控制編號：SGISL/OP-SA35-10信息安全等級保護測評作業指導書HP-UX主機（三級）版號： 第2版修改次數： 第0次生效日期： 2010年01月06日中國電力科學研究院信息安全實驗室

中國電力科學研究院信息安全實驗室控制編號：SGISL/OP-SA35-10第1頁共15頁HPUX等級保護測評作業指導書（三級）第2版第0次修訂發布日期：2010年01月06日修改頁修訂號控制編號版號/章節號修改人修訂原因批準人批準日期備注1SGISL/OP-SA35-10郝增帥按公安部要求修訂詹雄2010.3.8

中國電力科學研究院信息安全實驗室控制編號：SGISL/OP-SA35-10第2頁共15頁HPUX等級保護測評作業指導書（三級）第2版第0次修訂發布日期：2010年01月06日一、身份鑒別1.用戶身份標識和鑒別測評項編號ADT-OS-HPUX-01對應要求應對登錄操作系統的用戶進行身份標識和鑒另限測評項名稱用戶身份標識和鑒別測評分項1：檢查并記錄R族文件的配置，記錄主機信任關系操作步驟#find/-name.rhosts對每個.rhosts文件進行檢#find/-rc對.netrc文件進行檢#more/etc/hosts.equiv適用版本任何版本實施風險無符合性判定如果不存在信任關系或存在細粒度控制的信任關系，判定結果為符合；如果存在與任意主機任意用戶的信任關系，判定結果為不符合。測評分項2：查看系統是否存在空口令用戶操作步驟#more/etc/passwd或/etc/shadow檢查空口令帳號適用版本任何版本實施風險無符合性判定/etc/passwd中所有密碼位不為空，判定結果為符合；/etc/passwd中所存在密碼位為空，判定結果為不符合。備注2.賬號口令強度測評項編號ADT-OS-HPUX-02對應要求操作系統管理用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換測評項名稱賬號口令強度

中國電力科學研究院信息安全實驗室控制編號：SGISL/OP-SA35-10第3頁共15頁HPUX等級保護測評作業指導書（三級）第2版第0次修訂發布日期：2010年01月06日測評分項1：檢查系統帳號密碼策略操作步驟執行以下命令：cat/etc/default/security查看以下值：MIN_PASSWORD_LENGTH適用版本任何版本實施風險無符合性判定MIN_PASSWORD_LENGTH配置大于等于8,判定結果為符合；MIN_PASSWORD_LENGTH配置小于8,判定結果為不符合；測評分項2：檢查系統中是否存在空口令或者是弱口令操作步驟.利用掃描工具進行查看.詢問管理員系統中是否存在弱口令.手工嘗試密碼是否與用戶名相同適用版本任何版本實施風險掃描可能會造成賬號被鎖定符合性判定系統中不存在弱口令賬戶，判定結果為符合；系統中存在弱口令賬戶，判定結果為不符合；備注3.登錄失敗處理策略測評項編號ADT-OS-HPUX-03對應要求應啟用登錄失敗處理功能，可采取結束會話、限制非法登錄次數和自動退出等措施測評項名稱登錄失敗處理策略測評分項1：檢查系統帳號登錄失敗處理策略操作步驟執行以下命令#more/tcb/files/auth/system/default檢查u_maxtries、t_maxtries、t_logdelay值適用版本任何版本

