等级保护2.0 三级-Windows 测评指导书V1.0
等保2.0一二三级测评指标大全
等保2.0测评详细指标(1-3级)PS:一级指标没有整理成表格,二三级整理成表格,看的会清晰一点。
一级测评要求指标一.技术安全大类1.安全的物理环境物理访问控制:机房出入口应安排专人值守或配置电子门禁系统,控制,鉴别和记录进入的人员。
防盗窃和破坏:应将设备或主要部件进行固定,并设置明显的不易除去的标识。
防雷击:应将各类机柜,设施和设备等通过基地系统安全接地。
防火:机房应该设置灭火设备。
防水和防潮:应采取措施防止雨水通过机房窗户,屋顶和墙壁渗透。
温湿度控制:应设置必要的温湿度调节设施,使机房温湿度的变化在设备运行所允许的范围之内。
电力供应:应在机房供电线路上配置稳压器和过电压防护设备。
2.安全的通信网络通信传输:应采用检验技术保证通信过程中数据的完整性。
可信验证:可给予可信根对通信设备的系统引导程序,系统程序等进行可信验证,并在检测到其可信性受到破坏后进行报警。
3.安全的计算环境身份鉴别:1.应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份辨别信息具有复杂度要求并定期更换。
2.应具有登陆失败处理功能,应配置并启用结束会话,限制非法登录次数和挡登录连接超时自动退出等相关措施。
访问控制:1.应对登录的用户分配账户和权限2.应重命名或删除默认账户,修改默认账户的默认口令。
3.应及时删除或停用多余的,过期的账户,避免共享账户的存在。
入侵防范:1.应遵循最小安装的原则,仅安装需要的组件和应用程序。
2.应关闭不需要的系统服务,默认共享和高危端口。
恶意代码防范:应安装放恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库。
可信验证:可基于可信根对计算机设备的系统引导程序,系统程序等进行可信验证,并在检测到其可信性受到破坏后进行报警。
数据完整性:应采用检验技术保证重要数据在传输过程中的完整性。
数据备份恢复:应提供重要数据的本地数据备份与恢复功能。
4.安全的区域边界边界防护:应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。
Windows测评指导书.doc
Windows操作系统测评指导书
C)操作系统应在Windows操作系统中:仅启动了必要的服务和开启记录已经启动的或者是遵循最小安装1)系统服务了必须的端口,系统补丁通手动的服务中一些不必
的原则,仅安单击“开始” >> “控制面板” >>双击“管理工过升级服务器得到更新,已要的服务,如?:
装需要的组件具” >>然后双击“服务”:在列表框中显示的为当前最新的补丁。
Aletter 、
Remote
和应用程序,是系统可以使用的服务;也可以在命令行小输Register Service 、
并通过设置升入services, msc打开系统服务管理界面。
Messenger 、
Task
级服务器等方2)监听端口Scheduler等。
记录多余
式保持系统补丁及时得到更新。
在命令行模式下输入"netstat -an",查看列表屮
的监听端口。
NetBIOS 名称服务UDP137
NetBIOS数据报服务UDP138
NetBIOS会话服务TCP139等
3)补丁升级
访谈并查看系统补丁升级方式,以及最新补丁更
新情况:“开始” » “控制面板” » “添加删
除程序” » “更改或删除程序”,按照记录的系
统安全补丁编号KBxxxxxXo
的组件、应用程序等。
等级保护2.0 三级-Windows 测评指导书V1.0
测评项: a) 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入 侵和病毒行为,并将其有效阻断。 测评方法: 1)查看操作系统中安装的防病毒软件,查看病毒库的最新版本更新日期是否
6 / 10
知识星球:网络安全等级保护交流
超过一个月 2)询问系统管理员是否有统一的病毒更新策略和查杀策略 3)询问系统管理员网络防病毒软件和主机防病毒软件分别采用什么病毒库 4)询问系统管理员当发现病毒入侵行为时,如何发现,如何有效阻断等,报 警机制等 5)查看系统中采取何种可信验证机制,访谈管理员实现原理等
1.1.4 入侵防范
测评项: a) 应遵循最小安装的原则,仅安装需要的组件和应用程序; 测评方法: 1)询问管理员和查看服务器安装的组件和应用程序是否为系统所需的 测评项: b) 应关闭不需要的系统服务、默认共享和高危端口; 测评方法: 1)打开“控制面板”->“管理工具”->“服务”,查看已经启动的或者是络安全等级保护交流
1.1.3 安全审计
