网络安全等级保护测评-安全计算环境-AIX-上篇

身份辨别

a）应对登录的用户进行身份标识和辨别，身份标识具有唯一性，身份辨别信息具有复杂度要求并定期更换；

测评过程；
1、现场核查是否对登录的用户进行身份辨别
登录操纵系统时，是否进行了身份验证，例如需要输入精确的账户、口令才能登录操纵系统则为符合，如果存在用户利用口令登录则为不符合；
2、现场核查用户身份标识是否具有唯一性
检察/etc/passwd文件，是否存在雷同uid的账户，不存在uid雷同的账户则为符合；
3、访谈当前root账户所利用的口令构成情况是否满足“长度不低于8位，是否包含大写字母、小写字母、数字、特别符号中的任意三种组合（4选3即可）”；满足上述要求则为符合；
4、检察/etc/security/user文件，口令复杂度要求及更换周期：（default为缺省配置，如果用户策略下也有以下的配置项，以用户下的配置为准）
maxage XX；口令可利用周期，以“周”为单位，小于90则符合，大于90或为0则不符合
maxexpried XX；口令到达利用周期后X天内必须更改口令
minalpha XX；口令必须包含X个字母,取值大于1则符合
minother XX；口令必须包含X个非字母字符，取值大于1则符合
minlen XX; 口令不得少于X个字符，取值大于8则符合
mindiff XX; 新口令与旧口令至少要X字符不雷同
max repeats XX；口令中字符重复出现的个数
histexpire XX；用户在xx期限内不能重用密码，以”周“为单位
histsize XX；定义新密码不能和之前几次的雷同
b）应具有登录失败处理功能，应配置并启用结束会话、限定非法登录次数和当登录连接超时自动退出等相干措施；

测评过程；
1、现场核查是否设置合理的登录失败处理策略
检察/etc/security/login.cfg文件：（锁定端口）
logindisable X；一连登录失败次数
logininterval X；规定时间内
loginreenable X；锁定时间
登录失败小于等于10次，锁定时间大于等于5min
检察/etc/security/user：（锁定账户）
loginretries X; 规定允许登录的可重试次数，不限定时间，累计到一定次数就锁定，不会自动解锁，需通过下令解锁
以上两种方式只要合理设置了此中一个则为符合；
2、现场核查是否设置合理的登录连接超时自动退出处理措施
检察/etc/profile，设置了超时自动退出功能；
TMOUT=X
c）当进行长途管理时，应采取必要措施防止辨别信息在网络传输过程中被窃听；

测评过程；
1、现场核查是否进行长途管理：
检察是否开启Telnet服务：
lssrc -t telnet (检察服务状态）
ps -ef | grep telnet(检察进程）
lsof -i:23 （检察端口）
检察是否开启SSH服务：
lssrc -t ssh (检察服务状态）
ps -ef | grep ssh (检察进程）
lsof -i:22 （检察端口）
2、现场核查辨别信息传输过程中是否加密：
仅开启并利用SSH进行长途管理，则为符合；
d）应采用口令、密码技术、生物技术等两种或两种以上组合的辨别技术对用户进行身份辨别，且此中一种辨别技术至少应利用密码技术来实现。

测评过程；
1、是否采用两种及以上辨别技术：
现场核查是否采用口令、密码技术、生物技术等两种或两种以上组合的辨别技术；
2、此中一种辨别技术是否利用密码技术来实现：
除了口令验证外，是否采用了密码技术（如USBkey、证书等）进行身份辨别；
访问控制

a）应对登录的用户分配账户和权限；

测评过程；
1、通过下令检察/etc/passwd文件，检察操纵系统中的账户利用情况；
检察/etc/security/user文件，检察系统账户的权限，admin TRUE/FALSE，如果值为TRUE，则表示用户具有管理权限；核实操纵系统中存在的账户及权限，是否能够与实际利用人员一一对应
2、核查是否存在匿名账户，若存在，核查是否禁用或限定匿名账户的访问
b）应重命名或删除默认账户，修改默认账户的默认口令；

测评过程；
1、是否存在默认账户或易猜测账户：
检察/etc/passwd文件，检察操纵系统中的用户名，包括系统自带用户（如root、bin等）、后期安装服务自带的用户（mysql、oracle等）是否进行了重命名，不存在默认账户、易猜测账户则为符合；
2、默认账户或易猜测账户口令是否更改为复杂口令：
访谈管理员是否修改了默认账户的口令，或通过下令chage -l 用户名，检察账户口令更改日期，修改了默认账户的默认口令
c）应及时删除或停用多余的、过期的账户，制止共享账户的存在；

