信息系統(tǒng)安全等級保護檢查

1、信息系統(tǒng)安全等級保護檢查第 14 章信息系統(tǒng)安全等級保護檢查信息系統(tǒng)的檢查工作時信息系統(tǒng)等級保護工作的重要組成部分之一。系統(tǒng)的檢查涉及 系統(tǒng)管理和技術(shù)的方方面面，是對信息系統(tǒng)安全保障措施能否切實保障系統(tǒng)安全的檢查和 確認。本章中將詳細敘述檢查重要性、分類和實施方式。14.1.1 概述信息系統(tǒng)檢查是保障信息系統(tǒng)安全性的重要任務(wù)之一，通過對建立的信息系統(tǒng)進行安 全性檢查，能夠發(fā)現(xiàn)系統(tǒng)的不足，并及時補救和改進。所以，各國為了解決信息系統(tǒng)的安 全性問題，對系統(tǒng)的檢查都提出了相應(yīng)的要求，并且建立了相關(guān)的法律、法規(guī)、標準和規(guī) 范等來保障安全檢查的正常運行。14.1.2 檢查的工作形勢檢查的工作形式，可以分

2、為自檢查、監(jiān)督檢查和委托檢查。（1 1） 自檢查：指信息系統(tǒng)所有者或運營、使用單位發(fā)起的對本單位信息系統(tǒng)的安 全狀態(tài)進行的檢查。若系統(tǒng)所有者的自檢查有周期性，則不必每次都執(zhí)行完 整的檢查流程，而只是自檢查系統(tǒng)變化的部分和重要部位。（2 2） 監(jiān)督檢查：指信息系統(tǒng)的上級管理部門組織的，或由國家相關(guān)部門依法開展 的檢查。監(jiān)督檢查一般需要執(zhí)行完整的檢查流程，但特殊情況下，也可在自 檢查的基礎(chǔ)上，只執(zhí)行關(guān)鍵部門的檢查。（3 3） 委托檢查：受檢單位或監(jiān)督檢查的組織部門不具備檢查能力的，可委托經(jīng)相 關(guān)主管部門認可的機構(gòu)來檢查。14.1.3 檢查的分類信息系統(tǒng)的安全性檢查按照起因和組織形式可分為常規(guī)檢查、

3、專項檢查、事件檢查、 安全檢查和自查五類；按照內(nèi)容劃分可分為管理類檢查和技術(shù)類檢查兩類。本章將從內(nèi)容 劃分進行描述。（1 1） 管理類檢查：針對信息系統(tǒng)的管理過程施行的檢查稱為管理類檢查，主要分為組織 安全檢查、人員安全檢查、系統(tǒng)建設(shè)檢查和系統(tǒng)運維檢查等幾個部分。（2 2） 技術(shù)類檢查：針對支持和保障信息系統(tǒng)安全運行使用的技術(shù)和操作施行的檢查稱為 技術(shù)類檢查，主要包括物理安全檢查、網(wǎng)絡(luò)安全檢查、主機安全檢查和應(yīng)用安全檢 查等幾個部分。信息系統(tǒng)安全等級保護檢查14.2 檢查的目標和內(nèi)容14.2.1 檢查目標信息系統(tǒng)的檢查，無論是自檢還是監(jiān)督檢查，實質(zhì)上都是一種持續(xù)性的風(fēng)險評估和風(fēng) 險規(guī)避過程。美