测评项: a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全 事件进行审计; 测评方法: 1) 使用 Win 键+R 键打开运行,输入命令"secpol.msc"并运行,弹出“本地安 全策略”窗口,查看“安全设置->本地策略->审计策略”中的相关项目。查看 “审核策略更改:成功,失败、审核登录事件:成功,失败”等审核策略是否 开启 2)询问并查看是否有第三方审计工具或系统 测评项: b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他 与审计相关的信息; 测评方法: 1)使用 Win 键+R 键打开运行,输入命令"eventvwr.msc"并运行,弹出“事件 查看器”窗口,“事件查看器(本地)->Windows 日志"下包括“应用程序”、“安 全”、“设置”、“系统”几类记录事件类型,点击任意类型事件,查看日志记录 了哪些信息 2) 如果安装了第三方审计工具,则查看审计记录是否包括日期、时间,类型、 主体标识、客体标识和结果 测评项: c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; 测评方法: 1)如果日志数据本地保存,则询问审计记录备份周期,有无异地备份。使用 Win 键+R 键打开运行,输入命令"eventvwr.msc"并运行,弹出“事件查看器” 窗口,“事件查看器(本地)->Windows 日志”下包括“应用程序” 、” 安全”、 “设置”、“系统”几类记录事件类型,右键点击类型事件,选择下拉菜单中的 “属性”,查看日志存储策略
等级保护2.0三级测评要求(含云安全扩展要求)
8. 1.2. 3 可信验证
8. 1.2.3. 1 测评单元(L3CNS1-08)
8.1.3.1. 1 测评单元(L3ABS1-01)
8. 1.3. 1 边界防护
8. 1.3. 1.2 测评单元(L3ABS1-02)
8.1.3.1.3 测评单元(L3ABS1-03)
测评领域
测评项
测评单元
8.1.1.1 物理位置选择
8.1.1.1 物理位置选择
8. 1. 1. 1.2 测评单元(L3PES1-02)
8. 1. 1.2 物理访问控制
8. 1. 1.2. 1 测评单元(L3PES1-03)
8. 1. 1.3. 1 测评单元(L3PES1-04)
8. 1. 1.3 防盗窃和防破坏
8. 1.4.4. 1 测评单元(L3CES1-17;
8.1.4 安全计算环境
8. 1.4.4.2 测评单元(L3CES1-18)
8.1.4.4 入侵防范
8. 1.4.4.3 测评单元(L3CES1-19)
8.1.4.4.4 测评单元(L3CES1-20)
8.1.4.4.5 测评单元(L3CES1-21)
8.1.4.7.2 测评单元(L3CES1-26)
8.1.4.8. 1 测评单元(L3CES1-27)
8.1.4.8 数据保密性
8.1.4.8.2 测评单元(L3CES1-28)
8. 1.4.2. 7 测评单元(L3CES1-11)
8. 1.4.3. 1 测评单元(L3CES1-12)
8.1.4.3 安全审计
8.1.4.3.2 测评单元(L3CES1-13)
8.1.4.3.3 测评单元(L3CES1-14)
信息安全等级保护测评指导书-三级
测评指导书(三级)目录第1章安全管理测评指导书 (4)1.1安全管理机构测评 (4)1.2安全管理制度测评 (9)1.3人员安全管理测评 (11)1.4系统建设管理测评 (14)1.5系统运维管理测评 (20)第2章物理安全测评指导书 (32)2.1物理安全测评 (32)第3章网络安全测评指导书 (44)3.1网络全局安全测评 (44)3.2路由器安全测评 (47)3.3交换机安全测评 (59)3.4防火墙安全测评 (67)3.5入侵检测/防御系统安全测评 (71)第4章操作系统安全测评指导书 (75)4.1WINDOWS操作系统安全测评 (75)4.2L INUX操作系统安全测评 (82)4.3S OLARIS操作系统安全测评 (92)4.4AIX操作系统安全测评 (101)第5章应用系统安全测评指导书 (109)5.1应用系统安全测评 (109)5.2IIS应用安全测评 (114)5.3A PACHE应用安全测评 (116)第6章数据库安全测评指导书 (120)6.1SQL S ERVER数据库安全测评 (120)第 2 页共135 页6.2O RACLE数据库安全测评 (124)6.3S YBASE数据库安全测评 (130)第 3 页共135 页第1章安全管理测评指导书1.1安全管理机构测评第 4 页共135 页第 5 页共135 页第 6 页共135 页第7 页共135 页第8 页共135 页1.2安全管理制度测评第9 