金融行业Windows主机安全等级保护测评实施指导书(三级)

2.1版第0次修订金融行业Windows主机等级保护测评实施指导书（三级）
序号控制
点
测评项操作步骤预期结果
1身份
鉴别
a)应为操作系统和数据库
的不同用户分配不同的用
户名，确保用户名具有唯一
性。

1、应测评主要服务器操作系统和主要数据库管理系统，添加一个新用户，
其用户标识为系统原用户的标识（如用户名或UID），查看是否不会成功。

2、访谈是否存在多人使用同一账户的情况
3、通过错误的用户名和口令试图登录系统，验证鉴别失败处理功能是否有
效
1、添加一个新用户，其用户标识为系统
原用户的标识，不会成功。

2、无多人使用同一账户的情况
b)应对登录操作系统和数
据库系统的用户进行身份
标识和鉴别。

可访谈系统管理员，询问操作系统的身份标识与鉴别机制采取何种措施实
现，目前系统提供了哪些身份鉴别措施和鉴别失败处理措施.
具有身份认证与标识、鉴别功能如账号
与口令认证、数字证书认证等，可以实
现登录用户的身份标识和鉴别。

1.系统中用户名应该唯一，且进行了密
码设置
2.登陆过程中系统账户使用了密码进行
验证
c)操作系统用户身份标识
应具有不易被冒用的特点，
系统的静态口令应在7位
应检查主要服务器操作系统，查看是否提供了身份鉴别措施（如用户名和口
令等），其身份鉴别信息是否具有不易被冒用的特点，例如，口令足够长，
口令复杂（如规定字符应混有大、小写字母、数字和特殊字符），口令生命
a)复杂性要求已启用；
b)长度最小值至少为8位；
2.1版第0次修订
以上并由字母、数字、符号等混合组成并每三个月更换口令。

周期，新旧口令的替换要求（如规定替换的字符数量）或为了便于记忆使
用了令牌。

1.运行secpol.msc命令
2.打开“本地安全设置”对话框依次展开“帐户策略密码策略”
3.查看是否具有设置启用密码复杂性要求、密码长度最小值、最长存留
期、最短存留期等
c)最长存留期不为0；
d)最短存留期不为0；
d)应启用登录失败处理功能，可采取结束会话、限制登录间隔、限制非法登录次数和自动退出等措施。

应检查主要服务器操作系统，查看是否已配置了鉴别失败处理功能，并设
置了非法登录次数的限制值，对超过限制值的登录终止其鉴别会话或临时
封闭帐号；查看是否设置网络登录连接超时，并自动退出；查看是否设置
鉴别警示信息。

1.运行secpol.msc命令
2.打开“本地安全设置”对话框依次展开“帐户策略账户锁定策略”
3.查看是否修改锁定阀值和锁定时间
a)设置了“复位账户锁定计数器”时间；
b)设置了“账户锁定时间”；
c)设置了“账户锁定阈值”。

e)主机系统应对与之相连的服务器或终端设备进行身份标识和鉴别，当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听。

应检查主要服务器操作系统，查看服务器操作系统是否对与之相连的服务
器或终端设备进行身份标识和鉴别并进行了相应的加密。

1）如果是本地管理或KVM等硬件管理方式，此要求默认满足；
2）如果采用远程管理，则需采用带加密管理的远程管理方式，如启用了加
密功能的3389远程管理桌面或修改远程登录端口。

可以通过以下方式保证通信加密的实现
通信加密：可以使用SSL加密或者VPN系
统进行加密，防止鉴别信息在网络传输
过程中被窃听。

2.1版第0次修订(F3)3）也可以查看服务器是否安装了相关证书，客户端登录时使用身份验证。

f）宜采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别，例如以密钥证书、动态口令卡、生物特征等作为身份鉴别信息。

应检查主要服务器操作系统，查看身份鉴别是否采用两个及两个以上身份
鉴别技术的组合来进行身份鉴别（如采用用户名/口令、挑战应答、动态口
令、物理设备、生物识别技术和数字证书方式的身份鉴别技术中的任意两
个组合）。

具有身份认证与标识、鉴别功能，如账
号与口令认证、数字证书认证、生物特
征等。

具有两种以上组合的鉴别技术对
管理用户进行身份鉴别。

2访问
控制
a)应启用访问控制功能，
依据安全策略控制用户对
资源的访问。

应检查服务器操作系统的安全策略，查看是否明确主体（如用户）以用户
和/或用户组的身份规定对客体（如文件或系统设备,目录表和存取控制表
访问控制等）的访问控制，覆盖范围是否包括与信息安全直接相关的主体
（如用户）和客体（如文件，数据库表等）及它们之间的操作（如读、写
或执行）。