4、國聯(lián)邦信息安全管理法案中明確要求了聯(lián)邦各機構(gòu)需要對每一個系統(tǒng) 實施“定期的有效性測試與評估”，考察信息安全的策略、流程和措施“。維持這樣一個 風(fēng)險評估和風(fēng)險規(guī)避過程，能夠有效地將系統(tǒng)的安全風(fēng)險控制在可接受的范圍之內(nèi)，這也 就是信息系統(tǒng)安全性檢查和目標。為了更清楚地說明檢查的目標，這里給出信息系統(tǒng)安全等級保護檢查目標的定義；通 過對信息系統(tǒng)安全性檢查，將信息系統(tǒng)的安全風(fēng)險控制在可接受的范圍，并且保障系統(tǒng)在 相應(yīng)的系統(tǒng)保護等級上達到相應(yīng)的等級保護標準和規(guī)范。1422 檢查內(nèi)容通過細化信息系統(tǒng)安全性檢查目標，可以很容易地得到系統(tǒng)檢查相應(yīng)的檢查內(nèi)容，如 表 14-14-1 1所示。表 14-114-1

5、 系統(tǒng)檢查內(nèi)容項目檢查內(nèi)容管 理 類組織安全檢查安全機構(gòu)的組織情況人員安全檢查系統(tǒng)管理人員行為等系統(tǒng)建設(shè)檢查系統(tǒng)建設(shè)的相關(guān)管理制度和人員行為系統(tǒng)運維檢查運維管理制度和人員行為技術(shù)類物理安全檢查物理環(huán)境安全，檢查系統(tǒng)運行安全網(wǎng)絡(luò)安全檢查網(wǎng)絡(luò)設(shè)施和網(wǎng)絡(luò)環(huán)境安全主機安全檢查主機設(shè)備和操作規(guī)程安全應(yīng)用安全檢查應(yīng)用系統(tǒng)各方面安全系統(tǒng)檢查內(nèi)容14.3 檢查的實施14.3.1 管理類檢查1.1.組織安全檢查檢查對象：信息安全組織機構(gòu)相關(guān)文檔和管理制度。檢查條目和結(jié)果判定可參照組織安全管理檢查表，如表14-214-2 所示。表 14-214-2 組織機構(gòu)安全管理檢查檢查條目結(jié)果判定信息系統(tǒng)安全等級保護檢查安全

6、組織機構(gòu)建立安全組織機構(gòu)成立的相關(guān)文件齊全，架構(gòu)完整，有專門的的 信息安全領(lǐng)導(dǎo)小組進行安全工作安全組織機構(gòu)運行信息安全機構(gòu)定期開展信息安全工作的部署和考核等工作， 并有明確的記錄信息系統(tǒng)安全等級保護檢查安全管理制度制定和實施信息安全制度按照流程指定，并且制度實施情況良好2.2.人員安全檢查檢查對象：人員管理的制度和記錄。檢查條目和結(jié)果判定可參照人員安全管理檢查表，如表14-314-3 所示。表 14-314-3 人員安全管理檢查表檢查條目結(jié)果判定人員錄用安全管理人員管理制度對錄用人員技術(shù)和安全管理知識進行規(guī)定， 關(guān) 鍵崗位和重要崗位要簽訂安全協(xié)議書和安全保密協(xié)議離崗離職人員安全管理人員管理制度

7、對離崗人員信息安全管理進行規(guī)定， 人員離崗 時應(yīng)進行登記在職人員安全考核管理人員管理制度對在職人員審查進行規(guī)疋， 對考核結(jié)果進行記 錄并保存人員安全教育和培訓(xùn)人員管理制度對安全意識和技術(shù)進行培訓(xùn)和規(guī)定， 并對安全 教育和培訓(xùn)情況和結(jié)果進行記錄并存檔保存外部人員訪問人員管理制度中具有針對外部人員訪冋重要區(qū)域的管理規(guī) 定， 且對外部人員訪問歷史進行記錄并保存3.3.系統(tǒng)建設(shè)檢查檢查對象：系統(tǒng)頂級管理中的制度、記錄文檔和相關(guān)的合同及文檔等。檢查條目和結(jié)果判定參照系統(tǒng)建設(shè)管理檢查表，如表14-414-4 所示。表 14-414-4 系統(tǒng)建設(shè)管理檢查表控制點檢查條目結(jié)果判疋系統(tǒng) 定級定級文檔文檔明確邊界

