本文詳解等級(jí)保護(hù)測評(píng)過程中,主機(jī)安全測評(píng)的要求項(xiàng)、測評(píng)方法及測評(píng)步驟,測評(píng)判分標(biāo)準(zhǔn)
1
身份鑒別
應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別
測評(píng)方法及步驟(Windows主機(jī)):
1)使用“WIN鍵+L”鎖定計(jì)算機(jī),并再次登錄,驗(yàn)證是否需要輸入密碼才能登陸,需要密碼則此項(xiàng)符合
2)點(diǎn)擊【開始】→【設(shè)置】→【控制面板】→【管理工具】→【本地安全策略】→【安全選項(xiàng)】進(jìn)行檢查。查看“交互式登錄:不需要按Ctrl+Alt+Del”是否為“禁用”狀態(tài),禁用為“符合”,或者在上一步驟“登錄”過程中是否有提示按“Ctrl+Alt+Del”才可進(jìn)行登錄來判定是否已經(jīng)設(shè)置;
0分標(biāo)準(zhǔn):
1)存在自動(dòng)登錄或默認(rèn)賬戶默認(rèn)口令或默認(rèn)賬戶無口令。
滿分標(biāo)準(zhǔn):
1)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份鑒別;
2)不得使用默認(rèn)用戶和默認(rèn)口令。
操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn),口令應(yīng)有復(fù)雜度要求并定期更換
測評(píng)方法及步驟(Windows主機(jī)):
1)【開始】→【設(shè)置】→【控制面板】→【管理工具】→【本地安全策略】→【密碼策略】,查看密碼復(fù)雜度是否啟用,同時(shí)詢問或者查看當(dāng)前密碼的設(shè)置情況是否符合密碼復(fù)雜度要求;
2)【開始】→【設(shè)置】→【控制面板】→【管理工具】→【本地安全策略】→【密碼策略】,檢查密碼的最小強(qiáng)度是否設(shè)置為8位或以上,如是則此項(xiàng)為符合;
3)【開始】→【設(shè)置】→【控制面板】→【管理工具】→【本地安全策略】→【密碼策略】,查看密碼的有效期限設(shè)置,建議密碼最短使用期限應(yīng)該設(shè)置為2天,最長設(shè)置為70天,歷史密碼設(shè)置為24天,可根據(jù)系統(tǒng)情況略有出入,但不能為未設(shè)置狀態(tài);
0分標(biāo)準(zhǔn):
1)對(duì)口令復(fù)雜度和更換周期均無要求,或存在空口令或弱口令(6位數(shù)字及以下);
滿分標(biāo)準(zhǔn):
1)口令由數(shù)字、大小寫字母、符號(hào)混排,無規(guī)律的方式。
2)用戶口令的長度至少為8位。
3)口令每季度更換一次,更新的口令至少5次內(nèi)不能重復(fù)。
應(yīng)啟用登錄失敗處理功能,可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施
測評(píng)方法及步驟(Windows主機(jī)):
1)【開始】→【設(shè)置】→【控制面板】→【管理工具】→【本地安全策略】→【賬戶鎖定策略】,檢查是否設(shè)置賬戶登錄失敗閾值(推薦設(shè)置為3~5次)以及鎖定時(shí)間(推薦設(shè)置為30分鐘),如進(jìn)行設(shè)置則此項(xiàng)為符合;
0分標(biāo)準(zhǔn):
1)無登錄失敗處理功能或未啟用登錄失敗處理功能;
滿分標(biāo)準(zhǔn):
1)已啟用登錄失敗處理功能。
2)限制非法登錄嘗試次數(shù),超嘗試次數(shù)后實(shí)現(xiàn)鎖定策略。
3)設(shè)置網(wǎng)絡(luò)連接超時(shí)自動(dòng)退出。
當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí),應(yīng)采取必要措施,防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽
測評(píng)方法及步驟(Windows主機(jī)):
