc/passwd和/etc/shadow文件中用户状态：

a）以root身份登录进入Linux；

b）查看Linux密码文件内容，使用命令如下

#cat/etc/passwd

#cat/etc/shadow

2）口令破解工具进行判断",登录操作系统的用户口令不为空或弱口令,"1）密码栏为空则表示空密码；

记录/etc/passwd和/etc/shadow文件中密码一栏为空的账户名

2）破解工具应为Pwdump7等"

,,,,,SunSolaris,"1）在root权限下，使用命令查看/etc/passwd和/etc/shadow文件中个用户状态：

a）以root身份登录进入solaris；

b）查看solaris密码文件内容，使用命令如下

#cat/etc/passwd

#cat/etc/shadow

2）口令破解工具进行判断",登录操作系统的用户口令不为空或弱口令,"1）密码栏为空则表示空密码；

记录/etc/passwd和/etc/shadow文件中密码一栏为空的账户名

2）破解工具应为Pwdump7等"

,,,,,HPUnix,"1）在root权限下，使用命令查看/etc/passwd文件中个用户状态：

a）以root身份登录进入系统；

b）查看密码文件内容，使用命令如下

#cat/etc/passwd

2）口令破解工具进行判断",登录操作系统的用户口令不为空或弱口令,1）破解工具应为Pwdump7等

,,,,,IBMAIX,"1）在root权限下，使用命令查看/etc/passwd和/etc/security/passwd文件中个用户状态：

a）以root身份登录进入系统；

b）查看密码文件内容，使用命令如下

#cat/etc/passwd

#cat/etc/security/passwd

2）口令破解工具进行判断",登录操作系统的用户口令不为空或弱口令,"1）/etc/passwd中密码那一项*表示无效密码，！表示密码在etc/security/passwd；

/etc/security/passwd中Passwd：为空表示没有密码，为*表示无法登陆

2）破解工具应为Pwdump7等"

,,,,,SUSELinux,"1)在root权限下，使用命令查看/etc/passwd和/etc/shadow文件中个用户状态：

a）以root身份登录进入Linux；

b）查看Linux密码文件内容，使用命令如下

#cat/etc/passwd

#cat/etc/shadow

2）口令破解工具进行判断",登录操作系统的用户口令不为空或弱口令,"1)密码栏为空则表示空密码；

记录/etc/passwd和/etc/shadow文件中密码一栏为空的账户名

2）破解工具应为Pwdump7等"

,,b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；,重要,"S2

S3",通用,访谈管理员并查看配置是否具有一定的密码策略,合理设置密码策略,系统具有一定的密码策略，如设置密码历史、设置密码最长试用期、设置密码最短使用期限、设置最短密码长度、设置密码复杂度要求等

,,,,,WindowsXP,1）管理工具->本地安全策略->账户策略->密码策略中的相关项目,"1）对密码策略中“复杂性要求”项合理设置；

2）对密码策略中“密码长度最小值”项合理设置；

3）对密码策略中“密码最长存留期”项合理设置；

4)对密码策略中“密码最短存留期”项合理设置；

5）对密码策略中“强制密码历史”项合理设置；

6）对密码策略中“可还原的加密来存储密码”项合理设置。","推荐：

1）密码复杂性要求：已启用；

2）密码长度最小值：8个字符以上，建议包含数字、大小写字母、特殊字符三种或三种以上；

3）密码最长存留期：90天；

4）密码最短存留期：2天；

5）强制密码历史：5个以上

6）可还原的加密来存储密码：禁用。"

,,,,,WindowsServer2000,1）管理工具->本地安全策略->账户策略->密码策略中的相关项目,"1）对密码策略中“复杂性要求”项合理设置；

2）对密码策略中“密码长度最小值”项合理设置；

3）对密码策略中“密码最长使用期限”项合理设置；

4)对密码策略中“密码最短使用期限”项合理设置；

5）对密码策略中“强制密码历史”项合理设置；

6）对密码策略中“用可还原的加密来存储密码”项合理设置。","推荐：

1）密码复杂性要求：已启用；

2）密码长度最小值：8个字符以上，建议包含数字、大小写字母、特殊字符三种或三种以上；

3）密码最长使用期限：90天；

4）密码最短使用期限：2天；

5）强制密码历史：5个以上

6）用可还原的加密来存储密码：禁用。"

,,,,,WindowsServer2003,1）管理工具->本地安全策略->账户策略->密码策略中的相关项目,"1）对密码策略中“复杂性要求”项合理设置；

2）对密码策略中“密码长度最小值”项合理设置；

3）对密码策略中“密码最长使用期限”项合理设置；

4)对密码策略中“密码最短使用期限”项合理设置；

5）对密码策略中“强制密码历史”项合理设置；

6）对密码策略中“用可还原的加密来存储密码”项合理设置。","推荐：

1）密码复杂性要求：已启用；

2）密码长度最小值：8个字符以上，建议包含数字、大小写字母、特殊字符三种或三种以上；

3）密码最长使用期限：90天；

4）密码最短使用期限：2天；

5）强制密码历史：5个以上

6）用可还原的加密来存储密码：禁用。"

,,,,,WindowsServer2008,1）管理工具->本地安全策略->账户策略->密码策略中的相关项目,"1）对密码策略中“复杂性要求”项合理设置；

2）对密码策略中“密码长度最小值”项合理设置；

3）对密码策略中“密码最长使用期限”项合理设置；

4)对密码策略中“密码最短使用期限”项合理设置；

5）对密码策略中“强制密码历史”项合理设置；

6）对密码策略中“用可还原的加密来存储密码”项合理设置。","推荐：

1）密码复杂性要求：已启用；

2）密码长度最小值：8个字符以上，建议包含数字、大小写字母、特殊字符三种或三种以上；

3）密码最长使用期限：90天；

4）密码最短使用期限：2天；

5）强制密码历史：5个以上

6）用可还原的加密来存储密码：禁用。"

,,,,,RedhatLinux,"1）以root身份登录进入Linux

2）查看文件内容：

#more/etc/login.defs中

PASS_MAX_DAYS

PASS_MIN_DAYS

PASS_MIN_LEN

PASS_WARN_AGE

MD5_CRYPT_ENAB等",以上配置项均有合理设置,"该文件里的配置对root用户无效，如果/etc/shadow文件里有相同的选项，则以/etc/shadow里的设置为准。

推荐配置值：

PASS_MAX_DAYS90#登录密码有效期90天

PASS_MIN_DAYS2#登录密码最短修改时间

PASS_MIN_LEN8#登录密码最小长度8位

PASS_WARN_AGE7#登录密码过期提前7天提示修改

MD5_CRYPT_ENAByes#当使用md5为密码的加密方法时使用"

,,,,,SunSolaris,"1）以root身份登录进入系统

2）查看文件内容：

cat/etc/default/passwd中",以上配置项均有合理设置,"推荐配置：

MAXWEEKS=13

MINWEEKS=1

WARNWEEKS=3

PASSLENGTH=8

HISTORY＝5"

