aix系统安全配置基线

1.操作系统安全基线技术要求1.1.AIX系统安全基线1.1.1.系统管理通过配置操作系统运维管理安全策略，提高系统运维管理安全性，详见表1。

1.1.2.用户账号与口令通过配置操作系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表2。

1.1.3.日志与审计通过对操作系统的日志进行安全控制与管理，提高日志的安全性，详见表3。

1.1.4.服务优化通过优化操作系统资源，提高系统服务安全性，详见表4。

1.1.5.访问控制通过对操作系统安全权限参数进行调整，提高系统访问安全性，详见表5。

1.2.Windows系统安全基线1.2.1.用户账号与口令通过配置操作系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表6。

1.2.2.日志与审计通过对操作系统日志进行安全控制与管理，提高日志的安全性与有效性，详见表7。

1.2.3.服务优化通过优化系统资源，提高系统服务安全性，详见表8。

1.2.4.访问控制通过对系统配置参数调整，提高系统安全性，详见表9。

1.2.5.补丁管理通过进行定期更新，降低常见的漏洞被利用，详见表10。

表10 Windows系统补丁管理基线技术要求1.3.Linux系统安全基线1.3.1.系统管理通过配置系统安全管理工具，提高系统运维管理的安全性，详见表11。

1.3.2.用户账号与口令通过配置Linux系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表12。

表12 Linux系统用户账号与口令基线技术要求1.3.3.日志与审计通过对Linux系统的日志进行安全控制与管理，提高日志的安全性与有效性，详见表13。

表13 Linux系统日志与审计基线技术要求1.3.4.服务优化通过优化Linux系统资源，提高系统服务安全性，详见表14。

1.3.5.访问控制通过对Linux系统配置参数调整，提高系统安全性，详见表15。

表15 Linux系统访问控制基线技术要求2.数据库安全基线技术要求2.1.Oracle数据库系统安全基线2.1.1.用户账号与口令通过配置数据库系统用户账号与口令安全策略，提高数据库系统账号与口令安全性，详见表16。

AIX系统安全配置指南1. 远程访问控制 ........................................................................... - 2 -1.1.登陆限制 .......................................................................... - 2 -1.2.登陆屏幕欢迎词 .............................................................. - 2 -1.3.离开时锁定 ...................................................................... - 3 -1.4.强制自动注销 .................................................................. - 3 -2. 用户帐户安全 ........................................................................... - 4 -2.1. Root 帐户......................................................................... - 4 -2.2. 禁用直接 root 用户登录................................................ -4 -2.3. 用户帐户控制 .................................................................. - 5 -2.4. 禁用不需要的默认帐户 .................................................. - 6 -3. 密码安全 ................................................................................... - 7 -3.1. 设置强密码 ...................................................................... - 7 -3.2.设置密码策略 .................................................................. - 7 -4. AIX系统日常检查 ................................................................... - 9 -1. 远程访问控制1.1. 登陆限制要防止潜在黑客较难通过猜测密码来攻击系统，请在/etc/security/login.cfg 文件中设置登陆控制： 属性 用于PtYs(网络) 用于TTYs 建议值注释Sad_enabled Y Y false 很少需要“安全注意键”。

各类操作系统安全配置要求及操作指南检查模块支持系统版本号Windows Windows 2000 以上Solaris Solaris 8 以上AIX AIX 5.X以上HP-UNIX HP-UNIX 11i以上Linux 内核版本2.6以上Oracle Oracle 8i以上SQLServerMicrosoft SQL Server 2000 以上MySQL MySQL 5.x以上IIS IIS 5.x以上Apache Apache 2.x 以上Tomcat Tomcat 5.x以上WebLogic WebLogic 8.X以上Windows操作系统安全配置要求及操作指南I目录目录 (I)前言 (II)1 范围 (1)2 规范性引用文件 (1)3 缩略语 (1)4 安全配置要求 (2)4.1 账号 (2)4.2 口令 (3)4.3 授权 (5)4.4 补丁 (7)4.5 防护软件 (8)4.6 防病毒软件 (8)4.7 日志安全要求 (9)4.8 不必要的服务 (11)4.9 启动项 (12)4.10 关闭自动播放功能 (13)4.11 共享文件夹 (13)4.12 使用NTFS 文件系统 (14)4.13 网络访问 (15)4.14 会话超时设置 (16)4.15 注册表设置 (17)附录A：端口及服务 (18)II前言为了在工程验收、运行维护、安全检查等环节，规范并落实安全配置要求，编制了一系列的安全配置要求及操作指南，明确了操作系统、数据库、应用中间件在内的通用安全配置要求及参考操作。