1)查看系統(tǒng)當(dāng)前版本是否為windows server2003sp1以后版本;
2)【開始】→【設(shè)置】→【控制面板】→【管理工具】→【終端服務(wù)配置】→【連接】→雙擊右側(cè)【RDP-TCP】,查看【常規(guī)】標(biāo)簽,在安全層參數(shù)處設(shè)置應(yīng)為【協(xié)商】,則會(huì)使用TLS1.0的SSL加密方式進(jìn)行遠(yuǎn)程連接;
0分標(biāo)準(zhǔn):
1)當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理,鑒別信息明文傳輸。
滿分標(biāo)準(zhǔn):
1)當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理,鑒別信息非明文傳輸。
為操作系統(tǒng)和數(shù)據(jù)庫的不同用戶分配不同的用戶名,確保用戶名具有唯一性
測評(píng)方法及步驟(Windows主機(jī)):
1)?右鍵單擊【我的電腦】→【管理】,左側(cè)目錄樹中選擇【本地用戶和組】→【用戶】,查看各用戶名稱,是否包含同名用戶,不同名則此項(xiàng)為符合;
0分標(biāo)準(zhǔn):
1)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶名不具有唯一性。
滿分標(biāo)準(zhǔn):
1)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶名具有唯一性。
應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別
測評(píng)方法及步驟(Windows主機(jī)):
1)應(yīng)詢問系統(tǒng)管理員,對(duì)系統(tǒng)的登錄是否采用雙因子身份認(rèn)證方式進(jìn)行驗(yàn)證,查看有無CA認(rèn)證服務(wù)器或其他身份認(rèn)證手段,如存在其他認(rèn)證方式,嘗試進(jìn)行其他認(rèn)證方式的身份登錄驗(yàn)證,當(dāng)存在兩種或以上身份登錄方式為符合;
0分標(biāo)準(zhǔn):
1)采用一種鑒別技術(shù);
滿分標(biāo)準(zhǔn):
1)采用兩種或兩種以上組合的鑒別技術(shù)(采用用戶名/口令、挑戰(zhàn)應(yīng)答、動(dòng)態(tài)口令、物理設(shè)備、生物識(shí)別技術(shù)和數(shù)字證書方式的身份鑒別技術(shù)中的任意兩個(gè)組合及以上)。
?
2
訪問控制
應(yīng)啟用訪問控制功能,依據(jù)安全策略控制用戶對(duì)資源的訪問
測評(píng)方法及步驟(Windows主機(jī)):
1)進(jìn)入windows系統(tǒng)的系統(tǒng)目錄以及系統(tǒng)根目錄→system32、windows目錄,選擇目錄,右鍵【屬性】→【安全】,查看相應(yīng)目錄的讀寫執(zhí)行等的權(quán)限,判斷everyone、users、administrator各組的權(quán)限是否過高,非系統(tǒng)管理員賬號(hào)不得擁有修改、寫入和完全控制等權(quán)限;
2)【開始】→【運(yùn)行】中輸入cmd,命令行中輸入net share,查看網(wǎng)絡(luò)共享的情況;
0分標(biāo)準(zhǔn):
1)未根據(jù)業(yè)務(wù)需要設(shè)置訪問控制策略;
滿分標(biāo)準(zhǔn):
1)制定安全策略。
2)根據(jù)安全策略控制用戶對(duì)資源的訪問。(對(duì)重要文件的訪問權(quán)限進(jìn)行限制,對(duì)系統(tǒng)不需要的服務(wù)、共享路徑等可能被非授權(quán)訪問的客體(文件)進(jìn)行限制)。
應(yīng)根據(jù)管理用戶的角色分配權(quán)限,實(shí)現(xiàn)管理用戶的權(quán)限分離,僅授予管理用戶所需的最小權(quán)限
測評(píng)方法及步驟(Windows主機(jī)):
