TIS-Unix-1(系統(tǒng)安全策略u(píng)nix配置手冊(cè))v10

1、TIS-Unix-1系統(tǒng)安全策略u(píng)nix配置原則編號(hào)：TIS-Unix-1內(nèi)部資料 系統(tǒng)安全策略u(píng)nix配置原則國(guó)網(wǎng)信通億力科技股份有限公司版權(quán)所有 2011 2國(guó)網(wǎng)信通億力科技股份有限公司版權(quán)所有 2011 30目 錄1.HP Unix系統(tǒng)策略11.1.系統(tǒng)檢測(cè)信息11.2.系統(tǒng)安全策略21.2.1.限制用戶(hù)方法21.2.2.對(duì)主機(jī)的控制訪問(wèn)31.2.3.設(shè)置密碼規(guī)范41.2.4.鎖定系統(tǒng)默認(rèn)賬號(hào)51.2.5.超時(shí)設(shè)置51.2.6.Umask61.2.7.不用服務(wù)端口關(guān)閉及檢測(cè)方法61.2.8.設(shè)置信任模式及影響81.2.9.操作系統(tǒng)安全登陸方式SSH91.2.10.HPUX停止Xwindo

2、ws服務(wù)91.2.11.HPUX停止tooltalk服務(wù)91.2.12.HPUX停止NFS服務(wù)111.2.13.HPUX 停sendmail，snmp服務(wù)112.AIX系統(tǒng)策略112.1.系統(tǒng)檢測(cè)信息112.2.系統(tǒng)安全策略122.2.1.檢測(cè)系統(tǒng)是否存在多余帳號(hào)122.2.2.檢查系統(tǒng)帳戶(hù)策略132.2.3.檢查系統(tǒng)是否存在空口令或弱口令142.2.4.檢測(cè)系統(tǒng)帳號(hào)鎖定策略152.2.5.檢查遠(yuǎn)程管理方式162.2.6.重要文件目錄的訪問(wèn)權(quán)限162.2.7.檢查系統(tǒng)是否開(kāi)啟審計(jì)172.2.8.安全審計(jì)策略182.2.9.日志文件訪問(wèn)權(quán)限192.2.10.系統(tǒng)補(bǔ)丁及升級(jí)202.2.11.檢查系

3、統(tǒng)開(kāi)啟的服務(wù)及端口212.2.12.網(wǎng)絡(luò)訪問(wèn)控制策略222.2.13.超時(shí)自動(dòng)注銷(xiāo)232.2.14.超時(shí)自動(dòng)注銷(xiāo)232.2.15.檢查系統(tǒng)時(shí)鐘242.2.16.查看服務(wù)器是否由硬件冗余242.2.17.磁盤(pán)利用空間252.2.18.檢查系統(tǒng)訪問(wèn)旗標(biāo)262.2.19.root用戶(hù)遠(yuǎn)程登錄262.2.20.系統(tǒng)異常登錄日志272.2.21.文件創(chuàng)建初始權(quán)限檢查282.2.22.uid=0帳號(hào)檢查282.2.23.允許su為root的帳號(hào)信息檢查292.2.24.維護(hù)人員使用root帳戶(hù)進(jìn)行日常維護(hù)292.2.25.R族文件檢查302.2.26.系統(tǒng)故障檢查311. HP Unix系統(tǒng)策略1.1.

4、系統(tǒng)檢測(cè)信息要求對(duì)承載關(guān)鍵業(yè)務(wù)系統(tǒng)的小型機(jī)訪問(wèn)控制如下：Ø 遠(yuǎn)程用戶(hù)不能通過(guò)root用戶(hù)直接訪問(wèn)主機(jī)，只能在consloe平臺(tái)下使用root用戶(hù)，限制只有某個(gè)普通用戶(hù)，比如sm01,可以通過(guò)su的方法登陸root用戶(hù)；Ø 限制或允許只有某些固定的IP地址可以訪問(wèn)某臺(tái)小型機(jī)；Ø 設(shè)置密碼規(guī)范，格式如下：- 密碼格式：由數(shù)字、字母和符號(hào)組成- 無(wú)效登錄次數(shù)：6次無(wú)效登錄- 歷史密碼記憶個(gè)數(shù)：8-12個(gè)- 密碼修改期限：90天- 密碼長(zhǎng)度：最小6位Ø 鎖定系統(tǒng)默認(rèn)賬號(hào)- 對(duì)系統(tǒng)默認(rèn)帳號(hào)（例如： daemon, bin, sys, adm, lp, smtp,

5、uucp, nuucp, listen, nobody, noaccess, guest, nobody, lpd ）進(jìn)行鎖定Ø 超時(shí)設(shè)置- 1分鐘超時(shí)設(shè)置Ø Umask- 超級(jí)用戶(hù)027- 一般用戶(hù)022Ø 不用服務(wù)端口關(guān)閉- 在 /etc/services和 /etc/inetd.conf里，對(duì)不用的服務(wù)端口關(guān)閉，包括FTP, www, telnet, rsh 和 rexec,tftp，其它端口不要輕易關(guān)閉1.2. 系統(tǒng)安全策略.1.2.1. 限制用戶(hù)方法UNIX系統(tǒng)中，計(jì)算機(jī)安全系統(tǒng)建立在身份驗(yàn)證機(jī)制上。如果用戶(hù)帳號(hào)口令失密，系統(tǒng)將會(huì)受到侵害，

6、尤其在網(wǎng)絡(luò)環(huán)境中，后果更不堪設(shè)想。因此限制用戶(hù) root 和其他用戶(hù)遠(yuǎn)程登錄，對(duì)保證計(jì)算機(jī)系統(tǒng)的安全，具有實(shí)際意義。1) 限制root用戶(hù)通過(guò)telnet登錄：echo "console" >/etc/securetty2) 限制root用戶(hù)通過(guò)ssh登錄：3) 編輯/opt/ssh/etc/sshd_config：4) PermitRootLogin noØ 重啟sshd: /sbin/init.d/secsh stop/sbin/init.d/secsh startØ 需要注意的是，設(shè)置后，root將不能遠(yuǎn)程使用telnet

