第四章-主機安全測評分析課件

第4章主機安全測評技術05一月2023第4章主機安全測評技術29十二月20221本章要點本章要點2從“計算”到“計算安全”從“計算”到“計算安全”3信息安全與信息系統安全信息安全：回答的是what信息系統安全：回答的是how主機安全：是信息系統安全的分支主機安全：是信息系統安全的“最后一道防線”信息安全與信息系統安全信息安全：回答的是what4穿越時空的暢想古代信息安全：陰符、陰書、江湖切口密語、密碼現代信息安全：對稱加密非對稱加密信息隱藏……古代“主機”安全傳令兵的口令傳令兵的身體……現代主機安全身份鑒別、自主和強制訪問控制安全審計、剩余信息保護區(qū)、入侵防范、惡意代碼防范、資源控制……穿越時空的暢想古代信息安全：現代信息安全：古代“主機”安全現5防御體系防御體系6主機安全測評的要點主機安全測評的要點7身份鑒別---進大門低級：口令和密碼高級：數字證書、指紋識別、虹膜識別……2.自主訪問控制---進一些重要部門用戶按照自己的意愿對主機的參數做適當修改以決定哪些用戶可以訪問他的文件。3.強制訪問控制用戶與文件都有一個事先設置的、非經授權不能修改的安全屬性。身份鑒別---進大門84.安全審計--“做了跑不掉”包括對主機系統安全日志的保護，對用戶行為的記錄，以及對主機資源的異常記錄等方面。5.剩余信息保護主機存儲敏感信息的空間被釋放給其他用戶的時候，原來存儲在主機里的重要信息要保證及時清理掉。6.入侵防范--正在干的要及時發(fā)現包括對入侵行為的記錄（攻擊的目的地、攻擊的時間、攻擊者的IP、重要程序是否被破壞以及破壞后是否及時恢復）。4.安全審計--“做了跑不掉”97.惡意代碼防范主要檢查主機是否配備相關的防惡意代碼的機制，包括殺毒軟件等。惡意代碼：病毒，木馬，間諜軟件等。8.資源控制用戶不能無限制的使用主機資源，也要防止外面的用戶非法掠奪這臺主機的資源。7.惡意代碼防范10主機安全測評的實施測評對象：“天網”的G2G政府內部辦公網絡“青天”子系統。屬于巴山市政府的內部辦公業(yè)務，服務對象時政府各部門的公務員，處理的政府公文很多帶有敏感性。定級為3級。主機安全測評的實施測評對象：“天網”的G2G政府內部辦公網絡11主機身份鑒別訪談第3級安全測評要求主機身份鑒別訪談共3項：應訪談系統管理員，詢問操作系統的身份標識與鑒別機制采取何種措施實現。應訪談數據庫管理員，詢問數據庫的身份標識與鑒別機制采取何種措施實現。應訪談主要操作系統和數據庫管理員是否采用了遠程管理，如采用了遠程管理，查看采用何種措施防止鑒別信息在網絡傳輸過程中被竊聽。P79問卷調查主機身份鑒別訪談第3級安全測評要求主機身份鑒別訪談共3項：12主機安全審計訪談第3級安全測評要求主機安全審計訪談只有1項：應訪談安全審計員，詢問主機系統是否設置安全審計；詢問主機系統對事件進行審計的選擇要求和策略是什么？對審計日志的處理方式有哪些？P79問卷調查主機安全審計訪談第3級安全測評要求主機安全審計訪談只有1項：13主機剩余信息保護訪談第3級安全測評要求主機剩余信息保護訪談共2項：應訪談系統管理員，詢問操作系統用戶的鑒別信息存儲空間，被釋放或再分配給其他用戶前是否得到完全清除；系統內的文件、目錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前是否得到完全清除。應訪談數據庫管理員，詢問數據庫管理員用戶的鑒別信息存儲空間，被釋放或再分配給其他用戶前是否得到完全清除；數據庫記錄第3級安全測評要求等資源所在的存儲空間，被釋放或重新分配給其他用戶前是否得到完全清除。P79問卷調查主機剩余信息保護訪談第3級安全測評要求主機剩余信息保護訪談共14主機入侵防范訪談第3級安全測評要求主機入侵防范訪談共2項：應訪談系統管理員，詢問是否采取主機入侵防范措施，主機入侵防范內容是否包括主機運行監(jiān)視、資源使用超過值報警、特定進程監(jiān)控、入侵行為檢測和完整性檢測等方面的內容。應訪談系統管理員，詢問入侵防范產品的廠家、版本和安裝部署情況；詢問是否按要求（如定期或實時）進行產品升級。P79問卷調查主機入侵防范訪談第3級安全測評要求主機入侵防范訪談共2項：15主機惡意代碼防范訪談第3級安全測評要求主機惡意代碼防范訪談只有1項：應訪談系統安全管理員，詢問主機系統是否采取惡意代碼實時監(jiān)測與查殺措施，惡意代碼實時監(jiān)測與查殺措施的部署情況如何，是否按要求進行產品升級。P79問卷調查主機惡意代碼防范訪談第3級安全測評要求主機惡意代碼防范訪談只16注意國家標準關于第3級主機安全訪談規(guī)定，沒有對“自主訪問控制”、“強制訪問控制”和“資源控制”的訪談要求（第4級以上才會出現）。注意國家標準關于第3級主機安全訪談規(guī)定，沒有對“自主訪問控制17訪談現場檢查：對訪談內容進行核實包括：一是對各個主機所對應的相關文檔資料進行檢查；二是對各型主機上運用各種操作指令進行現場檢查。抽樣檢查訪談18主機安全現場檢查主機安全現場檢查191、主機身份鑒別現場檢查第3級安全測評要求主機的身份鑒別現場檢查共5項：（1）檢查服務器操作系統和數據庫管理系統身份鑒別功能是否具有《操作系統安全技術要求》（GB/T20272-2006）和《數據庫管理系統安全技術要求》（GB/T20273-2006）第二級以上或TCSECC2級以上的測試報告。文檔檢查，檢查項目建設的招/投標文件來驗證是否達到要求。1、主機身份鑒別現場檢查第3級安全測評要求主機的身份鑒別現場20（2）檢查主要服務器操作系統和數據庫系統賬戶列表，查看管理員用戶名分配是否唯一。檢查目標：檢查操作系統管理員賬戶是否唯一檢查對象：“青天”子系統Web服務器檢查步驟：開始-運行cmd命令：netlocalgroupadministrators檢查結論：該web服務器（不）符合國家標準關于第3級主機身份鑒別的安全測評要求。