,,,,,HPUnix,"1）以root身份登录进入系统

2）查看文件内容：

cat/etc/default/security中

MIN_PASSWORD_LENGTH

PASSWORD_MIN_UPPER_CASE_CHARS

PASSWORD_MIN_DIGIT_CHARS

PASSWORD_MIN_SPECIAL_CHARS

PASSWORD_MIN_LOWER_CASE_CHARS等",以上配置项均有合理设置,"推荐配置：

MIN_PASSWORD_LENGTH=8密码最小长度为8

PASSWORD_MIN_UPPER_CASE_CHARS=1至少包括一个大写字母

PASSWORD_MIN_DIGIT_CHARS=1至少包括一个数字

PASSWORD_MIN_SPECIAL_CHARS=1至少包括一个特殊字符

PASSWORD_MIN_LOWER_CASE_CHARS=1至少包括一个小写字母"

,,,,,IBMAIX,"1）以root身份登录进入系统

2）查看文件内容：

#more/etc/security/user中

maxage

maxrepeats

minage

minalpha

mindiff

minother

minlen

histsize等",以上配置项均有合理设置,"推荐配置：

maxage=13密码有效期限的最大周数maxrepeats=2可重复的连续字符数minage=2密码有效期限的最少周数minalpha=2最少字母数

mindiff=2与前一次密码的最少不同字符数

minother=2最少的非字母数

minlen=8密码最小长度

histsize=5禁止重复使用密码次数"

,,,,,SUSELinux,"1）以root身份登录进入Linux

2）查看文件内容：

#more/etc/login.defs中

PASS_MAX_DAYS

PASS_MIN_DAYS

PASS_MIN_LEN

PASS_WARN_AGE等",以上配置项均有合理设置,"该文件里的配置对root用户无效，如果/etc/shadow文件里有相同的选项，则以/etc/shadow里的设置为准。

推荐配置值：

PASS_MAX_DAYS90#登录密码有效期90天

PASS_MIN_DAYS2#登录密码最短修改时间

PASS_MIN_LEN8#登录密码最小长度8位

PASS_WARN_AGE7#登录密码过期提前7天提示修改

FAIL_DELAY10#登录错误时等待时间10秒

FAILLOG_ENAByes#登录错误记录到日志"

,,c)应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；,重要,"S2

S3",通用,访谈管理员并查看配置是否具有登录失败处理功能,启用相关功能,本条主要目的是要求系统具有一定得登录控制功能。

,,,,,WindowsXP,1）管理工具->本地安全策略->账户策略->账户锁定策略中的相关项目,"1）对账户锁定策略中“账户锁定时间”项合理设置；

2）对账户锁定策略中“账户锁定阈值”项合理设置。","推荐：

1）账户锁定阈值：3-5次；

2）账户锁定时间：30分钟"

,,,,,WindowsServer2000,1）管理工具->本地安全策略->账户策略->账户锁定策略中的相关项目,"1）对账户锁定策略中“账户锁定时间”项合理设置；

2）对账户锁定策略中“账户锁定阈值”项合理设置。","推荐：

1）账户锁定阈值：3-5次；

2）账户锁定时间：30分钟"

,,,,,WindowsServer2003,1）管理工具->本地安全策略->账户策略->账户锁定策略中的相关项目,"1）对账户锁定策略中“账户锁定时间”项合理设置；

2）对账户锁定策略中“账户锁定阈值”项合理设置。","推荐：

1）账户锁定阈值：3-5次；

2）账户锁定时间：30分钟"

,,,,,WindowsServer2008,1）管理工具->本地安全策略->账户策略->账户锁定策略中的相关项目,"1）对账户锁定策略中“账户锁定时间”项合理设置；

2）对账户锁定策略中“账户锁定阈值”项合理设置。","推荐：

1）账户锁定阈值：3-5次；

2）账户锁定时间：30分钟"

,,,,,RedhatLinux,"1）以root身份登录进入Linux

2）查看文件内容：

#cat/etc/pam.d/system-auth","记录文件中是否存在""accountrequired/lib/security/pam_tally.sodeny=3no_magic_rootreset""",存在此条信息，“三次密码错误即锁定账户”

,,,,,SunSolaris,"1）以root身份登录进入系统

2）查看文件内容：

cat/etc/default/login中

RETRIES＝6",设置合适参数,"推荐：

RETRIES＝6

CONSOLE=/dev/null"

,,,,,HPUnix,"1）以root身份登录进入系统

2）设置两次失败登录尝试之间的最小时间间隔：

more/tcb/files/auth/system/default检查t_logdelay变量

3）设定失败登录尝试次数：

more/tcb/files/auth/system/default，检查u_maxtrie和t_maxtries",设置合适参数,无

,,,,,IBMAIX,"1）以root身份登录进入系统

2）查看文件内容：

#cat/etc/security/user中

loginretries",设置合适参数,"推荐：

loginretries=5"

,,,,,SUSELinux,"1）以root身份登录进入Linux

2）查看文件内容：

#cat/etc/login.defs中LOGIN_RETRIES值",设置合适参数,推荐：LOGIN_RETRIES=5

,,d)当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；,重要,"S2

S3",通用,1）访谈系统管理员并查看配置是否在服务器远程管理时，采取防窃听措施,采取相应措施,"1）记录服务器是否启用了远程管理加密措施；若有第三方远程管理工具，记录该工具使用的加密方式。

2）可使用数据包嗅探工具，对数据包进行分析，确定其是否对数据进行加密传输，如Wireshark、Iris等"

,,,,,WindowsXP,"1）若使用远程终端服务（WTS）或者俗称3389或远程桌面来进行远程服务：

a）确认服务器操作系统必须是windowsserver2000sp1或其后版本，客户端操作系统是windows2000、windowsxp或windowsserver2003；

b）确认颁发有效身份验证证书；

c）服务器端：管理工具->终端服务配置连接对话框->RDP-Tcp属性->常规->安全层参数为SSL（TLS1.0）；

d）客户端：远程桌面链接->安全标签->选择是否使用基于SSL（TLS1.0）的服务器身份验证，及是否选择了“要求身份验证”

2）其他方式远程管理工具：记录该工具使用的加密方式","1）若使用远程终端服务（WTS）或者俗称3389或远程桌面来进行远程服务：

a）服务器和客户端操作系统版本符合要求；

b）已颁发有效身份验证证书；

c）服务器端采用了SSL加密方式；

d）客户端采用了SSL加密方式；

2）其他方式远程管理工具：

采用了可靠的加密传输方式。","1）记录服务器是否启用了远程管理加密措施；若有第三方远程管理工具，记录该工具使用的加密方式。

2）可使用数据包嗅探工具，对数据包进行分析，确定其是否对数据进行加密传输，如Wireshark、Iris等"