页共135 页第10 页共135 页1.3人员安全管理测评第11 页共135 页第12 页共135 页第13 页共135 页1.4系统建设管理测评第14 页共135 页第15 页共135 页第16 页共135 页第17 页共135 页第18 页共135 页第19 页共135 页1.5系统运维管理测评第20 页共135 页第21 页共135 页第22 页共135 页第23 页共135 页第24 页共135 页第25 页共135 页第26 页共135 页第27 页共135 页第28 页共135 页第29 页共135 页第30 页共135 页第31 页共135 页第2章物理安全测评指导书2.1物理安全测评第32 页共135 页第33 页共135 页第34 页共135 页第35 页共135 页第36 页共135 页第37 页共135 页第38 页共135 页第39 页共135 页第40 页共135 页第41 页共135 页第42 页共135 页第43 页共135 页第3章网络安全测评指导书3.1网络全局安全测评第44 页共135 页第45 页共135 页第46 页共135 页3.2路由器安全测评思科路由器第47 页共135 页第48 页共135 页第49 页共135 页第50 页共135 页。
等级保护2.0 三级-Linux 测评指导书V1.0
知识星球:网络安全等级保护交流
文件中的 SELINUX 参数的设定
1.1.3 安全审计
测评项: a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全 事件进行审计; 测评方法: 1)以 root 身份登录进入 Linux, 查看服务进程 2)若运行了安全审计服务,则查看安全审计的守护进程是否正常 # ps -ef|grep auditd 3)若未开启系统安全审计功能,则确认是否部署了第三方安全审计工具 4)以 root 身份登录进入 Linux 查看安全事件配置: #gerep“@priv-ops" /etc/audit/filter.conf .... more/etc/audit/audit.rules ..... 测评项: b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他 与审计相关的信息; 测评方法: 1)以有相应权限的身份登录进入 Linux,使用命令"ausearch-ts today ”,其 中,-ts 指定时间后的 log,或命令"tail -20 /var/log/audit/audit.log“查 看审计日志 测评项: c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; 测评方法: 1)访谈审计记录的存储、备份和保护的措施,是否将操作系统日志定时发送 到日志服务器上等,并使用 sylog 方式或 smp 方式将日志发送到日志服务器。 2)如果部署了日志服务器,登录日志服务器查看操作系统的日志是否在收集的
知识星球:网络安全等级保护交流
范围内 测评项: d) 应对审计进程进行保护,防止未经授权的中断。 测评方法: 1)访谈对审计进程监控和保护的措施 2)测试使用非安全审计员中断审计进程,查看审计进程的访问权限是否设置合 理。 3)查看是否有第三方系统对被测操作系统的审计进程进行监控和保护
等保2.0管理测评文档清单(三级)
包括备份和冗余设备
明确维护人员的责任、维修和服务的审批、维修过程 的监督控制管理等
设备带离机房或办公地点的申报材料或审批记录
描述存在的漏洞、严重级别、原因分析和改进意见等 方面
具有安全整改应对措施文档
明确要求对网络和系统管理员用户进行分类,并定义 各个角色的责任和权限(比如:划分不同的管理角 色,系统管理权限与安全审计权限分离等)
需主管领导的批准签字
此处可举一个重要系统变更的案例
规定变更失败后的恢复流程
具有定期备份的重要业务信息、系统数据、软件系统 的列表或清单
备份方式、备份频度、存储介质和保存期等方面内容
覆盖数据的存放场所、文件命名规则、介质替换频率 、数据离站传输方法等方面 系统已发生的和需要防止发生的安全事件类型,明确 安全事件的现场处理、事件报告和后期恢复的管理职 责 记录引发安全事件的系统弱点、不同安全事件发生的 原因、处置过程、经验教训总结、补救措施等内容; 根据不同安全事件制定不同的处理和报告程序,明确 具体报告方式、报告内容、报告人等方面内容 覆盖启动应急预案的条件、应急处理流程、系统恢复 流程、事后教育和培训等方面 根据应急预案框架制定重要事件的应急预案(如针对 机房、系统、网络等各个层面)
11
外联单位联系列表
12
日常安全检查记录
审核和检查
13
审核和检查 全面安全检查记录
14