7、/ssh登錄，因此在設(shè)置之前應(yīng)進(jìn)行良好的規(guī)劃。Ø 對(duì)現(xiàn)有系統(tǒng)的影響：對(duì)于系統(tǒng)及應(yīng)用軟件的運(yùn)行沒(méi)有任何影響，但root用戶(hù)不能通過(guò)遠(yuǎn)程方式登錄，只能通過(guò)終端在本地登錄。5) 限制普通用戶(hù)通過(guò)telnet登陸主機(jī)創(chuàng)建/etc/NOTLOGIN文件，在文件中加入要限制的用戶(hù)名，每一行一個(gè)用戶(hù)名。在/etc/profile中加入：NAME1=grep $LOGNAME /etc/NOTLOGIN NAME2=lognameif “$NAME1” = $NAME2” then echo “You are not allowed to login in!” exit fi 需要說(shuō)明的是，這種方法

8、對(duì)Xmanage等Xwindow圖形登陸軟件無(wú)效。對(duì)現(xiàn)有系統(tǒng)的影響：對(duì)于系統(tǒng)及應(yīng)用軟件的運(yùn)行沒(méi)有任何影響，但所有用戶(hù)不能通過(guò)遠(yuǎn)程方式登錄，只能通過(guò)終端在本地登錄或使用SSH軟件進(jìn)行遠(yuǎn)程登錄。6) 限制只有sm01用戶(hù)可su到root，root 執(zhí)行以下腳本： groupadd g 600 surootuseradd u 600 g suroot G suroot d /home/sm01 -s /usr/bin/sh sm01passwd sm01echo “SU_ROOT_GROUP=suroot”>/etc/default/security echo “console”>/et

9、c/security對(duì)現(xiàn)有系統(tǒng)的影響：對(duì)于系統(tǒng)及應(yīng)用軟件的運(yùn)行沒(méi)有任何影響。7) 限制某個(gè)用戶(hù)通過(guò)ftp登錄主機(jī)：編輯/etc/ftpd/ftpusers文件，在新行中輸入該用戶(hù)的名稱(chēng)即可；在HP_UX 11.x之前，該文件名稱(chēng)為/etc/ftpusers。對(duì)現(xiàn)有系統(tǒng)的影響：對(duì)于系統(tǒng)及應(yīng)用軟件的運(yùn)行沒(méi)有任何影響。最好的方法是在/etc/inetd.conf中將該服務(wù)屏蔽。遠(yuǎn)程文件傳輸可通過(guò)SSH替代。1.2.2. 對(duì)主機(jī)的控制訪問(wèn)對(duì)于某關(guān)鍵業(yè)務(wù)系統(tǒng)主機(jī)，只允許或限制某幾個(gè)IP地址訪問(wèn)該系統(tǒng)主機(jī)允許telnet，rlogin等服務(wù)訪問(wèn)某個(gè)主機(jī)，修改/var/adm/inetd.sec 文件，在該

10、文件中的每一行包含一個(gè)服務(wù)名稱(chēng)，權(quán)限域（容許或者拒絕），Internet地址或者主機(jī)的名稱(chēng)或網(wǎng)絡(luò)名稱(chēng)。該文件中的每項(xiàng)格式如下： <service name> <allow/deny> <host/network addresses, host/network names>例如： telnet allow 10.3-5 ahost anetwork上面的該語(yǔ)句表示 容許下面的主機(jī)使用telnet訪問(wèn)系統(tǒng)：Ø 網(wǎng)絡(luò)10.3到10.5的主機(jī)Ø IP地址為的主機(jī)Ø 名稱(chēng)為"ahos

11、t"的主機(jī)Ø 網(wǎng)絡(luò)"anetwork"中的所有主機(jī)mountd deny 該語(yǔ)句表示主機(jī)IP地址為 不能存取NFS rpc.mountd 服務(wù)器。需要注意的是網(wǎng)絡(luò)名稱(chēng)和主機(jī)名稱(chēng)必須是官方名稱(chēng)，不能是別名(Aliases)。對(duì)現(xiàn)有系統(tǒng)的影響：對(duì)于系統(tǒng)及應(yīng)用軟件的運(yùn)行沒(méi)有任何影響。如果在/etc/inetd.conf中將該服務(wù)屏蔽后，則上述步驟可以忽略。 1.2.3. 設(shè)置密碼規(guī)范1) 密碼規(guī)范要求：- 密碼格式：由數(shù)字、字母和符號(hào)組成- 無(wú)效登錄次數(shù)：6次無(wú)效登錄- 歷史密碼記憶個(gè)數(shù)：8-12個(gè)- 密碼修改期限：90

12、天- 密碼長(zhǎng)度：最小6位需要注意的是對(duì)于密碼規(guī)范的設(shè)置，部分需要在信任模式下進(jìn)行，關(guān)于如何將OS轉(zhuǎn)換為信任模式，參見(jiàn)3.8節(jié)。轉(zhuǎn)換為信任模式不需要重新啟動(dòng)系統(tǒng)，如果客戶(hù)有應(yīng)用直接讀取OS的用戶(hù)名稱(chēng)等，則可能會(huì)對(duì)該應(yīng)用有影響。Ø 編輯/etc/default/security文件，可以設(shè)置密碼長(zhǎng)度（HP UNIX默認(rèn)即為6位），如果該文件不存在，請(qǐng)使用Vi創(chuàng)建該文件，該文件對(duì)所有用戶(hù)生效，并且系統(tǒng)無(wú)須轉(zhuǎn)換為信任模式。MIN_PASSWORD_LENGTH=6 密碼最小位數(shù)PASSWORD_HISTORY_DEPTH=8 歷史密碼記憶個(gè)數(shù)PASSWORD_MAXDAYS=90 密碼修改期

13、限PASSWORD_MIN_LOWER_CASE_CHARS=2 密碼中必須有兩個(gè)小寫(xiě)字母PASSWORD_MIN_SPECIAL_CHARS=1 密碼中必須有一個(gè)特殊字符PASSWORD_MIN_DIGIT_CHARS=1 密碼中必須有一個(gè)字符對(duì)現(xiàn)有系統(tǒng)的影響：對(duì)于系統(tǒng)及應(yīng)用軟件的運(yùn)行沒(méi)有任何影響。Ø 轉(zhuǎn)換成信任模式，更改全局性的用戶(hù)密碼屬性。啟動(dòng)sam："Auditing and Security" ->"System Security Policies"選擇各項(xiàng)進(jìn)行相應(yīng)的安全設(shè)置：- "Password Aging Pol

