信息安全等级保护测评指导书

第1章安全管理测评指导书 41.1安全管理机构测评 41.2安全管理制度测评 91.3人员安全管理测评 11.4系统建设管理测评 1.5系统运维管理测评 20第2章物理安全测评指导书 322.1物理安全测评 32第3章网络安全测评指导书 43.1网络全局安全测评 43.2路由器安全测评 473.3交换机安全测评 593.4防火墙安全测评 673.5入侵检测/防御系统安全测评 71第4章操作系统安全测评指导书 4.1wwsows操作系统安全测评 754.2LNUx操作系统安全测评 824.3SouARS操作系统安全测评 924.4AIX操作系统安全测评 第5章应用系统安全测评指导书 5.1应用系统安全测评 5.2IS应用安全测评 5.3APACHE应用安全测评 第6章数据库安全测评指导书 第2页共135页 第3页共135页第1章安全管理测评指导书1岗位设置a)设定管理部，定义各个方面的负责人岗位和职责安全主管，管理机构，部门和各负责人职责：核查各岗位职责范围和技能要求；设置及工作职责定义方面的管理人员岗位名单》b)定义各个岗位和职责(系统、网络、安全管理)安全主管，岗位分工及相关职责；安全主管，最高领导是否由单位主管领导委任或授权的人员担任；工作负责人及其岗位职责；领导小组委员会或日常管理工作的负责人具有单位领导对其最高领导其委任授权书：执行情况的文件或记录；第4页共135页安全管理委员会职责文件。2a)配备系统、网络、安全管理员安全主管，岗位人员配备情况：安全管理人员名单：人员配备要求文档：管理制度》安全管理人员名单；人员配备要求文档：c)关键岗位定期轮岗安全主管，定期轮岗情况。3批(G3)安全主管，关键活动的审批部门，批准人是否得到授权，更新审批项目，审查周期；授权管理文件包括事项列表(审批、双重审批事项、程序),更新审批项目，审查周关键活动的批准人，审批范围，审查程序；第5页共135页审批过程记录，审批程序与文件要求是否一致；人员进入机房审带审批、系统外联审批等)》(外联接入、服务访问、配置变更、采购、外来人员访问和管理)审批的文档是否具有双重批准人的签字和审批部门的盖章：e)不适用的权限应及时取消及时取消授权的记录；审查记录的日期是否与周期一致；授权管理文件包括事项列表(双重审批事项、程序),更新审批项目，审查周期。4作(G3)安全主管，与外单位和其他部门合作内容，沟通、合作方式有哪些；安全主管，部门间协调会议，安全管理机构内部会议，信息安全领导小组例会；安全管理人员，与外单位和其他部门人员主要沟通内容；部门间协调会议文件；《各类会议纪要或记录(部门内、导小组)》安全工作会议文件：c)安全领导小组定期召开指导和信息安全领导小组或委员会，例会会议纪要：第6页共135页外联单位说明文档；外联单位说明文档：外联单位说明文档：g)聘请顾问安全主管，专家顾问是否指导信息安全建设，参与安全规划和安全评审等；安全顾问证明文件，规划和建议的签字。5安全主管，检查周期，定期分析、评审异常行为：安全检查制度文档规定检查内容、检查程序和检查周期等；全检查方面的管制制度》检查过程记录的程序与要求一致；审计分析报告日期、检查、异常问题、分析结果和相应措施；安全员，安全检查包含内容、人员、程序策略和要求，通报形式、范围；第7页共135页第8页共135页1安全主管，制度体系是否有安全政策、安全策略；明确总体目标、范围、方针、原则、责任，安全策略：《信息安全工作管理制度》专家论证文档》覆盖物理、网络、主机系统、数据、应用和管理等层面：重要管理操作的操作规程，如维护手册和操作规程；d)形成安全管理制度体系制度体系是否由安全政策、安全策略、管理制度、操作规程等构成，评审及周期；评审记录日期与评审周期是否一致，评审意见。2布员制定安全主管，是否在信息安全领导小组或委员会负责下统一制定； 的收发登记记录》安全主管，是否按照统一的格式标准或要求制定、论证和审定；管理文档说明制定和发布程序、格式要求及版本；评审记录，评审意见；第9页共135页管理层的签字或盖章，格式统一；收发登记记录，符合规定程序和发布范围要求。3订安全主管，对安全管理制度的评审由何部门、何人负责：管理人员，对安全管理制度的评审、修订程序，维护措施；评审记录，日期与评审周期是否一致，修订记录：列表注明评审周期。流程等方面的管的安全漏洞以及结构发生变更时管理人员，对安全管理制度的审定和修订；评审记录，日期与评审周期是否一致，修订记录；审计记录；安全制度对应相应负责人清单。第10页共135页1人员录用人事负责人，录用人员要求与其职责相对应；人事工作人员，人员录用要求管理文档；《关键岗位安全协议》b)身份、背景、专业资格和资质审查身份、背景、专业资格和资质，签署保密协议，说明工作职责：审查文档，记录审查内容和审查结果：考核内容和结果；人事负责人，录用人员要求与其职责相对应；人事工作人员，人员录用要求管理文档；保密范围、保密责任、违约责任、协议的有效期限和责任人签字；f)关键岗位的人员应从内部人员人事负责人，信用审查，审查周期；信用审查记录；g)从事关键岗位的人员应签署岗岗位安全责任、违约责任、协议的有效期和责任人签字。第11页共135页2人员离岗安全主管，及时终止离岗人员所有访问权限，取回物资；检查安全处理记；人事工作人员，调离手续；保密承诺文档，有调离人员的签字；3社交活动；安全主管，专人负责定期考核；、日期和周期；人事工作人员，惩戒措施：4训(G3)安全主管，以何形式制定安全教育和培训计划，效果如何；和培训方面的管理制度》施等的理解程度；第12页共135页c)制定安全教育和培训计划容包含信息安全基础知识、岗位操作规程；d)制定不同岗位培训计划记录包括人员、内容、结果的描述，记录与培训计划一致。5第三人员安全主管，管理措施，访问前签署安全责任合同书或保密协议；控制方面的管理制度》人员进入机房审带审批、系统外联审批等)》安全管理人员，访问重要区域采取措施，有负责人批准，专人陪同记录并备案管理；书面申请，批准人允许访问的签字；访问管理文档明确范围、访问控制、离开条件。第13页共135页1划分系统方法，确定等级方法参照定级指南的指导，定级结果得到批准；给出等保SxAyGz值，定级结果有批准盖章：报告或定级建议书》系统划分方法和理由；明确系统属性：使命、业务、网络、硬件、软件、数据、边界、人员；d)书面说明等级理由划分系统方法，确定等级方法参照定级指南的指导，定级结果得到批准；给出等保SxAyGz值，定级结果有批准盖章：专家对定级结果的论证意见；划分系统方法，确定等级方法参照定级指南的指导，定级结果得到批准；给出等保SxAyGz值，定级结果有批准盖章：2设计(G3)安全措施，做过哪些调整；全建设工作计划、第14页共135页安全主管，授权专人负责制定总体规划；安全建设工作计划明确近期、远期安全建设计划；总体建设规划书》《前一次测评报 告》全技术框架、安全管理策略、总体建设规划和详细设计方案等；文件进行论证和审定，并经过管理部门的批准；核查相关论证意见；各方案管理层的批准：f)定期调整和修订安全保障体系的配套文件系统建设负责人，安全测评、评估的结果定期调整和修订配套方案，维护周期：各方案的维护记录或修订版本的记录日期与维护周期是否一致。