1)【開始】→【控制面板】→【管理工具】→【本地安全策略】→【本地策略】→【審核策略】→【用戶權(quán)指派】,查看是否為某些用戶指派過高權(quán)限;
0分標(biāo)準(zhǔn):
1)所有操作均使用超級(jí)權(quán)限賬戶進(jìn)行管理;
滿分標(biāo)準(zhǔn):
1)所有賬戶采用最小授權(quán)原則(如系統(tǒng)管理員只能對(duì)系統(tǒng)進(jìn)行維護(hù),安全管理員只能進(jìn)行處理配置和安全設(shè)置,安全審計(jì)員只能維護(hù)審計(jì)信息等)。
應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離
測評(píng)方法及步驟(Windows主機(jī)):
如果安裝了數(shù)據(jù)庫系統(tǒng),應(yīng)檢查操作系統(tǒng)中的數(shù)據(jù)庫管理賬號(hào)的權(quán)限;
0分標(biāo)準(zhǔn):
1)只配置一個(gè)管理人員;
2)?存在兼任;
滿分標(biāo)準(zhǔn):
1)操作系統(tǒng)的特權(quán)用戶與該操作系統(tǒng)中安裝的數(shù)據(jù)庫系統(tǒng)的特權(quán)用戶權(quán)限進(jìn)行分離,且權(quán)限互斥。
應(yīng)嚴(yán)格限制默認(rèn)賬戶的訪問權(quán)限,重命名系統(tǒng)默認(rèn)賬戶,并修改這些賬戶的默認(rèn)口令
測評(píng)方法及步驟(Windows主機(jī)):
1)右鍵單擊【我的電腦】→【管理】→【本地用戶和組】→【用戶】,查看賬號(hào)并記錄各賬號(hào)的用途;
2)右鍵單擊【我的電腦】→【管理】→【本地用戶和組】→【用戶】,查看有無“administrator”賬號(hào),并檢查是否禁用了guest賬號(hào),無“administrator”賬號(hào)且禁用了guest賬號(hào)則此項(xiàng)為符合;
0分標(biāo)準(zhǔn):
1)使用默認(rèn)賬號(hào)和默認(rèn)口令或存在弱口令;
滿分標(biāo)準(zhǔn):
1)合理限制默認(rèn)賬戶的訪問權(quán)限。
2)重命名默認(rèn)賬號(hào)。
3)修改默認(rèn)口令。
應(yīng)及時(shí)刪除多余的、過期的賬戶,避免共享賬戶的存在;
測評(píng)方法及步驟(Windows主機(jī)):
1)右鍵單擊【我的電腦】→【管理】→【本地用戶和組】→【用戶】,查看和記錄賬號(hào),詢問各賬號(hào)的用途,檢驗(yàn)是否存在過期或者多余的賬號(hào),比如數(shù)據(jù)庫或其他軟件安裝用的賬號(hào)等;
0分標(biāo)準(zhǔn):
1)存在無用賬戶或多人共享賬戶;
滿分標(biāo)準(zhǔn):
1)不存在過期和無用賬號(hào)。
2)做到賬戶和人一一對(duì)應(yīng)。
應(yīng)對(duì)重要信息資源設(shè)置敏感標(biāo)記
測評(píng)方法及步驟(Windows主機(jī)):
1)詢問管理員是否使用技術(shù)手段對(duì)關(guān)鍵文件或者其它信息資源設(shè)置了敏感信息標(biāo)記,如存在此類控制策略,則可查看敏感信息的分級(jí)與標(biāo)記設(shè)置情況,并記錄其方式,不存在為不符合;
0分標(biāo)準(zhǔn):
1)無設(shè)置敏感標(biāo)記功能;
滿分標(biāo)準(zhǔn):
1)能對(duì)重要信息資源設(shè)置敏感標(biāo)記。
應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息資源的操作
測評(píng)方法及步驟(Windows主機(jī)):
1)?詢問和查看目前的敏感標(biāo)記策略的相關(guān)設(shè)置,如:如何劃分敏感標(biāo)記分類,如何設(shè)定訪問權(quán)限;
0分標(biāo)準(zhǔn):
1)未依據(jù)安全策略實(shí)現(xiàn)功能控制;
滿分標(biāo)準(zhǔn):
1)對(duì)重要資源設(shè)置敏感標(biāo)記,并制定了訪問控制策略。
?
3
安全審計(jì)
?
