信息安全等級(jí)保護(hù)測(cè)評(píng)指導(dǎo)書

第1章安全管理測(cè)評(píng)指導(dǎo)書 41.1安全管理機(jī)構(gòu)測(cè)評(píng) 41.2安全管理制度測(cè)評(píng) 91.3人員安全管理測(cè)評(píng) 11.4系統(tǒng)建設(shè)管理測(cè)評(píng) 1.5系統(tǒng)運(yùn)維管理測(cè)評(píng) 20第2章物理安全測(cè)評(píng)指導(dǎo)書 322.1物理安全測(cè)評(píng) 32第3章網(wǎng)絡(luò)安全測(cè)評(píng)指導(dǎo)書 43.1網(wǎng)絡(luò)全局安全測(cè)評(píng) 43.2路由器安全測(cè)評(píng) 473.3交換機(jī)安全測(cè)評(píng) 593.4防火墻安全測(cè)評(píng) 673.5入侵檢測(cè)/防御系統(tǒng)安全測(cè)評(píng) 71第4章操作系統(tǒng)安全測(cè)評(píng)指導(dǎo)書 4.1wwsows操作系統(tǒng)安全測(cè)評(píng) 754.2LNUx操作系統(tǒng)安全測(cè)評(píng) 824.3SouARS操作系統(tǒng)安全測(cè)評(píng) 924.4AIX操作系統(tǒng)安全測(cè)評(píng) 第5章應(yīng)用系統(tǒng)安全測(cè)評(píng)指導(dǎo)書 5.1應(yīng)用系統(tǒng)安全測(cè)評(píng) 5.2IS應(yīng)用安全測(cè)評(píng) 5.3APACHE應(yīng)用安全測(cè)評(píng) 第6章數(shù)據(jù)庫安全測(cè)評(píng)指導(dǎo)書 第2頁共135頁 第3頁共135頁第1章安全管理測(cè)評(píng)指導(dǎo)書1崗位設(shè)置a)設(shè)定管理部，定義各個(gè)方面的負(fù)責(zé)人崗位和職責(zé)安全主管，管理機(jī)構(gòu)，部門和各負(fù)責(zé)人職責(zé)：核查各崗位職責(zé)范圍和技能要求；設(shè)置及工作職責(zé)定義方面的管理人員崗位名單》b)定義各個(gè)崗位和職責(zé)(系統(tǒng)、網(wǎng)絡(luò)、安全管理)安全主管，崗位分工及相關(guān)職責(zé)；安全主管，最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任；工作負(fù)責(zé)人及其崗位職責(zé)；領(lǐng)導(dǎo)小組委員會(huì)或日常管理工作的負(fù)責(zé)人具有單位領(lǐng)導(dǎo)對(duì)其最高領(lǐng)導(dǎo)其委任授權(quán)書：執(zhí)行情況的文件或記錄；第4頁共135頁安全管理委員會(huì)職責(zé)文件。2a)配備系統(tǒng)、網(wǎng)絡(luò)、安全管理員安全主管，崗位人員配備情況：安全管理人員名單：人員配備要求文檔：管理制度》安全管理人員名單；人員配備要求文檔：c)關(guān)鍵崗位定期輪崗安全主管，定期輪崗情況。3批(G3)安全主管，關(guān)鍵活動(dòng)的審批部門，批準(zhǔn)人是否得到授權(quán)，更新審批項(xiàng)目，審查周期；授權(quán)管理文件包括事項(xiàng)列表(審批、雙重審批事項(xiàng)、程序),更新審批項(xiàng)目，審查周關(guān)鍵活動(dòng)的批準(zhǔn)人，審批范圍，審查程序；第5頁共135頁審批過程記錄，審批程序與文件要求是否一致；人員進(jìn)入機(jī)房審帶審批、系統(tǒng)外聯(lián)審批等)》(外聯(lián)接入、服務(wù)訪問、配置變更、采購、外來人員訪問和管理)審批的文檔是否具有雙重批準(zhǔn)人的簽字和審批部門的蓋章：e)不適用的權(quán)限應(yīng)及時(shí)取消及時(shí)取消授權(quán)的記錄；審查記錄的日期是否與周期一致；授權(quán)管理文件包括事項(xiàng)列表(雙重審批事項(xiàng)、程序),更新審批項(xiàng)目，審查周期。4作(G3)安全主管，與外單位和其他部門合作內(nèi)容，溝通、合作方式有哪些；安全主管，部門間協(xié)調(diào)會(huì)議，安全管理機(jī)構(gòu)內(nèi)部會(huì)議，信息安全領(lǐng)導(dǎo)小組例會(huì)；安全管理人員，與外單位和其他部門人員主要溝通內(nèi)容；部門間協(xié)調(diào)會(huì)議文件；《各類會(huì)議紀(jì)要或記錄(部門內(nèi)、導(dǎo)小組)》安全工作會(huì)議文件：c)安全領(lǐng)導(dǎo)小組定期召開指導(dǎo)和信息安全領(lǐng)導(dǎo)小組或委員會(huì)，例會(huì)會(huì)議紀(jì)要：第6頁共135頁外聯(lián)單位說明文檔；外聯(lián)單位說明文檔：外聯(lián)單位說明文檔：g)聘請(qǐng)顧問安全主管，專家顧問是否指導(dǎo)信息安全建設(shè)，參與安全規(guī)劃和安全評(píng)審等；安全顧問證明文件，規(guī)劃和建議的簽字。5安全主管，檢查周期，定期分析、評(píng)審異常行為：安全檢查制度文檔規(guī)定檢查內(nèi)容、檢查程序和檢查周期等；全檢查方面的管制制度》檢查過程記錄的程序與要求一致；審計(jì)分析報(bào)告日期、檢查、異常問題、分析結(jié)果和相應(yīng)措施；安全員，安全檢查包含內(nèi)容、人員、程序策略和要求，通報(bào)形式、范圍；第7頁共135頁第8頁共135頁1安全主管，制度體系是否有安全政策、安全策略；明確總體目標(biāo)、范圍、方針、原則、責(zé)任，安全策略：《信息安全工作管理制度》專家論證文檔》覆蓋物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用和管理等層面：重要管理操作的操作規(guī)程，如維護(hù)手冊(cè)和操作規(guī)程；d)形成安全管理制度體系制度體系是否由安全政策、安全策略、管理制度、操作規(guī)程等構(gòu)成，評(píng)審及周期；評(píng)審記錄日期與評(píng)審周期是否一致，評(píng)審意見。2布員制定安全主管，是否在信息安全領(lǐng)導(dǎo)小組或委員會(huì)負(fù)責(zé)下統(tǒng)一制定； 的收發(fā)登記記錄》安全主管，是否按照統(tǒng)一的格式標(biāo)準(zhǔn)或要求制定、論證和審定；管理文檔說明制定和發(fā)布程序、格式要求及版本；評(píng)審記錄，評(píng)審意見；第9頁共135頁管理層的簽字或蓋章，格式統(tǒng)一；收發(fā)登記記錄，符合規(guī)定程序和發(fā)布范圍要求。3訂安全主管，對(duì)安全管理制度的評(píng)審由何部門、何人負(fù)責(zé)：管理人員，對(duì)安全管理制度的評(píng)審、修訂程序，維護(hù)措施；評(píng)審記錄，日期與評(píng)審周期是否一致，修訂記錄：列表注明評(píng)審周期。流程等方面的管的安全漏洞以及結(jié)構(gòu)發(fā)生變更時(shí)管理人員，對(duì)安全管理制度的審定和修訂；評(píng)審記錄，日期與評(píng)審周期是否一致，修訂記錄；審計(jì)記錄；安全制度對(duì)應(yīng)相應(yīng)負(fù)責(zé)人清單。第10頁共135頁1人員錄用人事負(fù)責(zé)人，錄用人員要求與其職責(zé)相對(duì)應(yīng)；人事工作人員，人員錄用要求管理文檔；《關(guān)鍵崗位安全協(xié)議》b)身份、背景、專業(yè)資格和資質(zhì)審查身份、背景、專業(yè)資格和資質(zhì)，簽署保密協(xié)議，說明工作職責(zé)：審查文檔，記錄審查內(nèi)容和審查結(jié)果：考核內(nèi)容和結(jié)果；人事負(fù)責(zé)人，錄用人員要求與其職責(zé)相對(duì)應(yīng)；人事工作人員，人員錄用要求管理文檔；保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人簽字；f)關(guān)鍵崗位的人員應(yīng)從內(nèi)部人員人事負(fù)責(zé)人，信用審查，審查周期；信用審查記錄；g)從事關(guān)鍵崗位的人員應(yīng)簽署崗崗位安全責(zé)任、違約責(zé)任、協(xié)議的有效期和責(zé)任人簽字。第11頁共135頁2人員離崗安全主管，及時(shí)終止離崗人員所有訪問權(quán)限，取回物資；檢查安全處理記；人事工作人員，調(diào)離手續(xù)；保密承諾文檔，有調(diào)離人員的簽字；3社交活動(dòng)；安全主管，專人負(fù)責(zé)定期考核；、日期和周期；人事工作人員，懲戒措施：4訓(xùn)(G3)安全主管，以何形式制定安全教育和培訓(xùn)計(jì)劃，效果如何；和培訓(xùn)方面的管理制度》施等的理解程度；第12頁共135頁c)制定安全教育和培訓(xùn)計(jì)劃容包含信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程；d)制定不同崗位培訓(xùn)計(jì)劃記錄包括人員、內(nèi)容、結(jié)果的描述，記錄與培訓(xùn)計(jì)劃一致。5第三人員安全主管，管理措施，訪問前簽署安全責(zé)任合同書或保密協(xié)議；控制方面的管理制度》人員進(jìn)入機(jī)房審帶審批、系統(tǒng)外聯(lián)審批等)》安全管理人員，訪問重要區(qū)域采取措施，有負(fù)責(zé)人批準(zhǔn)，專人陪同記錄并備案管理；書面申請(qǐng)，批準(zhǔn)人允許訪問的簽字；訪問管理文檔明確范圍、訪問控制、離開條件。