3系统建设负责人，密码产品的使用是否符合国家密码主管部门的要求；安全产品(边界安全设备、重要服务器操作系统、数据库等)是否符合国家的规定：《产品选型、采购第15页共135页暂行规定》;试结果记录》安全主管，何部门何人负责产品采购；的控制方法和人员的行为准则单，审定周期；候选范围，通过招标方式确定采购产品等)和人员行为准则等方面；产品选型测试结果记录、候选产品名单审定记录或更新的候选产品名单。4自行软件开发(G3)立试人员(即二者分离),独立的模拟环境中开发环境与运行环境物理分开；或自我开发方面的管理制度》《与安全服务商或外包开发商签订的服务合同和安全协议》b)文档由专人保管，控制使用开发相关文档(软件设计和开发程序文件、测试数据、测试结果、维护手用人员范围并做使用登记等),测试数据和测试结果是否受到控制；第16页共135页关文档(目录体系框架或交换原形报告》和维护手册等；的签字。5开发(G3)后的服务承诺；软件开发协议，知识产权归属、安全行为等内容；软件开发协议，知识产权归属、安全行为等内容；件中的恶意代码，检测工具是否是第三方的商业产品；计划、程序员培训手册等后期技术支持文档；第17页共135页6系统建设负责人，以书面形式(如工程安全建设协议)约束工程实施方的工程实施行为：覆盖工程实施方的责任、任务要求和质量要求等方面内容，约束工程实施行为；管理方面的管理制度》各种文档，如阶段性工程报告：规定工程实施过程的控制方法(如内部阶段性控制或外部监理单位控制)各种行为等方面内容。7系统正式运行前，根据设计方案或合同要求对信息系统进行独立的安全性测试：记录、报告》对测试过程(包括测试前、测试中和测试后)进行文档化要求和制度化要求；应检查是否具有系统验收报告：测试报告审定；应检查验收测试管理制度是否对系统验收测试的过程控制、参与人员的行为等进行规定；第18页共135页应检查验收测试管理制度是否对系统验收测试的过程控制、参与人员的行为等进行规定。8交接手续，交接清单是否满足合同的有关要求；系统交付清单具有系统建设文档、指导用户进行系统运维的文档以及系统培训手册；或外包开发商签订的服务合同和安全协议》运行维护，培训，技术支持服务，维护的文档；服务承诺书、培训记录；c)提供运维文档系统交付清单具有系统建设文档、指导用户进行系统运维的文档以及系统培训手册：服务承诺书、培训记录；e)制定管理制度明确系统交付的系统交付管理制度，对控制方法和对交付参与人员的行为限制；系统交付管理制度，对控制方法和对交付参与人员的行为限制。9安全主管，专人责管理系统定级，系统属性等文档；录等):文件使用控制记录：第19页共135页主管部门备案的记录或备案文档；公安机关备案的记录或证明；或外包开发商签订的服务合同和安全协议》1责，维护周期：设施维护记录； 管理方面的管理制度》和文档化；第20页共135页覆盖机房物理访问、物品带进、带出机房和机房环境安全等方面；人员)》和验收方面的文工作人员，保证办公环境的保密性要求事项；办公环境管理文档对工作人员离开座位的保密行为(如清理桌面文件和屏幕锁定等)、人员调离办公室后的行为行规定；机房值守人员，采用人工记录和电子记录双重控制：进出登记表。f)对人员行为的规定如终端退出办公环境管理文档对工作人员离开座位的保密行为(如清理桌面文件和屏幕锁定等)、人员调离办公室后的行为行规定；2安全主管，指定资产管理的责任人员或部门，由何部门/何人负责：物理安全负责人，资产管理要求文档化；覆盖资产使用、借用、维护等方面；质安全管理方面覆盖资产责任人、所属级别、所处位置和所属部门等方面：资产管理员，对资产进行赋值和标识管理，不同类别的资产是否采取不同的管理措施；资产清单中的设备有相应标识；第21页共135页类标识的原则和方法(如根据信息的重要程度、敏感程度或用途不同进行分类；3应检查介质管理制度，查看其内容是否覆盖介质的存放环境、使用、维护和销毁等方面；等的登记记录》点行定期检查，是否对介质进行分类和标识管理；介质管理记录，记录介质的存储、归档和借用等情况；用防拆包装置)、选择安全的物理传输途径、双方在场交付等环节的控制；资产管理员，重要介质实行异地存储，异地存储环境是否与本地环境相同；应检查介质，查看是否对其进行了分类，并具有不同标识；f)介质传输过控制第22页共135页用防拆包装置)、选择安全的物理传输途径、双方在场交付地相同，是否有专人对存放地进行管理；应检查介质，查看是否对其进行了分类，并具i)定期进行完整性和可用性检查4资产管理员，设备指定专人或专门部门进行定期维护，周期；件维护方面的管《主机系统、网系统管理员，软硬件维护进行制度化管理；审批作出规定：查看是否具有设备的选型、采购、发放等过程的申报材料和审批报告；资产管理员，设备选用的各个环节(选型、采购、发放等)进行审批控制，对设备带离机构进行审批控制，设备的操作和使用是否要求规范化管理；作原则、注意事项等方面；d)带离设备进行控制作原则、注意事项等方面；审计员，服务器的操作日志，日志文件管理，第23页共135页的监督控制系统管理员，服务器是否进行正确配置，服务5《系统监控、风险《维护汇总》等);c)管理文档、安全配置文档、系监控记录记录监控对象、监控内容、监控的异常现6网络安全管理(G3)件汇报制度》备和应用软件等的监控记录和分安全员，网络安全的管理工作(包括网络安全配置、网络用户、日志等方面)制度化；第24页共135页设备进行过漏洞扫描，对扫描出的漏洞是否及时修补；设备进行过漏洞扫描，对扫描出的漏洞是否及时修补；漏洞扫描报告，覆盖网络存在的漏洞、严重级别、原因分析和改进意见等方面；由何部门/何人批准：定期检查违规联网的行应检查是否具有内部网络外联的授权批准书；应检查在规定的保存时间范围内是否存在网络审计日志；g)规定网络审计日志的保存时间应检查在规定的保存时间范围内是否存在网络审计日志；安全员，网络安全的管理工作(包括网络安全配置、网络用户、日志等方应检查在规定的保存时间范围内是否存在网络审计日志；i)对日志的备份、授权访问、处理、保留时间等方面做出具体规定，使用统一的网络时间第25页共135页为7管理(G3)安全主管，询问是否指定专人负责系统安全管理；安全员，将系统安全管理工作(包括系统安全配置、系统账户、审计日志等)制度化；覆盖系统安全配置(包括系统的安全策略、授权访问、最小服务、升级与补丁)、系统帐户(用户责任、义务、风险、权限审批、权限分配、账户注销等)、审计日志以及配置文件的分析，发现问题如何处理；否及时修补；问权限系统管理员，对系统工具的使用(如脆弱性扫描工具)是否采取措施第26页共135页覆盖系统安全配置(包括系统的安全策略、授权访问、最小服务、升级与补丁)、系统帐户(用户责任、义务、风险、权限审批、权限分配、账户注销等)、审计日志以及配置文件的审计员，规定系统审计日志的保存时间在规定的保存时间范围内是否存在系统审计日志；i)对发现的系统安全漏洞进行及时的修补覆盖系统存在的漏洞、严重级别、原因分析和改进意见等方面；覆盖系统安全配置(包括系统的安全策略、授权访问、最小服务、升级与补丁)、系统帐户(用户责任、义务、风险、权限审批、权限分配、账户注销等)、审计日志以及配置文件的生成、备份、变更审批、符合性检查等方面；8防范管理(G3)工作人员，熟知恶意代码基本的防范手段，主要包括哪些；第27页共135页覆盖系统安全配置(包括系统的安全策略、授权访问、最小服务、升级与补丁)、系统帐户(用户责任、义务、风险、权限审批、权限分配、账户注销等)、审计日志以及配置文件的生成、备份、变更审批、符合性检查等方面；《恶意代码检测、升级记录和分析c)专人负责检测系统运维负责人，专人对恶意代码进行检测，并保存记录；d)明确规定防范软件使用况汇报等)制度化，对其执行情况是否进行检查，周期；是否对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等方面作出规定；等内容：查看分析报告是否描述恶意代码的特征、修补措施等；理(统一升级、检测、分享等)是否对恶意代码库的升或恶意代码是否进行及时分析处理，并形成书面报表和总结汇报；具有恶意代码集中防范管理中心。