安全審計(jì)應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶
測評(píng)方法及步驟(Windows主機(jī)):
1)?點(diǎn)擊【開始】→【設(shè)置】→【控制面板】→【管理工具】→【本地安全策略】→【審核策略】,查看是否對(duì)各審核項(xiàng)的成功和失敗事件進(jìn)行審計(jì)開啟審核,在windows系統(tǒng)下默認(rèn)審核對(duì)所有用戶啟用,默認(rèn)情況下只要開啟審核功能即為符合;
2)右鍵【我的電腦】→【管理】→【事件查看器】,查看系統(tǒng)能否正常記錄安全、系統(tǒng)等日志,可查看到日志的記錄則此項(xiàng)為符合;
0分標(biāo)準(zhǔn):
1)未啟用審計(jì)功能;
滿分標(biāo)準(zhǔn):
1)啟用審計(jì)功能;
2)審計(jì)范圍覆蓋到服務(wù)器和重要客戶端上的每個(gè)用戶。
審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件
測評(píng)方法及步驟(Windows主機(jī)):
1)【開始】→【設(shè)置】→【控制面板】→【管理工具】→【本地安全策略】→【審核策略】,查看是否有審核項(xiàng)開啟,開啟項(xiàng)目是否覆蓋了系統(tǒng)異常以及其他重要系統(tǒng)事件。Windows可審計(jì)包括系統(tǒng)、安全、應(yīng)用程序的異常操作和重大事件,開啟相關(guān)的審計(jì)功能即滿足此項(xiàng)要求,建議需要開啟的審核項(xiàng)包括:
審核賬戶登錄事件?????????? 成功/失敗
審核賬戶管理??????????????? 成功/失敗
審核目錄服務(wù)訪問????????? ??成功/失敗
審核登錄事件????????????????? 成功/失敗
審核對(duì)象訪問????????????????? 成功/失敗
審核策略更改?????????????????? 成功
審核系統(tǒng)事件?????????????????? 成功
0分標(biāo)準(zhǔn):
1)審計(jì)內(nèi)容未包括重要用戶行為(如用超級(jí)用戶命令改變用戶身份,刪除系統(tǒng)表等);
滿分標(biāo)準(zhǔn):
1)審計(jì)策略覆蓋系統(tǒng)內(nèi)重要的安全相關(guān)事件,至少包括用戶標(biāo)記和鑒別、自主訪問控制的所有操作記錄、重要用戶行為(如用超級(jí)用戶命令改變用戶身份,刪除系統(tǒng)表)、系統(tǒng)資源的異常使用、重要系統(tǒng)命令的使用等。
審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等
測評(píng)方法及步驟(Windows主機(jī)):
1)右鍵【我的電腦】→【管理】→【事件查看器】,雙擊任一事件查看器(安全、系統(tǒng)、應(yīng)用等),可看到各記錄項(xiàng)和要素,查看是否包含了日期、時(shí)間、主體、客體、結(jié)果,Windows默認(rèn)情況下包含這些屬性項(xiàng),默認(rèn)情況下開啟審核則符合要求;
0分標(biāo)準(zhǔn):
1)審計(jì)記錄未包括事件的時(shí)間、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等;
滿分標(biāo)準(zhǔn):
1)審計(jì)記錄包括事件發(fā)生的日期和時(shí)間、觸發(fā)事件的主體與客體、事件的類型、事件成功或失敗、身份鑒別事件中請求的來源、事件的結(jié)果等。
應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析,并生成審計(jì)報(bào)表
測評(píng)方法及步驟(Windows主機(jī)):
1)?詢問管理員,是否定期查看操作系統(tǒng)日志并根據(jù)安全事件的發(fā)生的情況制作報(bào)表以及分析報(bào)告,或詢問管理員是否有第三方的安全審計(jì)系統(tǒng)進(jìn)行安全審計(jì),并具備定期出具報(bào)表以及報(bào)告功能;
0分標(biāo)準(zhǔn):
1)未執(zhí)行審計(jì)分析;
2)未形成審計(jì)報(bào)表;
滿分標(biāo)準(zhǔn):
1)提供專門的審計(jì)工具對(duì)審計(jì)記錄進(jìn)行分類、排序、查詢、統(tǒng)計(jì)、分析等。
2)能根據(jù)需要生成審計(jì)報(bào)表。
3)定期對(duì)記錄數(shù)據(jù)進(jìn)行分析。
應(yīng)保護(hù)審計(jì)進(jìn)程,避免受到未預(yù)期的中斷
測評(píng)方法及步驟(Windows主機(jī)):
1)windows自帶審計(jì)進(jìn)程自保護(hù)功能,不會(huì)受到未預(yù)期的中斷,因此此項(xiàng)在默認(rèn)情況下即為符合;
0分標(biāo)準(zhǔn):
1)審計(jì)進(jìn)程可被非授權(quán)中斷;
滿分標(biāo)準(zhǔn):
1)審計(jì)進(jìn)程受到保護(hù),無法未授權(quán)中斷或未授權(quán)修改配置。
?
