应用安全 - 应用测评指导书 - 三级 - 1.0版 - 模板

1应用安全测评指导书应用系统安全测评序号测评指标测评项检查方法预期结果1身份鉴别a)检查应用系统的身份标识与鉴别功能设置和使用配置情况；检查应用系统对用户登录各种情况的处理，如登录失败处理、登录连接超时等。

访谈: 1)访谈应用系统管理员，询问应用系统的身份标识和鉴别机制采用何种措施实现； 2)登录应用系统，查看是否提示输入用户口令，然后以正确口令登录系统，再以错误口令或空口令重新登录，观察是否成功。

1)应用系统使用口令鉴别机制对用户进行身份标识和鉴别； 2)登录时提示输入用户名和口令；以错误口令或空口令登录时提示登录失败，验证了登录控制功能的有效性；3)应用系统不存在密码为空的用户。

b)检查应用系统的身份标识与鉴别功能设置和使用配置情况；检查应用系统对用户登录各种情况的处理，如登录失败处理、登录连接超时等。

访谈: 1）访谈应用系统管理员，询问应用系统是否采用了两种及两种以上身份鉴别技术的组合来进行身份鉴别（如采用用户名/口令、挑战应答、动态口令、物理设备、生物识别技术中的任意两种组合）；手工检查：1）通过注册用户，并以一种身份鉴别技术登录，验证是否可以登录。

用户的认证方式选择两种或两种以上组合的鉴别技术，只用一种技术无法认证成功。

c)检查应用系统的身份标识与鉴别功能设置和使用配置情况；检查应用系统对用户登录各种情况的处访谈： 1）访谈应用系统管理员，询问应用系统采取何种措施防止身份鉴别信息被冒用（如复杂性混有大、小写字母、数字和特殊字符，口令周期等）；手工检查： 1）以弱口令用户注册，验证其用1)应用系统配备身份标识（如建立帐号）和鉴别（如口令等）功能；其身份鉴别信息具有不易被冒用的特点，规定字符混有大、小写字母、数字和特殊字符）；2)以不符合复杂度要求和不符合长度要求理，如登录失败处理、登录连接超时等。

户是否注册成功。

的口令创建用户时均提示失败。

d)检查应用系统的身份标识与鉴别功能设置和使用配置情况；检查应用系统对用户登录各种情况的处理，如登录失败处理、登录连接超时等。

信息系统安全等级测评报告模板项目名称：委托单位：测评单位：年月日测评单位名称报告摘要一、测评工作概述概要描述被测信息系统的基本情况（可参考信息系统安全等级保护备案表），包括但不限于：系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。

（见附件：信息系统安全等级保护备案表）描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程，包括投入测评人员与设备情况、完成的具体工作内容统计（涉及的测评分类与项目数量，检查的网络互联与安全设备、主机、应用系统、管理文档数量，访谈人员次数）。

二、等级测评结果依据第4、5章的结果对等级测评结果进行汇总统计（测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果）；通过对信息系统基本安全保护状态的分析给出等级测评结论（结论为达标、基本达标、不达标）。

三、系统存在的主要问题依据6.3章节的分析结果，列出被测信息系统中存在的主要问题以及可能造成的后果（如，未部署DDos防御措施，易遭受DDos攻击，导致系统无法提供正常服务）。

公安部信息安全等级保护评估中心四、系统安全建设、整改建议针对系统存在的主要问题提出安全建设、整改建议，是对第七章内容的提炼和简要描述。

报告基本信息声明声明是测评单位对于测评报告内容以及用途等有关事项做出的约定性陈述，包含但不限于以下内容：本报告中给出的结论仅对目标系统的当时状况有效，当测评工作完成后系统出现任何变更，涉及到的模块（或子系统）都应重新进行测评，本报告不再适用。