9国家密码管理规定密码算法和密钥的使用是否遵照国家密码管理规定。系统运维负责人，制定变更方案指导系统执行变更，变更是否要求制度化管理；系统运维负责人，对变更类型、变更原因、变更过程、变更前评估等方面进行说明： 第28页共135页况是否通知了所有相关人员，以何种方式通知：更管理制度覆盖变更前审批、变更过程记录、变更后通报等方面内容；系统的变更申请书，是否有主管领导的批准。《变更方案评审记录和变更过程《变更申请书》c)系统变更情况向所有相关人员系统运维负责人，制定变更方案指导系统执行变更，变更是否要求制度化管理；期等内容，数据备份和恢复策略是否文档化；面的管理制度》b)规定备份方式、备份频度(、备份方式、频度、介质、保存期的文档；方法等方面；长时间检查一次；等操作流程。第29页共135页处置(G3)及时报告告知用户在发现安全弱点和可疑事件，记录并保存；和处置方面的管理制度》安全检查的检查表和安全检查报对安全事件处置制度化管理；单位(人)、接报单位(人)和处置单位等职责；对系统的影响程度划分不同等级，划分为几级；描述等方面内容；e)记录并保存所有报告的安全弱管理(G3)是什么,多长时间举办一次；《应急预案培训、应急预案培训记录，演练记录和审查记录；第30页共135页e)规定预案中需审查和更新的内容更管理制度覆盖变更前审批、变更过程记录、变更后通报第31页共135页第2章物理安全测评指导书1选择(G3)防震、防风、防雨能本的防震、防风和防雨能力。检查：位置选择是否符合要求。雨能力要求。层或地下室，远离用水设备；检查：的下层或隔壁：1.机房没有在建筑物的高层或地下室，附近无用水设的打印机和显示器；检查：的隐蔽位置。不易被无关人员看到；第32页共135页2制(G3)排专人值守；有专人值守机房，进入机房有记录。批和监控的措施；流程，是否限制和监控其活动范围；c)划分区域；对机房进行划分区域管理：1.不同区域设置不同机房；(如隔墙)。禁系统控制之外的出入口；够鉴别进入人员身份；2.没有除电子门禁系统控制之外的出入口。第33页共135页3防盗窃和防破坏(G3)固定、设置标记；上锁。固定并标识；访谈机房维护人员，设备和主要部件是否进行了固定和标记；的标记。c)隐蔽通信线缆；冗余或并行的通信线路；检查通信线缆铺设是否在隐蔽处(如铺设在地下或线路。出应受控和加密保放在介质库或档案室中；在介质库或资料室中并且进行分类存放(满足磁介质、纸介质等的存放要求);放环境满足不同介质的存放需求；后方可允许。第34页共135页警系统；询问机房维护人员，采用了何种技术设置机房防盗报警系统；检查机房防盗报警设施是否正常运行，并查看运行记录。f)设置监控报警系询问机房维护人员，采用了何种机房监控报警系统；行、监控和报警记录。4防雷击(G3)a)避雷装置；置是否有人定期进行检查和维护；《建筑物防雷设计规范》(GB157《建筑物防雷设计规范》部门的技术检测；2.定期对避雷装置进行检查和维护。感应雷；第35页共135页c)交流电接地：访谈：检查：的描述，与实际情况是否一致。文档中关于地线连接要求的描述一致。5防火(G3)a)自动消防系统；访谈：火情、自动报警、自动灭火的自动消防系统；度和消防预案，是否进行了消防培训；报告并得到排除；和自动消防系统(喷水不适用于机房):检查：检查机房是否设置了自动测火情(如使用温感、烟感探测器)、自否合格；检查和维修记录；防配置状况一致。自动消防系统；b)耐火建材；检查：收文档。文档。第36页共135页c)区域隔离；检查是否有机房区域隔离防火措施的验收文档；6防水和防潮访谈物理安全负责人，询问机房建设是否有防墙壁和楼板的水管是否采取了保护措施，如设置套管；1.机房屋顶和活动地板下没有水管穿过；2.有水管穿过，但水管设置有套管防止漏水。b)防止雨水渗透；询问机房维护人员，机房是否出现过漏水和返潮事件；机房及其环境是否不存在明显的漏水和返潮的威胁；和返潮现象。第37页共135页和积水转移破坏；理记录和除湿装置运行记录，与机房湿度记录情况是除湿装置运行正常。d)安装防水检测和报警装置；防水检测和报警装置运行正常。7防静电(G3)a)设备接地；有控制机房湿度的措施；是否一致；检查机房是否有安全接地，查看机房的相对湿GB2887中的规定，查看机房是否不存在明显机房湿度满足需求，设备有接地。b)防静电地板：电措施；机房安装了牢固的防静电地板。第38页共135页8温湿度控制a)温湿度调节设施；访谈：了温湿度控制的要求，是否有人负责此项工作；节设施，询问是否出现过温湿度影响系统运行的事件；检查：需要，是否与当前情况相符合：场地技术条件》的要求。9电力供应防护设备；访谈：器和过电压防护设备；和维护；检查：看与机房电力供应实际情况是否一致；是否正常运行，查看供电电压是否正常：系统正常运行的要求。计算机系统单独配备了稳压器和过电压设备。第39页共135页力供应；访谈：是否能够控制电源稳压范围满足计算机系统运行正常；检查：备用电源设备要求，查看与机房电力供应实际情况是否一致；常运行，查看供电电压是否正常；常运行的要求。第40页共135页c)冗余电路；或并行的电力电缆线路(如双路供电方式);在双路供电切换时是否能够对计算机系统正常供电；余或并行电力电缆线路要求，查看与机房电力供应实际情况是否一运行的要求；测试安装的冗余或并行电力电缆线路是否能够统供电正常。第41页共135页用供电系统；访谈：供电系统(如备用发电机);询问机房维护人员是否定期检查备用供电系统(如备用发电机),是否能够在规定时间内正常启动和正常供电；检查：用供电系统要求，查看与机房电力供应实际情况是否一致；电磁防护a)安全接地；访谈：干扰的措施(如设备外壳有良好接地):检查：况是否一致；检查机房设备外壳是否有安全接地。线缆隔离；访谈：免互相干扰；检查：检查机房布线是否做到电源线和通信线缆隔离。第42页共135页磁屏蔽；泄露的措施；器；屏蔽辐射。第43页共135页第3章网络安全测评指导书1能力具备冗余空网络设备性能满足需求。访谈：询问是否合理分配带宽；检查：针对Cisco设备，输入showrunning-confi有专用带宽管理设备或存在如下配置：检查：是否配置路由控制策略建立安全的访问路径。存在如下配置：配置项：iproute255.2配置项：检查：查看网络拓扑图与当前运行情况是否一致。网络拓扑图与当前运行情况一致。