信息安全等級保護測評指導書

第1章安全管理測評指導書 41.1安全管理機構測評 41.2安全管理制度測評 91.3人員安全管理測評 11.4系統(tǒng)建設管理測評 1.5系統(tǒng)運維管理測評 20第2章物理安全測評指導書 322.1物理安全測評 32第3章網絡安全測評指導書 43.1網絡全局安全測評 43.2路由器安全測評 473.3交換機安全測評 593.4防火墻安全測評 673.5入侵檢測/防御系統(tǒng)安全測評 71第4章操作系統(tǒng)安全測評指導書 4.1wwsows操作系統(tǒng)安全測評 754.2LNUx操作系統(tǒng)安全測評 824.3SouARS操作系統(tǒng)安全測評 924.4AIX操作系統(tǒng)安全測評 第5章應用系統(tǒng)安全測評指導書 5.1應用系統(tǒng)安全測評 5.2IS應用安全測評 5.3APACHE應用安全測評 第6章數(shù)據(jù)庫安全測評指導書 第2頁共135頁 第3頁共135頁第1章安全管理測評指導書1崗位設置a)設定管理部，定義各個方面的負責人崗位和職責安全主管，管理機構，部門和各負責人職責：核查各崗位職責范圍和技能要求；設置及工作職責定義方面的管理人員崗位名單》b)定義各個崗位和職責(系統(tǒng)、網絡、安全管理)安全主管，崗位分工及相關職責；安全主管，最高領導是否由單位主管領導委任或授權的人員擔任；工作負責人及其崗位職責；領導小組委員會或日常管理工作的負責人具有單位領導對其最高領導其委任授權書：執(zhí)行情況的文件或記錄；第4頁共135頁安全管理委員會職責文件。2a)配備系統(tǒng)、網絡、安全管理員安全主管，崗位人員配備情況：安全管理人員名單：人員配備要求文檔：管理制度》安全管理人員名單；人員配備要求文檔：c)關鍵崗位定期輪崗安全主管，定期輪崗情況。3批(G3)安全主管，關鍵活動的審批部門，批準人是否得到授權，更新審批項目，審查周期；授權管理文件包括事項列表(審批、雙重審批事項、程序),更新審批項目，審查周關鍵活動的批準人，審批范圍，審查程序；第5頁共135頁審批過程記錄，審批程序與文件要求是否一致；人員進入機房審帶審批、系統(tǒng)外聯(lián)審批等)》(外聯(lián)接入、服務訪問、配置變更、采購、外來人員訪問和管理)審批的文檔是否具有雙重批準人的簽字和審批部門的蓋章：e)不適用的權限應及時取消及時取消授權的記錄；審查記錄的日期是否與周期一致；授權管理文件包括事項列表(雙重審批事項、程序),更新審批項目，審查周期。4作(G3)安全主管，與外單位和其他部門合作內容，溝通、合作方式有哪些；安全主管，部門間協(xié)調會議，安全管理機構內部會議，信息安全領導小組例會；安全管理人員，與外單位和其他部門人員主要溝通內容；部門間協(xié)調會議文件；《各類會議紀要或記錄(部門內、導小組)》安全工作會議文件：c)安全領導小組定期召開指導和信息安全領導小組或委員會，例會會議紀要：第6頁共135頁外聯(lián)單位說明文檔；外聯(lián)單位說明文檔：外聯(lián)單位說明文檔：g)聘請顧問安全主管，專家顧問是否指導信息安全建設，參與安全規(guī)劃和安全評審等；安全顧問證明文件，規(guī)劃和建議的簽字。5安全主管，檢查周期，定期分析、評審異常行為：安全檢查制度文檔規(guī)定檢查內容、檢查程序和檢查周期等；全檢查方面的管制制度》檢查過程記錄的程序與要求一致；審計分析報告日期、檢查、異常問題、分析結果和相應措施；安全員，安全檢查包含內容、人員、程序策略和要求，通報形式、范圍；第7頁共135頁第8頁共135頁1安全主管，制度體系是否有安全政策、安全策略；明確總體目標、范圍、方針、原則、責任，安全策略：《信息安全工作管理制度》專家論證文檔》覆蓋物理、網絡、主機系統(tǒng)、數(shù)據(jù)、應用和管理等層面：重要管理操作的操作規(guī)程，如維護手冊和操作規(guī)程；d)形成安全管理制度體系制度體系是否由安全政策、安全策略、管理制度、操作規(guī)程等構成，評審及周期；評審記錄日期與評審周期是否一致，評審意見。2布員制定安全主管，是否在信息安全領導小組或委員會負責下統(tǒng)一制定； 的收發(fā)登記記錄》安全主管，是否按照統(tǒng)一的格式標準或要求制定、論證和審定；管理文檔說明制定和發(fā)布程序、格式要求及版本；評審記錄，評審意見；第9頁共135頁管理層的簽字或蓋章，格式統(tǒng)一；收發(fā)登記記錄，符合規(guī)定程序和發(fā)布范圍要求。3訂安全主管，對安全管理制度的評審由何部門、何人負責：管理人員，對安全管理制度的評審、修訂程序，維護措施；評審記錄，日期與評審周期是否一致，修訂記錄：列表注明評審周期。流程等方面的管的安全漏洞以及結構發(fā)生變更時管理人員，對安全管理制度的審定和修訂；評審記錄，日期與評審周期是否一致，修訂記錄；審計記錄；安全制度對應相應負責人清單。第10頁共135頁1人員錄用人事負責人，錄用人員要求與其職責相對應；人事工作人員，人員錄用要求管理文檔；《關鍵崗位安全協(xié)議》b)身份、背景、專業(yè)資格和資質審查身份、背景、專業(yè)資格和資質，簽署保密協(xié)議，說明工作職責：審查文檔，記錄審查內容和審查結果：考核內容和結果；人事負責人，錄用人員要求與其職責相對應；人事工作人員，人員錄用要求管理文檔；保密范圍、保密責任、違約責任、協(xié)議的有效期限和責任人簽字；f)關鍵崗位的人員應從內部人員人事負責人，信用審查，審查周期；信用審查記錄；g)從事關鍵崗位的人員應簽署崗崗位安全責任、違約責任、協(xié)議的有效期和責任人簽字。第11頁共135頁2人員離崗安全主管，及時終止離崗人員所有訪問權限，取回物資；檢查安全處理記；人事工作人員，調離手續(xù)；保密承諾文檔，有調離人員的簽字；3社交活動；安全主管，專人負責定期考核；、日期和周期；人事工作人員，懲戒措施：4訓(G3)安全主管，以何形式制定安全教育和培訓計劃，效果如何；和培訓方面的管理制度》施等的理解程度；第12頁共135頁c)制定安全教育和培訓計劃容包含信息安全基礎知識、崗位操作規(guī)程；d)制定不同崗位培訓計劃記錄包括人員、內容、結果的描述，記錄與培訓計劃一致。5第三人員安全主管，管理措施，訪問前簽署安全責任合同書或保密協(xié)議；控制方面的管理制度》人員進入機房審帶審批、系統(tǒng)外聯(lián)審批等)》安全管理人員，訪問重要區(qū)域采取措施，有負責人批準，專人陪同記錄并備案管理；書面申請，批準人允許訪問的簽字；訪問管理文檔明確范圍、訪問控制、離開條件。第13頁共135頁1劃分系統(tǒng)方法，確定等級方法參照定級指南的指導，定級結果得到批準；給出等保SxAyGz值，定級結果有批準蓋章：報告或定級建議書》系統(tǒng)劃分方法和理由；明確系統(tǒng)屬性：使命、業(yè)務、網絡、硬件、軟件、數(shù)據(jù)、邊界、人員；d)書面說明等級理由劃分系統(tǒng)方法，確定等級方法參照定級指南的指導，定級結果得到批準；給出等保SxAyGz值，定級結果有批準蓋章：專家對定級結果的論證意見；劃分系統(tǒng)方法，確定等級方法參照定級指南的指導，定級結果得到批準；給出等保SxAyGz值，定級結果有批準蓋章：2設計(G3)安全措施，做過哪些調整；全建設工作計劃、第14頁共135頁安全主管，授權專人負責制定總體規(guī)劃；安全建設工作計劃明確近期、遠期安全建設計劃；總體建設規(guī)劃書》《前一次測評報 告》全技術框架、安全管理策略、總體建設規(guī)劃和詳細設計方案等；文件進行論證和審定，并經過管理部門的批準；核查相關論證意見；各方案管理層的批準：f)定期調整和修訂安全保障體系的配套文件系統(tǒng)建設負責人，安全測評、評估的結果定期調整和修訂配套方案，維護周期：各方案的維護記錄或修訂版本的記錄日期與維護周期是否一致。