安全检查时的安全检查表、安全检查记录 和结果通告记录
15
人员安全管理文档
16
人员录用审查记录
17
人员录用
人员录用时的技能考核文档或记录
18
保密协议
19
岗位安全协议
等保2.0 VS 等保1.0(三级)对比
等保2.0 VS 等保1.0(三级)对比网络安全等级保护基本要求通用要求技术部分与信息安全等级保护基本要求技术部分结构由原来的五个层面:物理安全、网络安全、主机安全、应用安全、数据安全,调整为四个部分:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;技术要求“从面到点”提出安全要求,“物理和环境安全”主要对机房设施提出要求,“网络和通信安全”主要对网络整体提出要求,“设备和计算安全”主要对构成节点(包括网络设备、安全设备、操作系统、数据库、中间件等)提出要求,“应用和数据安全”主要对业务应用和数据提出要求。
(标粗内容为三级和二级的变化,标红部门为新标准主要变化)1.1、物理和环境安全VS原来物理安全控制点未发生变化,要求项数由原来的32项调整为22项。
控制点要求项数修改情况如下图:要求项的变化如下:1.2、网络和通信安全VS原来网络安全新标准减少了结构安全、边界完整性检查、网络设备防护三个控制点,增加了网络架构、通信传输、边界防护、集中管控四个控制点。
原结构安全中部分要求项纳入了网络架构控制点中,原应用安全中通信完整性和保密性的要求项纳入了通信传输控制点中,原边界完整性检查和访问控制中部分要求项内容纳入了边界防护控制点中,原网络设备防护控制点要求并到设备和计算安全要求中。
要求项总数原来为33项,调整为还是33项,但要求项内容有变化。
控制点和控制点要求项数修改情况如下图:具体要求项的变化如下表:1.3、设备和计算安全VS原来主机安全新标准减少了剩余信息保护一个控制点,在测评对象上,把网络设备、安全设备也纳入了此层面的测评范围。
要求项由原来的32项调整为26项。
控制点和各控制点要求项数修改情况如下图:具体要求项的变化如下表:1.4、应用和数据安全VS原来应用安全+数据安全及备份恢复新标准将应用安全、数据安全及备份恢复两个层面合并成了应用和数据安全一个层面,减少了通信完整性、通信保密性和抗抵赖三个控制点,增加了个人信息保护控制点。
Windows系统等级保护测评实施指导书(三级)
和数据库用户; 2. 查看高级审核策略配置,查看是否配置相关审核策略
3. 查看是否存在其他审核策略
4.访谈是否有堡垒机、运维管理终端等审计措施
b) 审计内容应包 应检查主要服务器操作系统、重要终端操作系统,查看审 审计内容未包括重要 1、审计策略覆盖系统内重要的安全相关事
括 重 要 用 户 行 计策略是否覆盖系统内重要的安全相关事件,例如,用户 用户行为(如用超级用 件,至少包括用户标记和鉴别、自主访问
程,避免受到未 配置,验证审计功能是否受到保护。
中断
授权修改配置
预期的中断;
Windows 默认满足
f)应保护审计记 1、访谈并检查审计记录是否在本地存储,是否有日志服务 审计记录只在本地存 1、采取措施对审计记录保护
录,避免受到未 器
储
2、记录至少保存半年
预期的删除、修 2、查看审计记录列表,记录是否至少保存半年
如: a)复杂性要求已启用;
b)长度最小值至少为 8 位;
c)最长存留期不为 0;
d)最短存留期不为 0;
c) 应启用登录失 1 . 运行secpol.msc 命令
无登陆失败处理功能 1、已启用登陆失败功能
败处理功能,可 2 . 打开“账户策略”对话框 依次展开“账户锁定策略” 或未启用登陆失败处 2、限制非法登陆尝试次数,超尝试次数后
存在无用账户或多人 1、不存在过期和无用账号
余的、过期的账 1.依次展开[开始]->([控制面板] ->)[管理工具]->[计算 共享账户
2、做到账户和人一一对应
户,避免共享账 机管理]->[本地用户和组]->[用户],查看是否存在过期账
户的存在;
户;依据用户账户列表询问主机管理员,每个账户是否为
等级保护三级操作系统安全测评指导书
主机资源监视
对资源使用情况进行监视和记录。
资源报警阀值 特定进程监控 主机账户监控
系统资源达到一定阀值,能够报警。 对重要进程进行监控,对非法进程提供报 警。 对主机账户进行监控和提供告警。
7
入侵防范
访谈,手工检查: 1.访谈并查看入侵检测的措施,如经常通过如下命令查看入侵的重要线索,涉及命 令 主机 IDS #who /etc/security/failedlogin; 2.查看是否开启了防火墙、TCP SYN 保护机制等设置; 3.是否具备 rootkit 检查工具,定期进行 rootkit 检查; 4.询问是否有第三方入侵检测系统,如 IDS,是否开启报警功能。 访谈,核查: 重要程序完整性检测并恢 访谈是否使用一些文件完整性检查工具对重要文件的完整性进行检查,是否对重要 复 的配置文件进行备份。查看备份演示。 系统最小安装并更新