（2）檢查主要服務器操作系統和數據庫系統賬戶列表，查看管理員21（3）檢查主要服務器操作系統和主要數據庫管理系統，查看是否提供了身份鑒別措施，其身份鑒別信息是否具有不易被冒用的特點。檢查：用戶輸入口令來檢查，或讓系統管理員提供口令設置文件和口令替換記錄等資料來核對。第3級：口令長度至少要達到7個字符以上，并混雜有大小寫字母、數字和特殊符號?？诹钐鎿Q至少每月一次（3）檢查主要服務器操作系統和主要數據庫管理系統，查看是否提22（4）檢查主要服務器操作系統和主要數據庫管理系統，查看身份鑒別是否采用兩個或兩個以上身份鑒別技術的組合技術來進行身份鑒別。比如：口令、生物識別、物理設備、動態(tài)口令。數字證書等二選一。注意：要核對證書產品是否通過了國家權威機構的測評認證。（4）檢查主要服務器操作系統和主要數據庫管理系統，查看身份鑒23（5）檢查主要服務器操作系統和主要數據庫管理系統，查看是否配置了鑒別失敗處理功能，并設置了非法登錄次數的限制；查看是否設置網絡連接登錄超時并自動退出功能。檢查目標：查看是否配置了鑒別失敗處理功能，并設置了非法登錄次數的限制；查看是否設置網絡連接登錄超時并自動退出功能。檢查對象：”青天“子系統內網網站web服務器（5）檢查主要服務器操作系統和主要數據庫管理系統，查看是否配24檢查步驟：打開”管理工具“-本地安全設置-賬戶策略-賬戶鎖定策略。打開”管理工具“-本地安全設置-本地策略-安全選項檢查結論：該web服務器（不）符合國家標準關于第3級主機身份鑒別檢查的安全策略要求。檢查步驟：252、主機自主訪問控制現場檢查第3級安全測評要求主機的自主訪問控制現場檢查項共6項：（1）檢查服務器操作系統和數據庫管理系統的自主訪問控制功能是否具有《操作系統安全技術要求》（GB/T20272-2006）和《數據庫管理系統安全技術要求》（GB/T20273-2006）第2級以上或TCSECC2級以上的測試報告。2、主機自主訪問控制現場檢查第3級安全測評要求主機的自主訪問26（2）檢查主要服務器操作系統的安全策略，查看是否對重要文件的訪問權限進行了限制，對系統不需要的服務、共享路徑等可能被非授權訪問者（人或程序）進行了限制。檢查目標：查看是否對重要文件的訪問權限進行了限制；對系統不需要的服務是否進行了限制；是否對共享路徑進行了限制檢查對象：”青天“子系統內網WEB服務器（2）檢查主要服務器操作系統的安全策略，查看是否對重要文件的27檢查步驟：管理工具-計算機管理-共享文件夾-共享管理工具-服務檢查結論：該服務器未對共享資源進行控制，但禁用了不需要的服務，重要文件的訪問權限進行了限制。不符合第3級要求。檢查步驟：28（3）檢查主要服務器操作系統和數據庫管理系統的訪問控制列表，查看授權的用戶中是否存在過期的賬號和無用的賬號等；訪問控制列表中的用戶和權限，是否與安全策略相一致。檢查目標：查看授權用戶是否存在過期賬號和無用賬號檢查對象：”青天“子系統內網網站web服務器（3）檢查主要服務器操作系統和數據庫管理系統的訪問控制列表，29檢查步驟：管理工具-計算機管理-本地用戶和組-用戶查看用戶權限并與安全策略相對比檢查步驟：30(4)檢查主要數據庫服務器的數據庫管理人員與操作系統管理員是否由不同管理員擔任。（5）檢查主要服務器操作系統和主要數據庫管理系統，查看特權用戶的權限是否進行分離；查看是否采用最小授權原則。(4)檢查主要數據庫服務器的數據庫管理人員與操作系統管理員是31（6）查看主要服務器操作系統和主要數據庫管理系統，查看匿名/默認用戶的訪問權限是否被禁用或者嚴格限制。檢查目標：查看匿名/默認用戶的訪問權限是否被禁用或者嚴格限制檢查對象：“青天”子系統內網網站web服務器（6）查看主要服務器操作系統和主要數據庫管理系統，查看匿名/32檢查步驟：管理工具-本地安全策略-安全選項“讓每個人權限應用與匿名用戶”“限制匿名訪問命名管道和共享”“允許匿名SID/名稱轉換”三項禁用檢查結論：該服務器符合本條檢查要求。檢查步驟：333、主機的強制訪問控制安全檢查第3級安全測評要求對主機的強制訪問控制現場檢查共3項，均是檢查文檔資料。（1）檢查服務器操作系統和數據庫管理系統的強制訪問控制功能是否具有《操作系統安全技術要求》（GB/T20272-2006）和《數據庫管理系統安全技術要求》（GB/T20273-2006）第2級以上或TCSECC2級以上的測試報告。3、主機的強制訪問控制安全檢查第3級安全測評要求對主機的強制34（2）檢查服務器操作系統文檔，查看強制訪問控制管理模型是否采用“向下讀，向上寫”模型，如果操作系統采用其他強制訪問模型，則操作系統文檔中是否有對這種模型的詳細分析，并有權威機構對這種強制訪問控制模型的合理性和完善性的檢查證明。（2）檢查服務器操作系統文檔，查看強制訪問控制管理模型是否采35（3）檢查主要服務器操作系統和主要數據庫管理系統文檔，查看強制訪問控制是否與用戶身份鑒別、識別等安全功能密切配合，是否控制粒度達到主體為用戶級、客體為文件和數據庫表級。（3）檢查主要服務器操作系統和主要數據庫管理系統文檔，查看強364、安全審計現場檢查第3級安全測評要求對主機的安全審計現場檢查共5項，均可進行手動檢查。（1）檢查主要服務器操作系統、主要終端操作系統和主要數據庫管理系統，查看當前審計范圍是否覆蓋到每個用戶。檢查目標：檢查操作系統，查看當前審計范圍是否覆蓋到每個用戶。檢查對象：“青天”子系統內部郵件服務器4、安全審計現場檢查第3級安全測評要求對主機的安全審計現場檢37檢查步驟：管理工具-計算機管理-系統工具-事件查看器-系統管理工具-計算機管理-系統工具-事件查看器-安全性檢查結論：該服務器滿足主機對用戶的安全審計要求檢查步驟：38（2）檢查主要服務器操作系統、重要終端操作系統和主要數據庫管理系統，查看審計策略是否覆蓋到系統內重要的安全相關事件。