14、icies"- "General User Account Policies" （可設(shè)置無(wú)效登錄次數(shù)，root用戶(hù)最好和其他用戶(hù)分開(kāi)設(shè)置）- "Terminal Security Policies"或者，通過(guò)命令行/usr/lbin/modprpw- 也可以完成類(lèi)似的工作，以上須在信任模式下進(jìn)行Ø 轉(zhuǎn)換成信任模式后，更改單個(gè)用戶(hù)的密碼屬性。sam:“Accounts for users and groups” -> ”Users”， 選擇用戶(hù)名后， 選擇Actions Modify Security Policies，可修改諸如

15、“提示密碼即將到期天數(shù)”，“密碼的期限”等屬性，但不能修改“密碼包括的最小字母數(shù)”等屬性。1.2.4. 鎖定系統(tǒng)默認(rèn)賬號(hào)對(duì)系統(tǒng)默認(rèn)帳號(hào)（例如： daemon, bin, sys, adm, lp, smtp, uucp, nuucp, listen, nobody, noaccess, guest, nobody, lpd ）進(jìn)行鎖定在信任模式下，啟動(dòng)sam，對(duì)相應(yīng)需要鎖定的賬號(hào)進(jìn)行鎖定。在普通模式下，也可以使用下面的命令鎖定賬號(hào)：#passwd l username1.2.5. 超時(shí)設(shè)置設(shè)置1分鐘超時(shí)設(shè)置編輯/etc/profile文件：readonly TMOUT=60; export T

16、MOUTreadonly控制TMOUT不能被用戶(hù)任意修改。對(duì)現(xiàn)有系統(tǒng)的影響：對(duì)于系統(tǒng)及應(yīng)用軟件的運(yùn)行沒(méi)有任何影響，如果超過(guò)60S沒(méi)有操作的話(huà)，請(qǐng)重新登錄。1.2.6. Umask1) 超級(jí)用戶(hù)0272) 一般用戶(hù)022對(duì)于一般用戶(hù)，在/etc/profile文件中：umask 022對(duì)于超級(jí)用戶(hù)，在root的.profile文件中：umask 027對(duì)現(xiàn)有系統(tǒng)的影響：對(duì)于操作系統(tǒng)及應(yīng)用軟件的當(dāng)前運(yùn)行沒(méi)有任何影響。但是， 當(dāng)以上設(shè)置與上層應(yīng)用軟件（ Oracle, Sybase, CICS ）的umask設(shè)置要求存在沖突時(shí)，以上層軟件的umask要求為準(zhǔn)。1.2.7. 不用服務(wù)端口關(guān)閉及檢測(cè)方法

17、在 /etc/services和 /etc/inetd.conf里，對(duì)不用的服務(wù)端口關(guān)閉，如FTP, www, telnet, rsh or rexec。編輯/etc/inetd.conf文件，注釋不需要的服務(wù)的行，然后執(zhí)行：inetd -c通常inetd可能啟動(dòng)的服務(wù)有：telnet (tcp 23)ftp (tcp 21)login (tcp 513)shell (tcp 514)exectftpntalkprinterdaytime (udp & tcp)timeecho (udp & tcp)discard (udp & tcp)chargen (udp &am

18、p; tcp)kshellklogindtspcrpc.ttdbserverrpc.cmsdswatregistrarrecservinstl_bootsident (tcp 113) (cmviewcl需要該服務(wù))hacl-probe (tcp 5303)hacl-cfg (tcp & udp 5302)bpcd (tcp 13782)vnetd (tcp 13724)vopied (tcp 13783)bpjava-msvc (tcp 13722)其中大部分的服務(wù)可以關(guān)閉，以下的服務(wù)可能會(huì)用到：telnet/ftp通常用來(lái)管理，建議使用ssh代替。rlogin/remsh通常用在雙

19、機(jī)環(huán)境中或用來(lái)管理。對(duì)于前者，需要設(shè)置網(wǎng)絡(luò)訪問(wèn)控制策略限制對(duì)于rlogin/remsh的訪問(wèn)；對(duì)于后者，建議使用ssh代替；MC/SG雙機(jī)使用的服務(wù)；ident (tcp 113)hacl-probe (tcp 5303)hacl-cfg (tcp & udp 5302)對(duì)現(xiàn)有系統(tǒng)的影響：根據(jù)應(yīng)用程序的要求而定檢測(cè)方法：可利用netstat a觀察相應(yīng)的服務(wù)是否關(guān)閉/etc/inetd.conf 作為一個(gè)配置文件， 控制系統(tǒng)啟動(dòng)時(shí)啟用的服務(wù)，可以通過(guò)/etc/inetd.conf的復(fù)制實(shí)現(xiàn)快速的服務(wù)啟動(dòng)、關(guān)閉控制。 1.2.8. 設(shè)置信任模式及影響信任模式增加了以下的安全特性：l 口令

20、放置在單獨(dú)的、只有root用戶(hù)可讀寫(xiě)的文件中；l 口令可以選取8位以上（<80）；l 可以設(shè)置更多的口令與登錄屬性；l 可以進(jìn)行審計(jì)（audit）。通過(guò)sam可以很容易的轉(zhuǎn)換到信任模式，或者從信任模式回退到標(biāo)準(zhǔn)模式。轉(zhuǎn)換到信任模式，啟動(dòng)sam："Auditing and Security" ->"System Security Policies"系統(tǒng)將會(huì)提示轉(zhuǎn)換為信任模式，按照提示進(jìn)行即可；如果系統(tǒng)內(nèi)用戶(hù)數(shù)量較多（>50），則轉(zhuǎn)換過(guò)程可能持續(xù)幾分鐘回退到標(biāo)準(zhǔn)模式，啟動(dòng)sam："Auditing and Security&quo