序号
测评指标
测评项
检测方法 手工检查: 在 root 权限下,查看文件权限是否满足以下要求: /etc/filesystems 权限为 664, /etc/hosts 权限为 664, /etc/inittab 权限为 600, /etc/vfs 权限为 644, /etc/security/failedlogin 权限为 644, /etc/security/audit/hosts 权限为 660,记录权限存在问题的目录或文件。
对用户管理启用一定安全策略。
登陆失败处理
对用户登录进行限制。
鉴别警示功能
存在警告性 banner 信息。
对相连设备进行身份标识 访谈: 和鉴别 询问管理员是否使用证书等方式对设备身份进行鉴别。
采取技术手段对相连 设备进行身份鉴别。
远程管理加密
等保2.0通用部分安全区域边界(三级)测评指导书
等保2.0通用部分安全区域边界(三级)测评指导书通用部分包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理十个层面。
今天给大家分享的是通用部分【安全区域边界】(三级)测评指导书!8.1.3.1 边界防护a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;测评对象:网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件测评方法:1、应核查在网络边界处是否部署访问控制设备;2、应核查设备配置信息是否指定端口进行跨越边界的网络通信,指定端口是否配置并启用了安全策略;3、应采用其他技术手段(如非法无线网络设备定位、核查设备配置信息等)核查或测试验证是否不存在其他未受控端口进行跨越边界的网络通信。
b) 应能够对非授权设备私自联到内部网络的行为进行检查或限制;测评对象:终端管理系统或相关设备测评方法:1、应核查是否采用技术措施防止非授权设备接入内部网络;2、应核查所有路由器和交换机等相关设备闲置端口是否已关闭。
c) 应能够对内部用户非授权联到外部网络的行为进行检查或限制;测评对象:终端管理系统或相关设备测评方法:应核查是否采用技术措施防止内部用户存在非法外联行为。
d) 应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。
测评对象:网络拓扑和无线网络设备测评方法:1、应核查无线网络的部署方式,是否单独组网后再连接到有限网络;2、应核查无线网络是否通过受控的边界防护设备接入到内部有线网络。
8.1.3.2 访问控制a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;测评对象:网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件测评方法:1、应核查在网络边界或区域之间是否部署访问控制设备并启用访问控制策略;2、应核查设备的最后一条访问控制策略是否为禁止所有网络通信。
等级保护2.0三级通用要求测评方法
安全物理环境物理位置选择测评单元(L3-PES1-01)该测评单元包括以下要求:a)测评指标:机房场地应选择在具有防震、防风和防雨等能力的建筑内。
b)测评对象:记录类文档和机房。
c)测评实施包括以下内容:1)应核查所在建筑物是否具有建筑物抗震设防审批文档;2)应核查机房是否不存在雨水渗漏;3)应核查门窗是否不存在因风导致的尘土严重;4)应核查屋顶、墙体、门窗和地面等是否不存在破损开裂。
d)单元判定:如果1)~4)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
测评单元(L3-PES1-02)该测评单元包括以下要求:a)测评指标:机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。
b)测评对象:机房。
c)测评实施:应核查机房是否不位于所在建筑物的顶层或地下室,如果否,则核查机房是否采取了防水和防潮措施。
d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
物理访问控制测评单元(L3-PES1-03)该测评单元包括以下要求:a)测评指标:机房出人口应配置电子门禁系统,控制、鉴别和记录进入的人员。
b)测评对象:机房电子门禁系统。
c)测评实施包括以下内容:1)应核查出人口是否配置电子门禁系统;2)应核查电子门禁系统是否可以鉴别、记录进入的人员信息。
d)单元判定;如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