第13頁共135頁1劃分系統(tǒng)方法，確定等級(jí)方法參照定級(jí)指南的指導(dǎo)，定級(jí)結(jié)果得到批準(zhǔn)；給出等保SxAyGz值，定級(jí)結(jié)果有批準(zhǔn)蓋章：報(bào)告或定級(jí)建議書》系統(tǒng)劃分方法和理由；明確系統(tǒng)屬性：使命、業(yè)務(wù)、網(wǎng)絡(luò)、硬件、軟件、數(shù)據(jù)、邊界、人員；d)書面說明等級(jí)理由劃分系統(tǒng)方法，確定等級(jí)方法參照定級(jí)指南的指導(dǎo)，定級(jí)結(jié)果得到批準(zhǔn)；給出等保SxAyGz值，定級(jí)結(jié)果有批準(zhǔn)蓋章：專家對(duì)定級(jí)結(jié)果的論證意見；劃分系統(tǒng)方法，確定等級(jí)方法參照定級(jí)指南的指導(dǎo)，定級(jí)結(jié)果得到批準(zhǔn)；給出等保SxAyGz值，定級(jí)結(jié)果有批準(zhǔn)蓋章：2設(shè)計(jì)(G3)安全措施，做過哪些調(diào)整；全建設(shè)工作計(jì)劃、第14頁共135頁安全主管，授權(quán)專人負(fù)責(zé)制定總體規(guī)劃；安全建設(shè)工作計(jì)劃明確近期、遠(yuǎn)期安全建設(shè)計(jì)劃；總體建設(shè)規(guī)劃書》《前一次測(cè)評(píng)報(bào) 告》全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案等；文件進(jìn)行論證和審定，并經(jīng)過管理部門的批準(zhǔn)；核查相關(guān)論證意見；各方案管理層的批準(zhǔn)：f)定期調(diào)整和修訂安全保障體系的配套文件系統(tǒng)建設(shè)負(fù)責(zé)人，安全測(cè)評(píng)、評(píng)估的結(jié)果定期調(diào)整和修訂配套方案，維護(hù)周期：各方案的維護(hù)記錄或修訂版本的記錄日期與維護(hù)周期是否一致。3系統(tǒng)建設(shè)負(fù)責(zé)人，密碼產(chǎn)品的使用是否符合國家密碼主管部門的要求；安全產(chǎn)品(邊界安全設(shè)備、重要服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫等)是否符合國家的規(guī)定：《產(chǎn)品選型、采購第15頁共135頁暫行規(guī)定》;試結(jié)果記錄》安全主管，何部門何人負(fù)責(zé)產(chǎn)品采購；的控制方法和人員的行為準(zhǔn)則單，審定周期；候選范圍，通過招標(biāo)方式確定采購產(chǎn)品等)和人員行為準(zhǔn)則等方面；產(chǎn)品選型測(cè)試結(jié)果記錄、候選產(chǎn)品名單審定記錄或更新的候選產(chǎn)品名單。4自行軟件開發(fā)(G3)立試人員(即二者分離),獨(dú)立的模擬環(huán)境中開發(fā)環(huán)境與運(yùn)行環(huán)境物理分開；或自我開發(fā)方面的管理制度》《與安全服務(wù)商或外包開發(fā)商簽訂的服務(wù)合同和安全協(xié)議》b)文檔由專人保管，控制使用開發(fā)相關(guān)文檔(軟件設(shè)計(jì)和開發(fā)程序文件、測(cè)試數(shù)據(jù)、測(cè)試結(jié)果、維護(hù)手用人員范圍并做使用登記等),測(cè)試數(shù)據(jù)和測(cè)試結(jié)果是否受到控制；第16頁共135頁關(guān)文檔(目錄體系框架或交換原形報(bào)告》和維護(hù)手冊(cè)等；的簽字。5開發(fā)(G3)后的服務(wù)承諾；軟件開發(fā)協(xié)議，知識(shí)產(chǎn)權(quán)歸屬、安全行為等內(nèi)容；軟件開發(fā)協(xié)議，知識(shí)產(chǎn)權(quán)歸屬、安全行為等內(nèi)容；件中的惡意代碼，檢測(cè)工具是否是第三方的商業(yè)產(chǎn)品；計(jì)劃、程序員培訓(xùn)手冊(cè)等后期技術(shù)支持文檔；第17頁共135頁6系統(tǒng)建設(shè)負(fù)責(zé)人，以書面形式(如工程安全建設(shè)協(xié)議)約束工程實(shí)施方的工程實(shí)施行為：覆蓋工程實(shí)施方的責(zé)任、任務(wù)要求和質(zhì)量要求等方面內(nèi)容，約束工程實(shí)施行為；管理方面的管理制度》各種文檔，如階段性工程報(bào)告：規(guī)定工程實(shí)施過程的控制方法(如內(nèi)部階段性控制或外部監(jiān)理單位控制)各種行為等方面內(nèi)容。7系統(tǒng)正式運(yùn)行前，根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試：記錄、報(bào)告》對(duì)測(cè)試過程(包括測(cè)試前、測(cè)試中和測(cè)試后)進(jìn)行文檔化要求和制度化要求；應(yīng)檢查是否具有系統(tǒng)驗(yàn)收?qǐng)?bào)告：測(cè)試報(bào)告審定；應(yīng)檢查驗(yàn)收測(cè)試管理制度是否對(duì)系統(tǒng)驗(yàn)收測(cè)試的過程控制、參與人員的行為等進(jìn)行規(guī)定；第18頁共135頁應(yīng)檢查驗(yàn)收測(cè)試管理制度是否對(duì)系統(tǒng)驗(yàn)收測(cè)試的過程控制、參與人員的行為等進(jìn)行規(guī)定。8交接手續(xù)，交接清單是否滿足合同的有關(guān)要求；系統(tǒng)交付清單具有系統(tǒng)建設(shè)文檔、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔以及系統(tǒng)培訓(xùn)手冊(cè)；或外包開發(fā)商簽訂的服務(wù)合同和安全協(xié)議》運(yùn)行維護(hù)，培訓(xùn)，技術(shù)支持服務(wù)，維護(hù)的文檔；服務(wù)承諾書、培訓(xùn)記錄；c)提供運(yùn)維文檔系統(tǒng)交付清單具有系統(tǒng)建設(shè)文檔、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔以及系統(tǒng)培訓(xùn)手冊(cè)：服務(wù)承諾書、培訓(xùn)記錄；e)制定管理制度明確系統(tǒng)交付的系統(tǒng)交付管理制度，對(duì)控制方法和對(duì)交付參與人員的行為限制；系統(tǒng)交付管理制度，對(duì)控制方法和對(duì)交付參與人員的行為限制。9安全主管，專人責(zé)管理系統(tǒng)定級(jí)，系統(tǒng)屬性等文檔；錄等):文件使用控制記錄：第19頁共135頁主管部門備案的記錄或備案文檔；公安機(jī)關(guān)備案的記錄或證明；或外包開發(fā)商簽訂的服務(wù)合同和安全協(xié)議》1責(zé)，維護(hù)周期：設(shè)施維護(hù)記錄； 管理方面的管理制度》和文檔化；第20頁共135頁覆蓋機(jī)房物理訪問、物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面；人員)》和驗(yàn)收方面的文工作人員，保證辦公環(huán)境的保密性要求事項(xiàng)；辦公環(huán)境管理文檔對(duì)工作人員離開座位的保密行為(如清理桌面文件和屏幕鎖定等)、人員調(diào)離辦公室后的行為行規(guī)定；機(jī)房值守人員，采用人工記錄和電子記錄雙重控制：進(jìn)出登記表。f)對(duì)人員行為的規(guī)定如終端退出辦公環(huán)境管理文檔對(duì)工作人員離開座位的保密行為(如清理桌面文件和屏幕鎖定等)、人員調(diào)離辦公室后的行為行規(guī)定；2安全主管，指定資產(chǎn)管理的責(zé)任人員或部門，由何部門/何人負(fù)責(zé)：物理安全負(fù)責(zé)人，資產(chǎn)管理要求文檔化；覆蓋資產(chǎn)使用、借用、維護(hù)等方面；質(zhì)安全管理方面覆蓋資產(chǎn)責(zé)任人、所屬級(jí)別、所處位置和所屬部門等方面：資產(chǎn)管理員，對(duì)資產(chǎn)進(jìn)行賦值和標(biāo)識(shí)管理，不同類別的資產(chǎn)是否采取不同的管理措施；資產(chǎn)清單中的設(shè)備有相應(yīng)標(biāo)識(shí)；第21頁共135頁類標(biāo)識(shí)的原則和方法(如根據(jù)信息的重要程度、敏感程度或用途不同進(jìn)行分類；3應(yīng)檢查介質(zhì)管理制度，查看其內(nèi)容是否覆蓋介質(zhì)的存放環(huán)境、使用、維護(hù)和銷毀等方面；等的登記記錄》點(diǎn)行定期檢查，是否對(duì)介質(zhì)進(jìn)行分類和標(biāo)識(shí)管理；介質(zhì)管理記錄，記錄介質(zhì)的存儲(chǔ)、歸檔和借用等情況；用防拆包裝置)、選擇安全的物理傳輸途徑、雙方在場(chǎng)交付等環(huán)節(jié)的控制；資產(chǎn)管理員，重要介質(zhì)實(shí)行異地存儲(chǔ)，異地存儲(chǔ)環(huán)境是否與本地環(huán)境相同；應(yīng)檢查介質(zhì)，查看是否對(duì)其進(jìn)行了分類，并具有不同標(biāo)識(shí)；f)介質(zhì)傳輸過控制第22頁共135頁用防拆包裝置)、選擇安全的物理傳輸途徑、雙方在場(chǎng)交付地相同，是否有專人對(duì)存放地進(jìn)行管理；應(yīng)檢查介質(zhì)，查看是否對(duì)其進(jìn)行了分類，并具i)定期進(jìn)行完整性和可用性檢查4資產(chǎn)管理員，設(shè)備指定專人或?qū)ｉT部門進(jìn)行定期維護(hù)，周期；件維護(hù)方面的管《主機(jī)系統(tǒng)、網(wǎng)系統(tǒng)管理員，軟硬件維護(hù)進(jìn)行制度化管理；審批作出規(guī)定：查看是否具有設(shè)備的選型、采購、發(fā)放等過程的申報(bào)材料和審批報(bào)告；資產(chǎn)管理員，設(shè)備選用的各個(gè)環(huán)節(jié)(選型、采購、發(fā)放等)進(jìn)行審批控制，對(duì)設(shè)備帶離機(jī)構(gòu)進(jìn)行審批控制，設(shè)備的操作和使用是否要求規(guī)范化管理；作原則、注意事項(xiàng)等方面；d)帶離設(shè)備進(jìn)行控制作原則、注意事項(xiàng)等方面；審計(jì)員，服務(wù)器的操作日志，日志文件管理，第23頁共135頁的監(jiān)督控制系統(tǒng)管理員，服務(wù)器是否進(jìn)行正確配置，服務(wù)5《系統(tǒng)監(jiān)控、風(fēng)險(xiǎn)《維護(hù)匯總》等);c)管理文檔、安全配置文檔、系監(jiān)控記錄記錄監(jiān)控對(duì)象、監(jiān)控內(nèi)容、監(jiān)控的異?