21、t; ->"Audited Events" -> "Actions" -> "Unconvert the System"或者通過(guò)命令行：/usr/lbin/tsconvert (轉(zhuǎn)換到信任模式)/usr/lbin/tsconvert -r (回退)對(duì)現(xiàn)有系統(tǒng)的影響：轉(zhuǎn)化為trust方式后，如果以前的用戶(hù)口令大于8位，則只輸入前8位，否則將無(wú)法登錄。1.2.9. 操作系統(tǒng)安全登陸方式SSH1) HP提供SSH軟件包，SSH是rlogin、telnet、ftp、rcp等命令的安全替換；2) #swinsall s /tm

22、p/ SSH_HP-UX_B.11.11.depot，安裝相應(yīng)的軟件包；3) 在客戶(hù)端安裝相應(yīng)的SSH工具，在windows上的SSH工具有很多，且都是免費(fèi)的；4) #ssh 可以遠(yuǎn)程登錄這臺(tái)服務(wù)器；5) #scp 可以與這臺(tái)服務(wù)器傳輸文件；6) 由于SSH是一個(gè)功能強(qiáng)大的工具，有很多使用方法，具體情況可參考SSH文檔。互聯(lián)網(wǎng)上這類(lèi)文檔有很多，各廠家的SSH工具的使用方法都一樣。修改/etc/ssh/sshd_config：AllowGroups root, staff, usersDenyGroups s

23、taffDenyUsers C Arian1.2.10. HPUX停止Xwindows服務(wù)1) 修改/sbin/rc3.d/S990dtlogin.rc文件，將其文件名變?yōu)閟990dtlogin.rc.bak2) 修改/etc/rc.config.d/desktop文件，修改DESKTOP=01.2.11. HPUX停止tooltalk服務(wù)1) 讓所有的Xwindows用戶(hù)退出。2) 停止CDE-login。  /sbin/init.d/dtlogin.rc stop3) 阻止rpc.ttdbserver重新啟動(dòng): 注釋掉文件/etc/inet

24、d.conf 中的rpc.ttdbserver. # rpc stream tcp swait root /usr/dt/bin/rpc.ttdbserver  100083 1 /usr/dt/bin/rpc.tt dbserver B. 重新讀取文件inetd.conf: /etc/inetd -c 5. 殺掉rpc.ttdbserver并校驗(yàn)它: #kill ps -e | grep rpc.ttdb 

25、;| awk ' print $1 '#ps -ef |grep rpc.ttdb 6. To delete the TT_DB-directories there are two possibilities: A. for i in  find / -name TT_DB do # Remove all fil

26、es under each TT_DB subdirectory found # under each local file system mount point.  It doesn't # matter if one of the mount points does not have a # TT_DB s

27、ubdirectory, since the 'rm -f' will not produce # an error. rm -rf $i/* done Note that solution 6A searches nfsmounts as well, which may not be the behavior wanted.  B

28、. for i in df -F vxfs | awk ' print $1 ' do # Remove all files under each TT_DB subdirectory found # under each local file system mount point.  It&

29、#160;doesn't # matter if one of the mount points does not have a # TT_DB subdirectory, since the 'rm -f' will not produce # an error. rm -rf $i/TT_DB/* done 8. 啟動(dòng)C

30、DE: /sbin/init.d/dtlogin.rc start1.2.12. HPUX停止NFS服務(wù)1) 將文件/etc/rc.config.d/nfsconf的2行注釋掉：NFS_SERVER=0START_MOUNTD=1NFS_CLIENT=02) 停止NFS服務(wù)/sbin/init.d/nfs.client stop/sbin/init.d/nfs.server stop/sbin/init.d/nfs.core stop1.2.13. HPUX 停sendmail，snmp服務(wù)1) 手動(dòng)停sendmail：/sbin/init.d/sendmail stop假如在啟動(dòng)時(shí)

31、就不要啟動(dòng)sendmail，修改/etc/rc.config.d/mailservs, 把 1 改為 02) 手動(dòng)停snmp：/sbin/init.d/SnmpMaster stop假如在啟動(dòng)時(shí)就不要啟動(dòng)snmp，修改 /etc/rc.config.d/SnmpMaster, 把 1 改為 02. AIX系統(tǒng)策略. 系統(tǒng)檢測(cè)信息項(xiàng)目名稱(chēng)系統(tǒng)信息審計(jì)目的獲取操作系統(tǒng)版本，硬件配置等信息，本審計(jì)條目只是獲取系統(tǒng)的基本信息。操作步驟收集操作系統(tǒng)版本信息，執(zhí)行：uname a內(nèi)存容量：Lsattr E l sys0 a r獲取配置信息：lscfg獲取處理器信息：lsdev C | gr

32、ep i processor獲取頁(yè)面調(diào)度空間：lsps a審計(jì)結(jié)果負(fù)面影響無(wú) 2.2. 系統(tǒng)安全策略..1. 檢測(cè)系統(tǒng)是否存在多余帳號(hào)審計(jì)項(xiàng)編號(hào)ADT-OS-AIX-01主機(jī)安全：身份鑒別a）應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別e) 應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶(hù)分配不同的用戶(hù)名，確保用戶(hù)名具有唯一性。主機(jī)安全：訪問(wèn)控制c) 應(yīng)限制默認(rèn)帳戶(hù)的訪問(wèn)權(quán)限，重命名系統(tǒng)默認(rèn)帳戶(hù)，修改這些帳戶(hù)的默認(rèn)口令d) 應(yīng)及時(shí)刪除多余的、過(guò)期的帳戶(hù)，避免共享帳戶(hù)的存在。審計(jì)項(xiàng)名稱(chēng)檢查系統(tǒng)是否存在多余帳號(hào)審計(jì)項(xiàng)描述查看系統(tǒng)是否存在攻擊者留下