该系列安全配置要求及操作指南的结构及名称预计如下：（1）《Windows 操作系统安全配置要求及操作指南》（本规范）（2）《AIX操作系统安全配置要求及操作指南》（3）《HP-UX 操作系统安全配置要求及操作指南》（4）《Linux操作系统安全配置要求及操作指南》（5）《Solaris操作系统安全配置要求及操作指南》（6）《MS SQL server数据库安全配置要求及操作指南》（7）《MySQL 数据库安全配置要求及操作指南》（8）《Oracle数据库安全配置要求及操作指南》（9）《Apache安全配置要求及操作指南》（10）《IIS安全配置要求及操作指南》（11）《Tomcat 安全配置要求及操作指南》（12）《WebLogic 安全配置要求及操作指南》11 范围适用于使用Windows 操作系统的设备。

AIX操作系统安全配置要求及操作指南
一、AIX操作系统安全配置要求
1.分级访问控制：要实施分级访问控制机制，明确管理者和普通用户
的访问等级，并分配不同的权限，使不同的用户层次由不同的权限控制。

2. 加强密码的安全策略：要加强密码的安全策略，包括定期更改密码，禁止使用过于简单的密码，不要在没有严格安全限制的情况下使用
root 权限。

3. 运行级别：禁止用户以root 身份登录系统，只有当用户需要以root 身份执行一些操作时，才能以root 身份登录，否则以普通用户身
份登录。

4.防火墙：根据网络的具体情况，采用专用防火墙或者网络模式的防
火墙，控制和限制外部计算机的访问权限。

5. 禁止外部访问：禁止外部访问系统，如FTP，telnet，外部的terminal访问等，除非有必要。

启用SSL/TLS 加密 socket 服务，防止
攻击者窃取数据。

6.定期备份：定期对重要的数据进行备份，以便在发生意外时及时进
行恢复。

7.实施流量监测：实施流量监测，实时检测系统中的网络流量和活动，以便及时捕获非法活动。

1.操作系统安全基线技术要求1.1.AIX系统安全基线1.1.1.系统管理通过配置操作系统运维管理安全策略，提高系统运维管理安全性，详见表1。

表1 AIX系统管理基线技术要求1.1.2.用户账号与口令通过配置操作系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表2。

表2 AIX系统用户账户与口令基线技术要求1.1.3.日志与审计通过对操作系统的日志进行安全控制与管理，提高日志的安全性，详见表3。

1.1.4.服务优化通过优化操作系统资源，提高系统服务安全性，详见表4。

表4 AIX系统服务优化基线技术要求1.1.5.访问控制通过对操作系统安全权限参数进行调整，提高系统访问安全性，详见表5。

表5 AIX系统访问控制基线技术要求1.2.Windows系统安全基线1.2.1.用户账号与口令通过配置操作系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表6。

表6 Windows系统用户账号与口令基线技术要求1.2.2.日志与审计通过对操作系统日志进行安全控制与管理，提高日志的安全性与有效性，详见表7。

表7 Windows系统日志与审计基线技术要求1.2.3.服务优化通过优化系统资源，提高系统服务安全性，详见表8。

表8 Windows系统服务优化基线技术要求1.2.4.访问控制通过对系统配置参数调整，提高系统安全性，详见表9。

表9 Windows系统访问控制基线技术要求1.2.5.补丁管理通过进行定期更新，降低常见的漏洞被利用，详见表10。

1.3.Linux系统安全基线1.3.1.系统管理通过配置系统安全管理工具，提高系统运维管理的安全性，详见表11。

表11 Linux系统管理基线技术要求1.3.2.用户账号与口令通过配置Linux系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表12。