,,,,,WindowsServer2000,"1）若使用远程终端服务（WTS）或者俗称3389或远程桌面来进行远程服务：

a）确认服务器操作系统必须是windowsserver2000sp1或其后版本，客户端操作系统是windows2000、windowsxp或windowsserver2003；

b）确认颁发有效身份验证证书；

c）服务器端：管理工具->终端服务配置连接对话框->RDP-Tcp属性->常规->安全层参数为SSL（TLS1.0）；

d）客户端：远程桌面链接->安全标签->选择是否使用基于SSL（TLS1.0）的服务器身份验证，及是否选择了“要求身份验证”

2）其他方式远程管理工具：记录该工具使用的加密方式","1）若使用远程终端服务（WTS）或者俗称3389或远程桌面来进行远程服务：

a）服务器和客户端操作系统版本符合要求；

b）已颁发有效身份验证证书；

c）服务器端采用了SSL加密方式；

d）客户端采用了SSL加密方式；

2）其他方式远程管理工具：采用了可靠的加密传输方式。","1）记录服务器是否启用了远程管理加密措施；若有第三方远程管理工具，记录该工具使用的加密方式。

2）可使用数据包嗅探工具，对数据包进行分析，确定其是否对数据进行加密传输，如Wireshark、Iris等"

,,,,,WindowsServer2003,"1）若使用远程终端服务（WTS）或者俗称3389或远程桌面来进行远程服务：

a）确认服务器操作系统必须是windowsserver2000sp1或其后版本，客户端操作系统是windows2000、windowsxp或windowsserver2003；

b）确认颁发有效身份验证证书；

c）服务器端：管理工具->终端服务配置连接对话框->RDP-Tcp属性->常规->安全层参数为SSL（TLS1.0）；

d）客户端：远程桌面链接->安全标签->选择是否使用基于SSL（TLS1.0）的服务器身份验证，及是否选择了“要求身份验证”

2）其他方式远程管理工具：记录该工具使用的加密方式","1）若使用远程终端服务（WTS）或者俗称3389或远程桌面来进行远程服务：

a）服务器和客户端操作系统版本符合要求；

b）已颁发有效身份验证证书；

c）服务器端采用了SSL加密方式；

d）客户端采用了SSL加密方式；

2）其他方式远程管理工具：采用了可靠的加密传输方式。","1）记录服务器是否启用了远程管理加密措施；若有第三方远程管理工具，记录该工具使用的加密方式。

2）可使用数据包嗅探工具，对数据包进行分析，确定其是否对数据进行加密传输，如Wireshark、Iris等"

,,,,,WindowsServer2008,"1）若使用远程终端服务（WTS）或者俗称3389或远程桌面来进行远程服务：

a）确认服务器操作系统必须是windowsserver2000sp1或其后版本，客户端操作系统是windows2000、windowsxp或windowsserver2003；

b）确认颁发有效身份验证证书；

c）服务器端：管理工具->终端服务配置连接对话框->RDP-Tcp属性->常规->安全层参数为SSL（TLS1.0）；

d）客户端：远程桌面链接->安全标签->选择是否使用基于SSL（TLS1.0）的服务器身份验证，及是否选择了“要求身份验证”

2）其他方式远程管理工具：记录该工具使用的加密方式","1）若使用远程终端服务（WTS）或者俗称3389或远程桌面来进行远程服务：

a）服务器和客户端操作系统版本符合要求；

b）已颁发有效身份验证证书；

c）服务器端采用了SSL加密方式；

d）客户端采用了SSL加密方式；

2）其他方式远程管理工具：采用了可靠的加密传输方式。","1）记录服务器是否启用了远程管理加密措施；若有第三方远程管理工具，记录该工具使用的加密方式。

2）可使用数据包嗅探工具，对数据包进行分析，确定其是否对数据进行加密传输，如Wireshark、Iris等"

,,,,,RedhatLinux,"1）以root身份登入Linux

2）查看是否安装SSH的相应包

rpm-aq|grepssh

或查看是否运行了sshd服务

service--status-all|grepsshd

3)如果已经安装则查看相关端口是否打开

netstat-an|grep22

4)若未使用SSH方式进行远程管理，则查看是否使用了Telnet方式进行远程管理

service--status-all|greprunning

查看是否存在Telnet服务",1）有安装SSH包并运行sshd服务，且打开了22端口,"1）若服务器不接受远程管理，则无需记录此项内容。

推荐在远程登录时使用SSH协议。

2）可使用数据包嗅探工具，对数据包进行分析，确定其是否对数据进行加密传输，如Wireshark、Iris等

3）可使用SSH连接工具、SecureCRT工具进行远程连接"

,,,,,SunSolaris,"1）以root身份登入系统

2）查看是否运行了sshd服务

#ps-ef|grepsshd

查看相应端口是否打开

#netstat-an|grep22

3）未使用SSH方式进行远程管理，则查看是否使用了Telnet方式进行远程管理

ps-ef|greptelnet

#netstat-an|grep23

查看是否存在Telnet服务",1）有安装SSH包并运行sshd服务，且打开了22端口,"1）若服务器不接受远程管理，则无需记录此项内容。

推荐在远程登录时使用SSH协议。

2）可使用数据包嗅探工具，对数据包进行分析，确定其是否对数据进行加密传输，如Wireshark、Iris等

3）可使用SSH连接工具、SecureCRT工具进行远程连接"

,,,,,HPUnix,"1）以root身份登入系统

2）查看是否运行了sshd服务

#ps-ef|grepsshd

查看相应端口是否打开

#netstat-an|grep22

3）未使用SSH方式进行远程管理，则查看是否使用了Telnet方式进行远程管理

ps-ef|greptelnet

#netstat-an|grep23

查看是否存在Telnet服务",1）有安装SSH包并运行sshd服务，且打开了22端口,"1）若服务器不接受远程管理，则无需记录此项内容。

推荐在远程登录时使用SSH协议。

2）可使用数据包嗅探工具，对数据包进行分析，确定其是否对数据进行加密传输，如Wireshark、Iris等

3）可使用SSH连接工具、SecureCRT工具进行远程连接"

,,,,,IBMAIX,"1）以root身份登入系统

2）查看是否运行了sshd服务

#ps-ef|grepsshd

查看相应端口是否打开

#netstat-an|grep22

3）未使用SSH方式进行远程管理，则查看是否使用了Telnet方式进行远程管理

ps-ef|greptelnet

#netstat-an|grep23

查看是否存在Telnet服务",1）有安装SSH包并运行sshd服务，且打开了22端口,"1）若服务器不接受远程管理，则无需记录此项内容。

推荐在远程登录时使用SSH协议。

2）可使用数据包嗅探工具，对数据包进行分析，确定其是否对数据进行加密传输，如Wireshark、Iris等

3）可使用SSH连接工具、SecureCRT工具进行远程连接"