8、和等級且說明定級方法和理由定級結(jié)果批準結(jié)果經(jīng)過審批定級結(jié)果論證和審定正確性和合理性經(jīng)過論證安全方案 設(shè)計安全措施及其補充、調(diào) 整根據(jù)定級結(jié)果調(diào)整措施，并記有記錄安全設(shè)計方案文件統(tǒng)一考慮安全保障體系，形成配套文件安全設(shè)計方案的論證方案正確性和合理性進行論證安全方案配套文件的維 護（三級以上）配套文件定期維護安全總體規(guī)劃（三級以上）設(shè)立專門部門或?qū)Ｈ诉M行進行總體規(guī)劃和設(shè)計安全建設(shè)計劃（三級以上）設(shè)立專門部門或?qū)Ｈ酥贫ㄖ?、長期安全計劃產(chǎn)品采購 和使用安全產(chǎn)品憑證安全產(chǎn)品米購和使用需要符合國家相關(guān)部門規(guī)疋產(chǎn)品米購控制制定專門部門或?qū)Ｈ烁鶕?jù)米購清單負責(zé)米購產(chǎn) 品信息系統(tǒng)安全等級保護檢查產(chǎn)品選型測試進行選

9、型測試，根據(jù)測試結(jié)果選擇產(chǎn)品自行軟件 開發(fā)開發(fā)環(huán)境和運行環(huán)境要分開開發(fā)環(huán)境和運行環(huán)境需要隔離開發(fā)人員和測試人員分離開發(fā)人員和測試人員需要分離軟件開發(fā)管理制度和文 檔管理要有專門的軟件設(shè)計文檔，并由專人管理代碼規(guī)范制定代碼規(guī)范，要求按規(guī)范編碼程序資源庫建立資源庫，并保證其修改、更新和發(fā)布外部軟件軟件質(zhì)量檢測根據(jù)需求檢測軟件質(zhì)量開發(fā)惡意代碼檢測制定代碼規(guī)范，按要求規(guī)范編碼軟件設(shè)計文檔、使用指 南提供軟件的設(shè)計文檔軟件后門檢測提供源代碼進行后門檢測工程 實施工程實施管理部門制定或授權(quán)專門的部門或人員進行工程實施管 理工程實施控制指定詳細方案控制工程實施工程實施管理制度建立管理制度，明確實施方法，說明

10、人員準則測試安全性測試委托第三方進行安全性測試，并出具測試報告驗收測試驗收報告及其審定記錄測試結(jié)果，形成報告并審疋測試部門和制度建立管理制度，制定專門部門進行測試驗收管 理系統(tǒng)系統(tǒng)交付清單制定交付清單、根據(jù)清單清點設(shè)備交付運維人員培訓(xùn)組織人員進行培訓(xùn)，并進行記錄系統(tǒng)建設(shè)過程中和運維 文檔確保接收系統(tǒng)建設(shè)過程相關(guān)文檔和運維指導(dǎo)文 檔系統(tǒng)交付管理部門和制 度建立專門部門和制度管理交付、規(guī)范人員行為系統(tǒng)材料管理指定專門部門或人員進行備案材料整理備案備案須將材料交到主管部門或公安機關(guān)備案等級等級測評周期至少每年一次，并進行整改測評測評單位選擇應(yīng)選擇有測評資質(zhì)的公司進行測評測評部門指定或授權(quán)專門部門進行