本报告中给出的结论不能作为对系统内相关产品的测评结论。

本报告结论的有效性建立在用户提供材料的真实性基础上。

在任何情况下，若需引用本报告中的结果或数据都应保持其本来的意义，不得擅自进行增加、修改、伪造或掩盖事实。

测评单位机构名称年月报告目录1测评项目概述 (1)1.1测评目的 (1)1.2测评依据 (1)1.3测评过程 (1)1.4报告分发范围 (2)2被测系统情况 (3)2.1基本信息 (3)2.2业务应用 (4)2.3网络结构 (4)2.4系统构成 (4)2.4.1业务应用软件 (4)2.4.2关键数据类别 (4)2.4.3主机/存储设备 (5)2.4.4网络互联与安全设备 (5)2.4.5安全相关人员 (5)2.4.6安全管理文档 (6)2.5安全环境 (6)3等级测评范围与方法 (7)3.1测评指标 (7)3.1.1基本指标 (7)3.1.2附加指标 (9)3.2测评对象 (9)3.2.1选择方法 (9)3.2.2选择结果 (9)3.3测评方法 (11)3.3.1现场测评方法 (11)3.3.2风险分析方法 (11)4等级测评内容 (12)4.1物理安全 (12)4.1.1结果记录 (12)4.1.2问题分析 (12)4.1.3单元测评结果 (12)4.2网络安全 (12)4.2.1结果记录 (12)4.2.2问题分析 (14)4.2.3单元测评结果 (14)4.3主机安全 (14)4.3.1结果记录 (14)4.3.2问题分析 (15)4.3.3单元测评结果 (15)4.4应用安全 (15)4.4.1结果记录 (15)4.4.2问题分析 (15)4.4.3单元测评结果 (15)4.5数据安全及备份恢复 (15)4.5.1结果记录 (15)4.5.2问题分析 (15)4.5.3单元测评结果 (15)4.6安全管理制度 (15)4.6.1结果记录 (15)4.6.2问题分析 (16)4.6.3单元测评结果 (16)4.7安全管理机构 (16)4.7.1结果记录 (16)4.7.2问题分析 (16)4.7.3单元测评结果 (16)4.8人员安全管理 (16)4.8.1结果记录 (16)4.8.2问题分析 (16)4.8.3单元测评结果 (16)4.9系统建设管理 (16)4.9.1结果记录 (16)4.9.2问题分析 (17)4.9.3单元测评结果 (17)4.10系统运维管理 (17)4.10.1结果记录 (17)4.10.2问题分析 (17)4.10.3单元测评结果 (17)4.11工具测试 (17)4.11.1结果记录 (17)4.11.2问题分析 (17)5等级测评结果 (17)5.1整体测评 (17)5.1.1安全控制间安全测评 (17)5.1.2层面间安全测评 (18)5.1.3区域间安全测评 (18)5.1.4系统结构安全测评 (18)5.2测评结果 (18)5.3统计图表 (22)6风险分析和评价 (22)6.1安全事件可能性分析 (22)6.2安全事件后果分析 (23)6.3风险分析和评价 (23)7系统安全建设、整改建议 (25)7.1物理安全 (25)7.2网络安全 (25)7.3主机安全 (25)7.4应用安全 (25)7.5数据安全及备份恢复 (25)7.6安全管理制度 (25)7.7安全管理机构 (26)7.8人员安全管理 (26)7.9系统建设管理 (26)7.10系统运维管理 (26)附：信息系统安全等级保护备案表测评单位名称[2009版] 1测评项目概述1.1测评目的描述信息系统的重要性：通过描述信息系统的基本情况，包括运营使用单位的性质，承载的主要业务和系统服务情况，进一步阐明其在国家安全、经济建设、社会生活中的重要程度，受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等。

安全计算环境应用系统在对应用系统进行等级测评时，一般先对系统管理员进行访谈，了解应用系统的状况,然后对应用系统和文档等进行检查，查看其内容是否和与管理员访谈的结果一致，最后对主要的应用系统进行抽查和测试，验证系统提供的功能，并可配合渗透测试检查系统提供的安全功能是否被旁路。

1身份鉴别应用系统需对登录的用户进行身份鉴别，以防止非授权用户访问1.1应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换对用户进行身份鉴别是防止非法入侵的一种基本措施。

