24SGISLOP-SA35-10HPUX等级保护测评作业指导书_第1页
24SGISLOP-SA35-10HPUX等级保护测评作业指导书_第2页
24SGISLOP-SA35-10HPUX等级保护测评作业指导书_第3页
24SGISLOP-SA35-10HPUX等级保护测评作业指导书_第4页
24SGISLOP-SA35-10HPUX等级保护测评作业指导书_第5页
已阅读5页,还剩10页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、控制编号:SGISL/OP-SA35-10信息安全等级保护测评作业指导书HP-UX主机(三级)版号:第2版修改次数:第0次生效日期:2010年01月06日中国电力科学研究院信息安全实验室修改页修订号控制编号版号/早节号修改人修订原因批准人批准日期备注1SGISL/OP-SA35-10郝增帅按公安部要求修订詹雄201038一、身份鉴别1.用户身份标识和鉴别测评项编号ADT-OS-HPUX-01对应要求应对登录操作系统的用户进行身份标识和鉴 另阮测评项名称用户身份标识和鉴别测评分项1:检查并记录 R族文件的配置,记录主机信任关系操作步骤#find / -name .rhosts 对每个.rhost

2、s 文件进行检#find / -n ame .n etrc 对.n etrc 文件进行检#more /etc/hosts.equiv适用版本任何版本实施风险无符合性判定如果不存在信任关系或存在细粒度控制的信任关系,判定结果为符合; 如果存在与任意主机任意用户的信任关系,判定结果为不符合。测评分项2:查看系统是否存在空口令用户操作步骤# more /etc/passwd 或/etc/shadow 检查空口令帐号,适用版本任何版本实施风险无符合性判定/etc/passwd中所有密码位不为空,判定结果为符合;/etc/passwd中所存在密码位为空,判定结果为不符合。备注2.账号口令强度ADT-OS

3、-HPU操作系统管理用户身份标识应具有不易被冒用测评项编号X-02对应要求的特点,口令应有复杂度要求并定期更换测评项名称账号口令强度测评分项1:检查系统帐号密码策略操作步骤执行以下命令:cat /etc/default/security查看以下值:MIN PASSWORD LENGTH适用版本任何版本实施风险无符合性判定MIN_PASSWORD_LENGTH 配置大于等于 8,判定结果为符合;MIN_PASSWORD_LENGTH 配置小于8,判定结果为不符合;测评分项2:检查系统中是否存在空口令或者是弱口令操作步骤1.利用扫描工具进行查看2询冋管理员系统中是否存在弱口令3.手工尝试密码是否与

4、用户名相同适用版本任何版本实施风险扫描可能会造成账号被锁疋符合性判定系统中不存在弱口令账户,判定结果为符合; 系统中存在弱口令账户,判定结果为不符合;备注3.登录失败处理策略测评项编号ADT-OS-HPUX-03对应要求应启用登录失败处理功能,可米取结束会话、 限制非法登录次数和自动退出等措施测评项名称登录失败处理策略测评分项1:检查系统帐号登录失败处理策略操作步骤执行以下命令#more /tcb/files/auth/system/default检查 u maxtries 、 t maxtries、 t logdelay 值适用版本任何版本实施风险无符合性判定系统配置了合理的帐号锁定阀值及失

5、败登录间隔时间,判定结果为符合; 系统未配置登录失败处理策略,判定结果为不符合;测评分项2:如果启用了 SSH远程登录,则检查 SSH远程用户登录失败处理策略操作步骤执行以下命令cat /opt/ssh/etc/sshd_c onfig查看MaxAuthTries等参数。Logi nGraceTime 1m帐号锁疋时间(建议为 30分钟)PermitRootLogi n no#StrictModes yesMaxAuthTries 3 帐号锁定阀值(建议 5次)适用版本任何版本实施风险无符合性判定系统配置了合理的登录失败处理策略,帐号锁定阀值及帐号锁定时间,判定结果 为符合;系统未配置登录失败

6、处理策略,判定结果为不符合;备注4.远程管理方式测评项编号ADT-OS-HPUX-04对应要求当对服务器进行远程管理时, 应采取必要措施, 防止鉴别信息在网络传输过程中被窃听测评项名称检查系统远程管理方式测评分项1:检查系统帐号登录失败处理策略操作步骤询问系统管理员,并查看开启的服务中是否包含了不安全的远程管理方式,如 tel net, ftp,ssh,VNC 等。执行:#ps Pf查看开启的远程管理服务进程执行:#netstat -a查看开启的远程管理服务端口适用版本任何版本实施风险无符合性判定系统米用了安全的远程管理方式,如ssh;且关闭了如telnet、ftp等不安全的远程管理方式,判定

