主机、网络、应用安全测评

访问控制（核心） 在网络边界部署访问控制设备，并启用；
对会话内容能够提供明确的允许/拒绝的访问能
力；
网 络
对进出网络的信息具有过滤功能； 自动终止非活跃的会话状态；
安
限制网络的最大流量及网络连接数；
全
重要网段设置防 ARP 欺骗功能；
测
依据访问规则控制系统资源的访问；
评
限制拨号访问权限的用户数量。
结束会话 限制登陆次数 网络连接超时自动退出 对网络设备的权限进行管理 远程管理网络传输过程中防窃听 设备特权用户的权限分离
身份鉴别
要求：
提供专用的登录控制模块对登录用户进行身份标识
和鉴别；
采用组合的鉴别技术实现用户身份鉴别；
密码+数字证书、短信验证等
用户身份标识唯一和身份鉴别信息具有一定的复杂
度，不易被冒用；
应提供登录失败处理功能
可采取结束会话
应 用
限制非法登录次数 自动退出等措施
安
检查方法：询问管理员，检查部署及实施情况，测试
全 测
访问控制
评
要求：
①
依据安全策略实施访问控制功能； 访问控制的覆盖范围
资源访问相关的主体、客体及它们之间的操作
授权主体配置访问控制策略，并严格限制默认账户
用
检查方法：询问管理员，检查系统配备，验证功能
安
全
测
评 ③
数据保密性
要求：
利用加密或其他有效的措施实现数据在传输和存 储过程中的保密性
条款理解:
保证管理数据、鉴别信息和重要业务数据传输数据
的保密性
保证存储过程中的保密性并且在检测到完整性受
到破坏时采取恢复措施。
检查方法：询问管理员，检查系统配备，验证功能
资源控制 要求： 系统自动结束无响应的会话； 限制系统的最大并发会话连接数； 限制单个帐户的多重并发会话； 对一个访问帐户或一个请求进程占用的资源分
配最大限额和最小限额； 应能够对系统服务水平降低到预先规定的最小
值进行检测和报警 ； 根据优先级分配系统资源。 条款理解： 保证大多数用户能够正常的使用资源，防止服务
批注：打勾项为检查项，灰色底纹为条款理解（即实际应用）的内容
软件容错 要求： 提供数据有效性检验功能，保证输入的数据格式符
合系统设定要求； 提供自动保护功能，当故障发生时自动保护当前所
有状态，保证系统能够进行恢复。 条款理解:
防止 SQL 注入等攻击 限制用户输入数据的长度和格式等
检查方法：询问管理员，查看文档或源代码，渗透测试
审计记录的保护（避免无ຫໍສະໝຸດ Baidu期的删除、修改或覆盖）
剩余信息保护 鉴别信息清空
（系统和数据库管理系统用户的鉴别信息） 文件记录等的清空
批注：打勾项为检查项，灰色底纹为条款理解（即实际应用）的内容
入侵防范 入侵行为的记录和报警
（记录入侵的源 IP、类型、目的、时间） 重要文件的完整性保护（检测及恢复） 最小安装原则
全
测 评 ②
条款理解: 要求整个报文或会话过程进行加密 用密码技术保证在加密隧道建立之前需要传递密
码等信息
检查方法：询问管理员，抓包
抗抵赖 要求： 在请求的情况下为数据原发者或接收者提供数据
原发证据、接收证据的功能； 条款理解: 要求强调应用系统提供抗抵赖措施（如数字签名） 保证发送和接收方都是真实存在的用户 检查方法：询问管理员，查看文档或源代码

安全审计
对相关事件进行日志记录；
（记录网络设备运行状况、网络流量、用户行为等）
对记录的事件进行分析，生成审计报表；
保护好审计记录，谨防未预期的删除、修改、覆盖。
边界完整性检查 对网络的连接状态进行监控； 发现非法接入、非法外联时能够准确定位并能
及时报警和阻断。
批注：打勾项为检查项，灰色底纹为条款理解（即实际应用）的内容
（仅安装所需的组件及应用程序，系统及时更新）
恶意代码防范 安装防恶意代码软件（并及时更新） 主机的防恶意代码库和网络防恶意代码库的差别 防恶意代码软件的统一管理
系统资源控制 限制终端登录
（设定终端接入方式、网络地址范围等） 登录终端的操作超时锁定（依据安全策略） 重要服务器资源的监视