防盗窃和防破坏。
测评单元(L3-PES1-04)该测评单元包括以下要求:a)测评指标:应将设备或主要部件进行固定,并设置明显的不易除去的标识。
b)测评对象:机房设备或主要部件。
c)测评实施包括以下内容:1)应核查机房内设备或主要部件是否固定;2)应核查机房内设备或主要部件上是否设置了明显且不易除去的标识。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
14、等级保护2.0之工业控制系统安全测评指导书(三级)
网闸、备防火 务穿越边界。
墙、路由器 1、应核查设备是否可以在策略失效的时候
和交换机等 进行告警;
提供访问控 2、应核查是否部署监控预警系统或相关模
制功能的设 块,在边界防护机制失效时可及时告警。
备,监控预 应核查拨号设备是否限制具有拨号访问权限
拨号服务类 的用户数最,拨号服务器和客户端是否使用
设备 账户/口令等身份鉴别方式,是否采用控制
1
e) 应保证控制设备在上线前经过
安全性检测,避免控制设备固件中
1
存在恶意代码程序。
8.5.5
安全建设
8.5.5.1
产品采购和使 用
工业控制系统重要设备应通过专业 机构的安全性检测后方可采购使用 。
1
管理
应在外包开发合同中规定针对开发
单位、供应商的约束条款,包括设
8.5.5.2 外包软件开发 备及系统在生命周期内有关保密、 0.4
账户权限等访问控制措施。
拨号服务类 设备
应核查拨号服务器和客户端是否使用经安全 加固的操作系统,并采取加密、数字证书认 证和访问控制等安全防护措施。
无线通信网 络及设备
1、应核查无线通信的用户在登录时是否采 用了身份鉴别措施; 2、应核查用户身份标识是否具有唯一性。
无线通信网 络及设备
应核查无线通信过程中是否对用户进行授 权,核查具体权限是否合理,核查未授权的 使用是否可以被发现及告警。
层面
控制点
测评项
a) 室外控制设备应放置于采用铁
板或其他防火材料制作的箱体或装
置中并紧固;箱体或装置具有透风
8.5.1 安全物理 环境
8.5.1.1 室外控制设备 物理防护
、b)散室热外、控防制盗设、备防放雨置和应防远火离能强力电
等级保护2.0测评指导书
等级保护2.0测评指导书1目录一、安全物理环境测评指导书 (5)二、安全通信网络测评指导书 (10)三、安全区域边界测评指导书 (16)四、安全计算环境测评指导书 (28)4.1网络设备测评指导书 (28)4.2L INUX测评指导书 (75)4.3W INDOWS测评指导书 (88)24.4O RACLE测评指导书 (101)4.5M Y SQL测评指导书 (108)4.6终端设备测评指导书 (118)4.7应用系统测评指导书 (126)五、安全管理中心测评指导书 (135)六、安全管理制度测评指导书 (139)七、安全管理机构测评指导书 (143)八、安全管理人员测评指导书 (151)九、安全建设管理测评指导书 (156)十、安全运维管理测评指导书 (170)3十一、云计算安全扩展要求测评指导书 (184)十二、移动互联安全扩展要求测评指导书 (204)十三、物联网安全扩展要求测评指导书 (209)十四、工业控制系统安全扩展要求测评指导书 (219)4一、安全物理环境测评指导书56789二、安全通信网络测评指导书101112131415三、安全区域边界测评指导书161718192021222324252627四、安全计算环境测评指导书4.1 网络设备测评指导书2829303132333435363738394041424344454647484950。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
测评项: a) 应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不 限千鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和 重要个人信息等; 不适用描述: 由应用系统、数据库系统等软件使用 https、ssh 等安全协议传输数据实现传 输过程中的完整性,故服务器不适用此测评项。 测评项:
3 / 10
知识星球:网络安全等级保护交流
1.1.3 安全审计