3系統(tǒng)建設負責人，密碼產品的使用是否符合國家密碼主管部門的要求；安全產品(邊界安全設備、重要服務器操作系統(tǒng)、數(shù)據(jù)庫等)是否符合國家的規(guī)定：《產品選型、采購第15頁共135頁暫行規(guī)定》;試結果記錄》安全主管，何部門何人負責產品采購；的控制方法和人員的行為準則單，審定周期；候選范圍，通過招標方式確定采購產品等)和人員行為準則等方面；產品選型測試結果記錄、候選產品名單審定記錄或更新的候選產品名單。4自行軟件開發(fā)(G3)立試人員(即二者分離),獨立的模擬環(huán)境中開發(fā)環(huán)境與運行環(huán)境物理分開；或自我開發(fā)方面的管理制度》《與安全服務商或外包開發(fā)商簽訂的服務合同和安全協(xié)議》b)文檔由專人保管，控制使用開發(fā)相關文檔(軟件設計和開發(fā)程序文件、測試數(shù)據(jù)、測試結果、維護手用人員范圍并做使用登記等),測試數(shù)據(jù)和測試結果是否受到控制；第16頁共135頁關文檔(目錄體系框架或交換原形報告》和維護手冊等；的簽字。5開發(fā)(G3)后的服務承諾；軟件開發(fā)協(xié)議，知識產權歸屬、安全行為等內容；軟件開發(fā)協(xié)議，知識產權歸屬、安全行為等內容；件中的惡意代碼，檢測工具是否是第三方的商業(yè)產品；計劃、程序員培訓手冊等后期技術支持文檔；第17頁共135頁6系統(tǒng)建設負責人，以書面形式(如工程安全建設協(xié)議)約束工程實施方的工程實施行為：覆蓋工程實施方的責任、任務要求和質量要求等方面內容，約束工程實施行為；管理方面的管理制度》各種文檔，如階段性工程報告：規(guī)定工程實施過程的控制方法(如內部階段性控制或外部監(jiān)理單位控制)各種行為等方面內容。7系統(tǒng)正式運行前，根據(jù)設計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試：記錄、報告》對測試過程(包括測試前、測試中和測試后)進行文檔化要求和制度化要求；應檢查是否具有系統(tǒng)驗收報告：測試報告審定；應檢查驗收測試管理制度是否對系統(tǒng)驗收測試的過程控制、參與人員的行為等進行規(guī)定；第18頁共135頁應檢查驗收測試管理制度是否對系統(tǒng)驗收測試的過程控制、參與人員的行為等進行規(guī)定。8交接手續(xù)，交接清單是否滿足合同的有關要求；系統(tǒng)交付清單具有系統(tǒng)建設文檔、指導用戶進行系統(tǒng)運維的文檔以及系統(tǒng)培訓手冊；或外包開發(fā)商簽訂的服務合同和安全協(xié)議》運行維護，培訓，技術支持服務，維護的文檔；服務承諾書、培訓記錄；c)提供運維文檔系統(tǒng)交付清單具有系統(tǒng)建設文檔、指導用戶進行系統(tǒng)運維的文檔以及系統(tǒng)培訓手冊：服務承諾書、培訓記錄；e)制定管理制度明確系統(tǒng)交付的系統(tǒng)交付管理制度，對控制方法和對交付參與人員的行為限制；系統(tǒng)交付管理制度，對控制方法和對交付參與人員的行為限制。9安全主管，專人責管理系統(tǒng)定級，系統(tǒng)屬性等文檔；錄等):文件使用控制記錄：第19頁共135頁主管部門備案的記錄或備案文檔；公安機關備案的記錄或證明；或外包開發(fā)商簽訂的服務合同和安全協(xié)議》1責，維護周期：設施維護記錄； 管理方面的管理制度》和文檔化；第20頁共135頁覆蓋機房物理訪問、物品帶進、帶出機房和機房環(huán)境安全等方面；人員)》和驗收方面的文工作人員，保證辦公環(huán)境的保密性要求事項；辦公環(huán)境管理文檔對工作人員離開座位的保密行為(如清理桌面文件和屏幕鎖定等)、人員調離辦公室后的行為行規(guī)定；機房值守人員，采用人工記錄和電子記錄雙重控制：進出登記表。f)對人員行為的規(guī)定如終端退出辦公環(huán)境管理文檔對工作人員離開座位的保密行為(如清理桌面文件和屏幕鎖定等)、人員調離辦公室后的行為行規(guī)定；2安全主管，指定資產管理的責任人員或部門，由何部門/何人負責：物理安全負責人，資產管理要求文檔化；覆蓋資產使用、借用、維護等方面；質安全管理方面覆蓋資產責任人、所屬級別、所處位置和所屬部門等方面：資產管理員，對資產進行賦值和標識管理，不同類別的資產是否采取不同的管理措施；資產清單中的設備有相應標識；第21頁共135頁類標識的原則和方法(如根據(jù)信息的重要程度、敏感程度或用途不同進行分類；3應檢查介質管理制度，查看其內容是否覆蓋介質的存放環(huán)境、使用、維護和銷毀等方面；等的登記記錄》點行定期檢查，是否對介質進行分類和標識管理；介質管理記錄，記錄介質的存儲、歸檔和借用等情況；用防拆包裝置)、選擇安全的物理傳輸途徑、雙方在場交付等環(huán)節(jié)的控制；資產管理員，重要介質實行異地存儲，異地存儲環(huán)境是否與本地環(huán)境相同；應檢查介質，查看是否對其進行了分類，并具有不同標識；f)介質傳輸過控制第22頁共135頁用防拆包裝置)、選擇安全的物理傳輸途徑、雙方在場交付地相同，是否有專人對存放地進行管理；應檢查介質，查看是否對其進行了分類，并具i)定期進行完整性和可用性檢查4資產管理員，設備指定專人或專門部門進行定期維護，周期；件維護方面的管《主機系統(tǒng)、網系統(tǒng)管理員，軟硬件維護進行制度化管理；審批作出規(guī)定：查看是否具有設備的選型、采購、發(fā)放等過程的申報材料和審批報告；資產管理員，設備選用的各個環(huán)節(jié)(選型、采購、發(fā)放等)進行審批控制，對設備帶離機構進行審批控制，設備的操作和使用是否要求規(guī)范化管理；作原則、注意事項等方面；d)帶離設備進行控制作原則、注意事項等方面；審計員，服務器的操作日志，日志文件管理，第23頁共135頁的監(jiān)督控制系統(tǒng)管理員，服務器是否進行正確配置，服務5《系統(tǒng)監(jiān)控、風險《維護匯總》等);c)管理文檔、安全配置文檔、系監(jiān)控記錄記錄監(jiān)控對象、監(jiān)控內容、監(jiān)控的異?，F(xiàn)6網絡安全管理(G3)件匯報制度》備和應用軟件等的監(jiān)控記錄和分安全員，網絡安全的管理工作(包括網絡安全配置、網絡用戶、日志等方面)制度化；第24頁共135頁設備進行過漏洞掃描，對掃描出的漏洞是否及時修補；設備進行過漏洞掃描，對掃描出的漏洞是否及時修補；漏洞掃描報告，覆蓋網絡存在的漏洞、嚴重級別、原因分析和改進意見等方面；由何部門/何人批準：定期檢查違規(guī)聯(lián)網的行應檢查是否具有內部網絡外聯(lián)的授權批準書；應檢查在規(guī)定的保存時間范圍內是否存在網絡審計日志；g)規(guī)定網絡審計日志的保存時間應檢查在規(guī)定的保存時間范圍內是否存在網絡審計日志；安全員，網絡安全的管理工作(包括網絡安全配置、網絡用戶、日志等方應檢查在規(guī)定的保存時間范圍內是否存在網絡審計日志；i)對日志的備份、授權訪問、處理、保留時間等方面做出具體規(guī)定，使用統(tǒng)一的網絡時間第25頁共135頁為7管理(G3)安全主管，詢問是否指定專人負責系統(tǒng)安全管理；安全員，將系統(tǒng)安全管理工作(包括系統(tǒng)安全配置、系統(tǒng)賬戶、審計日志等)制度化；覆蓋系統(tǒng)安全配置(包括系統(tǒng)的安全策略、授權訪問、最小服務、升級與補丁)、系統(tǒng)帳戶(用戶責任、義務、風險、權限審批、權限分配、賬戶注銷等)、審計日志以及配置文件的分析，發(fā)現(xiàn)問題如何處理；否及時修補；問權限系統(tǒng)管理員，對系統(tǒng)工具的使用(如