1.查看%systemdrive%\windows\system文件夹权限应限无关用户
2.查看%systemroot％\system32\config文件夹权限应限无关用户
3.在cmd窗口中运行net share看是否关闭了默认共享和ipc共享
4．如果不使用共享server服务应处于关闭状态
5.[开始]->（[控制面板]->）[管理工具]->[计算机管理]->[本地用户和
组]->[组]，双击“名称”列中Administrators用户，查看成员。

1.除了管理员外没有其它无关用户对系
统文件夹有访问及操作权限
2.默认共享关闭
3.普通用户、应用账户等非管理员账户
不属于管理员组
b)应根据管理用户的角
色分配权限，实现管理用户
应检查主要服务器操作系统，查看特权用户的权限是否进行分离，如可分
为系统管理员、安全管理员、安全审计员等；查看是否采用最小授权原则
安全管理平台：安全管理平台可以根据
管理用户的角色分配权限实现管理用户
2.1版第0次修订
的权限分离，仅授予管理用户所需的最小权限。

（如系统管理员只能对系统进行维护，安全管理员只能进行策略配置和安
全设置，安全审计员只能维护审计信息等）。

的权限分离仅授予管理用户所需的最小
权限。

c)应实现操作系统特权用户的权限分离。

应检查主要服务器操作系统，查看在系统管理员、安全管理员、安全审计
员之间是否设置了相互制约关系（如系统管理员、安全管理员等不能对审
计日志，安全审计员管理不了审计数据的开启、关闭、删除等重要事件的
审计日志等）。

1.操作系统的特权账户应包括管理员、
安全员和审计员。

至少应该有管理员和
审计员，并且他们的权限是互斥关系的。

2.应保证操作系统管理员和审计员不为
同一个账号，且不为同一个人。

d)应禁用或严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令。

应查看主要服务器操作系统，查看匿名/默认用户的访问权限是否已被禁用
或者严格限制（如限定在有限的范围内）。

1.查看windows用户和组－用户－中guest、SUPPORT_388945a0用户是否被
禁用
2.是否对administrator进行了重命名
1.guest应处于禁用状态
2.administrator用户进行了重命名
漏洞扫描系统：漏扫系统可以有效的发
现Windows操作系统的默认账户以及默
认口令并可进行密码强度测试。

e）应及时删除多余的、过期的账户，避免共享账户的存在。

应查看是否有多余、过期、共享账户的存在。

1.依次展开[开始]->([控制面板]->)[管理工具]->[计算机管理]->[本地
用户和组]->[用户]，查看是否存在过期账户；依据用户账户列表询问主机
管理员，每个账户是否为合法用户；
2.依据用户账户列表询问主机管理员，是否存在多人共用的账户。

1.无多余账户、过期账户；
2.无多人共享账户。

3.关注是否未清理已离职员工的账户。

f）应对重要信息资源设置应检查服务器操作系统的安全策略，查看是否明确主体（如用户）具有非标记：在操作系统层设置信息标记功
2.1版第0次修订敏感标记。

敏感标记（如角色），并能依据非敏感标记规定对客体的访问。

能，对信息资源进行标记。

g）应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。

应检查主要服务器操作系统，查看是否能对重要信息资源和访问重要信息
资源的所有主体设置敏感标记，这些敏感标记是否构成多级安全模型的属
性库，主体和客体的敏感标记是否以默认方式生成或由安全员建立、维护
和管理。

访问控制：在操作系统层，设置访问控
制功能，对有敏感标记的信息进行控制。

3安全
审计
a)审计应覆盖到服务器和
重要客户端上的每个操作
系统用户和数据库用户。

可访谈安全审计员，询问主机系统是否设置安全审计；询问主机系统对事
件进行审计的选择要求和策略是什么；对审计日志的处理方式有哪些。

1.运行secpol.msc查看审核是否开启
2.查看系统是否有其它审计工具
1.应启用了相关审核或安装有其它审计
工具
可以通过以下方式保证安全审计的实现
a)安全审计系统：安全审计系统可以
覆盖到服务器上的每个操作系统用户和
数据库用户，具有技术手段收集操作系
统与数据库系统的日志。

b)终端/服务器安全保护系统：审计
范围能够覆盖到服务器和重要客户端上
的每个操作系统用户和数据库用户。

b)审计内容应包括重要用
户行为、系统资源的异常使
用和重要系统命令的使用、
应检查主要服务器操作系统、重要终端操作系统，查看审计策略是否覆盖
系统内重要的安全相关事件，例如，用户标识与鉴别、自主访问控制的所
有操作记录、重要用户行为（如用超级用户命令改变用户身份，删除系统
可以通过以下方式保证安全审计的实现
a)安全审计系统：提供对网络方式操
2.1版第0次修订
账号的分配、创建与变更、审计策略的调整、审计系统功能的关闭与启动等系统内重要的安全相关事件。