表12 Linux系统用户账号与口令基线技术要求1.3.3.日志与审计通过对Linux系统的日志进行安全控制与管理，提高日志的安全性与有效性，详见表13。

操作系统安全基线配置操作系统安全基线配置1、系统基本配置1.1、设置强密码策略1.1.1、密码复杂度要求1.1.2、密码长度要求1.1.3、密码历史记录限制1.2、禁用默认账户1.3、禁用不必要的服务1.4、安装最新的操作系统补丁1.5、配置防火墙1.6、启用日志记录功能1.7、安装安全审计工具2、访问控制2.1、确定用户账户和组织结构2.2、分配最小特权原则2.3、管理账户权限2.3.1、内置管理员账户2.3.2、各类用户账户2.4、用户认证和授权2.4.1、双因素身份验证2.4.2、权限管理2.5、用户追踪和监管2.5.1、记录登录和注销信息2.5.2、监控用户活动3、文件和目录权限管理3.1、配置文件和目录的ACL3.2、禁止匿名访问3.3、确保敏感数据的安全性3.4、审计文件和目录访问权限4、网络安全设置4.1、配置安全网络连接4.1.1、使用SSL/TLS加密连接4.1.2、配置安全的网络协议 4.2、网络隔离设置4.2.1、网络分段4.2.2、VLAN设置4.3、防御DDoS攻击4.4、加密网络通信4.5、网络入侵检测和预防5、应用程序安全配置5.1、安装可靠的应用程序5.2、更新应用程序到最新版本 5.3、配置应用程序的访问权限 5.4、定期备份应用程序数据5.5、应用程序安全策略6、数据保护与恢复6.1、定期备份数据6.2、加密敏感数据6.3、完整性保护6.4、数据恢复7、安全审计与监控7.1、审计日志管理7.1.1、配置日志记录7.1.2、日志监控和分析7.2、安全事件响应7.2.1、定义安全事件7.2.2、响应安全事件7.2.3、安全事件报告8、物理安全8.1、服务器和设备安全8.1.1、物理访问控制8.1.2、设备保护措施8.2、网络设备安全8.2.1、路由器和交换机的安全配置 8.2.2、网络设备的物理保护8.3、数据中心安全8.3.1、安全区域划分8.3.2、访问控制措施附件：无法律名词及注释：1、双因素身份验证：双因素身份验证是指通过两个或多个不同的身份验证要素来确认用户身份的一种安全措施。

中国移动A I X操作系统安全配置规范S p e c i f i c a t i o n f o r A I X O S C o n f i g u r a t i o nU s e d i n C h i n a M o b i l e版本号：1.0.0x x x发布x x x实施中国移动通信有限公司网络部目录1范围 (1)2规范性引用文件 (1)3术语和定义和缩略语 (3)4AIX设备安全配置要求 (3)4.1账号管理、认证授权 (3)4.1.1账号 (3)4.1.2口令 (6)4.1.3授权 (8)4.2日志配置要求 (12)4.3IP协议安全配置要求 (15)4.3.1IP协议安全 (15)4.3.2路由协议安全 (19)4.4设备其他安全配置要求 (21)4.4.1屏幕保护 (21)4.4.2文件系统及访问权限 (22)4.4.3物理端口设置 (23)4.4.4补丁管理 (24)4.4.5服务 (25)4.4.6内核调整 (28)4.4.7启动项 (29)5编制历史 (30)前言为了贯彻安全三同步的要求，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置要求。

有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。

本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。

本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。

本标准起草单位：中国移动通信有限公司网络部、中国移动通信集团天津、江苏有限公司。

本标准解释单位：同提出单位。

本标准主要起草人：张瑾、赵强、石磊、陈敏时、周智、曹一生。

1范围本规范适用于中国移动通信网、业务系统和支撑系统中使用AIX操作系统的设备。

本规范明确了AIX操作系统配置的基本安全要求，在未特别说明的情况下，均适用于所有运行的AIX操作系统版本。

1.操作系统安全基线技术要求1.1.AIX系统安全基线1.1.1.系统管理通过配置操作系统运维管理安全策略，提高系统运维管理安全性，详见表1。

表1 AIX系统管理基线技术要求1.1.2.用户账号与口令通过配置操作系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表2。