檢查目標：查看操作系統，查看審計策略是否覆蓋到系統內重要的安全相關事件。檢查對象：“青天”子系統內部郵件服務器（2）檢查主要服務器操作系統、重要終端操作系統和主要數據庫管39檢查步驟：管理工具-本地安全設置-本地策略-審核策略檢查結論：該服務器滿足第3級安全測評主機對安全審計策略的要求。檢查步驟：40（3）檢查主要服務器操作系統、重要終端操作系統和主要數據庫管理系統，查看審計記錄信息是否包括事件發(fā)生的日期和事件、觸發(fā)事件的主體與客體、事件的類型、事件的成功或失敗、身份鑒別事件中請求的來源和事件的結果等內容。檢查方式同（1）（3）檢查主要服務器操作系統、重要終端操作系統和主要數據庫管41（4）檢查主要服務器和重要終端操作系統，查看是否授權用戶瀏覽和分析審計數據提供專門的審計工具，并能根據需要生成審計報表。（4）檢查主要服務器和重要終端操作系統，查看是否授權用戶瀏覽42（5）檢查主要服務器操作系統、重要終端操作系統和主要數據庫管理系統，查看審計跟蹤設置是否定義了審計跟蹤極限的閾值，當儲存空間被耗盡時，能否采取必要的保護措施。檢查目標：檢查操作系統和數據庫管理系統，查看審計跟蹤設置是否定義了審計跟蹤極限的閾值，當儲存空間被耗盡時，能否采取必要的保護措施。檢查對象：青天”子系統內部郵件服務器（5）檢查主要服務器操作系統、重要終端操作系統和主要數據庫管43檢查步驟：管理工具-本地安全設置-本地策略-安全選項管理工具-計算機管理-系統工具-事件查看器（右鍵）應用程序-屬性檢查結論：從測試過程可以看出，當存儲空間耗盡不能記錄安全審核時，系統會自動采取相應保護措施，但該項已經禁止，因此測試結果不符合安全審計的要求。對審計日志則設置了限制，并對超過限制采取了必要的保護措施，因此這項測試結果符合要求。檢查步驟：445、剩余信息保護現場檢查第3級安全測評要求對主機的剩余信息保護現場檢查共2項。（1）檢查服務器操作系統和數據庫管理系統的神域嘻嘻保護功能是否具有《操作系統安全技術要求》（GB/T20272-2006）和《數據庫管理系統安全技術要求》（GB/T20273-2006）第2級以上的測試報告。5、剩余信息保護現場檢查第3級安全測評要求對主機的剩余信息保45（2）檢查主要操作系統和主要數據庫管理系統維護操作手冊，查看是否明確用戶的鑒別信息存儲空間，被釋放或再分配給其他用戶前的處理方法和過程；文件、目錄和數據庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前的處理方法和過程。（2）檢查主要操作系統和主要數據庫管理系統維護操作手冊，查看466、主機的入侵防范現場檢查第3級安全測評要求對主機的入侵防范現場檢查共3項。（1）檢查入侵防范系統，查看能否記錄攻擊者的源ＩＰ、攻擊類型、攻擊目標和攻擊時間等，在發(fā)生嚴重入侵事件時能否提供報警功能。檢查目標：檢查入侵防范系統，查看能否記錄攻擊者的源ＩＰ、攻擊類型、攻擊目標和攻擊時間等，在發(fā)生嚴重入侵事件時能否提供報警功能。檢查對象：“青天”子系統邊界防火墻以及內網某終端6、主機的入侵防范現場檢查第3級安全測評要求對主機的入侵防范47檢查步驟：Ｐ９５檢查結論：從測試過程可以看出，入侵防范系統可以記錄攻擊者的源IP、攻擊類型、攻擊目標和攻擊事件等相關重要信息，因此符合檢查要求。檢查步驟：Ｐ９５48（2）檢查是否專門設置了升級服務器來實現對重要服務器的補丁升級。檢查目標：檢查是否專門設置了升級服務器來實現對重要服務器的補丁升級。檢查對象：“青天”子系統某專門升級服務器（2）檢查是否專門設置了升級服務器來實現對重要服務器的補丁升49檢查步驟：本實驗服務器IP7通過遠程管理在遠端計算機（模擬的補丁下載地址）打開IE瀏覽器，地址欄輸入“7”輸入該地址的主機用戶名和登錄口令，查看其軟件補丁升級的界面檢查結論：按第3級安全測評要求設置了升級服務器，可以用于對重要服務器的補丁升級，因此符合檢查要求。檢查步驟：50（3）檢查主要服務器是否已經及時更新了操作系統和數據庫系統廠商新公布的補丁。檢查目標：檢查服務器的補丁升級情況檢查對象：“青天”子系統數據庫服務器檢查步驟：首先安裝MicrosoftBaselineSecurityAnalyzer補丁升級檢查軟件運行，單擊“scanacomputer”檢查結論：主要服務器對操作系統和數據庫系統進行了及時更新，符合檢查要求。（3）檢查主要服務器是否已經及時更新了操作系統和數據庫系統廠517、主機的惡意代碼現場檢查第3級安全測評要求對主機的惡意代碼現場檢查共2項。（1）檢查主要服務器系統和重要終端系統，查看是否安裝了實時檢測和查殺惡意代碼的軟件產品，查看實時檢測與查殺惡意代碼的軟件產品是否具有惡意代碼防范的統一管理功能，查看檢測與查殺惡意代碼軟件產品的廠家、版本號和惡意代碼庫名稱。7、主機的惡意代碼現場檢查第3級安全測評要求對主機的惡意代碼52（2）檢測網絡防惡意代碼產品，查看廠家、版本號和惡意代碼庫名稱，查看是否與主機惡意點名產品有不同的惡意代碼庫。檢查目標：查看是否安裝了實時檢測和查殺惡意代碼的軟件產品，查看實時檢測與查殺惡意代碼的軟件產品是否具有惡意代碼防范的統一管理功能，查看檢測與查殺惡意代碼軟件產品的廠家、版本號和惡意代碼庫名稱。檢查對象：”青天“子系統數據庫服務器（2）檢測網絡防惡意代碼產品，查看廠家、版本號和惡意代碼庫名53檢查步驟：先從裸機上查看木馬程序是否存在，然后在windows命令行狀態(tài)下輸入命令”netstat-a“，查看當前運行的程序所使用的通信端口。打開”任務管理器“查看進程打開殺毒軟件查看該殺毒軟件產品的廠家、版本號和惡意代碼庫名稱。檢查結論：植入的木馬程序被本機上的殺毒軟件實時發(fā)現并進行了查殺，通過該殺毒軟件，可以清楚地了解到該殺毒軟件的廠家、版本和惡意代碼庫的名稱，以及日期等信息。