,,,,,SUSELinux,"1）以root身份登入Linux

2）查看是否安装SSH的相应包

rpm-aq|grepssh

或查看是否运行了sshd服务

service--status-all|grepsshd

3)如果已经安装则查看相关端口是否打开

netstat-an|grep22

4)若未使用SSH方式进行远程管理，则查看是否使用了Telnet方式进行远程管理

service--status-all|greprunning

查看是否存在Telnet服务",1）有安装SSH包并运行sshd服务，且打开了22端口,"1）若服务器不接受远程管理，则无需记录此项内容。

推荐在远程登录时使用SSH协议。

2）可使用数据包嗅探工具，对数据包进行分析，确定其是否对数据进行加密传输，如Wireshark、Iris等

3）可使用SSH连接工具、SecureCRT工具进行远程连接"

,,e)应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性；,,"S2

S3",通用,访谈系统管理员并查看配置，是否为操作系统和数据库系统分配不同的用户名,1）无重复用户名。,记录有重复的用户名。

,,,,,WindowsXP,1）管理工具->计算机管理->本地用户和组->用户，查看其中的用户名是否出现重复,1）无重复用户名。,记录有重复的用户名。

,,,,,WindowsServer2000,1）管理工具->计算机管理->本地用户和组->用户，查看其中的用户名是否出现重复,1）无重复用户名。,记录有重复的用户名。

,,,,,WindowsServer2003,1）管理工具->计算机管理->本地用户和组->用户，查看其中的用户名是否出现重复,1）无重复用户名。,记录有重复的用户名。

,,,,,WindowsServer2008,1）管理工具->计算机管理->本地用户和组->用户，查看其中的用户名是否出现重复,1）无重复用户名。,记录有重复的用户名。

,,,,,RedhatLinux,"1）以root身份登录进入Linux

2）查看文件按内容

#cat/etc/passwd",记录文件中有相同用户名的账户,这里UID为0的用户必须只有一个

,,,,,SUSELinux,"1）以root身份登录进入Linux

2）查看文件按内容

#cat/etc/passwd",记录文件中有相同用户名的账户,这里UID为0的用户必须只有一个

,,,,,SunSolaris,"1）以root身份登录进入Linux

2）查看文件按内容

#cat/etc/passwd",记录文件中有相同用户名的账户,这里UID为0的用户必须只有一个

,,,,,HPUnix,"1）以root身份登录进入系统

2）查看文件按内容

#cat/etc/passwd",记录文件中有相同用户名的账户,这里UID为0的用户必须只有一个

,,,,,IBMAIX,"1）以root身份登录进入系统

2）查看文件按内容

#cat/etc/passwd",记录文件中有相同用户名的账户,这里UID为0的用户必须只有一个

,,f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。,重要,S3,通用,1)询问管理员是否采用两种或两种以上组合的鉴别技术来实现用户身份鉴别，并进行验证。,1）使用了两种或两种以上身份验证鉴别技术。,身份鉴别方式包括：用户名口令验证、生物识别、令牌等

,,,,,WindowsXP,1)询问管理员是否采用两种或两种以上组合的鉴别技术来实现用户身份鉴别，并进行验证。,1）使用了两种或两种以上身份验证鉴别技术。,身份鉴别方式包括：用户名口令验证、生物识别、令牌等

,,,,,WindowsServer2000,1)询问管理员是否采用两种或两种以上组合的鉴别技术来实现用户身份鉴别，并进行验证。,1）使用了两种或两种以上身份验证鉴别技术。,身份鉴别方式包括：用户名口令验证、生物识别、令牌等

,,,,,WindowsServer2003,1)询问管理员是否采用两种或两种以上组合的鉴别技术来实现用户身份鉴别，并进行验证。,1）使用了两种或两种以上身份验证鉴别技术。,身份鉴别方式包括：用户名口令验证、生物识别、令牌等

,,,,,WindowsServer2008,1)询问管理员是否采用两种或两种以上组合的鉴别技术来实现用户身份鉴别，并进行验证。,1）使用了两种或两种以上身份验证鉴别技术。,身份鉴别方式包括：用户名口令验证、生物识别、令牌等

,,,,,RedhatLinux,1)询问管理员是否采用两种或两种以上组合的鉴别技术来实现用户身份鉴别，并进行验证。,1）使用了两种或两种以上身份验证鉴别技术。,如有除用户名口令外的其他身份鉴别方法，则记录这种方法

,,,,,SUSELinux,1)询问管理员是否采用两种或两种以上组合的鉴别技术来实现用户身份鉴别，并进行验证。,1）使用了两种或两种以上身份验证鉴别技术。,如有除用户名口令外的其他身份鉴别方法，则记录这种方法

,,,,,SunSolaris,1)询问管理员是否采用两种或两种以上组合的鉴别技术来实现用户身份鉴别，并进行验证。,1）使用了两种或两种以上身份验证鉴别技术。,如有除用户名口令外的其他身份鉴别方法，则记录这种方法

,,,,,HPUnix,1)询问管理员是否采用两种或两种以上组合的鉴别技术来实现用户身份鉴别，并进行验证。,1）使用了两种或两种以上身份验证鉴别技术。,如有除用户名口令外的其他身份鉴别方法，则记录这种方法

,,,,,IBMAIX,1)询问管理员是否采用两种或两种以上组合的鉴别技术来实现用户身份鉴别，并进行验证。,1）使用了两种或两种以上身份验证鉴别技术。,如有除用户名口令外的其他身份鉴别方法，则记录这种方法

,"访问控制

（S1、S2、S3）",a)应启用访问控制功能，依据安全策略控制用户对资源的访问；,重要,"S1

S2

S3",通用,访谈系统管理员并查看配置，是否合理设置文件权限和默认共享,"1）重要文件需加强访问控制

2）无不需要的共享开放。","1）记录默认共享是否开启，并确认这些共享是否被应用，如无应用则建议关闭。

2）可使用扫描工具，如Xscan、nessus、等"

,,,,,WindowsXP,1）命令行模式下输入netshare，查看共享。,1）无不需要的共享开放。,"1）记录默认共享是否开启，并确认这些共享是否被应用，如无应用则建议关闭。

2）可使用扫描工具，如Xscan、nessus、等"

,,,,,Windowsserver2000,"1）选择%systemdrive%\windows\system、%systemroot%\system32\config等相应文件夹，右键属性->安全，查看everyone组、users组和administrators组的权限设置；

2）命令行模式下输入netshare，查看共享。","1）根据需要合理设置访问控制权限；

2）无不需要的共享开放。","1）记录默认共享是否开启，并确认这些共享是否被应用，如无应用则建议关闭。

2）可使用扫描工具，如Xscan、nessus、等"

,,,,,Windowsserver2003,"1）选择%systemdrive%\windows\system、%systemroot%\system32\config等相应文件夹，右键属性->安全，查看everyone组、users组和administrators组的权限设置；

2）命令行模式下输入netshare，查看共享。","1）根据需要合理设置访问控制权限；

2）无不需要的共享开放。","1）记录默认共享是否开启，并确认这些共享是否被应用，如无应用则建议关闭。

2）可使用扫描工具，如Xscan、nessus、等"