应用系统必须对登录系统的用户进行身份核实，并为每个登录用户提供具有唯一性的身份标识，以便对用户的操作行为进行审计。

同时，为了提高非授权用户使用暴力猜测等手段破解用户鉴别信息的难度，用户鉴别信息应具有一定的复杂性，使用户鉴别信息不易被冒用和破解。

例如，用户登录口令的长度至少为8位，必须由字母、数字和符号组成，以及必须设置口令更换周期等。

1.2应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施为了防止非授权用户对应用系统用户的身份鉴别信息进行暴力猜测，应用系统应提供登录失败处理功能(例如限制非法登录次数等)，登录失败次数应能根据用户的实际情况进行调整。

同时，应用系统应配置并启用登录连接超时自动退出的功能。

1.3当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听在对应用系统进行远程管理时，为避免口令在传输过程中被窃取，不应使用明文传送的HTTP服务，而应采用HTTPS加密协议等进行交互式管理1.4应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现采用组合的鉴别技术对用户进行身份鉴别是防止身份欺骗的有效方法。

在这里，两种或两种以上组合的鉴别技术是指同时使用不同种类的(至少两种)鉴别技术对用户进行身份鉴别，且其中至少一种鉴别技术应使用密码技术来实现。

XXXXXX公司XXXXXX等级测评项目测评指导书XXXXXX信息安全测评技术中心2009年10月Document Control第 2 页共110 页目录第1章安全管理测评指导书 (5)1.1安全管理机构测评 (5)1.2安全管理制度测评 (8)1.3人员安全管理测评 (10)1.4系统建设管理测评 (12)1.5系统运维管理测评 (17)第2章物理安全测评指导书 (26)2.1物理安全测评 (26)第3章网络安全测评指导书 (34)3.1网络全局安全测评 (34)3.2路由器安全测评 (36)3.2.1思科路由器安全测评 (36)3.3交换机安全测评 (40)3.3.1华为交换机安全测评 (40)3.3.2思科交换机安全测评 (43)3.4防火墙安全测评 (46)3.4.1PIX防火墙安全测评 (46)3.4.2天融信防火墙安全测评 (48)3.4.3华为防火墙安全测评 (51)3.5远程拨号服务器安全测评 (53)3.6入侵检测/防御系统安全测评 (54)第4章操作系统安全测评指导书 (57)4.1W INDOWS操作系统安全测评 (57)4.2T RU64操作系统安全测评 (61)4.3L INUX操作系统安全测评 (69)4.4S OLARIS操作系统安全测评 (74)4.5A IX操作系统安全测评 (78)第 3 页共110 页第5章应用系统安全测评指导书 (82)5.1应用系统安全测评 (82)5.2IIS应用安全测评 (87)5.3A PACHE应用安全测评 (89)第6章数据库安全测评指导书 (93)6.1SQL S ERVER数据库安全测评 (93)6.2O RACLE数据库安全测评 (98)6.3S YBASE数据库安全测评 (103)第 4 页共110 页第1章安全管理测评指导书1.1安全管理机构测评第 5 页共110 页第 6 页共110 页第7 页共110 页1.2安全管理制度测评第8 页共110 页第9 页共110 页1.3人员安全管理测评第10 页共110 页第11 页共110 页1.4系统建设管理测评第12 页共110 页第13 页共110 页第14 页共110 页第15 页共110 页第16 页共110 页1.5系统运维管理测评第17 页共110 页第18 页共110 页第19 页共110 页第20 页共110 页第21 页共110 页第22 页共110 页第23 页共110 页第24 页共110 页第25 页共110 页第2章物理安全测评指导书2.1物理安全测评第26 页共110 页第27 页共110 页第28 页共110 页第29 页共110 页第30 页共110 页第31 页共110 页第32 页共110 页第33 页共110 页第3章网络安全测评指导书3.1网络全局安全测评第34 页共110 页第35 页共110 页3.2路由器安全测评3.2.1思科路由器安全测评第36 页共110 页第37 页共110 页第38 页共110 页第39 页共110 页3.3交换机安全测评3.3.1华为交换机安全测评第40 页共110 页第41 页共110 页第42 页共110 页3.3.2思科交换机安全测评第43 页共110 页第44 页共110 页第45 页共110 页3.4防火墙安全测评3.4.1PIX防火墙安全测评第46 页共110 页第47 页共110 页3.4.2天融信防火墙安全测评第48 页共110 页第49 页共110 页第50 页共110 页。