因此，符合檢查要求。檢查步驟：548、主機的資源控制現場檢查第3級安全測評要求對主機的資源控制現場檢查共4項。（1）檢查主要服務器操作系統，查看是否設定了終端接入方式和網絡地址范圍等條件限制終端登錄功能。檢查目標：檢查主要服務器操作系統，查看是否設定了終端接入方式和網絡地址范圍等條件限制終端登錄功能。檢查對象:“青天”子系統數據庫服務器8、主機的資源控制現場檢查第3級安全測評要求對主機的資源控制55檢查步驟：組策略編輯器（gpedit.msc）-計算機配置-管理模板-windows組件-終端服務-會話管理工具-本地安全策略-IP安全策略。雙擊安全服務器。檢查結論：主要服務器操作系統設定了“僅從原始客戶端重新鏈接”和網絡地址范圍等條件，從而限制了終端登錄。因此符合檢查要求。檢查步驟：56（2）檢查主要服務器操作系統，查看是否限制了單個用戶對系統資源的最大和最小使用限度。檢查目標：檢查主要服務器操作系統，查看是否限制了單個用戶對系統資源的最大和最小使用限度。檢查對象：”青天”子系統數據庫服務器（2）檢查主要服務器操作系統，查看是否限制了單個用戶對系統資57檢查步驟：我的電腦-右鍵-磁盤-屬性配額-配額項檢查結論：主要服務器的操作系統設置了用戶對硬盤的使用限制，因此符合檢查要求。檢查步驟：58（3）檢查主要服務器操作系統，查看是否在服務水平降低到預先規(guī)定的最小值時，能檢測和報警。檢查目標：檢查系統是否為服務水平設置了最小值；查看是否在服務水平降低到預先規(guī)定的最小值時，能進行檢查和報警。檢查對象：“青天”子系統數據庫服務器（3）檢查主要服務器操作系統，查看是否在服務水平降低到預先規(guī)59檢查步驟：管理工具-性能-性能日志和報警-報警右鍵-新建管理工具-事件查看器-應用程序雙擊事件源為sysmonlog的應用程序事件檢查結論：主要服務器操作系統為服務水平設定了最小值；服務水平降低到預先規(guī)定的最小值時，能檢測和報警。因此符合檢查要求。檢查步驟：60（4）檢查能夠訪問主要服務器的終端是否設置了操作超時鎖定功能。檢查目標：檢查能夠訪問主要服務器的終端是否設置了操作超時鎖定功能。檢查對象：“青天”子系統數據庫服務器檢查步驟：管理工具-終端服務配置終端服務配置-連接RDP-Tcp檢查結論：操作超時鎖定設定了時間。因此，符合檢查要求。（4）檢查能夠訪問主要服務器的終端是否設置了操作超時鎖定功能614.2.3主機安全測試第3級安全測試要求關于主機的安全測試共8項。4.2.3主機安全測試第3級安全測試要求關于主機的安全測試共621、身份鑒別測試第3級主機安全測試要求關于主機的身份鑒別測試共3項。（1）測試主要服務器操作系統和主要數據庫管理系統，驗證鑒別失敗處理功能是否有效。測試目標：測試主要服務器操作系統和主要數據庫管理系統，驗證鑒別失敗處理功能是否有效。測試對象：”青天“子系統數據庫服務器1、身份鑒別測試第3級主機安全測試要求關于主機的身份鑒別測試63測試步驟：對已有賬號進行錯誤登錄，3次登錄無效。結果P106圖4.33測試結果：連續(xù)3次使用系統已有賬戶進行錯誤登錄，會使賬戶被鎖定。因此，測試結果符合要求。測試步驟：對已有賬號進行錯誤登錄，3次登錄無效。64（2）滲透測試主要服務器操作系統，對服務器操作系統進行用戶口令的強度檢測，查看能否破解用戶口令，破解口令后能付登錄進入系統。測試目標：如上測試對象：”青天“子系統數據庫服務器（2）滲透測試主要服務器操作系統，對服務器操作系統進行用戶口65測試步驟：首先安裝perl語言執(zhí)行環(huán)境，下載NTCrack口令破解軟件使用perl命令行語句啟動NTCrack工具獲得該機用戶口令使用破解的口令，成功登陸系統測試結論：從測試過程可以看出，可以通過口令破解工具，獲取系統中的弱口令用戶名和密碼，并使用該賬戶名和密碼成功登陸主要服務器。因此，不符合要求。測試步驟：66（3）滲透測試主要服務器操作系統，測試是否存在繞過認證方式進行系統登陸的方法，如認證程序存在的安全漏洞、社交工程或其他手段。測試目標：如上測試對象：”青天“子系統數據庫服務器（3）滲透測試主要服務器操作系統，測試是否存在繞過認證方67測試步驟：運行nc.exe監(jiān)聽一個沒有被系統使用的端口，本實驗采用1024端口按照如圖所示運行ms06040rpc.exe監(jiān)聽到shell，說明存在成功的繞過認證方式進行系統登錄的情況測試結論：從測試過程可以看出，存在繞過認證方式進行成功登錄系統的方法，因此不符合要求。測試步驟：682、主機的自主訪問控制測試第3級安全測評要求對主機安全自主訪問控制測試只有1項。測試主要服務器操作系統和主要數據庫管理系統，依據系統訪問控制的安全策略，并以未授權用戶身份/角色進行訪問檢驗，以驗證系統是否可以拒絕訪問。測試目標：如上測試對象：”青天“子系統數據庫服務器2、主機的自主訪問控制測試第3級安全測評要求對主機安全自主訪69測試步驟：以管理員身份登錄系統，檢查用戶權限的分配。以較低權限用戶身份登錄，進行越權操作。