11、測評安全服務(wù)安全服務(wù)商選擇規(guī)定選擇符合國家相關(guān)規(guī)定的服務(wù)商商選擇安全服務(wù)協(xié)議簽訂服務(wù)協(xié)議，明確責(zé)任安全服務(wù)商合同必要時簽訂合同，保障技術(shù)支持和培訓(xùn)的實現(xiàn)4.4.系統(tǒng)運維檢查控制點檢查條目判定結(jié)果環(huán)境基本環(huán)境指定專門人員進行環(huán)境管理，包括空調(diào)和配電等機房環(huán)境指定專門部門，并制定機房管理制度辦公室環(huán)境加強辦公室保密性管理，規(guī)范人員行為資產(chǎn)資產(chǎn)清單具有資產(chǎn)清單資產(chǎn)管理制度建立資產(chǎn)管理制度，規(guī)范資產(chǎn)管理和使用行為信息系統(tǒng)安全等級保護檢查資產(chǎn)分類和標記根據(jù)資產(chǎn)的重要程度進行分類和規(guī)范化管理介質(zhì)介質(zhì)管理制度實行專人化管理，制定介質(zhì)存放環(huán)境介質(zhì)異地存儲根據(jù)數(shù)據(jù)備份需要，對某些介質(zhì)進行異地存儲介質(zhì)數(shù)據(jù)加密介質(zhì)

12、中的重要數(shù)據(jù)要進行加密設(shè)備設(shè)備維護制度指定專人對設(shè)備進行維護設(shè)備管理制度建立申報、審批和專人負責(zé)的管理制度密碼密碼管理制度建立密碼管理制度，使用符合國家標準的產(chǎn)品密碼安全管理機 制 建立基于密碼的安全機制管理制度變更變更方案制疋確認變更并制定方案，根據(jù)方案實施變更變更管理制度建立變更管理制度，管理變更審批等流程表更申報與審批變更前要進行變更申請，得到審批后才可以變更變更中止與恢復(fù)建立變更中止和恢復(fù)文件程序網(wǎng)絡(luò) 安全安全管理制度制度安全管理制度，規(guī)范人員行為更新和漏洞掃描定期進行漏洞掃描，并及時打補丁設(shè)備最小化服務(wù) 配置實現(xiàn)設(shè)備最小化服務(wù)配置，對配置文件離線備份連接授權(quán)與設(shè)備 進入控制所有與外聯(lián)

13、系統(tǒng)連接均進行審批、并記錄違規(guī)行為檢查定期檢查違規(guī)行為系統(tǒng) 安全安全管理制度制定安全管理制度，規(guī)范人員行為系統(tǒng)訪問控制策 略根據(jù)業(yè)務(wù)需求和安全分析確定訪問控制策略漏洞掃描和補丁 更新定期進行漏洞掃描，并及時更新補丁系統(tǒng)操作管理及時安裝系統(tǒng)補丁，安裝前應(yīng)進行測試日志審計和日志 記錄應(yīng)疋期進行日志審計和日志記錄惡意代碼法 防護防病毒知識培訓(xùn)疋期進行防病毒培訓(xùn)，提咼防毒意識惡意代碼檢測和 分析指定專人進行惡意代碼檢測，并保留記錄惡意代碼防范管 理制度建立管理制度，規(guī)定軟件的使用和代碼庫升級安全事件處 理安全弱點和可疑 事件報告報告所有可疑事件，并且不嘗試驗證弱點管理制度制度安全事件報告和處理管理制度

14、事件等級劃分根據(jù)相關(guān)部門的劃分方法和威脅性劃分事件安全事件響應(yīng)、 處理程序建立事件報告的劃分方法和威脅劃分事件應(yīng)急預(yù)案管 理應(yīng) 急 預(yù) 案 的 的 制定、培訓(xùn)和演練制定應(yīng)急預(yù)案、并定期進行演練應(yīng)急預(yù)案資源保 障確保應(yīng)急預(yù)案資源充足信息系統(tǒng)安全等級保護檢查應(yīng)急預(yù)案定期審 查和更新定期審定和更新應(yīng)急預(yù)案備份恢復(fù)備份制度和備份 策略建立相關(guān)制度、建立備份和恢復(fù)程序，定期進行測試監(jiān)控和管理 中心各類監(jiān)控記錄對通信線路、主機和網(wǎng)絡(luò)等進行監(jiān)控，并保留記錄14.3.2 技術(shù)類檢查1.1. 物理安全檢查檢查對象：機房環(huán)境安全、設(shè)備安全、系統(tǒng)安全保障措施實施情況和檢測驗收報告。檢查條目：1 1） 物理環(huán)境安全（