表2 AIX系统用户账户与口令基线技术要求1.1.3.日志与审计通过对操作系统的日志进行安全控制与管理，提高日志的安全性，详见表3。

表3 AIX系统日志与审计基线技术要求1.1.4.服务优化通过优化操作系统资源，提高系统服务安全性，详见表4。

表4 AIX系统服务优化基线技术要求1.1.5.访问控制通过对操作系统安全权限参数进行调整，提高系统访问安全性，详见表5。

表5 AIX系统访问控制基线技术要求1.2.Windows系统安全基线1.2.1.用户账号与口令通过配置操作系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表6。

表6Windows系统用户账号与口令基线技术要求1.2.2.日志与审计通过对操作系统日志进行安全控制与管理，提高日志的安全性与有效性，详见表7。

表7Windows系统日志与审计基线技术要求1.2.3.服务优化通过优化系统资源，提高系统服务安全性，详见表8。

表8 Windows系统服务优化基线技术要求1.2.4.访问控制通过对系统配置参数调整，提高系统安全性，详见表9。

表9 Windows系统访问控制基线技术要求1.2.5.补丁管理通过进行定期更新，降低常见的漏洞被利用，详见表10。

表10 Windows系统补丁管理基线技术要求1.3.Linux系统安全基线1.3.1.系统管理通过配置系统安全管理工具，提高系统运维管理的安全性，详见表11。

表11Linux系统管理基线技术要求1.3.2.用户账号与口令通过配置Linux系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表12。

表12Linux系统用户账号与口令基线技术要求1.3.3.日志与审计通过对Linux系统的日志进行安全控制与管理，提高日志的安全性与有效性，详见表13。

艾克斯系统安全组态基准线中国移动沟通有限公司管理信息系统部2009年3月备注：1.如果该文档将来需要更新，请创建它填写版本控制表单，否则删除版本控制表单。

项目记录第1章总览 .................................................................................................................................... 1个1.1目的 .................................................................................................................................... 1个1.2适用范围 ............................................................................................................................ 1个1.3适用版本 ............................................................................................................................ 1个1.4实行 .................................................................................................................................... 1个1.5例外条款 ............................................................................................................................ 1个第2章帐户管理身份验证和授权 (2)2.1账号 (2)2.1.1用户帐号设置 (2)2.1.2用户组设置 (2)2.1.3用户密码设置 (3)2.1.4根用户远程登录限制 (3)2.1.5系统用户登录限制 (4)2.2密码 (4)2.2.1密码有效期安全要求 (4)2.2.2密码历史记录安全要求 (4)2.2.3用户密码锁定策略 (5)2.2.4用户访问权限安全要求 (5)2.2.5用户的FTP访问的安全性要求 (6)第3章网络与服务 (7)3.1服务 (7)3.1.1远程维护安全要求 (7)3.2互联网 (7)3.2.1 ICMP重定向安全要求 (7)第四章日志审核 (8)4.1日志记录 (8)4.1.1添加身份验证日志 (8)4.2审计 (8)4.2.1安全事件审核 (8)第五章设备的其他安全配置要求 (10)5.1设备 (10)5.1.1屏幕保护膜 (10)5.2缓冲 (10)5.2.1缓冲区溢出 (10)第六章审查和修订 (12)第1章总览1.1 目的这个文件已规定中国移动通信有限公司管理信息系统由部门维护艾克斯操作系统主机应遵循的操作系统安全设置标准。

AIX 系统安全配置基线中国移动通信有限公司管理信息系统部2009年 3月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)1.4实施 (1)1.5例外条款 (1)第2章账号管理认证授权 (2)2.1账号 (2)2.1.1用户帐号设置 (2)2.1.2用户组设置 (2)2.1.3用户口令设置 (3)2.1.4Root用户远程登录限制 (3)2.1.5系统用户登录限制 (4)2.2口令 (4)2.2.1口令生存期安全要求 (4)2.2.2口令历史安全要求 (4)2.2.3用户口令锁定策略 (5)2.2.4用户访问权限安全要求 (5)2.2.5用户FTP访问的安全要求 (6)第3章网络与服务 (7)3.1服务 (7)3.1.1远程维护安全要求 (7)3.2网络 (7)3.2.1 ICMP重定向安全要求 (7)第4章日志审计 (8)4.1日志 (8)4.1.1添加认证日志 (8)4.2审计 (8)4.2.1安全事件审计 (8)第5章设备其他安全配置要求 (10)5.1设备 (10)5.1.1屏幕保护 (10)5.2缓冲区 (10)5.2.1缓冲区溢出 (10)第6章评审与修订 (12)第1章概述1.1 目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的AIX 操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行AIX 操作系统的安全合规性检查和配置。

