2015版-主機(jī)安全測(cè)評(píng)指導(dǎo)書(shū)(共17頁(yè))

1、精選優(yōu)質(zhì)文檔-傾情為你奉上XXX市人民政府重要信息系統(tǒng)主機(jī)安全測(cè)評(píng)指導(dǎo)書(shū)測(cè)評(píng)單位名稱(chēng)：成都博和贏(yíng)創(chuàng)信息技術(shù)有限公司被測(cè)單位名稱(chēng)： XXXX2015年 X 月 X 日V1.0專(zhuān)心-專(zhuān)注-專(zhuān)業(yè)一、 系統(tǒng)概述本次需要進(jìn)行測(cè)評(píng)的系統(tǒng)是XXX市人民政府XXX信息系統(tǒng)主機(jī)window server 2003系統(tǒng)。XXX市人民政府XXX信息系統(tǒng)已經(jīng)完成建設(shè)和驗(yàn)收工作。為單位規(guī)范、高效和系統(tǒng)的管理提供了一個(gè)穩(wěn)定的計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)平臺(tái)，從而需要對(duì)該系統(tǒng)進(jìn)行等級(jí)保護(hù)工作。二、 安全保護(hù)等級(jí) XXX通過(guò)自主定級(jí)為三級(jí)等級(jí)保護(hù)。本標(biāo)準(zhǔn)依據(jù)GB 17859-1999的五個(gè)安全保護(hù)等級(jí)的劃分，根據(jù)數(shù)據(jù)安全在信息系統(tǒng)中的作

2、用，規(guī)定了各個(gè)安全等級(jí)的數(shù)據(jù)安全所需要的基礎(chǔ)安全技術(shù)的要求。 本標(biāo)準(zhǔn)適用于按等級(jí)化的要求進(jìn)行的數(shù)據(jù)安全的設(shè)計(jì)和實(shí)現(xiàn)，對(duì)按等級(jí)化要求進(jìn)行的數(shù)據(jù)安全的測(cè)試和管理可參照使用。三、 主機(jī)安全范圍主機(jī)安全的范圍包括：身份鑒別（S3）、訪(fǎng)問(wèn)控制（S3）、安全審計(jì)（G3）、剩余信息保護(hù)（S3）、入侵防范（G3）、惡意代碼防范（G3）、資源控制（A3）。四、 測(cè)評(píng)指標(biāo)1、 身份鑒別（S3）本項(xiàng)要求包括：a) 應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別；b) 操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶(hù)身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；c) 應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話(huà)、限制非法

3、登錄次數(shù)和自動(dòng)退出等措施；d) 當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)；e) 應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶(hù)分配不同的用戶(hù)名，確保用戶(hù)名具有唯一性。f) 應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶(hù)進(jìn)行身份鑒別。2、 訪(fǎng)問(wèn)控制（S3）本項(xiàng)要求包括：a) 應(yīng)啟用訪(fǎng)問(wèn)控制功能，依據(jù)安全策略控制用戶(hù)對(duì)資源的訪(fǎng)問(wèn)；b) 應(yīng)根據(jù)管理用戶(hù)的角色分配權(quán)限，實(shí)現(xiàn)管理用戶(hù)的權(quán)限分離，僅授予管理用戶(hù)所需的最小權(quán)限；c) 應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶(hù)的權(quán)限分離；d) 應(yīng)嚴(yán)格限制默認(rèn)帳戶(hù)的訪(fǎng)問(wèn)權(quán)限，重命名系統(tǒng)默認(rèn)帳戶(hù)，修改這些帳戶(hù)的默認(rèn)口令；e) 應(yīng)及時(shí)刪除多余的、過(guò)期

4、的帳戶(hù)，避免共享帳戶(hù)的存在。f) 應(yīng)對(duì)重要信息資源設(shè)置敏感標(biāo)記；g) 應(yīng)依據(jù)安全策略嚴(yán)格控制用戶(hù)對(duì)有敏感標(biāo)記重要信息資源的操作。3、 安全審計(jì)（G3）本項(xiàng)要求包括：a) 審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶(hù)端上的每個(gè)操作系統(tǒng)用戶(hù)和數(shù)據(jù)庫(kù)用戶(hù)；b) 審計(jì)內(nèi)容應(yīng)包括重要用戶(hù)行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；c) 審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類(lèi)型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；d) 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；e) 應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中斷；f) 應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。4、 剩余信息保護(hù)（S3）本項(xiàng)要求包括