33、的多余帳號(hào)，或檢查主機(jī)操作人員遺留下的尚未刪除的安裝軟件默認(rèn)的帳號(hào)。適用版本：審計(jì)步驟執(zhí)行以下命令，查看系統(tǒng)中存在那些帳戶(hù)：cat /etc/passwd審計(jì)項(xiàng)結(jié)果關(guān)聯(lián)脆弱性脆弱性名稱(chēng)系統(tǒng)中存在多余自建賬戶(hù)脆弱性編號(hào)OS-AIX-11脆弱性說(shuō)明系統(tǒng)存在與正常業(yè)務(wù)應(yīng)用或系統(tǒng)維護(hù)無(wú)關(guān)的帳號(hào)，使攻擊者猜測(cè)密碼成功的可能性增大。嚴(yán)重程度中加固方法1、與系統(tǒng)管理員協(xié)商確定要?jiǎng)h除的帳戶(hù)；2、使用userdel命令來(lái)刪除多余帳戶(hù)或無(wú)用的帳戶(hù)。實(shí)施風(fēng)險(xiǎn)確定所刪除的帳號(hào)沒(méi)有使用，否則可能會(huì)影響某些用戶(hù)登錄。備注2.2.2. 檢查系統(tǒng)帳戶(hù)策略審計(jì)項(xiàng)編號(hào)ADT-OS-AIX-02主機(jī)安全：身份鑒別b操作系統(tǒng)和數(shù)據(jù)庫(kù)

34、系統(tǒng)管理用戶(hù)身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換審計(jì)項(xiàng)名稱(chēng)檢查系統(tǒng)帳戶(hù)策略審計(jì)項(xiàng)描述對(duì)主機(jī)的帳號(hào)策略進(jìn)行檢查，包括密碼復(fù)雜性；密碼長(zhǎng)度最小值；密碼最長(zhǎng)存留期等。適用版本：審計(jì)步驟#more /etc/security/user記錄Default規(guī)則以及各用戶(hù)配置的規(guī)則，重點(diǎn)關(guān)注：maxage 口令最長(zhǎng)有效期minage 口令最短有效期maxexpired口令過(guò)期后用戶(hù)可以更改時(shí)間maxrepeats 口令中某一字符最多能重復(fù)次次數(shù)minlen口令最短長(zhǎng)度minalpha口令中最少包含字母字符個(gè)數(shù)minother口令中最少包含非字母數(shù)字字符個(gè)數(shù)loginretries 連

35、續(xù)登錄失敗后鎖定用戶(hù)審計(jì)項(xiàng)結(jié)果密碼長(zhǎng)度最小值應(yīng)設(shè)置為8位，密碼最長(zhǎng)存留期應(yīng)設(shè)置為30天關(guān)聯(lián)脆弱性脆弱性名稱(chēng)系統(tǒng)口令策略配置文件中口令強(qiáng)壯性要求不能滿(mǎn)足安全要求脆弱性編號(hào)OS-AIX-12脆弱性說(shuō)明系統(tǒng)口令策略配置文件未進(jìn)行必要的安全配置，不能通過(guò)系統(tǒng)口令策略配置文件的口令強(qiáng)壯性要求確保系統(tǒng)中的賬號(hào)口令長(zhǎng)度達(dá)到安全要求。嚴(yán)重程度中加固方法編輯/etc/security/user文件，確保：maxage=8 口令最長(zhǎng)有效期為8周minage=8 口令最短有效期為8周maxexpired=4 口令過(guò)期后4周內(nèi)用戶(hù)可以更改maxrepeats=3 口令中某一字符最多只能重復(fù)3次minlen=8 口令最

36、短為8個(gè)字符minalpha=4 口令中最少包含4個(gè)字母字符minother=1 口令中最少包含一個(gè)非字母數(shù)字字符mindiff=4 新口令中最少有4個(gè)字符和舊口令不同loginretries=5 連續(xù)5次登錄失敗后鎖定用戶(hù)histexpire=26 同一口令在26周內(nèi)不能重復(fù)使用histsize=0 同一口令與前0個(gè)口令不能重復(fù)實(shí)施風(fēng)險(xiǎn)無(wú)備注2.2.3. 檢查系統(tǒng)是否存在空口令或弱口令審計(jì)項(xiàng)編號(hào)ADT-OS-AIX-03主機(jī)安全：身份鑒別b操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶(hù)身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換審計(jì)項(xiàng)名稱(chēng)檢查系統(tǒng)是否存在空口令或弱口令審計(jì)項(xiàng)描述檢查系統(tǒng)中是否存

37、在空口令或者是若口令。適用版本：審計(jì)步驟審計(jì)項(xiàng)結(jié)果1）嘗試典型弱口令，2）參見(jiàn)掃描結(jié)果，3）詢(xún)問(wèn)管理員口令位數(shù)和復(fù)雜度或執(zhí)行以下命令：pwdck n ALL關(guān)聯(lián)脆弱性脆弱性名稱(chēng)系統(tǒng)中存在空密碼或弱密碼賬戶(hù)脆弱性編號(hào)OS-AIX-13脆弱性說(shuō)明超級(jí)管理存在弱口令賬號(hào)，攻擊者很容易利用此漏洞進(jìn)行未授權(quán)訪問(wèn)并獲得系統(tǒng)操作的所有權(quán)限。該弱點(diǎn)將嚴(yán)重威脅到系統(tǒng)的安全。操作系統(tǒng)普通用戶(hù)存在弱口令賬號(hào)，攻擊者很容易利用此漏洞進(jìn)行未授權(quán)訪問(wèn)，并獲得操作系統(tǒng)的部分管理權(quán)限。該弱點(diǎn)將威脅到系統(tǒng)的安全。嚴(yán)重程度很高高加固方法完善帳號(hào)管理制度，設(shè)置位數(shù)大于8位，數(shù)字、字母混合，區(qū)分大小寫(xiě)的口令。 檢查和用戶(hù)帳號(hào)和口令相

38、關(guān)的文件，確保不存在空口令和弱口令情況，實(shí)施風(fēng)險(xiǎn)無(wú)備注2.2.4. 檢測(cè)系統(tǒng)帳號(hào)鎖定策略審計(jì)項(xiàng)編號(hào)ADT-OS-AIX-04主機(jī)安全：身份鑒別c應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話(huà)、限制非法登錄次數(shù)和自動(dòng)退出等措施審計(jì)項(xiàng)名稱(chēng)檢查系統(tǒng)帳號(hào)鎖定策略審計(jì)項(xiàng)描述對(duì)主機(jī)或域上帳號(hào)檢查帳號(hào)鎖定策略鎖定策略包括帳號(hào)鎖定計(jì)數(shù)器、帳號(hào)鎖定時(shí)間、帳號(hào)鎖定閥值。適用版本：審計(jì)步驟執(zhí)行以下命令：/usr/sbin/lsuser -a loginretries ALL | moremore /etc/security/login.cfglogindelay 失敗登錄后延遲時(shí)間logindisable 失敗登錄后鎖定端