，F(xiàn)6網(wǎng)絡(luò)安全管理(G3)件匯報(bào)制度》備和應(yīng)用軟件等的監(jiān)控記錄和分安全員，網(wǎng)絡(luò)安全的管理工作(包括網(wǎng)絡(luò)安全配置、網(wǎng)絡(luò)用戶、日志等方面)制度化；第24頁共135頁設(shè)備進(jìn)行過漏洞掃描，對(duì)掃描出的漏洞是否及時(shí)修補(bǔ)；設(shè)備進(jìn)行過漏洞掃描，對(duì)掃描出的漏洞是否及時(shí)修補(bǔ)；漏洞掃描報(bào)告，覆蓋網(wǎng)絡(luò)存在的漏洞、嚴(yán)重級(jí)別、原因分析和改進(jìn)意見等方面；由何部門/何人批準(zhǔn)：定期檢查違規(guī)聯(lián)網(wǎng)的行應(yīng)檢查是否具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準(zhǔn)書；應(yīng)檢查在規(guī)定的保存時(shí)間范圍內(nèi)是否存在網(wǎng)絡(luò)審計(jì)日志；g)規(guī)定網(wǎng)絡(luò)審計(jì)日志的保存時(shí)間應(yīng)檢查在規(guī)定的保存時(shí)間范圍內(nèi)是否存在網(wǎng)絡(luò)審計(jì)日志；安全員，網(wǎng)絡(luò)安全的管理工作(包括網(wǎng)絡(luò)安全配置、網(wǎng)絡(luò)用戶、日志等方應(yīng)檢查在規(guī)定的保存時(shí)間范圍內(nèi)是否存在網(wǎng)絡(luò)審計(jì)日志；i)對(duì)日志的備份、授權(quán)訪問、處理、保留時(shí)間等方面做出具體規(guī)定，使用統(tǒng)一的網(wǎng)絡(luò)時(shí)間第25頁共135頁為7管理(G3)安全主管，詢問是否指定專人負(fù)責(zé)系統(tǒng)安全管理；安全員，將系統(tǒng)安全管理工作(包括系統(tǒng)安全配置、系統(tǒng)賬戶、審計(jì)日志等)制度化；覆蓋系統(tǒng)安全配置(包括系統(tǒng)的安全策略、授權(quán)訪問、最小服務(wù)、升級(jí)與補(bǔ)丁)、系統(tǒng)帳戶(用戶責(zé)任、義務(wù)、風(fēng)險(xiǎn)、權(quán)限審批、權(quán)限分配、賬戶注銷等)、審計(jì)日志以及配置文件的分析，發(fā)現(xiàn)問題如何處理；否及時(shí)修補(bǔ)；問權(quán)限系統(tǒng)管理員，對(duì)系統(tǒng)工具的使用(如脆弱性掃描工具)是否采取措施第26頁共135頁覆蓋系統(tǒng)安全配置(包括系統(tǒng)的安全策略、授權(quán)訪問、最小服務(wù)、升級(jí)與補(bǔ)丁)、系統(tǒng)帳戶(用戶責(zé)任、義務(wù)、風(fēng)險(xiǎn)、權(quán)限審批、權(quán)限分配、賬戶注銷等)、審計(jì)日志以及配置文件的審計(jì)員，規(guī)定系統(tǒng)審計(jì)日志的保存時(shí)間在規(guī)定的保存時(shí)間范圍內(nèi)是否存在系統(tǒng)審計(jì)日志；i)對(duì)發(fā)現(xiàn)的系統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ)覆蓋系統(tǒng)存在的漏洞、嚴(yán)重級(jí)別、原因分析和改進(jìn)意見等方面；覆蓋系統(tǒng)安全配置(包括系統(tǒng)的安全策略、授權(quán)訪問、最小服務(wù)、升級(jí)與補(bǔ)丁)、系統(tǒng)帳戶(用戶責(zé)任、義務(wù)、風(fēng)險(xiǎn)、權(quán)限審批、權(quán)限分配、賬戶注銷等)、審計(jì)日志以及配置文件的生成、備份、變更審批、符合性檢查等方面；8防范管理(G3)工作人員，熟知惡意代碼基本的防范手段，主要包括哪些；第27頁共135頁覆蓋系統(tǒng)安全配置(包括系統(tǒng)的安全策略、授權(quán)訪問、最小服務(wù)、升級(jí)與補(bǔ)丁)、系統(tǒng)帳戶(用戶責(zé)任、義務(wù)、風(fēng)險(xiǎn)、權(quán)限審批、權(quán)限分配、賬戶注銷等)、審計(jì)日志以及配置文件的生成、備份、變更審批、符合性檢查等方面；《惡意代碼檢測(cè)、升級(jí)記錄和分析c)專人負(fù)責(zé)檢測(cè)系統(tǒng)運(yùn)維負(fù)責(zé)人，專人對(duì)惡意代碼進(jìn)行檢測(cè)，并保存記錄；d)明確規(guī)定防范軟件使用況匯報(bào)等)制度化，對(duì)其執(zhí)行情況是否進(jìn)行檢查，周期；是否對(duì)防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級(jí)、定期匯報(bào)等方面作出規(guī)定；等內(nèi)容：查看分析報(bào)告是否描述惡意代碼的特征、修補(bǔ)措施等；理(統(tǒng)一升級(jí)、檢測(cè)、分享等)是否對(duì)惡意代碼庫的升或惡意代碼是否進(jìn)行及時(shí)分析處理，并形成書面報(bào)表和總結(jié)匯報(bào)；具有惡意代碼集中防范管理中心。9國家密碼管理規(guī)定密碼算法和密鑰的使用是否遵照國家密碼管理規(guī)定。系統(tǒng)運(yùn)維負(fù)責(zé)人，制定變更方案指導(dǎo)系統(tǒng)執(zhí)行變更，變更是否要求制度化管理；系統(tǒng)運(yùn)維負(fù)責(zé)人，對(duì)變更類型、變更原因、變更過程、變更前評(píng)估等方面進(jìn)行說明： 第28頁共135頁況是否通知了所有相關(guān)人員，以何種方式通知：更管理制度覆蓋變更前審批、變更過程記錄、變更后通報(bào)等方面內(nèi)容；系統(tǒng)的變更申請(qǐng)書，是否有主管領(lǐng)導(dǎo)的批準(zhǔn)。《變更方案評(píng)審記錄和變更過程《變更申請(qǐng)書》c)系統(tǒng)變更情況向所有相關(guān)人員系統(tǒng)運(yùn)維負(fù)責(zé)人，制定變更方案指導(dǎo)系統(tǒng)執(zhí)行變更，變更是否要求制度化管理；期等內(nèi)容，數(shù)據(jù)備份和恢復(fù)策略是否文檔化；面的管理制度》b)規(guī)定備份方式、備份頻度(、備份方式、頻度、介質(zhì)、保存期的文檔；方法等方面；長(zhǎng)時(shí)間檢查一次；等操作流程。第29頁共135頁處置(G3)及時(shí)報(bào)告告知用戶在發(fā)現(xiàn)安全弱點(diǎn)和可疑事件，記錄并保存；和處置方面的管理制度》安全檢查的檢查表和安全檢查報(bào)對(duì)安全事件處置制度化管理；單位(人)、接報(bào)單位(人)和處置單位等職責(zé)；對(duì)系統(tǒng)的影響程度劃分不同等級(jí)，劃分為幾級(jí)；描述等方面內(nèi)容；e)記錄并保存所有報(bào)告的安全弱管理(G3)是什么,多長(zhǎng)時(shí)間舉辦一次；《應(yīng)急預(yù)案培訓(xùn)、應(yīng)急預(yù)案培訓(xùn)記錄，演練記錄和審查記錄；第30頁共135頁e)規(guī)定預(yù)案中需審查和更新的內(nèi)容更管理制度覆蓋變更前審批、變更過程記錄、變更后通報(bào)第31頁共135頁第2章物理安全測(cè)評(píng)指導(dǎo)書1選擇(G3)防震、防風(fēng)、防雨能本的防震、防風(fēng)和防雨能力。檢查：位置選擇是否符合要求。雨能力要求。層或地下室，遠(yuǎn)離用水設(shè)備；檢查：的下層或隔壁：1.機(jī)房沒有在建筑物的高層或地下室，附近無用水設(shè)的打印機(jī)和顯示器；檢查：的隱蔽位置。不易被無關(guān)人員看到；第32頁共135頁2制(G3)排專人值守；有專人值守機(jī)房，進(jìn)入機(jī)房有記錄。批和監(jiān)控的措施；流程，是否限制和監(jiān)控其活動(dòng)范圍；c)劃分區(qū)域；對(duì)機(jī)房進(jìn)行劃分區(qū)域管理：1.不同區(qū)域設(shè)置不同機(jī)房；(如隔墻)。禁系統(tǒng)控制之外的出入口；夠鑒別進(jìn)入人員身份；2.沒有除電子門禁系統(tǒng)控制之外的出入口。第33頁共135頁3防盜竊和防破壞(G3)固定、設(shè)置標(biāo)記；上鎖。固定并標(biāo)識(shí)；訪談機(jī)房維護(hù)人員，設(shè)備和主要部件是否進(jìn)行了固定和標(biāo)記；的標(biāo)記。c)隱蔽通信線纜；冗余或并行的通信線路；檢查通信線纜鋪設(shè)是否在隱蔽處(如鋪設(shè)在地下或線路。出應(yīng)受控和加密保放在介質(zhì)庫或檔案室中；在介質(zhì)庫或資料室中并且進(jìn)行分類存放(滿足磁介質(zhì)、紙介質(zhì)等的存放要求);放環(huán)境滿足不同介質(zhì)的存放需求；后方可允許。第34頁共135頁警系統(tǒng)；詢問機(jī)房維護(hù)人員，采用了何種技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)；檢查機(jī)房防盜報(bào)警設(shè)施是否正常運(yùn)行，并查看運(yùn)行記錄。f)設(shè)置監(jiān)控報(bào)警系詢問機(jī)房維護(hù)人員，采用了何種機(jī)房監(jiān)控報(bào)警系統(tǒng)；行、監(jiān)控和報(bào)警記錄。4防雷擊(G3)a)避雷裝置；置是否有人定期進(jìn)行檢查和維護(hù)；《建筑物防雷設(shè)計(jì)規(guī)范》(GB157《建筑物防雷設(shè)計(jì)規(guī)范》部門的技術(shù)檢測(cè)；2.定期對(duì)避雷裝置進(jìn)行檢查和維護(hù)。感應(yīng)雷；第35頁共135頁c)交流電接地：訪談：檢查：的描述，與實(shí)際情況是否一致。文檔中關(guān)于地線連接要求的描述一致。5防火(G3)a)自動(dòng)消防系統(tǒng)；訪談：火情、自動(dòng)報(bào)警、自動(dòng)滅火的自動(dòng)消防系統(tǒng)；度和消防預(yù)案，是否進(jìn)行了消防培訓(xùn)；報(bào)告并得到排除；和自動(dòng)消防系統(tǒng)(噴水不適用于機(jī)房):檢查：檢查機(jī)房是否設(shè)置了自動(dòng)測(cè)火情(如使用溫感、煙感探測(cè)器)、自否合格；檢查和維修記錄；防配置狀況一致。