18-SGISLOP-SA29-10-Windows等级保护测评作业指导书三级
10-SGISLOP-SA11-10 网络设备HW等级保护测评作业指导书(四级)
检查路由器冗余备份情况
测评分项1
确定重要路由器是否具有冗余备份。
操作步骤
查看:根据拓朴图查看重要路由器是否具有冗余备份并到机房核实。
询问:重要路由器是否进行了冗余备份,确定是热备还是冷备,如果是双机同时运行,询问双机运行方式,是只负载均衡,或是只冗余,还是同时负载均衡加冗余。,
适用版本:
华为路由器
查看:路由器日志审核状态。
导出路由器配置,截取配置图片。
检查是否通过网管等第三方工具对运行状况、网络流量等进行记录
适用版本:
华为路由器
符合性判定
符合:Information Center:enabled;
Log host: XXX.XXX.XXX.XXX;
Information timestamp setting:
查看:用户级别配置信息。导出路由器配置,截取配置图片。
适用版本:
华为路由器
符合性判定
符合:启用用户权限级别配置,运行结果如下:
local-user user1
password cipher
authorization-attribute level 1
service-type telnet
local-user user2
14.检查路由器启动一致性
测评项编号
ADT-NW-RT-14
测评项名称
检查路由器启动一致性
测评分项1
确定当前运行文件与启动文件一致
操作步骤
执行:display current-configuration;
display saved-configuration
查看:导出路由器当前运行配置与启动配置是否一致。若不一致,访谈管理员,明确不一致的原因。
(完整版)12-SGISLOP-SA14-10防火墙等级保护测评作业指导书(三级)
控制编号:SGISL/OP-SA14-10
信息安全等级保护测评作业指导书
防火墙(三级)
版号:第 2 版
修改次数:第0 次
生效日期:2010年01月06日
中国电力科学研究院信息安全实验室
一、网络访问控制访问1.端口级的访问控制
2.协议命令级的网络访问控制
3.会话连接超时处理
4.网络流量和最大连接数的限制
二、安全审计1.日志记录
2.日志分析
3.审计记录的保护
三、设备防护1.身份鉴别
2.设备管理地址的限制
3.身份标识唯一
4.身份鉴别信息不易被冒用
5.双因子身份鉴别
6.登录失败和超时处理
7.远程管理信息的保密性
8.特权用户权限分离。
Windows测评指导书.doc
Windows操作系统测评指导书
C)操作系统应在Windows操作系统中:仅启动了必要的服务和开启记录已经启动的或者是遵循最小安装1)系统服务了必须的端口,系统补丁通手动的服务中一些不必
的原则,仅安单击“开始” >> “控制面板” >>双击“管理工过升级服务器得到更新,已要的服务,如?:
装需要的组件具” >>然后双击“服务”:在列表框中显示的为当前最新的补丁。
Aletter 、
Remote
和应用程序,是系统可以使用的服务;也可以在命令行小输Register Service 、
并通过设置升入services, msc打开系统服务管理界面。
Messenger 、
Task
级服务器等方2)监听端口Scheduler等。
记录多余
式保持系统补丁及时得到更新。
在命令行模式下输入"netstat -an",查看列表屮
的监听端口。
NetBIOS 名称服务UDP137
NetBIOS数据报服务UDP138
NetBIOS会话服务TCP139等
3)补丁升级
访谈并查看系统补丁升级方式,以及最新补丁更
新情况:“开始” » “控制面板” » “添加删
除程序” » “更改或删除程序”,按照记录的系
统安全补丁编号KBxxxxxXo
的组件、应用程序等。
金融行业Windows主机安全等级保护测评实施指导书(三级)
2.1版第0次修订金融行业Windows主机等级保护测评实施指导书(三级)序号控制点测评项操作步骤预期结果1身份鉴别a)应为操作系统和数据库的不同用户分配不同的用户名,确保用户名具有唯一性。