,,,,,WindowsServer2008,"1）选择%systemdrive%\windows\system、%systemroot%\system32\config等相应文件夹，右键属性->安全，查看everyone组、users组和administrators组的权限设置；

2）命令行模式下输入netshare，查看共享。","1）根据需要合理设置访问控制权限；

2）无不需要的共享开放。","1）记录默认共享是否开启，并确认这些共享是否被应用，如无应用则建议关闭。

2）可使用扫描工具，如Xscan、nessus、等"

,,,,,RedhatLinux,"1）以root身份登录进入Linux

2）查看以下文件权限：

#ls-l/etc/passwd

#ls-l/etc/shadow

#ls-l/etc/rc3.d

#ls-l/etc/profile

#ls-l/etc/inet.conf

#ls-l/etc/xinet.conf等",各文件权限设置合理,"推荐值：

#ls-l/etc/passwd744

#ls-l/etc/shadow740

#ls-l/etc/rc3.d744

#ls-l/etc/profile744

#ls-l/etc/inet.conf744

#ls-l/etc/xinet.conf744

可使用扫描工具扫描共享，如nessus、等"

,,,,,SUSELinux,"1）以root身份登录进入Linux

2）查看以下文件权限：

#ls-l/etc/passwd

#ls-l/etc/shadow

#ls-l/etc/rc3.d

#ls-l/etc/profile

#ls-l/etc/inet.conf

#ls-l/etc/xinet.conf等",各文件权限设置合理,"推荐值：

#ls-l/etc/passwd744

#ls-l/etc/shadow740

#ls-l/etc/rc3.d744

#ls-l/etc/profile744

#ls-l/etc/inet.conf744

#ls-l/etc/xinet.conf744

可使用扫描工具扫描共享，如nessus、等"

,,,,,SunSolaris,"1）以root身份登录进入系统

2）查看以下文件权限：

umask

ls-al/etc/passwd

ls-al/etc/group

ls-al/etc/shadow

ls-al/etc/profile等",各文件权限设置合理,"umask设置应大于022

可使用扫描工具扫描共享，如nessus、等"

,,,,,HPUnix,"1）以root身份登录进入系统

2）查看以下文件权限：

umask

ls-al/etc/passwd

ls-al/etc/group

ls-al/etc/default/security

ls-al/etc/profile

ls-al/etc/hosts.allow

ls-al/etc/hosts.deny等",各文件权限设置合理,"umask设置应大于022

可使用扫描工具扫描共享，如nessus、等"

,,,,,IBMAIX,"1）以root身份登录进入系统

2）查看以下文件权限：

umask

ls-al/etc/security/login.cfg

ls-al/etc/passwd

ls-al/etc/group

ls-al/etc/security/passwd

ls-al/etc/security/user

ls-al/etc/profile

ls-al/etc/environment

ls-al/etc/security/.profile

ls-al/etc/security/limits

ls-al/etc/security/group

ls-al/etc/security/audit/objects

ls-al/etc/inetd.conf

ls-al/etc/hosts

ls-al/etc/hosts.equiv

ls-al/etc/hosts.allow

ls-al/etc/hosts.deny

ls-al/etc/syslog.conf

ls-al/var/adm/wtmp

ls-al/var/adm/sulog等",各文件权限设置合理,"umask设置应大于022

可使用扫描工具扫描共享，如nessus、等"

,,b)应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；,重要,S3,通用,访谈系统管理员并查看配置，是否实现对用户角色权限作出标准细致的划分,"1）根据用户角色定位，实现其权限分离；

2）根据业务需要，对相关项进行合理设置。","1）根据管理用户的角色对权限作出标准细致的划分，有利于岗位细致协调的工作

2）实现系统管理员、应用管理员、审计、监控等账户的权限分离"

,,,,,WindowsXP,"1）查看用户分组情况，管理工具->计算机管理->本地用户和组->组，查看每个组中的成员；

2）查看权利指派，管理工具->本地安全策略->本地策略->用户权利指派，记录所有权限分配情况","1）根据用户角色定位，实现其权限分离；

2）根据业务需要，对相关项进行合理设置。","1）重点查看“用户权利指派”中“从网络访问此计算机”“本地登录”“将工作站添加到域中”“增加配额”“提升计划优先级”“加载和卸载设备驱动程序”“管理审核和安全日志”“修改固件环境”“配置系统性能”“关闭系统”“获取文件和对象的所有权”“从远程系统强制关机”“更改系统时间”等。

2）注：如有域控，以域策略为准"

,,,,,Windowsserver2000,"1）查看用户分组情况，管理工具->计算机管理->本地用户和组->组，查看每个组中的成员；

2）查看权利指派，管理工具->本地安全策略->本地策略->用户权利指派，记录所有权限分配情况","1）根据用户角色定位，实现其权限分离；

2）根据业务需要，对相关项进行合理设置。","1）重点查看“用户权利指派”中“从网络访问此计算机”“本地登录”“将工作站添加到域中”“增加配额”“提升计划优先级”“加载和卸载设备驱动程序”“管理审核和安全日志”“修改固件环境”“配置系统性能”“关闭系统”“获取文件和对象的所有权”“从远程系统强制关机”“更改系统时间”等。

2）注：如有域控，以域策略为准"

,,,,,Windowsserver2003,"1）查看用户分组情况，管理工具->计算机管理->本地用户和组->组，查看每个组中的成员；

2）查看权利指派，管理工具->本地安全策略->本地策略->用户权利指派，记录所有权限分配情况","1）根据用户角色定位，实现其权限分离；

2）根据业务需要，对相关项进行合理设置。","1）重点查看“用户权利指派”中“从网络访问此计算机”“本地登录”“将工作站添加到域中”“增加配额”“提升计划优先级”“加载和卸载设备驱动程序”“管理审核和安全日志”“修改固件环境”“配置系统性能”“关闭系统”“获取文件和对象的所有权”“从远程系统强制关机”“更改系统时间”等。

2）注：如有域控，以域策略为准"

,,,,,WindowsServer2008,"1）查看用户分组情况，管理工具->计算机管理->本地用户和组->组，查看每个组中的成员；

2）查看权利指派，管理工具->本地安全策略->本地策略->用户权利指派，记录所有权限分配情况","1）根据用户角色定位，实现其权限分离；

2）根据业务需要，对相关项进行合理设置。","1）重点查看“用户权利指派”中“从网络访问此计算机”“本地登录”“将工作站添加到域中”“增加配额”“提升计划优先级”“加载和卸载设备驱动程序”“管理审核和安全日志”“修改固件环境”“配置系统性能”“关闭系统”“获取文件和对象的所有权”“从远程系统强制关机”“更改系统时间”等。

2）注：如有域控，以域策略为准"