自動(dòng)消防系統(tǒng)；b)耐火建材；檢查：收文檔。文檔。第36頁共135頁c)區(qū)域隔離；檢查是否有機(jī)房區(qū)域隔離防火措施的驗(yàn)收文檔；6防水和防潮訪談物理安全負(fù)責(zé)人，詢問機(jī)房建設(shè)是否有防墻壁和樓板的水管是否采取了保護(hù)措施，如設(shè)置套管；1.機(jī)房屋頂和活動(dòng)地板下沒有水管穿過；2.有水管穿過，但水管設(shè)置有套管防止漏水。b)防止雨水滲透；詢問機(jī)房維護(hù)人員，機(jī)房是否出現(xiàn)過漏水和返潮事件；機(jī)房及其環(huán)境是否不存在明顯的漏水和返潮的威脅；和返潮現(xiàn)象。第37頁共135頁和積水轉(zhuǎn)移破壞；理記錄和除濕裝置運(yùn)行記錄，與機(jī)房濕度記錄情況是除濕裝置運(yùn)行正常。d)安裝防水檢測(cè)和報(bào)警裝置；防水檢測(cè)和報(bào)警裝置運(yùn)行正常。7防靜電(G3)a)設(shè)備接地；有控制機(jī)房濕度的措施；是否一致；檢查機(jī)房是否有安全接地，查看機(jī)房的相對(duì)濕GB2887中的規(guī)定，查看機(jī)房是否不存在明顯機(jī)房濕度滿足需求，設(shè)備有接地。b)防靜電地板：電措施；機(jī)房安裝了牢固的防靜電地板。第38頁共135頁8溫濕度控制a)溫濕度調(diào)節(jié)設(shè)施；訪談：了溫濕度控制的要求，是否有人負(fù)責(zé)此項(xiàng)工作；節(jié)設(shè)施，詢問是否出現(xiàn)過溫濕度影響系統(tǒng)運(yùn)行的事件；檢查：需要，是否與當(dāng)前情況相符合：場(chǎng)地技術(shù)條件》的要求。9電力供應(yīng)防護(hù)設(shè)備；訪談：器和過電壓防護(hù)設(shè)備；和維護(hù)；檢查：看與機(jī)房電力供應(yīng)實(shí)際情況是否一致；是否正常運(yùn)行，查看供電電壓是否正常：系統(tǒng)正常運(yùn)行的要求。計(jì)算機(jī)系統(tǒng)單獨(dú)配備了穩(wěn)壓器和過電壓設(shè)備。第39頁共135頁力供應(yīng)；訪談：是否能夠控制電源穩(wěn)壓范圍滿足計(jì)算機(jī)系統(tǒng)運(yùn)行正常；檢查：備用電源設(shè)備要求，查看與機(jī)房電力供應(yīng)實(shí)際情況是否一致；常運(yùn)行，查看供電電壓是否正常；常運(yùn)行的要求。第40頁共135頁c)冗余電路；或并行的電力電纜線路(如雙路供電方式);在雙路供電切換時(shí)是否能夠?qū)τ?jì)算機(jī)系統(tǒng)正常供電；余或并行電力電纜線路要求，查看與機(jī)房電力供應(yīng)實(shí)際情況是否一運(yùn)行的要求；測(cè)試安裝的冗余或并行電力電纜線路是否能夠統(tǒng)供電正常。第41頁共135頁用供電系統(tǒng)；訪談：供電系統(tǒng)(如備用發(fā)電機(jī));詢問機(jī)房維護(hù)人員是否定期檢查備用供電系統(tǒng)(如備用發(fā)電機(jī)),是否能夠在規(guī)定時(shí)間內(nèi)正常啟動(dòng)和正常供電；檢查：用供電系統(tǒng)要求，查看與機(jī)房電力供應(yīng)實(shí)際情況是否一致；電磁防護(hù)a)安全接地；訪談：干擾的措施(如設(shè)備外殼有良好接地):檢查：況是否一致；檢查機(jī)房設(shè)備外殼是否有安全接地。線纜隔離；訪談：免互相干擾；檢查：檢查機(jī)房布線是否做到電源線和通信線纜隔離。第42頁共135頁磁屏蔽；泄露的措施；器；屏蔽輻射。第43頁共135頁第3章網(wǎng)絡(luò)安全測(cè)評(píng)指導(dǎo)書1能力具備冗余空網(wǎng)絡(luò)設(shè)備性能滿足需求。訪談：詢問是否合理分配帶寬；檢查：針對(duì)Cisco設(shè)備，輸入showrunning-confi有專用帶寬管理設(shè)備或存在如下配置：檢查：是否配置路由控制策略建立安全的訪問路徑。存在如下配置：配置項(xiàng)：iproute255.2配置項(xiàng)：檢查：查看網(wǎng)絡(luò)拓?fù)鋱D與當(dāng)前運(yùn)行情況是否一致。網(wǎng)絡(luò)拓?fù)鋱D與當(dāng)前運(yùn)行情況一致。第44頁共135頁檢查：是否進(jìn)行了子網(wǎng)劃分。檢查配置文件中是否出現(xiàn)類似如下配置項(xiàng)：存在如下配置：重要網(wǎng)段不在網(wǎng)絡(luò)邊界處并與其他網(wǎng)段隔離部署。檢查：是否配置了對(duì)帶寬進(jìn)行控制的策略。檢查配置文件中是否存在類似如下配置項(xiàng)：有專用帶寬管理設(shè)備或存在如下配置：2法內(nèi)聯(lián)"設(shè)備；訪談：詢問如何檢查和阻斷"非法內(nèi)聯(lián)"行為。檢查：綁定等技術(shù)手段檢查和阻斷"非法內(nèi)聯(lián)":在網(wǎng)絡(luò)管理員配合下驗(yàn)證有效性。未經(jīng)授權(quán)的設(shè)備或用戶無法接入內(nèi)網(wǎng)。法外聯(lián)"設(shè)備和用訪談：詢問如何檢查和阻斷"非法外聯(lián)"行為。檢查：在網(wǎng)絡(luò)管理員配合下驗(yàn)證有效性。未經(jīng)授權(quán)的設(shè)備或用戶無法連接外網(wǎng)。3訪談：訪談是否部署了包含入侵防范功能的設(shè)備。和網(wǎng)絡(luò)蠕蟲攻擊等攻擊行為進(jìn)行檢測(cè)。第45頁共135頁錄和報(bào)警。有針對(duì)攻擊行為的記錄和報(bào)警，設(shè)備特征庫為最新版本。4防范(G3)測(cè)和清除；訪談：訪談是否部署了防惡意代碼產(chǎn)品。中是否有相關(guān)阻斷信息。部署了防惡意代碼產(chǎn)品并啟用了檢測(cè)和阻斷功能。升級(jí)和更新：訪談：詢問是否進(jìn)行特征庫升級(jí)及具體的升級(jí)方式。檢查：登錄并查看相關(guān)設(shè)備的特征庫是否為最新版本。特征庫為最新版本。c)統(tǒng)一管理。檢查：檢查防惡意代碼產(chǎn)品是否支持統(tǒng)一管理(如支持統(tǒng)一管理。第46頁共135頁思科路由器1行日志記錄；檢查配置文件中是否存在類似如下配置項(xiàng)：b)分析記錄數(shù)據(jù)，生成審計(jì)報(bào)表；訪談：訪談并查看如何實(shí)現(xiàn)審計(jì)記錄數(shù)據(jù)的分析和報(bào)表生成。d)保護(hù)審計(jì)記錄。訪談：訪談是否避免了審計(jì)日志的未授權(quán)修改、刪除和破壞。檢查配置文件中是否存在類似如下配置項(xiàng)：2的訪問控制功能；路由器上啟用了訪問控制功能。檢查配置文件中是否存在以下類似配置項(xiàng)：第47頁共135頁服務(wù)；流入流量過濾：過濾掉源地址IP不是公網(wǎng)IP的數(shù)據(jù)包；流出流量過濾：只允許源地址IP地址是公司內(nèi)部directed-broadcast,noipdomain-lookup等。存在類似如下配置：路由器一些不需要的服務(wù)都關(guān)閉。流量數(shù)及網(wǎng)絡(luò)連及網(wǎng)絡(luò)連接數(shù)；如限制主機(jī)的最大連接數(shù)為200,有專用的帶寬管理設(shè)備來實(shí)現(xiàn)網(wǎng)絡(luò)流量的控制；或地址欺騙；存在類似如下配置：第48頁共135頁用戶對(duì)受控系統(tǒng)的資源訪問；檢查配置文件中是否有類似如下VPN相關(guān)配置項(xiàng)：VPN和遠(yuǎn)程用戶訪問受控資源需經(jīng)過認(rèn)證，存在類cryptoipsectransfo訪問權(quán)限的用戶檢查：輸入命令showrunning檢查配置文件中是否存在類似如下配置項(xiàng)：限制VPN和遠(yuǎn)程撥號(hào)用戶的數(shù)量，存在類似如下配置：第49頁共135頁3網(wǎng)絡(luò)設(shè)備防護(hù)(G3)檢查：輸入命令showrunning3)如果設(shè)備啟用了AAA認(rèn)證，查看配置文件tacacs-serverhost192.或radius-serverhost192.168.1存在類似如下配置：tacacs-serverhost192.或radius-serverhost192.168.1檢查：輸入命令showrunning存在類似如下配置：第50頁共135頁c)用戶標(biāo)識(shí)唯一；檢查：輸入命令showrunning檢查配置文件是否存在類似如下配置項(xiàng)：usernameadminprivusernameuserprivi存在類似如下配置：usernameadminprivusernameuserprivilegeI上身份鑒別技術(shù)；兩種認(rèn)證方式同時(shí)作用鑒別身份。e)身份鑒別信息訪談：詢問網(wǎng)絡(luò)管理員使用口令的組成、長(zhǎng)度和更改周期等。檢查：輸入命令showrunning檢查配置文件中是否存在類似如下配置項(xiàng)：配置：處理功能；檢查：輸入命令showrunning檢查配置文件中是否存在類似如下配置項(xiàng)：存在類似如下配置：理方法；訪談：詢問是否采用安全的遠(yuǎn)程管理方法。檢查：輸入命令showrunning查看配置文件中是否存在類似如下配置項(xiàng)：使用SSH或SSL等安全的遠(yuǎn)程管理方法，存在第51頁共135頁分離。存在類似如下配置：4復(fù)(A3)備份與恢復(fù)；檢查：輸入命令showrunning存在類似如下配置：備份功能；撲結(jié)構(gòu)；拓?fù)浣Y(jié)構(gòu)冗余。設(shè)備硬件冗余。華為路由器1行日志記錄；檢查：輸入命令displaycurrent-config檢查配置文件中是否存在類似如下配置項(xiàng)：存在類似如下配置：第52頁共135頁生成審計(jì)報(bào)表；訪談：訪談并查看如何實(shí)現(xiàn)審計(jì)記錄數(shù)據(jù)的分析和報(bào)表生成。訪談：訪談是否避免了審計(jì)日志的未授權(quán)修改、刪除和破壞。