1、应测评主要服务器操作系统和主要数据库管理系统,添加一个新用户,其用户标识为系统原用户的标识(如用户名或UID),查看是否不会成功。
2、访谈是否存在多人使用同一账户的情况3、通过错误的用户名和口令试图登录系统,验证鉴别失败处理功能是否有效1、添加一个新用户,其用户标识为系统原用户的标识,不会成功。
2、无多人使用同一账户的情况b)应对登录操作系统和数据库系统的用户进行身份标识和鉴别。
可访谈系统管理员,询问操作系统的身份标识与鉴别机制采取何种措施实现,目前系统提供了哪些身份鉴别措施和鉴别失败处理措施.具有身份认证与标识、鉴别功能如账号与口令认证、数字证书认证等,可以实现登录用户的身份标识和鉴别。
1.系统中用户名应该唯一,且进行了密码设置2.登陆过程中系统账户使用了密码进行验证c)操作系统用户身份标识应具有不易被冒用的特点,系统的静态口令应在7位应检查主要服务器操作系统,查看是否提供了身份鉴别措施(如用户名和口令等),其身份鉴别信息是否具有不易被冒用的特点,例如,口令足够长,口令复杂(如规定字符应混有大、小写字母、数字和特殊字符),口令生命a)复杂性要求已启用;b)长度最小值至少为8位;2.1版第0次修订以上并由字母、数字、符号等混合组成并每三个月更换口令。
周期,新旧口令的替换要求(如规定替换的字符数量)或为了便于记忆使用了令牌。
1.运行secpol.msc命令2.打开“本地安全设置”对话框依次展开“帐户策略密码策略”3.查看是否具有设置启用密码复杂性要求、密码长度最小值、最长存留期、最短存留期等c)最长存留期不为0;d)最短存留期不为0;d)应启用登录失败处理功能,可采取结束会话、限制登录间隔、限制非法登录次数和自动退出等措施。
等级保护2.0 三级-Windows 测评指导书V1.0
测评项: a) 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入 侵和病毒行为,并将其有效阻断。 测评方法: 1)查看操作系统中安装的防病毒软件,查看病毒库的最新版本更新日期是否
6 / 10
知识星球:网络安全等级保护交流
超过一个月 2)询问系统管理员是否有统一的病毒更新策略和查杀策略 3)询问系统管理员网络防病毒软件和主机防病毒软件分别采用什么病毒库 4)询问系统管理员当发现病毒入侵行为时,如何发现,如何有效阻断等,报 警机制等 5)查看系统中采取何种可信验证机制,访谈管理员实现原理等
1.1.4 入侵防范
测评项: a) 应遵循最小安装的原则,仅安装需要的组件和应用程序; 测评方法: 1)询问管理员和查看服务器安装的组件和应用程序是否为系统所需的 测评项: b) 应关闭不需要的系统服务、默认共享和高危端口; 测评方法: 1)打开“控制面板”->“管理工具”->“服务”,查看已经启动的或者是络安全等级保护交流
1.1.3 安全审计
测评项: a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全 事件进行审计; 测评方法: 1) 使用 Win 键+R 键打开运行,输入命令"secpol.msc"并运行,弹出“本地安 全策略”窗口,查看“安全设置->本地策略->审计策略”中的相关项目。查看 “审核策略更改:成功,失败、审核登录事件:成功,失败”等审核策略是否 开启 2)询问并查看是否有第三方审计工具或系统 测评项: b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他 与审计相关的信息; 测评方法: 1)使用 Win 键+R 键打开运行,输入命令"eventvwr.msc"并运行,弹出“事件 查看器”窗口,“事件查看器(本地)->Windows 日志"下包括“应用程序”、“安 全”、“设置”、“系统”几类记录事件类型,点击任意类型事件,查看日志记录 了哪些信息 2) 如果安装了第三方审计工具,则查看审计记录是否包括日期、时间,类型、 主体标识、客体标识和结果 测评项: c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; 测评方法: 1)如果日志数据本地保存,则询问审计记录备份周期,有无异地备份。使用 Win 键+R 键打开运行,输入命令"eventvwr.msc"并运行,弹出“事件查看器” 窗口,“事件查看器(本地)->Windows 日志”下包括“应用程序” 、” 安全”、 “设置”、“系统”几类记录事件类型,右键点击类型事件,选择下拉菜单中的 “属性”,查看日志存储策略