脆弱性掃描工具)是否采取措施第26頁共135頁覆蓋系統(tǒng)安全配置(包括系統(tǒng)的安全策略、授權訪問、最小服務、升級與補丁)、系統(tǒng)帳戶(用戶責任、義務、風險、權限審批、權限分配、賬戶注銷等)、審計日志以及配置文件的審計員，規(guī)定系統(tǒng)審計日志的保存時間在規(guī)定的保存時間范圍內是否存在系統(tǒng)審計日志；i)對發(fā)現(xiàn)的系統(tǒng)安全漏洞進行及時的修補覆蓋系統(tǒng)存在的漏洞、嚴重級別、原因分析和改進意見等方面；覆蓋系統(tǒng)安全配置(包括系統(tǒng)的安全策略、授權訪問、最小服務、升級與補丁)、系統(tǒng)帳戶(用戶責任、義務、風險、權限審批、權限分配、賬戶注銷等)、審計日志以及配置文件的生成、備份、變更審批、符合性檢查等方面；8防范管理(G3)工作人員，熟知惡意代碼基本的防范手段，主要包括哪些；第27頁共135頁覆蓋系統(tǒng)安全配置(包括系統(tǒng)的安全策略、授權訪問、最小服務、升級與補丁)、系統(tǒng)帳戶(用戶責任、義務、風險、權限審批、權限分配、賬戶注銷等)、審計日志以及配置文件的生成、備份、變更審批、符合性檢查等方面；《惡意代碼檢測、升級記錄和分析c)專人負責檢測系統(tǒng)運維負責人，專人對惡意代碼進行檢測，并保存記錄；d)明確規(guī)定防范軟件使用況匯報等)制度化，對其執(zhí)行情況是否進行檢查，周期；是否對防惡意代碼軟件的授權使用、惡意代碼庫升級、定期匯報等方面作出規(guī)定；等內容：查看分析報告是否描述惡意代碼的特征、修補措施等；理(統(tǒng)一升級、檢測、分享等)是否對惡意代碼庫的升或惡意代碼是否進行及時分析處理，并形成書面報表和總結匯報；具有惡意代碼集中防范管理中心。9國家密碼管理規(guī)定密碼算法和密鑰的使用是否遵照國家密碼管理規(guī)定。系統(tǒng)運維負責人，制定變更方案指導系統(tǒng)執(zhí)行變更，變更是否要求制度化管理；系統(tǒng)運維負責人，對變更類型、變更原因、變更過程、變更前評估等方面進行說明： 第28頁共135頁況是否通知了所有相關人員，以何種方式通知：更管理制度覆蓋變更前審批、變更過程記錄、變更后通報等方面內容；系統(tǒng)的變更申請書，是否有主管領導的批準。《變更方案評審記錄和變更過程《變更申請書》c)系統(tǒng)變更情況向所有相關人員系統(tǒng)運維負責人，制定變更方案指導系統(tǒng)執(zhí)行變更，變更是否要求制度化管理；期等內容，數(shù)據(jù)備份和恢復策略是否文檔化；面的管理制度》b)規(guī)定備份方式、備份頻度(、備份方式、頻度、介質、保存期的文檔；方法等方面；長時間檢查一次；等操作流程。第29頁共135頁處置(G3)及時報告告知用戶在發(fā)現(xiàn)安全弱點和可疑事件，記錄并保存；和處置方面的管理制度》安全檢查的檢查表和安全檢查報對安全事件處置制度化管理；單位(人)、接報單位(人)和處置單位等職責；對系統(tǒng)的影響程度劃分不同等級，劃分為幾級；描述等方面內容；e)記錄并保存所有報告的安全弱管理(G3)是什么,多長時間舉辦一次；《應急預案培訓、應急預案培訓記錄，演練記錄和審查記錄；第30頁共135頁e)規(guī)定預案中需審查和更新的內容更管理制度覆蓋變更前審批、變更過程記錄、變更后通報第31頁共135頁第2章物理安全測評指導書1選擇(G3)防震、防風、防雨能本的防震、防風和防雨能力。檢查：位置選擇是否符合要求。雨能力要求。層或地下室，遠離用水設備；檢查：的下層或隔壁：1.機房沒有在建筑物的高層或地下室，附近無用水設的打印機和顯示器；檢查：的隱蔽位置。不易被無關人員看到；第32頁共135頁2制(G3)排專人值守；有專人值守機房，進入機房有記錄。批和監(jiān)控的措施；流程，是否限制和監(jiān)控其活動范圍；c)劃分區(qū)域；對機房進行劃分區(qū)域管理：1.不同區(qū)域設置不同機房；(如隔墻)。禁系統(tǒng)控制之外的出入口；夠鑒別進入人員身份；2.沒有除電子門禁系統(tǒng)控制之外的出入口。第33頁共135頁3防盜竊和防破壞(G3)固定、設置標記；上鎖。固定并標識；訪談機房維護人員，設備和主要部件是否進行了固定和標記；的標記。c)隱蔽通信線纜；冗余或并行的通信線路；檢查通信線纜鋪設是否在隱蔽處(如鋪設在地下或線路。出應受控和加密保放在介質庫或檔案室中；在介質庫或資料室中并且進行分類存放(滿足磁介質、紙介質等的存放要求);放環(huán)境滿足不同介質的存放需求；后方可允許。第34頁共135頁警系統(tǒng)；詢問機房維護人員，采用了何種技術設置機房防盜報警系統(tǒng)；檢查機房防盜報警設施是否正常運行，并查看運行記錄。f)設置監(jiān)控報警系詢問機房維護人員，采用了何種機房監(jiān)控報警系統(tǒng)；行、監(jiān)控和報警記錄。4防雷擊(G3)a)避雷裝置；置是否有人定期進行檢查和維護；《建筑物防雷設計規(guī)范》(GB157《建筑物防雷設計規(guī)范》部門的技術檢測；2.定期對避雷裝置進行檢查和維護。感應雷；第35頁共135頁c)交流電接地：訪談：檢查：的描述，與實際情況是否一致。文檔中關于地線連接要求的描述一致。5防火(G3)a)自動消防系統(tǒng)；訪談：火情、自動報警、自動滅火的自動消防系統(tǒng)；度和消防預案，是否進行了消防培訓；報告并得到排除；和自動消防系統(tǒng)(噴水不適用于機房):檢查：檢查機房是否設置了自動測火情(如使用溫感、煙感探測器)、自否合格；檢查和維修記錄；防配置狀況一致。自動消防系統(tǒng)；b)耐火建材；檢查：收文檔。文檔。第36頁共135頁c)區(qū)域隔離；檢查是否有機房區(qū)域隔離防火措施的驗收文檔；6防水和防潮訪談物理安全負責人，詢問機房建設是否有防墻壁和樓板的水管是否采取了保護措施，如設置套管；1.機房屋頂和活動地板下沒有水管穿過；2.有水管穿過，但水管設置有套管防止漏水。b)防止雨水滲透；詢問機房維護人員，機房是否出現(xiàn)過漏水和返潮事件；機房及其環(huán)境是否不存在明顯的漏水和返潮的威脅；和返潮現(xiàn)象。第37頁共135頁和積水轉移破壞；理記錄和除濕裝置運行記錄，與機房濕度記錄情況是除濕裝置運行正常。d)安裝防水檢測和報警裝置；防水檢測和報警裝置運行正常。7防靜電(G3)a)設備接地；有控制機房濕度的措施；是否一致；檢查機房是否有安全接地，查看機房的相對濕GB2887中的規(guī)定，查看機房是否不存在明顯機房濕度滿足需求，設備有接地。b)防靜電地板：電措施；機房安裝了牢固的防靜電地板。第38頁共135頁8溫濕度控制a)溫濕度調節(jié)設施；訪談：了溫濕度控制的要求，是否有人負責此項工作；節(jié)設施，詢問是否出現(xiàn)過溫濕度影響系統(tǒng)運行的事件；檢查：需要，是否與當前情況相符合：場地技術條件》的要求。9電力供應防護設備；訪談：器和過電壓防護設備；和維護；檢查：看與機房電力供應實際情況是否一致；是否正常運行，查看供電電壓是否正常：系統(tǒng)正常運行的要求。計算機系統(tǒng)單獨配備了穩(wěn)壓器和過電壓設備。第39頁共135頁力供應；訪談：是否能夠控制電源穩(wěn)壓范圍滿足計算機系統(tǒng)運行正常；檢查：備用電源設備要求，查看與機房電力供應實際情況是否一致；常運行，查看供電電壓是否正常；常運行的要求。第40頁共135頁c)冗余電路；或并行的電力電纜線路(如雙路供電方式);在雙路供電切換時是否能夠對計算機系統(tǒng)正常供電；余或并行電力電纜線路要求，查看與機房電力供應實際情況是否一運行的要求；測試安裝的冗余或并行電力電纜線路是否能夠統(tǒng)供電正常。