第44页共135页检查：是否进行了子网划分。检查配置文件中是否出现类似如下配置项：存在如下配置：重要网段不在网络边界处并与其他网段隔离部署。检查：是否配置了对带宽进行控制的策略。检查配置文件中是否存在类似如下配置项：有专用带宽管理设备或存在如下配置：2法内联"设备；访谈：询问如何检查和阻断"非法内联"行为。检查：绑定等技术手段检查和阻断"非法内联":在网络管理员配合下验证有效性。未经授权的设备或用户无法接入内网。法外联"设备和用访谈：询问如何检查和阻断"非法外联"行为。检查：在网络管理员配合下验证有效性。未经授权的设备或用户无法连接外网。3访谈：访谈是否部署了包含入侵防范功能的设备。和网络蠕虫攻击等攻击行为进行检测。第45页共135页录和报警。有针对攻击行为的记录和报警，设备特征库为最新版本。4防范(G3)测和清除；访谈：访谈是否部署了防恶意代码产品。中是否有相关阻断信息。部署了防恶意代码产品并启用了检测和阻断功能。升级和更新：访谈：询问是否进行特征库升级及具体的升级方式。检查：登录并查看相关设备的特征库是否为最新版本。特征库为最新版本。c)统一管理。检查：检查防恶意代码产品是否支持统一管理(如支持统一管理。第46页共135页思科路由器1行日志记录；检查配置文件中是否存在类似如下配置项：b)分析记录数据，生成审计报表；访谈：访谈并查看如何实现审计记录数据的分析和报表生成。d)保护审计记录。访谈：访谈是否避免了审计日志的未授权修改、删除和破坏。检查配置文件中是否存在类似如下配置项：2的访问控制功能；路由器上启用了访问控制功能。检查配置文件中是否存在以下类似配置项：第47页共135页服务；流入流量过滤：过滤掉源地址IP不是公网IP的数据包；流出流量过滤：只允许源地址IP地址是公司内部directed-broadcast,noipdomain-lookup等。存在类似如下配置：路由器一些不需要的服务都关闭。流量数及网络连及网络连接数；如限制主机的最大连接数为200,有专用的带宽管理设备来实现网络流量的控制；或地址欺骗；存在类似如下配置：第48页共135页用户对受控系统的资源访问；检查配置文件中是否有类似如下VPN相关配置项：VPN和远程用户访问受控资源需经过认证，存在类cryptoipsectransfo访问权限的用户检查：输入命令showrunning检查配置文件中是否存在类似如下配置项：限制VPN和远程拨号用户的数量，存在类似如下配置：第49页共135页3网络设备防护(G3)检查：输入命令showrunning3)如果设备启用了AAA认证，查看配置文件tacacs-serverhost192.或radius-serverhost192.168.1存在类似如下配置：tacacs-serverhost192.或radius-serverhost192.168.1检查：输入命令showrunning存在类似如下配置：第50页共135页c)用户标识唯一；检查：输入命令showrunning检查配置文件是否存在类似如下配置项：usernameadminprivusernameuserprivi存在类似如下配置：usernameadminprivusernameuserprivilegeI上身份鉴别技术；两种认证方式同时作用鉴别身份。e)身份鉴别信息访谈：询问网络管理员使用口令的组成、长度和更改周期等。检查：输入命令showrunning检查配置文件中是否存在类似如下配置项：配置：处理功能；检查：输入命令showrunning检查配置文件中是否存在类似如下配置项：存在类似如下配置：理方法；访谈：询问是否采用安全的远程管理方法。检查：输入命令showrunning查看配置文件中是否存在类似如下配置项：使用SSH或SSL等安全的远程管理方法，存在第51页共135页分离。存在类似如下配置：4复(A3)备份与恢复；检查：输入命令showrunning存在类似如下配置：备份功能；扑结构；拓扑结构冗余。设备硬件冗余。华为路由器1行日志记录；检查：输入命令displaycurrent-config检查配置文件中是否存在类似如下配置项：存在类似如下配置：第52页共135页生成审计报表；访谈：访谈并查看如何实现审计记录数据的分析和报表生成。访谈：访谈是否避免了审计日志的未授权修改、删除和破坏。检查配置文件中是否存在类似如下配置项：2的访问控制功能；输入命令displaycurrent-config检查配置文件中是否存在以下类似配置项：第53页共135页服务；检查：输入命令displaycurrent-config检查配置文件中是否存在类似如下配置项：流入流量过滤：过滤掉源地址IP不是公网IP的数据包；流出流量过滤：只允许源地址IP地址是公司内部被转发出去。关闭掉路由器的一些不需要的服务，domain-lookup等。存在类似配置，路由器一些不需要的服务都关闭。流量数及网络连及网络连接数；检查：检查路由器配置，输入命令displaycurrent-config如限制主机的最大连接数为200,存在类似如下配置项：connection-limitpolicy0natconnection-limit-policy0来实现网络流量的控制。有专用的带宽管理设备来实现网络流量的控制；第54页共135页存在类似如下配置：用户对受控系统检查：输入命令displaycurrent-configVPN和远程用户访问受控资源需经过认证，存在访问权限的用户检查：输入命令displaycurrent-config限制VPN和远程拨号用户的数量，存在类似如下配置：第55页共135页3网络设备防护(G3)检查：输入命令displaycurrent-configuser-interfacevty04authentication-modepauthentication-modepsetauthenticationpas2)使用cipher命令为特权用户设置口令，如：super3)如果设备启用了radius认证，查看配置User-interfacevty04primaryauthenticatio存在类似如下配置：tacacs-serverhost192.或radius-serverhost192.168.1检查：输入命令displaycurrent-configuser-interfacevty04检查：输入命令displaycurrent-co上身份鉴别技术；两种认证方式同时作用鉴别身份。e)身份鉴别信息访谈：询问网络管理员使用口令的组成、长度和口令组成满足复杂性和长度要求并定期更新，存在类似如下配置：处理功能；检查：输入命令displaycurrent-configuser-interfacevty04理方法；检查：输入命令displaycurrent-config使用SSH或SSL等安全的远程管理方法，存在user-interfacevty04第57页共135页检查：输入命令displaycurrent-config检查配置文件中是否存在类似如下配置项：4复(A3)备份与恢复；访谈：访谈设备配置文件备份策略。扑结构；存在单点故障。检查：查看主要路由器是否有硬件冗余。