SGISLOPSAAIX等级保护测评作业指导说明书

信息安全等级保护测评作业指导书AIX 主机（三级）版 号：第 2 版修 改 次 数：第 0 次生 效 日 期：01 月 06 日中国电力科学讨论院信息安全试验室控制编号：SGISL/OP-SA38-10修改页修订号 控制编号版号/章节号修改人修订原因同意人同意日期备注1SGISL/OP-SA38-10郝增帅按公安部要求修订詹雄.3.8一、身份判别1.用户身份标识和判别测评项编号ADT-OS-AIX-01对应要求应对登录操作系统用户进行身份标识和判别。测评项名称用户身份标识和判别测评分项 1：检验并统计 R 族文件配置，统计主机信任关系操作步骤#find / -name .rhosts 对每个.rhosts 文件进行检#find / -name .netrc 对.netrc 文件进行检#more /etc/hosts.equiv适用版本任何版本实施风险无符合性判定假如不存在信任关系或存在细粒度控制信任关系，判定结果为符合；假如存在和任意主机任意用户信任关系，判定结果为不符合。测评分项 2：查看系统是否存在空口令用户操作步骤# more /etc/security/passwd 检验空口令帐号，适用版本任何版本实施风险无符合性判定/etc/security/passwd 中全部密码位不为空，判定结果为符合；/etc/security/passwd 中所存在密码位为空，判定结果为不符合。备注2.账号口令强度测评项编号ADT-OS-AIX-02对应要求操作系统管理用户身份标识应含有不易被冒用特点，口令应有复杂度要求并定时更换测评项名称账号口令强度测评分项 1： 检验系统帐号密码策略操作步骤实施以下命令：#more /etc/security/user统计Default规则,和各用户配置规则，关键关注：minlen口令最短长度minalpha口令中最少包含字母字符个数minother口令中最少包含非字母数字字符个数loginretries 连续登录失败后锁定用户适用版本任何版本实施风险无符合性判定密码要求 8 位以上字母、数字、非字母组合,判定结果为符合；密码要求 8 位以下或未要求字母、数字、非字母组合,判定结果为不符合；测评分项 2：检验系统中是否存在空口令或是弱口令操作步骤1. 利用扫描工具进行查看2. 问询管理员系统中是否存在弱口令3. 手工尝试密码是否和用户名相同适用版本任何版本实施风险扫描可能会造成账号被锁定符合性判定系统中不存在弱口令账户，判定结果为符合；系统中存在弱口令账户，判定结果为不符合；备注3.登录失败处理策略测评项编号ADT-OS-AIX-03对应要求应启用登录失败处理功效，可实行结束会话、限制非法登录次数和自动退出等方法测评项名称登录失败处理策略...