信息安全等级保护测评指导书-三级
测评指导书(三级)目录第1章安全管理测评指导书 (4)1.1安全管理机构测评 (4)1.2安全管理制度测评 (9)1.3人员安全管理测评 (11)1.4系统建设管理测评 (14)1.5系统运维管理测评 (20)第2章物理安全测评指导书 (32)2.1物理安全测评 (32)第3章网络安全测评指导书 (44)3.1网络全局安全测评 (44)3.2路由器安全测评 (47)3.3交换机安全测评 (59)3.4防火墙安全测评 (67)3.5入侵检测/防御系统安全测评 (71)第4章操作系统安全测评指导书 (75)4.1WINDOWS操作系统安全测评 (75)4.2L INUX操作系统安全测评 (82)4.3S OLARIS操作系统安全测评 (92)4.4AIX操作系统安全测评 (101)第5章应用系统安全测评指导书 (109)5.1应用系统安全测评 (109)5.2IIS应用安全测评 (114)5.3A PACHE应用安全测评 (116)第6章数据库安全测评指导书 (120)6.1SQL S ERVER数据库安全测评 (120)第 2 页共135 页6.2O RACLE数据库安全测评 (124)6.3S YBASE数据库安全测评 (130)第 3 页共135 页第1章安全管理测评指导书1.1安全管理机构测评第 4 页共135 页第 5 页共135 页第 6 页共135 页第7 页共135 页第8 页共135 页1.2安全管理制度测评第9 页共135 页第10 页共135 页1.3人员安全管理测评第11 页共135 页第12 页共135 页第13 页共135 页1.4系统建设管理测评第14 页共135 页第15 页共135 页第16 页共135 页第17 页共135 页第18 页共135 页第19 页共135 页1.5系统运维管理测评第20 页共135 页第21 页共135 页第22 页共135 页第23 页共135 页第24 页共135 页第25 页共135 页第26 页共135 页第27 页共135 页第28 页共135 页第29 页共135 页第30 页共135 页第31 页共135 页第2章物理安全测评指导书2.1物理安全测评第32 页共135 页第33 页共135 页第34 页共135 页第35 页共135 页第36 页共135 页第37 页共135 页第38 页共135 页第39 页共135 页第40 页共135 页第41 页共135 页第42 页共135 页第43 页共135 页第3章网络安全测评指导书3.1网络全局安全测评第44 页共135 页第45 页共135 页第46 页共135 页3.2路由器安全测评思科路由器第47 页共135 页第48 页共135 页第49 页共135 页第50 页共135 页。
15-SGISLOP-SA17-10IDS等级保护测评作业指导书(三级)
无
符合性判定
防火墙的管理员具备独立的审计账户,仅具有查看权限,判定结果为符合
上述情况不满足,判定结果为不符合
备注
四、备份和恢复
1.备份
测评项编号
ADT-FW-01
对应要求
应制定设备配置数据备份策略,对IDS日志及安全策略进行备份
测评项名称
备份
测评分项1:IDS日志及安全策略的备份
操作步骤
查看IDS的日志及安全策略是否依据制定的数据备份策略实施
适用版本
任何版本
实施风险
无
符合性判定
依据数据备份策略实施,判定结果为符合;
未依据数据备份策略实施,判定结果为不符合。
备注
适用版本
所有内容
实施风险
无
符合性判定
使用双因子身份鉴别方式,判定结果为符合
未使用双因子身份鉴别方式,判定结果为不符合备注2.身鉴别方式的防护测评项编号
ADT-FW-04
对应要求
身份鉴别信息应具有不易被冒用的特点
