二級(jí)系統(tǒng)安全等級(jí)保護(hù)基本要求和測(cè)評(píng)要求

第一級(jí)基本要求第二級(jí)基本要求第二級(jí)測(cè)評(píng)要求

安全類別

a）機(jī)房和辦公場(chǎng)地應(yīng)選擇在a）應(yīng)訪談物理安全負(fù)責(zé)人，問(wèn)詢現(xiàn)有機(jī)房和

物理具有防震、防風(fēng)和防雨等能力放置終端計(jì)算機(jī)設(shè)備的辦公場(chǎng)地的環(huán)境條件是

位置的建造內(nèi)。否能夠滿足信息系統(tǒng)業(yè)務(wù)需求和安全管理需

/

的選求，是否具有基本的防震、防風(fēng)和防雨等能力：

（G）b）應(yīng)檢查機(jī)房和辦公場(chǎng)地是否在具有防震、

防風(fēng)和防雨等能力的建造內(nèi)。

物理

a）機(jī)房出入應(yīng)安排專人負(fù)￡）機(jī)房出入應(yīng)安排專人負(fù)責(zé)，】）應(yīng)訪談物理安全負(fù)責(zé)人，了解部署了哪些控

安全

責(zé)，控制、鑒別和記錄進(jìn)入產(chǎn)、制、鑒別和記錄進(jìn)入的人員；制人員進(jìn)出機(jī)房的保護(hù)措施；

物理

的人員b）需進(jìn)入機(jī)房的來(lái)訪人員應(yīng)3）應(yīng)檢查機(jī)房安全管理制度，查看是否有關(guān)

訪問(wèn)

經(jīng)過(guò)申請(qǐng)和審批流程，并限制于機(jī)房出入方面的規(guī)定；

控制

和監(jiān)控其活動(dòng)范圍。c）應(yīng)檢查機(jī)房出入口是否有專人值守，是否有

（G）

值守記錄及人員進(jìn)入機(jī)房的登記記錄；檢查機(jī)

房是否不存在專人值守之外的其他出入口；

第1頁(yè)

d）應(yīng)檢查是否有來(lái)訪人員注入機(jī)房的審批記

錄，查看審批記錄是否包括來(lái)訪人員的訪問(wèn)

范圍。

a）應(yīng)將主要設(shè)備放置在機(jī)1）應(yīng)將主要設(shè)備放置在機(jī)房a應(yīng)訪談物理安全負(fù)責(zé)人，了解采取了哪些防

房?jī)?nèi)；內(nèi)；止設(shè)備、介質(zhì)等丟失的保護(hù)措施；

b）公［將設(shè)備或者主要部件進(jìn)b）應(yīng)將設(shè)備或者主要部件進(jìn)行b應(yīng)訪談機(jī)房維護(hù)人員，問(wèn)詢關(guān)鍵設(shè)備放置位

行固定，并設(shè)置明顯的不易固定，并設(shè)置明顯的不易除去置是否做到安全可控，設(shè)備或者主要部件是否進(jìn)

防盜除去的標(biāo)記C勺標(biāo)記；彳『了固定和標(biāo)記，通信線纜是否鋪設(shè)在隱蔽處；

竊和c）應(yīng)將通信線纜鋪設(shè)在隱蔽是否對(duì)機(jī)房安裝的防盜報(bào)警設(shè)施并定期進(jìn)行

防破處，可鋪設(shè)在地下或者管道中；維護(hù)檢查；

壞（G）d）應(yīng)對(duì)介質(zhì)分類標(biāo)識(shí)，存儲(chǔ)在c）應(yīng)訪談資產(chǎn)管理員，介質(zhì)是否進(jìn)行了分類標(biāo)

介質(zhì)庫(kù)或者檔案室中；識(shí)管理，介質(zhì)是否存放在介質(zhì)庫(kù)或者檔案室

內(nèi)

0）主機(jī)房應(yīng)安裝必要的防盜

進(jìn)行管理；

報(bào)警設(shè)施。

d）應(yīng)檢查關(guān)鍵設(shè)備是否放置在機(jī)房?jī)?nèi)或者其

它

不易被盜竊和破壞的可控范圍內(nèi)；檢查關(guān)鍵設(shè)

第2頁(yè)