5、：a) 應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)用戶(hù)的鑒別信息所在的存儲(chǔ)空間，被釋放或再分配給其他用戶(hù)前得到完全清除，無(wú)論這些信息是存放在硬盤(pán)上還是在內(nèi)存中；b) 應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間，被釋放或重新分配給其他用戶(hù)前得到完全清除。5、 入侵防范（G3）本項(xiàng)要求包括：a) 應(yīng)能夠檢測(cè)到對(duì)重要服務(wù)器進(jìn)行入侵的行為，能夠記錄入侵的源IP、攻擊的類(lèi)型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警；b) 應(yīng)能夠?qū)χ匾绦虻耐暾赃M(jìn)行檢測(cè)，并在檢測(cè)到完整性受到破壞后具有恢復(fù)的措施；c) 操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系

6、統(tǒng)補(bǔ)丁及時(shí)得到更新。6、 惡意代碼防范（G3）本項(xiàng)要求包括：a) 應(yīng)安裝防惡意代碼軟件，并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫(kù)；b) 主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫(kù)；c) 應(yīng)支持防惡意代碼的統(tǒng)一管理。7、 資源控制（A3）本項(xiàng)要求包括：a) 應(yīng)通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；b) 應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定；c) 應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤(pán)、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；d) 應(yīng)限制單個(gè)用戶(hù)對(duì)系統(tǒng)資源的最大或最小使用限度；e) 應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警。五、 控制點(diǎn)詳細(xì)

7、序號(hào)類(lèi)別測(cè)評(píng)項(xiàng)測(cè)評(píng)實(shí)施預(yù)期結(jié)果說(shuō)明1身份鑒別a) 應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別；檢查1）查看登錄是否需要密碼1）用戶(hù)需要輸入用戶(hù)名和密碼才能登錄。是否必須輸入密碼才能登錄。b) 操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶(hù)身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；檢查1）依次展開(kāi)開(kāi)始-（控制面板 -）管理工具-本地安全策略-賬戶(hù)策略-密碼策略，查看以下項(xiàng)的情況：a)復(fù)雜性要求、b)長(zhǎng)度最小值、c)最長(zhǎng)存留期、d)最短存留期、e)強(qiáng)制密碼歷史。a)復(fù)雜性要求已啟用；b)長(zhǎng)度最小值至少為8位；c)最長(zhǎng)存留期不為0；d)最短存留期不為0；e)強(qiáng)制密碼歷史至少記住3個(gè)密

8、碼以上。所有的項(xiàng)應(yīng)該不為默認(rèn)的0或未啟用。c) 應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話(huà)、限制非法登錄次數(shù)和自動(dòng)退出等措施；檢查1）依次展開(kāi)開(kāi)始-（控制面板 -）管理工具-本地安全策略-賬戶(hù)策略-賬戶(hù)鎖定策略；2）查看以下項(xiàng)的情況：a)復(fù)位賬戶(hù)鎖定計(jì)數(shù)器、b)賬戶(hù)鎖定時(shí)間和c)賬戶(hù)鎖定閾值。a)設(shè)置了“復(fù)位賬戶(hù)鎖定計(jì)數(shù)器”時(shí)間；b)設(shè)置了“賬戶(hù)鎖定時(shí)間”；c)設(shè)置了“賬戶(hù)鎖定閾值”。所有的項(xiàng)應(yīng)該不為默認(rèn)的0或未啟用就可以。d) 當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)；訪(fǎng)談1）訪(fǎng)談管理員在進(jìn)行遠(yuǎn)程管理時(shí)如何防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)。1）如果是本地管理

9、或KVM等硬件管理方式，此要求默認(rèn)滿(mǎn)足；2）如果采用遠(yuǎn)程管理，則需采用帶加密管理的遠(yuǎn)程管理方式，如啟用了加密功能的3389遠(yuǎn)程管理桌面或修改遠(yuǎn)程登錄端口。關(guān)注遠(yuǎn)程管理方式及傳輸協(xié)議。e) 為操作系統(tǒng)和數(shù)據(jù)庫(kù)的不同用戶(hù)分配不同的用戶(hù)名，確保用戶(hù)名具有唯一性；檢查1）依次展開(kāi)開(kāi)始-(控制面板-)管理工具-計(jì)算機(jī)管理-本地用戶(hù)和組-用戶(hù)；查看用戶(hù)列表，詢(xún)問(wèn)每個(gè)賬戶(hù)的使用情況。1）無(wú)多人共用同一個(gè)賬號(hào)的情況。Windows Server 2003默認(rèn)不存在相同用戶(hù)名的用戶(hù)，但應(yīng)防止多人使用同一個(gè)賬號(hào)。f） 應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶(hù)進(jìn)行身份鑒別。訪(fǎng)談1）訪(fǎng)談系統(tǒng)管理員，詢(xún)問(wèn)系統(tǒng)除密碼