7、结果为符合;系统的开启了 tel net、ftp等不安全的远程管理方式,判疋结果为不符合。5.账户分配及用户名唯一性测评项编号ADT-OS-HPUX-05对应要求应为操作系统和数据库系统的不同用户分配不 同的用户名,确保用户名具有唯一性测评项名称账户分配及用户名唯一性测评分项1:检查系统账户操作步骤执行以下命令:#cat /etc/passwd#cat /etc/shadow#cat /etc/group查看UID是否唯一查看系统是否分别建立了系统专用管理帐号,以及帐号的属组情况。适用版本任何版本实施风险无符合性判定系统管理使用不同的帐户,且系统中不存在重名帐号,UID唯一,判定结果为符合;系

8、统管理使用相冋的帐户,系统帐号存在重名情况,UID不唯一,判定结果为不符合。6.双因子身份鉴别测评项编号ADT-OS-HPUX-05对应要求应采用两种或两种以上组合的鉴别技术对管理 用户进行身份鉴别测评项名称双因子身份鉴别测评分项1:检查系统双因子身份鉴别操作步骤询问系统管理员,系统是否米用两种或两种以上组合的鉴别技术对管理用户进行 身份鉴别。女口 :帐户/ 口令鉴别,生物鉴别、认证服务器鉴别。适用版本任何版本实施风险无符合性判定系统采用双因子身份鉴别,判定结果为符合; 系统未采用双因子身份鉴别,判定结果为不符合。二、访问控制1.检查文件访问控制策略测评项编号ADT-OS-HPUX-06对应要

9、求应启用访问控制功能,依据安全策略控制用户 对资源的访问测评项名称检查访问控制策略测评分项1:检查重要配置文件或重要文件目录的访问控制操作步骤查看系统命令文件和配置文件的访冋许可有无被更改例如:#ls -al /etc/shadow /etc/passwd /etc/group /etc/default/security /etc/i netd.c onf /var/spool/cro n/cro ntabs/* /etc/securetty /sb in/rc*.d/etc/logi n.defs /etc/*.c onf适用版本任何版本实施风险无符合性判定系统内的配置文件目 限,判定结果为

10、符合组用户和其他用户对 判定结果为不符合。录中,所有文件和子目录对组用户和其他用户不提供写权配置文件目录/etc中所有(部分)文件和子目录具有写权限,测评分项2:检查文件初始权限操作步骤执行以下命令:#umask查看输出文件属主、冋组用户、其他用户对于文件的操作权限适用版本任何版本实施风险无符合性判定umask值设置合理,为077或027,判定结果为符合;umask值为000、002、022等判定结果为不符合。测评分项3:检查root帐号是否允许远程登录操作步骤查看ssh服务配置文件是否设置登录失败处理策略,执行以下 命令:cat /opt/ssh/etc/ssh_c onfig 查看 Per

11、mitRootLogin 参数cat /etc/securetty适用版本任何版本实施风险无符合性判定PermitRootLogi n 值为 no, /etc/securetty 只包含 con sole或 /dev/n ull, root 帐号不可 以远程登录,判定结果为符合;PermitRootLogin 所属行被注释或值为 yes, /etc/securetty 不只包含 con sole或 /dev/null , root帐号可以远程登录,判疋结果为不符合。2.数据库系统特权用户权限分离测评项编号ADT-OS-HPUX-07对应要求应实现操作系统和数据库系统特权用户的权限 分离测评项名

12、称特权用户权限分离测评分项1:检查系统帐户权限设置操作步骤询问管理员系统定义了哪些角色,是否分配给操作系统和数据库系统特权用户不同的角色适用版本任何版本实施风险无符合性判定系统为操作系统和数据库系统特权用户的设置了不同的角色,实现了 权限分离,判定结果为符合;系统没有为操作系统和数据库系统特权用户分配角色,判定结果为不符合。3.特权用户权限分离测评项编号ADT-OS-HPUX-07对应要求应根据管理用户的角色分配权限,实现管理用 户的权限分离,仅授予管理用户所需的最小权 限;测评项名称特权用户权限分离测评分项1:检查系统特权帐户权限设置操作步骤#sam进入SAM,判断系统是否处于 Truest

