收藏】等级保护测评 主机安全 三级 详解测评要求项、测评方法及测评步骤,测评判分标准:0分标准和满分标准
身份鉴别
a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别;
测评方法及步骤(Windows主机):
1)使用“WIN键+L”锁定计算机,并再次登录,验证是否需要输入密码才能登陆,需要密码则此项符合
2)点击【开始】→【设置】→【控制面板】→【管理工具】→【本地安全策略】→【安全选项】进行检查。查看“交互式登录:不需要按Ctrl+Alt+Del”是否为“禁用”状态,禁用为“符合”,或者在上一步骤“登录”过程中是否有提示按“Ctrl+Alt+Del”才可进行登录来判定是否已经设置;
0分标准:
1)存在自动登录或默认账户默认口令或默认账户无口令。
满分标准:
1)对登录操作系统和数据库系统的用户进行身份鉴别;
2)不得使用默认用户和默认口令。
b) 操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
测评方法及步骤(Windows主机):
1)【开始】→【设置】→【控制面板】→【管理工具】→【本地安全策略】→【密码策略】,查看密码复杂度是否启用,同时询问或者查看当前密码的设置情况是否符合密码复杂度要求;
2)【开始】→【设置】→【控制面板】→【管理工具】→【本地安全策略】→【密码策略】,检查密码的最小强度是否设置为8位或以上,如是则此项为符合;
3) 【开始】→【设置】→【控制面板】→【管理工具】→【本地安全策略】→【密码策略】,查看密码的有效期限设置,建议密码最短使用期限应该设置为2天,最长设置为70天,历史密码设置为24天,可根据系统情况略有出入,但不能为未设置状态;
0分标准:
1)对口令复杂度和更换周期均无要求,或存在空口令或弱口令(6位数字及以下);
满分标准:
1)口令由数字、大小写字母、符号混排,无规律的方式。
2)用户口令的长度至少为8位。
3)口令每季度更换一次,更新的口令至少5次内不能重复。
c) 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
测评方法及步骤(Windows主机):
1) 【开始】→【设置】→【控制面板】→【管理工具】→【本地安全策略】→【账户锁定策略】,检查是否设置账户登录失败阈值(推荐设置为3~5次)以及锁定时间(推荐设置为30分钟),如进行设置则此项为符合;
0分标准:
1)无登录失败处理功能或未启用登录失败处理功能;
满分标准:
1)已启用登录失败处理功能。
2)限制非法登录尝试次数,超尝试次数后实现锁定策略。
3)设置网络连接超时自动退出。
d) 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
测评方法及步骤(Windows主机):
1) 查看系统当前版本是否为windows server2003sp1以后版本;
2) 【开始】→【设置】→【控制面板】→【管理工具】→【终端服务配置】→【连接】→双击右侧【RDP-TCP】,查看【常规】标签,在安全层参数处设置应为【协商】,则会使用TLS1.0的SSL加密方式进行远程连接;
0分标准:
1)当对服务器进行远程管理,鉴别信息明文传输。
满分标准:
1)当对服务器进行远程管理,鉴别信息非明文传输。
e) 为操作系统和数据库的不同用户分配不同的用户名,确保用户名具有唯一性;
测评方法及步骤(Windows主机):
1) 右键单击【我的电脑】→【管理】,左侧目录树中选择【本地用户和组】→【用户】,查看各用户名称,是否包含同名用户,不同名则此项为符合;
0分标准:
1)操作系统和数据库系统的用户名不具有唯一性。
满分标准:
1)操作系统和数据库系统的用户名具有唯一性。
f) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
测评方法及步骤(Windows主机):
1)应询问系统管理员,对系统的登录是否采用双因子身份认证方式进行验证,查看有无CA认证服务器或其他身份认证手段,如存在其他认证方式,尝试进行其他认证方式的身份登录验证,当存在两种或以上身份登录方式为符合;
0分标准:
1)采用一种鉴别技术;
满分标准:
1)采用两种或两种以上组合的鉴别技术(采用用户名/口令、挑战应答、动态口令、物理设备、生物识别技术和数字证书方式的身份鉴别技术中的任意两个组合及以上);
访问控制
a) 应启用访问控制功能,依据安全策略控制用户对资源的访问;
测评方法及步骤(Windows主机):
1) 进入windows系统的系统目录以及系统根目录→system32、windows目录,选择目录,右键【属性】→【安全】,查看相应目录的读写执行等的权限,判断everyone、users、administrator各组的权限是否过高,非系统管理员账号不得拥有修改、写入和完全控制等权限;
2) 【开始】→【运行】中输入cmd,命令行中输入net share,查看网络共享的情况;
0分标准:
1)未根据业务需要设置访问控制策略;
满分标准:
1)制定安全策略。
2)根据安全策略控制用户对资源的访问。(对重要文件的访问权限进行限制,对系统不需要的服务、共享路径等可能被非授权访问的客体(文件)进行限制);
b) 应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;
测评方法及步骤(Windows主机):
1)【开始】→【控制面板】→【管理工具】→【本地安全策略】→【本地策略】→【审核策略】→【用户权指派】,查看是否为某些用户指派过高权限;
0分标准:
1)所有操作均使用超级权限账户进行管理;
满分标准:
1)所有账户采用最小授权原则(如系统管理员只能对系统进行维护,安全管理员只能进行处理配置和安全设置,安全审计员只能维护审计信息等);
c) 应实现操作系统和数据库系统特权用户的权限分离;
测评方法及步骤(Windows主机):
如果安装了数据库系统,应检查操作系统中的数据库管理账号的权限;
0分标准:
1)只配置一个管理人员;
2) 存在兼任;
满分标准:
1)操作系统的特权用户与该操作系统中安装的数据库系统的特权用户权限进行分离,且权限互斥。
d) 应严格限制默认账户的访问权限,重命名系统默认账户,并修改这些账户的默认口令;
测评方法及步骤(Windows主机):
1)右键单击【我的电脑】→【管理】→【本地用户和组】→【用户】,查看账号并记录各账号的用途;
2)右键单击【我的电脑】→【管理】→【本地用户和组】→【用户】,查看有无“administrator”账号,并检查是否禁用了guest账号,无“administrator”账号且禁用了guest账号则此项为符合;
0分标准:
1)使用默认账号和默认口令或存在弱口令;
满分标准:
1)合理限制默认账户的访问权限。
2)重命名默认账号。
3)修改默认口令。
e) 应及时删除多余的、过期的账户,避免共享账户的存在;
测评方法及步骤(Windows主机):
1)右键单击【我的电脑】→【管理】→【本地用户和组】→【用户】,查看和记录账号,询问各账号的用途,检验是否存在过期或者多余的账号,比如数据库或其他软件安装用的账号等;
0分标准:
1)存在无用账户或多人共享账户;
满分标准:
1)不存在过期和无用账号。
2)做到账户和人一一对应。
f)应对重要信息资源设置敏感标记;
测评方法及步骤(Windows主机):
1)询问管理员是否使用技术手段对关键文件或者其它信息资源设置了敏感信息标记,如存在此类控制策略,则可查看敏感信息的分级与标记设置情况,并记录其方式,不存在为不符合;
0分标准:
1)无设置敏感标记功能;
满分标准:
1)能对重要信息资源设置敏感标记;
g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
测评方法及步骤(Windows主机):
1) 询问和查看目前的敏感标记策略的相关设置,如:如何划分敏感标记分类,如何设定访问权限;
0分标准:
1)未依据安全策略实现功能控制;
满分标准:
1)对重要资源设置敏感标记,并制定了访问控制策略;
安全审计
a) 安全审计应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;
测评方法及步骤(Windows主机):
1) 点击【开始】→【设置】→【控制面板】→【管理工具】→【本地安全策略】→【审核策略】,查看是否对各审核项的成功和失败事件进行审计开启审核,在windows系统下默认审核对所有用户启用,默认情况下只要开启审核功能即为符合;
2)右键【我的电脑】→【管理】→【事件查看器】,查看系统能否正常记录安全、系统等日志,可查看到日志的记录则此项为符合;
0分标准:
1)未启用审计功能;
满分标准:
1)启用审计功能;
2) 审计范围覆盖到服务器和重要客户端上的每个用户。
b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;
测评方法及步骤(Windows主机):
1) 【开始】→【设置】→【控制面板】→【管理工具】→【本地安全策略】→【审核策略】,查看是否有审核项开启,开启项目是否覆盖了系统异常以及其他重要系统事件。Windows可审计包括系统、安全、应用程序的异常操作和重大事件,开启相关的审计功能即满足此项要求,建议需要开启的审核项包括:
审核账户登录事件 成功/失败
审核账户管理 成功/失败
审核目录服务访问 成功/失败
审核登录事件 成功/失败
审核对象访问 成功/失败
审核策略更改 成功
审核系统事件 成功
0分标准:
1)审计内容未包括重要用户行为(如用超级用户命令改变用户身份,删除系统表等);
满分标准:
1)审计策略覆盖系统内重要的安全相关事件,至少包括用户标记和鉴别、自主访问控制的所有操作记录、重要用户行为(如用超级用户命令改变用户身份,删除系统表)、系统资源的异常使用、重要系统命令的使用等。
c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;