備或者設(shè)備的主要部件的固定情況，查看其是否

不易被挪移或者被搬走，是否設(shè)置明顯的不易除

去的標(biāo)記；

。）應(yīng)檢查通信線纜鋪設(shè)是否在隱蔽處；

0應(yīng)檢查機(jī)房防盜報(bào)警設(shè)施是否正常運(yùn)行，并

查看是否有運(yùn)行和報(bào)警記錄；

g）應(yīng)檢查介質(zhì)的管理情況，查看介質(zhì)是否有正

確的分類標(biāo)識(shí)，是否存放在介質(zhì)庫(kù)或者檔案室1人O

公機(jī)房建造應(yīng)設(shè)置避雷裝z）機(jī)房建造應(yīng)設(shè)置避雷裝置；C1）應(yīng)訪談物理安全負(fù)責(zé)人，問(wèn)詢?yōu)榉乐估讚?/p>

置1，）機(jī)房應(yīng)設(shè)置交流電源地線。事件導(dǎo)致重要設(shè)備被破壞采取了哪些防護(hù)措

施，機(jī)房建造是否設(shè)置了避雷裝置，是否通過(guò)

防雷

驗(yàn)收或者國(guó)家有關(guān)部門的技術(shù)檢測(cè)；問(wèn)詢機(jī)房計(jì)

擊（G）

算機(jī)供電系統(tǒng)是否有交流電源地線；

b）應(yīng)檢查機(jī)房建造是否有避雷裝置，是否有交

流地線。

笫3頁(yè)

a）機(jī)房應(yīng)設(shè)置滅火設(shè)備0機(jī)房應(yīng)設(shè)置滅火設(shè)備和火a應(yīng)訪談物理安全負(fù)責(zé)人，問(wèn)詢機(jī)房是否設(shè)置

災(zāi)自動(dòng)報(bào)警系統(tǒng)。了滅火設(shè)備，是否設(shè)置了火災(zāi)自動(dòng)報(bào)警系統(tǒng)，

是否有人負(fù)貢維護(hù)該系統(tǒng)的運(yùn)行，是否制定r

有關(guān)機(jī)房消防的管理制度和消防預(yù)案，是否進(jìn)

行了消防培訓(xùn)；

防火b：應(yīng)訪談機(jī)房維護(hù)人員，問(wèn)詢是否對(duì)火災(zāi)自動(dòng)

（G）IR警系統(tǒng)定期進(jìn)行檢查和維護(hù)；

C）應(yīng)檢杳機(jī)房是否設(shè)置了滅火設(shè)備，滅火設(shè)備

擺放位置是否合理，其有效期是否合格：應(yīng)檢

查機(jī)房火災(zāi)自動(dòng)報(bào)警系統(tǒng)是否正常工作，查看

是否有運(yùn)行記錄、報(bào)警記錄、定期檢查和維修

記錄。

防水a(chǎn)）應(yīng)對(duì)穿過(guò)機(jī)房墻壁和樓1）水管安裝，不得穿過(guò)機(jī)房＜）應(yīng)訪談物理安全負(fù)責(zé)人，問(wèn)詢機(jī)房是否部署

和防板的水管增加必要的保護(hù)屋頂和活動(dòng)地板下；了防水防潮措施；如果機(jī)房?jī)?nèi)有上/下水管安

(G)措施；b）應(yīng)采取措施防止雨水通過(guò)裝，是否避免穿過(guò)屋頂和活動(dòng)地板下，穿過(guò)墻

笫4頁(yè)

b）應(yīng)采取措施防止雨水通幾房窗戶、屋頂和墻壁滲透；壁和樓板的水管是否采取了可靠的保護(hù)措施；

過(guò)機(jī)房窗戶、屋頂和墻壁滲C）應(yīng)采取措施防止機(jī)房?jī)?nèi)水生濕度較高的地區(qū)或者季節(jié)是否有人負(fù)責(zé)機(jī)房

防

透蒸氣結(jié)露和地下積水的轉(zhuǎn)移及水防潮事宜，配備除濕裝置：

滲透。。）應(yīng)訪談機(jī)房維護(hù)人員，問(wèn)詢機(jī)房是否沒(méi)有出

現(xiàn)過(guò)漏水和返潮事件；如果機(jī)房?jī)?nèi)有上/下水管

安裝，是否時(shí)常檢查其漏水情況；在濕度較高

地區(qū)或者季節(jié)是否有人負(fù)責(zé)機(jī)房防水防潮事宜，

使用除濕裝置除濕；如果浮現(xiàn)機(jī)房水蒸氣結(jié)露

和地下積水的轉(zhuǎn)移及滲透現(xiàn)象是否及時(shí)采取

防范措施；

C）應(yīng)檢查穿過(guò)主機(jī)房墻壁或者樓板的管道是

否配置套管，管道及套管之間是否采取可靠

的密

封措施；

d）的檢杳機(jī)房的窗戶、屋頂和堵壁等是否未出

現(xiàn)過(guò)漏水、滲透和返潮現(xiàn)象，機(jī)房及其環(huán)境是

第5頁(yè)