13、ed模式询问管理员系统定义了哪些管理用户角色,是否仅授予管理用户所需的最小权限适用版本任何版本实施风险sam进入SAM,判断系统是否处于Truested模式,可能由于系统显示乱码,使操作员产生误操作将系统模式转变符合性判定系统实现管理用户的权限分离,判定结果为符合; 系统没有实现管理用户的权限分离,判定结果为不符合。4.默认账户访问权限测评项编号ADT-OS-HPUX-07对应要求应限制默认帐户的访问权限,重命名系统默认 帐户,修改这些帐户的默认口令测评项名称默认账户访问权限测评分项1:检查系统帐户权限设置操作步骤执行:# cat /etc/passwd 或者 /etc/shadow查看不需要

14、的账号 games, news, gopher, ftp、Ip是否被删除 查看不需要的特权账号halt, shutdown, reboot、who是否被删除适用版本任何版本实施风险无符合性判定系统删除无用默认账户,判定结果为符合; 系统没有删除无用默认账户,判定结果为不符合。5.多余及过期账户测评项编号ADT-OS-HPUX-08对应要求应及时删除多余的、过期的帐户,避免共享帐 户的存在测评项名称多余及过期账户测评分项1:检查系统多余及过期账户操作步骤访谈系统管理员,是否存在无用的多余帐号。冋时执行以下命令: cat /etc/passwd或 cat /etc/passwd适用版本任何版本实施

15、风险无符合性判定系统中不存在多余自建帐户,判定结果为符合; 没有删除多余自建账户,判定结果为不符合。6.基于标记的访问控制测评项编号ADT-OS-HPU一 、巫应对重要信息资源设置敏感X-08标记测评项名称资源敏感标记设置检查测评分项1 :检查系统对重要信息资源是否设置了敏感标记操作步骤询问管理员系统是否对重要信息资源(重要文件、文件夹、重要服务器)设 置了敏感标记。并查看标记的设置规则。适用版本任何版本实施风险无符合性判定符合:系统对重要信息资源设置敏感标记。 不符合:没有对系统重要信息资源设置敏感标测评分项2:检查对有敏感标记资源的访问控制情况操作步骤询问管理员系统是否对重要信息资源(重要

16、文件、文件夹、重要服务器)设 置了敏感标记。并查看访问控制规则的设置规则。适用版本任何版本实施风险无符合:制定了有效的安全策略,依据安全策略严格控制用户对有敏感标记信 息资源的操作不符合:没有制定有效的安全策略或没有依据安全策略严格控制用户对有敏 感标记信息资源的操作三、安全审计1.开启日志审核功能测评项编号ADT-OS-HPUX-09对应要求日志记录范围应覆盖到服务器上的每个操作系 统用户测评项名称开启日志审核功能测评分项1:检查系统日志是否开启操作步骤an#ps -ef |grep syslogd查看系统是否运行syslogd进程询问并查看是否有第三方审计工具或系统适用版本任何版本实施风险

17、无符合性判定系统启用了 syslogd进程或有第三方审计系统,判定结果为符合;系统未启用syslogd进程也没有第三方审计系统,判定结果为不符合。测评分项2:检查系统审计功能是否开启操作步骤执行# audsys(或者输入sam启动系统管理菜单GUI ,点击审计和安全”,点击用户”查看被审 计的用户,点击 事件 查看审计的事件,system calls查看被审计的系统调用。)#more /etc/中的auditing字段值(=1已开启)#audusr查看选择的被审计用户适用版本任何版本实施风险无符合性判定系统运行在trusted mode下且开启审计功能,审计氾围覆盖到服务器上的每个操作 系统用

18、户判定结果为符合;系统未启用审计功能,审计范围未覆盖到服务器上的每个操作系统用户,判定结 果为不符合。2.日志审计内容测评项编号ADT-OS-HPU X-10对应要求审计内容应包括重要用户行为、系统资源的异 常使用和重要系统命令的使用等系统内重要的 安全相关事件测评项名称日志审计内容测评分项1:检查系统日志策略配置操作步骤执行:#cat /etc/syslog.c onf 查看系统日志配置适用版本任何版本实施风险无符合性判定syslog.conf配置文件设置合理,对大多数系统行为、用户行为进行了 纪录,并存储在指定的文档中,syslong.conf中至少应包括:mail.debug /var/