檢查配置文件中是否存在類似如下配置項(xiàng)：2的訪問控制功能；輸入命令displaycurrent-config檢查配置文件中是否存在以下類似配置項(xiàng)：第53頁共135頁服務(wù)；檢查：輸入命令displaycurrent-config檢查配置文件中是否存在類似如下配置項(xiàng)：流入流量過濾：過濾掉源地址IP不是公網(wǎng)IP的數(shù)據(jù)包；流出流量過濾：只允許源地址IP地址是公司內(nèi)部被轉(zhuǎn)發(fā)出去。關(guān)閉掉路由器的一些不需要的服務(wù)，domain-lookup等。存在類似配置，路由器一些不需要的服務(wù)都關(guān)閉。流量數(shù)及網(wǎng)絡(luò)連及網(wǎng)絡(luò)連接數(shù)；檢查：檢查路由器配置，輸入命令displaycurrent-config如限制主機(jī)的最大連接數(shù)為200,存在類似如下配置項(xiàng)：connection-limitpolicy0natconnection-limit-policy0來實(shí)現(xiàn)網(wǎng)絡(luò)流量的控制。有專用的帶寬管理設(shè)備來實(shí)現(xiàn)網(wǎng)絡(luò)流量的控制；第54頁共135頁存在類似如下配置：用戶對(duì)受控系統(tǒng)檢查：輸入命令displaycurrent-configVPN和遠(yuǎn)程用戶訪問受控資源需經(jīng)過認(rèn)證，存在訪問權(quán)限的用戶檢查：輸入命令displaycurrent-config限制VPN和遠(yuǎn)程撥號(hào)用戶的數(shù)量，存在類似如下配置：第55頁共135頁3網(wǎng)絡(luò)設(shè)備防護(hù)(G3)檢查：輸入命令displaycurrent-configuser-interfacevty04authentication-modepauthentication-modepsetauthenticationpas2)使用cipher命令為特權(quán)用戶設(shè)置口令，如：super3)如果設(shè)備啟用了radius認(rèn)證，查看配置User-interfacevty04primaryauthenticatio存在類似如下配置：tacacs-serverhost192.或radius-serverhost192.168.1檢查：輸入命令displaycurrent-configuser-interfacevty04檢查：輸入命令displaycurrent-co上身份鑒別技術(shù)；兩種認(rèn)證方式同時(shí)作用鑒別身份。e)身份鑒別信息訪談：詢問網(wǎng)絡(luò)管理員使用口令的組成、長(zhǎng)度和口令組成滿足復(fù)雜性和長(zhǎng)度要求并定期更新，存在類似如下配置：處理功能；檢查：輸入命令displaycurrent-configuser-interfacevty04理方法；檢查：輸入命令displaycurrent-config使用SSH或SSL等安全的遠(yuǎn)程管理方法，存在user-interfacevty04第57頁共135頁檢查：輸入命令displaycurrent-config檢查配置文件中是否存在類似如下配置項(xiàng)：4復(fù)(A3)備份與恢復(fù)；訪談：訪談設(shè)備配置文件備份策略。撲結(jié)構(gòu)；存在單點(diǎn)故障。檢查：查看主要路由器是否有硬件冗余。第58頁共135頁1行日志記錄；檢查：輸入命令displaycurrent-config檢查配置文件中是否存在類似如下配置項(xiàng)：存在類似如下配置：生成日志記錄的報(bào)表。生成審計(jì)報(bào)表；訪談：訪談并查看如何實(shí)現(xiàn)審計(jì)記錄數(shù)據(jù)的分析和報(bào)表生成。啟用了日志功能。訪談：訪談是否避免了審計(jì)日志的未授權(quán)修改、刪除和破壞。檢查：輸入命令displaycurrent-config檢查配置文件中是否存在類似如下配置項(xiàng)：授權(quán)。2輸入命令displaycurrent-config檢查配置文件中是否存在以下類似配置項(xiàng)：存在類似如下配置：第59頁共135頁檢查：輸入命令displaycurrent-config檢查配置文件中是否存在類似如下配置項(xiàng)：存在類似如下配置：有專用的帶寬管理設(shè)備來實(shí)現(xiàn)網(wǎng)絡(luò)流量的控制或有相關(guān)Q0S地址欺騙；檢查：輸入命令displaycurrent-config檢查配置文件中是否存在類似如下配置項(xiàng)：存在類似如下配置：3網(wǎng)絡(luò)設(shè)備防護(hù)(G3)檢查：輸入命令displaycurrent-config1)查看配置文件，是否存在類似如下登錄口令設(shè)置：setauthenticationpa2)如果設(shè)備啟用了AAA認(rèn)證，查看配置存在類似如下配置：setauthenticationp第60頁共135頁檢查：輸入命令displaycurrent-config查看配置文件里是否存在類似如下配置項(xiàng)：存在類似如下配置：c)用戶標(biāo)識(shí)唯一；檢查：輸入命令displaycurrent-config檢查配置文件是否存在類似如下配置項(xiàng)：passwordcipherOWE!$QJG]0Q=^QMAF4<存在類似如下配置：passwordcipherOWE!$@JG]0Q=^QMAF4<d)兩種或兩種以兩種認(rèn)證方式同時(shí)作用鑒別身份。e)身份鑒別信息訪談：詢問網(wǎng)絡(luò)管理員使用口令的組成、長(zhǎng)度和更改周期等。檢查：輸入命令displaycurrent-config檢查配置文件中是否存在類似如下配置項(xiàng)：passwordcipherWE!$@口令組成滿足復(fù)雜性和長(zhǎng)度要求并定期更新；密碼密文顯示，舉例如下：passwordcipherWE!$@處理功能；檢查：輸入命令displaycurrent-config檢查配置文件中是否存在類似如下配置項(xiàng)：存在類似如下配置：第61頁共135頁理方法；檢查：輸入命令displaycurrent-config分離。檢查：輸入命令displaycurrent-config存在多個(gè)不同權(quán)限用戶，做到權(quán)限分離，如下配置：4復(fù)(A3)備份與恢復(fù)：定期備份配置文件和設(shè)備軟件。備份功能；使用了異地備份功能。撲結(jié)構(gòu)：拓?fù)浣Y(jié)構(gòu)冗余。設(shè)備硬件冗余。第62頁共135頁1行日志記錄；檢查配置文件中是否存在類似如下配置項(xiàng)：存在類似如下配置：生成日志記錄的報(bào)表。生成審計(jì)報(bào)表；訪談：訪談并查看如何實(shí)現(xiàn)審計(jì)記錄數(shù)據(jù)的分析和報(bào)表生成。啟用了日志功能。訪談：訪談是否避免了審計(jì)日志的未授權(quán)修改、刪除和破壞。檢查配置文件中是否存在類似如下配置項(xiàng)：授權(quán)。2啟用了訪問控制功能。檢查配置文件中是否存在以下類似配置項(xiàng)：存在類似如下配置：第63頁共135頁關(guān)閉掉交換機(jī)默認(rèn)開啟的一些實(shí)際使用中不directed-broadcast,noip存在類似如下配置：交換機(jī)一些不需要的服務(wù)都關(guān)閉。流量數(shù)；有專用的帶寬管理設(shè)備來實(shí)現(xiàn)網(wǎng)絡(luò)流量的控制或有相關(guān)QOS地址欺騙；存在類似如下配置：3網(wǎng)絡(luò)設(shè)備防護(hù)(G3)檢查：輸入命令showrunning3)如果設(shè)備啟用了AAA認(rèn)證，查看配置文件tacacs-serverhost192.或radius-serverhost192.168.1存在類似如下配置：tacacs-serverhost192.或radius-serverhost192.168.1b)登錄地址限制；檢查：輸入命令showrunning存在類似如下配置：c)用戶標(biāo)識(shí)唯一；檢查：輸入命令showrunningusernameadminprivusernameuserprivi存在類似如下配置：usernameadminprivusernameuserprivilegeI第65頁共135頁兩種認(rèn)證方式同時(shí)作用鑒別身份。e)身份鑒別信息訪談：詢問網(wǎng)絡(luò)管理員使用口令的組成、長(zhǎng)度和更改周期等。檢查：輸入命令showrunning檢查配置文件中是否存在類似如下配置項(xiàng)：配置：處理功能；檢查：輸入命令showrunning檢查配置文件中是否存在類似如下配置項(xiàng)：存在類似如下配置：訪談：詢問是否采用安全的遠(yuǎn)程管理方法。檢查：輸入命令showrunning查看配置文件中是否存在類似如下配置項(xiàng)：檢查：輸入命令showrunning檢查配置文件中是否存在類似如下配置項(xiàng)：存在類似如下配置：4復(fù)(A3)訪談：訪談設(shè)備配置文件備份策略。檢查：是否定期備份配置文件和設(shè)備軟件。定期備份配置文件和設(shè)備軟件。第66頁共135頁備份功能；使用了異地備份功能。拓?fù)浣Y(jié)構(gòu)冗余。設(shè)備硬件冗余。1行日志記錄；檢查配置文件中是否存在類似如下配置項(xiàng)：存在類似如下配置：生成審計(jì)報(bào)表；訪談：訪談并查看如何實(shí)現(xiàn)審計(jì)記錄數(shù)據(jù)的分析和報(bào)表生成。生成日志記錄的報(bào)表。第67頁共135頁啟用了日志功能。訪談：訪談是否避免了審計(jì)日志的未授權(quán)修改、刪除和破壞。檢查配置文件中是否存在類似如下配置項(xiàng)：授權(quán)。2了訪問控制功能。檢查配置文件中是否存在以下類似配置項(xiàng)：存在類似如下配置：檢查：防火墻配置了合理的訪問控制策略。檢查：協(xié)議的內(nèi)容過濾配置。