主
操作系统和数据库系统管理员的权限分离
机
默认用户的访问权限（无默认账号及口令）
安
垃圾账户的清理
全
重要信息资源控制
测
评
安全审计
审计范围（覆盖到每个 OS 及 DB 的 users）
审计的事件
审计记录格式（包括日期、时间、类型等）
审计报表的分析和生成
审计进程保护（避免无预期的中断）
备份与恢复 要求： 提供本地数据备份与恢复功能
完全数据备份至少每天一次，备份介质场外存放； 提供异地数据备份功能 条款理解:
检查文件型数据的备份和恢复方式
检查方法：询问管理员，检查措施落实情况，验证
批注：打勾项为检查项，灰色底纹为条款理解（即实际应用）的内容
的访问权限；
根据各自承担的任务为账户分配最小权限，并相互
制约。
对重要信息资源设置敏感标记的功能；
应依据安全策略严格控制用户对有敏感标记重要
信息资源的操作。
检查方法：询问管理员，检查部署及实施情况，验证
批注：打勾项为检查项，灰色底纹为条款理解（即实际应用）的内容
安全审计 要求： 审计覆盖到每个用户及重要的安全事件； 保证审计记录的安全性
他用户前得到完全清除； 应保证系统资源所在的存储空间被释放或重新分配给其他
用户前得到完全清除。 条款要求：
为了防止某个用户非授权获取其他用户的鉴别信息、文件、 目录和数据库记录等资源，应用系统应加强内存和其他资源管 理。 检查方法：询问管理员，进行登陆操作的测试。
通信完整性 要求： 应采用密码技术保证通信过程中数据的完整性
（包括 CPU、硬盘、内存、网络等资源的使用情况） 限制单个用户对系统资源的最大或最小使用限度 对系统的服务水平监控和报警
备份与恢复 提供主要网络设备、通信线路和数据处理系统的
硬件冗余 保证系统的高可用性
结构安全（重点） 保证设备处理能力具有足够的冗余空间； 在终端与服务器之间建立 ACL； 能够绘制出相符的网络拓扑图； 根据具体需求划分子网和网段； 重要部门实施内网隔离策略； 依据业务的重要性分配优先级。
入侵防范 对入侵事件不仅能够检测，并能发出报警
（入侵事件如：端口扫描、拒绝服务攻击、缓冲区溢出攻 击等） 入侵防御系统要求定期更新特征库
恶意代码防范 在网络边界处对恶意代码进行防范 维护恶意代码库的升级和检测系统的更新
网络设备防护 用户登录前后的行为进行控制
登陆网络设备进行身份鉴别 网络设备管理员登录地址限制 网络设备用户标实唯一 采用两种或两种以上的组合鉴别技术 登陆失败处理功能
中断 限制最大并发连接数 请求帐户的最大资源限制。 检查方法：询问管理员，检查系统的功能配备，验 证
数据完整性
要求：
保证数据在传输和存储过程汇总的完整性
条款理解：
保证管理数据、鉴别信息和重要业务数据传输数据的
完整性
保证存储过程中的完整性
应
当检测到完整性受到破坏时采取恢复措施
数据加密+完整性验证 条款理解： 采取密码技术来保证通信过程中的数据完整性 利用 Hash 函数用于完整性校验
如 MD5、SHA 和 MAC 检查方法：询问管理员，查看文档或源代码
通信保密性
要求：
应
在通信双方建立连接之前，应用系统应利用密码技
用
术进行会话初始化验证；
安
对通信过程中的整个报文或会话过程进行加密。
应保证无法单独中断审计进程，无法删除、修改或覆盖 审计记录；
审计记录的内容 事件的日期、时间、发起者信息、类型 、描述和结果 等；
应提供对审计记录数据进行统计、查询、分析及生成审计报 表的功能。
检查方法：询问管理员，检查重要操作的审计情况
剩余信息保护 要求： 应保证用户鉴别信息所在的存储空间被释放或再分配给其
身份鉴别 系统登陆身份的标识 密码口令的复杂度设置 登录失败的处理
（结束会话、限制非法登录次数和自动退出） 远程管理的传输模式（保证数据传输是加密的） 用户名的唯一性以及身份组合鉴别技术
（密码+数字签名+短信验证）
访问控制
系统的访问控制功能
管理用户的角色分配
（管理用户权限分离，设置最小权限）