19、adm/syslog/mail .log*.i nfo;mail. none /var/adm/syslog/syslog.log*.alert /dev/c on sole*.alert root判定结果为符合;syslog.conf配置文件设置不合理,对大多数系统行为、用户行为未 进行纪录,判定结果为不符合。测评分项3:检查系统审计策略配置操作步骤执行:#more /etc/查看系统审计配置# audevent -E查看选择的被审计事件#audusr查看选择的被审计用户适用版本任何版本实施风险无符合性判定系统配置了合理的审计策略,判定结果为符合; 系统未配置合理的审计策略,判定结果为不符合

20、。测评分项3: 日志记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等操作步骤执行:#more /var/adm/syslog/mail.log#more /var/adm/syslog/syslog .log#more /var/adm/sulog#last查看系统历史日志信息适用版本任何版本实施风险无符合性判定审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等 判定结果为符合;审计记录不包括事件的日期、时间、类型、主体标识、客体标识和结果等判定结 果为符合;符合性判定系统系统是运仃在trusted mode下且开启审计功能,审计氾围覆盖到服务器上的每 个操作系统用户判

21、定结果为符合;系统未启用审计功能,审计范围未覆盖到服务器上的每个操作系统用户,判定结 果为不符合。3.审计报表测评项编号ADT-OS-HPU X-12对应要求应能够根据记录数据进行分析,并生成审计报 表测评分项1:查看日志审计文件权限设置操作步骤询问并查看是否有第三方审计工具或系统,询问系统是否能够生成审计报表适用版本任何版本实施风险无符合性判定系统能够生成审计报表,判疋结果为付合; 系统不能生成审计报表,判疋结果为不付合。4.日志保护测评项编号ADT-OS-HPUX-12对应要求应保护审计记录,避免受到未预期的删除、修 改或覆盖等测评分项1:查看日志文件权限设置操作步骤执行:Is-a /et

22、c/syslog.c onf /var/adm/syslog/mail.log /var/adm/syslog/syslog.log/var/adm/sulog查看系统历史日志文件的权限或访问控制是否合理适用版本任何版本实施风险无符合性判定符合:日志访问权限合理,除属主外,组用户和其它用户都不具有写、执行 权限;不符合:日志访问权限不合理,除属主外,部分组用户和其它用户具有写、 执行权限测评分项2:查看审计文件权限设置操作步骤执行:#more /etc/ 或 #audsys):查看主审计文件路径 PRI_AUDFILE/Curre nt file: 备用审计文件路径 SEC_AUDFILE/n

23、ext file: 主审计文件大小 PRI_SWITCH: 备用审计文件大小 SEC_SWITCH:# Is 查看申 日文件的权限或访冋控制是否合理适用版本任何版本实施风险无符合性判定符合:审计文件访问 权限;不符合:审计文件访 执行权限权限合理,除属主外,组用户和其它用户都不具有写、执行问权限不合理,除属主外,部分组用户和其它用户具有写、四、剩余信息保护(HPUX系统不适用)五、入侵防范1.入侵防范测评项编号ADT-OS-HPUX-13对应要求操作系统应遵循最小安装的原则,仅安装需要 的组件和应用程序,并通过设置升级服务器等 方式保持系统补丁及时得到更新测评项名称入侵防范测评分项1:检查操作

24、系统是否开启了与业务无关的服务操作步骤执行以下命令:ps -ef执行#more /etc/i netd.co nf|grep -v #记录系统开启的服务 查看文件列表,执行:Is -al /sbi n /rc?.d/*Is -al /sbi n/ini t.d/*(其中保存服务脚本文件)ls -l /etc/ (其中保存服务配置文件)适用版本任何版本实施风险无符合性判定系统没有开启与业务无关的服务,判定结果为符合; 系统开启了与业务无关的服务,判定结果为符合;测评分项2:查检查操作系统是否开启了与业务无关的网络端口操作步骤执行以下命令:n etstat -ann etstat -a适用版本任何版本实施风险无符合性判定系统禁用了与业务无关的端口,判定结果为符合; 系统没有禁用与业务无关的端口,判定结果为不符合测评分项3:检查操作系统版本与补丁升级情况操作步骤执行以下命令,查看 HPUX内核版本:un ame 执行以下命令:# swlist -l product | grep PH查看补丁版本号适用版本任何版本实施风险无符合性判定系统安装了最新的补丁,判定结果为符合; 系统没有安装最新的补丁,判定结果为不符合六、恶意代码防范(HPUX系统不适用)七

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论