4
剩余信息保護(hù)
應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)用戶的鑒別信息所在的存儲(chǔ)空間,被釋放或再分配給其他用戶前得到完全清除,無論這些信息是存放在硬盤上還是在內(nèi)存中
測評(píng)方法及步驟(Windows主機(jī)):
1)【開始】→【控制面板】→【管理工具】→【本地安全策略】→【本地策略】→【安全選項(xiàng)】,查看“交互式登錄:不顯示上次的用戶名”項(xiàng)是否設(shè)置為“已啟用”狀態(tài);
0分標(biāo)準(zhǔn):
1)前次登錄鑒別信息第二次登錄的時(shí)候未被清除;
滿分標(biāo)準(zhǔn):
1)存儲(chǔ)空間再分配其他用戶時(shí)完全清除。
應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲(chǔ)空間,被釋放或重新分配給其他用戶前得到完全清除
測評(píng)方法及步驟(Windows主機(jī)):
1)【開始】→【控制面板】→【管理工具】→【本地安全策略】→【本地策略】→【安全選項(xiàng)】,查看“關(guān)機(jī):清除虛擬內(nèi)存頁面文件”項(xiàng)是否狀態(tài)為“已啟用”,啟用為符合;
2)繼續(xù)查看【本地安全策略】→【賬戶策略】的密碼策略,查看是否選中“用可還原的加密來存儲(chǔ)密碼”;
0分標(biāo)準(zhǔn):
1)能夠訪問其他用戶已經(jīng)釋放的文件、目錄和數(shù)據(jù)庫記錄等資源;
滿分標(biāo)準(zhǔn):
1)操作系統(tǒng)具備自身的清除機(jī)制進(jìn)行清除或采用第三方工具清除。
應(yīng)能夠檢測到對(duì)重要服務(wù)器進(jìn)行入侵的行為,能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間,并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警
測評(píng)方法及步驟(Windows主機(jī)):
1)詢問系統(tǒng)管理員,是否對(duì)主機(jī)部署主機(jī)入侵檢查系統(tǒng),主機(jī)入侵檢測系統(tǒng)是否能記錄入侵事件以及各要素;
2)查看系統(tǒng)是否開啟自帶防火墻,通過自身防火墻來防范攻擊,以及通過系統(tǒng)的審計(jì)來記錄防火墻的入侵日志,或者是否有其他防火墻或者主動(dòng)防御系統(tǒng)防范攻擊行為,記錄攻擊事件;
0分標(biāo)準(zhǔn):
1)重要服務(wù)器上不能檢測到對(duì)重要服務(wù)器的入侵行為 ;
滿分標(biāo)準(zhǔn):
1)能夠在重要服務(wù)器上檢測到入侵的行為。
2)保存有攻擊源IP、攻擊類型、攻擊目標(biāo)、攻擊時(shí)間等相關(guān)入侵檢測記錄。
3)發(fā)生入侵事件能夠報(bào)警(如聲音、短信、Email等)。
應(yīng)能夠?qū)χ匾绦蛲暾赃M(jìn)行檢測,并在檢測到完整性受到破壞后具有恢復(fù)的措施
測評(píng)方法及步驟(Windows主機(jī)):
1)詢問系統(tǒng)管理員,是否利用一些檢查工具和腳本對(duì)重要文件的完整性進(jìn)行檢查,如對(duì)比校驗(yàn)等,是否對(duì)重要的配置文件進(jìn)行備份,可查看備份的演示;
0分標(biāo)準(zhǔn):
1)無法檢測重要程序的完整性 ;
滿分標(biāo)準(zhǔn):
1)通過第三方軟件對(duì)重要程序進(jìn)行完整性檢測。
2)檢測到完整性受到破壞后具有恢復(fù)措施。
操作系統(tǒng)遵循最小安裝的原則,僅安裝需要的組件和應(yīng)用程序,并通過設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新
測評(píng)方法及步驟(Windows主機(jī)):