三级安全教育手册简介本手册旨在为员工提供关于三级安全教育的指导和知识，帮助他们理解企业的安全政策，掌握必要的安全技能，并确保他们在工作场所的安全。

第一级别安全第一级别安全是指基本的安全要求，适用于所有员工。

以下是一些重要的安全事项：1. 物品和设备安全：- 在使用设备之前，确保它们处于安全状态，没有任何损坏或安全隐患。

- 借用或共享设备时，务必妥善使用和保护，并遵循设备归还规定。

2. 环境安全：- 保持工作区域整洁有序，确保通道畅通，消防设施易于访问。

- 确保插座和电源线没有过载或损坏。

3. 个人安全：- 穿戴适当的个人防护装备，如安全帽、手套、护目镜等。

- 遵守公司的健康和安全政策，不参与违反安全规定的活动。

第二级别安全第二级别安全是指对特定工种或岗位的安全要求。

以下是一些常见的第二级别安全要点：1. 高风险工作岗位：- 在从事高风险工作之前，必须接受专门的培训和授权。

- 遵循操作程序和安全规程，使用适当的安全设备。

2. 化学品和危险物质：- 了解和遵守化学品和危险物质的相关安全要求。

- 根据标签和说明书正确使用和储存化学品。

3. 安全培训和演练：- 参加定期的安全培训和演练，以增强应对紧急情况的能力。

- 熟悉应急方案和逃生路线，知道如何正确使用灭火器。

第三级别安全第三级别安全是指专业性强、风险高的工作和岗位。

以下是一些常见的第三级别安全要求：1. 安全评估和控制：- 在从事风险高的工作之前，进行详细的安全评估，并采取有效控制措施。

- 熟悉安全操作规程，并始终遵循最佳实践。

2. 资质认证和许可：- 对于需要专业资质或许可证的工作，必须具备相应的证书或许可。

- 定期更新和维护资质，确保符合最新的要求。

3. 临床实验和病理研究：- 参与临床实验和病理研究的人员，必须具备相应的专业知识和技能。

- 遵循实验室安全规定，妥善处理和处置实验样本和化学品。

结论三级安全教育手册旨在确保员工对所处工作环境的安全有清晰的认识和了解。

测评指导书等级保护测评工具安全配置核查系统HD-DJCP-AQHC-2011091001V1.0贵州亨达集团信息安全技术有限公司版本说明文档信息版权声明本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属贵州亨达集团信息安全技术有限公司所有，受到有关产权及版权法保护。

任何个人、机构未经贵州亨达集团信息安全技术有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。

目录1工具简介 (3)2设备安装指导 (3)2.1设备面板说明 (3)2.2设备部署方式 (4)2.2设备登陆说明 (5)3设备操作说明 (7)3.1用户管理 (7)3.2用户权限划分 (7)3.3模板管理 (8)3.4创建任务 (10)3.5创建空任务 (11)3.6创建正常任务 (11)3.7获取主机信息 (15)4报表分析 (17)4.1在线报表 (17)4.1.1任务列表概览 (17)4.1.2主机列表 (18)4.1.3主机信息 (18)4.2报表输出 (19)5数据保存 (21)附录A设备出厂参数 (22)A.1初始网络设置 (22)A.2初始用户帐号 (22)A.3串口通讯参数 (22)1工具简介绿盟安全配置核查系统（NSFOCUS Benchmark Verification System，简称：NSFOCUS BVS）。