第41頁共135頁用供電系統(tǒng)；訪談：供電系統(tǒng)(如備用發(fā)電機);詢問機房維護人員是否定期檢查備用供電系統(tǒng)(如備用發(fā)電機),是否能夠在規(guī)定時間內正常啟動和正常供電；檢查：用供電系統(tǒng)要求，查看與機房電力供應實際情況是否一致；電磁防護a)安全接地；訪談：干擾的措施(如設備外殼有良好接地):檢查：況是否一致；檢查機房設備外殼是否有安全接地。線纜隔離；訪談：免互相干擾；檢查：檢查機房布線是否做到電源線和通信線纜隔離。第42頁共135頁磁屏蔽；泄露的措施；器；屏蔽輻射。第43頁共135頁第3章網絡安全測評指導書1能力具備冗余空網絡設備性能滿足需求。訪談：詢問是否合理分配帶寬；檢查：針對Cisco設備，輸入showrunning-confi有專用帶寬管理設備或存在如下配置：檢查：是否配置路由控制策略建立安全的訪問路徑。存在如下配置：配置項：iproute255.2配置項：檢查：查看網絡拓撲圖與當前運行情況是否一致。網絡拓撲圖與當前運行情況一致。第44頁共135頁檢查：是否進行了子網劃分。檢查配置文件中是否出現(xiàn)類似如下配置項：存在如下配置：重要網段不在網絡邊界處并與其他網段隔離部署。檢查：是否配置了對帶寬進行控制的策略。檢查配置文件中是否存在類似如下配置項：有專用帶寬管理設備或存在如下配置：2法內聯(lián)"設備；訪談：詢問如何檢查和阻斷"非法內聯(lián)"行為。檢查：綁定等技術手段檢查和阻斷"非法內聯(lián)":在網絡管理員配合下驗證有效性。未經授權的設備或用戶無法接入內網。法外聯(lián)"設備和用訪談：詢問如何檢查和阻斷"非法外聯(lián)"行為。檢查：在網絡管理員配合下驗證有效性。未經授權的設備或用戶無法連接外網。3訪談：訪談是否部署了包含入侵防范功能的設備。和網絡蠕蟲攻擊等攻擊行為進行檢測。第45頁共135頁錄和報警。有針對攻擊行為的記錄和報警，設備特征庫為最新版本。4防范(G3)測和清除；訪談：訪談是否部署了防惡意代碼產品。中是否有相關阻斷信息。部署了防惡意代碼產品并啟用了檢測和阻斷功能。升級和更新：訪談：詢問是否進行特征庫升級及具體的升級方式。檢查：登錄并查看相關設備的特征庫是否為最新版本。特征庫為最新版本。c)統(tǒng)一管理。檢查：檢查防惡意代碼產品是否支持統(tǒng)一管理(如支持統(tǒng)一管理。第46頁共135頁思科路由器1行日志記錄；檢查配置文件中是否存在類似如下配置項：b)分析記錄數(shù)據(jù)，生成審計報表；訪談：訪談并查看如何實現(xiàn)審計記錄數(shù)據(jù)的分析和報表生成。d)保護審計記錄。訪談：訪談是否避免了審計日志的未授權修改、刪除和破壞。檢查配置文件中是否存在類似如下配置項：2的訪問控制功能；路由器上啟用了訪問控制功能。檢查配置文件中是否存在以下類似配置項：第47頁共135頁服務；流入流量過濾：過濾掉源地址IP不是公網IP的數(shù)據(jù)包；流出流量過濾：只允許源地址IP地址是公司內部directed-broadcast,noipdomain-lookup等。存在類似如下配置：路由器一些不需要的服務都關閉。流量數(shù)及網絡連及網絡連接數(shù)；如限制主機的最大連接數(shù)為200,有專用的帶寬管理設備來實現(xiàn)網絡流量的控制；或地址欺騙；存在類似如下配置：第48頁共135頁用戶對受控系統(tǒng)的資源訪問；檢查配置文件中是否有類似如下VPN相關配置項：VPN和遠程用戶訪問受控資源需經過認證，存在類cryptoipsectransfo訪問權限的用戶檢查：輸入命令showrunning檢查配置文件中是否存在類似如下配置項：限制VPN和遠程撥號用戶的數(shù)量，存在類似如下配置：第49頁共135頁3網絡設備防護(G3)檢查：輸入命令showrunning3)如果設備啟用了AAA認證，查看配置文件tacacs-serverhost192.或radius-serverhost192.168.1存在類似如下配置：tacacs-serverhost192.或radius-serverhost192.168.1檢查：輸入命令showrunning存在類似如下配置：第50頁共135頁c)用戶標識唯一；檢查：輸入命令showrunning檢查配置文件是否存在類似如下配置項：usernameadminprivusernameuserprivi存在類似如下配置：usernameadminprivusernameuserprivilegeI上身份鑒別技術；兩種認證方式同時作用鑒別身份。e)身份鑒別信息訪談：詢問網絡管理員使用口令的組成、長度和更改周期等。檢查：輸入命令showrunning檢查配置文件中是否存在類似如下配置項：配置：處理功能；檢查：輸入命令showrunning檢查配置文件中是否存在類似如下配置項：存在類似如下配置：理方法；訪談：詢問是否采用安全的遠程管理方法。檢查：輸入命令showrunning查看配置文件中是否存在類似如下配置項：使用SSH或SSL等安全的遠程管理方法，存在第51頁共135頁分離。存在類似如下配置：4復(A3)備份與恢復；檢查：輸入命令showrunning存在類似如下配置：備份功能；撲結構；拓撲結構冗余。設備硬件冗余。華為路由器1行日志記錄；檢查：輸入命令displaycurrent-config檢查配置文件中是否存在類似如下配置項：存在類似如下配置：第52頁共135頁生成審計報表；訪談：訪談并查看如何實現(xiàn)審計記錄數(shù)據(jù)的分析和報表生成。訪談：訪談是否避免了審計日志的未授權修改、刪除和破壞。檢查配置文件中是否存在類似如下配置項：2的訪問控制功能；輸入命令displaycurrent-config檢查配置文件中是否存在以下類似配置項：第53頁共135頁服務；檢查：輸入命令displaycurrent-config檢查配置文件中是否存在類似如下配置項：流入流量過濾：過濾掉源地址IP不是公網IP的數(shù)據(jù)包；流出流量過濾：只允許源地址IP地址是公司內部被轉發(fā)出去。關閉掉路由器的一些不需要的服務，domain-lookup等。存在類似配置，路由器一些不需要的服務都關閉。流量數(shù)及網絡連及網絡連接數(shù)；檢查：檢查路由器配置，輸入命令displaycurrent-config如限制主機的最大連接數(shù)為200,存在類似如下配置項：connection-limitpolicy0natconnection-limit-policy0來實現(xiàn)網絡流量的控制。有專用的帶寬管理設備來實現(xiàn)網絡流量的控制；第54頁共135頁存在類似如下配置：用戶對受控系統(tǒng)檢查：輸入命令displaycurrent-configVPN和遠程用戶訪問受控資源需經過認證，存在訪問權限的用戶檢查：輸入命令displaycurrent-config限制VPN和遠程撥號用戶的數(shù)量，存在類似如下配置：第55頁共135頁3網絡設備防護(G3)檢查：輸入命令displaycurrent-configuser-interfacevty04authentication-modepauthentication-modepsetauthenticationpas2)使用cipher命令為特權用戶設置口令，如：super3)如果設備啟用了radius認證，查看配置User-interfacevty04primaryauthenticatio存在類似如下配置：tacacs-serverhost192.或radius-serverhost192.168.1檢查：輸入命令displaycurrent-configuser-interfacevty04檢查：輸入命令displaycurrent-co上身份鑒別技術；兩種認證方式同時作用鑒別身份。