中國電力科學研究院信息安全實驗室控制編號：SGISL/OP-SA35-10第4頁共15頁HPUX等級保護測評作業指導書（三級）第2版第0次修訂發布日期：2010年01月06日實施風險無符合性判定系統配置了合理的帳號鎖定閥值及失敗登錄間隔時間，判定結果為符合；系統未配置登錄失敗處理策略，判定結果為不符合；測評分項2：如果啟用了SSH遠程登錄，則檢查SSH遠程用戶登錄失敗處理策略操作步驟執行以下命令cat/opt/ssh/etc/sshd_config查看MaxAuthTries等參數。LoginGraceTime1m帳號鎖定時間（建議為30分鐘）PermitRootLoginno#StrictModesyesMaxAuthTries3帳號鎖定閥值（建議5次）適用版本任何版本實施風險無符合性判定系統配置了合理的登錄失敗處理策略，帳號鎖定閥值及帳號鎖定時間，判定結果為符合；系統未配置登錄失敗處理策略，判定結果為不符合；備注4.遠程管理方式測評項編號ADT-OS-HPUX-04對應要求當對服務器進行遠程管理時，應采取必要措施，防止鑒別信息在網絡傳輸過程中被竊聽測評項名稱檢查系統遠程管理方式測評分項1：檢查系統帳號登錄失敗處理策略操作步驟詢問系統管理員，telnet,ftp,ssh,VNC執行：#psef查,執行：#netstat-a并查看開啟的服務中是否包含了不安全的遠程管理方式，如等。看開啟的遠程管理服務進程查看開啟的遠程管理服務端口適用版本任何版本實施風險無

中國電力科學研究院信息安全實驗室控制編號：SGISL/OP-SA35-10第5頁共15頁HPUX等級保護測評作業指導書（三級）第2版第0次修訂發布日期：2010年01月06日符合性判定系統采用了安全的遠程管理方式，如ssh；且關閉Y^telnet、ftp等不安全的遠程管理方式，判定結果為符合；系統的開啟Ytelnet、ftp等不安全的遠程管理方式，判定結果為不符合。5.賬戶分配及用戶名唯一性測評項編號ADT-OS-HPUX-05對應要求應為操作系統和數據庫系統的不同用戶分配不同的用戶名，確保用戶名具有唯一性測評項名稱賬戶分配及用戶名唯一性測評分項1：檢查系統賬戶操作步驟執行以下命令：#cat/etc/passwd#cat/etc/shadow#cat/etc/group查看UID是否唯一查看系統是否分別IJ建立了系統專用管理帳號，以及帳號的屬組情況。適用版本任何版本實施風險無符合性判定系統管理使用不同的帳戶，且系統中不存在重名帳號，UID唯一，判定結果為符合；系統管理使用相同的帳戶，系統帳號存在重名情況，UID不唯一，判定結果為不符合。6.雙因子身份鑒別測評項編號ADT-OS-HPUX-05對應要求應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別測評項名稱雙因子身份鑒別測評分項1：檢查系統雙因子身份鑒別操作步驟詢問系統管理員，系統是否采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別。如：帳戶/口令鑒別，生物鑒別、認證服務器鑒別。適用版本任何版本實施風險無符合性判定系統采用雙因子身份鑒別，判定結果為符合；系統未采用雙因子身份鑒別，判定結果為不符合。

中國電力科學研究院信息安全實驗室控制編號：SGISL/OP-SA35-10第6頁共15頁HPUX等級保護測評作業指導書（三級）第2版第0次修訂發布日期：2010年01月06日二、訪問控制1.檢查文件訪問控制策略測評項編號ADT-OS-HPUX-06對應要求應啟用訪問控制功能，依據安全策略控制用戶對資源的訪問測評項名稱檢查訪問控制策略測評分項1：檢查重要配置文件或重要文件目錄的訪問控制操作步驟查看系統命令文件和配置文件的訪問許可有無被更改例如：#ls-al/etc/shadow/etc/passwd/etc/group/etc/default/security/etc/inetd.conf/var/spool/cron/crontabs/*/etc/securetty/sbin/rc*.d//etc/login.defs/etc/*.conf適用版本任何版本實施風險無符合性判定系統內的配置文件目錄中，所有文件和子目錄對組用戶和其他用戶不提供寫權限，判定結果為符合；組用戶和其他用戶對配置文件目錄/etc中所有（部分）文件和子目錄具有寫權限，判定結果為不符合。測評分項2：檢查文件初始權限操作步驟執行以下命令：#umask查看輸出文件屬主、同組用戶、其他用戶對于文件的操作權限適用版本任何版本實施風險無符合性判定umask值設置合理，為077或027,判定結果為符合；umask值為000、002、022等判定結果為不符合。測評分項3：檢查root帳號是否允許遠程登錄操作步驟查看ssh服務配置文件是否設置登錄失敗處理策略，執行以下命令：cat/opt/ssh/etc/ssh_config查看PermitRootLogin參數cat/etc/securetty適用版本任何版本實施風險無符合性判定PermitRootLogin值為no，/etc/securetty只包含console或/dev/null,root帳號不可以遠程登錄，判定結果為符合；PermitRootLogin所屬行被注釋或值為yes，/etc/securetty不只包含console或