NSFOCUS BVS具备完善的安全配置库，采用高效、智能的识别技术，主动实现对网络资产设备自动化的安全配置检测、分析，并生成专业的安全配置建议与合规性报表. NSFOCUS BVS 能帮助测评机构了解被测机构的信息系统的安全状况从而提出有针对性的强化安全建议。

2设备安装指导2.1设备面板说明BVS的硬件外观如图2.1所示，产品硬件的前面板如图2.2所示（实际产品会因批次不同而略有不同）。

图2.1BVS产品硬件外观图2.2 BVS前面板2.2设备部署方式请根据实际的网络结构，将BVS设备接入网络，请根据自己网络的拓扑结构加以调整，如图2.3所示。

质量管理体系文件THUNISOFT-[三级文件编号] / V[修订版本号] [规则惯例和约定名称]编制：编制时间： 2009年**月**日审核：审核时间： 2009年**月**日批准：批准时间： 2009年**月**日北京紫光华宇软件股份有限公司文件变更记录文件格式说明：（编写文件时，请删除该段文字）1、文件编写者不要手动修改页眉页脚和文中带括号[ ]的字体，这几处设置了域。

2、请填写文档“属性”信息。

具体填写方法：在“文档属性”设置中，摘要信息中的“标题”填写文件名称，自定义信息中的“文档编号”填写程序文件编号，“修订版本号”填写程序文件编号，然后更新文中带括号[ ]域即可。

3、请使用标题1～4，所有标题将自动编号。

为方便大家操作，样式应用操作增加了快捷方式：标题1——Alt＋1标题2——Alt＋2标题3——Alt＋3标题4——Alt＋44、文件主内容使用样式“文档正文”(宋体、小四、1.5倍行距、首行缩进2个字符)，其快捷键为：文档正文——Alt＋W5、从别的文档copy文字到本文档，必须采用“选择性粘贴”方式，按照“无格式文本”方式进行粘贴。

目录1标题1（快捷键ALT＋1） (1)1.1标题2（快捷键A LT＋2） (1)1.1.1标题3（快捷键Alt＋3） (1)2 12.1 12.1.1 (1)i1标题1（快捷键Alt＋1）正文（快捷键Alt＋W）正文字体为：宋体、黑色、小四、单倍行距，首行缩进2个字符。

插入的表格风格：字体为：宋体、黑色、11号、单倍行距，表头加粗、居中，表格内容靠左居中。

1.1标题2（快捷键Alt＋2）正文（快捷键Alt＋W）1.1.1标题3（快捷键Alt＋3）正文（快捷键Alt＋W）1.1.1.1标题4（快捷键Alt＋4）1.1.21.1.2.122.12.1.12.1.1.1。

三级安全教育评估表格模板1. 教育内容评估
2. 教育实施评估
3. 教育管理评估
评估说明：
- 通过对三级安全教育的教育内容、教育实施和教育管理进行评估，可以全面了解教育工作的状况和效果，为进一步提高教育质量提供依据。

- 每个评估项目可以设置不同的评估标准，根据具体情况进行评分，并最终得出总分和评估等级。

- 评估结果可用于教育工作的改进和管理决策，及时发现问题和不足，提升教育工作的水平和效果。

请根据具体情况填写评估表格，并进行评分，为教育工作的持续改进提供有力支持。

> 注意：以上仅为三级安全教育评估表格模板，具体评估标准和得分标准需要根据实际情况和需求进行调整和修改。

2023年三级安全标准化全套资料一、引言随着信息化技术的迅速发展和广泛应用，网络安全已成为社会各个领域关注的焦点问题。

为了加强网络安全监管和管理，维护网络安全稳定，国家对信息系统的安全管理提出了一系列标准和规范，其中三级安全标准化成为了行业的重要指导。

二、三级安全标准化的背景和意义1. 三级安全标准化的背景在信息系统建设和运营过程中，为了保障信息系统安全，国家提出了信息系统安全保护等级保护要求，其中三级安全标准化是其中的重要内容。