e)身份鑒別信息訪談：詢問網絡管理員使用口令的組成、長度和口令組成滿足復雜性和長度要求并定期更新，存在類似如下配置：處理功能；檢查：輸入命令displaycurrent-configuser-interfacevty04理方法；檢查：輸入命令displaycurrent-config使用SSH或SSL等安全的遠程管理方法，存在user-interfacevty04第57頁共135頁檢查：輸入命令displaycurrent-config檢查配置文件中是否存在類似如下配置項：4復(A3)備份與恢復；訪談：訪談設備配置文件備份策略。撲結構；存在單點故障。檢查：查看主要路由器是否有硬件冗余。第58頁共135頁1行日志記錄；檢查：輸入命令displaycurrent-config檢查配置文件中是否存在類似如下配置項：存在類似如下配置：生成日志記錄的報表。生成審計報表；訪談：訪談并查看如何實現(xiàn)審計記錄數(shù)據(jù)的分析和報表生成。啟用了日志功能。訪談：訪談是否避免了審計日志的未授權修改、刪除和破壞。檢查：輸入命令displaycurrent-config檢查配置文件中是否存在類似如下配置項：授權。2輸入命令displaycurrent-config檢查配置文件中是否存在以下類似配置項：存在類似如下配置：第59頁共135頁檢查：輸入命令displaycurrent-config檢查配置文件中是否存在類似如下配置項：存在類似如下配置：有專用的帶寬管理設備來實現(xiàn)網絡流量的控制或有相關Q0S地址欺騙；檢查：輸入命令displaycurrent-config檢查配置文件中是否存在類似如下配置項：存在類似如下配置：3網絡設備防護(G3)檢查：輸入命令displaycurrent-config1)查看配置文件，是否存在類似如下登錄口令設置：setauthenticationpa2)如果設備啟用了AAA認證，查看配置存在類似如下配置：setauthenticationp第60頁共135頁檢查：輸入命令displaycurrent-config查看配置文件里是否存在類似如下配置項：存在類似如下配置：c)用戶標識唯一；檢查：輸入命令displaycurrent-config檢查配置文件是否存在類似如下配置項：passwordcipherOWE!$QJG]0Q=^QMAF4<存在類似如下配置：passwordcipherOWE!$@JG]0Q=^QMAF4<d)兩種或兩種以兩種認證方式同時作用鑒別身份。e)身份鑒別信息訪談：詢問網絡管理員使用口令的組成、長度和更改周期等。檢查：輸入命令displaycurrent-config檢查配置文件中是否存在類似如下配置項：passwordcipherWE!$@口令組成滿足復雜性和長度要求并定期更新；密碼密文顯示，舉例如下：passwordcipherWE!$@處理功能；檢查：輸入命令displaycurrent-config檢查配置文件中是否存在類似如下配置項：存在類似如下配置：第61頁共135頁理方法；檢查：輸入命令displaycurrent-config分離。檢查：輸入命令displaycurrent-config存在多個不同權限用戶，做到權限分離，如下配置：4復(A3)備份與恢復：定期備份配置文件和設備軟件。備份功能；使用了異地備份功能。撲結構：拓撲結構冗余。設備硬件冗余。第62頁共135頁1行日志記錄；檢查配置文件中是否存在類似如下配置項：存在類似如下配置：生成日志記錄的報表。生成審計報表；訪談：訪談并查看如何實現(xiàn)審計記錄數(shù)據(jù)的分析和報表生成。啟用了日志功能。訪談：訪談是否避免了審計日志的未授權修改、刪除和破壞。檢查配置文件中是否存在類似如下配置項：授權。2啟用了訪問控制功能。檢查配置文件中是否存在以下類似配置項：存在類似如下配置：第63頁共135頁關閉掉交換機默認開啟的一些實際使用中不directed-broadcast,noip存在類似如下配置：交換機一些不需要的服務都關閉。流量數(shù)；有專用的帶寬管理設備來實現(xiàn)網絡流量的控制或有相關QOS地址欺騙；存在類似如下配置：3網絡設備防護(G3)檢查：輸入命令showrunning3)如果設備啟用了AAA認證，查看配置文件tacacs-serverhost192.或radius-serverhost192.168.1存在類似如下配置：tacacs-serverhost192.或radius-serverhost192.168.1b)登錄地址限制；檢查：輸入命令showrunning存在類似如下配置：c)用戶標識唯一；檢查：輸入命令showrunningusernameadminprivusernameuserprivi存在類似如下配置：usernameadminprivusernameuserprivilegeI第65頁共135頁兩種認證方式同時作用鑒別身份。e)身份鑒別信息訪談：詢問網絡管理員使用口令的組成、長度和更改周期等。檢查：輸入命令showrunning檢查配置文件中是否存在類似如下配置項：配置：處理功能；檢查：輸入命令showrunning檢查配置文件中是否存在類似如下配置項：存在類似如下配置：訪談：詢問是否采用安全的遠程管理方法。檢查：輸入命令showrunning查看配置文件中是否存在類似如下配置項：檢查：輸入命令showrunning檢查配置文件中是否存在類似如下配置項：存在類似如下配置：4復(A3)訪談：訪談設備配置文件備份策略。檢查：是否定期備份配置文件和設備軟件。定期備份配置文件和設備軟件。第66頁共135頁備份功能；使用了異地備份功能。拓撲結構冗余。設備硬件冗余。1行日志記錄；檢查配置文件中是否存在類似如下配置項：存在類似如下配置：生成審計報表；訪談：訪談并查看如何實現(xiàn)審計記錄數(shù)據(jù)的分析和報表生成。生成日志記錄的報表。第67頁共135頁啟用了日志功能。訪談：訪談是否避免了審計日志的未授權修改、刪除和破壞。檢查配置文件中是否存在類似如下配置項：授權。2了訪問控制功能。檢查配置文件中是否存在以下類似配置項：存在類似如下配置：檢查：防火墻配置了合理的訪問控制策略。檢查：協(xié)議的內容過濾配置。存在類似如下配置：d)會話控制；檢查：檢查配置文件中是否存在以下類似配置項：存在類似如下配置：第68頁共135頁檢查：檢查配置文件中是否存在以下類似配置項：存在類似如下配置：地址欺騙；檢查：檢查配置文件中是否存在以下類似配置項：存在類似如下配置：統(tǒng)資源訪問控制；檢查：是否有遠程VPN訪問用戶，遠程用戶訪問收控資源有無控制對遠程VPN訪問用戶限制了訪問范圍，如：訪問權限的用戶檢查：當有遠程VPN訪問用戶時，限制可訪問的用戶數(shù)存在類似如下配置：vpngrouptestvpn-simultaneous-logins3網絡設備防護(G3)檢查：檢查配置文件中是否存在以下類似配置項：usernameciscopass或存在類似如下配置：usernameciscopass或b)登錄地址限制；檢查：檢查配置文件中是否存在以下類似配置項：存在類似如下配置：第69頁共135頁c)用戶標識唯一；檢查：檢查配置文件中是否存在以下類似配置項：usernameciscopassusernamepixpassword**帳號專用，不存在混用現(xiàn)象，存在類似如下配置：usernameciscopasswusernamepixpassword**d)兩種或兩種以上身份鑒別技術；檢查：查看用戶的認證方式是否選擇兩種或兩種以上組合的鑒別技術。一種技術無法認證成功。e)身份鑒別信息訪談：雜度等?？诹顫M足復雜性和長度要求，并定期修改。處理功能；檢查：檢查配置文件中是否存在以下類似配置項：存在類似如下配置：檢查：檢查配置文件中是否存在以下類似配置項：檢查：檢查配置文件中是否存在以下類似配置項：usernameciscopassusernameguestpassword******privilege2存在不同權限用戶，類似如下配置：usernameciscopassusernameguestpassword******privilege24復(A3)備份與恢復；訪談：訪談設備配置文件備份策略。