测评项: a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全 事件进行审计; 测评方法: 1) 使用 Win 键+R 键打开运行,输入命令"secpol.msc"并运行,弹出“本地安 全策略”窗口,查看“安全设置->本地策略->审计策略”中的相关项目。查看 “审核策略更改:成功,失败、审核登录事件:成功,失败”等审核策略是否 开启 2)询问并查看是否有第三方审计工具或系统 测评项: b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他 与审计相关的信息; 测评方法: 1)使用 Win 键+R 键打开运行,输入命令"eventvwr.msc"并运行,弹出“事件 查看器”窗口,“事件查看器(本地)->Windows 日志"下包括“应用程序”、“安 全”、“设置”、“系统”几类记录事件类型,点击任意类型事件,查看日志记录 了哪些信息 2) 如果安装了第三方审计工具,则查看审计记录是否包括日期、时间,类型、 主体标识、客体标识和结果 测评项: c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; 测评方法: 1)如果日志数据本地保存,则询问审计记录备份周期,有无异地备份。使用 Win 键+R 键打开运行,输入命令"eventvwr.msc"并运行,弹出“事件查看器” 窗口,“事件查看器(本地)->Windows 日志”下包括“应用程序” 、” 安全”、 “设置”、“系统”几类记录事件类型,右键点击类型事件,选择下拉菜单中的 “属性”,查看日志存储策略
知识星球:网络安全等级保护交流
1.1 安全计算环境-Windows(例:Server 2012)
1.1.1 身份鉴别
测评项: a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息 具有复杂度要求并定期更换; 测评方法: 1)使用 Win 键+R 键打开运行,输入 control userpasswords2 命令并运行,查 看是否勾选勾选了“要使用本机,用户必须输入用户名和密码” 2)打开“控制面板”->“管理工具”->“计算机管理”->“本地用户机组”,检 查所有用户名是否具有唯一性 3)打开“控制面板”->“管理工具”->“本地安全策略”->“账户策略”->“密 码策略”,检查“复杂性要求”是否开启,记录“密码长度”、“密码最短使用期 限”、“ 密码最长使用期限”、“密码历史”等策略的值 测评项: b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登 录连接超时自动退出等相关措施; 测评方法: 1) 打开“控制面板”-> “管理工具”->“本地安全策略”一> “账户策略”
的服务,一些不必要的服务如 Alerter、Remote Registry Service、 Messenger、Task Scheduler 是否已启动 2)使用 Win 键+R 键打开运行,输入 cmd 命令并运行,输入 net share,查看 开启的共享 3)使用 Win 键+R 键打开运行,输入 cmd 命令并运行,输入 netstat –an 查 看是否有不必要端口开启,如 139、445 测评项: c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端 进行限制; 测评方法:
2 / 10
知识星球:网络安全等级保护交流
测评方法: 1)打开“控制面板”->“管理工具”->“计算机管理”->“本地用户机组”, 查 看是否存在过期账户,依据用户账户列表询问主机管理员,每个账户是否均在 使用,是否存在多人共用的账户。 测评项: d) 应授予管理用户所需的最小权限,实现管理用户的权限分离; 测评方法: 1)使用 Win 键+R 键打开运行,输入命令"secpol.msc" 并运行,弹出“本地安 全策略”窗口,查看“安全设置->本地策略>用户权限分配”中的相关项目。 右侧的详细信息窗口即显示可配署的用户权限策略设置 测评项: e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则; 测评方法: 1) 访谈系统管理员,能够配置访问控制策略的用户 2)查看重点目录的权限配置,是否依据安全策略配置访问规则 测评项: f) 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级; 测评方法: 1)选择%systemdrive%\program files、%systemdrive%\Windows\system32 等 重要的文件夹,右键选择“属性”>“安全”,查看访问权限设置 测评项: g) 应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访 问。 测评方法: 1)查看操作系统功能手册或相关文档,确认操作系统是否具备能对信息资源设 置敏感 2)询问管理员是否对重要信息资源设置敏感标记 3)询问或查看目前的敏感标记策略的相关设置,如:如何划分敏感标记分类, 如何设定访问权限等