测评项名称
身份鉴别
测评分项1:修改默认帐号及口令
操作步骤
使用默认帐号及口令,通过WEB界面和Console口方式登陆IDS
ADT-FW-04
对应要求
应对设备运行状况、网络流量等进行日志记录
测评项名称
日志记录
测评分项1:记录IDS的管理行为、设备运行状况和网络异常流量。
操作步骤
查看IDS日志,是否存在设备运行状况和网络异常流量等相关日志记录
适用版本
任何产品
实施风险
无
符合性判定
存在防火墙的管理行为、网络流量等相关日志记录,判定结果为符合
包含上述内容不全面,判定结果为不符合
12-SGISLOP-SA14-10防火墙等级保护测评作业指导书(三级)
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持. 控制编号:SGISL/OP-SA14-10
信息安全等级保护测评作业指导书
防火墙(三级)
版号:第 2 版
修改次数:第0 次
生效日期:2010年01月06日
中国电力科学研究院信息安全实验室
1
一、网络访问控制访问1.端口级的访问控制
2.协议命令级的网络访问控制
3.会话连接超时处理
4.网络流量和最大连接数的限制
二、安全审计1.日志记录
2.日志分析
3.审计记录的保护
三、设备防护1.身份鉴别
2.设备管理地址的限制
3.身份标识唯一
4.身份鉴别信息不易被冒用
5.双因子身份鉴别
6.登录失败和超时处理
7.远程管理信息的保密性
8.特权用户权限分离。
Windows2022年测评指导书三级S3A3G3.0版
序号类别测评项a)应对登录操作系统和数据库系统的用户进展身份标识和鉴别;b)操作系统和数据库系统治理用户身份鉴别信息应具有不易被冒用的特点,口令应有简单度要求并定期更换;c)应启用登录失败处理功能,可采测评实施1〕查看登录是否需要密码1〕依次开放[开头]->〔[掌握面板] ->〕[治理工具]->[本地安全策略]->[账户策略]->[密码策略],查看以下项的状况:a)简单性要求、b)长度最小值、c)最长存留期、d)最短存留期、e)强制密码历史。
1〕依次开放[开头]->〔[掌握面板] ->〕[治理工具]->[本地安全策略]->[账户预期结果1〕用户需要输入用户名和密码才能登录。
a)简单性要求已启用;b)长度最小值至少为 8 位;c)最长存留期不为 0;d)最短存留期不为 0;e)强制密码历史至少记住 3 个密码以上。
a)设置了“复位账户锁定计数器”说明是否必需输入密码才能登录。
全部的项只要不为默认的 0 或未启用就可以。
取完毕会话、限制非法登录次数和1 身份自动退出等措施;鉴别d) 当对效劳器进展远程治理时,应策略]->[账户锁定策略];2〕查看以下项的状况:a)复位账户锁定计数器、b)账户锁定时间和 c)账户锁定阈值。
1〕访谈治理员在进展远程治理时如何时间;全部的项只要不为默认b)设置了“账户锁定时间”;的0或未启用就可以。
c)设置了“账户锁定阈值”。
1)假设是本地治理或KVM 等硬件治理方式,此要求默认满足;实行必要措施,防止鉴别信息在网络传输过程中被窃听;e) 为操作系统和数据库的不同用防止鉴别信息在网络传输过程中被窃听。
1 〕依次开放[ 开始]->([ 掌握面2)假设承受远程治理,则需承受带加密治理的远程治理方式,如启用了加密功能的 3389 远程治理桌面或修改远程登录端口。
关注远程治理方式及传输协议。
Windows Server 2022 默户安排不同的用户名,确保用户名具有唯一性;板 ]->)[ 管理工具 ]->[ 计算机管 1〕无多人共用同一个账号的情理]->[本地用户和组]->[用户];查看况。
Windows系统等级保护测评实施指导书(三级)
置 3389 相关 IPSEC
e) 为操作系统和 1、查看我的电脑-属性-本地用户和组,查看用户列表; 操作系统和数据库系 操作系统和数据库系统的用户名具有唯一
数据库的不同用 2、访谈是否存在多人使用同一账户的情况
统的用户名不具有唯 性
户分配不同的用
一性
户名,确保用户
名具有唯一性;
f) 应采用两种 应检查主要服务器操作系统,查看身份鉴别是否采用两个 采用一种鉴别技术