第58页共135页1行日志记录；检查：输入命令displaycurrent-config检查配置文件中是否存在类似如下配置项：存在类似如下配置：生成日志记录的报表。生成审计报表；访谈：访谈并查看如何实现审计记录数据的分析和报表生成。启用了日志功能。访谈：访谈是否避免了审计日志的未授权修改、删除和破坏。检查：输入命令displaycurrent-config检查配置文件中是否存在类似如下配置项：授权。2输入命令displaycurrent-config检查配置文件中是否存在以下类似配置项：存在类似如下配置：第59页共135页检查：输入命令displaycurrent-config检查配置文件中是否存在类似如下配置项：存在类似如下配置：有专用的带宽管理设备来实现网络流量的控制或有相关Q0S地址欺骗；检查：输入命令displaycurrent-config检查配置文件中是否存在类似如下配置项：存在类似如下配置：3网络设备防护(G3)检查：输入命令displaycurrent-config1)查看配置文件，是否存在类似如下登录口令设置：setauthenticationpa2)如果设备启用了AAA认证，查看配置存在类似如下配置：setauthenticationp第60页共135页检查：输入命令displaycurrent-config查看配置文件里是否存在类似如下配置项：存在类似如下配置：c)用户标识唯一；检查：输入命令displaycurrent-config检查配置文件是否存在类似如下配置项：passwordcipherOWE!$QJG]0Q=^QMAF4<存在类似如下配置：passwordcipherOWE!$@JG]0Q=^QMAF4<d)两种或两种以两种认证方式同时作用鉴别身份。e)身份鉴别信息访谈：询问网络管理员使用口令的组成、长度和更改周期等。检查：输入命令displaycurrent-config检查配置文件中是否存在类似如下配置项：passwordcipherWE!$@口令组成满足复杂性和长度要求并定期更新；密码密文显示，举例如下：passwordcipherWE!$@处理功能；检查：输入命令displaycurrent-config检查配置文件中是否存在类似如下配置项：存在类似如下配置：第61页共135页理方法；检查：输入命令displaycurrent-config分离。检查：输入命令displaycurrent-config存在多个不同权限用户，做到权限分离，如下配置：4复(A3)备份与恢复：定期备份配置文件和设备软件。备份功能；使用了异地备份功能。扑结构：拓扑结构冗余。设备硬件冗余。第62页共135页1行日志记录；检查配置文件中是否存在类似如下配置项：存在类似如下配置：生成日志记录的报表。生成审计报表；访谈：访谈并查看如何实现审计记录数据的分析和报表生成。启用了日志功能。访谈：访谈是否避免了审计日志的未授权修改、删除和破坏。检查配置文件中是否存在类似如下配置项：授权。2启用了访问控制功能。检查配置文件中是否存在以下类似配置项：存在类似如下配置：第63页共135页关闭掉交换机默认开启的一些实际使用中不directed-broadcast,noip存在类似如下配置：交换机一些不需要的服务都关闭。流量数；有专用的带宽管理设备来实现网络流量的控制或有相关QOS地址欺骗；存在类似如下配置：3网络设备防护(G3)检查：输入命令showrunning3)如果设备启用了AAA认证，查看配置文件tacacs-serverhost192.或radius-serverhost192.168.1存在类似如下配置：tacacs-serverhost192.或radius-serverhost192.168.1b)登录地址限制；检查：输入命令showrunning存在类似如下配置：c)用户标识唯一；检查：输入命令showrunningusernameadminprivusernameuserprivi存在类似如下配置：usernameadminprivusernameuserprivilegeI第65页共135页两种认证方式同时作用鉴别身份。e)身份鉴别信息访谈：询问网络管理员使用口令的组成、长度和更改周期等。检查：输入命令showrunning检查配置文件中是否存在类似如下配置项：配置：处理功能；检查：输入命令showrunning检查配置文件中是否存在类似如下配置项：存在类似如下配置：访谈：询问是否采用安全的远程管理方法。检查：输入命令showrunning查看配置文件中是否存在类似如下配置项：检查：输入命令showrunning检查配置文件中是否存在类似如下配置项：存在类似如下配置：4复(A3)访谈：访谈设备配置文件备份策略。检查：是否定期备份配置文件和设备软件。定期备份配置文件和设备软件。第66页共135页备份功能；使用了异地备份功能。拓扑结构冗余。设备硬件冗余。1行日志记录；检查配置文件中是否存在类似如下配置项：存在类似如下配置：生成审计报表；访谈：访谈并查看如何实现审计记录数据的分析和报表生成。生成日志记录的报表。第67页共135页启用了日志功能。访谈：访谈是否避免了审计日志的未授权修改、删除和破坏。检查配置文件中是否存在类似如下配置项：授权。2了访问控制功能。检查配置文件中是否存在以下类似配置项：存在类似如下配置：检查：防火墙配置了合理的访问控制策略。检查：协议的内容过滤配置。存在类似如下配置：d)会话控制；检查：检查配置文件中是否存在以下类似配置项：存在类似如下配置：第68页共135页检查：检查配置文件中是否存在以下类似配置项：存在类似如下配置：地址欺骗；检查：检查配置文件中是否存在以下类似配置项：存在类似如下配置：统资源访问控制；检查：是否有远程VPN访问用户，远程用户访问收控资源有无控制对远程VPN访问用户限制了访问范围，如：访问权限的用户检查：当有远程VPN访问用户时，限制可访问的用户数存在类似如下配置：vpngrouptestvpn-simultaneous-logins3网络设备防护(G3)检查：检查配置文件中是否存在以下类似配置项：usernameciscopass或存在类似如下配置：usernameciscopass或b)登录地址限制；检查：检查配置文件中是否存在以下类似配置项：存在类似如下配置：第69页共135页c)用户标识唯一；检查：检查配置文件中是否存在以下类似配置项：usernameciscopassusernamepixpassword**帐号专用，不存在混用现象，存在类似如下配置：usernameciscopasswusernamepixpassword**d)两种或两种以上身份鉴别技术；检查：查看用户的认证方式是否选择两种或两种以上组合的鉴别技术。一种技术无法认证成功。e)身份鉴别信息访谈：杂度等。口令满足复杂性和长度要求，并定期修改。处理功能；检查：检查配置文件中是否存在以下类似配置项：存在类似如下配置：检查：检查配置文件中是否存在以下类似配置项：检查：检查配置文件中是否存在以下类似配置项：usernameciscopassusernameguestpassword******privilege2存在不同权限用户，类似如下配置：usernameciscopassusernameguestpassword******privilege24复(A3)备份与恢复；访谈：访谈设备配置文件备份策略。