存在類似如下配置：d)會(huì)話控制；檢查：檢查配置文件中是否存在以下類似配置項(xiàng)：存在類似如下配置：第68頁共135頁檢查：檢查配置文件中是否存在以下類似配置項(xiàng)：存在類似如下配置：地址欺騙；檢查：檢查配置文件中是否存在以下類似配置項(xiàng)：存在類似如下配置：統(tǒng)資源訪問控制；檢查：是否有遠(yuǎn)程VPN訪問用戶，遠(yuǎn)程用戶訪問收控資源有無控制對(duì)遠(yuǎn)程VPN訪問用戶限制了訪問范圍，如：訪問權(quán)限的用戶檢查：當(dāng)有遠(yuǎn)程VPN訪問用戶時(shí)，限制可訪問的用戶數(shù)存在類似如下配置：vpngrouptestvpn-simultaneous-logins3網(wǎng)絡(luò)設(shè)備防護(hù)(G3)檢查：檢查配置文件中是否存在以下類似配置項(xiàng)：usernameciscopass或存在類似如下配置：usernameciscopass或b)登錄地址限制；檢查：檢查配置文件中是否存在以下類似配置項(xiàng)：存在類似如下配置：第69頁共135頁c)用戶標(biāo)識(shí)唯一；檢查：檢查配置文件中是否存在以下類似配置項(xiàng)：usernameciscopassusernamepixpassword**帳號(hào)專用，不存在混用現(xiàn)象，存在類似如下配置：usernameciscopasswusernamepixpassword**d)兩種或兩種以上身份鑒別技術(shù)；檢查：查看用戶的認(rèn)證方式是否選擇兩種或兩種以上組合的鑒別技術(shù)。一種技術(shù)無法認(rèn)證成功。e)身份鑒別信息訪談：雜度等。口令滿足復(fù)雜性和長(zhǎng)度要求，并定期修改。處理功能；檢查：檢查配置文件中是否存在以下類似配置項(xiàng)：存在類似如下配置：檢查：檢查配置文件中是否存在以下類似配置項(xiàng)：檢查：檢查配置文件中是否存在以下類似配置項(xiàng)：usernameciscopassusernameguestpassword******privilege2存在不同權(quán)限用戶，類似如下配置：usernameciscopassusernameguestpassword******privilege24復(fù)(A3)備份與恢復(fù)；訪談：訪談設(shè)備配置文件備份策略。定期備份配置文件和設(shè)備軟件。第70頁共135頁備份功能；使用了異地備份功能。撲結(jié)構(gòu)；拓?fù)浣Y(jié)構(gòu)冗余。設(shè)備硬件冗余。3.5入侵檢測(cè)/防御系統(tǒng)安全測(cè)評(píng)1行日志記錄；檢查：1、登錄天闐IDS的管理控制中心，鼠標(biāo)選中引擎>>右鍵>>選擇屬性>>系統(tǒng)狀態(tài)界面，查看引擎設(shè)備的運(yùn)行狀態(tài)；2、登錄天闐IDS的管理控制中心，點(diǎn)擊界面下簽頁，查看當(dāng)前網(wǎng)絡(luò)流量曲線；心界面選擇用戶操作日志，可查詢用戶操作狀態(tài)記錄；2."業(yè)務(wù)曲線"標(biāo)簽頁，有當(dāng)前網(wǎng)絡(luò)流量曲線記錄；是否成功等；檢查：查看天闐IDS的綜合顯示中心，可以看到IDS的報(bào)警信息所包含日期和時(shí)間、用戶、事件類型、事件是否成功等信息。第71頁共135頁生成審計(jì)報(bào)表；檢查：查看天闐IDS的日志分析中心，在日志管理>>日志分析中心界選擇"用戶操作日志”可查詢用戶操作的歷史記錄，選擇“入侵檢日志管理>>日志分析中心界面，選擇"用戶操作日志"可查詢檢查：登陸天闐IDS,在開始菜單啟動(dòng)用戶管理器，以完成對(duì)用戶日志的審計(jì)，發(fā)現(xiàn)被篡改過的用戶日志。2檢查：檢查IPS是否啟用訪問控制功能。IPS啟用訪問控制功能。檢查：登錄天清NIPS,在防火墻>>安全策略界面，查看是否配置了合理的訪問控制策略。在防火墻>>安全策略界面，配置了合理的訪c)內(nèi)容過濾；檢查：登錄天清NIPS,在應(yīng)用過濾>>WEB過濾界面的內(nèi)容過濾策略。在應(yīng)用過濾>>WEB過濾界面，啟用了合理的內(nèi)容過濾策d)會(huì)話控制；檢查：登錄天清NIPS,在系統(tǒng)管理>>會(huì)話管理界面的會(huì)話超時(shí)管理策略。在系統(tǒng)管理>>會(huì)話管理界面，配置了合理的檢查：登錄天清NIPS,在系統(tǒng)管理>>會(huì)話管理界面的網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)策略。檢查：登錄天清NIPS,在防火墻>>防ARP攻擊界面，防欺騙攻擊或防ARPFlood攻擊策略。激活"IP/MAC綁定"標(biāo)簽，還可以進(jìn)行IP/MAC綁定設(shè)置。1.在防火墻>>防ARP攻擊界面，啟用了ARP防欺騙攻擊或防ARPFlood攻擊策略；2.激活“IP/MAC綁定”標(biāo)簽，有相關(guān)的IP/M第72頁共135頁3網(wǎng)絡(luò)設(shè)備防護(hù)(G3)檢查：控制中心登錄的默認(rèn)用戶ID和密碼已經(jīng)被修改。b)登錄地址限制；天闐設(shè)備一般不需要登錄地址限制。c)用戶標(biāo)識(shí)唯一；檢查：登錄天闐IDS的用戶管理中心，檢查用戶ID是否存在相同的情登錄天闐IDS的用戶管理中心，不存在相同的用戶Id)兩種或兩種以檢查：的設(shè)備。生成的動(dòng)態(tài)口令，只有靜態(tài)密碼則登錄失敗。e)身份鑒別信息檢查：復(fù)雜度要求等。用戶名、口令符合復(fù)雜度要求并定期修改。處理功能；檢查：在用戶管理器中，點(diǎn)擊"登錄失敗處理"按鈕，查理的設(shè)置。理設(shè)置。理方法；訪談：詢問如何進(jìn)行安全的遠(yuǎn)程管理。使用了安全的SSH和SSL等遠(yuǎn)程管理方法。分離。檢查：在用戶管理器中，不同用戶的權(quán)限分配不同。第73頁共135頁4復(fù)(A3)備份與恢復(fù)；檢查：在天闐IDS的“日志維護(hù)”窗口，檢查是否配置了和恢復(fù)的功能。在天闐IDS的"日志維護(hù)"窗口，配置了相應(yīng)復(fù)功能。備份功能：檢查：在天闐IDS的“日志維護(hù)”>>"手動(dòng)維護(hù)”窗口，查看是否配置了遠(yuǎn)程備份服務(wù)器的IP。在天闐IDS的"日志維護(hù)”>>"手動(dòng)維護(hù)"窗撲結(jié)構(gòu)：檢查：方式，發(fā)生設(shè)備故障時(shí)一般采取直通方式，不會(huì)果存在多條鏈路，應(yīng)檢查每條鏈路是否都部署了入侵防御d)提供硬件冗余。第74頁共135頁第4章操作系統(tǒng)安全測(cè)評(píng)指導(dǎo)書4.1windows操作系統(tǒng)安全測(cè)評(píng)1身份鑒別1)查看"管理工具-計(jì)算機(jī)管理-本地用戶和組"中用身份標(biāo)識(shí)和鑒別1)訪談系統(tǒng)管理員，系統(tǒng)用戶是否已設(shè)置密碼，并查看登錄過程中系統(tǒng)賬戶是否使用了密碼進(jìn)行驗(yàn)證登錄；為混合認(rèn)證方式；用戶也必須輸入1.采用了其他身現(xiàn)場(chǎng)演示。管理用戶身份標(biāo)識(shí)不被冒用1)查看“運(yùn)行g(shù)pedit.msc,打開組策略編輯器-windows設(shè)置-用密碼可逆加密等6項(xiàng)?？诹畹拈L(zhǎng)度、復(fù)雜了相關(guān)要求第75頁共135頁1)查看“運(yùn)行g(shù)pedit.msc打開組策略編輯器-windows設(shè)置-安全設(shè)置-賬戶鎖定策略”,記錄賬戶鎖定閥值、賬戶鎖定時(shí)間等2項(xiàng)。1.數(shù)據(jù)庫采用了失敗鑒別和超時(shí)設(shè)置。手工檢測(cè)：詢問管理員是否使用證書等方式對(duì)設(shè)備身份進(jìn)行鑒別。式1.確認(rèn)操作系統(tǒng)版本；2.確認(rèn)終端服務(wù)器使用了SSL加密；3.確認(rèn)RDP客戶端使用SSL加密。的加密方式。1.啟用了“強(qiáng)制協(xié)議密碼”。第76頁共135頁2自主訪問控制1、選擇%systemdrive%\windows\system、%systemroot%\system32\config、等相應(yīng)的文件夾，右鍵選擇“屬性">"安全",查看everyone組、users組和adminis限設(shè)置：記錄everyone組、users組和administrators組的權(quán)限設(shè)2、在命令行模式下輸入netshare,查看共享；并查看注冊(cè)表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSettrol\Lsa\restrictanonymous值是否為"0"(0表示共享開啟)。記錄默認(rèn)共享是否開啟。期的賬號(hào)和無用的賬號(hào)等；訪問控制列表中的用戶和權(quán)限，是否與安全策略相一致。問控制列表的屬性相同最小授權(quán)原則，且相互制約2.查看用戶分組情況，記錄用戶分組情況；3.權(quán)利指派。運(yùn)行“gpedit.msc打開組策略1.每個(gè)登陸用戶的權(quán)限未超出該第77頁共135頁結(jié)合系統(tǒng)管理員的組成情況，判斷是否實(shí)現(xiàn)了該項(xiàng)要求。1)首先確認(rèn)不存在多人共用一個(gè)賬戶的情況；2)其次每個(gè)管理員賬戶應(yīng)只負(fù)責(zé)管理某一方面的內(nèi)容，不能同時(shí)管理操作系統(tǒng)和數(shù)據(jù)庫。1.特權(quán)用戶對(duì)應(yīng)于不同的管理員。限制默認(rèn)用戶訪問權(quán)限1)“我的電腦”-“管理"-"本地用戶和組”,檢查沒有被禁用的用戶名和組。2)查看默認(rèn)用戶名是否重命名3)查看guest等默認(rèn)賬戶是否已禁用。默認(rèn)用戶無訪問查看是否有多余的、過期的賬戶，避免共享賬戶，進(jìn)行記錄。1.不存在多余的、3制2.詢問系統(tǒng)管理員是否對(duì)重要信息資源設(shè)置敏感標(biāo)記。1.采取了強(qiáng)制訪限等。識(shí)等安全功能密切配合，并且控制粒度達(dá)到主體為用戶級(jí)，客體為文件和數(shù)據(jù)庫表4功能開啟查看系統(tǒng)是否開啟了審計(jì)功能；訪談：詢問并查看是否有第三方審計(jì)工具或系統(tǒng)。1.審計(jì)功能已開啟，且每個(gè)注冊(cè)的“審核級(jí)別”為第78頁共135頁使用“全部”:志記錄功能正常；"事件查看器”-“安全性",查看日志文件是否包含相關(guān)要素。