Windows 系统等级保护测评实施指导书
文件号:LC-CS-22 2.1 版 第 0 次修订
Windows 系统等级保护测评实施指导书(三级)
序 控制 号点
测评项
操作步骤
预期结果(0 分)
预期结果(5 分)
身 份 a) 应对登录操作 访谈并检查操作系统和数据库系统是否存在无密码自动登 存在自动登录或默认 1、对登陆操作系统和数据库系统的用户进
限;
查看 guest 用户隶属于组。
c) 应实现操作系 1、 查看用户列表是否根据用户职责分配管理员及普通用 1、只配置一个管理人 系统管理、安全管理以及安全审计等特权
统和数据库系统 户;
员
用户权限进行分离,且权限互斥
特权用户的权限 2、 查看系统中是否安装数据库管理系统,且数据库管理 2、存在兼任
鉴别 系统和数据库系 录,或默认账户默认口令登陆
账户默认口令或默认 行身份鉴别
统的用户进行身
账户无口令
2、不得使用默认用户和默认口令
份标识和鉴别;
b) 操作系统和数 1 . 运行secpol.msc 命令
对口令复杂度和更换 1、口令由数字、大小写字母、符号混排、
据库系统管理用 2 .查看账户策略-密码策略,查看是否开启密码复杂度检 周期均无要求,或存在 无规律方式
等级保护测评实施指导书
等级保护测评实施指导书1.测评准备阶段1.1项目启动1)项目经理负责与被测单位进行沟通。
向被测单位了解被测信息系统基本情况,包括测评范围、系统需要达到的等级、具体测评内容的调整情况,以及其他有关信息系统的情况,明确测评需求和测评范围;项目经理介绍测评工作流程及实施测评工作,并告知被测单位提前做好准备工作。
与被测单位就具体的测评合同和保密协议内容进行洽商。
协助客户主管与被测单位签署测评合同和保密协议。
2)双方签署测评合同和保密协议后,被测单位提交相关材料和附件,项目经理负责对提交的文档进行完整性审查,审核文档是否满足实施测评工作的要求。
如果文档不够详细完备,则与被测单位沟通,要求被测单位进一步完善文档材料。
1.2信息收集和分析1)项目经理协助客户填写(LD-CS-29《信息系统基本情况调查表》)。
2)项目经理收回填写完成的调查表格,各测评项目小组分析调查结果,了解和熟悉被测系统的实际情况。
分析的内容包括被测系统的基本信息、物理位置、行业特征、管理框架、管理策略、网络及设备部署、软硬件重要性及部署情况、范围及边界、业务种类及重要性、业务流程、业务数据及重要性、业务安全保护等级、用户范围、用户类型、被测系统所处的运行环境及面临的威胁等。
这些信息可以重用自查或上次等级测评报告中的可信结果。
3)如果调查表格填写不准确或不完善或存在相互矛盾的地方较多,测评机构应安排现场调查,与被测系统相关人员进行面对面的沟通和了解。
1.3工具和表单准备测评项目组成员在进行现场测评之前,应熟悉与被测系统相关的各种组件、调试测评工具、准备各种表单等。
1)测评人员调试本次测评过程中将用到的测评工具,包括漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等。
2)测评人员模拟被测系统搭建测评环境。
3)准备和打印表单,主要包括:测评流程单(LD-CS-18《测评流程单》)、文档交接单(LD-CS-19《接收/归还样品清单》)、会议记录表单(LD-GL-09《会议记录》)、会议签到表单(LD-GL-10《会议签到表》)等。
18-SGISLOP-SA29-10Windows等级保护测评作业指导书三级
控制编号:SGISL/OP-SA29-10
信息安全等级保护测评作业指导书Windows主机(三级)
版号:第2 版
修改次数:第0 次
生效日期:2010年01月06日中国电力科学研究院信息安全实验室
修改页
一、身份鉴别
1.用户身份标识和鉴别
2.账号口令强度
3.检查锁定策略
4.远程管理方式
5.用户名具有唯一性
6.身份鉴别
二、访问控制
1.控制用户对资源的访问
2.用户权限检查
3.用户的权限分离
4.账户权限配置
5.系统是否存在多余
6.资源敏感标记设置检查
7.有敏感标记的资源访问
三、安全审计1.审计容
2.审计日志分析
3.保护进程
4.系统日志存储