定期備份配置文件和設備軟件。第70頁共135頁備份功能；使用了異地備份功能。撲結構；拓撲結構冗余。設備硬件冗余。3.5入侵檢測/防御系統(tǒng)安全測評1行日志記錄；檢查：1、登錄天闐IDS的管理控制中心，鼠標選中引擎>>右鍵>>選擇屬性>>系統(tǒng)狀態(tài)界面，查看引擎設備的運行狀態(tài)；2、登錄天闐IDS的管理控制中心，點擊界面下簽頁，查看當前網絡流量曲線；心界面選擇用戶操作日志，可查詢用戶操作狀態(tài)記錄；2."業(yè)務曲線"標簽頁，有當前網絡流量曲線記錄；是否成功等；檢查：查看天闐IDS的綜合顯示中心，可以看到IDS的報警信息所包含日期和時間、用戶、事件類型、事件是否成功等信息。第71頁共135頁生成審計報表；檢查：查看天闐IDS的日志分析中心，在日志管理>>日志分析中心界選擇"用戶操作日志”可查詢用戶操作的歷史記錄，選擇“入侵檢日志管理>>日志分析中心界面，選擇"用戶操作日志"可查詢檢查：登陸天闐IDS,在開始菜單啟動用戶管理器，以完成對用戶日志的審計，發(fā)現(xiàn)被篡改過的用戶日志。2檢查：檢查IPS是否啟用訪問控制功能。IPS啟用訪問控制功能。檢查：登錄天清NIPS,在防火墻>>安全策略界面，查看是否配置了合理的訪問控制策略。在防火墻>>安全策略界面，配置了合理的訪c)內容過濾；檢查：登錄天清NIPS,在應用過濾>>WEB過濾界面的內容過濾策略。在應用過濾>>WEB過濾界面，啟用了合理的內容過濾策d)會話控制；檢查：登錄天清NIPS,在系統(tǒng)管理>>會話管理界面的會話超時管理策略。在系統(tǒng)管理>>會話管理界面，配置了合理的檢查：登錄天清NIPS,在系統(tǒng)管理>>會話管理界面的網絡最大流量數(shù)及網絡連接數(shù)策略。檢查：登錄天清NIPS,在防火墻>>防ARP攻擊界面，防欺騙攻擊或防ARPFlood攻擊策略。激活"IP/MAC綁定"標簽，還可以進行IP/MAC綁定設置。1.在防火墻>>防ARP攻擊界面，啟用了ARP防欺騙攻擊或防ARPFlood攻擊策略；2.激活“IP/MAC綁定”標簽，有相關的IP/M第72頁共135頁3網絡設備防護(G3)檢查：控制中心登錄的默認用戶ID和密碼已經被修改。b)登錄地址限制；天闐設備一般不需要登錄地址限制。c)用戶標識唯一；檢查：登錄天闐IDS的用戶管理中心，檢查用戶ID是否存在相同的情登錄天闐IDS的用戶管理中心，不存在相同的用戶Id)兩種或兩種以檢查：的設備。生成的動態(tài)口令，只有靜態(tài)密碼則登錄失敗。e)身份鑒別信息檢查：復雜度要求等。用戶名、口令符合復雜度要求并定期修改。處理功能；檢查：在用戶管理器中，點擊"登錄失敗處理"按鈕，查理的設置。理設置。理方法；訪談：詢問如何進行安全的遠程管理。使用了安全的SSH和SSL等遠程管理方法。分離。檢查：在用戶管理器中，不同用戶的權限分配不同。第73頁共135頁4復(A3)備份與恢復；檢查：在天闐IDS的“日志維護”窗口，檢查是否配置了和恢復的功能。在天闐IDS的"日志維護"窗口，配置了相應復功能。備份功能：檢查：在天闐IDS的“日志維護”>>"手動維護”窗口，查看是否配置了遠程備份服務器的IP。在天闐IDS的"日志維護”>>"手動維護"窗撲結構：檢查：方式，發(fā)生設備故障時一般采取直通方式，不會果存在多條鏈路，應檢查每條鏈路是否都部署了入侵防御d)提供硬件冗余。第74頁共135頁第4章操作系統(tǒng)安全測評指導書4.1windows操作系統(tǒng)安全測評1身份鑒別1)查看"管理工具-計算機管理-本地用戶和組"中用身份標識和鑒別1)訪談系統(tǒng)管理員，系統(tǒng)用戶是否已設置密碼，并查看登錄過程中系統(tǒng)賬戶是否使用了密碼進行驗證登錄；為混合認證方式；用戶也必須輸入1.采用了其他身現(xiàn)場演示。管理用戶身份標識不被冒用1)查看“運行gpedit.msc,打開組策略編輯器-windows設置-用密碼可逆加密等6項?？诹畹拈L度、復雜了相關要求第75頁共135頁1)查看“運行gpedit.msc打開組策略編輯器-windows設置-安全設置-賬戶鎖定策略”,記錄賬戶鎖定閥值、賬戶鎖定時間等2項。1.數(shù)據(jù)庫采用了失敗鑒別和超時設置。手工檢測：詢問管理員是否使用證書等方式對設備身份進行鑒別。式1.確認操作系統(tǒng)版本；2.確認終端服務器使用了SSL加密；3.確認RDP客戶端使用SSL加密。的加密方式。1.啟用了“強制協(xié)議密碼”。第76頁共135頁2自主訪問控制1、選擇%systemdrive%\windows\system、%systemroot%\system32\config、等相應的文件夾，右鍵選擇“屬性">"安全",查看everyone組、users組和adminis限設置：記錄everyone組、users組和administrators組的權限設2、在命令行模式下輸入netshare,查看共享；并查看注冊表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSettrol\Lsa\restrictanonymous值是否為"0"(0表示共享開啟)。記錄默認共享是否開啟。期的賬號和無用的賬號等；訪問控制列表中的用戶和權限，是否與安全策略相一致。問控制列表的屬性相同最小授權原則，且相互制約2.查看用戶分組情況，記錄用戶分組情況；3.權利指派。運行“gpedit.msc打開組策略1.每個登陸用戶的權限未超出該第77頁共135頁結合系統(tǒng)管理員的組成情況，判斷是否實現(xiàn)了該項要求。1)首先確認不存在多人共用一個賬戶的情況；2)其次每個管理員賬戶應只負責管理某一方面的內容，不能同時管理操作系統(tǒng)和數(shù)據(jù)庫。1.特權用戶對應于不同的管理員。限制默認用戶訪問權限1)“我的電腦”-“管理"-"本地用戶和組”,檢查沒有被禁用的用戶名和組。2)查看默認用戶名是否重命名3)查看guest等默認賬戶是否已禁用。默認用戶無訪問查看是否有多余的、過期的賬戶，避免共享賬戶，進行記錄。1.不存在多余的、3制2.詢問系統(tǒng)管理員是否對重要信息資源設置敏感標記。1.采取了強制訪限等。識等安全功能密切配合，并且控制粒度達到主體為用戶級，客體為文件和數(shù)據(jù)庫表4功能開啟查看系統(tǒng)是否開啟了審計功能；訪談：詢問并查看是否有第三方審計工具或系統(tǒng)。1.審計功能已開啟，且每個注冊的“審核級別”為第78頁共135頁使用“全部”:志記錄功能正常；"事件查看器”-“安全性",查看日志文件是否包含相關要素。審計記錄包含重資源異常和重要系統(tǒng)命令的使用(如XP_CMDSHELL記錄。審計報表訪談并查看對審計記錄的查看、分析和生成審計報表情況。件指定實時報警方式(如聲音、EMAIL、短信等),并查看對應措式審計進程保護Windows系統(tǒng)具備了在審計進程自我保護方面功能。具有審計進程自審計記錄保護訪談是否采取專用日志服務器等措施，對審計記錄進行存儲、備份和保護。5護運行“gpedit.msc打開組策略編輯器-windows設置-安全設置-本地策略-安是否選中"不顯示上次登錄用戶名"。第79頁共135頁1)清除虛擬內存頁面；2)運行“gpedit.msc打開組策略編輯器-windows設置-安全設置-本地策看是否選中“關機前清除虛擬內存頁面”和"用可還原的加密6主機IDS1)詢問系統(tǒng)管理員是否經常查看系統(tǒng)日志并對3)詢問并查看是否有第三方入侵檢測系統(tǒng)，如IDS.