測試結論：從測試過程可以看出，以權限較低用戶身份登錄系統，進行越權操作，無法安裝程序。因此，測試結果符合要求。測試步驟：703、主機的強制訪問控制測試第3級安全測評要求對主機安全強制訪問控制測試有2項。（1）測試主要服務器操作系統和主要數據庫管理系統，依據系統文檔描述的強制訪問控制模塊，以授權用戶和非授權用戶進行訪問，驗證是否只有授權用戶可以進行訪問，而非授權用戶不能訪問。測試目標：如上測試對象：”青天“子系統數據庫服務器3、主機的強制訪問控制測試第3級安全測評要求對主機安全強制訪71測試步驟：以任意用戶身份登錄，然后訪問不屬于NTFS分區(qū)的文件（任何登錄的用戶都可以讀取不屬于NTFS分區(qū)的磁盤上的文件）。查看設置了訪問控制權限的NTFS文件以其他用戶身份登錄系統，訪問未授權的文件，被拒絕訪問。測試結論：以未授權用戶的身份訪問設置了強制訪問控制的NTFS文件，發(fā)現只有文件的所有者才有讀取和修改文件的權限；以其他用戶身份登錄系統，訪問未授權的文件，被拒絕訪問。因此，測試結果符合要求。測試步驟：72（2）滲透測試主要服務器操作系統和主要數據庫管理系統，測試強制訪問控制是否安全、可靠。測試目標：如上測試對象：”青天“子系統數據庫服務器測試步驟：以操作系統的普通賬戶身份登錄系統，進入C盤，以鼠標右鍵單擊WINNT文件夾，選擇屬性。P113圖4.43測試結果：非法修改強制訪問相關規(guī)則沒有操作成功，說明測試的主要服務器操作系統和主要數據庫管理系統的強制訪問控制安全、可靠，符合要求。（2）滲透測試主要服務器操作系統和主要數據庫管理系統，測試強734、主機的安全審計測試第3級安全測評要求對主機的安全審計測試有2項。（1）測試主要服務器操作系統、主要終端操作系統和主要數據庫管系統，驗證其審計功能是否受到保護。測試目標：如上測試對象：”青天“子系統數據庫服務器測試步驟：用操作系統普通賬戶登錄系統，進入本地安全設置界面，然后嘗試對審計配置中的”組策略“進行修改。4、主機的安全審計測試第3級安全測評要求對主機的安全審計測試74測試結論：用操作系統普通賬戶登錄系統，進入本地安全設置界面，然后嘗試對審計配置中的”組策略“進行修改，結果顯示，系統拒絕普通賬戶修改組策略，說明用戶無法修改審計配置。因此，審計功能受到保護，符合要求。測試結論：用操作系統普通賬戶登錄系統，進入本地安全設置界面，75（2）測試主要服務器操作系統、主要終端操作系統和主要數據庫管系統，驗證安全審計的保護情況與要求是否一致。測試目標：如上測試對象：”青天“子系統數據庫服務器測試步驟：用操作系統的普通賬戶登錄系統，刪除系統的審計日志記錄，系統反饋。P114測試結論：用操作系統的普通賬戶登錄系統后，無法刪除系統的審計日志記錄，安全審計的保護情況與要求一致，符合要求。（2）測試主要服務器操作系統、主要終端操作系統和主要數據庫管764.3本章小結主機安全測評的三種主要方法身份鑒別測評自主訪問控制測評強制訪問控制測評安全審計測評剩余信息保護測評入侵防范測評惡意代碼防范測評資源控制測評訪談、檢查、測試4.3本章小結主機安全測評的三種主要方法訪談、檢查、測試77That'sallfortoday!That'sallfortoday!78第4章主機安全測評技術05一月2023第4章主機安全測評技術29十二月202279本章要點本章要點80從“計算”到“計算安全”從“計算”到“計算安全”81信息安全與信息系統安全信息安全：回答的是what信息系統安全：回答的是how主機安全：是信息系統安全的分支主機安全：是信息系統安全的“最后一道防線”信息安全與信息系統安全信息安全：回答的是what82穿越時空的暢想古代信息安全：陰符、陰書、江湖切口密語、密碼現代信息安全：對稱加密非對稱加密信息隱藏……古代“主機”安全傳令兵的口令傳令兵的身體……現代主機安全身份鑒別、自主和強制訪問控制安全審計、剩余信息保護區(qū)、入侵防范、惡意代碼防范、資源控制……穿越時空的暢想古代信息安全：現代信息安全：古代“主機”安全現83防御體系防御體系84主機安全測評的要點主機安全測評的要點85身份鑒別---進大門低級：口令和密碼高級：數字證書、指紋識別、虹膜識別……2.自主訪問控制---進一些重要部門用戶按照自己的意愿對主機的參數做適當修改以決定哪些用戶可以訪問他的文件。3.強制訪問控制用戶與文件都有一個事先設置的、非經授權不能修改的安全屬性。身份鑒別---進大門864.安全審計--“做了跑不掉”包括對主機系統安全日志的保護，對用戶行為的記錄，以及對主機資源的異常記錄等方面。5.剩余信息保護主機存儲敏感信息的空間被釋放給其他用戶的時候，原來存儲在主機里的重要信息要保證及時清理掉。6.入侵防范--正在干的要及時發(fā)現包括對入侵行為的記錄（攻擊的目的地、攻擊的時間、攻擊者的IP、重要程序是否被破壞以及破壞后是否及時恢復）。4.安全審計--“做了跑不掉”877.惡意代碼防范主要檢查主機是否配備相關的防惡意代碼的機制，包括殺毒軟件等。惡意代碼：病毒，木馬，間諜軟件等。8.資源控制用戶不能無限制的使用主機資源，也要防止外面的用戶非法掠奪這臺主機的資源。7.惡意代碼防范88主機安全測評的實施測評對象：“天網”的G2G政府內部辦公網絡“青天”子系統。屬于巴山市政府的內部辦公業(yè)務，服務對象時政府各部門的公務員，處理的政府公文很多帶有敏感性。定級為3級。主機安全測評的實施測評對象：“天網”的G2G政府內部辦公網絡89主機身份鑒別訪談第3級安全測評要求主機身份鑒別訪談共3項：應訪談系統管理員，詢問操作系統的身份標識與鑒別機制采取何種措施實現。應訪談數據庫管理員，詢問數據庫的身份標識與鑒別機制采取何種措施實現。應訪談主要操作系統和數據庫管理員是否采用了遠程管理，如采用了遠程管理，查看采用何種措施防止鑒別信息在網絡傳輸過程中被竊聽。P79問卷調查主機身份鑒別訪談第3級安全測評要求主機身份鑒別訪談共3項：90主機安全審計訪談第3級安全測評要求主機安全審計訪談只有1項：應訪談安全審計員，詢問主機系統是否設置安全審計；詢問主機系統對事件進行審計的選擇要求和策略是什么？對審計日志的處理方式有哪些？P79問卷調查主機安全審計訪談第3級安全測評要求主機安全審計訪談只有1項：91主機剩余信息保護訪談第3級安全測評要求主機剩余信息保護訪談共2項：應訪談系統管理員，詢問操作系統用戶的鑒別信息存儲空間，被釋放或再分配給其他用戶前是否得到完全清除；系統內的文件、目錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前是否得到完全清除。