中國電力科學研究院信息安全實驗室控制編號：SGISL/OP-SA35-10第7頁共15頁HPUX等級保護測評作業指導書（三級）第2版第0次修訂發布日期：2010年01月06日/dev/null，root帳號可以遠程登錄，判定結果為不符合。2.數據庫系統特權用戶權限分離測評項編號ADT-OS-HPUX-07對應要求應實現操作系統和數據庫系統特權用戶的權限分離測評項名稱特權用戶權限分離測評分項1：檢查系統帳戶權限設置操作步驟詢問管理員系統定義了哪些角色，是否分配給操作系統和數據庫系統特權用戶不同的角色適用版本任何版本實施風險無符合性判定系統為操作系統和數據庫系統特權用戶的設置了不同的角色，實現了權限分離，判定結果為符合；系統沒有為操作系統和數據庫系統特權用戶分配角色，判定結果為不符合。3.特權用戶權限分離測評項編號ADT-OS-HPUX-07對應要求應根據管理用戶的角色分配權限，實現管理用戶的權限分離，僅授予管理用戶所需的最小權限；測評項名稱特權用戶權限分離測評分項1：檢查系統特權帳戶權限設置操作步驟#sam進入5人乂，判斷系統是否處于Truested模式詢問管理員系統定義了哪些管理用戶角色，是否僅授予管理用戶所需的最小權限適用版本任何版本實施風險sam進入SAM，判斷系統是否處于Truested模式，可能由于系統顯示舌1碼，使操作員產生誤操作將系統模式轉變符合性判定系統實現管理用戶的權限分離，判定結果為符合；系統沒有實現管理用戶的權限分離，判定結果為不符合。4.默認賬戶訪問權限測評項編號ADT-OS-HPUX-07對應要求應限制默認帳戶的訪問權限，重命名系統默認

中國電力科學研究院信息安全實驗室控制編號：SGISL/OP-SA35-10第8頁共15頁HPUX等級保護測評作業指導書（三級）第2版第0次修訂發布日期：2010年01月06日帳戶，修改這些帳戶的默認口令測評項名稱默認賬戶訪問權限測評分項1：檢查系統帳戶權限設置操作步驟執行：#cat/08加25504或者/6m/5卜2400查看不需要的賬號games,news,gopher,ftp、lp是否被刪除查看不需要的特權賬號halt,shutdown,reboot>who是否被刪除適用版本任何版本實施風險無符合性判定系統刪除無用默認賬戶，判定結果為符合；系統沒有刪除無用默認賬戶，判定結果為不符合。5.多余及過期賬戶測評項編號ADT-OS-HPUX-08對應要求應及時刪除多余的、過期的帳戶，避免共享帳戶的存在測評項名稱多余及過期賬戶測評分項1：檢查系統多余及過期賬戶操作步驟訪談系統管理員，是否存在無用的多余帳號。同時執行以下命令：cat/etc/passwd或cat/etc/passwd適用版本任何版本實施風險無符合性判定系統中不存在多余自建帳戶，判定結果為符合；沒有刪除多余自建賬戶，判定結果為不符合。6.基于標記的訪問控制測評項編號ADT-OS-HPUX-08對應要求應對重要信息資源設置敏感標記測評項名稱資源敏感標記設置檢查測評分項1：檢查系統對重要信息資源是否設置了敏感標記操作步驟詢問管理員系統是否對重要信息資源（重要文件、文件夾、重要服務器）設置了敏感標記。并查看標記的設置規則。適用版本任何版本