析1、查看目前系統(tǒng)中運行的服務如：AlertService、Messenger、TaskScheduler是否已啟動；2、訪談并查看系統(tǒng)補丁升級方式，以及最新的始">"設置">"控制面板">"添加刪除程除程序”,按照記錄的系統(tǒng)安全補丁編號KBxxxxxx;3.記錄系統(tǒng)中多余和危險的服務，記錄系統(tǒng)補丁升級方式和已安裝最新和危險的服務、系7范防病毒軟件，病毒庫更新是否及時，更新周期，主機和網絡防范軟件代碼庫不同詢問系統(tǒng)管理員網絡防病毒軟件和主機防病毒軟件分別采詢問系統(tǒng)管理員是否采用統(tǒng)一的病毒更新策略第80頁共135頁8資源控制1.詢問并查看系統(tǒng)是否開啟了主機防火墻或TCP/IP篩選功能；2.詢問并查看是否通過網絡設備或防網絡火墻實現(xiàn)了此項要求。能1.查看登陸終端是否開啟了帶密碼的屏幕保護功能；1.詢問系統(tǒng)管理員是否經常查看主機資源利用情況；2.詢問是否有第三方工具實現(xiàn)上述要求。訪談，手工檢查：訪談并檢查用戶磁盤配額的設置。訪談，手工檢查：1.詢問管理員日常如何監(jiān)控系統(tǒng)服務水平；2.若有第三方監(jiān)控程序，詢問并查看它是否有相關功能。標9訪談：是否有備份機制，查看備份功能的實現(xiàn)方式是否可行，參考以下備份方式：1.本地備份、本地保存的冷備；2.本地備份、異地保存的冷備；3.本地熱備份站點備份；4.異地活動互援備份。第81頁共135頁4.2Linux操作系統(tǒng)安全測評1身份鑒別查看用戶名和對應的uid,確認是否存在相同uid的賬戶；來驗證/etc/passwd和/etc/shadow文件的完整性。1)不存在相同uid的用戶；2)/etc/passw身份標識和鑒別查看文件中各用戶名狀態(tài)，記錄密碼一欄為空的用戶名。鑒別、令牌、動態(tài)口令等。管理用戶身份標識不被冒用訪談：訪談系統(tǒng)管理員，口令是否遵循一定的安全策略：查看該文件中對口令長度、復雜性和定期更新的定義，記錄全部輸出。記錄內容應包括PASS_MAX_DAYS、PASS_MIN_DAYS、PASS_MIN_LEN。第82頁共135頁#cat/etc/pam.d/syst查看該文件的內容，利用pam可以對用戶/etc/pam.d/system-auth文件中是否存在"accountre/lib/security/pam_tally.sodeny=3訪談：詢問管理員是否使用證書等方式對設備身行身份鑒別。在root權限下，使用命令查看是否運行了s應保證使用加密的網絡協(xié)議進行遠程管理，放棄使用telnet沒有使用議。第83頁共135頁2自主訪問控制手工檢查：在root權限下，查看文件權限是否滿件。操作。庫表、視圖、存儲過程和觸發(fā)器等)的所有者是否可以改變其相應訪問控制列表的第84頁共135頁最小授權原則，且相互制約制約。訪談：結合系統(tǒng)管理員的組成情況，判斷是否實現(xiàn)了該項要求。手工檢查：查看是否有多余的、過期的賬戶，避免共享賬戶，進行記錄。限制默認用戶訪問權限查看密碼文件的內容，記錄沒有被禁用的系統(tǒng)默認用戶名。限合理控制。3強制訪問控制手工檢查：感標記功能；2.詢問系統(tǒng)管理員是否對重要信息資源設置敏感標記。符合強制訪問要求，且有明確配置或文檔。符合強制訪問要求，且有明確配置或文檔。粒度：主體為用戶級客體為文件、體為文件和數(shù)據(jù)庫表級。符合強制訪問要求，且有明確配置或文檔。第85頁共135頁4功能開啟工具或系統(tǒng)則記錄其運行狀態(tài)是否正常。2)查看是否啟用如下配置：#grep"@priv-ops"/etc/audit/filt#grep"@mount-ops"/etc/audit/filt#grep"@system-ops"/etc/audit/filt審計內容：重要用戶行為、系統(tǒng)資用手工檢查：在root權限下，查看auditd#cat/etc/audit/audi記錄其內容。Audit.rules的規(guī)則可以查看manauditct1,確認重要的行為是否得到記錄。到審計。審計記錄：日期和時間、類型、主手工檢查：1)檢查audit日志文件，默認位置是/var/log/audit/audit是否包含了必要的審計要素。2)若有第三方審計工具或系統(tǒng)，則查看其審計日志是否包括必要的審計要素。審計記錄包含各要素。審計報表訪談，核查：訪談并查看對審計記錄的查看、分析和生成審計報表情況。備份。審計進程保護訪談：1.訪談對審計進程監(jiān)控和保護的措施。2.Auditd是Linux中的審計守護進程，syslogd是Linux中的日志守護進程，因此可以通過services命令查看其狀態(tài)。審計記錄保護1.在root權限下，查看日志訪問權限：ls-la/var/log/audit.d#cat/etc/audit/auditd記錄全部輸出，重點檢查num_logs、max_log_file、max_log_file_action、disk_full_action、disk_error_action等字段。5生。行。6訪談，核查：訪談系統(tǒng)管理員，并檢查Linux操作系統(tǒng)維護手冊：查用戶的鑒別信息存儲空間，被釋放或再分配給其他用戶前的處理方法和過程。被徹底清除。第87頁共135頁手工檢查：檢查Linux操作系統(tǒng)維護手冊：系統(tǒng)內的文件、目錄等空間，被釋放或重新分配給其他用戶前的處理方法和過程。被徹底清除。7記錄。訪談：系統(tǒng)資源閥值告警。夠報警。訪談：非法進程監(jiān)視和控制。警。訪談：監(jiān)視和管理賬戶變化。告警。第88頁共135頁主機IDS令2.查看是否開啟了iptable防火墻、TCPSYN保護機制等3.可執(zhí)行命令：find/-name<daemonname>-print檢查是檢測軟件：LogcheckbyPsionicSoftware、RealSecureagentbyISS;4.是否具備rootkit檢查工具，定期進行rootkit檢查；5.詢問是否有第三方入侵檢測系統(tǒng)，如IDS,是否開啟用了IDS功備份。1)確認系統(tǒng)目前正在運行的服務：#service-status-a確認是否已經關閉危險的網絡服務如echo、shell、login、finger、r命令等。關、ntalk、pop-2、Sendmail、Imapd、Pop系統(tǒng)遵循最小新的原則。8防病毒軟件，病毒庫更新是否及時，更新周期，置。第89頁共135頁主機和網絡防范軟件代碼庫不同訪談：詢問系統(tǒng)管理員網絡防病毒軟件和主機防病毒軟件分別采用什么病毒庫。毒庫不相同。訪談：詢問系統(tǒng)管理員是否采用統(tǒng)一的病毒更新策略和查殺策略。防惡意代碼軟統(tǒng)一管理。9資源控制訪談：制，并進行核查。限制。行控制。手工檢查：1)查看并記錄/etc/security/limit和/etc/pam.d/login,可以對系統(tǒng)資源進行限制。2)查看是否采用防火墻等機制對網絡連接數(shù)進行限制。限制系統(tǒng)的最數(shù)行控制。手工檢查：1)查看并記錄/etc/security/limit和/etc/pam.d/login,可以對系統(tǒng)資源進行限制。2)查看是否采用防火墻等機制對網絡連接數(shù)進行限制。限制一個時間話連接數(shù)。第90頁共135頁手工檢查：1)記錄/etc/hosts.deny、/etc/hosts.allow中相關/etc/hosts.deny中是否有"AL2)若有其他的方式實現(xiàn)此項要求的，如通過路由ACL、防火墻配置等，亦記錄。手工檢查：查看并記錄/etc/profile中的TMOUT環(huán)境變量，查看用戶目錄中的.bash_rc、.bash_profile文件中的TMOUT環(huán)境變量。