定期备份配置文件和设备软件。第70页共135页备份功能；使用了异地备份功能。扑结构；拓扑结构冗余。设备硬件冗余。3.5入侵检测/防御系统安全测评1行日志记录；检查：1、登录天阗IDS的管理控制中心，鼠标选中引擎>>右键>>选择属性>>系统状态界面，查看引擎设备的运行状态；2、登录天阗IDS的管理控制中心，点击界面下签页，查看当前网络流量曲线；心界面选择用户操作日志，可查询用户操作状态记录；2."业务曲线"标签页，有当前网络流量曲线记录；是否成功等；检查：查看天阗IDS的综合显示中心，可以看到IDS的报警信息所包含日期和时间、用户、事件类型、事件是否成功等信息。第71页共135页生成审计报表；检查：查看天阗IDS的日志分析中心，在日志管理>>日志分析中心界选择"用户操作日志”可查询用户操作的历史记录，选择“入侵检日志管理>>日志分析中心界面，选择"用户操作日志"可查询检查：登陆天阗IDS,在开始菜单启动用户管理器，以完成对用户日志的审计，发现被篡改过的用户日志。2检查：检查IPS是否启用访问控制功能。IPS启用访问控制功能。检查：登录天清NIPS,在防火墙>>安全策略界面，查看是否配置了合理的访问控制策略。在防火墙>>安全策略界面，配置了合理的访c)内容过滤；检查：登录天清NIPS,在应用过滤>>WEB过滤界面的内容过滤策略。在应用过滤>>WEB过滤界面，启用了合理的内容过滤策d)会话控制；检查：登录天清NIPS,在系统管理>>会话管理界面的会话超时管理策略。在系统管理>>会话管理界面，配置了合理的检查：登录天清NIPS,在系统管理>>会话管理界面的网络最大流量数及网络连接数策略。检查：登录天清NIPS,在防火墙>>防ARP攻击界面，防欺骗攻击或防ARPFlood攻击策略。激活"IP/MAC绑定"标签，还可以进行IP/MAC绑定设置。1.在防火墙>>防ARP攻击界面，启用了ARP防欺骗攻击或防ARPFlood攻击策略；2.激活“IP/MAC绑定”标签，有相关的IP/M第72页共135页3网络设备防护(G3)检查：控制中心登录的默认用户ID和密码已经被修改。b)登录地址限制；天阗设备一般不需要登录地址限制。c)用户标识唯一；检查：登录天阗IDS的用户管理中心，检查用户ID是否存在相同的情登录天阗IDS的用户管理中心，不存在相同的用户Id)两种或两种以检查：的设备。生成的动态口令，只有静态密码则登录失败。e)身份鉴别信息检查：复杂度要求等。用户名、口令符合复杂度要求并定期修改。处理功能；检查：在用户管理器中，点击"登录失败处理"按钮，查理的设置。理设置。理方法；访谈：询问如何进行安全的远程管理。使用了安全的SSH和SSL等远程管理方法。分离。检查：在用户管理器中，不同用户的权限分配不同。第73页共135页4复(A3)备份与恢复；检查：在天阗IDS的“日志维护”窗口，检查是否配置了和恢复的功能。在天阗IDS的"日志维护"窗口，配置了相应复功能。备份功能：检查：在天阗IDS的“日志维护”>>"手动维护”窗口，查看是否配置了远程备份服务器的IP。在天阗IDS的"日志维护”>>"手动维护"窗扑结构：检查：方式，发生设备故障时一般采取直通方式，不会果存在多条链路，应检查每条链路是否都部署了入侵防御d)提供硬件冗余。第74页共135页第4章操作系统安全测评指导书4.1windows操作系统安全测评1身份鉴别1)查看"管理工具-计算机管理-本地用户和组"中用身份标识和鉴别1)访谈系统管理员，系统用户是否已设置密码，并查看登录过程中系统账户是否使用了密码进行验证登录；为混合认证方式；用户也必须输入1.采用了其他身现场演示。管理用户身份标识不被冒用1)查看“运行gpedit.msc,打开组策略编辑器-windows设置-用密码可逆加密等6项。口令的长度、复杂了相关要求第75页共135页1)查看“运行gpedit.msc打开组策略编辑器-windows设置-安全设置-账户锁定策略”,记录账户锁定阀值、账户锁定时间等2项。1.数据库采用了失败鉴别和超时设置。手工检测：询问管理员是否使用证书等方式对设备身份进行鉴别。式1.确认操作系统版本；2.确认终端服务器使用了SSL加密；3.确认RDP客户端使用SSL加密。的加密方式。1.启用了“强制协议密码”。第76页共135页2自主访问控制1、选择%systemdrive%\windows\system、%systemroot%\system32\config、等相应的文件夹，右键选择“属性">"安全",查看everyone组、users组和adminis限设置：记录everyone组、users组和administrators组的权限设2、在命令行模式下输入netshare,查看共享；并查看注册表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSettrol\Lsa\restrictanonymous值是否为"0"(0表示共享开启)。记录默认共享是否开启。期的账号和无用的账号等；访问控制列表中的用户和权限，是否与安全策略相一致。问控制列表的属性相同最小授权原则，且相互制约2.查看用户分组情况，记录用户分组情况；3.权利指派。运行“gpedit.msc打开组策略1.每个登陆用户的权限未超出该第77页共135页结合系统管理员的组成情况，判断是否实现了该项要求。1)首先确认不存在多人共用一个账户的情况；2)其次每个管理员账户应只负责管理某一方面的内容，不能同时管理操作系统和数据库。1.特权用户对应于不同的管理员。限制默认用户访问权限1)“我的电脑”-“管理"-"本地用户和组”,检查没有被禁用的用户名和组。2)查看默认用户名是否重命名3)查看guest等默认账户是否已禁用。默认用户无访问查看是否有多余的、过期的账户，避免共享账户，进行记录。1.不存在多余的、3制2.询问系统管理员是否对重要信息资源设置敏感标记。1.采取了强制访限等。识等安全功能密切配合，并且控制粒度达到主体为用户级，客体为文件和数据库表4功能开启查看系统是否开启了审计功能；访谈：询问并查看是否有第三方审计工具或系统。1.审计功能已开启，且每个注册的“审核级别”为第78页共135页使用“全部”:志记录功能正常；"事件查看器”-“安全性",查看日志文件是否包含相关要素。审计记录包含重资源异常和重要系统命令的使用(如XP_CMDSHELL记录。审计报表访谈并查看对审计记录的查看、分析和生成审计报表情况。件指定实时报警方式(如声音、EMAIL、短信等),并查看对应措式审计进程保护Windows系统具备了在审计进程自我保护方面功能。具有审计进程自审计记录保护访谈是否采取专用日志服务器等措施，对审计记录进行存储、备份和保护。5护运行“gpedit.msc打开组策略编辑器-windows设置-安全设置-本地策略-安是否选中"不显示上次登录用户名"。第79页共135页1)清除虚拟内存页面；2)运行“gpedit.msc打开组策略编辑器-windows设置-安全设置-本地策看是否选中“关机前清除虚拟内存页面”和"用可还原的加密6主机IDS1)询问系统管理员是否经常查看系统日志并对3)询问并查看是否有第三方入侵检测系统，如IDS.