,,,,,RedhatLinux,"1）访谈管理员是否有完整的安全策略、系统主要有哪些角色、每个角色的权限是否相互制约、每个系统用户是否被赋予相应的角色

2）查看cat/etc/passwd中各用户所属组分配情况",系统设置合理的用户，并授予用户最小权限,授予用户最小权限，避免出现权限的漏洞使一些高级用户拥有过大的权限

,,,,,SUSELinux,"1）访谈管理员是否有完整的安全策略、系统主要有哪些角色、每个角色的权限是否相互制约、每个系统用户是否被赋予相应的角色

2）查看cat/etc/passwd中各用户所属组分配情况",系统设置合理的用户，并授予用户最小权限,授予用户最小权限，避免出现权限的漏洞使一些高级用户拥有过大的权限

,,,,,SunSolaris,"1）访谈管理员是否有完整的安全策略、系统主要有哪些角色、每个角色的权限是否相互制约、每个系统用户是否被赋予相应的角色

2）查看cat/etc/passwd中各用户所属组分配情况",系统设置合理的用户，并授予用户最小权限,授予用户最小权限，避免出现权限的漏洞使一些高级用户拥有过大的权限

,,,,,HPUnix,"1）访谈管理员是否有完整的安全策略、系统主要有哪些角色、每个角色的权限是否相互制约、每个系统用户是否被赋予相应的角色

2）查看cat/etc/passwd中各用户所属组分配情况",系统设置合理的用户，并授予用户最小权限,授予用户最小权限，避免出现权限的漏洞使一些高级用户拥有过大的权限

,,,,,IBMAIX,"1）访谈管理员是否有完整的安全策略、系统主要有哪些角色、每个角色的权限是否相互制约、每个系统用户是否被赋予相应的角色

2）查看cat/etc/passwd中各用户所属组分配情况",系统设置合理的用户，并授予用户最小权限,授予用户最小权限，避免出现权限的漏洞使一些高级用户拥有过大的权限

,,c)应实现操作系统和数据库系统特权用户的权限分离；,重要,"S2

S3",通用,结合系统管理员的组成情况，判定是否实现了该项要求,"1）自然人和管理员做到一一对应，不存在多人共用一个账户的情况；

2）每个管理员账户应只负责管理某一方面内容，不能同时管理操作系统和数据库","本条是检查是否存在多个管理员共用一个账户的情况。

注：可存在团队（管理同一方向）共用相同账户的情况"

,,,,,WindowsXP,查看系统管理员的组成情况，管理工具->计算机管理->本地用户和组->组，记录每个系统管理员的职责分配情况,"1）自然人和管理员做到一一对应，不存在多人共用一个账户的情况；

2）每个管理员账户应只负责管理某一方面内容，不能同时管理操作系统和数据库",本条是检查是否存在多个管理员共用一个账户的情况。

,,,,,Windowsserver2000,查看系统管理员的组成情况，管理工具->计算机管理->本地用户和组->组，记录每个系统管理员的职责分配情况,"1）自然人和管理员做到一一对应，不存在多人共用一个账户的情况；

2）每个管理员账户应只负责管理某一方面内容，不能同时管理操作系统和数据库",本条是检查是否存在多个管理员共用一个账户的情况。

,,,,,Windowsserver2003,查看系统管理员的组成情况，管理工具->计算机管理->本地用户和组->组，记录每个系统管理员的职责分配情况,"1）自然人和管理员做到一一对应，不存在多人共用一个账户的情况；

2）每个管理员账户应只负责管理某一方面内容，不能同时管理操作系统和数据库",本条是检查是否存在多个管理员共用一个账户的情况。

,,,,,WindowsServer2008,查看系统管理员的组成情况，管理工具->计算机管理->本地用户和组->组，记录每个系统管理员的职责分配情况,"1）自然人和管理员做到一一对应，不存在多人共用一个账户的情况；

2）每个管理员账户应只负责管理某一方面内容，不能同时管理操作系统和数据库",本条是检查是否存在多个管理员共用一个账户的情况。

,,,,,RedhatLinux,"1）结合系统管理员的组成情况，判定是否实现了该项要求

2）查看cat/etc/passwd中各用户所属组分配情况",实现了操作系统和数据库特权用户权限的分离,无

,,,,,SUSELinux,"1）结合系统管理员的组成情况，判定是否实现了该项要求

2）查看cat/etc/passwd中各用户所属组分配情况",实现了操作系统和数据库特权用户权限的分离,无

,,,,,SunSolaris,"1）结合系统管理员的组成情况，判定是否实现了该项要求

2）查看cat/etc/passwd中各用户所属组分配情况",实现了操作系统和数据库特权用户权限的分离,无

,,,,,HPUnix,"1）结合系统管理员的组成情况，判定是否实现了该项要求

2）查看cat/etc/passwd中各用户所属组分配情况",实现了操作系统和数据库特权用户权限的分离,无

,,,,,IBMAIX,"1）结合系统管理员的组成情况，判定是否实现了该项要求

2）查看cat/etc/passwd中各用户所属组分配情况",实现了操作系统和数据库特权用户权限的分离,无

,,d)应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；,重要,"S1

S2

S3",通用,1）查看默认用户名是否重命名,1）重命名默认用户名,可使用扫描工具扫描默认用户名和默认口令，如Xscan、nessus、等

,,,,,WindowsXP,1）查看默认用户名是否重命名，管理工具->计算机管理->本地用户和组->用户,1）重命名默认用户，如对administrator和guest账号重命名,可使用扫描工具扫描默认用户名和默认口令，如Xscan、nessus、等

,,,,,Windowsserver2000,1）查看默认用户名是否重命名，管理工具->计算机管理->本地用户和组->用户,1）重命名默认用户，如对administrator和guest账号重命名,可使用扫描工具扫描默认用户名和默认口令，如Xscan、nessus、等

,,,,,Windowsserver2003,1）查看默认用户名是否重命名，管理工具->计算机管理->本地用户和组->用户,1）重命名默认用户，如对administrator和guest账号重命名,可使用扫描工具扫描默认用户名和默认口令，如Xscan、nessus、等

,,,,,WindowsServer2008,1）查看默认用户名是否重命名，管理工具->计算机管理->本地用户和组->用户,1）重命名默认用户，如对administrator和guest账号重命名,可使用扫描工具扫描默认用户名和默认口令，如Xscan、nessus、等

,,,,,RedhatLinux,"1）以root身份登录进入Linux

2）查看Linux密码文件内容：

#cat/etc/shadow",实现本项要求。,"1）记录没有被禁用的系统默认用户名

2）可使用扫描工具扫描默认用户名和默认口令，如Xscan、nessus、等"

,,,,,SUSELinux,"1）以root身份登录进入Linux

2）查看Linux密码文件内容：

#cat/etc/shadow",实现本项要求。,"1）记录没有被禁用的系统默认用户名

2）可使用扫描工具扫描默认用户名和默认口令，如Xscan、nessus、等"