1)右鍵點(diǎn)擊【我的電腦】→【屬性】,查看當(dāng)前操作系統(tǒng)server pack版本,如2000為sp4版本,2003為sp2版本,xp為sp2版本,則SP版本符合要求,【開始】→【運(yùn)行】中輸入“appwiz.cpl”勾選“顯示更新”可以查看安全補(bǔ)丁是否為最新,并記錄最后更新的時(shí)間;
2)【開始】→【運(yùn)行】→輸入“cmd”,進(jìn)入命令行界面,輸入#netstat –an
記錄系統(tǒng)開啟的TCP和UDP端口,確認(rèn)是否含有不必要開放的端口或者是否存在可疑端口;
3)?【開始】→【運(yùn)行】→輸入“services.msc”,進(jìn)入服務(wù)查看界面,查看是否有不必要的服務(wù)開啟;
0分標(biāo)準(zhǔn):
1)存在明顯能被利用的安全漏洞;
滿分標(biāo)準(zhǔn):
1)遵循最小安裝原則,僅安裝需要的組件和應(yīng)用程序;
2)未啟動(dòng)多余的服務(wù)和端口;
3)設(shè)置升級(jí)服務(wù)器實(shí)現(xiàn)對(duì)服務(wù)器的補(bǔ)丁升級(jí);
4)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)補(bǔ)丁為廠商新公布的補(bǔ)丁版本。
6
惡意代碼防范
應(yīng)安裝防惡意代碼軟件,并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫
測評(píng)方法及步驟(Windows主機(jī)):
1)【開始】→【設(shè)置】→【控制面板】→【安全中心】,查看是否安裝殺毒以及是否及時(shí)更新到最新,更新時(shí)間不晚于一星期;
0分標(biāo)準(zhǔn):
1)未安裝防惡意代碼產(chǎn)品或安裝防惡意代碼產(chǎn)品未及時(shí)升級(jí);
滿分標(biāo)準(zhǔn):
1)安裝防惡意代碼軟件;
2)防惡意代碼軟件為最新版本;
3)惡意代碼庫定期更新,且為最新版本。
主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫
測評(píng)方法及步驟(Windows主機(jī)):
1)檢查主機(jī)防惡意代碼產(chǎn)品品牌與網(wǎng)絡(luò)防惡意代碼品牌對(duì)比,是否為不同品牌或其使用了不同的惡意代碼庫,如不同則此項(xiàng)符合;
0分標(biāo)準(zhǔn):
1)網(wǎng)絡(luò)和主機(jī)防惡意代碼產(chǎn)品相同代碼庫 ;
滿分標(biāo)準(zhǔn):
1)網(wǎng)絡(luò)和主機(jī)防惡意代碼產(chǎn)品有不同的惡意代碼庫。
應(yīng)支持惡意代碼防范的統(tǒng)一管理
測評(píng)方法及步驟(Windows主機(jī)):
1)檢查防惡意代碼產(chǎn)品,是否采用的CS架構(gòu),在各服務(wù)器及主機(jī)處安裝的為防惡意代碼的客戶端,并有專門的服務(wù)器安裝防惡意代碼產(chǎn)品的服務(wù)器端,且服務(wù)器端對(duì)終端用戶能施行統(tǒng)一管理,如靜默升級(jí)惡意代碼庫等,
0分標(biāo)準(zhǔn):
1)未實(shí)現(xiàn)統(tǒng)一管理(非網(wǎng)絡(luò)版);
滿分標(biāo)準(zhǔn):
1)支持惡意代碼防范統(tǒng)一管理,統(tǒng)一更新、統(tǒng)一檢測與查殺。
7
資源控制
應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄
測評(píng)方法及步驟(Windows主機(jī)):
1)選中當(dāng)前啟用的網(wǎng)卡,打開【屬性】界面,項(xiàng)目中選擇【TCP/IP屬性】,彈出界面中選擇【高級(jí)】,選擇【選項(xiàng)】標(biāo)簽,雙擊打開【TCP/IP篩選】,查看是否勾選“啟用TCP/IP篩選”或者設(shè)置了遠(yuǎn)程訪問的源IP。
2)是否使用IPSEC來進(jìn)行TCP/IP過濾,【開始】→【運(yùn)行】中輸入secpol.msc,右鍵建立IP安全策略。查看有無TCP/IP策略;