否不存在明顯的漏水和返潮的威脅,；如果浮現(xiàn)

漏水、滲透和返潮現(xiàn)象，則查看是否能夠及時(shí)

修復(fù)解決；

e）對(duì)濕度較高的地區(qū)，應(yīng)檢查機(jī)房是否有濕度

記錄，是否有除濕裝置并能夠正常運(yùn)行，是否

有防止浮現(xiàn)機(jī)房地下積水的轉(zhuǎn)移及滲透的措

施，是否有防水防潮處理記錄。

a）關(guān)鍵設(shè)備應(yīng)采用必要的接a應(yīng)訪談物理安全負(fù)責(zé)人，問(wèn)詢關(guān)鍵設(shè)備是否

地防靜電措施。采取用必要的防靜電措施，機(jī)房是否不存在靜

防靜

/電問(wèn)題或者因靜電引起的安全事件；

（G）

b）應(yīng)檢查關(guān)鍵設(shè)備是否有安全接地，查看機(jī)房

是否不存在明顯的靜電現(xiàn)象。

溫濕機(jī)房應(yīng)設(shè)置必要的溫、濕度1兒房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)）應(yīng)訪談物理安全負(fù)責(zé)人，問(wèn)詢機(jī)房是否配備

度控控制設(shè)施，使機(jī)房溫、濕度設(shè)施，使機(jī)房溫、濕度的變化了，溫濕度自動(dòng)調(diào)節(jié)設(shè)施，保證溫濕度能夠滿

制(G)的變化在設(shè)備運(yùn)行所允許在設(shè)備運(yùn)行所允許的范圍之各計(jì)算機(jī)設(shè)備運(yùn)行的要求，是否在機(jī)房管理制

第6頁(yè)

的范圍之內(nèi)內(nèi)。度中規(guī)定了溫濕度控制的要求，是否有人負(fù)責(zé)

此項(xiàng)工作，是否定期檢查和維護(hù)機(jī)房的溫濕度

自動(dòng)調(diào)節(jié)設(shè)施，問(wèn)詢是否沒(méi)有浮現(xiàn)過(guò)溫濕度影

響系統(tǒng)運(yùn)行

的事件；

b）應(yīng)檢查溫濕度自動(dòng)調(diào)節(jié)設(shè)施是否能夠正常

運(yùn)行，杳看是否有溫濕度記錄、運(yùn)行記錄和維

護(hù)記錄；查看機(jī)房溫濕度是否滿足計(jì)算站場(chǎng)地

的技術(shù)條件要求”

a）應(yīng)在機(jī)房供電路線上配a）應(yīng)在機(jī)房供電路線上配置a）應(yīng)訪談物理安全負(fù)責(zé)人，問(wèn)詢計(jì)算機(jī)系統(tǒng)

置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備；供電路線上是否設(shè)置了穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)

電力

備b）應(yīng)提供短期的備用電力供備；是否設(shè)置了短期備用電源設(shè)備，供電時(shí)間

供應(yīng)

應(yīng)，至少滿足關(guān)鍵設(shè)備在斷電是否滿足系統(tǒng)關(guān)鍵設(shè)備最低電力供應(yīng)需求；

（A）

情況下的正常運(yùn)行要求。））應(yīng)檢查機(jī)房，查看計(jì)算機(jī)系統(tǒng)供電路線上的

穩(wěn)壓器、過(guò)電壓防護(hù)設(shè)備和短期備用電源設(shè)

第7頁(yè)