,,,,,SunSolaris,"1）以root身份登录进入

2）查看密码文件内容：

#cat/etc/shadow",实现本项要求。,"1）记录没有被禁用的系统默认用户名

2）可使用扫描工具扫描默认用户名和默认口令，如Xscan、nessus、等"

,,,,,HPUnix,"1）以root身份登录进入系统

2）查看密码文件内容：

#cat/etc/passwd",实现本项要求。,"1）记录没有被禁用的系统默认用户名

2）可使用扫描工具扫描默认用户名和默认口令，如Xscan、nessus、等"

,,,,,IBMAIX,"1）以root身份登录进入系统

2）查看密码文件内容：

#cat/etc/security/passwd",实现本项要求。,"1）记录没有被禁用的系统默认用户名

2）可使用扫描工具扫描默认用户名和默认口令，如Xscan、nessus、等"

,,e)应及时删除多余的、过期的帐户，避免共享帐户的存在；,重要,"S2

S3",通用,查看是否存在多余的、过期的账户，避免共享账户名,1）禁用或删除多余的、过期账户,记录多余的、过期的账户，避免共享账户名

,,,,,WindowsXP,1）查看是否存在多余的、过期的账户，管理工具->计算机管理->本地用户和组->用户,1）禁用或删除多余的、过期账户，如禁用guest账号并从guests组中删除,无

,,,,,Windowsserver2000,1）查看是否存在多余的、过期的账户，管理工具->计算机管理->本地用户和组->用户,1）禁用或删除多余的、过期账户，如禁用guest账号并从guests组中删除,无

,,,,,Windowsserver2003,1）查看是否存在多余的、过期的账户，管理工具->计算机管理->本地用户和组->用户,1）禁用或删除多余的、过期账户，如禁用guest账号并从guests组中删除,无

,,,,,WindowsServer2008,1）查看是否存在多余的、过期的账户，管理工具->计算机管理->本地用户和组->用户,1）禁用或删除多余的、过期账户，如禁用guest账号并从guests组中删除,无

,,,,,RedhatLinux,"1）以root身份登录进入Linux

2）查看Linux密码文件内容：

#cat/etc/passwd",实现本项要求。,记录没有被及时删除多余的、过期的账户，避免共享账户

,,,,,SUSELinux,"1）以root身份登录进入Linux

2）查看Linux密码文件内容：

#cat/etc/passwd",实现本项要求。,记录没有被及时删除多余的、过期的账户，避免共享账户

,,,,,SunSolaris,"1）以root身份登录进入系统

2）查看密码文件内容：

#cat/etc/passwd",实现本项要求。,记录没有被及时删除多余的、过期的账户，避免共享账户

,,,,,HPUnix,"1）以root身份登录进入系统

2）查看密码文件内容：

#cat/etc/passwd",实现本项要求。,记录没有被及时删除多余的、过期的账户，避免共享账户

,,,,,IBMAIX,"1）以root身份登录进入系统

2）查看密码文件内容：

#cat/etc/security/passwd",实现本项要求。,记录没有被及时删除多余的、过期的账户，避免共享账户

,,f)应对重要信息资源设置敏感标记；,,S3,通用,1）询问管理员是否对重要信息资源设置敏感标记,1）对重要信息资源设置敏感标记,

,,,,,WindowsXP,1）询问管理员是否对重要信息资源设置敏感标记,1）对重要信息资源设置敏感标记,

,,,,,Windowsserver2000,1）询问管理员是否对重要信息资源设置敏感标记,1）对重要信息资源设置敏感标记,

,,,,,Windowsserver2003,1）询问管理员是否对重要信息资源设置敏感标记,1）对重要信息资源设置敏感标记,

,,,,,WindowsServer2008,1）询问管理员是否对重要信息资源设置敏感标记,1）对重要信息资源设置敏感标记,

,,,,,RedhatLinux,1）询问管理员是否对重要信息资源设置敏感标记,1）对重要信息资源设置敏感标记,

,,,,,SUSELinux,1）询问管理员是否对重要信息资源设置敏感标记,1）对重要信息资源设置敏感标记,

,,,,,SunSolaris,1）询问管理员是否对重要信息资源设置敏感标记,1）对重要信息资源设置敏感标记,

,,,,,HPUnix,1）询问管理员是否对重要信息资源设置敏感标记,1）对重要信息资源设置敏感标记,

,,,,,IBMAIX,1）询问管理员是否对重要信息资源设置敏感标记,1）对重要信息资源设置敏感标记,无

,,g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作；,,S3,通用,1）询问或查看目前的敏感信息标记策略的相关设置，如：如何划分敏感标记分类，如何设定访问权限等,1）敏感标记分类合理划分，访问权限设置合理,无

,,,,,WindowsXP,1）询问或查看目前的敏感信息标记策略的相关设置，如：如何划分敏感标记分类，如何设定访问权限等,1）敏感标记分类合理划分，访问权限设置合理,无

,,,,,Windowsserver2000,1）询问或查看目前的敏感信息标记策略的相关设置，如：如何划分敏感标记分类，如何设定访问权限等,1）敏感标记分类合理划分，访问权限设置合理,无

,,,,,Windowsserver2003,1）询问或查看目前的敏感信息标记策略的相关设置，如：如何划分敏感标记分类，如何设定访问权限等,1）敏感标记分类合理划分，访问权限设置合理,无

,,,,,WindowsServer2008,1）询问或查看目前的敏感信息标记策略的相关设置，如：如何划分敏感标记分类，如何设定访问权限等,1）敏感标记分类合理划分，访问权限设置合理,无

,,,,,RedhatLinux,1）询问或查看目前的敏感信息标记策略的相关设置，如：如何划分敏感标记分类，如何设定访问权限等,1）敏感标记分类合理划分，访问权限设置合理,无

,,,,,SUSELinux,1）询问或查看目前的敏感信息标记策略的相关设置，如：如何划分敏感标记分类，如何设定访问权限等,1）敏感标记分类合理划分，访问权限设置合理,无

,,,,,SunSolaris,1）询问或查看目前的敏感信息标记策略的相关设置，如：如何划分敏感标记分类，如何设定访问权限等,1）敏感标记分类合理划分，访问权限设置合理,无

,,,,,HPUnix,1）询问或查看目前的敏感信息标记策略的相关设置，如：如何划分敏感标记分类，如何设定访问权限等,1）敏感标记分类合理划分，访问权限设置合理,无

,,,,,IBMAIX,1）询问或查看目前的敏感信息标记策略的相关设置，如：如何划分敏感标记分类，如何设定访问权限等,1）敏感标记分类合理划分，访问权限设置合理,无