测评方法及步骤(Windows主机):
1) 右键【我的电脑】→【管理】→【事件查看器】,双击任一事件查看器(安全、系统、应用等),可看到各记录项和要素,查看是否包含了日期、时间、主体、客体、结果,Windows默认情况下包含这些属性项,默认情况下开启审核则符合要求;
0分标准:
1)审计记录未包括事件的时间、主体标识、客体标识和结果等;
满分标准:
1)审计记录包括事件发生的日期和时间、触发事件的主体与客体、事件的类型、事件成功或失败、身份鉴别事件中请求的来源、事件的结果等。
d)应能够根据记录数据进行分析,并生成审计报表;
测评方法及步骤(Windows主机):
1) 询问管理员,是否定期查看操作系统日志并根据安全事件的发生的情况制作报表以及分析报告,或询问管理员是否有第三方的安全审计系统进行安全审计,并具备定期出具报表以及报告功能;
0分标准:
1)未执行审计分析;
2)未形成审计报表;
满分标准:
1)提供专门的审计工具对审计记录进行分类、排序、查询、统计、分析等。
2)能根据需要生成审计报表。
3)定期对记录数据进行分析。
e)应保护审计进程,避免受到未预期的中断;
测评方法及步骤(Windows主机):
1) windows自带审计进程自保护功能,不会受到未预期的中断,因此此项在默认情况下即为符合;
0分标准:
1)审计进程可被非授权中断;
满分标准:
1)审计进程受到保护,无法未授权中断或未授权修改配置。
f)应保护审计记录,避免受到未预期的删除、修改或覆盖等。
测评方法及步骤(Windows主机):
1)右键【我的电脑】→【管理】→【事件查看器】→右键单击任一事件查看器,【属性】,查看关于审计日志的存储大小设置以及是否按要求覆写,根据日志量的大小可酌情设置,但不得低于64M,并询问系统管理员是否对审计日志是否进行备份或者使用其它方式收集日志;
0分标准:
1)审计记录只在本地存储;
满分标准:
1)采取措施对审计记录进行保护。
2)记录至少保存半年。
剩余信息保护
a)应保证操作系统和数据库管理系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;
测评方法及步骤(Windows主机):
1) 【开始】→【控制面板】→【管理工具】→【本地安全策略】→【本地策略】→【安全选项】,查看“交互式登录:不显示上次的用户名”项是否设置为“已启用”状态;
0分标准:
1)前次登录鉴别信息第二次登录的时候未被清除;
满分标准:
1)存储空间再分配其他用户时完全清除;
b)应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。
测评方法及步骤(Windows主机):
1)【开始】→【控制面板】→【管理工具】→【本地安全策略】→【本地策略】→【安全选项】,查看“关机:清除虚拟内存页面文件”项是否状态为“已启用”,启用为符合;
2)继续查看【本地安全策略】→【账户策略】的密码策略,查看是否选中“用可还原的加密来存储密码”;
0分标准:
1)能够访问其他用户已经释放的文件、目录和数据库记录等资源;
满分标准:
1)操作系统具备自身的清除机制进行清除或采用第三方工具清除;
入侵防范
a) 应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;
测评方法及步骤(Windows主机):
1)询问系统管理员,是否对主机部署主机入侵检查系统,主机入侵检测系统是否能记录入侵事件以及各要素;
2)查看系统是否开启自带防火墙,通过自身防火墙来防范攻击,以及通过系统的审计来记录防火墙的入侵日志,或者是否有其他防火墙或者主动防御系统防范攻击行为,记录攻击事件;
0分标准:
1)重要服务器上不能检测到对重要服务器的入侵行为 ;
满分标准:
1)能够在重要服务器上检测到入侵的行为。
2)保存有攻击源IP、攻击类型、攻击目标、攻击时间等相关入侵检测记录。
3)发生入侵事件能够报警(如声音、短信、Email等)。
b)应能够对重要程序完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施;
测评方法及步骤(Windows主机):
1)询问系统管理员,是否利用一些检查工具和脚本对重要文件的完整性进行检查,如对比校验等,是否对重要的配置文件进行备份,可查看备份的演示;
0分标准:
1)无法检测重要程序的完整性 ;
满分标准:
1)通过第三方软件对重要程序进行完整性检测。
2)检测到完整性受到破坏后具有恢复措施。
c) 操作系统遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。
测评方法及步骤(Windows主机):
1)右键点击【我的电脑】→【属性】,查看当前操作系统server pack版本,如2000为sp4版本,2003为sp2版本,xp为sp2版本,则SP版本符合要求,【开始】→【运行】中输入“appwiz.cpl”勾选“显示更新”可以查看安全补丁是否为最新,并记录最后更新的时间;