備是否正常運(yùn)行；

c）應(yīng)檢查是否有穩(wěn)壓器、過(guò)電壓防護(hù)設(shè)備以及

短期備用電源設(shè)備等的檢查和維護(hù)記錄。

a）電源線和通信線纜應(yīng)隔離鋪0應(yīng)訪談物理安全負(fù)責(zé)人，問(wèn)詢電源線和通信

電磁設(shè)，避免互相干擾。線纜是否隔離鋪設(shè)，是否沒(méi)有浮現(xiàn)過(guò)因電磁干

防護(hù)/擾等問(wèn)題引起的故障；

（S）b）應(yīng)檢查機(jī)房布線，查看是否做到電源線和通

信線纜隔離。

公應(yīng)保證關(guān)鍵網(wǎng)絡(luò)a）應(yīng)保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)a）應(yīng)訪談網(wǎng)絡(luò)管理員，問(wèn)詢關(guān)鍵網(wǎng)絡(luò)設(shè)備的性

設(shè)備的業(yè)務(wù)處理能力滿足務(wù)處理能力具備冗余空間，滿能以及目前業(yè)務(wù)高峰流量情況；

結(jié)構(gòu)基本業(yè)務(wù)需要；足業(yè)務(wù)高峰期需要：b）應(yīng)訪談網(wǎng)絡(luò)管理員，問(wèn)詢網(wǎng)段劃分情況以及

網(wǎng)絡(luò)

安全b）應(yīng)保證接入網(wǎng)絡(luò)和b）應(yīng)保證接入網(wǎng)絡(luò)和核心網(wǎng)劃分原則；問(wèn)詢重要的網(wǎng)段有哪些；

安全

（G）核心網(wǎng)絡(luò)的帶寬滿足基本絡(luò)的帶寬滿足業(yè)務(wù)高峰期需c）應(yīng)訪談網(wǎng)絡(luò)管理員，問(wèn)詢網(wǎng)絡(luò)中帶寬操縱情

業(yè)務(wù)需要；要：況以及帶寬分配的原則；

c）應(yīng)繪制及當(dāng)前運(yùn)行c）應(yīng)繪制及當(dāng)前運(yùn)行情況相（1）應(yīng)檢查網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，查看其及當(dāng)前運(yùn)行

第8頁(yè)

情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)守的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；的實(shí)際網(wǎng)絡(luò)系統(tǒng)是否一致；

圖d)應(yīng)根據(jù)各部門的工作職能、e：應(yīng)檢查網(wǎng)絡(luò)設(shè)計(jì)或者驗(yàn)收文檔，查看是否有

重要性和所涉及信息的重要程關(guān)鍵網(wǎng)絡(luò)設(shè)備業(yè)務(wù)處理能力、接入網(wǎng)絡(luò)及核心

度等因素，劃分不同的子網(wǎng)或彳/網(wǎng)絡(luò)

網(wǎng)段，并按照方便管理和控制的帶寬滿足業(yè)務(wù)高峰期需要的設(shè)計(jì)或者說(shuō)明；

的原則為各子網(wǎng)、網(wǎng)段分配地f)應(yīng)檢查網(wǎng)絡(luò)設(shè)計(jì)或者驗(yàn)收文檔，杳看是否有根

址段。據(jù)各部門的工作職能、重要性和所涉及信息的

重要程度等因素，劃分不同的子網(wǎng)或者網(wǎng)段，

并

按照方便管理和控制的原則為各子網(wǎng)和網(wǎng)段分

用?地加段的設(shè)計(jì)或者描述

a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控

a)應(yīng)訪談安全管理員，問(wèn)詢網(wǎng)絡(luò)訪問(wèn)控制措施

訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制功別設(shè)備，啟用訪問(wèn)控制功能；

有哪些；問(wèn)詢?cè)L問(wèn)控制策略的設(shè)計(jì)原則是什么；

控制能；b)應(yīng)能根據(jù)會(huì)話狀態(tài)信息為

問(wèn)詢網(wǎng)絡(luò)訪問(wèn)控制設(shè)備具備哪些訪問(wèn)控制功

(G)b)應(yīng)根據(jù)訪問(wèn)控制列表對(duì)數(shù)據(jù)流提供明確的允許/拒絕造；問(wèn)詢是否允許撥號(hào)訪問(wèn)網(wǎng)絡(luò)；

源地址、目的地址、源端「」、訪問(wèn)的能力，控制粒度為網(wǎng)月殳b)5檢查邊界網(wǎng)絡(luò)設(shè)備，看看其是否根據(jù)會(huì)

第9頁(yè)