四、剩余信息保护1.鉴别信息保护
2.存储文件剩余信息保护
五、入侵防
1.操作系统补丁及程序安装原则
2.攻击事件的纪录情况
3.系统完整性及恢复
六、恶意代码防
1.检查系统防病毒软件部署
2.恶意代码统一管理
3.代码库检查
七、资源控制1.限制终端登录
2.终端超时注销
3.查看用户资源使用限度
4.性能监视情况检查
5.报警设置检查。
等级保护三级操作系统安全测评指导书
主机资源监视
对资源使用情况进行监视和记录。
资源报警阀值 特定进程监控 主机账户监控
系统资源达到一定阀值,能够报警。 对重要进程进行监控,对非法进程提供报 警。 对主机账户进行监控和提供告警。
7
入侵防范
访谈,手工检查: 1.访谈并查看入侵检测的措施,如经常通过如下命令查看入侵的重要线索,涉及命 令 主机 IDS #who /etc/security/failedlogin; 2.查看是否开启了防火墙、TCP SYN 保护机制等设置; 3.是否具备 rootkit 检查工具,定期进行 rootkit 检查; 4.询问是否有第三方入侵检测系统,如 IDS,是否开启报警功能。 访谈,核查: 重要程序完整性检测并恢 访谈是否使用一些文件完整性检查工具对重要文件的完整性进行检查,是否对重要 复 的配置文件进行备份。查看备份演示。 系统最小安装并更新
序号
测评指标
测评项
检测方法 手工检查: 在 root 权限下,查看文件权限是否满足以下要求: /etc/filesystems 权限为 664, /etc/hosts 权限为 664, /etc/inittab 权限为 600, /etc/vfs 权限为 644, /etc/security/failedlogin 权限为 644, /etc/security/audit/hosts 权限为 660,记录权限存在问题的目录或文件。
对用户管理启用一定安全策略。
登陆失败处理
对用户登录进行限制。
鉴别警示功能
存在警告性 banner 信息。
对相连设备进行身份标识 访谈: 和鉴别 询问管理员是否使用证书等方式对设备身份进行鉴别。
采取技术手段对相连 设备进行身份鉴别。
远程管理加密
信息安全等级保护测评作业指导书(系统管理建设三级)
信息安全等级保护测评作业指导书系统建设管理(三级)修改页一、系统定级1.信息系统边界和安全保护等级2.信息系统定级方法和理由3.定级结果论证和审定4.定级结果经过相关部门批准二、安全方案设计1.选择基本安全措施及补充调整2.安全建设总体规划3.细化系统安全方案4.安全技术专家论证和审定5.安全方案调整和修订三、产品采购和使用1.安全产品采购和使用符合国家有关规定2.保密码产品采购和使用符合国家密码主管部门要求3.专门部门负责产品采购4.预先产品选型测试四、自行软件开发1.开发环境与实际运行环境物理分开,测试数据和测试结果受到控制2.软件开发管理制度3.代码编写安全规范4.软件设计相关文档和使用指南5.程序资源库修改、更新、发布进行授权和批准五、外包软件开发1.软件质量测试2.检测软件包恶意代码3.软件设计相关文档和使用指南4.软件源代码检查六、工程实施1.工程实施管理2.工程实施方案3.工程实施管理制度七、测试验收1.第三方安全性测试2.安全性测试验收报告3.书面规定测试验收的控制方法和人员行为准则4.系统测试验收授权及完成5.测试验收报告审定八、系统交付1.系统交付清单2.运行维护技术人员技能培训3.系统运行维护文档4.书面规定系统交付的控制方法和人员行为准则5.系统交付管理工作授权及完成九、系统备案1.系统定级材料管理2.系统主管部门备案3.备案材料报送相应公安机关备案十、等级测评1.每年一次等级测评及整改2.系统变更进行等级测评3.测评单位技术资质和安全资质4.授权专门部门或人员负责等级测评管理十一、安全服务商选择1.安全服务商选择合规2.安全服务商协议3.安全服务商服务合同。
28_SGISLOP_SA380AIX等级保护测评作业指导书[四级]
![28_SGISLOP_SA380AIX等级保护测评作业指导书[四级]](https://img.taocdn.com/s3/m/500aa5d69b89680203d825c0.png)