中國電力科學研究院信息安全實驗室控制編號：SGISL/OP-SA35-10第9頁共15頁HPUX等級保護測評作業指導書（三級）第2版第0次修訂發布日期：2010年01月06日實施風險無符合性判定符合：系統對重要信息資源設置敏感標記。不符合：沒有對系統重要信息資源設置敏感標測評分項2：檢查對有敏感標記資源的訪問控制情況操作步驟詢問管理員系統是否對重要信息資源（重要文件、文件夾、重要服務器）設置了敏感標記。并查看訪問控制規則的設置規則。適用版本任何版本實施風險無符合：制定了有效的安全策略，依據安全策略嚴格控制用戶對有敏感標記信息資源的操作不符合：沒有制定有效的安全策略或沒有依據安全策略嚴格控制用戶對有敏感標記信息資源的操作三、安全審計1.開啟日志審核功能測評項編號ADT-OS-HPUX-09對應要求日志記錄范圍應覆蓋到服務器上的每個操作系統用戶測評項名稱開啟日志審核功能測評分項1：檢查系統日志是否開啟操作步驟執行#ps-ef|grepsyslogd查看系統是否運行syslogd進程詢問并查看是否有第二方審計工具或系統適用版本任何版本實施風險無符合性判定系統啟用了syslogd進程或有第二方審計系統，判定結果為符合；系統未啟用syslogd進程也沒有第三方審計系統，判定結果為不符合。測評分項2：檢查系統審計功能是否開啟

中國電力科學研究院信息安全實驗室控制編號：SGISL/OP-SA35-10第10頁共15頁HPUX等級保護測評作業指導書（三級）第2版第0次修訂發布日期：2010年01月06日操作步驟執行#audsys（或者輸入sam啟動系統管理菜單GUI，點擊“審計和安全”，點擊“用戶”查看被審計的用戶，點擊“事件”查看審計的事件，“systemcalls”查看被審計的系統調用。）#more/etc/rc.config.d./auditing中的auditing字段值（=1已開啟）#audusr查看選擇的被審計用戶適用版本任何版本實施風險無符合性判定系統運行在trustedmode下且開啟審計功能，審計范圍覆蓋到服務器上的每個操作系統用戶判定結果為符合；系統未啟用審計功能，審計范圍未覆蓋到服務器上的每個操作系統用戶，判定結果為不符合。2.日志審計內容測評項編號ADT-OS-HPUX-10對應要求審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件測評項名稱日志審計內容測評分項1：檢查系統日志策略配置操作步驟執行：#cat/etc/syslog.conf查看系統日志配置適用版本任何版本實施風險無符合性判定syslog.conf配置文件設置合理，對大多數系統行為、用戶行為進行了紀錄，并存儲在指定的文檔中，syslong.conf中至少應包括：mail.debug/var/adm/syslog/mail.log*.info;mail.none/var/adm/syslog/syslog.log*.alert/dev/console*.alertroot判定結果為符合；syslog.conf配置文件設置不合理，對大多數系統行為、用戶行為未進行紀錄，判定結果為不符合。測評分項3：檢查系統審t償略配置操作步驟執行：

中國電力科學研究院信息安全實驗室控制編號：SGISL/OP-SA35-10第11頁共15頁HPUX等級保護測評作業指導書（三級）第2版第0次修訂發布日期：2010年01月06日#more/etc/rc.config.d/auditing查看系統審計配置#audeventE查看選擇的被審計事件#audusr查看選擇的被審計用戶適用版本任何版本實施風險無符合性判定系統配置了合理的審t償略，判定結果為符合；系統未配置合理的審t償略，判定結果為不符合。測評分項3：日志記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等操作步驟執行：#more/var/adm/syslog/mail.log#more/var/adm/syslog/syslog.log#more/var/adm/sulog#last查看系統歷史日志信息適用版本任何版本實施風險無符合性判定審計記錄包括事件的日期、時間、類型、主體標識、客體標識和結果等判定結果為符合；審計記錄不包括事件的日期、時間、類型、主體標識、客體標識和結果等判定結果為符合；符合性判定系統系統是運行在trustedmode下且開啟審計功能，審計范圍覆蓋到服務器上的每個操作系統用戶判定結果為符合；系統未啟用審計功能，審計范圍未覆蓋到服務器上的每個操作系統用戶，判定結果為不符合。3.審計報表測評項編號ADT-OS-HPUX-12對應要求應能夠根據記錄數據進行分析，并生成審計報表測評分項1：查看日志審計文件權限設置操作步驟詢問并查看是否有第二方審計工具或系統，詢問系統是否能夠生成審計報表適用版本任何版本實施風險無