目的端口和協(xié)議等進(jìn)行檢級(jí)。話狀態(tài)信息對(duì)數(shù)據(jù)流進(jìn)行控制，控制粒度是否

杳，以允許/拒絕數(shù)據(jù)包出C）應(yīng)按用戶和系統(tǒng)之間的允為網(wǎng)段級(jí)；

入；許訪問(wèn)規(guī)則，決定允許或者拒C）應(yīng)檢杳邊界網(wǎng)絡(luò)設(shè)備，看看其是含限制具有

絕

c）應(yīng)通過(guò)訪問(wèn)控制列表對(duì)撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量；

用戶對(duì)受控系統(tǒng)進(jìn)行資源訪

系統(tǒng)資源實(shí)現(xiàn)允許或者拒

d）應(yīng)測(cè)試邊界網(wǎng)絡(luò)設(shè)備，可通過(guò)試圖訪問(wèn)未授

絕問(wèn)，控制粒度為單個(gè)用戶；

權(quán)的資源，驗(yàn)證訪問(wèn)控制措施是否能對(duì)未授權(quán)

用戶訪問(wèn)，控制粒度至少為d）應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限

的訪問(wèn)行為進(jìn)行控制，控制粒度是否至少為單

用戶組的用戶數(shù)量

個(gè)用戶

a）應(yīng)訪談安全審計(jì)員，問(wèn)詢邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)

a）應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)

備是否開啟審計(jì)功能，審計(jì)內(nèi)容包括哪些項(xiàng)；

備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶

問(wèn)詢審計(jì)記錄的主要內(nèi)容有哪些；

安全行為等進(jìn)行日志記錄；

b）應(yīng)檢查邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備，查看其審計(jì)策

審計(jì)/b）審計(jì)記錄應(yīng)包括事件的日

略是否包括網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用

（G）期和時(shí)間、用戶、事件類型、

戶行為等：

事件是否成功及其他及審計(jì)相

c）應(yīng)檢查邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備，查看其事件審

辛66金自

第10頁(yè)

計(jì)記錄是否包括：事件的日期和時(shí)間、用戶、

事件類型、事件成功情況。

a）應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)中浮現(xiàn)a應(yīng)訪談安全管理員，問(wèn)詢是否對(duì)內(nèi)部用戶私

的內(nèi)部用戶未通過(guò)準(zhǔn)許私自聯(lián)自連接到外部網(wǎng)絡(luò)的行為；

邊界

到外部網(wǎng)絡(luò)的行為進(jìn)行檢查。））應(yīng)檢查邊界完整性檢查設(shè)備，查看是否正確

完整

/設(shè)置了對(duì)網(wǎng)絡(luò)內(nèi)部用戶私自連接到外部網(wǎng)絡(luò)的

性檢

行為進(jìn)行有效監(jiān)控的配置：

查⑸

c）應(yīng)測(cè)試邊界完整性檢查設(shè)備，驗(yàn)證其是否能

夠有效發(fā)現(xiàn)“非法外聯(lián)”的行為。

a）應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下a）應(yīng)訪談安全管理員，問(wèn)詢網(wǎng)絡(luò)入侵防范措

攻擊行為：端口掃描、強(qiáng)力攻施有哪些；問(wèn)詢是否有專門設(shè)備對(duì)網(wǎng)絡(luò)入侵進(jìn)

入侵

擊、木馬后門攻擊、拒絕服務(wù)行防范；

防范/

攻擊、緩沖區(qū)溢出攻擊、IP碎b）應(yīng)檢查網(wǎng)絡(luò)入侵防范設(shè)備，查看是否能檢測(cè)

（G）

片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后

門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、1P

第11頁(yè)

碎片攻擊、網(wǎng)絡(luò)蠕蟲攻擊等；

C）應(yīng)檢杳網(wǎng)絡(luò)入侵防范設(shè)備，查看其規(guī)則庫(kù)是

否為最新；

d）應(yīng)測(cè)試網(wǎng)絡(luò)入侵防范設(shè)備，驗(yàn)證其檢測(cè)。

惡意

代碼

//

防范

（G）

&）應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用a）應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶應(yīng)訪談網(wǎng)絡(luò)管理員，問(wèn)詢邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)

戶進(jìn)行身份鑒別；進(jìn)行身份鑒別：備的防護(hù)措施有哪%;問(wèn)詢邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)

網(wǎng)絡(luò)

b）應(yīng)具有登錄失敗處理功b）應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄備的登錄和驗(yàn)證方式做過(guò)何種配置；問(wèn)詢遠(yuǎn)程

設(shè)備

能，可采取結(jié)束會(huì)話、限制地址進(jìn)行限制；管理的設(shè)備是否采取措施防止鑒別信息被竊

防護(hù)