2. 三级安全标准化的意义三级安全标准化对于企业和机构具有重要意义，能帮助其建立完善的信息安全管理体系，提高信息安全保障水平，保护企业核心信息资产。

三、2023年三级安全标准化全套资料的内容和要求1. 2023年三级安全标准化全套资料包括的内容（1）三级安全标准化的概述（2）三级安全标准化的基本原理（3）三级安全标准化的目标和要求（4）三级安全标准化的实施方法和步骤（5）三级安全标准化的评估和审核要点（6）三级安全标准化的相关案例分析2. 2023年三级安全标准化全套资料的要求（1）全面系统的介绍三级安全标准化的相关知识和技术（2）结合实际案例和经验进行分析和总结（3）明确提出实施三级安全标准化的具体要求和方法（4）给出解决问题的有效对策和建议四、2023年三级安全标准化全套资料的使用和推广1. 2023年三级安全标准化全套资料的使用三级安全标准化全套资料可用于各行各业的信息系统安全管理人员和技术人员进行学习和参考，帮助他们加强对信息安全管理的理解和实践。

2. 2023年三级安全标准化全套资料的推广为了推广三级安全标准化全套资料，可以通过举办学术交流会议、发布技术论文、开展技术培训等形式进行推广，另外还可以利用网络媒体进行宣传，提高行业人员和社会公众对三级安全标准化的了解和认识。

五、结语三级安全标准化全套资料是信息系统安全管理的重要参考工具，对于提高信息系统安全管理水平，保障信息系统的安全运行具有重要意义。

2.1版第0次修订金融行业Oracle数据库等级保护测评实施指导书（三级）序号控制点测评项操作步骤预期结果11身份鉴别（S3）a)应为数据库的不同用户分配不同的用户名，确保用户名具有唯一性。

应测评主要数据库管理系统，添加一个新用户，其用户标识为系统原用户的标识（如用户名或UID），查看是否不会成功。

1、询问数据库管理员，是否为不同的登录用户分配不同的用户名执行select username from dba_users查看数据库用户1、用户名应该唯一b)应对登录数据库系统的用户进行身份标识和鉴别。

1）应检查Oracle数据库系统，查看是否存在空口令或默认口令的用户（Oracle默认满足，但应防止口令出现空口令或默认口令情况）。

默认口令，如：SYS/CHANGE_ON_INSTALLSYSTEM/MANAGER；常用口令：oracle:oracle/admin/ora92（ora+版本）sys:oracle/admin;system:oralce/admin1）操作系统不应该存在空密码或者弱密码c)数据库系统管理用户身份标识应具有不易被冒用的特点，系统的静态口令应在7位以上并由字母、数字、符号等混合组成并每三个月更换口令。

应检查主要数据库管理系统，查看是否提供了身份鉴别措施（如用户名和口令等），其身份鉴别信息是否具有不易被冒用的特点，例如，口令足够长，口令复杂（如规定字符应混有大、小写字母、数字和特殊字符），口令生命周期，新旧口令的替换要求（如规定替换的字符数量）或为了便于记忆使用了令牌。

方法一：查看是否启用口令复杂度函数，执行命令：select limit from1）返回结果应该为VERIFY_FUNCTIONlength(password)<后的值至少为7静态口令可以在7位以上并由字母、数字、符号等混合组成，并定期更换2.1版第0次修订dba_profiles where profile='DEFAULT'andresource_name='PASSWORD_VERIFY_FUNCTION'与密码安全有关系的设置如下：FAILED_LOGIN_ATTEMPTS:最大错误登录次数PASSWORD_GRACE_TIME:口令失效后锁定时间PASSWORD_LIFE_TIME:口令有效时间PASSWORD_LOCK_TIME:登录超过有效次数锁定时间PASSWORD_REUSE_MAX:口令历史记录保留次数PASSWORD_RESUSE_TIME:口令历史记录保留时间PASSWORD_VERIFY_FUNCTION:口令复杂度审计函数方法二：检查utlpwdmms.sql中“--Check for the minimum length of thepassword”部分中“length(password)<“后的值d)应启用登录失败处理功能，可采取结束会话、限制登录间隔、限制非法登录次数和自动退出等措施。