15、1 1） 檢查機房安全環(huán)境，包括機房布線、防靜電和防盜防毀措施的實施情況；（2 2） 檢查機房防水、防火和溫濕度調(diào)節(jié)等保障措施和設(shè)備是否完全符合標準，以及其運 行維護情況；（3 3） 檢查機房管理制度和相關(guān)的記錄文件；（4 4） 檢查機房的門禁機監(jiān)控系統(tǒng)運行情況和相關(guān)記錄文件；（5 5） 檢查屏幕和辦公桌面。2 2） 設(shè)備物理安全（1 1） 檢查物理設(shè)備的防電磁干擾和泄露措施；（2 2） 檢查物理設(shè)備的維護情況和相關(guān)記錄文檔。3 3） 介質(zhì)物理安全（1 1） 檢查物理介質(zhì)存放、管理措施和相關(guān)文檔記錄文件；（2 2） 檢查物理介質(zhì)信息消除措施的實施情況和相關(guān)記錄；（3 3） 檢查介質(zhì)信息加密措施

16、實施情況。檢查條目和結(jié)果判定可參照物理安全檢查表，如表14-614-6 所示。檢查 條目條目 編號檢查實施結(jié)果判定環(huán)境 物理 安全（1 1） 查看機房環(huán)境，查看機房設(shè)施和 裝置的運行和維護情況機房無安全隱患，各類設(shè)施正常運 行，并且有日常維護記錄，則該項 為肯疋（2 2）查看機房各類安全設(shè)施及其運行 維護情況各類設(shè)施符合標準，運行維護正 常，且有維護記錄，則該項為肯定（3 3）查看機房制度文件和執(zhí)行情況有完善的機房管理制度，并實施正 常，則該項為肯定（4 4）查看機房門禁和監(jiān)控系統(tǒng)的運行 情況及相關(guān)記錄機房門禁和監(jiān)控系統(tǒng)運行正常，且 有相關(guān)記錄，則該項為肯定（5 5）產(chǎn)科屏幕保護和辦公室電腦桌

17、面辦公室人員離席時應(yīng)啟動屏保，則 該項為肯定信息系統(tǒng)安全等級保護檢查設(shè)備 物理 安全（1 1）檢查防電磁干擾和泄露設(shè)施運行 情況設(shè)施運行正常且有維護記錄，則該 項為肯定（2 2） 檢查各類物理設(shè)備運行維護情況設(shè)施運行正常且有維護記錄，則該 項為肯定介質(zhì) 物理 安全（1 1） 檢查介質(zhì)存放環(huán)境和管理，維護 情況，以及相關(guān)記錄文件介質(zhì)存放環(huán)境安全，管理維護正 常，并有相關(guān)維護記錄，則該項為 正常（2 2）檢查物理介質(zhì)信息清除制度和措 施及其實施情況，并審查相關(guān)記 錄文件有介質(zhì)清除的相關(guān)管理制度，且已 實施執(zhí)行，并有相關(guān)記錄文件，則 該項為正確（3 3） 檢查介質(zhì)中的信息加密情況介質(zhì)中的信息均以加密

18、，則該項為r i冃疋2.2.網(wǎng)絡(luò)安全措施檢查對象：網(wǎng)絡(luò)拓撲、安全策略、設(shè)備和網(wǎng)絡(luò)安全的各類保障措施。如訪問控制等的 實施情況以及相關(guān)的記錄和審計文件等。檢查條目：1 1） 結(jié)構(gòu)安全（1 1） 網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖與當前網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的符合性；（2 2） 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計和區(qū)域劃分的合理性；（3 3） 重要區(qū)域和網(wǎng)段、業(yè)務(wù)、職能部門的隔離性；（4 4） 重要業(yè)務(wù)系統(tǒng)的帶寬優(yōu)先級；（5 5） 路由控制；（6 6） 網(wǎng)絡(luò)冗余性配置。2 2） 訪問控制（1 1） 檢查身份認證系統(tǒng)運行情況和相關(guān)記錄文件；（2 2） 檢查訪問控制措施實施情況以及相關(guān)的監(jiān)控和記錄文件。3 3） 安全審計（1 1） 檢查審計數(shù)據(jù)保護措施