10、外有無(wú)其他身份鑒別方法，如令牌、智能卡等。1）有兩種或以上組合的鑒別技術(shù)。不同于用戶(hù)名/口令的身份鑒別方法主要有動(dòng)態(tài)口令、數(shù)字證書(shū)、生物信息識(shí)別等。2訪(fǎng)問(wèn)控制a) 應(yīng)啟用訪(fǎng)問(wèn)控制功能，依據(jù)安全策略控制用戶(hù)對(duì)資源的訪(fǎng)問(wèn)；檢查1）文件權(quán)限：a)右鍵點(diǎn)擊開(kāi)始，打開(kāi)開(kāi)資源管理器(X)，工具-文件夾選項(xiàng)-查看中的“使用簡(jiǎn)單文件共享（推薦）”是否選中；b)右鍵單擊下面兩個(gè)文件夾的屬性-安全，查看users的權(quán)限。%systemdrive%program files%systemroot%system32config2）用戶(hù)權(quán)限：a)開(kāi)始-（控制面板 -）管理工具-計(jì)算機(jī)管理-本地用戶(hù)和組-組b)雙擊“名稱(chēng)

11、”列中Administrators用戶(hù)，查看成員。1）a）未選中“使用簡(jiǎn)單文件共享（推薦）”選項(xiàng)。b）program files文件夾的users權(quán)限只允許“讀取和運(yùn)行”、“列出文件夾目錄”、“讀取”三種權(quán)限；config文件夾的users權(quán)限只允許“列出文件夾目錄”權(quán)限；2）普通用戶(hù)、應(yīng)用賬戶(hù)等非管理員賬戶(hù)不屬于管理員組。b) 應(yīng)根據(jù)管理用戶(hù)的角色分配權(quán)限，實(shí)現(xiàn)管理用戶(hù)的權(quán)限分離，僅授予管理用戶(hù)所需的最小權(quán)限；訪(fǎng)談1）訪(fǎng)談并查看管理用戶(hù)及角色的分配情況。1）系統(tǒng)管理員、安全管理員、安全審計(jì)員由不同的人員和用戶(hù)擔(dān)當(dāng)。至少應(yīng)該有系統(tǒng)管理員和安全管理員，安全審計(jì)員在有第三方審計(jì)工具時(shí)可以不要求。驗(yàn)

12、證操作：按照3安全審計(jì)-f-1)的操作，查看“管理審核和安全用戶(hù)”中的用戶(hù)組是否只有安全審計(jì)員。c) 應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶(hù)的權(quán)限分離；訪(fǎng)談1）訪(fǎng)談并查看管理用戶(hù)及角色的分配情況。1）操作系統(tǒng)除具有管理員賬戶(hù)外，至少還有專(zhuān)門(mén)的審計(jì)管理員賬戶(hù)，且他們的權(quán)限互斥。1）操作系統(tǒng)的特權(quán)賬戶(hù)應(yīng)包括管理員、安全員和審計(jì)員。至少應(yīng)該有管理員和審計(jì)員，并且他們的權(quán)限是互斥關(guān)系的。2）應(yīng)保證操作系統(tǒng)管理員和審計(jì)員不為同一個(gè)賬號(hào)，且不為同一個(gè)人。d) 應(yīng)嚴(yán)格限制默認(rèn)賬戶(hù)的訪(fǎng)問(wèn)權(quán)限，重命名系統(tǒng)默認(rèn)賬戶(hù)，并修改這些賬戶(hù)的默認(rèn)口令；檢查1）依次展開(kāi)開(kāi)始-(控制面板-)管理工具-計(jì)算機(jī)管理-本地用戶(hù)和組-用戶(hù)