控制编号:SGISL/OP-SA38-10
信息安全等级保护测评作业指导书
AIX主机(三级)
版号:第 2 版
修改次数:第 0 次
生效日期:2010年01月06日
中国电力科学研究院信息安全实验室
修改页
一、身份鉴别
1.用户身份标识和鉴别
2.账号口令强度
3.登录失败处理策略
4.远程管理方式
5.账户分配及用户名唯一性
6.双因子身份鉴别
二、访问控制
1.检查文件访问控制策略
2.数据库系统特权用户权限分离
3.特权用户权限分离
4.默认账户访问权限
5.多余及过期账户
6.基于标记的访问控制
三、安全审计
1.开启日志审核功能
2.日志审计内容
3.审计进程保护
四、剩余信息保护(HPUX系统不适用)
五、入侵防范
1.入侵防范
五、恶意代码防范(AIX系统不适用)
六、资源控制
1.终端登录限制
2.终端操作超时锁定
3.单个用户系统资源使用限制。
28-SGISLOP-SA38-10 AIX等级保护测评作业指导书(四级)
控制编号:SGISL/OP-SA38-10
信息安全等级保护测评作业指导书AIX主机(三级)
版号:第 2 版
修改次数:第0 次
生效日期:2010年01月06日
中国电力科学研究院信息安全实验室
一、身份鉴别
1.用户身份标识和鉴别
2.账号口令强度
3.登录失败处理策略
4.远程管理方式
5.账户分配及用户名唯一性
6.双因子身份鉴别
二、访问控制
1.检查文件访问控制策略
2.数据库系统特权用户权限分离
3.特权用户权限分离
4.默认账户访问权限
5.多余及过期账户
6.基于标记的访问控制
三、安全审计
1.开启日志审核功能
2.日志审计内容
3.审计进程保护
四、剩余信息保护(HPUX系统不适用)
五、入侵防范
1.入侵防范
五、恶意代码防范(AIX系统不适用)
六、资源控制
1.终端登录限制
2.终端操作超时锁定
3.单个用户系统资源使用限制。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
无实施风险
符合性判定
“帐户锁定阀值”设置为“帐户锁定时间”设置为30分钟或30分钟以下;3次或3次以上,判定结果为符合;否则为不符合。
4.远程管理方式
测评项编号
ADT-OS-WIN-04
对应要求
d)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。
第2版第0次修订
发布日期:2010年01月06日
修改页
修订号1
版号/修改人修订原因批准人控制编号章节号SGISL/OP-SA按公安部要求修订詹雄毛澍29-10
批准日期备注2010.3.8
中国电力科学研究院信息安全实验室
控制编号:SGISL/OP-SA29-10
第2页共21页
等级保护测评作业指导书(三三)Windows
适用版本
Windows2000、Windows XP、Windows 2003
实施风险
无
符合性判定
不允许远程登录或采用ssh等加密方式,判定结果为符合;采用等明文校验协议的远程管理方式,判定结果为不符合。
5.用户名具有唯一性
测评项编号
ADT-OS-WIN-05
对应要求
e)应为操作系统的不同用户分配不同的用户名,确保用户名具有唯一性。
测评项名称
用户名具有唯一性
测评分项1:用户名具有唯一性
操作步骤
“管理工具”->“计算机管理”->“本地用户和组”中的“用户”,检查其中的用户名是否出现重复。
适用版本Windows2000、Windows XP、Windows 2003
无实施风险
符合性判定
无重命名用户,判定结果为符合;有重命名用户,判定结果为不符合。
中国电力科学研究院信息安全实验室
控制编号:SGISL/OP-SA29-10
第3页共21页
等级保护测评作业指导书(三三)Windows
第2版第0次修订
发布日期:2010年01月06日
合。
备注
2.账号口令强度
测评项编号
ADT-OS-WIN-02
对应要求
b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换。
6.身份鉴别
测评项编号