19、實施情況；（2 2） 檢查審計數(shù)據(jù)的審查記錄文件；（3 3） 檢查審計工具使用情況。4 4） 邊界檢測帶寬控制、非授權(quán)連接行為檢查和阻斷。5 5） 入侵防范（1 1） 檢查入侵檢測技術(shù)實施情況以及相關(guān)監(jiān)控和記錄文件；（2 2） 檢查攻擊情況和相關(guān)額攻擊記錄。6 6） 惡意代碼防護（1 1） 惡意代碼檢測、清除措施實施情況和記錄；（2 2） 惡意代碼庫升級情況。7 7） 網(wǎng)絡(luò)設(shè)備防護（1 1）用戶身份鑒別；信息系統(tǒng)安全等級保護檢查（2 2） 網(wǎng)絡(luò)管理員登錄地址限制;（3 3） 網(wǎng)絡(luò)設(shè)備用戶標識唯一性;（4 4） 登錄失敗處理功能；（5 5） 權(quán)限分離；檢查條目和結(jié)果判定參見網(wǎng)絡(luò)安全檢查表，如表1

20、4-714-7 所示。表 14-714-7 網(wǎng)絡(luò)安全檢查表檢查 條目條目 編碼檢查實施結(jié)果判定結(jié)構(gòu) 安全（1 1）對照網(wǎng)絡(luò)拓撲圖檢查當前網(wǎng)絡(luò)結(jié) 構(gòu)當前網(wǎng)絡(luò)圖符合拓撲圖，則該項為 正（2 2）分析網(wǎng)絡(luò)拓撲圖是否滿足業(yè)務(wù)系 統(tǒng)的實際需求，查看網(wǎng)絡(luò)性能測 試報告網(wǎng)絡(luò)結(jié)構(gòu)符合當前業(yè)務(wù)需求（3 3）重要網(wǎng)段的隔離情況和隔離措施 實施情況重要網(wǎng)段遠離邊界，并且有隔離措 施進行隔離，措施實施正常，則該 項為正（4 4）查看路由控制策略，檢查邊界和 主要網(wǎng)絡(luò)設(shè)備，查看是否配置路 由控制策略以建立安全訪問控制 路徑有相應(yīng)的路由控制策略，并且建立 了安全訪問路徑，則該項為正（5 5）是否按照業(yè)務(wù)的重要性來分配帶

21、寬優(yōu)先級，在網(wǎng)絡(luò)發(fā)生擁塞時， 優(yōu)先保護重要業(yè)務(wù)正常運行有相關(guān)優(yōu)先級分配措施，則該項為 正（6 6）查看主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能 力是否具備冗余空間，滿足業(yè)務(wù) 高分期要求具備冗余空間，能夠滿足業(yè)務(wù)高峰 期需求訪問 控制（1 1）查看身份認證系統(tǒng)運行情況和相 關(guān)記錄文件身份認證系統(tǒng)運行正常，且有相關(guān) 記錄，則該項為肯定（2 2）查看各類訪問控制措施運行和維 護情況以及相關(guān)記錄訪問控制措施運行、維護正常，且 有相關(guān)維護記錄，則該項為肯定安全 審計（1 1）查看審計數(shù)據(jù)保護措施實施情況有相應(yīng)的保護措施，則該項為肯疋（2 2 廠查看審計數(shù)據(jù)的審查記錄文件具有審計記錄文件，則（3 3） 查看審計工具的使用