表）、系统资源的异常使用、重要系统命令的使用（如删除客体）等。

1.依次展开[开始]->([控制面板]->)[管理工具]->[本地安全策
略]->[本地策略]->[审核策略]；
2.查看各审核策略对哪些操作进行审核。

a)审计账户登录事件：成功，失败
b)审计账户管理：成功，失败
c)审计目录服务访问：失败
d)审计登录事件：成功，失败
e)审计对象访问：成功，失败
f)审计策略更改：成功，失败
g)审计特权使用：失败
h)审计系统事件：成功，失败
3.应检查主要服务器操作系统、重要终端操作系统，查看能否对特定事件
指定实时报警方式（如声音、EMAIL、短信等）
作主机的行为进行审计备案，包括
telnet/FTP运维操作、数据库等操作
等均能够提供全面记录和备案，通过策
略制定可以对重要操作进行重点分析。

b)终端/服务器安全保护系统：能够
对服务器和重要的PC客户端进行行为审
计，包括重要的用户行为、系统资源的
异常使用、账号的分配、创建与变更、
审计策略的调整、审计系统功能的关闭
与启动、网络进出数据等系统内重要的
安全相关事件。

c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等，并定期备份审计记录，涉及敏应检查主要服务器操作系统、重要终端操作系统，查看审计记录信息是否
包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、事件
成功或失败、身份鉴别事件中请求的来源（如末端标识符）、事件的结果等
可以通过以下方式保证安全审计的实现
a)安全审计系统：提供网络行为的原
2.1版第0次修订
感数据的记录保存时间不少于半年。

内容。

1.启用了windows审计，默认满足
2.定期备份审计记录
3.审计记录保存时间大于半年
始记录供事后追查取证包括系统记录源
IP、源端口、目的IP、目的端口、MAC地
址、登录账号、操作内容、时间等信息。

b)终端/服务器安全保护系统：记录
能够包括事件的日期、时间、类型、主
体标识、客体标识和结果等。

c)并定期备份审计记录，保存时间不
少于半年。

d）应能够根据记录数据进行分析，并生成审计报表；应检查主要服务器和重要终端操作系统，查看是否为授权用户浏览和分析
审计数据提供专门的审计工具（如对审计记录进行分类、排序、查询、统
计、分析和组合查询等），并能根据需要生成审计报表。

1.访谈系统管理员是否有第三方日志分析软件。

1.使用第三方日志分析软件或Windows
事件查看器，定期分析审计报表。

可以通过以下方式保证安全审计的实现
a)安全审计系统：可提供专业的网络
审计数据分析功能，系统提供了数十种
统计报表和灵活的条件供管理员定期分
析，支持报表模板、条件模板提供多
维分析功能，支持XLS/CSV/PDF等格式
的报表导出。

b)终端/服务器安全保护系统：能够
2.1版第0次修订对审计数据进行分析并形成审计报表。

e）应保护审计进程，避免受到未预期的中断。

应测评主要应用系统，可通过非法终止审计功能或修改其配置，验证
审计功能是否受到保护。

Windows默认满足
可以通过以下方式保证安全审计的实现
a)安全审计系统：过身份鉴别方式后才
可进行读取访问，对审计记录的删除操
作必须是专门的管理员进行操作，所有
操作行为均有完善的自身审计。

b)终端/服务器安全保护系统：保护审
计进程避免受到未预期的中断。

f）应保护审计记录，避免受到未预期的删除、修改或覆盖等。

应测评主要服务器操作系统、重要终端操作系统，在系统上以某个系统用
户试图删除、修改或覆盖审计记录，测评安全审计的保护情况与要求是否
一致。

1.依次展开[开始]->([控制面板]->）[管理工具]->[本地安全策略]->[安
全设置]->[本地策略]->[用户权限分配]，右键点击策略“管理审核和安全
日志”点属性，查看是否只有审计。