39、口logininterval 在一定時(shí)間內(nèi)失敗登錄才鎖定端口loginreenable 端口鎖定解鎖時(shí)間審計(jì)項(xiàng)結(jié)果帳號(hào)鎖定計(jì)數(shù)器：（建議為30分鐘）帳號(hào)鎖定時(shí)間：（建議為30分鐘）帳號(hào)鎖定閥值：（建議3次）關(guān)聯(lián)脆弱性脆弱性名稱(chēng)系統(tǒng)未啟用帳號(hào)鎖定策略脆弱性編號(hào)OS-AIX-14脆弱性說(shuō)明系統(tǒng)沒(méi)有設(shè)置帳戶(hù)鎖定策略，攻擊者可以使用暴力密碼攻擊來(lái)破解密碼。嚴(yán)重程度中加固方法修改/etc/security/login.cfg文件，確保logindelay=2 失敗登錄后延遲2秒顯示提示符logindisable=3 3次失敗登錄后鎖定logininterval=60 在60秒內(nèi)3次失敗登錄才鎖定端口lo

40、ginreenable30 端口鎖定30分鐘后解鎖實(shí)施風(fēng)險(xiǎn)無(wú)備注2.2.5. 檢查遠(yuǎn)程管理方式審計(jì)項(xiàng)編號(hào)ADT-OS-AIX-05主機(jī)安全：資源控制a)  應(yīng)通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；審計(jì)項(xiàng)名稱(chēng)檢查遠(yuǎn)程管理方式審計(jì)項(xiàng)描述檢查遠(yuǎn)程管理方式配置，確定其中不安全的管理方式。適用版本：審計(jì)步驟執(zhí)行以下命令檢查是否有其他網(wǎng)絡(luò)服務(wù)啟用more /etc/inetd.confps ef | morenetstat a審計(jì)項(xiàng)結(jié)果系統(tǒng)不應(yīng)該使用FTP、telnet等服務(wù)，F(xiàn)TP、Telnet等明文校驗(yàn)協(xié)議在局域網(wǎng)中容易被嗅探工具監(jiān)聽(tīng)到用戶(hù)名密碼。關(guān)聯(lián)脆弱性脆弱性名

41、稱(chēng)遠(yuǎn)程管理方式配置不當(dāng)脆弱性編號(hào)OS-AIX-22脆弱性說(shuō)明系統(tǒng)開(kāi)啟的遠(yuǎn)程管理服務(wù)存在安全漏洞，并且訪問(wèn)控制不嚴(yán)格。系統(tǒng)開(kāi)啟多余的遠(yuǎn)程管理方式，并且訪問(wèn)控制不嚴(yán)格。采用telnet、FTP等方式維護(hù)主機(jī)，F(xiàn)TP、Telnet等協(xié)議采用明文方式傳輸用戶(hù)名、口令，在局域網(wǎng)中容易被嗅探工具監(jiān)聽(tīng)到，導(dǎo)致泄露用戶(hù)名、口令。嚴(yán)重程度很高高中加固方法建議不要使用FTP、Telnet等明文校驗(yàn)協(xié)議的遠(yuǎn)程管理方式，而應(yīng)該采用加密的遠(yuǎn)程管理方式，如ssh。1、編輯/etc/inet/services，注釋掉文件中的條目（只要在被注釋的一行的開(kāi)頭加上#字即可）2、編輯文件/etc/inet/inetd.conf，對(duì)

42、其中相應(yīng)的條目進(jìn)行定位。對(duì)應(yīng)的條目是以/etc/inet/services文件的第一個(gè)域中的名稱(chēng)開(kāi)頭的。在這一條目前加上上#將其注釋掉。3、找到inetd過(guò)程，向其發(fā)送SIGHUP信號(hào)。4、開(kāi)啟安全的遠(yuǎn)程管理方式，如ssh。實(shí)施風(fēng)險(xiǎn)無(wú)備注2.2.6. 重要文件目錄的訪問(wèn)權(quán)限審計(jì)項(xiàng)編號(hào)ADT-OS-AIX-06主機(jī)安全：訪問(wèn)控制a)   應(yīng)啟用訪問(wèn)控制功能，依據(jù)安全策略控制用戶(hù)對(duì)資源的訪問(wèn)審計(jì)項(xiàng)名稱(chēng)重要文件目錄訪問(wèn)權(quán)限審計(jì)項(xiàng)描述檢查系統(tǒng)重要文件和目錄的訪問(wèn)權(quán)限是否合理。適用版本：審計(jì)步驟執(zhí)行l(wèi)s lL命令，檢查/etc、/bin、/usr/bin、/usr/lbin、/usr

43、/usb、/sbin和/usr/sbin目錄下文件的擁有者、組擁有者和許可權(quán)。審計(jì)項(xiàng)結(jié)果/etc/passwd文件應(yīng)歸root擁有；/etc/passwd文件保護(hù)的許可權(quán)小于644。關(guān)聯(lián)脆弱性脆弱性名稱(chēng)系統(tǒng)重要配置文件或目錄的訪問(wèn)控制策略配置不合理脆弱性編號(hào)OS-AIX-09脆弱性說(shuō)明系統(tǒng)重要配置文件或重要的文件目錄訪問(wèn)控制策略配置不合理，系統(tǒng)的重要文件或目錄如果允許普通修改和刪除存在很大的安全隱患。嚴(yán)重程度高加固方法用chown改變文件或目錄的屬主用chmod改變文件或目錄的訪問(wèn)權(quán)限，使要保護(hù)的文件或目錄許可權(quán)限小于644。實(shí)施風(fēng)險(xiǎn)無(wú)備注2.2.7. 檢查系統(tǒng)是否開(kāi)啟審計(jì)審計(jì)項(xiàng)編號(hào)ADT-O