22、情況設(shè)計工具運行、維護正常，則該項 為正邊界 檢測查看網(wǎng)絡(luò)邊界帶寬控制策略的實 施情況，以及非授權(quán)設(shè)備阻斷和 實施情況網(wǎng)絡(luò)邊界實施訪問控制策略、帶寬 策略、非法外聯(lián)阻斷，貝夠項為肯 疋入侵 防范（1 1）查看邊界入侵檢測措施實施情況 及記錄邊界入侵檢測措施運行、維護正 常，且有相關(guān)記錄（2 2）查看 IDSIDS 防御攻擊情況和記錄文 件有相關(guān)的報警和記錄文件，則該項 為冃疋信息系統(tǒng)安全等級保護檢查惡意 代碼 防范（1 1）查看網(wǎng)絡(luò)邊界處惡意代碼檢測和 清除情況有相關(guān)的惡意代碼檢測設(shè)施，且運 行正常，并有相關(guān)記錄，則該項為r i肯疋（2 2）查看網(wǎng)絡(luò)惡意代碼庫的升級情況 和記錄代碼庫定級升級，

23、且有記錄，則該 項為肯定網(wǎng)絡(luò) 設(shè)備 防護（1 1）查看網(wǎng)絡(luò)設(shè)備的用戶身份鑒別措 施身份鑒別措施運行正常，則該項為 正（2 2）:檢查是否設(shè)置了管理員地址限制了管理員的 IPIP 地址（3 3）檢查網(wǎng)絡(luò)設(shè)備用戶標識設(shè)備標識唯一，則該項為正（4 4）檢查身份鑒別機制的不可冒用性 和用戶口令復(fù)雜度有相關(guān)措施，且運行正常，則該項 為正（5 5）是否具有登錄失敗處理功能，是 否可采取結(jié)束會話，限制非法登 錄次數(shù)和網(wǎng)絡(luò)登錄超時自動退出 等措施有相關(guān)措施，且運行正常，則該項 為正（6 6）查看鑒別信息傳輸過程中的保護 情況有必要措施防止鑒別信息在網(wǎng)絡(luò)傳 輸過程中被竊聽，則該項為正（7 7）查看設(shè)備特權(quán)用戶的

24、權(quán)限分離措 施管理員賬號權(quán)限合理，則該項為正3.3.主機安全檢查檢查對象：主機安全中各類保護措施的實施情況，以及相關(guān)記錄、日志和審計文件。檢查條目：1 1） 身份鑒別機制（1 1） 檢查操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理員用戶的身份標識和鑒別；（2 2） 檢查操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理員用戶標識唯一性和不可冒用性和口令的復(fù)雜性;（3 3） 檢查用戶登錄失敗的處理機制；（4 4） 檢查服務(wù)器遠程管理功能及其保護措施；（5 5） 檢查管理員身份鑒別組合技術(shù)及其實施情況。2 2） 訪問控制機制（1 1） 檢查訪問控制機制的實施、審計情況和相關(guān)審計記錄；（2 2） 檢查管理員用戶權(quán)限分配情況是否符合最小權(quán)限管理；

25、（3 3） 檢查操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)管理員權(quán)限分離情況；（4 4） 檢查其他默認賬號的權(quán)限分配和管理情況；（5 5） 檢查敏感資源標記情況，以及對敏感資源進行控制。3 3） 安全審計（1 1） 檢查審計范圍覆蓋情況；（2 2） 檢查審計內(nèi)容覆蓋情況；（3 3） 檢查審計安全記錄內(nèi)容；（4 4） 檢查審計報表生成和自動生成情況；（5 5） 檢查審計進度保護情況；（6 6） 檢查審計記錄保護情況。信息系統(tǒng)安全等級保護檢查4 4） 剩余信息保護（1 1） 檢查操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶鑒別信息所在的存儲空間（內(nèi)存和硬盤空間）移為 他用時剩余信息和痕跡清除情況；（2 2） 檢查系統(tǒng)文件、目錄和數(shù)據(jù)庫