應訪談數據庫管理員，詢問數據庫管理員用戶的鑒別信息存儲空間，被釋放或再分配給其他用戶前是否得到完全清除；數據庫記錄第3級安全測評要求等資源所在的存儲空間，被釋放或重新分配給其他用戶前是否得到完全清除。P79問卷調查主機剩余信息保護訪談第3級安全測評要求主機剩余信息保護訪談共92主機入侵防范訪談第3級安全測評要求主機入侵防范訪談共2項：應訪談系統管理員，詢問是否采取主機入侵防范措施，主機入侵防范內容是否包括主機運行監(jiān)視、資源使用超過值報警、特定進程監(jiān)控、入侵行為檢測和完整性檢測等方面的內容。應訪談系統管理員，詢問入侵防范產品的廠家、版本和安裝部署情況；詢問是否按要求（如定期或實時）進行產品升級。P79問卷調查主機入侵防范訪談第3級安全測評要求主機入侵防范訪談共2項：93主機惡意代碼防范訪談第3級安全測評要求主機惡意代碼防范訪談只有1項：應訪談系統安全管理員，詢問主機系統是否采取惡意代碼實時監(jiān)測與查殺措施，惡意代碼實時監(jiān)測與查殺措施的部署情況如何，是否按要求進行產品升級。P79問卷調查主機惡意代碼防范訪談第3級安全測評要求主機惡意代碼防范訪談只94注意國家標準關于第3級主機安全訪談規(guī)定，沒有對“自主訪問控制”、“強制訪問控制”和“資源控制”的訪談要求（第4級以上才會出現）。注意國家標準關于第3級主機安全訪談規(guī)定，沒有對“自主訪問控制95訪談現場檢查：對訪談內容進行核實包括：一是對各個主機所對應的相關文檔資料進行檢查；二是對各型主機上運用各種操作指令進行現場檢查。抽樣檢查訪談96主機安全現場檢查主機安全現場檢查971、主機身份鑒別現場檢查第3級安全測評要求主機的身份鑒別現場檢查共5項：（1）檢查服務器操作系統和數據庫管理系統身份鑒別功能是否具有《操作系統安全技術要求》（GB/T20272-2006）和《數據庫管理系統安全技術要求》（GB/T20273-2006）第二級以上或TCSECC2級以上的測試報告。文檔檢查，檢查項目建設的招/投標文件來驗證是否達到要求。1、主機身份鑒別現場檢查第3級安全測評要求主機的身份鑒別現場98（2）檢查主要服務器操作系統和數據庫系統賬戶列表，查看管理員用戶名分配是否唯一。檢查目標：檢查操作系統管理員賬戶是否唯一檢查對象：“青天”子系統Web服務器檢查步驟：開始-運行cmd命令：netlocalgroupadministrators檢查結論：該web服務器（不）符合國家標準關于第3級主機身份鑒別的安全測評要求。（2）檢查主要服務器操作系統和數據庫系統賬戶列表，查看管理員99（3）檢查主要服務器操作系統和主要數據庫管理系統，查看是否提供了身份鑒別措施，其身份鑒別信息是否具有不易被冒用的特點。檢查：用戶輸入口令來檢查，或讓系統管理員提供口令設置文件和口令替換記錄等資料來核對。第3級：口令長度至少要達到7個字符以上，并混雜有大小寫字母、數字和特殊符號?？诹钐鎿Q至少每月一次（3）檢查主要服務器操作系統和主要數據庫管理系統，查看是否提100（4）檢查主要服務器操作系統和主要數據庫管理系統，查看身份鑒別是否采用兩個或兩個以上身份鑒別技術的組合技術來進行身份鑒別。比如：口令、生物識別、物理設備、動態(tài)口令。數字證書等二選一。注意：要核對證書產品是否通過了國家權威機構的測評認證。（4）檢查主要服務器操作系統和主要數據庫管理系統，查看身份鑒101（5）檢查主要服務器操作系統和主要數據庫管理系統，查看是否配置了鑒別失敗處理功能，并設置了非法登錄次數的限制；查看是否設置網絡連接登錄超時并自動退出功能。檢查目標：查看是否配置了鑒別失敗處理功能，并設置了非法登錄次數的限制；查看是否設置網絡連接登錄超時并自動退出功能。檢查對象：”青天“子系統內網網站web服務器（5）檢查主要服務器操作系統和主要數據庫管理系統，查看是否配102檢查步驟：打開”管理工具“-本地安全設置-賬戶策略-賬戶鎖定策略。打開”管理工具“-本地安全設置-本地策略-安全選項檢查結論：該web服務器（不）符合國家標準關于第3級主機身份鑒別檢查的安全策略要求。檢查步驟：1032、主機自主訪問控制現場檢查第3級安全測評要求主機的自主訪問控制現場檢查項共6項：（1）檢查服務器操作系統和數據庫管理系統的自主訪問控制功能是否具有《操作系統安全技術要求》（GB/T20272-2006）和《數據庫管理系統安全技術要求》（GB/T20273-2006）第2級以上或TCSECC2級以上的測試報告。2、主機自主訪問控制現場檢查第3級安全測評要求主機的自主訪問104（2）檢查主要服務器操作系統的安全策略，查看是否對重要文件的訪問權限進行了限制，對系統不需要的服務、共享路徑等可能被非授權訪問者（人或程序）進行了限制。檢查目標：查看是否對重要文件的訪問權限進行了限制；對系統不需要的服務是否進行了限制；是否對共享路徑進行了限制檢查對象：”青天“子系統內網WEB服務器（2）檢查主要服務器操作系統的安全策略，查看是否對重要文件的105檢查步驟：管理工具-計算機管理-共享文件夾-共享管理工具-服務檢查結論：該服務器未對共享資源進行控制，但禁用了不需要的服務，重要文件的訪問權限進行了限制。不符合第3級要求。檢查步驟：106（3）檢查主要服務器操作系統和數據庫管理系統的訪問控制列表，查看授權的用戶中是否存在過期的賬號和無用的賬號等；訪問控制列表中的用戶和權限，是否與安全策略相一致。檢查目標：查看授權用戶是否存在過期賬號和無用賬號檢查對象：”青天“子系統內網網站web服務器（3）檢查主要服務器操作系統和數據庫管理系統的訪問控制列表，107檢查步驟：管理工具-計算機管理-本地用戶和組-用戶查看用戶權限并與安全策略相對比檢查步驟：108(4)檢查主要數據庫服務器的數據庫管理人員與操作系統管理員是否由不同管理員擔任。