13、；2）查看用戶(hù)列表中是否有SUPPORT_a0、GUEST賬戶(hù)，如果有這些賬戶(hù)，則右鍵點(diǎn)擊該賬戶(hù)-屬性，查看賬戶(hù)是否停用。1）用戶(hù)列表中沒(méi)有名為GUEST、SUPPORT_a0的賬戶(hù)，或已經(jīng)禁用。e) 應(yīng)及時(shí)刪除多余的、過(guò)期的賬戶(hù)，避免共享賬戶(hù)的存在；檢查1）依次展開(kāi)開(kāi)始-(控制面板 -)管理工具-計(jì)算機(jī)管理-本地用戶(hù)和組-用戶(hù)，查看是否存在過(guò)期賬戶(hù)；）依據(jù)用戶(hù)賬戶(hù)列表詢(xún)問(wèn)主機(jī)管理員，每個(gè)賬戶(hù)是否為合法用戶(hù)；2）依據(jù)用戶(hù)賬戶(hù)列表詢(xún)問(wèn)主機(jī)管理員，是否存在多人共用的賬戶(hù)。1）無(wú)多余賬戶(hù)、過(guò)期賬戶(hù)；2）無(wú)多人共享賬戶(hù)。關(guān)注是否未清理已離職員工的賬戶(hù)。f）應(yīng)對(duì)重要信息資源設(shè)置敏感標(biāo)記；訪(fǎng)談1）詢(xún)問(wèn)系統(tǒng)

14、管理員，是否實(shí)現(xiàn)了該功能，具體措施是什么。1）如果沒(méi)有采取任何措施，則該項(xiàng)要求為不符合。Windows Server 2003不提供該功能。g）應(yīng)依據(jù)安全策略嚴(yán)格控制用戶(hù)對(duì)有敏感標(biāo)記重要信息資源的操作。訪(fǎng)談1）詢(xún)問(wèn)系統(tǒng)管理員，是否實(shí)現(xiàn)了該功能，具體措施是什么。1）如果沒(méi)有采取任何措施，則該項(xiàng)要求為不符合。Windows Server 2003不提供該功能。3安全審計(jì)a) 安全審計(jì)應(yīng)覆蓋到服務(wù)器和重要客戶(hù)端上的每個(gè)操作系統(tǒng)用戶(hù)和數(shù)據(jù)庫(kù)用戶(hù)；檢查1）依次展開(kāi)開(kāi)始-(控制面板 -) 管理工具-本地安全策略-本地策略-審核策略；2）查看是否有審核策略啟用。1）至少啟用一項(xiàng)審核策略。不能所有審計(jì)策略均未

15、啟用。如果a)條不符合則以下b)、c)、d)、e)、f)直接判定為不符合。b) 審計(jì)內(nèi)容應(yīng)包括重要用戶(hù)行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；檢查1）依次展開(kāi)開(kāi)始-(控制面板 -) 管理工具- 本地安全策略-本地策略-審核策略；2）查看各審核策略對(duì)哪些操作進(jìn)行審核。a)審計(jì)賬戶(hù)登錄事件：成功，失敗 b)審計(jì)賬戶(hù)管理：成功，失敗 c)審計(jì)目錄服務(wù)訪(fǎng)問(wèn)：失敗 d)審計(jì)登錄事件：成功，失敗 e)審計(jì)對(duì)象訪(fǎng)問(wèn)：成功，失敗 f)審計(jì)策略更改：成功，失敗 g)審計(jì)特權(quán)使用：失敗 h)審計(jì)系統(tǒng)事件：成功，失敗至少應(yīng)包含a)審計(jì)賬戶(hù)登錄事件、b)審計(jì)賬戶(hù)管理、d)審計(jì)登錄事件、

16、f)審計(jì)系統(tǒng)事件、g)審計(jì)系統(tǒng)事件的成功與失敗行為。c) 審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類(lèi)型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；1）默認(rèn)滿(mǎn)足。1）默認(rèn)滿(mǎn)足。d）應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；訪(fǎng)談1）訪(fǎng)談系統(tǒng)管理員是否有第三方日志分析軟件。1）使用第三方日志分析軟件或Windows事件查看器，定期分析審計(jì)報(bào)表。Windows“事件查看器”具備審計(jì)報(bào)表的生成功能。e）應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中斷；1）默認(rèn)滿(mǎn)足。1）默認(rèn)滿(mǎn)足。f）應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。檢查1）如果日志數(shù)據(jù)本地保存，則a)依次展開(kāi)開(kāi)始-(控制面板 -）管理工具-本地安全策略-安全設(shè)置-本