析1、查看目前系统中运行的服务如：AlertService、Messenger、TaskScheduler是否已启动；2、访谈并查看系统补丁升级方式，以及最新的始">"设置">"控制面板">"添加删除程除程序”,按照记录的系统安全补丁编号KBxxxxxx;3.记录系统中多余和危险的服务，记录系统补丁升级方式和已安装最新和危险的服务、系7范防病毒软件，病毒库更新是否及时，更新周期，主机和网络防范软件代码库不同询问系统管理员网络防病毒软件和主机防病毒软件分别采询问系统管理员是否采用统一的病毒更新策略第80页共135页8资源控制1.询问并查看系统是否开启了主机防火墙或TCP/IP筛选功能；2.询问并查看是否通过网络设备或防网络火墙实现了此项要求。能1.查看登陆终端是否开启了带密码的屏幕保护功能；1.询问系统管理员是否经常查看主机资源利用情况；2.询问是否有第三方工具实现上述要求。访谈，手工检查：访谈并检查用户磁盘配额的设置。访谈，手工检查：1.询问管理员日常如何监控系统服务水平；2.若有第三方监控程序，询问并查看它是否有相关功能。标9访谈：是否有备份机制，查看备份功能的实现方式是否可行，参考以下备份方式：1.本地备份、本地保存的冷备；2.本地备份、异地保存的冷备；3.本地热备份站点备份；4.异地活动互援备份。第81页共135页4.2Linux操作系统安全测评1身份鉴别查看用户名和对应的uid,确认是否存在相同uid的账户；来验证/etc/passwd和/etc/shadow文件的完整性。1)不存在相同uid的用户；2)/etc/passw身份标识和鉴别查看文件中各用户名状态，记录密码一栏为空的用户名。鉴别、令牌、动态口令等。管理用户身份标识不被冒用访谈：访谈系统管理员，口令是否遵循一定的安全策略：查看该文件中对口令长度、复杂性和定期更新的定义，记录全部输出。记录内容应包括PASS_MAX_DAYS、PASS_MIN_DAYS、PASS_MIN_LEN。第82页共135页#cat/etc/pam.d/syst查看该文件的内容，利用pam可以对用户/etc/pam.d/system-auth文件中是否存在"accountre/lib/security/pam_tally.sodeny=3访谈：询问管理员是否使用证书等方式对设备身行身份鉴别。在root权限下，使用命令查看是否运行了s应保证使用加密的网络协议进行远程管理，放弃使用telnet没有使用议。第83页共135页2自主访问控制手工检查：在root权限下，查看文件权限是否满件。操作。库表、视图、存储过程和触发器等)的所有者是否可以改变其相应访问控制列表的第84页共135页最小授权原则，且相互制约制约。访谈：结合系统管理员的组成情况，判断是否实现了该项要求。手工检查：查看是否有多余的、过期的账户，避免共享账户，进行记录。限制默认用户访问权限查看密码文件的内容，记录没有被禁用的系统默认用户名。限合理控制。3强制访问控制手工检查：感标记功能；2.询问系统管理员是否对重要信息资源设置敏感标记。符合强制访问要求，且有明确配置或文档。符合强制访问要求，且有明确配置或文档。粒度：主体为用户级客体为文件、体为文件和数据库表级。符合强制访问要求，且有明确配置或文档。第85页共135页4功能开启工具或系统则记录其运行状态是否正常。2)查看是否启用如下配置：#grep"@priv-ops"/etc/audit/filt#grep"@mount-ops"/etc/audit/filt#grep"@system-ops"/etc/audit/filt审计内容：重要用户行为、系统资用手工检查：在root权限下，查看auditd#cat/etc/audit/audi记录其内容。Audit.rules的规则可以查看manauditct1,确认重要的行为是否得到记录。到审计。审计记录：日期和时间、类型、主手工检查：1)检查audit日志文件，默认位置是/var/log/audit/audit是否包含了必要的审计要素。2)若有第三方审计工具或系统，则查看其审计日志是否包括必要的审计要素。审计记录包含各要素。审计报表访谈，核查：访谈并查看对审计记录的查看、分析和生成审计报表情况。备份。审计进程保护访谈：1.访谈对审计进程监控和保护的措施。2.Auditd是Linux中的审计守护进程，syslogd是Linux中的日志守护进程，因此可以通过services命令查看其状态。审计记录保护1.在root权限下，查看日志访问权限：ls-la/var/log/audit.d#cat/etc/audit/auditd记录全部输出，重点检查num_logs、max_log_file、max_log_file_action、disk_full_action、disk_error_action等字段。5生。行。6访谈，核查：访谈系统管理员，并检查Linux操作系统维护手册：查用户的鉴别信息存储空间，被释放或再分配给其他用户前的处理方法和过程。被彻底清除。第87页共135页手工检查：检查Linux操作系统维护手册：系统内的文件、目录等空间，被释放或重新分配给其他用户前的处理方法和过程。被彻底清除。7记录。访谈：系统资源阀值告警。够报警。访谈：非法进程监视和控制。警。访谈：监视和管理账户变化。告警。第88页共135页主机IDS令2.查看是否开启了iptable防火墙、TCPSYN保护机制等3.可执行命令：find/-name<daemonname>-print检查是检测软件：LogcheckbyPsionicSoftware、RealSecureagentbyISS;4.是否具备rootkit检查工具，定期进行rootkit检查；5.询问是否有第三方入侵检测系统，如IDS,是否开启用了IDS功备份。1)确认系统目前正在运行的服务：#service-status-a确认是否已经关闭危险的网络服务如echo、shell、login、finger、r命令等。关、ntalk、pop-2、Sendmail、Imapd、Pop系统遵循最小新的原则。8防病毒软件，病毒库更新是否及时，更新周期，置。第89页共135页主机和网络防范软件代码库不同访谈：询问系统管理员网络防病毒软件和主机防病毒软件分别采用什么病毒库。毒库不相同。访谈：询问系统管理员是否采用统一的病毒更新策略和查杀策略。防恶意代码软统一管理。9资源控制访谈：制，并进行核查。限制。行控制。手工检查：1)查看并记录/etc/security/limit和/etc/pam.d/login,可以对系统资源进行限制。2)查看是否采用防火墙等机制对网络连接数进行限制。限制系统的最数行控制。手工检查：1)查看并记录/etc/security/limit和/etc/pam.d/login,可以对系统资源进行限制。2)查看是否采用防火墙等机制对网络连接数进行限制。限制一个时间话连接数。第90页共135页手工检查：1)记录/etc/hosts.deny、/etc/hosts.allow中相关/etc/hosts.deny中是否有"AL2)若有其他的方式实现此项要求的，如通过路由ACL、防火墙配置等，亦记录。