测评过程；
1、是否存在多余账户：
核查系统中的用户是否都配有专人管理，不存在多余的账户无人认领；操纵系统中的账户均有专人管理，不存在无人利用的账户则为符合；
2、是否存在过期的账户：
核查系统中是否存在因口令到期后未及时更换导致过期的账户；不存在过期的账户则为符合；
3、是否存在多人共用同一账户的情况：
核查系统中是否存在多人共同利用一个账号登录系统，不存在共享账户则为符合；
如通过堡垒机管理服务器，操纵系统中创建的用户供运维人员共同利用；
d）应授予管理用户所需的最小权限，实现管理用户的权限分离；

测评过程；
1、是否进行脚色划分：
核查操纵系统中是否创建了系统管理员账户、审计管理员账户、安全管理员账户；
2、管理用户的权限是否进行分离，各自的权限是否为任务所需的最小权限：
检察/etc/security/user文件，admin TRUE/FALSE；如果值为TRUE，则表示用户具有管理权限；
核查是否为审计管理员、安全管理员赋予了相应的管理权限，为各管理用户分配了各自所需的权限
e）应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；

测评过程；
1、核查是否由授权主体（如管理用户）负责配置访问控制策略：
核查具有管理权限的账户是否可以修改文件权限，管理用户可以修改文件权限控制平凡用户访问文件资源则为符合；
2、用户是否有可越权访问的情况
登录平凡用户进行测试，实行打开或编辑权限为600的文件，如果平凡用户不能进行读写操纵，则为符合
f）访问控制的粒度应到达主体为用户级或进程级，客体为文件、数据库表级；

测评过程；
检察系统重要文件权限，如配置文件/etc/secuiry/user、/etc/security/passwd等
ls -l /etc/secuiry/user;
ls -l /etc/security/passwd
检察对应文件权限是否设置合理，权限情况小于等于644均为符合范围，大于644则不满足要求；
g）应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。

测评过程；
检察是否采用第三方工具对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问，或在操纵系统中检察是否开启了强制访问模式。
安全审计

a）应启用安全审计功能，审计覆盖到每个用户，对重要的用户举动和重要安全变乱进行审计；
测评过程；
1、是否具有审计功能：
检察确认设备是否具备审计功能；
2、审计谋略是否开启：
实行下令ps -e | grep syslog，检察是否开启了日志服务；
实行下令audit query，检察是否开启审计功能；
如果同时开启了syslog、audit，则为符合；
3、审计对象是否全面：
检察/etc/syslog.conf文件中是否包含
*.info；mail.none；news.none；authpriv.none；cron.none /var/log/messages;(info级别的信息）
*.err；kern.debug；daemon.notice；mail.crit /var/adm/messages;
4、是否对重要的用户举动和重要安全变乱进行审计，审计范围有哪些：
检察日志内容：/etc/log/message、/etc/security/audit/events日志文件中对应的审计日志内容
b）审计记载应包括变乱的日期和时间、用户、变乱类型、变乱是否乐成及其他与审计相干的信息；

测评过程；
检察/var/log/messages、 /var/adm/messages文件，为系统日志文件
检察/etc/security/audit/events、/etc/security/audit/objects文件，重要记载安全变乱
审计记载包含哪些，是否包含时间的日期和时间、用户、变乱类型、时间是否乐成等其他与审计相干的信息
c）应对审计记载进行保护，定期备份，制止受到未预期的删除、修改或覆盖等；

测评过程；
1、审计记载会受到未预期的删除、修改或覆盖：
检察日志文件权限，实行下令
ls -l /etc/log/message
ls -l /var/adm/messages
ls -l /etc/security/audit/events
ls -l /etc/security/audit/objects
文件权限应不大于644
2、审计记载是否定期备份：
访谈管理员是否具有做日志备份，如果系统中有日志审计系统，则在日志审计系统资产中检察是否有此台设备，并检察是否收纳了此台设备的日志，对于没有日志审计系统的，则检察当前设备是否设置了crontab定时操持实现脚本备份
3、审计记载留存时间是否大于6个月：
利用head -10 /var/log/message下令，检察各日志文件头10行日志记载的时间，留存时间大于6个月；
d）应对审计进程进行保护，防止未经授权的停止。

测评过程；
测试审计进程能否受到未经授权的停止：
利用平凡用户实行下列下令：
audit shutdown
stopsrc -s syslogd
检察未经授权的用户是否可以关闭审计进程

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

继续阅读请点击广告