1.1.8 数据保密性
测评项: a) 应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数 据、重要业务数据和重要个人信息等; 不适用描述: 由应用系统、数据库系统等软件使用 https、ssh 等安全协议传输数据实现传 输过程中的保密性,故服务器不适用此测评项。 测评项: b) 应采用密码技术保证重要数据在存储过程中的保密性,包括但不限千鉴别数 据、重要业务数据和重要个人信息等。 不适用描述: 由数据库系统等软件使用 sha256 等加密算法存储数据实现存储过程中的保密 性,故服务器不适用此测评项。
1.1.6 可信验证
测评项: a) 可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用 程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测 到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 测评方法: 1)核查服务器的启动,是否实现可信验证的检测过程,查看对那些系统引导 程序、系统程序或重要配置参数进行可信验证 2)修改其中的重要系统程序之一和应用程序之一,核查是否能够检测到并进 行报警 3)是否将验证结果形成审计记录送至安全管理中心
1.1.2 访问控制
测评项: a) 应对登录的用户分配账户和权限; 测评方法: 1)打开“控制面板”->“管理工具”->“计算机管理”->“本地用户机组”,查 看所有用户的属性,并记录每个用户隶属的组 2)选择系统盘 windows、system、%systemroot %\system32\config 等相应的 文件夹,右键选择“属性”->“安全”,查看 everyone 组、users 组和 administrators 组的权限设置 测评项: b) 应重命名或删除默认账户,修改默认账户的默认口令; 测评方法: 1)打开“控制面板”-> “管理工具”->“本地安全策略”一> “本地策略” 一>“安全选项”,记录“帐户: 来宾帐户状态”、“ 帐户: 管理员帐户状态”、 “ 帐户: 重命名系统管理员帐户”、“ 帐户: 重命名来宾帐户”的值 测评项: c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在;
1.1.5 恶意代码防范
测评项: a) 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入 侵和病毒行为,并将其有效阻断。 测评方法: 1)查看操作系统中安装的防病毒软件,查看病毒库的最新版本更新日期是否
6 / 10
知识星球:网络安全等级保护交流
超过一个月 2)询问系统管理员是否有统一的病毒更新策略和查杀策略 3)询问系统管理员网络防病毒软件和主机防病毒软件分别采用什么病毒库 4)询问系统管理员当发现病毒入侵行为时,如何发现,如何有效阻断等,报 警机制等 5)查看系统中采取何种可信验证机制,访谈管理员实现原理等
4 / 10
知识星球:网络安全等级保护交流
2)如果日志数据存放在日志服务器上并且审计策略合理,则该要求为符合 测评项: d) 应对审计进程进行保护,防止未经授权的中断。 测评方法: 1)访谈是否有第三方方审计进程监控和保护的措施 2) 使用 Win 键+R 键打开运行,输入命令"secpol.msc"并运行,弹出“本地安 全策略”窗口,点击“安全设置->本地策略->用户权限分配”,右键点击策略 中的“管理审核和安全日志”,查看是否只有系统审计员或系统审计员所在的 用户组
7 / 10Leabharlann 知识星球:网络安全等级保护交流
b) 应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不 限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和 重要个人信息等。 不适用描述: 由应用系统、数据库系统等软件使用 sha256 等加密算法存储数据实现存储过 程中的完整性,故服务器不适用此测评项。
一>“密码锁定策略”,记录“账户锁定时间”与“账户锁定阈值”的值 2) 打开“控制面板”-> “显示”->“更改屏幕保护程序”, 查看“等待时间”
的长短以及“在恢复时显示登录屏幕”选项是否打钩 测评项: c) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听; 测评方法: 1)如果是本地管理或 KVM 等硬件管理方式,此要求默认满足; 2)如果采用远程管理,则需采用带加密管理的远程管理方式。使用 Win 键+R