中國電力科學研究院信息安全實驗室控制編號：SGISL/OP-SA35-10第12頁共15頁HPUX等級保護測評作業指導書（三級）第2版第0次修訂發布日期：2010年01月06日符合性判定系統能夠生成審計報表，判定結果為符合；系統不能生成審計報表，判定結果為不符合。4.日志保護測評項編號ADT-OS-HPUX-12對應要求應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等測評分項1：查看日志文件權限設置操作步驟執行：ls -a/etc/syslog.conf/var/adm/syslog/mail.log/var/adm/syslog/syslog.log/var/adm/sulog查看系統歷史日志文件的權限或訪問控制是否合理適用版本任何版本實施風險無符合性判定符合：日志訪問權限合理，除屬主外，組用戶和其它用戶都不具有寫、執行權限；不符合：日志訪問權限不合理，除屬主外，部分組用戶和其它用戶具有寫、執行權限測評分項2：查看審計文件權限設置操作步驟執行：#more/etc/rc.config.d/auditing或#2口4$丫$）：查看主審計文件路徑PRI_AUDFILE/Currentfile:備用審計文件路徑SEC_AUDFILE/nextfile:主審計文件大小PRI_SWITCH:備用審計文件大小SEC_SWITCH:#ls查看申日文件的權限或訪問控制是否合理適用版本任何版本實施風險無符合性判定符合：審計文件訪問權限合理，除屬主外，組用戶和其它用戶都不具有寫、執行權限；不符合：審計文件訪問權限不合理，除屬主外，部分組用戶和其它用戶具有寫、執行權限四、剩余信息保護（HPUX系統不適用）五、入侵防范1.入侵防范測評項編號ADT-OS-HPUX-13對應要求操作系統應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統補丁及時得到更新中國電力科學研究院信息安全實驗室控制編號：SGISL/OP-SA35-10第13頁共15頁HPUX等級保護測評作業指導書（三級）第2版第0次修訂發布日期：2010年01月06日中國電力科學研究院信息安全實驗室測評項名稱入侵防范測評分項1：檢查操作系統是否開啟了與業務無關的服務操作步驟執行以下命令：ps-ef執行#more/etc/inetd.conf|grep-v"#"記錄系統開啟的服務查看文件列表，執行：ls-al/sbin/rc?.d/*ls-al/sbin/init.d/*（其中保存服務腳本文件）ls-al/etc/rc.config.d/*（其中保存服務配置文件）適用版本任何版本實施風險無符合性判定系統沒有開啟與業務無關的服務，判定結果為符合；系統開啟了與業務無關的服務，判定結果為符合；測評分項2：查檢查操作系統是否開啟了與業務無關的網絡端口操作步驟執行以下命令：netstat-annetstat-a適用版本任何版本實施風險無符合性判定系統禁用了與業務無關的端口，判定結果為符合；系統沒有禁用與業務無關的端口，判定結果為不符合測評分項3：檢查操作系統版本與補丁升級情況操作步驟執行以下命令，查看HPUX內核版本：uname-a執行以下命令：#swlist-lproduct|grepPH查看補丁版本號適用版本任何版本實施風險無符合性判定系統安裝了最新的補丁，判定結果為符合；系統沒有安裝最新的補丁，判定結果為不符合六、惡意代碼防范（HPUX系統不適用）中國電力科學研究院信息安全實驗室控制編號：SGISL/OP-SA35-10第14頁共15頁HPUX等級保護測評