3)是否使用網(wǎng)絡(luò)/個(gè)人防火墻等方式限制訪問來源;以上3者有其一即為此項(xiàng)符合,或者有其他可行的資源控制手段也可。
0分標(biāo)準(zhǔn):
1)未限制終端登錄;
滿分標(biāo)準(zhǔn):
1)遠(yuǎn)程登錄限制終端接入方式和網(wǎng)絡(luò)地址。
應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定
測評(píng)方法及步驟(Windows主機(jī)):
1)應(yīng)詢問系統(tǒng)管理員,是否定期巡查服務(wù)器資源狀況并記錄狀態(tài),或者是否使用第三方管理工具監(jiān)控服務(wù)器的資源使用狀況;
0分標(biāo)準(zhǔn):
1)未設(shè)置操作超時(shí)鎖定;
滿分標(biāo)準(zhǔn):
1)設(shè)置了合理的操作超時(shí)鎖定(10分鐘以內(nèi));
2)在恢復(fù)時(shí)需要重新鑒別。
應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視,包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況
測評(píng)方法及步驟(Windows主機(jī)):
1)對(duì)遠(yuǎn)程用戶的超時(shí)設(shè)置可查看如下設(shè)置:右鍵【我的電腦】→【管理】→【本地用戶和組】→【用戶】,選擇要被限制的用戶,右鍵單擊,選擇【屬性】,選擇【會(huì)話】標(biāo)簽,查看活動(dòng)會(huì)話限制和空閑會(huì)話限制有無設(shè)置時(shí)間,無則不符合;
2)?對(duì)本機(jī)登錄的會(huì)話超時(shí)設(shè)置可通過如下步驟查看:右鍵桌面空白處,選擇【屬性】→【屏幕保護(hù)程序】標(biāo)簽,查看是否設(shè)置了使用屏保、等待時(shí)間以及超時(shí)密碼鎖定策略,無則不符合,以上情況都符合時(shí)此項(xiàng)符合;
0分標(biāo)準(zhǔn):
1)未對(duì)重要服務(wù)器資源使用情況進(jìn)行監(jiān)視。
滿分標(biāo)準(zhǔn):
1)通過監(jiān)控管理軟件對(duì)服務(wù)器的資源(CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等)的使用情況進(jìn)行實(shí)時(shí)監(jiān)視。
應(yīng)限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度
測評(píng)方法及步驟(Windows主機(jī)):
1)訪談管理員是否有相應(yīng)的措施限制用戶對(duì)系統(tǒng)資源訪問的最大最小限度,針對(duì)系統(tǒng)資源控制的管理措施;
0分標(biāo)準(zhǔn):
1)系統(tǒng)資源不足且未限制單個(gè)用戶的使用限度。
滿分標(biāo)準(zhǔn):
1)支持惡意代碼防范統(tǒng)一管理,統(tǒng)一更新、統(tǒng)一檢測與查殺。1)對(duì)單個(gè)用戶系統(tǒng)資源(CPU、內(nèi)存、硬盤)的使用限度進(jìn)行限制。
應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報(bào)警
測評(píng)方法及步驟(Windows主機(jī)):
1)詢問管理員日常如何監(jiān)控系統(tǒng)服務(wù)水平,若有第三方監(jiān)控程序,詢問并查看它是否有相關(guān)功能;
0分標(biāo)準(zhǔn):
1)未采用第三方監(jiān)控管理軟件對(duì)系統(tǒng)服務(wù)水平進(jìn)行監(jiān)視。
滿分標(biāo)準(zhǔn):
1)通過第三方監(jiān)控管理軟件進(jìn)行監(jiān)視。
2)第三方監(jiān)控管理軟件具有報(bào)警功能,且設(shè)置了報(bào)警門限值。