1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的AIX 服务器系统。

1.3 适用版本AIX系列服务器；1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

各类操作系统安全配置要求及操作指南检查模块支持系统版本号Windows Windows 2000 以上Solaris Solaris 8 以上AIX AIX 5.X以上HP-UNIX HP-UNIX 11i以上Linux 内核版本 2.6以上Oracle Oracle 8i以上SQLServerMicrosoft SQL Server 2000 以上MySQL MySQL 5.x以上IIS IIS 5.x以上Apache Apache 2.x 以上Tomcat Tomcat 5.x以上WebLogic WebLogic 8.X以上Windows操作系统安全配置要求及操作指南I目录目录 (I)前言 (II)1 范围 (1)2 规范性引用文件 (1)3 缩略语 (1)4 安全配置要求 (2)4.1 账号 (2)4.2 口令 (3)4.3 授权 (5)4.4 补丁 (7)4.5 防护软件 (8)4.6 防病毒软件 (8)4.7 日志安全要求 (9)4.8 不必要的服务 ............................................................4.9 启动项 ..................................................................124.10 关闭自动播放功能 .......................................................134.11 共享文件夹 .............................................................134.12 使用 NTFS 文件系统 .....................................................144.13 网络访问 ...............................................................154.14 会话超时设置 ...........................................................164.15 注册表设置 .............................................................17附录 A：端口及服务 ..........................................................18II前言为了在工程验收、运行维护、安全检查等环节，规范并落实安全配置要求，编制了一系列的安全配置要求及操作指南，明确了操作系统、数据库、应用中间件在内的通用安全配置要求及参考操作。

AIX系统基准安全配置2010年8月6日目录1.优化系统服务 (3)1.1.禁用不必要的启动服务 (3)1.2.禁用不必要的系统服务 (3)1.3.禁用不必要的网络服务 (3)2.核心参数调整 (3)3.日志审计 (4)3.1.捕获发送到SYSLOG的信息 (4)4.文件及目录权限 (4)4.1.设置PASSWD和GROUP文件权限 (4)4.2.检查无明确属性的文件和目录 (5)5.系统访问、认证和授权 (5)5.1.删除/ETC/HOS TS.EQUIV (5)5.2.确保没有空口令（/薄弱口令）帐号 (5)5.3.设置登陆超时时间 (5)5.4.限制CRONTAB文件权限 (6)5.5.只允许ROOT使用A T和CRON (6)6.帐号及环境设置 (6)6.1.设定密码策略 (6)6.2.验证没有其他有ROOT用户权限的UID0帐户存在 (6)6.3.没有'.'在ROOT'S $PATH (7)6.4.删除.NETRC 和.RHOSTS 文件 (7)优化系统服务1.1.禁用不必要的启动服务配置/etc/inittab文件，将所有不是必须的服务全部禁用掉。

一般建议禁用下列服务：piobe、qdaemon、writesrv、uprintfd、httpdlite、imnss、imqss、rcnfs1.2.禁用不必要的系统服务配置/etc/inetd.conf文件，将所有不是必须的服务全部禁用掉。

一般建议禁用下列服务：shell、kshell、login、klogin、exec、comsat、uucp、bootps、finger、systat、netstat、tftp、talk、ntalk、rpc.rquotad、rpc.rexd、rpc.rusersd、rpc.ttdbserver、rpc.sprayd、rpc.cmsd、rpc.rwalld、rpc.pcnfsd、rpc.rstatd、rpc.ssalld、echo、discard、chargen、daytime、time、comsat、websm、instsrv、imap2、pop3、kfcli、xmquery1.3.禁用不必要的网络服务配置/etc/rc.tcpip文件，将所有不是必须的服务全部禁用掉。