審計(jì)記錄包含重資源異常和重要系統(tǒng)命令的使用(如XP_CMDSHELL記錄。審計(jì)報(bào)表訪談并查看對(duì)審計(jì)記錄的查看、分析和生成審計(jì)報(bào)表情況。件指定實(shí)時(shí)報(bào)警方式(如聲音、EMAIL、短信等),并查看對(duì)應(yīng)措式審計(jì)進(jìn)程保護(hù)Windows系統(tǒng)具備了在審計(jì)進(jìn)程自我保護(hù)方面功能。具有審計(jì)進(jìn)程自審計(jì)記錄保護(hù)訪談是否采取專用日志服務(wù)器等措施，對(duì)審計(jì)記錄進(jìn)行存儲(chǔ)、備份和保護(hù)。5護(hù)運(yùn)行“gpedit.msc打開組策略編輯器-windows設(shè)置-安全設(shè)置-本地策略-安是否選中"不顯示上次登錄用戶名"。第79頁共135頁1)清除虛擬內(nèi)存頁面；2)運(yùn)行“gpedit.msc打開組策略編輯器-windows設(shè)置-安全設(shè)置-本地策看是否選中“關(guān)機(jī)前清除虛擬內(nèi)存頁面”和"用可還原的加密6主機(jī)IDS1)詢問系統(tǒng)管理員是否經(jīng)常查看系統(tǒng)日志并對(duì)3)詢問并查看是否有第三方入侵檢測(cè)系統(tǒng)，如IDS.析1、查看目前系統(tǒng)中運(yùn)行的服務(wù)如：AlertService、Messenger、TaskScheduler是否已啟動(dòng)；2、訪談并查看系統(tǒng)補(bǔ)丁升級(jí)方式，以及最新的始">"設(shè)置">"控制面板">"添加刪除程除程序”,按照記錄的系統(tǒng)安全補(bǔ)丁編號(hào)KBxxxxxx;3.記錄系統(tǒng)中多余和危險(xiǎn)的服務(wù)，記錄系統(tǒng)補(bǔ)丁升級(jí)方式和已安裝最新和危險(xiǎn)的服務(wù)、系7范防病毒軟件，病毒庫更新是否及時(shí)，更新周期，主機(jī)和網(wǎng)絡(luò)防范軟件代碼庫不同詢問系統(tǒng)管理員網(wǎng)絡(luò)防病毒軟件和主機(jī)防病毒軟件分別采詢問系統(tǒng)管理員是否采用統(tǒng)一的病毒更新策略第80頁共135頁8資源控制1.詢問并查看系統(tǒng)是否開啟了主機(jī)防火墻或TCP/IP篩選功能；2.詢問并查看是否通過網(wǎng)絡(luò)設(shè)備或防網(wǎng)絡(luò)火墻實(shí)現(xiàn)了此項(xiàng)要求。能1.查看登陸終端是否開啟了帶密碼的屏幕保護(hù)功能；1.詢問系統(tǒng)管理員是否經(jīng)常查看主機(jī)資源利用情況；2.詢問是否有第三方工具實(shí)現(xiàn)上述要求。訪談，手工檢查：訪談并檢查用戶磁盤配額的設(shè)置。訪談，手工檢查：1.詢問管理員日常如何監(jiān)控系統(tǒng)服務(wù)水平；2.若有第三方監(jiān)控程序，詢問并查看它是否有相關(guān)功能。標(biāo)9訪談：是否有備份機(jī)制，查看備份功能的實(shí)現(xiàn)方式是否可行，參考以下備份方式：1.本地備份、本地保存的冷備；2.本地備份、異地保存的冷備；3.本地?zé)醾浞菡军c(diǎn)備份；4.異地活動(dòng)互援備份。第81頁共135頁4.2Linux操作系統(tǒng)安全測(cè)評(píng)1身份鑒別查看用戶名和對(duì)應(yīng)的uid,確認(rèn)是否存在相同uid的賬戶；來驗(yàn)證/etc/passwd和/etc/shadow文件的完整性。1)不存在相同uid的用戶；2)/etc/passw身份標(biāo)識(shí)和鑒別查看文件中各用戶名狀態(tài)，記錄密碼一欄為空的用戶名。鑒別、令牌、動(dòng)態(tài)口令等。管理用戶身份標(biāo)識(shí)不被冒用訪談：訪談系統(tǒng)管理員，口令是否遵循一定的安全策略：查看該文件中對(duì)口令長(zhǎng)度、復(fù)雜性和定期更新的定義，記錄全部輸出。記錄內(nèi)容應(yīng)包括PASS_MAX_DAYS、PASS_MIN_DAYS、PASS_MIN_LEN。第82頁共135頁#cat/etc/pam.d/syst查看該文件的內(nèi)容，利用pam可以對(duì)用戶/etc/pam.d/system-auth文件中是否存在"accountre/lib/security/pam_tally.sodeny=3訪談：詢問管理員是否使用證書等方式對(duì)設(shè)備身行身份鑒別。在root權(quán)限下，使用命令查看是否運(yùn)行了s應(yīng)保證使用加密的網(wǎng)絡(luò)協(xié)議進(jìn)行遠(yuǎn)程管理，放棄使用telnet沒有使用議。第83頁共135頁2自主訪問控制手工檢查：在root權(quán)限下，查看文件權(quán)限是否滿件。操作。庫表、視圖、存儲(chǔ)過程和觸發(fā)器等)的所有者是否可以改變其相應(yīng)訪問控制列表的第84頁共135頁最小授權(quán)原則，且相互制約制約。訪談：結(jié)合系統(tǒng)管理員的組成情況，判斷是否實(shí)現(xiàn)了該項(xiàng)要求。手工檢查：查看是否有多余的、過期的賬戶，避免共享賬戶，進(jìn)行記錄。限制默認(rèn)用戶訪問權(quán)限查看密碼文件的內(nèi)容，記錄沒有被禁用的系統(tǒng)默認(rèn)用戶名。限合理控制。3強(qiáng)制訪問控制手工檢查：感標(biāo)記功能；2.詢問系統(tǒng)管理員是否對(duì)重要信息資源設(shè)置敏感標(biāo)記。符合強(qiáng)制訪問要求，且有明確配置或文檔。符合強(qiáng)制訪問要求，且有明確配置或文檔。粒度：主體為用戶級(jí)客體為文件、體為文件和數(shù)據(jù)庫表級(jí)。符合強(qiáng)制訪問要求，且有明確配置或文檔。第85頁共135頁4功能開啟工具或系統(tǒng)則記錄其運(yùn)行狀態(tài)是否正常。2)查看是否啟用如下配置：#grep"@priv-ops"/etc/audit/filt#grep"@mount-ops"/etc/audit/filt#grep"@system-ops"/etc/audit/filt審計(jì)內(nèi)容：重要用戶行為、系統(tǒng)資用手工檢查：在root權(quán)限下，查看auditd#cat/etc/audit/audi記錄其內(nèi)容。Audit.rules的規(guī)則可以查看manauditct1,確認(rèn)重要的行為是否得到記錄。到審計(jì)。審計(jì)記錄：日期和時(shí)間、類型、主手工檢查：1)檢查audit日志文件，默認(rèn)位置是/var/log/audit/audit是否包含了必要的審計(jì)要素。2)若有第三方審計(jì)工具或系統(tǒng)，則查看其審計(jì)日志是否包括必要的審計(jì)要素。審計(jì)記錄包含各要素。審計(jì)報(bào)表訪談，核查：訪談并查看對(duì)審計(jì)記錄的查看、分析和生成審計(jì)報(bào)表情況。備份。審計(jì)進(jìn)程保護(hù)訪談：1.訪談對(duì)審計(jì)進(jìn)程監(jiān)控和保護(hù)的措施。2.Auditd是Linux中的審計(jì)守護(hù)進(jìn)程，syslogd是Linux中的日志守護(hù)進(jìn)程，因此可以通過services命令查看其狀態(tài)。審計(jì)記錄保護(hù)1.在root權(quán)限下，查看日志訪問權(quán)限：ls-la/var/log/audit.d#cat/etc/audit/auditd記錄全部輸出，重點(diǎn)檢查num_logs、max_log_file、max_log_file_action、disk_full_action、disk_error_action等字段。5生。行。6訪談，核查：訪談系統(tǒng)管理員，并檢查L(zhǎng)inux操作系統(tǒng)維護(hù)手冊(cè)：查用戶的鑒別信息存儲(chǔ)空間，被釋放或再分配給其他用戶前的處理方法和過程。被徹底清除。第87頁共135頁手工檢查：檢查L(zhǎng)inux操作系統(tǒng)維護(hù)手冊(cè)：系統(tǒng)內(nèi)的文件、目錄等空間，被釋放或重新分配給其他用戶前的處理方法和過程。被徹底清除。7記錄。訪談：系統(tǒng)資源閥值告警。夠報(bào)警。訪談：非法進(jìn)程監(jiān)視和控制。警。訪談：監(jiān)視和管理賬戶變化。告警。第88頁共135頁主機(jī)IDS令2.查看是否開啟了iptable防火墻、TCPSYN保護(hù)機(jī)制等3.可執(zhí)行命令：find/-name<daemonname>-print檢查是檢測(cè)軟件：LogcheckbyPsionicSoftware、RealSecureagentbyISS;4.是否具備rootkit檢查工具，定期進(jìn)行rootkit檢查；5.詢問是否有第三方入侵檢測(cè)系統(tǒng)，如IDS,是否開啟用了IDS功備份。1)確認(rèn)系統(tǒng)目前正在運(yùn)行的服務(wù)：#service-status-a確認(rèn)是否已經(jīng)關(guān)閉危險(xiǎn)的網(wǎng)絡(luò)服務(wù)如echo、shell、login、finger、r命令等。關(guān)、ntalk、pop-2、Sendmail、Imapd、Pop系統(tǒng)遵循最小新的原則。8防病毒軟件，病毒庫更新是否及時(shí)，更新周期，置。第89頁共135頁主機(jī)和網(wǎng)絡(luò)防范軟件代碼庫不同訪談：詢問系統(tǒng)管理員網(wǎng)絡(luò)防病毒軟件和主機(jī)防病毒軟件分別采用什么病毒庫。毒庫不相同。訪談：詢問系統(tǒng)管理員是否采用統(tǒng)一的病毒更新策略和查殺策略。防惡意代碼軟統(tǒng)一管理。9資源控制訪談：制，并進(jìn)行核查。限制。行控制。手工檢查：1)查看并記錄/etc/security/limit和/etc/pam.d/login,可以對(duì)系統(tǒng)資源進(jìn)行限制。2)查看是否采用防火墻等機(jī)制對(duì)網(wǎng)絡(luò)連接數(shù)進(jìn)行限制。限制系統(tǒng)的最數(shù)行控制。