2)【开始】→【运行】→输入“cmd”,进入命令行界面,输入#netstat –an
记录系统开启的TCP和UDP端口,确认是否含有不必要开放的端口或者是否存在可疑端口;
3) 【开始】→【运行】→输入“services.msc”,进入服务查看界面,查看是否有不必要的服务开启;
0分标准:
1)存在明显能被利用的安全漏洞;
满分标准:
1)遵循最小安装原则,仅安装需要的组件和应用程序;
2)未启动多余的服务和端口;
3)设置升级服务器实现对服务器的补丁升级;
4)操作系统和数据库系统补丁为厂商新公布的补丁版本。
恶意代码防范
a) 应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;
测评方法及步骤(Windows主机):
1)【开始】→【设置】→【控制面板】→【安全中心】,查看是否安装杀毒以及是否及时更新到最新,更新时间不晚于一星期;
0分标准:
1)未安装防恶意代码产品或安装防恶意代码产品未及时升级;
满分标准:
1)安装防恶意代码软件;
2)防恶意代码软件为最新版本;
3)恶意代码库定期更新,且为最新版本。
b)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;
测评方法及步骤(Windows主机):
1)检查主机防恶意代码产品品牌与网络防恶意代码品牌对比,是否为不同品牌或其使用了不同的恶意代码库,如不同则此项符合;
0分标准:
1)网络和主机防恶意代码产品相同代码库 ;
满分标准:
1)网络和主机防恶意代码产品有不同的恶意代码库。
c) 应支持恶意代码防范的统一管理。
测评方法及步骤(Windows主机):
1)检查防恶意代码产品,是否采用的CS架构,在各服务器及主机处安装的为防恶意代码的客户端,并有专门的服务器安装防恶意代码产品的服务器端,且服务器端对终端用户能施行统一管理,如静默升级恶意代码库等,
0分标准:
1)未实现统一管理(非网络版);
满分标准:
1)支持恶意代码防范统一管理,统一更新、统一检测与查杀。
资源控制
a) 应通过设定终端接入方式、网络地址范围等条件限制终端登录;
测评方法及步骤(Windows主机):
1)选中当前启用的网卡,打开【属性】界面,项目中选择【TCP/IP属性】,弹出界面中选择【高级】,选择【选项】标签,双击打开【TCP/IP筛选】,查看是否勾选“启用TCP/IP筛选”或者设置了远程访问的源IP。
2)是否使用IPSEC来进行TCP/IP过滤,【开始】→【运行】中输入secpol.msc,右键建立IP安全策略。查看有无TCP/IP策略;
3)是否使用网络/个人防火墙等方式限制访问来源;以上3者有其一即为此项符合,或者有其他可行的资源控制手段也可。
0分标准:
1)未限制终端登录;
满分标准:
1)远程登录限制终端接入方式和网络地址。
b) 应根据安全策略设置登录终端的操作超时锁定;
测评方法及步骤(Windows主机):
1)应询问系统管理员,是否定期巡查服务器资源状况并记录状态,或者是否使用第三方管理工具监控服务器的资源使用状况;
0分标准:
1)未设置操作超时锁定;
满分标准:
1)设置了合理的操作超时锁定(10分钟以内);
2)在恢复时需要重新鉴别。
c)应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;
测评方法及步骤(Windows主机):
1)对远程用户的超时设置可查看如下设置:右键【我的电脑】→【管理】→【本地用户和组】→【用户】,选择要被限制的用户,右键单击,选择【属性】,选择【会话】标签,查看活动会话限制和空闲会话限制有无设置时间,无则不符合;
2) 对本机登录的会话超时设置可通过如下步骤查看:右键桌面空白处,选择【属性】→【屏幕保护程序】标签,查看是否设置了使用屏保、等待时间以及超时密码锁定策略,无则不符合,以上情况都符合时此项符合;
0分标准:
1)未对重要服务器资源使用情况进行监视。
满分标准:
1)通过监控管理软件对服务器的资源(CPU、硬盘、内存、网络等)的使用情况进行实时监视。
d) 应限制单个用户对系统资源的最大或最小使用限度;
测评方法及步骤(Windows主机):
1)访谈管理员是否有相应的措施限制用户对系统资源访问的最大最小限度,针对系统资源控制的管理措施;
0分标准:
1)系统资源不足且未限制单个用户的使用限度。
满分标准:
1)支持恶意代码防范统一管理,统一更新、统一检测与查杀。1)对单个用户系统资源(CPU、内存、硬盘)的使用限度进行限制。
e)应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。
测评方法及步骤(Windows主机):
1)询问管理员日常如何监控系统服务水平,若有第三方监控程序,询问并查看它是否有相关功能;
0分标准:
1)未采用第三方监控管理软件对系统服务水平进行监视。
满分标准:
1)通过第三方监控管理软件进行监视。
2)第三方监控管理软件具有报警功能,且设置了报警门限值。
文章出处:网络安全CyberSecurity
官方 