AIX安全配置基线
AIX 系统安全配置基线
第1章帐号管理认证授权
1.1 帐号
2.1.1用户帐号设置*
2.1.2用户组设置*
2.1.3 Root用户远程登录限制
2.1.4系统用户登录限制*
2.1.5帐号用户共享限制*
2.1.6删除系统无关帐号*
2.1.7限制具备超级管理员权限的用户远程登录2.1.8多帐户组管理*
2.1.9系统帐号登陆限制*
1.2 口令
2.2.1口令生存期安全要求
2.2.2口令历史安全要求
2.2.3用户口令锁定策略*
2.2.4用户访问权限安全要求
2.2.5用户FTP访问的安全要求*
2.2.6用户口令强度要求
2.2.7用户缺省访问权限要求*
第2章网络与服务
2.1 服务
3.1.1远程维护安全要求
2.2 IP协议安全要求
3.2.1 ICMP重定向安全要求
3.2.2 系统开放的端口及服务安全要求*
3.2. 3 远程管理地址安全要求* 3.2.4 非路由设备转发限制* 第3章日志审计
3.1 日志
4.1.1添加认证日志*
3.2 审计
4.2.1安全事件审计
4.2.2系统信息日志要求*
4.2.3重点日志保存要求*。

（安全生产）AI安全配置基线AIX系统安全配置基线中国移动通信有限X公司管理信息系统部2009年3月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述11.1目的11.2适用范围11.3适用版本11.4实施11.5例外条款1第2章账号管理认证授权22.1账号22.1.1用户帐号设置22.1.2用户组设置22.1.3用户口令设置32.1.4Root用户远程登录限制32.1.5系统用户登录限制42.2口令42.2.1口令生存期安全要求42.2.2口令历史安全要求42.2.3用户口令锁定策略52.2.4用户访问权限安全要求52.2.5用户FTP访问的安全要求6第3章网络和服务73.1服务73.1.1远程维护安全要求7 3.2网络73.2.1 ICMP重定向安全要求7第4章日志审计84.1日志84.1.1添加认证日志84.2审计84.2.1安全事件审计8第5章设备其他安全配置要求10 5.1设备105.1.1屏幕保护105.2缓冲区105.2.1缓冲区溢出10第6章评审和修订12第1章概述1.1目的本文档规定了中国移动通信有限X公司管理信息系统部门所维护管理的AIX操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行AIX操作系统的安全合规性检查和配置。

1.2适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

本配置标准适用的范围包括：中国移动总部和各省X公司信息化部门维护管理的AIX服务器系统。

1.3适用版本AIX系列服务器；1.4实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限X公司管理信息系统部进行审批备案。

AIX系统安全配置基线AIX是IBM公司推出的一款UNIX操作系统，常用于企业级服务器和工作站。

为了确保系统的安全稳定运行，需要进行合理的安全配置。

下面是关于AIX系统安全配置的基线建议。

1. 硬件和系统环境安全- 定期检查服务器硬件并确保没有损坏或异常- 设置密码保护BIOS和引导设备- 控制机房的物理访问权限- 定期清理服务器内部和外部的灰尘，并确保服务器通风良好2. 用户账户安全- 禁止使用默认账户和密码- 最小化系统管理员账户的数量- 启用密码复杂性策略，要求密码包括大小写字母、数字和特殊字符- 定期审计和删除未使用的账户3. 文件系统和文件权限设置- 使用ACL（访问控制列表）来更细粒度地控制文件和目录的权限- 定期审计系统文件和目录的权限设置- 设置敏感文件和目录的访问监控4. 网络安全- 使用防火墙和网络隔离来保护系统免受外部攻击- 定期更新操作系统和网络设备的补丁- 禁止不必要的网络服务和端口5. 日志和监控- 启用系统日志和监控，并定期审计日志内容- 配置入侵检测系统和安全监控系统- 对系统异常行为进行实时响应和处理6. 使用安全加密通信- 对远程访问和数据传输使用SSL/TLS协议- 配置安全的VPN来保护远程访问综上所述，AIX系统安全配置基线是确保系统安全稳定地运行的关键。