非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登C）網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯聽；

（G）

錄連接超時(shí)自動(dòng)退出等措—?））應(yīng)訪談網(wǎng)絡(luò)管理員，問(wèn)詢網(wǎng)絡(luò)設(shè)備的口令策

施；d）身份鑒別信息應(yīng)具有不易被略是什么；

第12頁(yè)

f）當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度c）應(yīng)檢杳邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備，杳看是否配置

管理時(shí)，應(yīng)采取必要措施防要求并定期更換；了對(duì)登錄用戶進(jìn)行身份鑒別的功能，口令設(shè)置

是否有復(fù)雜度和定期修改要求；

止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)力應(yīng)具有登錄失敗處理功能，

程中被竊聽可采取結(jié)束會(huì)話、限制非法登d）應(yīng)檢杳邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備，杳看是否配置

錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)了鑒別失敗處理功能；

自動(dòng)退出等措施；e）應(yīng)檢杳邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備，查看是否配置

f）當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管了對(duì)設(shè)備遠(yuǎn)程管理所產(chǎn)生的鑒別信息進(jìn)行保護(hù)

理時(shí)，應(yīng)采取必要措施防止鑒的功能；

別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊

f）應(yīng)檢查邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備，查看是否對(duì)網(wǎng)

聽。絡(luò)設(shè)備管理員登錄地址進(jìn)行限制；

g）應(yīng)對(duì)邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備進(jìn)行滲透測(cè)試，通

過(guò)使用各種滲透測(cè)試技術(shù)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行滲透

測(cè)試，驗(yàn)證網(wǎng)絡(luò)設(shè)備防護(hù)能力是否符合要求。

主機(jī)身份a）應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)a）應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)a）應(yīng)訪談系統(tǒng)管理員和數(shù)據(jù)庫(kù)管理員，問(wèn)詢操

安全鑒別據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)的身份標(biāo)識(shí)及鑒別機(jī)

第13頁(yè)

(S)標(biāo)識(shí)和鑒別鑒別；制采取何種措施實(shí)現(xiàn)；

b）操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管b）應(yīng)訪談系統(tǒng)管理員和數(shù)據(jù)庫(kù)管理員，問(wèn)詢對(duì)

理用戶身份標(biāo)識(shí)應(yīng)具有不易被操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)是否米用了遠(yuǎn)程

冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度

管理，如果采用了遠(yuǎn)程管理，查看是否采用了

要求并定期更換；防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽的措

c）應(yīng)啟用登錄失敗處理功能，施；

可采取結(jié)束會(huì)話、限制非法登c）應(yīng)檢杳關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)犍數(shù)據(jù)庫(kù)

錄次數(shù)和自動(dòng)退出等措施；管理系統(tǒng)帳戶列表，查看管理員用戶名分配是

d）當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理否惟一；

時(shí)，應(yīng)采取必要措施，防止鑒d）應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)

別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊管理系統(tǒng)，查看是否提供了身份鑒別措施，其

聽；身份鑒別信息是否具有不易被冒用的特點(diǎn)，如

e）應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系對(duì)用戶登錄口令的最小長(zhǎng)度、復(fù)雜度和更換周

統(tǒng)的不同用戶分配不同的用戶期進(jìn)行要求和限制；

名，確保用戶名具有惟一性。0）應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)

第14頁(yè)

管理系統(tǒng)，查看是否已配置了鑒別失敗處理功

能，設(shè)置了非法登錄次數(shù)的限制值；杳看是否

設(shè)置登錄連接超時(shí)處理功能，如自動(dòng)退出。

安全

標(biāo)記//

（S）

a）應(yīng)啟用訪問(wèn)控制功能，?應(yīng)啟用訪問(wèn)控制功能，依據(jù)a）應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)的安全策略，查

依據(jù)安全策略控制用戶對(duì)安全策略控制用戶對(duì)資源的訪看是否對(duì)重要文件的訪問(wèn)權(quán)限進(jìn)行了限制，對(duì)

資源的訪問(wèn)；InA統(tǒng)不需要的服務(wù)、共享路徑等進(jìn)行了禁用或者

訪問(wèn)C）應(yīng)限制默認(rèn)帳戶的訪問(wèn)b）應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)刪除；

控制權(quán)限，重命名系統(tǒng)默認(rèn)帳系統(tǒng)特權(quán)用戶的權(quán)限分離；））應(yīng)檢杳關(guān)鍵數(shù)據(jù)庫(kù)服務(wù)器的數(shù)據(jù)庫(kù)管理員