17、地策略-用戶(hù)權(quán)限分配，右鍵點(diǎn)擊策略“管理審核和安全日志”點(diǎn)屬性，查看是否只有審計(jì)。系統(tǒng)審計(jì)賬戶(hù)所在的用戶(hù)組是否在本地安全設(shè)置的用戶(hù)列表中。b)依次展開(kāi)開(kāi)始-(控制面板-)管理工具-事件查看器；查看“安全性”和“系統(tǒng)”日志“屬性”的存儲(chǔ)大小和覆蓋策略。2）若部署了日志服務(wù)器，則查看日志保存策略。1）如果日志數(shù)據(jù)本地保存，則a)只有系統(tǒng)管理員組在本地安全設(shè)置的用戶(hù)列表中b)“安全性”和“系統(tǒng)”日志“屬性”的存儲(chǔ)大小不小于512KB；覆蓋周期不小于15天。2）如果日志數(shù)據(jù)存放在日志服務(wù)器上并且審計(jì)策略合理，則該要求為符合。1）關(guān)注“管理審核和安全日志”的權(quán)限用戶(hù)，關(guān)注“安全性”和“系統(tǒng)”日志“屬性”

18、的存儲(chǔ)大小和覆蓋周期。2）如果日志數(shù)據(jù)存放在日志服務(wù)器上，則該要求向?yàn)榉稀?剩余信息保護(hù)a）應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)用戶(hù)的鑒別信息所在的存儲(chǔ)空間，被釋放或再分配給其他用戶(hù)前得到完全清除，無(wú)論這些信息是存放在硬盤(pán)上還是在內(nèi)存中；檢查1）檢查產(chǎn)品的測(cè)試報(bào)告、用戶(hù)手冊(cè)或管理手冊(cè)，確認(rèn)其是否具有相關(guān)功能；或由第三方工具提供了相應(yīng)功能。1）如果測(cè)試報(bào)告、用戶(hù)手冊(cè)或管理手冊(cè)中沒(méi)有相關(guān)描述，且沒(méi)有提供第三方工具增強(qiáng)該功能，則該項(xiàng)要求為不符合。b）應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間，被釋放或重新分配給其他用戶(hù)前得到完全清除。檢查1）檢查產(chǎn)品的測(cè)試報(bào)告、用戶(hù)手冊(cè)或管理手冊(cè)，確認(rèn)其是

19、否具有相關(guān)功能；或由第三方工具提供了相應(yīng)功能。1）如果測(cè)試報(bào)告、用戶(hù)手冊(cè)或管理手冊(cè)中沒(méi)有相關(guān)描述，且沒(méi)有提供第三方工具增強(qiáng)該功能，則該項(xiàng)要求為不符合。5入侵防范a) 應(yīng)能夠檢測(cè)到對(duì)重要服務(wù)器進(jìn)行入侵的行為，能夠記錄入侵的源IP、攻擊的類(lèi)型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警；檢查1）訪(fǎng)談系統(tǒng)管理員是否經(jīng)常查看磁盤(pán)等資源的使用狀況，有哪些性能監(jiān)控手段。1）啟用入侵檢測(cè)系統(tǒng)，參考網(wǎng)絡(luò)全局部分的“入侵檢測(cè)系統(tǒng)”部分。b）應(yīng)能夠?qū)χ匾绦蛲暾赃M(jìn)行檢測(cè)，并在檢測(cè)到完整性受到破壞后具有恢復(fù)的措施；檢查1）檢查產(chǎn)品的測(cè)試報(bào)告、用戶(hù)手冊(cè)或管理手冊(cè)，確認(rèn)其是否具有相關(guān)功能；或由第三方工具提

20、供了相應(yīng)功能。1）如果測(cè)試報(bào)告、用戶(hù)手冊(cè)或管理手冊(cè)中沒(méi)有相關(guān)描述，且沒(méi)有提供第三方工具增強(qiáng)該功能，則該項(xiàng)要求為不符合。c) 操作系統(tǒng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。訪(fǎng)談1）組件最小化：訪(fǎng)談系統(tǒng)安裝的組件和應(yīng)用程序是否遵循了最小安裝的原則；檢查2）服務(wù)最小化：a）依次展開(kāi)開(kāi)始-（控制面板-）管理工具-服務(wù)；b）查看已經(jīng)啟動(dòng)的或者是手動(dòng)的服務(wù)，一些不必要的服務(wù)如Alerter、Remote Registry Service、Messenger、Task Scheduler是否已啟動(dòng)；檢查3）服務(wù)端口：依次展開(kāi)開(kāi)始-運(yùn)行，在文本框中