,"安全审计

（G2、G3）",a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；,重要,"G2

G3

（G2审计服务器，G3审计包括服务器和重要客户端）",通用,"1）查看系统是否开启了安全审计功能

2）询问并查看是否有第三方审计工具或系统

","1）开启安全审计功能

2）开启第三方审计工具或系统的审计功能

",无

,,,,,WindowsXP,"1）查看系统是否开启了安全审计功能，管理工具->本地安全策略->审核策略

2）询问并查看是否有第三方审计工具或系统

","1）开启安全审计功能

2）开启第三方审计工具或系统的审计功能

",无

,,,,,Windowsserver2000,"1）查看系统是否开启了安全审计功能，管理工具->本地安全策略->审核策略

2）询问并查看是否有第三方审计工具或系统

","1）开启安全审计功能

2）开启第三方审计工具或系统的审计功能

",无

,,,,,Windowsserver2003,"1）查看系统是否开启了安全审计功能，管理工具->本地安全策略->审核策略

2）询问并查看是否有第三方审计工具或系统

","1）开启安全审计功能

2）开启第三方审计工具或系统的审计功能

",无

,,,,,WindowsServer2008,"1）查看系统是否开启了安全审计功能，管理工具->本地安全策略->审核策略

2）询问并查看是否有第三方审计工具或系统

","1）开启安全审计功能

2）开启第三方审计工具或系统的审计功能

",无

,,,,,RedhatLinux,"1）以root身份登录进入Linux

2）查看服务进程：

#servicesyslogstatus

#serviceauditstatus

或

#service--status-all|greprunning

3)若运行了安全审计服务，则查看安全审计的守护进程是否正常

#ps-ef|grepauditd",日志服务和安全审计服务正常运行。,若有第三方审计工具或系统则记录其运行状态是否正常

,,,,,SUSELinux,"1）以root身份登录进入Linux

2）查看服务进程：

#service--status-all|greprunning

3)若运行了安全审计服务，则查看安全审计的守护进程是否正常

#ps-ef|grepauditd",日志服务和安全审计服务正常运行。,若有第三方审计工具或系统则记录其运行状态是否正常

,,,,,SunSolaris,"1）以root身份登录进入系统

2）查看是否运行了以下进程：

#ps-ef|grepsyslogd

#ps-ef|grepauditd",日志服务和安全审计服务正常运行。,若有第三方审计工具或系统则记录其运行状态是否正常

,,,,,HPUnix,"1）以root身份登录进入系统

2）查看是否运行了以下进程：

#ps-ef|grepsyslogd

#ps-ef|grepauditd

#audsys",日志服务和安全审计服务正常运行。,若有第三方审计工具或系统则记录其运行状态是否正常

,,,,,IBMAIX,"1）以root身份登录进入系统

2）查看是否运行了以下进程：

#ps-ef|grepsyslogd

#ps-ef|grepauditd",日志服务和安全审计服务正常运行。,若有第三方审计工具或系统则记录其运行状态是否正常

,,b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；,重要,"G2

G3",通用,1）查看相应的安全策略是否包含需要的审计内容,1）安全策略中各项均有合理设置,启动对全局系统对象访问的审核。

,,,,,WindowsXP,1）查看相应的安全策略，管理工具->本地安全策略->审核策略,1）安全策略中各项均有合理设置,"推荐：

审核账户登录时间：成功失败都审核

审核账户管理：成功失败都审核

审核目录服务访问：成功失败都审核

审核登录时间：成功失败都审核

审核对象访问：成功失败都审核

审核特权使用：成功失败都审核

审核策略更改：成功审核

审核系统事件：成功审核

审核过程追踪：失败审核"

,,,,,Windowsserver2000,1）查看相应的安全策略，管理工具->本地安全策略->审核策略,1）安全策略中各项均有合理设置,"推荐：

审核登录事件：成功失败都审核

审核账户管理：成功失败都审核

审核目录服务访问：成功失败都审核

审核账户登录事件：成功失败都审核

审核对象访问：成功失败都审核

审核特权使用：成功失败都审核

审核策略更改：成功审核

审核系统事件：成功审核

审核过程跟踪：失败审核"

,,,,,Windowsserver2003,1）查看相应的安全策略，管理工具->本地安全策略->审核策略,1）安全策略中各项均有合理设置,"推荐：

审核登录事件：成功失败都审核

审核账户管理：成功失败都审核

审核目录服务访问：成功失败都审核

审核账户登录事件：成功失败都审核

审核对象访问：成功失败都审核

审核特权使用：成功失败都审核

审核策略更改：成功审核

审核系统事件：成功审核

审核过程跟踪：失败审核"

,,,,,WindowsServer2008,1）查看相应的安全策略，管理工具->本地安全策略->审核策略,1）安全策略中各项均有合理设置,"推荐：

审核登录事件：成功失败都审核

审核账户管理：成功失败都审核

审核目录服务访问：成功失败都审核

审核账户登录事件：成功失败都审核

审核对象访问：成功失败都审核

审核特权使用：成功失败都审核

审核策略更改：成功审核

审核系统事件：成功审核

审核过程跟踪：失败审核"

,,,,,RedhatLinux,"1）以root身份登录进入Linux

2）查看配置：

#grep""@priv-ops""/etc/audit/filter.conf

#grep""@mount-ops""/etc/audit/filter.conf

#grep""@system-ops""/etc/audit/filter.conf",具有相关设置，记录相关参数,无

,,,,,SUSELinux,"1）以root身份登录进入Linux

2）查看cat/etc/syslog.conf",具有相关设置，记录相关参数,无

,,,,,SunSolaris,"1）以root身份登录进入系统

2）查看以下文件：

cat/etc/syslog.conf

cat/etc/security/audit_control

cat/etc/security/audit_user",具有相关设置，记录相关参数,无

,,,,,HPUnix,"1）以root身份登录进入系统

2）查看以下文件：

cat/etc/rc.config.d/auditing相关参数",具有相关设置，记录相关参数,无

,,,,,IBMAIX,"1）以root身份登录进入系统

2）检测分析系统是否对关键文件的读写进行审计

分析/etc/security/audit/objects

命令：

auditquery------查看开启了哪些审计

3）分析以下日志文件信息：

/var/adm/wtmp

/var/adm/utmp或者

/etc/utmp

/var/adm/sulog

/var/adm/btmp/etc/security/failedlogin/tmp/ftplog.out",具有相关设置，记录相关参数,"/var/adm/wtmp是用来记录每次成功登陆的信息的

/var/adm/utmp或者/etc/utmp退出登陆记录

/var/adm/sulog‘+’（加号）表示登录成功，‘-’（减号）表示登录失败

/var/adm/btmp是用来记录每次失败登陆的信息/

etc/security/failedlogin非法和失败登录的记录

/tmp/ftplog.outftp用户使用纪录"

,,c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；,重要,"G2

G3",通用,1）查看日志文件是否满足此项要求,1）日志信息包括该项要求内容,通过记录中的详细信息，能够帮助管理员或其他相关检查人员准确分析和定位时间

,,,,,WindowsXP,1）查看日志文件是否满足此项要求，管理工具->事件查看器,1）日志信息包括该项要求内容,无

,,,,,Windowsserver2000,1）查看日志文件是否满足此项要求，管理工具->事件查看器,1）日志信息包括该项要求内