（S）戶，修改這些帳戶的默認(rèn)口C）應(yīng)限制默認(rèn)帳戶的訪問(wèn)權(quán)及操作系統(tǒng)管理員是否由不同管理員擔(dān)任：

令；限，重命名系統(tǒng)默認(rèn)帳戶，修C）應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)

d）應(yīng)及時(shí)刪除多余的、過(guò)C攵這些帳戶的默認(rèn)口令；,官理系統(tǒng)，查看匿名/默認(rèn)用戶的訪問(wèn)權(quán)限是否

期的帳戶，避免共享帳戶的（.）應(yīng)及時(shí)刪除多余的、過(guò)期的已被禁用或者嚴(yán)格限制，是否刪除了系統(tǒng)中多

第15頁(yè)

存在帳戶，避免共享帳戶的存在。余的、過(guò)期的以及共享的帳戶；

d）應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)

管理系統(tǒng)的權(quán)限設(shè)置情況，查看是否依據(jù)安全

策略對(duì)用戶權(quán)限進(jìn)行了限制。

可信

/

路徑//

（S）

a）審計(jì)范圍應(yīng)覆蓋到服務(wù)器a）應(yīng)訪談安全審計(jì)員，問(wèn)詢主機(jī)系統(tǒng)的安全

上的每一個(gè)操作系統(tǒng)用戶和數(shù)審計(jì)策略是否包括系統(tǒng)內(nèi)重要用戶行為、系統(tǒng)

據(jù)

資源的異常和重要系統(tǒng)命令的使用等垂耍的安

安全庫(kù)用戶；

全相關(guān)事件；

審計(jì)/b）審計(jì)內(nèi)容應(yīng)包括重要用戶

））應(yīng)檢行關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)

（G）行為、系統(tǒng)資源的異常使用和

管理系統(tǒng)，查看安全審計(jì)配置是否符合安全審

重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)

計(jì)策略的要求；

重要的安全相關(guān)事件；

c）應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)

c）審計(jì)記錄應(yīng)包括事件的日

第16頁(yè)

期、時(shí)間、類型、主體標(biāo)識(shí)、管理系統(tǒng)，查看審計(jì)記錄信息是否包括事件發(fā)

客體標(biāo)識(shí)和結(jié)果等；生的日期及時(shí)間、觸發(fā)事件的主體及客體、事

d)應(yīng)保護(hù)審計(jì)記錄，避免受到件KJ類型、事件成功或者失敗、事件的結(jié)果等內(nèi)

未預(yù)期的刪除、修改或者覆蓋等?容；

d）應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)

管理系統(tǒng)，查看是否對(duì)審計(jì)記錄實(shí)施了保護(hù)措

施，使其避免受到未預(yù)期的刪除、修改或者覆

蓋

等；

剩余

信息

/

保護(hù)

⑹

入侵a）操作系統(tǒng)應(yīng)遵循最小安1）操作系統(tǒng)應(yīng)遵循最小安裝a應(yīng)訪談系統(tǒng)管理員，問(wèn)詢操作系統(tǒng)中所安裝

防范裝的原則，僅安裝需要的組的原則，僅安裝需要的組件和的系統(tǒng)組件和應(yīng)用程序是否都是必須的，問(wèn)詢

（G）件和應(yīng)用程序，并保持系統(tǒng)以用程序，并通過(guò)設(shè)置升級(jí)服操作系統(tǒng)補(bǔ)丁更新的方式和周期；

第17頁(yè)

補(bǔ)丁及時(shí)得到更新務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)b）應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)中所安裝的系

得到更新。統(tǒng)組件和應(yīng)用程序是否都是必須的：

c）應(yīng)檢杳是否設(shè)置了專門的升級(jí)服務(wù)器實(shí)現(xiàn)

對(duì)關(guān)鍵服務(wù)器操作系統(tǒng)補(bǔ)丁的升級(jí)；

d）應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)

管理系統(tǒng)的補(bǔ)丁是否得到了及時(shí)安裝。

a）應(yīng)安裝防惡意代碼軟a應(yīng)安裝防惡意代碼軟件，并￡0應(yīng)訪談系統(tǒng)安全管理員，問(wèn)詢主機(jī)系統(tǒng)是否