系统审计账户所在的用户组是否在本
地安全设置的用户列表中。

2.依次展开[开始]->([控制面板]->)[管理工具]->[事件查看器]；查看“安
全性”和“系统”日志“属性”的存储大小和覆盖策略。

3.若部署了日志服务器，则查看日志保存策略。

1.关注“管理审核和安全日志”的权限
用户，关注“安全性”和“系统”日志
“属性”的存储大小和覆盖周期。

2.如果日志数据存放在日志服务器上，
关注日志服务器的存储和覆盖周期。

可以通过以下方式保证安全审计的实现
a)安全审计系统：通过身份鉴别方式
后才可进行读取访问对审计记录的删除
操作必须是专门的管理员进行操作，所
有操作行为均有完善的自身审计。

2.1版第0次修订
4.应检查主要服务器操作系统、重要终端操作系统，查看审计跟踪设置是否定义了审计跟踪极限的阈值，当存储空间被耗尽时，能否采取必要的保护措施，例如，报警并导出、丢弃未记录的审计信息、暂停审计或覆盖以前的审计记录等b)终端/服务器安全保护系统：能够针对审计记录进行保护避免受到未预期的删除、修改或覆盖。

4剩余
信息
保护
a）应保证操作系统用户的
鉴别信息所在的存储空间，
被释放或再分配给其他使
用人员前得到完全清除，无
论这些信息是存放在硬盘
上还是在内存中。

应与系统管理员访谈，询问操作系统用户用户的鉴别信息存储空间，被释
放或再分配给其他用户前是否得到完全清除；系统内的文件、目录等资源
所在的存储空间，被释放或重新分配给其他用户前是否得到完全清除。

在分配给其他用户前得到完全清除
专用设备：针对操作系统和数据库系统
剩余信息保护的专用设备。

b）应确保系统内的文件、
目录和数据库记录等资源
所在的存储空间，被释放或
重新分配给其他使用人员
前得到完全清除。

应检查主要操作系统维护操作手册，查看是否明确用户的鉴别信息存储空
间，被释放或再分配给其他用户前的处理方法和过程；文件、目录和数据
库记录等资源所在的存储空间，被释放或重新分配给其他用户前的处理方
法和过程。

在分配给其他用户前得到完全清除
5入侵
防范
a)应能够检测到对重要服
务器进行入侵的行为，能够
记录入侵的源IP、攻击的
类型、攻击的目的、攻击的
时间，并在发生严重入侵事
应与系统管理员访谈，询问主机系统是否采取入侵防范措施，入侵防范内
容是否包括主机运行监视、资源使用超过值报警、特定进程监控、入侵行
为检测、完整性检测等方面内容。

可以通过以下方式保证入侵防范的实现
a)终端/服务器安全保护系统：采用
主动防御技术对系统所有可执行程序进
行保护，检测针对服务器的入侵行为，
2.1版第0次修订
件时提供报警。

记录入侵者的源IP、攻击的类型、攻击
的目的、攻击的时间、并提供报警。

b)对于下载客户端程序的Web服务器：
注意关闭其目录浏览功能，关闭put功
能。

不要将下载地址直接作为该页面URL
的参数，以避免网页的欺骗。

d)对于网站服务器：对外尽量使用静
态页面。

必要时可以考虑关闭ping功能，
防止ping攻击，但采用此措施将丧失一
定的监控能力。

b）应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施或在检测到完整性即将受到破坏时进行事前阻断。

应测评主要服务器系统，试图破坏重要程序（如执行系统任务的重要程序）
的完整性，验证主机能否检测到重要程序的完整性受到破坏。

1.检查产品的测试报告、用户手册或管理手册，确认其是否具有相关功能；
或由第三方工具提供了相应功能。

1.如果测试报告、用户手册或管理手册
中没有相关描述，且没有提供第三方工
具增强该功能，则该项要求为不符合。

可以通过以下方式保证入侵防范的
实现
终端/服务器安全保护系统：采用
主动防御技术对系统所有可执行程序进
行保护，对重要程序的完整性进行检测，
并在检测到完整性受到破坏后具有恢复
的措施或根本性的阻断破坏行为的发
2.1版第0次修订生。

c)操作系统遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器、系统软件预防性维护服务等方式保持系统补丁及时得到更新。

应与系统管理员访谈，询问入侵防范产品的厂家、版本和在主机系统中的
安装部署情况；询问是否进行过部署的改进或者更换过产品，是否按要求
（如定期或实时）进行产品升级。

1.组件最小化：检查系统安装的组件和应用程序是否遵循了最小安装的原
则；
2.服务最小化：依次展开[开始]->（[控制面板]->）[管理工具]->[服务]；
查看已经启动的或者是手动的服务，一些不必要的服务如Alerter、Remote
Registry Service、Messenger、Task Scheduler是否已启动；
3.服务端口：依次展开[开始]->[运行]，在文本框中输入cmd点确定，输
入netstat–an查看是否有不必要端口开启，如139、135、3389、445。

