主机资源监视
对资源使用情况进行监视和记录。
资源报警阀值 特定进程监控 主机账户监控
系统资源达到一定阀值，能够报警。 对重要进程进行监控，对非法进程提供报 警。 对主机账户进行监控和提供告警。
7
入侵防范
访谈，手工检查： 1.访谈并查看入侵检测的措施，如经常通过如下命令查看入侵的重要线索，涉及命 令 主机 IDS #who /etc/security/failedlogin； 2.查看是否开启了防火墙、TCP SYN 保护机制等设置； 3.是否具备 rootkit 检查工具，定期进行 rootkit 检查； 4.询问是否有第三方入侵检测系统，如 IDS，是否开启报警功能。 访谈，核查： 重要程序完整性检测并恢 访谈是否使用一些文件完整性检查工具对重要文件的完整性进行检查，是否对重要 复 的配置文件进行备份。查看备份演示。 系统最小安装并更新
序号
测评指标
测评项
检测方法 手工检查： 在 root 权限下，查看文件权限是否满足以下要求： /etc/filesystems 权限为 664， /etc/hosts 权限为 664， /etc/inittab 权限为 600， /etc/vfs 权限为 644， /etc/security/failedlogin 权限为 644， /etc/security/audit/hosts 权限为 660，记录权限存在问题的目录或文件。
对用户管理启用一定安全策略。
登陆失败处理
对用户登录进行限制。
鉴别警示功能
存在警告性 banner 信息。
对相连设备进行身份标识 访谈： 和鉴别 询问管理员是否使用证书等方式对设备身份进行鉴别。
采取技术手段对相连 设备进行身份鉴别。
远程管理加密
手工检查： 执行命令 ps -ef | grep ssh，或者 netstat -an | grep 22，确认 ssh 服务是 没有使用 telnet、 http 等明文网络协议 否开启； 。 第 1 页，共 6 页 应保证使用加密的网络协议进行远程管理，放弃使 用 telnet 等明文协议。
测评指标 强制访问控制
测评项
范围：主体、客体、 符合强制访问要求，且有明确配置或文档 询问或查看目前的敏感标记策略的相关设置，如：如何划分敏感标记分类，如何设 操作 。 定访问权限等。 手工检查： 粒度：主体为用户级客体 应检查服务器操作系统和主要数据库系统文档，查看强制访问控制是否与用户身份 符合强制访问要求，且有明确配置或文档 为文件、 数据库表级 鉴别、标识等安全功能密切配合，并且控制粒度达到主体为用户级，客体为文件和 。 数据库表级。 手工检查： 1)在 root 权限下，查看系统日志服务 #ps -ef | grep syslog， 和审计服务 #/usr/sbin/audit query， 记录日志服务和安全审计服务是否正常。 2)若有第三方审计工具或系统则记录其运行状态是否正常。
预期结果
文件权限、默认共享
重要文件和共享的权限设置合理。
访谈： 覆盖范围：主体、客体、 访谈系统管理员，访问控制的覆盖范围是否包括用户和文件、数据库表，以及它们 访问控制覆盖主体、客体和操作。 操作 之间的读、写或执行操作。 手工检查： 粒度:主体为用户级客体 应检查主要服务器操作系统和主要数据库系统的访问控制列表，查看授权用户中是 访问控制粒度满足要求。 为文件、数据库表级 否存在过期的帐号和无用的帐号等； 访问控制列表中的用户和权限，是否与安全策略相一致。 2 自主访问控制 授权的主体 手工检查： 应检查主要服务器操作系统和主要数据库系统，查看客体（如文 件,数据库表、视 主体得到明确授权。 图、存储过程和触发器等）的所有者是否可以改变其相应访问控制列表的属性，得 到授权的用户是否可以改变相应客体访问控制列表的属性。
安装防范软件并升级 8 恶意代码防范
主机和网络防范软件代码 访谈： 库不同 询问系统管理员网络防病毒软件和主机防病毒软件分别采用什么病毒库。 支持统一管理 访谈： 询问系统管理员是否采用统一的病毒更新策略和查杀策略。
第 4 页，共 6 页
序号
测评指标
测评项
检测方法
预期结果
单个用户多重并发会话
访谈： 询问系统管理员是否在系统层面和应用软件层面对单个用户的多重并发会话进行控 对单用户多重并发会话进行限制。 制，并进行核查。 访谈： 询问系统管理员是否有相关策略对系统资源和应用软件的最大并发会话数进行控 制，如用 no 对网络连接数进行限制。 手工检查： 1）查看并记录/etc/security/limits 和/etc/pam.conf。 2）查看是否采用主机防火墙等机制对网络连接数进行限制。
AIX操作系统安全测评