件，并及時(shí)更新防惡意代碼及時(shí)更新防惡意代碼軟件版本采取惡意代碼實(shí)時(shí)檢測(cè)及查殺措施，惡意代碼

惡意軟件版本和惡意代碼庫(kù)印惡意代碼庫(kù)；實(shí)時(shí)檢測(cè)及查殺措施的部署覆蓋范圍如何；

代碼b）應(yīng)支持防惡意代碼軟件的b）應(yīng)檢查關(guān)鍵服務(wù)器，查看是否安裝了實(shí)時(shí)檢

防范統(tǒng)一管理。測(cè)及查殺惡意代碼的軟件產(chǎn)品并進(jìn)行及時(shí)更

（G）新；

c）應(yīng)檢查防惡意代碼產(chǎn)品是否實(shí)現(xiàn)了統(tǒng)一管

理。

資源/a）應(yīng)通過(guò)設(shè)定終端接入方式、a）應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)，查看是否設(shè)定

第18頁(yè)

控制網(wǎng)絡(luò)地址范圍等條件限制終端終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端

（A）登錄；登錄；

））應(yīng)根據(jù)安全策略設(shè)置登錄））應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)，查看是否設(shè)置

終端的操作超時(shí)鎖定；了單個(gè)用戶對(duì)系統(tǒng)資源的最大或者最小使用限

度；

c）應(yīng)限制單個(gè)用戶對(duì)系統(tǒng)資

源的最大或者最小使用限度。

c）應(yīng)檢查能夠訪問(wèn)關(guān)鍵服務(wù)器的終端是否設(shè)

置了操作超時(shí)鎖定的配置。

a）應(yīng)提供專用的登錄控制a）應(yīng)提供專用的登錄控制模a）應(yīng)訪談應(yīng)用系統(tǒng)管理員，問(wèn)詢應(yīng)用系統(tǒng)是否

模塊對(duì)登錄用戶進(jìn)行身份塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和提供專用的登錄控制模塊對(duì)登錄的用戶進(jìn)行身

標(biāo)識(shí)和鑒別；鑒別；份標(biāo)識(shí)和鑒別，具體措施有哪些；系統(tǒng)采取何

身份

種措施防止身份鑒別信息被冒用；

c）應(yīng)提供登錄失敗處理功））應(yīng)提供用戶身份標(biāo)識(shí)惟一

鑒別

能，可采取結(jié)束會(huì)話、限制和鑒別信息復(fù)雜度檢查功能，））應(yīng)訪談應(yīng)用系統(tǒng)管理員，問(wèn)詢應(yīng)用系統(tǒng)是否

（S）

應(yīng)用非法登錄次數(shù)和自動(dòng)退出保證應(yīng)用系統(tǒng)中不存在重復(fù)用具有登錄失敗處理功能；

安全等措施；戶身份標(biāo)識(shí)，身份鑒別信息不（）應(yīng)訪談應(yīng)用系統(tǒng)管理員，問(wèn)詢應(yīng)用系統(tǒng)對(duì)用

d）應(yīng)啟用身份鑒別和登錄：易被冒用；戶標(biāo)識(shí)是否具有惟一性；

第19頁(yè)

失敗處理功能，并根據(jù)安全c）應(yīng)提供登錄失敗處理功能，d）應(yīng)檢查設(shè)計(jì)或者驗(yàn)收文檔，查看其是否有系統(tǒng)

策略配置相關(guān)參數(shù)可采取結(jié)束會(huì)話、限制非法登采用了保證惟一標(biāo)識(shí)的措施的描述；

錄次數(shù)和自動(dòng)退出等措施；e）應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng)，皆看其是否提供身份

d）應(yīng)啟用身份鑒別、用戶身份'標(biāo)識(shí)和鑒別功能；查看其身份鑒別信息是否

標(biāo)識(shí)惟一性檢查、用戶身份鑒具有不易被冒用的特點(diǎn)；其鑒別信息復(fù)雜度檢

別信息復(fù)雜度檢查以及登錄失查功能是否能保證系統(tǒng)中不存在弱口令等；

敗處理功能，并根據(jù)安全策略'）應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng)，杳看其提供的登錄失

配置相關(guān)參數(shù)。敗處理功能，是否根據(jù)安全策略配置了相關(guān)參

數(shù)；

g）應(yīng)測(cè)試關(guān)鍵應(yīng)用系統(tǒng)，可通過(guò)試圖以合法和

非法用戶分別登錄系統(tǒng)，查看是否成功，驗(yàn)證