手工检查：查看并记录/etc/profile中的TMOUT环境变量，查看用户目录中的.bash_rc、.bash_profile文件中的TMOUT环境变量。同一用户账号同一时间内并发登录手工检查：查看并记录/etc/security/limit和/etc/pam.d/login,利以对同一用户在同一时间并发登录进行限制。制。手工检查：查看并记录/etc/security/limits.conf,其中参数npro进程数。使用进行限访谈，手工检查：1.了解系统账户的资源分配情况，查看各个分区磁盘占用情况：#df-k,询问高峰期CPU和内存使用情况，询问管理员日常如何监控系统服务水平：2.若有第三方监控程序，询问并查看它是否有相关功能。行日常检测，第91页共135页可用，如nice、renice命令。手工检查：查看并记录/etc/security/limit和/etc/pam.d/login,利以对不同用户的进程优先级进行限制。区分不同进程的优先级，保2.本地备份、异地保存的冷备：3.本地热备份站点备份；4.异地活动互援备份。复措施，并能提供过程文档4.3Solaris操作系统安全测评第92页共135页1身份鉴别查看用户名和对应的uid,确认是否存在相同uid的账户：来验证/etc/passwd和/etc/shadow文同uid用户。身份标识和鉴别查看文件中各用户名状态，记录密码一栏为空管理用户身份标识不被冒用对用户管理启略。第93页共135页访谈：询问管理员是否使用证书等方式对设备身行身份鉴别。没有使用议。2自主访问控制手工检查：在root权限下，查看文件权限是否合理。操作。否与安全策略相一致。第94页共135页库表、视图、存储过程和触发器等)的所有者是否可以改变其相应访问控制列表的属性，得到授权的用户是否可以改变相应客体访问控制列表最小授权原则，且相互制约制约。访谈：结合系统管理员的组成情况，判断是否实现了该项要求。手工检查：查看是否有多余的、过期的账户，避免共享账户，进行记录。限制默认用户访问权限查看密码文件的内容，记录没有被禁用的系统默认用户名。限合理控制。3强制访问控制手工检查：感标记功能；2.询问系统管理员是否对重要信息资源设置敏感标记。符合强制访问要求，且有明确配置或文档。符合强制访问要求，且有明确配置或文档。粒度：主体为用户级客体为文件、体为文件和数据库表级。符合强制访问要求，且有明确配置或文档。第95页共135页4功能开启记录日志服务和安全审计服务是否开启；2)是否启用了BSM安全审计机制；3)若有第三方审计工具或系统则记录其运行状态是否正常。审计内容：重要用户行为、系统资用手工检查：在root权限下，查看auditd服务的配置文件，即/etc/secu到审计。审计记录：日期和时间、类型、主手工检查：1)根据syslog.conf中审计日志文件位置的定义，查看文件，确认是否记录了必要的审计要素。2)如果开启了BSM,则可以通过#praudit/var/audit/xxxxxx.XXxXxx.的日志进行查看。3)若有第三方审计工具或系统，则查看其审计日志是否包括必要的审计要素。审计记录包含各要素。审计报表访谈，核查：访谈并查看对审计记录的查看、分析和生成审计报表情况。备份。审计进程保护访谈：访谈对审计进程监控和保护的措施。保护措施。第96页共135页审计记录保护5生。行。6访谈，核查：访谈系统管理员，并检查solaris操作系统维护手册：确用户的鉴别信息存储空间，被释放或再分配给其他用户前的处理方法和过程。被彻底清除。手工检查：检查solaris操作系统维护手册：系统内的文件、目录储空间，被释放或重新分配给其他用户前的处理方法和过程。被彻底清除。7手工检查：cpu性能：使用vmstat,top来检查内存使用情况：也是使用top,vmstat来检查交换空间使用情况：使用df-k来检查记录。访谈：系统资源阀值告警。够报警。访谈：非法进程监视和控制。警。第97页共135页告警。令"#grepFailed/var/log/authlog";2.查看是否开启了防火墙、TCPSYN保护机制等设置；3.可执行命令：find/-nameaset-print检查是否安装了安全增强软件；4.是否具备rootkit检查工具，定期进行rootkit检查；5.询问是否有第三方入侵检测系统，如IDS,是否IDS软件，或启用了IDS功备份。1)访谈系统管理员系统目前是否采取了最系统遵循最小新的原则。8防病毒软件，病毒库更新是否及时，更新周期，置。第98页共135页主机和网络防范软件代码库不同访谈：询问系统管理员网络防病毒软件和主机防病毒软件分别采用什么病毒库。毒库不相同。访谈：询问系统管理员是否采用统一的病毒更新策略和查杀策略。防恶意代码软统一管理。资源控制访谈：询问系统管理员是否在系统层面和应用软件层面对单个用户的多重并发会话进行控制，并进行核查。限制。手工检查：1)查看并记录/etc/system和/etc/pam.conf。2)查看是否采用防火墙等机制对网络连接数进行限制。限制系统的最大并发会话数行控制。火墙等机制对网络连接数进行限制。限制一个时间话连接数。手工检查：1)记录/etc/hosts.deny、/etc/hosts.allow中相关配置参数。2)若有其他的方式实现此项要求的，如通过路由ACL、防火墙配置等，亦记录。手工检查：查看并记录/etc/profile、/etc/skel/local.cshrc、/etc/skel/login.login、/etc/skel/file中的TMOUT环境变量，查看用户目录中的.bash_rc、.bash_profile文件中的TMOUT环境变量。第99页共135页同一用户账号同一时间内并发登录1)查看并记录/etc/system,可以对同一用户在同一时间并发登2)查看并记录/etc/pam.conf,pam用来增强认证机制。制。手工检查：查看并记录/etc/system,其中参数maxuprc可以设置单1.了解系统账户的资源分配情况，查看各个分区期CPU和内存使用情况，询问管理员日常如何监控系统服务水平；手工检查：查看并记录/etc/security/limit和/etc/pam.d/login,利区分不同进程的优先级，保证明。第100页共135页4.4AIX操作系统安全测评1身份鉴别手工检查：1)在root权限下，使用命令查看用户名和对应的uid,确认是否存在相同uid的账户；相同uid用户。身份标识和鉴别手工检查：方法一：返回结果应为空；查看文件中各用户名状态，记录密码一栏为空的用户名。不存在密码为空的用管理用户身份标识不被冒用查看该文件的内容，并对输出内容全部记录。#cat/etc/security/lo查看该文件的内容，记录下全部输出。第101页共135页查看系统登录时的banner信息。访谈：询问管理员是否使用证书等方式对设备身份进行鉴别。没有使用telnet、2自主访问控制手工检查：在root权限下，查看文件权限是否满足以下要求：/etc/filesystems权限为664,/etc/hosts权限为664,/etc/inittab权限为600,/etc/vfs权限为644,/etc/security/failedlogin权限为644,/etc/security/aud