通用主机系统检查表S2A2G2Word文档下载推荐.docx

1、表0被测主机系统基本调研所在部门计算机编号计算机型号操作系统名称及版本表1-1 身份鉴别（S2）测评项 应对登录操作系统和数据库系统的用户进行身份标识和鉴别。测评实施应访谈系统管理员和数据库管理员，询问操作系统和数据库管理系统的身份标识与鉴别机制采取何种措施实现。操作方法Window：访谈系统管理员，系统用户是否已设置密码，并查看登录过程中系统账户是否使用了密码进行验证登录。Linux：采用查看方式，在root权限下，使用命令more、cat或vi查看/etc/passwd和/etc/shadow文件中各用户名状态。AIX: more /etc/passwd、usrck n ALLSolari

2、s：more /etc/passwd结果记录备注表1-2身份鉴别（S2）操作系统和数据库系统管理用户的身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换。应检查主要服务器操作系统和主要数据库管理系统，查看是否提供了身份鉴别措施，其身份鉴别信息是否具有不易被冒用的特点，如对用户登录口令的最小长度、复杂度和更换周期进行了要求和限制。Windows：“本地安全策略”-“帐户策略”-“密码策略”cat /etc/passwd。密码复杂性cat /etc/login.defs 。弱密码检查pwck;cat /etc/shadowAIX：more /etc/security/login.cfg

3、。more /etc/security/usercat /etc/default/passwd 。1、口令管理（查看制度、尝试观察） 口令长度 小于6位 68位9 位以上 口令组成 数字 字母 特殊字符 口令更改频率 每周更改 每月更改 每季度更改 更长时间 口令管理手段 制度 技术手段表1-3身份鉴别（S2）应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施。应检查主要服务器操作系统和主要数据库管理系统，查看是否已配置了鉴别失败处理功能，并设置了非法登录次数的限制值。查看是否设置网络登录连接超时，并自动退出。“帐户锁定策略”cat /etc/pam.d/system-a

4、uth登录失败次数。cat /etc/profile TMOUT字段超时退出more /etc/security/lastlog unsuccessful_login_count字段，登录失败次数。cat /etc/shadow 最后一个字段，登录失败次数。表1-4身份鉴别（S2）测评项当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听。应访谈系统管理员和数据库管理员，询问对操作系统和数据库管理系统是否采用了远程管理，如采用了远程管理，查看是否采用了防止鉴别信息在网络传输过程中被窃听的措施。1、连入服务器的连接方式2、是否有其它措施连接方式是Telnet方式还是SSH

5、方式。表1-5身份鉴别（S2）应为操作系统和数据库的不同用户分配不同的用户名，确保用户名具有唯一性。应检查主要服务器操作系统和主要数据库管理系统帐户列表，查看管理员用户名分配是否唯一。“计算机管理”-“本地用户和组”-“用户”cat /etc/passwdlsuser ALL表 2-1访问控制（S2）应启用访问控制功能，依据安全策略控制用户对资源的访问。应检查主要服务器操作系统的安全策略，查看是否对重要文件的访问权限进行了限制，对系统不需要的服务、共享路径等进行了禁用或删除。“服务和应用程序”-“服务”查看服务命令行：netstat an 查看端口、net share 查看共享service

6、status-all查看服务。netstat apn查看端口。cd mnt/samba 有无samba目录、cat /etc/dfs/dfstab 有无共享目录cat /etc/exports有无共享目录SVCs | grep online查看服务。cat /etc/dfs/dfstab 有无共享目录表 2-2访问控制（S2）应实现操作系统与数据库系统特权用户的权限分离。1、 应检查主要数据库服务器的数据库管理员与操作系统管理员是否由不同管理员担任。2、 应检查主要服务器操作系统和主要数据库管理系统，查看特权用户的权限是否进行分离，如可分为系统管理员、安全管理员、安全审计员等。查看是否采用最小

7、授权原则。 表 2-3访问控制（S2）1、 应限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令。2、 应及时删除多余的、过期的账户，避免共享用户的存在。应检查主要服务器操作系统和主要数据库管理系统，查看匿名/默认用户的访问权限是否已被禁用或者严格限制，是否删除了系统中多余的、过期的以及共享的帐户。cat /etc/passwd、cat /etc/security/passwd1、是否存在默认账户2、是否存在共享账户3、是否存在多余或过期账户表 3-1安全审计（G2）审计范围应覆盖到服务器上的每个操作系统用户和数据库用户。1、 可访谈安全审计员，询问主机系统是否设置安全审计。询

8、问主机系统对事件进行审计的选择要求和策略是什么。对审计日志的处理方式有哪些。2、 应检查主要服务器操作系统、重要终端操作系统和主要数据库管理系统，查看当前审计范围是否覆盖到每个用户。“本地策略”-“审核策略”cat /etc/audit/auditd.confmore /etc/security/audit/config cat /etc/syslog.conf 。audit query1、审计系统是否打开2、审计所覆盖的用户表 3-2安全审计（G2）审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。应访谈安全审计员，询问主机系统的安全审计策略是否包

9、括系统内重要用户行为、系统资源的异常和重要系统命令的使用等重要的安全相关事件。查看“安全设置”-more /etc/audit/audit.confmore /etc/security/audit/event1、审计类有哪些2、是否全部开启审计事件表 3-3安全审计（G2）安全记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。应检查主要服务器操作系统、重要终端操作系统和主要数据库管理系统，查看审计记录信息是否包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、事件成功或失败、事件的结果等内容。记录审计记录信息所包含的内容（字段）表 3-4安全审计（G2）应保护审计记录，避免

10、受到未预期的删除、修改或覆盖等。应检查主要服务器操作系统、重要终端操作系统和主要数据库管理系统，查看是否对审计记录实施了保护措施，使其避免受到未预期的删除、修改或覆盖等。表 4-1入侵防范（G2） 操作系统应遵循最小安装原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。1、 询问系统管理员，操作系统是否遵循最小安装原则。2、 询问系统补丁更新情况，记录当前补丁的版本号，询问该版本补丁是何时更新，更新前是否进行过测试。表 5-1恶意代码防范（G2）应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库。查看系统中安装了什么防病毒软件。询问管理员病毒库是

11、否经常更新。1、是否安装实时检测与查杀恶意代码的软件产品 安装 未安装2、是否经常更新 是 否上一次更新的时间 表 5-2恶意代码防范（G2）应支持防恶意代码软件的统一管理。应检查防恶意代码产品是否实现了统一管理。1、终端是否支持主机的防病毒统一管理支持 不支持表 6-1资源控制（A2）应通过设定终端接入方式、网络地址范围等条件限制终端登录。应检查主要服务器操作系统，查看是否设定了终端接入方式、网络地址范围等条件限制终端登录。表 6-2资源控制（A2）应根据安全策略设置登录终端的操作超时锁定。1、询问系统管理员是否能够实现登录操作超时锁定功能。2、察看相关设置参数。查看登陆终端是否开启了带密码的屏幕保护功能。查看/etc/profile中TIMEOUT环境变量表 6-3资源控制（A2）应限制单个用户对系统资源的最大或最小使用限度。应检查主要服务器操作系统，查看是否设置了单个用户对系统资源的最大或最小使用限度。表 7-1备份和恢复（A2）应提供关键网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。应检查关键数据处理系统是否采用硬件冗余、软件配置等技术手段提供系统的高可用性