（5）檢查主要服務器操作系統和主要數據庫管理系統，查看特權用戶的權限是否進行分離；查看是否采用最小授權原則。(4)檢查主要數據庫服務器的數據庫管理人員與操作系統管理員是109（6）查看主要服務器操作系統和主要數據庫管理系統，查看匿名/默認用戶的訪問權限是否被禁用或者嚴格限制。檢查目標：查看匿名/默認用戶的訪問權限是否被禁用或者嚴格限制檢查對象：“青天”子系統內網網站web服務器（6）查看主要服務器操作系統和主要數據庫管理系統，查看匿名/110檢查步驟：管理工具-本地安全策略-安全選項“讓每個人權限應用與匿名用戶”“限制匿名訪問命名管道和共享”“允許匿名SID/名稱轉換”三項禁用檢查結論：該服務器符合本條檢查要求。檢查步驟：1113、主機的強制訪問控制安全檢查第3級安全測評要求對主機的強制訪問控制現場檢查共3項，均是檢查文檔資料。（1）檢查服務器操作系統和數據庫管理系統的強制訪問控制功能是否具有《操作系統安全技術要求》（GB/T20272-2006）和《數據庫管理系統安全技術要求》（GB/T20273-2006）第2級以上或TCSECC2級以上的測試報告。3、主機的強制訪問控制安全檢查第3級安全測評要求對主機的強制112（2）檢查服務器操作系統文檔，查看強制訪問控制管理模型是否采用“向下讀，向上寫”模型，如果操作系統采用其他強制訪問模型，則操作系統文檔中是否有對這種模型的詳細分析，并有權威機構對這種強制訪問控制模型的合理性和完善性的檢查證明。（2）檢查服務器操作系統文檔，查看強制訪問控制管理模型是否采113（3）檢查主要服務器操作系統和主要數據庫管理系統文檔，查看強制訪問控制是否與用戶身份鑒別、識別等安全功能密切配合，是否控制粒度達到主體為用戶級、客體為文件和數據庫表級。（3）檢查主要服務器操作系統和主要數據庫管理系統文檔，查看強1144、安全審計現場檢查第3級安全測評要求對主機的安全審計現場檢查共5項，均可進行手動檢查。（1）檢查主要服務器操作系統、主要終端操作系統和主要數據庫管理系統，查看當前審計范圍是否覆蓋到每個用戶。檢查目標：檢查操作系統，查看當前審計范圍是否覆蓋到每個用戶。檢查對象：“青天”子系統內部郵件服務器4、安全審計現場檢查第3級安全測評要求對主機的安全審計現場檢115檢查步驟：管理工具-計算機管理-系統工具-事件查看器-系統管理工具-計算機管理-系統工具-事件查看器-安全性檢查結論：該服務器滿足主機對用戶的安全審計要求檢查步驟：116（2）檢查主要服務器操作系統、重要終端操作系統和主要數據庫管理系統，查看審計策略是否覆蓋到系統內重要的安全相關事件。檢查目標：查看操作系統，查看審計策略是否覆蓋到系統內重要的安全相關事件。檢查對象：“青天”子系統內部郵件服務器（2）檢查主要服務器操作系統、重要終端操作系統和主要數據庫管117檢查步驟：管理工具-本地安全設置-本地策略-審核策略檢查結論：該服務器滿足第3級安全測評主機對安全審計策略的要求。檢查步驟：118（3）檢查主要服務器操作系統、重要終端操作系統和主要數據庫管理系統，查看審計記錄信息是否包括事件發(fā)生的日期和事件、觸發(fā)事件的主體與客體、事件的類型、事件的成功或失敗、身份鑒別事件中請求的來源和事件的結果等內容。檢查方式同（1）（3）檢查主要服務器操作系統、重要終端操作系統和主要數據庫管119（4）檢查主要服務器和重要終端操作系統，查看是否授權用戶瀏覽和分析審計數據提供專門的審計工具，并能根據需要生成審計報表。（4）檢查主要服務器和重要終端操作系統，查看是否授權用戶瀏覽120（5）檢查主要服務器操作系統、重要終端操作系統和主要數據庫管理系統，查看審計跟蹤設置是否定義了審計跟蹤極限的閾值，當儲存空間被耗盡時，能否采取必要的保護措施。檢查目標：檢查操作系統和數據庫管理系統，查看審計跟蹤設置是否定義了審計跟蹤極限的閾值，當儲存空間被耗盡時，能否采取必要的保護措施。檢查對象：青天”子系統內部郵件服務器（5）檢查主要服務器操作系統、重要終端操作系統和主要數據庫管121檢查步驟：管理工具-本地安全設置-本地策略-安全選項管理工具-計算機管理-系統工具-事件查看器（右鍵）應用程序-屬性檢查結論：從測試過程可以看出，當存儲空間耗盡不能記錄安全審核時，系統會自動采取相應保護措施，但該項已經禁止，因此測試結果不符合安全審計的要求。對審計日志則設置了限制，并對超過限制采取了必要的保護措施，因此這項測試結果符合要求。檢查步驟：1225、剩余信息保護現場檢查第3級安全測評要求對主機的剩余信息保護現場檢查共2項。（1）檢查服務器操作系統和數據庫管理系統的神域嘻嘻保護功能是否具有《操作系統安全技術要求》（GB/T20272-2006）和《數據庫管理系統安全技術要求》（GB/T20273-2006）第2級以上的測試報告。5、剩余信息保護現場檢查第3級安全測評要求對主機的剩余信息保123（2）檢查主要操作系統和主要數據庫管理系統維護操作手冊，查看是否明確用戶的鑒別信息存儲空間，被釋放或再分配給其他用戶前的處理方法和過程；文件、目錄和數據庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前的處理方法和過程。（2）檢查主要操作系統和主要數據庫管理系統維護操作手冊，查看1246、主機的入侵防范現場檢查第3級安全測評要求對主機的入侵防范現場檢查共3項。（1）檢查入侵防范系統，查看能否記錄攻擊者的源ＩＰ、攻擊類型、攻擊目標和攻擊時間等，在發(fā)生嚴重入侵事件時能否提供報警功能。檢查目標：檢查入侵防范系統，查看能否記錄攻擊者的源ＩＰ、攻擊類型、攻擊目標和攻擊時間等，在發(fā)生嚴重入侵事件時能否提供報警功能。