26、等資源文件存儲空間，被釋放或移為他用時剩余信息 清理情況。5 5） 入侵防范（1 1） 檢查主機入侵檢測軟件運行情況和入侵檢測記錄；（2 2） 檢查重要程序完整性檢查和恢復(fù)措施；（3 3） 檢查操作系統(tǒng)安全是否符合最小安裝原則，以及系統(tǒng)補丁的升級和更新情況。6 6） 惡意代碼防護（1 1） 檢查惡意代碼軟件的安裝、運行和更新情況；（2 2） 檢查主機惡意代碼庫和網(wǎng)絡(luò)惡意代碼庫分離情況；（3 3） 檢查惡意代碼庫的統(tǒng)一管理和升級。7 7） 資源控制（1 1） 檢查終端登錄限制情況；（2 2） 檢查安全策略中終端登錄超時情況；（3 3） 檢查單個用戶系統(tǒng)資源使用情況；8 8） 備份恢復(fù)（1 1）

27、檢查關(guān)鍵網(wǎng)絡(luò)設(shè)備、通信線路、關(guān)鍵設(shè)備的硬件冗余情況，保障系統(tǒng)的高可用性；檢查條目和結(jié)果判定操作主機安全檢查法，如表14-814-8 所示檢查 條目條目 符號檢查實施結(jié)果判定身份 鑒別 機制（1 1）檢查數(shù)據(jù)庫和操作系統(tǒng)管理員身份 標識和鑒別情況管理員身份均已標識，有身份鑒別 機制，且進行了數(shù)據(jù)庫管理員和操 作系統(tǒng)管理員的分離，則該項為肯 疋（2 2）檢查管理員身份的不可冒用性，以 及口令復(fù)雜度身份不可冒用，口令較為復(fù)雜，且 定期更換，則該項為肯定（3 3）是否有登錄失敗處理，是否米取結(jié) 束會話、限制非法登錄次數(shù)和自動 退出等措施有相關(guān)措施、且運行正常，則該項 為冃疋（4 4）查看鑒別信息傳輸過

28、程中保護情況有必要措施防止鑒別信息在網(wǎng)傳輸 過程中被竊聽，則該項為正（5 5）檢查身份鑒別技術(shù)使用情況米用兩種以上的身份鑒別技術(shù)對管 理員進行識別，則該項為肯定訪問 控制（1 1）檢查訪問控制的實施情況和審計情 況訪問控制和審計正常實施，貝 V V 該項 為冃疋（2 2）檢查權(quán)限分配分離情況分配最小權(quán)限原則，則該項為肯定（3 3）檢查系統(tǒng)管理員和操作系統(tǒng)管理員 分離情況如對兩類管理員進行了權(quán)限分離，則該項為正信息系統(tǒng)安全等級保護檢查（4 4） 查看默認賬號的權(quán)限分配和刪除對其權(quán)限米取限制措施，并在不需 要時，及時刪除用戶，則該項為肯疋（5 5） 檢查敏感信息標記情況以對敏感資源進行了標記，并控制 用戶對其操作，則該項為肯定安全 審計（1 1） 查看審計范圍審計覆蓋服務(wù)器和客戶端的每個用 戶，則該項為肯定（2 2） 僉查審計內(nèi)容覆蓋情況審計內(nèi)容覆蓋服務(wù)器和每個客戶端（3 3） 查看審計內(nèi)容覆蓋情況審計覆蓋重要用戶行為、系統(tǒng)資源 異常使用情況，則該項為肯定（4 4） 查看審計分析報告記錄內(nèi)容全面，則該項為肯定（5 5） 查看審計進程保護措施有審計保護措施，則該項為肯疋（6 6） 產(chǎn)科審計記錄保護措施有審計記錄保護措施，則該項為肯 疋剩余 信息 保護（1 1）檢查鑒別信息存放空間剩余信息清 理能夠清除信息，則該項