1测评方案1.1测评流程依据《GBT 28448-2012信息安全技术信息系统安全等级保护测评要求》，我们以《信息安全技术信息系统安全等级保护测评过程指南》（GBT 28449-2012）为测评输入，采取相应的（包括：访谈、检查、测试）测评方法，按照相应的测评规程对测评对象（包括：制度文档、各类设备、安全配置、相关人员）进行相应力度（包括：广度、深度）的单元测评、整体测评，对测评发现的风险项进行分析评估，提出合理化整改建议，最终得到相应的信息系统等级测评报告。

信息系统等级测评工作共分为四项活动，即测评准备活动、方案编制活动、现场测评活动、结果分析与报告编制活动，基本工作流程图如下：图表1等级测评工作流程图1.2测评力度1.3测评对象我们一般的测评对象包括：整体对象，如机房、办公环境、网络等，也包括具体对象，如网关设备、网络设备、服务器设备、工作站、操作系统、数据库和应用系统等。

但此次测评为云环境下的测评，由于机房和网络环境的安全责任不归属该单位，故此次测评对象为：主机、应用系统和安全管理制度三个层面相关的对象。

在具体测评对象选择工作过程中，遵循以下原则：完整性原则，选择的设备、措施等应能满足相应等级的测评力度要求；重要性原则，应抽查重要的服务器、数据库和网络设备等；安全性原则，应抽查对外暴露的网络边界；共享性原则，应抽查共享设备和数据交换平台/设备；代表性原则，抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统的类型。

1.4测评依据信息安全测评与其他测评一样，是依据相关的需求、设计、标准和规范，对待测对象进行测试、评估（评价），因此有必要梳理出测评对象、以及采用的标准规范。

测评使用的主要指标依据如下：系统定级使用的主要指标依据有：《计算机信息系统安全保护等级划分准则》（GB 17859-1999）《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240-2008）等级保护测评使用的主要指标依据有：《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008） 《信息安全技术信息系统安全等级保护测评要求》（GBT 28448-2012） 《信息安全技术信息系统安全等级保护测评过程指南》（GBT 28449-2012）《信息安全技术信息安全风险评估规范》（GB/T 20984-2007）现状测评使用的主要指标依据有：制度检查：以 GB/T22239《等级保护基本要求》、ISO27000/ISO17799、ITIL的相关要求作为补充检查要求，检查是否具有相应的制度、记录。

通过检查，查看其是否进行了正确的配置：针对应用系统的攻击手段越来越多：
前言—指标选取
在《基本要求》中的位置数据库安全是主机安全的一个部分，数据库的测评指标是从“主机安全”和“数据安全及备份恢复”中根据数据库的特点映射得到的。

身份鉴别ORACLE检查方法：
●应检查Oracle数据库系统，查看是否存在空口
令戒默认口令的用户（Oracle默认满足，但应防止口令出现空口令或默认口令情况）。

●默认口令，如：SYS / CHANGE_ON_INSTALL；
四、资源控制
a)应通过设定终端接入方式、网络地址范围等条件限制终端登录
资源控制条款理解：在数据库上应能设定接入方式、网络地址范围等条件限制终端登录，防止非授权访问数据库资源。

- -
操作系统平安测评指导书
LINUX
- -优质-
. .
1概述
1.1 适用围
本测评指导书适用于信息系统等级为三级的主机Linux操作系统测评。

1.2说明
本测评指导书基于?信息系统平安等级保护根本要求?的根底上进展设计。

本测评指导书是主机平安对于Linux操作系统身份鉴别、访问控制、平安审计、剩余信息保护、备份与恢复平安配置要求，对Linux操作系统主机的平安配置审计作起到指导性作用。

1.4 保障条件
1)需要相关技术人员〔系统管理员〕的积极配合
2)需要测评主机的管理员和口令
3)提前备份系统及配置文件
. -可修编.
- -。