檢查對象：“青天”子系統邊界防火墻以及內網某終端6、主機的入侵防范現場檢查第3級安全測評要求對主機的入侵防范125檢查步驟：Ｐ９５檢查結論：從測試過程可以看出，入侵防范系統可以記錄攻擊者的源IP、攻擊類型、攻擊目標和攻擊事件等相關重要信息，因此符合檢查要求。檢查步驟：Ｐ９５126（2）檢查是否專門設置了升級服務器來實現對重要服務器的補丁升級。檢查目標：檢查是否專門設置了升級服務器來實現對重要服務器的補丁升級。檢查對象：“青天”子系統某專門升級服務器（2）檢查是否專門設置了升級服務器來實現對重要服務器的補丁升127檢查步驟：本實驗服務器IP7通過遠程管理在遠端計算機（模擬的補丁下載地址）打開IE瀏覽器，地址欄輸入“7”輸入該地址的主機用戶名和登錄口令，查看其軟件補丁升級的界面檢查結論：按第3級安全測評要求設置了升級服務器，可以用于對重要服務器的補丁升級，因此符合檢查要求。檢查步驟：128（3）檢查主要服務器是否已經及時更新了操作系統和數據庫系統廠商新公布的補丁。檢查目標：檢查服務器的補丁升級情況檢查對象：“青天”子系統數據庫服務器檢查步驟：首先安裝MicrosoftBaselineSecurityAnalyzer補丁升級檢查軟件運行，單擊“scanacomputer”檢查結論：主要服務器對操作系統和數據庫系統進行了及時更新，符合檢查要求。（3）檢查主要服務器是否已經及時更新了操作系統和數據庫系統廠1297、主機的惡意代碼現場檢查第3級安全測評要求對主機的惡意代碼現場檢查共2項。（1）檢查主要服務器系統和重要終端系統，查看是否安裝了實時檢測和查殺惡意代碼的軟件產品，查看實時檢測與查殺惡意代碼的軟件產品是否具有惡意代碼防范的統一管理功能，查看檢測與查殺惡意代碼軟件產品的廠家、版本號和惡意代碼庫名稱。7、主機的惡意代碼現場檢查第3級安全測評要求對主機的惡意代碼130（2）檢測網絡防惡意代碼產品，查看廠家、版本號和惡意代碼庫名稱，查看是否與主機惡意點名產品有不同的惡意代碼庫。檢查目標：查看是否安裝了實時檢測和查殺惡意代碼的軟件產品，查看實時檢測與查殺惡意代碼的軟件產品是否具有惡意代碼防范的統一管理功能，查看檢測與查殺惡意代碼軟件產品的廠家、版本號和惡意代碼庫名稱。檢查對象：”青天“子系統數據庫服務器（2）檢測網絡防惡意代碼產品，查看廠家、版本號和惡意代碼庫名131檢查步驟：先從裸機上查看木馬程序是否存在，然后在windows命令行狀態(tài)下輸入命令”netstat-a“，查看當前運行的程序所使用的通信端口。打開”任務管理器“查看進程打開殺毒軟件查看該殺毒軟件產品的廠家、版本號和惡意代碼庫名稱。檢查結論：植入的木馬程序被本機上的殺毒軟件實時發(fā)現并進行了查殺，通過該殺毒軟件，可以清楚地了解到該殺毒軟件的廠家、版本和惡意代碼庫的名稱，以及日期等信息。因此，符合檢查要求。檢查步驟：1328、主機的資源控制現場檢查第3級安全測評要求對主機的資源控制現場檢查共4項。（1）檢查主要服務器操作系統，查看是否設定了終端接入方式和網絡地址范圍等條件限制終端登錄功能。檢查目標：檢查主要服務器操作系統，查看是否設定了終端接入方式和網絡地址范圍等條件限制終端登錄功能。檢查對象:“青天”子系統數據庫服務器8、主機的資源控制現場檢查第3級安全測評要求對主機的資源控制133檢查步驟：組策略編輯器（gpedit.msc）-計算機配置-管理模板-windows組件-終端服務-會話管理工具-本地安全策略-IP安全策略。雙擊安全服務器。檢查結論：主要服務器操作系統設定了“僅從原始客戶端重新鏈接”和網絡地址范圍等條件，從而限制了終端登錄。因此符合檢查要求。檢查步驟：134（2）檢查主要服務器操作系統，查看是否限制了單個用戶對系統資源的最大和最小使用限度。檢查目標：檢查主要服務器操作系統，查看是否限制了單個用戶對系統資源的最大和最小使用限度。檢查對象：”青天”子系統數據庫服務器（2）檢查主要服務器操作系統，查看是否限制了單個用戶對系統資135檢查步驟：我的電腦-右鍵-磁盤-屬性配額-配額項檢查結論：主要服務器的操作系統設置了用戶對硬盤的使用限制，因此符合檢查要求。檢查步驟：136（3）檢查主要服務器操作系統，查看是否在服務水平降低到預先規(guī)定的最小值時，能檢測和報警。檢查目標：檢查系統是否為服務水平設置了最小值；查看是否在服務水平降低到預先規(guī)定的最小值時，能進行檢查和報警。檢查對象：“青天”子系統數據庫服務器（3）檢查主要服務器操作系統，查看是否在服務水平降低到預先規(guī)137檢查步驟：管理工具-性能-性能日志和報警-報警右鍵-新建管理工具-事件查看器-應用程序雙擊事件源為sysmonlog的應用程序事件檢查結論：主要服務器操作系統為服務水平設定了最小值；服務水平降低到預先規(guī)定的最小值時，能檢測和報警。因此符合檢查要求。檢查步驟：138（4）檢查能夠訪問主要服務器的終端是否設置了操作超時鎖定功能。檢查目標：檢查能夠訪問主要服務器的終端是否設置了操作超時鎖定功能。檢查對象：“青天”子系統數據庫服務器檢查步驟：管理工具-終端服務配置終端服務配置-連接RDP-Tcp檢查結論：操作超時鎖定設定了時間。因此，符合檢查要求。（4）檢查能夠訪問主要服務器的終端是否設置了操作超時鎖定功能1394.2.3主機安全測試第3級安全測試要求關于主機的安全測試共8項。4.2.3主機安全測試第3級安全測試要求關于主機的安全測試共1401、身份鑒別測試第3級主機安全測試要求關于主機的身份鑒別測試共3項。（1）測試主要服務器操作系統和主要數據庫管理系統，驗證鑒別失敗處理功能是否有效。測試目標：測試主要服務器操作系統和主要數據庫管理系統，驗證鑒別失敗處理功能是否有效。測試對象：”青天“子系統數據庫服務器1、身份鑒別測試第3級主機安全測試要求關于主機的身份鑒別測試141測試步驟：對已有賬號進行錯誤登錄，3次登錄無效。結果P106圖4.33測試結果：連續(xù)3次使用系統已