4.默认共享：
a)依次展开[开始]->[运行]，在文本框中输入cmd点确定，输入net share，
查看共享；
b)依次展开[开始]->[运行]，在文本框中输入regedit点确定，查看注册
表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrict
anonymous值是否为“0”
5.补丁更新
1.系统安装的组件和应用程序遵循了最
小安装的原则；
2.不必要的服务没有启动；
3.不必要的端口没有打开；
4.“共享名”列为空，无C$、D$、IPC$等
默共享
5.HKEY_LOCAL_MACHINE\SYSTEM\Curren
tControlSet\Control\Lsa\restrictan
onymous值不为“0”（0表示共享开启）
6.系统补丁先测试，再升级；补丁号为
较新版本。

7.防火墙应对无关服务进行过虑
可以通过以下方式保证入侵防范的实现
终端/服务器安全保护系统：能够
保证服务器、PC终端的操作系统仅安装
需要的组件和应用程序，进行实时补丁
更新。

尽量关闭teln et、ftp、smt p、
pop3、snmp、rpc、windows terminal
2.1版第0次修订
访谈系统补丁升级的方法，[开始]->[运行]，在文本框中输入regedit，查看注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates下的安装补丁列表；或运行命令systeminfo查看系统补丁是否是最新。

6.查看windows防火墙是否已经启用，查看防火墙高级设置是否对无用服务进行过虑。

等服务。

内部的远程管理可以使用ssh这类安全的工具。

尽量关闭外部的远程管理端口。

6恶意
代码
防范
a)应安装国家安全部门认
证的正版防恶意代码软件，
对于依附于病毒库进行恶
意代码查杀的软件应及时
更新防恶意代码软件版本
和恶意代码库，对于非依赖
于病毒库进行恶意代码防
御的软件，如主动防御类软
件，应保证软件所采用的特
征库有效性与实时性，对于
某些不能安装相应软件的
系统可以采取其他安全防
护措施来保证系统不被恶
意代码攻击。

应访谈系统安全员，询问主机系统是否采取恶意代码实时检测与查杀
措施或其他安全防护措施，恶意代码实时检测与查杀措施的部署情况如何，
因何改进过部署或者更换过产品，是否按要求（如定期或实时）进行产品
升级，其他安全防护措施是如何防范恶意代码攻击的。

1.查看系统中安装的防病毒软件。

询问管理员病毒库更新策略。

查看病毒
库的最新版本更新日期是否超过一个星期。

1.安装了防病毒软件，及时更新防病毒
软件并保证病毒库经常更新，是最新版
本。

可以通过以下方式保证恶意代码防范的
实现
a)防病毒系统：可以及时更新防恶意
代码软件版本和恶意代码库。

b)终端/服务器安全保护系统：采用
主动防御技术引入白名单，对系统所有
可执行程序进行保护，从根本上阻断恶
意代码攻击。

b)主机防恶意代码产品应检查主机和网络是否具备恶意代码产品，以及其各自的恶意代码库是可以通过以下方式保证恶意代码防范的
2.1版第0次修订
具有与网络防恶意代码产品不同的恶意代码库。

否一样，是否是最新代码库。

实现
a)恶意代码库：防病毒软件的恶意代
码库与入侵防御系统、UTM安全网关的
恶意代码库不同。

b)终端/服务器安全保护系统：采用
主动防御技术，引入白名单拜托对恶意
代码库的依赖，对系统所有可执行程序
进行保护从根本上阻断恶意代码攻击。

c)应支持恶意代码防范的统一管理。

应检查网络防恶意代码产品，查看厂家、版本号和恶意代码库名称等信息
是否统一管理。

1.访谈防恶意代码的管理方式，防恶意代码统一管理，统一升级。

2.查看防恶意代码服务端看是否有统一更新查杀策略
可以通过以下方式保证恶意代码防范的
实现
a)防病毒系统：支持防恶意代码软件
的统一管理。

b)终端/服务器安全保护系统：具备
统一管理功能。

d)应建立病毒监控中心，对网络内计算机感染病毒的情况进行监控。

(F3)检查如何对网络内计算机病毒进行监控，是否建立了病毒监控中心。

可以通过以下方式保证恶意代码防范的
实现
防病毒系统：支持防恶意代码软件的统
一管理。

终端/服务器安全保护系统：具备收集。