同一用戶賬號同一時間內并發(fā)登錄手工檢查：查看并記錄/etc/security/limit和/etc/pam.d/login,利以對同一用戶在同一時間并發(fā)登錄進行限制。制。手工檢查：查看并記錄/etc/security/limits.conf,其中參數(shù)npro進程數(shù)。使用進行限訪談，手工檢查：1.了解系統(tǒng)賬戶的資源分配情況，查看各個分區(qū)磁盤占用情況：#df-k,詢問高峰期CPU和內存使用情況，詢問管理員日常如何監(jiān)控系統(tǒng)服務水平：2.若有第三方監(jiān)控程序，詢問并查看它是否有相關功能。行日常檢測，第91頁共135頁可用，如nice、renice命令。手工檢查：查看并記錄/etc/security/limit和/etc/pam.d/login,利以對不同用戶的進程優(yōu)先級進行限制。區(qū)分不同進程的優(yōu)先級，保2.本地備份、異地保存的冷備：3.本地熱備份站點備份；4.異地活動互援備份。復措施，并能提供過程文檔4.3Solaris操作系統(tǒng)安全測評第92頁共135頁1身份鑒別查看用戶名和對應的uid,確認是否存在相同uid的賬戶：來驗證/etc/passwd和/etc/shadow文同uid用戶。身份標識和鑒別查看文件中各用戶名狀態(tài)，記錄密碼一欄為空管理用戶身份標識不被冒用對用戶管理啟略。第93頁共135頁訪談：詢問管理員是否使用證書等方式對設備身行身份鑒別。沒有使用議。2自主訪問控制手工檢查：在root權限下，查看文件權限是否合理。操作。否與安全策略相一致。第94頁共135頁庫表、視圖、存儲過程和觸發(fā)器等)的所有者是否可以改變其相應訪問控制列表的屬性，得到授權的用戶是否可以改變相應客體訪問控制列表最小授權原則，且相互制約制約。訪談：結合系統(tǒng)管理員的組成情況，判斷是否實現(xiàn)了該項要求。手工檢查：查看是否有多余的、過期的賬戶，避免共享賬戶，進行記錄。限制默認用戶訪問權限查看密碼文件的內容，記錄沒有被禁用的系統(tǒng)默認用戶名。限合理控制。3強制訪問控制手工檢查：感標記功能；2.詢問系統(tǒng)管理員是否對重要信息資源設置敏感標記。符合強制訪問要求，且有明確配置或文檔。符合強制訪問要求，且有明確配置或文檔。粒度：主體為用戶級客體為文件、體為文件和數(shù)據(jù)庫表級。符合強制訪問要求，且有明確配置或文檔。第95頁共135頁4功能開啟記錄日志服務和安全審計服務是否開啟；2)是否啟用了BSM安全審計機制；3)若有第三方審計工具或系統(tǒng)則記錄其運行狀態(tài)是否正常。審計內容：重要用戶行為、系統(tǒng)資用手工檢查：在root權限下，查看auditd服務的配置文件，即/etc/secu到審計。審計記錄：日期和時間、類型、主手工檢查：1)根據(jù)syslog.conf中審計日志文件位置的定義，查看文件，確認是否記錄了必要的審計要素。2)如果開啟了BSM,則可以通過#praudit/var/audit/xxxxxx.XXxXxx.的日志進行查看。3)若有第三方審計工具或系統(tǒng)，則查看其審計日志是否包括必要的審計要素。審計記錄包含各要素。審計報表訪談，核查：訪談并查看對審計記錄的查看、分析和生成審計報表情況。備份。審計進程保護訪談：訪談對審計進程監(jiān)控和保護的措施。保護措施。第96頁共135頁審計記錄保護5生。行。6訪談，核查：訪談系統(tǒng)管理員，并檢查solaris操作系統(tǒng)維護手冊：確用戶的鑒別信息存儲空間，被釋放或再分配給其他用戶前的處理方法和過程。被徹底清除。手工檢查：檢查solaris操作系統(tǒng)維護手冊：系統(tǒng)內的文件、目錄儲空間，被釋放或重新分配給其他用戶前的處理方法和過程。被徹底清除。7手工檢查：cpu性能：使用vmstat,top來檢查內存使用情況：也是使用top,vmstat來檢查交換空間使用情況：使用df-k來檢查記錄。訪談：系統(tǒng)資源閥值告警。夠報警。訪談：非法進程監(jiān)視和控制。警。第97頁共135頁告警。令"#grepFailed/var/log/authlog";2.查看是否開啟了防火墻、TCPSYN保護機制等設置；3.可執(zhí)行命令：find/-nameaset-print檢查是否安裝了安全增強軟件；4.是否具備rootkit檢查工具，定期進行rootkit檢查；5.詢問是否有第三方入侵檢測系統(tǒng)，如IDS,是否IDS軟件，或啟用了IDS功備份。1)訪談系統(tǒng)管理員系統(tǒng)目前是否采取了最系統(tǒng)遵循最小新的原則。8防病毒軟件，病毒庫更新是否及時，更新周期，置。第98頁共135頁主機和網絡防范軟件代碼庫不同訪談：詢問系統(tǒng)管理員網絡防病毒軟件和主機防病毒軟件分別采用什么病毒庫。毒庫不相同。訪談：詢問系統(tǒng)管理員是否采用統(tǒng)一的病毒更新策略和查殺策略。防惡意代碼軟統(tǒng)一管理。資源控制訪談：詢問系統(tǒng)管理員是否在系統(tǒng)層面和應用軟件層面對單個用戶的多重并發(fā)會話進行控制，并進行核查。限制。手工檢查：1)查看并記錄/etc/system和/etc/pam.conf。2)查看是否采用防火墻等機制對網絡連接數(shù)進行限制。限制系統(tǒng)的最大并發(fā)會話數(shù)行控制?；饓Φ葯C制對網絡連接數(shù)進行限制。限制一個時間話連接數(shù)。手工檢查：1)記錄/etc/hosts.deny、/etc/hosts.allow中相關配置參數(shù)。2)若有其他的方式實現(xiàn)此項要求的，如通過路由ACL、防火墻配置等，亦記錄。手工檢查：查看并記錄/etc/profile、/etc/skel/local.cshrc、/etc/skel/login.login、/etc/skel/file中的TMOUT環(huán)境變量，查看用戶目錄中的.bash_rc、.bash_profile文件中的TMOUT環(huán)境變量。第99頁共135頁同一用戶賬號同一時間內并發(fā)登錄1)查看并記錄/etc/system,可以對同一用戶在同一時間并發(fā)登2)查看并記錄/etc/pam.conf,pam用來增強認證機制。制。手工檢查：查看并記錄/etc/system,其中參數(shù)maxuprc可以設置單1.了解系統(tǒng)賬戶的資源分配情況，查看各個分區(qū)期CPU和內存使用情況，詢問管理員日常如何監(jiān)控系統(tǒng)服務水平；手工檢查：查看并記錄/etc/security/limit和/etc/pam.d/login,利區(qū)分不同進程的優(yōu)先級，保證明。第100頁共135頁4.4AIX操作系統(tǒng)安全測評1身份鑒別手工檢查：1)在root權限下，使用命令查看用戶名和對應的uid,確認是否存在相同uid的賬戶；相同uid用戶。身份標識和鑒別手工檢查：方法一：返回結果應為空；查看文件中各用戶名狀態(tài)，記錄密碼一欄為空的用戶名。不存在密碼為空的用管理用戶身份標識不被冒用查看該文件的內容，并對輸出內容全部記錄。#cat/etc/security/lo查看該文件的內容，記錄下全部輸出。第101頁共135頁查看系統(tǒng)登錄時的banner信息。訪談：詢問管理員是否使用證書等方式對設備身份進行鑒別。沒有使用telnet、2自主訪問控制手工檢查：在root權限下，查看文件權限是否滿足以下要求：/etc/filesystems權限為664,/etc/hosts權限為664,/etc/inittab權限為600,/etc/vfs權限為644,/etc/security/failedlogin權限為644,/etc/security/aud