ADT-OS-WIN-06
对应要求
f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
测评项名称
身份鉴别
1:身份鉴别测评分项
操作步骤
访谈管理员,询问系统是否采用了两种或两种以上的身份鉴别方式。
Windows 2003 Windows XP适用版本、Windows2000、
第2版第0次修订
发布日期:2010年01月06日
一、身份鉴别
1.用户身份标识和鉴别
测评项编号
ADT-OS-WIN-01
对应要求
a)应对登录操作系统的用户进行身份标识和鉴别。
测评项名称
用户身份标识和鉴别
测评分项1:查看登录是否需要口令或其他认证方式
操作步骤
在系统管理员登录系统过程中,查看是否需要输入口令或采用其他认证方式
备注
3.检查帐户锁定策略
测评项编号
ADT-OS-WIN-03
对应要求
c应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。
测评项名称
检查帐户锁定策略
测评分项1:检查帐户锁定策略
操作步骤
开始|程序|管理工具|本地安全设置|安全设置|帐号策略|帐户锁定策略:帐户锁定时间;帐户锁定阀值;
测评项名称
账号口令强度
:检查系统是否存在弱口令测评分项1
操作步骤
)询问管理员口令位03 Windows XP、Windows2000适用版本、
无实施风险
符合性判定
系统所有帐户密码都在8位以上,数字字母混合,判定结果为符合;系统所有帐户密码都在6位—8位,判定结果为基本符合;
CurrentVersion\Winlogon\AutoAdminLogon”下的内容进行记录。
适用版本Windows 2003、、Windows XPWindows2000
无实施风险
符合性判定
AutoAdminLogon的值为0,表示不允许开机自动登录,判定结果为符合;
表示允许开机自动登录,判定结果为不符1,的值为AutoAdminLogon
SGISL/OP-SA29-10控制编号:
信息安全等级保护测评作业指导书
Windows主机(三级)
版号:第2版
第0次修改次数:
2010年01生效日期:月06日
中国电力科学研究院信息安全实验室.
中国电力科学研究院信息安全实验室
控制编号:SGISL/OP-SA29-10
第1页共21页
等级保护测评作业指导书(三三)Windows
测评项名称
远程管理方式
测评分项1:远程管理方式
操作步骤
并记录远程管理软件的询问系统管理员,系统采用何种远程管理方式,版本。.
中国电力科学研究院信息安全实验室
控制编号:SGISL/OP-SA29-10
第5页共21页
等级保护测评作业指导书(三三)Windows
第2版第0次修订
发布日期:2010年01月06日
控制编号:SGISL/OP-SA29-10
第4页共21页
等级保护测评作业指导书(三三)Windows
第2版第0次修订
发布日期:2010年01月06日
实施风险
无
符合性判定
“密码必须符合复杂性要求”设置为启用;“密码长度最小值”设置为8位或8位以上,“密码最长存留期”设置为42天以下,判定结果为符合;否则为不符合。
系统存在空口令或密码小于6位的帐户,判定结果为不符合。
测评分项2:检查系统密码策略
操作步骤
开始|程序|管理工具|本地安全设置|安全设置|帐号策略|密码策略:密码必须符合复杂性要求;密码长度最小值;密码最长存留期;
Windows 2003
、Windows XP、Windows2000适用版本
中国电力科学研究院信息安全实验室
无实施风险.
中国电力科学研究院信息安全实验室
控制编号:SGISL/OP-SA29-10
第6页共21页
等级保护测评作业指导书(三三)Windows
适用版本任何版本
无实施风险
符合性判定
如果需要输入口令或采用其他认证方式,判定结果为符合;如果不需要任何认证过程,判定结果为不符合。
测评分项2:检查操作系统是否允许开机自动登录
操作步骤
在“开始\运行\”窗口内运行注册表编辑器应用程序“Regedit.exe”,对目录“我的电脑HKLM\Software\Microsoft\WindowsNT\