序号 测评指标 测评项 检测方法 手工检查： 1)在 root 权限下，使用命令 #cat /etc/passwd #cat /etc/security/passwd 查看用户名和对应的 uid，确认是否存在相同 uid 的账户； 手工检查： 方法一： 在 root 权限下，使用命令 #pwdck -n ALL 返回结果应为空； 方法二：在 root 权限下，使用命令 #cat /etc/passwd #cat /etc/security/passwd 查看文件中各用户名状态，记录密码一栏为空的用户名。 预期结果
最大并发会话连接数
限制系统的最大并发会话数。
访谈： 询问系统管理员是否有相关策略对系统资源和应用软件的最大并发会话数进行控制 一个时间段内可能的并发 。 限制一个时间段内的并发会话连接数。 会话连接数 手工检查： 1）查看并记录/etc/security/limits 和/etc/pam.conf 的全部条目。 2）查看是否采用主机防火墙等机制对网络连接数进行限制。 9 资源控制 多种方式限制终端登录 手工检查： 1)记录/etc/hosts.deny、/etc/hosts.allow 中相关配置参数。 2)若有其他的方式实现此项要求的，如通过路由 ACL、防火墙配置等，亦记录。 对终端登录进行限制。
6
剩余信息保护
彻底清除用户鉴别信息
第 3 页，共 6 页
序号
测评指标
测评项
检测方法
预期结果
彻底清除系统敏感信息
手工检查： 检查 AIX 操作系统维护手册： 用户敏感信息被彻底清除。 系统内的文件、目录等资源所在的存储空间，被释放或重新分配给其他用户前的处 理方法和过程。 访谈： 访谈系统管理员，是否对主机的 CPU、硬盘、内存、网络等资源的使 用情况进行监视，并给出资源使用历史记录。 手工检查： cpu 性能：使用 vmstat,topas 来检查内存使用情况： 也是使用 topas，vmstat 来检查 检查 io 平衡使用情况： 使用 iostat 来检查 交换空间使用情况：使用 df -k 来检查 访谈： 系统资源阀值告警。 访谈： 非法进程监视和控制。 访谈： 监视和管理账户变化。
对超时进行处理。
手工检查： 同一用户账号同一时间内 1)查看并记录/etc/security/limits，可以对同一用户在同一时间并发登录进行限 对同一账号并发登陆进行限制。 并发登录 制。 2)查看并记录/etc/pam.conf，pam 用来增强认证机制。 单个用户对系统资源的最 手工检查： 对系统资源的使用进行限制。 大或最小 使用限度 查看并记录/etc/security/limits，可以对单个用户使用的系统 资源进行限制。 访谈，手工检查： 1.了解系统账户的资源分配情况，查看各个分区磁盘占用情况：#df -k，询 问高 对服务水平进行日常检测，并报警。 峰期 CPU 和内存使用情况，询问管理员日常如何监控系统服务水平； 2.第三方监控程序。 访谈： 访谈系统管理员，是否对进程优先级进行区分，并保证高优先级可用，如 nice、 renice 等命令。 区分不同进程的优先级，保证重要进程的 手工检查： 资源得到保证。 查看并记录/etc/security/limit、/etc/security/login.cfg 中 的 auth 字段、 /etc/pam.conf，利用 pam 第 机制可以对不同用户的进程优先级 进行限制。 5 页，共 6 页
限制默认用户访问权限
默认用户的权限合理控制。
重要主体设置敏感标记
手工检查： 1.查看操作系统功能手册或相关文档，确认操作系统是否具备能对信息资源设置敏 符合强制访问要求，且有明确配置或文档 感标记功能； 。 2.询问系统管理员是否对重要信息资源设置敏感标记。
3
强制访问控制
第 2 页，共 6 页
序号 3
身份标识唯一性
身份标识唯一，不存在相同 uid 用户。
身份标识和鉴别
不存在密码为空的用户。
组合身份鉴别技术
访谈： 访谈系统管理员，询问系统除用户名口另外有无其他身份鉴别方式，如生物鉴别、 采取组合身份鉴别技术。 令牌、动态口令等。
1
身份鉴别
手工检查： 管理用户身份标识不被冒 在 root 权限下，使用命令 用 # cat /etc/security/user 查看该文件的内容，并对输出内容全部记录。 手工检查： 在 root 权限下，使用命令 #cat /etc/security/login.cfg 查看该文件的内容，记录下全部输出。 手工检查： 在 root 权限下，使用命令 #cat /etc/ssh/sshd_config #cat /etc/motd 查看系统登录时的 banner 信息。
安装了主机 IDS 软件，或启用了 IDS 功 能。
对重要程序定期进行完整性检测，并保存 备份。
访谈： 1)访谈系统管理员系统目前是否采取了最小安装原则。 系统遵循最小安装和及时更新的原则。 2)记录系统中多余和危险服务，记录系统补丁升级方式和已安装的最新补丁名称。 访谈，核查： 防病毒软件，病毒库更新是否及时，更新周期，是否强制安装。 安装杀毒软件，并合理配置。 存在网络杀毒手段，且和系统杀毒软件病 毒库不相同。 防恶意代码软硬件，应支持统一管理。