手工檢查：1)查看并記錄/etc/security/limit和/etc/pam.d/login,可以對(duì)系統(tǒng)資源進(jìn)行限制。2)查看是否采用防火墻等機(jī)制對(duì)網(wǎng)絡(luò)連接數(shù)進(jìn)行限制。限制一個(gè)時(shí)間話連接數(shù)。第90頁共135頁手工檢查：1)記錄/etc/hosts.deny、/etc/hosts.allow中相關(guān)/etc/hosts.deny中是否有"AL2)若有其他的方式實(shí)現(xiàn)此項(xiàng)要求的，如通過路由ACL、防火墻配置等，亦記錄。手工檢查：查看并記錄/etc/profile中的TMOUT環(huán)境變量，查看用戶目錄中的.bash_rc、.bash_profile文件中的TMOUT環(huán)境變量。同一用戶賬號(hào)同一時(shí)間內(nèi)并發(fā)登錄手工檢查：查看并記錄/etc/security/limit和/etc/pam.d/login,利以對(duì)同一用戶在同一時(shí)間并發(fā)登錄進(jìn)行限制。制。手工檢查：查看并記錄/etc/security/limits.conf,其中參數(shù)npro進(jìn)程數(shù)。使用進(jìn)行限訪談，手工檢查：1.了解系統(tǒng)賬戶的資源分配情況，查看各個(gè)分區(qū)磁盤占用情況：#df-k,詢問高峰期CPU和內(nèi)存使用情況，詢問管理員日常如何監(jiān)控系統(tǒng)服務(wù)水平：2.若有第三方監(jiān)控程序，詢問并查看它是否有相關(guān)功能。行日常檢測(cè)，第91頁共135頁可用，如nice、renice命令。手工檢查：查看并記錄/etc/security/limit和/etc/pam.d/login,利以對(duì)不同用戶的進(jìn)程優(yōu)先級(jí)進(jìn)行限制。區(qū)分不同進(jìn)程的優(yōu)先級(jí)，保2.本地備份、異地保存的冷備：3.本地?zé)醾浞菡军c(diǎn)備份；4.異地活動(dòng)互援備份。復(fù)措施，并能提供過程文檔4.3Solaris操作系統(tǒng)安全測(cè)評(píng)第92頁共135頁1身份鑒別查看用戶名和對(duì)應(yīng)的uid,確認(rèn)是否存在相同uid的賬戶：來驗(yàn)證/etc/passwd和/etc/shadow文同uid用戶。身份標(biāo)識(shí)和鑒別查看文件中各用戶名狀態(tài)，記錄密碼一欄為空管理用戶身份標(biāo)識(shí)不被冒用對(duì)用戶管理啟略。第93頁共135頁訪談：詢問管理員是否使用證書等方式對(duì)設(shè)備身行身份鑒別。沒有使用議。2自主訪問控制手工檢查：在root權(quán)限下，查看文件權(quán)限是否合理。操作。否與安全策略相一致。第94頁共135頁庫表、視圖、存儲(chǔ)過程和觸發(fā)器等)的所有者是否可以改變其相應(yīng)訪問控制列表的屬性，得到授權(quán)的用戶是否可以改變相應(yīng)客體訪問控制列表最小授權(quán)原則，且相互制約制約。訪談：結(jié)合系統(tǒng)管理員的組成情況，判斷是否實(shí)現(xiàn)了該項(xiàng)要求。手工檢查：查看是否有多余的、過期的賬戶，避免共享賬戶，進(jìn)行記錄。限制默認(rèn)用戶訪問權(quán)限查看密碼文件的內(nèi)容，記錄沒有被禁用的系統(tǒng)默認(rèn)用戶名。限合理控制。3強(qiáng)制訪問控制手工檢查：感標(biāo)記功能；2.詢問系統(tǒng)管理員是否對(duì)重要信息資源設(shè)置敏感標(biāo)記。符合強(qiáng)制訪問要求，且有明確配置或文檔。符合強(qiáng)制訪問要求，且有明確配置或文檔。粒度：主體為用戶級(jí)客體為文件、體為文件和數(shù)據(jù)庫表級(jí)。符合強(qiáng)制訪問要求，且有明確配置或文檔。第95頁共135頁4功能開啟記錄日志服務(wù)和安全審計(jì)服務(wù)是否開啟；2)是否啟用了BSM安全審計(jì)機(jī)制；3)若有第三方審計(jì)工具或系統(tǒng)則記錄其運(yùn)行狀態(tài)是否正常。審計(jì)內(nèi)容：重要用戶行為、系統(tǒng)資用手工檢查：在root權(quán)限下，查看auditd服務(wù)的配置文件，即/etc/secu到審計(jì)。審計(jì)記錄：日期和時(shí)間、類型、主手工檢查：1)根據(jù)syslog.conf中審計(jì)日志文件位置的定義，查看文件，確認(rèn)是否記錄了必要的審計(jì)要素。2)如果開啟了BSM,則可以通過#praudit/var/audit/xxxxxx.XXxXxx.的日志進(jìn)行查看。3)若有第三方審計(jì)工具或系統(tǒng)，則查看其審計(jì)日志是否包括必要的審計(jì)要素。審計(jì)記錄包含各要素。審計(jì)報(bào)表訪談，核查：訪談并查看對(duì)審計(jì)記錄的查看、分析和生成審計(jì)報(bào)表情況。備份。審計(jì)進(jìn)程保護(hù)訪談：訪談對(duì)審計(jì)進(jìn)程監(jiān)控和保護(hù)的措施。保護(hù)措施。第96頁共135頁審計(jì)記錄保護(hù)5生。行。6訪談，核查：訪談系統(tǒng)管理員，并檢查solaris操作系統(tǒng)維護(hù)手冊(cè)：確用戶的鑒別信息存儲(chǔ)空間，被釋放或再分配給其他用戶前的處理方法和過程。被徹底清除。手工檢查：檢查solaris操作系統(tǒng)維護(hù)手冊(cè)：系統(tǒng)內(nèi)的文件、目錄儲(chǔ)空間，被釋放或重新分配給其他用戶前的處理方法和過程。被徹底清除。7手工檢查：cpu性能：使用vmstat,top來檢查內(nèi)存使用情況：也是使用top,vmstat來檢查交換空間使用情況：使用df-k來檢查記錄。訪談：系統(tǒng)資源閥值告警。夠報(bào)警。訪談：非法進(jìn)程監(jiān)視和控制。警。第97頁共135頁告警。令"#grepFailed/var/log/authlog";2.查看是否開啟了防火墻、TCPSYN保護(hù)機(jī)制等設(shè)置；3.可執(zhí)行命令：find/-nameaset-print檢查是否安裝了安全增強(qiáng)軟件；4.是否具備rootkit檢查工具，定期進(jìn)行rootkit檢查；5.詢問是否有第三方入侵檢測(cè)系統(tǒng)，如IDS,是否IDS軟件，或啟用了IDS功備份。1)訪談系統(tǒng)管理員系統(tǒng)目前是否采取了最系統(tǒng)遵循最小新的原則。8防病毒軟件，病毒庫更新是否及時(shí)，更新周期，置。第98頁共135頁主機(jī)和網(wǎng)絡(luò)防范軟件代碼庫不同訪談：詢問系統(tǒng)管理員網(wǎng)絡(luò)防病毒軟件和主機(jī)防病毒軟件分別采用什么病毒庫。毒庫不相同。訪談：詢問系統(tǒng)管理員是否采用統(tǒng)一的病毒更新策略和查殺策略。防惡意代碼軟統(tǒng)一管理。資源控制訪談：詢問系統(tǒng)管理員是否在系統(tǒng)層面和應(yīng)用軟件層面對(duì)單個(gè)用戶的多重并發(fā)會(huì)話進(jìn)行控制，并進(jìn)行核查。限制。手工檢查：1)查看并記錄/etc/system和/etc/pam.conf。2)查看是否采用防火墻等機(jī)制對(duì)網(wǎng)絡(luò)連接數(shù)進(jìn)行限制。限制系統(tǒng)的最大并發(fā)會(huì)話數(shù)行控制?；饓Φ葯C(jī)制對(duì)網(wǎng)絡(luò)連接數(shù)進(jìn)行限制。限制一個(gè)時(shí)間話連接數(shù)。手工檢查：1)記錄/etc/hosts.deny、/etc/hosts.allow中相關(guān)配置參數(shù)。2)若有其他的方式實(shí)現(xiàn)此項(xiàng)要求的，如通過路由ACL、防火墻配置等，亦記錄。手工檢查：查看并記錄/etc/profile、/etc/skel/local.cshrc、/etc/skel/login.login、/etc/skel/file中的TMOUT環(huán)境變量，查看用戶目錄中的.bash_rc、.bash_profile文件中的TMOUT環(huán)境變量。第99頁共135頁同一用戶賬號(hào)同一時(shí)間內(nèi)并發(fā)登錄1)查看并記錄/etc/system,可以對(duì)同一用戶在同一時(shí)間并發(fā)登2)查看并記錄/etc/pam.conf,pam用來增強(qiáng)認(rèn)證機(jī)制。制。手工檢查：查看并記錄/etc/system,其中參數(shù)maxuprc可以設(shè)置單1.了解系統(tǒng)賬戶的資源分配情況，查看各個(gè)分區(qū)期CPU和內(nèi)存使用情況，詢問管理員日常如何監(jiān)控系統(tǒng)服務(wù)水平；手工檢查：查看并記錄/etc/security/limit和/etc/pam.d/login,利區(qū)分不同進(jìn)程的優(yōu)先級(jí)，保證明。第100頁共135頁4.4AIX操作系統(tǒng)安全測(cè)評(píng)1身份鑒別手工檢查：1)在root權(quán)限下，使用命令查看用戶名和對(duì)應(yīng)的uid,確認(rèn)是否存在相同uid的賬戶；相同uid用戶。身份標(biāo)識(shí)和鑒別手工檢查：方法一：返回結(jié)果應(yīng)為空；查看文件中各用戶名狀態(tài)，記錄密碼一欄為空的用戶名。不存在密碼為空的用管理用戶身份標(biāo)識(shí)不被冒用查看該文件的內(nèi)容，并對(duì)輸出內(nèi)容全部記錄。#cat/etc/security/lo查看該文件的內(nèi)容，記錄下全部輸出。第101頁共135頁查看系統(tǒng)登錄時(shí)的banner信息。訪談：詢問管理員是否使用證書等方式對(duì)設(shè)備身份進(jìn)行鑒別。沒有使用telnet、2自主訪問控制手工檢查：在root權(quán)限下，查看文件權(quán)限是否滿足以下要求：/etc/filesystems權(quán)限為664,/etc/hosts權(quán)限為664,/etc/inittab權(quán)限為600,/etc/vfs權(quán)限為644,/etc/security/failedlogin權(quán)限為644,/etc/security/aud