通过合理的安全配置，可以降低系统被攻击的风险，保护企业的重要数据和业务运行。

同时，定期审计和更新安全配置也是必不可少的。

希望以上建议对您进行AIX系统安全配置提供帮助。

AIX操作系统是一种UNIX操作系统，通常用于企业级服务器和工作站。

它提供了一些强大的功能和性能，但是也需要进行严格的安全配置和管理，以确保系统的安全性。

本文将继续讨论AIX系统安全配置的相关内容，并详细阐述如何执行这些配置。

7. 安全更新和漏洞管理- 定期更新操作系统和安装补丁，以修复已知的漏洞和安全问题- 使用安全更新工具来自动化漏洞管理和补丁安装- 及时关注厂商发布的安全公告和漏洞通告，并采取相应的措施8. 加密和认证- 使用安全的加密算法保护数据，如AES、RSA等- 采用双因素认证来增强用户身份验证的安全性- 配置安全的SSH协议以实现加密的远程访问9. 安全审计和合规性- 使用安全审计工具来监控用户的操作行为，并记录系统级事件- 遵循合规性标准，如PCI DSS、ISO 27001等，对系统进行合规性审计- 对系统的安全配置和操作进行定期评估和测试，以确保安全性10. 系统备份和恢复- 建立系统备份和恢复的策略，确保系统可以在遭受攻击或硬件故障时快速恢复- 对备份数据进行加密和保护，以防止数据泄露和篡改- 进行恢复测试，确保备份数据的可靠性和完整性11. 终端安全- 确保终端设备的安全性，包括台式机、笔记本、移动设备等- 对终端设备进行加密和远程锁定- 安装终端安全软件，如防病毒、防恶意软件等，进行实时监控和保护12. 灾难恢复和紧急响应- 制定灾难恢复计划和紧急响应计划，以应对系统遭受自然灾害、攻击或人为错误- 执行定期的灾难恢复演练和紧急响应演练，以验证计划的有效性- 建立紧急响应小组，进行系统事件的及时响应和处置以上是AIX系统安全配置基线的相关内容，从硬件安全到灾难恢复，都需要综合考虑来确保系统的安全性和稳定性。

AIX5操作系统安全基线（试用版）备注：若此文档需要日后更新，需填写版本控制表格，否则删除版本控制表格。

目录1.概况 (1)1.1.目的 (1)1.2.适用范围 (1)1.3.适用版本 (1)1.4.使用方法 (1)1.5.编号规则 (3)1.6.参考标准 (3)2.安全配置要求 (4)2.1.帐户口令安全 (4)2.1.1.帐户共用 (4)2.1.2.帐户锁定 (4)2.1.3.超级管理员远程登录限制 (5)2.1.4.帐户权限最小化 (6)2.1.5.口令长度及复杂度 (7)2.1.6.口令最长使用期限 (7)2.1.7.口令重新使用限制 (8)2.1.8.口令锁定策略 (9)2.2.服务及授权安全 (9)2.2.1.重要文件目录权限 (9)2.2.2.用户缺省访问权限 (10)2.2.3.服务开启最小化 (11)2.2.4.系统时间同步 (12)2.2.5.DNS服务指向 (13)2.3.补丁安全 (13)2.4.日志审计 (14)2.4.1.日志审计功能设置 (14)2.4.2.日志权限设置 (15)2.4.3.日志定期备份 (16)2.4.4.网络日志服务器设置（可选） (17)2.5.防堆栈溢出设置 (17)2.6.登录通信安全 (18)2.6.1.远程管理加密 (18)2.6.2.登录超时时间设置 (20)3.评审与修订 (21)（本页空白）1.概况1.1.目的本基线制定了中国石化总部及下属各企业的AIX操作系统应遵循的基本安全配置原则，旨在为企业的系统建设、运维或安全检查工作提供规范性指导。

1.2.适用范围适用于中国石化总部及下属各企业使用的AIX操作系统。

信息化管理部对各企业执行本基线的情况进行指导和督促，各企业的系统建设人员、系统运维人员、安全管理人员应根据实际情况严格参照执行。

本基线所列各项基本安全配置要求，仅可作为企业编制主机入网测试、安全验收、安全检查规范等文档的参考，如需进行实际配置修改操作，还应在本基线的基础上制定合理的操作方案，并在实际环境中测试通过后方可操作。