21、輸入cmd點(diǎn)確定，輸入netstat an查看是否有不必要端口開(kāi)啟，如139、445。檢查4）默認(rèn)共享：a)依次展開(kāi)開(kāi)始-運(yùn)行，在文本框中輸入cmd點(diǎn)確定，輸入net share，查看共享；b)依次展開(kāi)開(kāi)始-運(yùn)行，在文本框中輸入regedit點(diǎn)確定，查看HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsarestrictanonymous值是否為“0”檢查5）補(bǔ)丁更新訪(fǎng)談系統(tǒng)補(bǔ)丁升級(jí)的方法，開(kāi)始-運(yùn)行，在文本框中輸入regedit，查看HKEY_LOCAL_MACHINESOFTWAREMicrosoftUpdates下的安裝補(bǔ)丁列表。1）系統(tǒng)

22、安裝的組件和應(yīng)用程序遵循了最小安裝的原則；2）不必要的服務(wù)沒(méi)有啟動(dòng)；3）不必要的端口沒(méi)有打開(kāi)；4）a)“共享名”列為空，無(wú)C$、D$、IPC$等默認(rèn)共享。b)HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsarestrictanonymous值不為“0”（0表示共享開(kāi)啟）5）系統(tǒng)補(bǔ)丁先測(cè)試，再升級(jí)；補(bǔ)丁號(hào)為較新版本。1）關(guān)注系統(tǒng)安裝的組件和應(yīng)用程序情況；2）關(guān)注補(bǔ)丁是否先測(cè)試，補(bǔ)丁號(hào)是否為較新版本。6惡意代碼防范a) 應(yīng)安裝防惡意代碼軟件，并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫(kù)；檢查1）查看系統(tǒng)中安裝的防病毒軟件。詢(xún)問(wèn)管理員病毒庫(kù)更新策略。

23、查看病毒庫(kù)的最新版本更新日期是否超過(guò)一個(gè)星期。1）安裝了防病毒軟件，病毒庫(kù)經(jīng)常更新，是最新版本。在關(guān)注防病毒軟件的同時(shí)還應(yīng)該保證病毒庫(kù)是否及時(shí)更新。b)主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫(kù)；訪(fǎng)談1）訪(fǎng)談系統(tǒng)管理員網(wǎng)絡(luò)防病毒軟件和主機(jī)防病毒軟件分別采用什么病毒庫(kù)。1）主機(jī)防惡意代碼產(chǎn)品與網(wǎng)絡(luò)防惡意代碼產(chǎn)品的惡意代碼庫(kù)不同網(wǎng)絡(luò)上若沒(méi)有網(wǎng)絡(luò)防惡意代碼產(chǎn)品則本條不符合c) 應(yīng)支持惡意代碼防范的統(tǒng)一管理。訪(fǎng)談1）訪(fǎng)談防惡意代碼的管理方式，例如升級(jí)方式。防惡意代碼統(tǒng)一管理，統(tǒng)一升級(jí)。關(guān)注升級(jí)方式是否統(tǒng)一。7系統(tǒng)資源控制a) 應(yīng)通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；訪(fǎng)

24、談1）訪(fǎng)談系統(tǒng)管理員了解系統(tǒng)對(duì)登錄終端的接入方式進(jìn)行限制的措施；2）依次展開(kāi)開(kāi)始-控制面板-網(wǎng)絡(luò)連接-本地連接屬性-Internet協(xié)議屬性中高級(jí)-選項(xiàng)-TCP/IP篩選中有沒(méi)有對(duì)端口做限制；3）如果安裝有主機(jī)防火墻則查看有無(wú)登錄地址限制。1）如果安裝有主機(jī)防火墻則通過(guò)防火墻對(duì)登錄地址進(jìn)行限制；如果無(wú)主機(jī)防火墻，則在“TCP/IP篩選”中對(duì)端口做了限制。b) 應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定；檢查1）依次展開(kāi)開(kāi)始-控制面板-顯示的屏幕保護(hù)程序，查看登錄該服務(wù)器的終端是否設(shè)置了屏幕鎖定。1）等待時(shí)間應(yīng)在10分鐘以下，在恢復(fù)時(shí)使用密碼保護(hù)的選項(xiàng)勾選。關(guān)注等待時(shí)間設(shè)置是否過(guò)長(zhǎng)，恢復(fù)時(shí)使用密碼保護(hù)是否選中。c）應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤(pán)、內(nèi)存、網(wǎng)絡(luò)等資源的