44、S-AIX-07主機(jī)安全：安全審計(jì)a)   審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶(hù)和數(shù)據(jù)庫(kù)用戶(hù)審計(jì)項(xiàng)名稱(chēng)檢查系統(tǒng)是否開(kāi)啟審計(jì)審計(jì)項(xiàng)描述檢查系統(tǒng)是否啟動(dòng)了syslogd服務(wù)。適用版本：審計(jì)步驟執(zhí)行以下命令：/usr/sbin/audit query | head -1會(huì)對(duì)“Auditing On”（審計(jì)開(kāi)始）作出響應(yīng) 如果該命令運(yùn)行的話(huà)。此外，對(duì)審計(jì)daemon（auditbin）可通過(guò)ps命令（ps ef | grep auditbin）審計(jì)。審計(jì)項(xiàng)結(jié)果關(guān)聯(lián)脆弱性脆弱性名稱(chēng)syslogd服務(wù)未啟動(dòng)脆弱性編號(hào)OS-AIX-01脆弱性說(shuō)明syslogd服務(wù)未啟動(dòng)，系統(tǒng)出現(xiàn)安

45、全問(wèn)題時(shí)將無(wú)日志信息可供查詢(xún)分析，不利于安全事件的追蹤嚴(yán)重程度高加固方法建議系統(tǒng)開(kāi)啟syslogd服務(wù)。/usr/sbin/audit start 啟動(dòng)/usr/sbin/audit shutdown 實(shí)施風(fēng)險(xiǎn)無(wú)備注2.2.8. 安全審計(jì)策略審計(jì)項(xiàng)編號(hào)ADT-OS-AIX-08主機(jī)安全：安全審計(jì)b)   審計(jì)內(nèi)容應(yīng)包括重要用戶(hù)行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件c)   審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類(lèi)型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等審計(jì)項(xiàng)名稱(chēng)日志記錄范圍審計(jì)項(xiàng)描述檢查日志記錄選擇是否合理，日志數(shù)據(jù)是否完整。適用版本：審

46、計(jì)步驟以下是在AIX系統(tǒng)中配置審計(jì)的文件：/etc/security/audit/config所列標(biāo)記至少應(yīng)審計(jì)以下事件：文件創(chuàng)建；文件刪除；登錄；注銷(xiāo)：所有管理和特權(quán)活動(dòng)。在AIX系統(tǒng)中，標(biāo)記是在classes: area中設(shè)定的。以下是文件中應(yīng)該有哪些標(biāo)示的例子：classes:general = USER_SU,PASSWORD_Change,FILE_Unlink, FILE_Link,FILE_Rename, FILE_Open, FILE_Read. ENQUE_adminsystem = USER_Change,GROUP_Change,USER_Create, GROUP_Cr

47、eate, PROC_Create, PROC_Execute, USER_Change, USER_Remove, DEV_Configure, DEV_Change, DEV_Createinit = USER_Login,USER_Logout審計(jì)項(xiàng)結(jié)果關(guān)聯(lián)脆弱性脆弱性名稱(chēng)日志記錄選擇不合理或系統(tǒng)日志數(shù)據(jù)不完整脆弱性編號(hào)OS-AIX-02脆弱性說(shuō)明日志記錄選擇不合理或系統(tǒng)日志數(shù)據(jù)不完整，會(huì)增加對(duì)事件和故障的原因分析的難度嚴(yán)重程度中加固方法在AIX系統(tǒng)中，標(biāo)記是在classes: area中設(shè)定的。標(biāo)記應(yīng)包括以下內(nèi)容：審計(jì)系統(tǒng)配置審計(jì)對(duì)文件和程序的失敗訪問(wèn)嘗試事件包括：FILE_Mknod

48、, FILE_Open ,FILE_Pipe, FS_Mkdir, PROC_Execute, SEM_Create, SHM_Create, SHM_Open, TCB_Leak and TCB_Mod審計(jì)系統(tǒng)配置審計(jì)被用戶(hù)刪除的文件和程序事件包括：FILE_Unlink、FS_Rmdir和SEM_Delete審計(jì)系統(tǒng)配置審計(jì)所有管理活動(dòng)事件包括：ACCT_Disable, ACCT_Enable, AUD_it, BACKUP_Export, DEV_Change, DEV_Configure, DEV_Create, FILE_Chpriv, FILE_Fchpriv, FILE_Mkn

49、od, FILE_Owner, FS_Chroot, FS_Mount, FS_Umount, PASSWORD_Check, PROC_Adjtime,PROC_Kill, PROC_Privilege, PROC_Setpgid, PROC_SetUserIds, RESTORE_Import, TCBCK_Delete, USER_Change, USER_Create, USER_Reboot, USER_Remove, and USER_SetEnv審計(jì)系統(tǒng)配置審計(jì)所有成功和失敗使用特權(quán)命令的活動(dòng)事件包括：FILE_Acl, FILE_Fchmod, FILE_Fchown, FIL

50、E_Link, FILE_Mode, FILE_Owner, FILE_Rename, FILE_Unlink, FS_Chdir, FS_Chroot, PROC_RealGID and PROC_SetUserIDs.實(shí)施風(fēng)險(xiǎn)無(wú)備注2.2.9. 日志文件訪問(wèn)權(quán)限審計(jì)項(xiàng)編號(hào)ADT-OS-AIX-09主機(jī)安全：安全審計(jì)d)   應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等審計(jì)項(xiàng)名稱(chēng)日志文件訪問(wèn)權(quán)限審計(jì)項(xiàng)描述檢查日志文件的訪問(wèn)權(quán)限是否合理。適用版本：審計(jì)步驟系統(tǒng)日志文件通常保存在/var/adm目錄下。檢查/etc/syslog.conf文件，搞清信息是否被寫(xiě)入其他地點(diǎn)

51、的日志中。執(zhí)行l(wèi)s la /var/adm（或等同命令），檢查日志文件的許可權(quán)。#cd /etc/security/、#ls-l;#cd /var/adm、#ls-l查看日志文件的訪問(wèn)權(quán)限審計(jì)項(xiàng)結(jié)果關(guān)聯(lián)脆弱性脆弱性名稱(chēng)日志文件訪問(wèn)權(quán)限不合理脆弱性編號(hào)OS-AIX-05脆弱性說(shuō)明日志訪問(wèn)權(quán)限設(shè)置不合理，可以導(dǎo)致非法用戶(hù)對(duì)日志文件進(jìn)行修改。嚴(yán)重程度高加固方法用chown改變文件或目錄的屬主用chmod改變文件或目錄的訪問(wèn)權(quán)限處管理員帳戶(hù)外，其他用戶(hù)權(quán)限小于644實(shí)施風(fēng)險(xiǎn)無(wú)備注2.2.10. 系統(tǒng)補(bǔ)丁及升級(jí)審計(jì)項(xiàng)編號(hào)ADT-OS-AIX-10主機(jī)安全：入侵防范a）操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝

52、需要的組件和應(yīng)用程序，并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新審計(jì)項(xiàng)名稱(chēng)系統(tǒng)補(bǔ)丁及升級(jí)審計(jì)項(xiàng)描述檢查系統(tǒng)是否安裝補(bǔ)丁適用版本：審計(jì)步驟1、詢(xún)問(wèn)管理員系統(tǒng)是否需要安裝補(bǔ)丁升級(jí)（如果系統(tǒng)不需要升級(jí)，此項(xiàng)為合格）2、如果系統(tǒng)需要補(bǔ)丁升級(jí)，執(zhí)行一下命令查看系統(tǒng)補(bǔ)丁升級(jí)情況：/usr/sbin/instfix i k; /bin/oslevel r（顯示維護(hù)級(jí)）/usr/sbin/instfix -c -i | cut -d":" -f1 | grep patch版本信息：#oslevel ： #oslevel q：審計(jì)項(xiàng)結(jié)果關(guān)聯(lián)脆弱性脆弱性名稱(chēng)系統(tǒng)未安裝補(bǔ)丁脆弱性編號(hào)OS

53、-AIX-07脆弱性說(shuō)明系統(tǒng)未及時(shí)安裝安全補(bǔ)丁，系統(tǒng)開(kāi)啟的服務(wù)存在已知安全漏洞，且極易被攻擊者利用，嚴(yán)重的可導(dǎo)致操作系統(tǒng)被完全控制。嚴(yán)重程度高加固方法1、下載補(bǔ)丁程序并在實(shí)驗(yàn)機(jī)上充分測(cè)試 2、安裝補(bǔ)丁文件實(shí)施風(fēng)險(xiǎn)安裝補(bǔ)丁可能導(dǎo)致系統(tǒng)或應(yīng)用啟動(dòng)失敗，或其他未知情況發(fā)生，因此應(yīng)做好充分測(cè)試。 備注2.2.11. 檢查系統(tǒng)開(kāi)啟的服務(wù)及端口審計(jì)項(xiàng)編號(hào)ADT-OS-AIX-11審計(jì)項(xiàng)名稱(chēng)檢查系統(tǒng)開(kāi)啟的服務(wù)和端口審計(jì)項(xiàng)描述檢查系統(tǒng)是否開(kāi)啟了不必要的服務(wù)和端口。適用版本：審計(jì)步驟1、檢查當(dāng)前運(yùn)行等級(jí)下各種腳本(服務(wù))運(yùn)行/關(guān)閉信息情況，執(zhí)行：who -r2、檢查由INETD啟動(dòng)的服務(wù)，檢查/etc/inet

54、d.conf和/etc/services文件，執(zhí)行：grep -v "#" /etc/inetd.conf (等同于lssrc -l -s inetd命令) grep -v "#" /etc/services3、檢查系統(tǒng)開(kāi)放端口情況，執(zhí)行：#netstat an#netstat a4、檢查開(kāi)放的服務(wù)，執(zhí)行：#more /etc/inetd.conf|grep -v "#"記錄系統(tǒng)開(kāi)啟的服務(wù)審計(jì)項(xiàng)結(jié)果查看系統(tǒng)開(kāi)啟了不必要的服務(wù)，例如：smb、sendmail、ruserd、rstatd、gpm、finger、echo、chargen、c

55、hargen-udp、autofs、arpwatch等記錄系統(tǒng)開(kāi)啟了哪些端口，查看哪些是不必要開(kāi)啟的。下面列舉了容易造成安全隱患的端口，應(yīng)根據(jù)實(shí)際的應(yīng)用情況，如果不需要可以關(guān)閉：139TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后門(mén)端口（如 TCP 2745、3127、6129 端口），以及遠(yuǎn)程服務(wù)訪問(wèn)端口3389。關(guān)聯(lián)脆弱性脆弱性名稱(chēng)系統(tǒng)開(kāi)啟了與業(yè)務(wù)無(wú)關(guān)的服務(wù)和端口脆弱性編號(hào)OS-AIX-10脆弱性說(shuō)明系統(tǒng)開(kāi)啟的網(wǎng)絡(luò)服務(wù)會(huì)在服務(wù)器上打開(kāi)通信端口，偵聽(tīng)并接收來(lái)自客戶(hù)機(jī)的請(qǐng)求，多余的服務(wù)和網(wǎng)絡(luò)端口容易使服務(wù)器受到安全攻擊。

56、嚴(yán)重程度高加固方法1、編輯/etc/inetd.conf文件，在不需允許開(kāi)啟的服務(wù)的行首加上”#”，更改/etc/inetd.conf文件后重啟inetd，執(zhí)行“refresh -s inetd”；2、編輯/etc/services文件，確保運(yùn)行的服務(wù)所對(duì)應(yīng)的端口存在于/etc/services文件中；3、確保/etc/inetd.conf和/etc/services文件屬性是600，確保這個(gè)文件的擁有者是root；4、若要停止某個(gè)服務(wù)，可用”stopsrc -s 服務(wù)名”來(lái)完成。實(shí)施風(fēng)險(xiǎn)無(wú)備注2.2.12. 網(wǎng)絡(luò)訪問(wèn)控制策略審計(jì)項(xiàng)編號(hào)ADT-OS-AIX-12主機(jī)安全：資源控制a)  應(yīng)通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；審計(jì)項(xiàng)名稱(chēng)網(wǎng)絡(luò)訪問(wèn)控制策略審計(jì)項(xiàng)描述檢查系統(tǒng)是否有網(wǎng)絡(luò)訪問(wèn)控制策略，訪問(wèn)控制策略是否嚴(yán)謹(jǐn)。適用版本：審計(jì)步驟訪談系統(tǒng)管理員，是否制定了嚴(yán)格的訪問(wèn)控制策略，包