公司信息系统主机安全测评方案.docx

公司信息系统主机安全测评方案主机安全控制测评域测评项测评方式测评对象测评实施身 份 鉴 别a） 对登录操作系统 和数据库系统的用 户进行身份标识和 鉴别；b） 操作系统和数据 库系统管理用户身 份标识具有不易被 冒用的特点，口令长 度至少八位以上口 令有复杂度要求，如 同时包含字母、数 字、特殊字符等定 期更换口令；c） 启用登录失败处 理功能，如：限定连 续登录尝试次数、锁 定帐户、审计登录事 件、设置连续两次登 录的时间间隔等；d） 当对服务器进行 远程管理时，采取必 要措施，防止鉴别信 息在网络传输过程 中被窃听；e） 为操作系统和数 据库的不同用户分 配不同的用户名，确 保用户名具有唯一 性；f） 采用两种或两种 以上组合的鉴别技 术对管理用户进行 身份鉴别，例如在用 户名和口令基础上 增加令牌、动态口 令、数字证书或生物 鉴别等鉴别方式访谈检查测试a） 系统管理员b） 数据库管理 员c） 主要服务器 操作系统、数d） 据库，服务器操 作系统文档e）数据库管理 系统文档a） 应检查服务器操作系统和数据库管理系统身份 鉴别功能是否具有《信息安全等级保护操作系统安 全技术要求》和《信息安全等级保护数据库管理系 统安全技术要求》第二级以上或TCSEC C2级以上的 测试报告；b） 应访谈系统管理员，询问操作系统的身份标识与 鉴别机制采取何种措施实现；c） 应访谈数据库管理员，询问数据库的身份标识与 鉴别机制采取何种措施实现；d） 应访谈主要操作系统和数据库管理员是否采用 了远程管理，如采用了远程管理，查看采用何种措 施防止鉴别信息在网络传输过程中被窃听。

e） 应检查主要服务器操作系统和数据库系统帐户 列表，查看管理员用户名分配是否唯一；f） 应检查主要服务器操作系统和主要数据库管理 系统，查看是否提供了身份鉴别措施（如用户名和 口令等），其身份鉴别信息是否具有不易被冒用的 特点，例如，口令足够长，口令复杂（如规定字符 应混有大、小写字母、数字和特殊字符），口令生 命周期，新旧口令的替换要求（如规定替换的字符 数量）或为了便于记忆使用了令牌；g） 应检查主要服务器操作系统和主要数据库管理 系统，查看身份鉴别是否采用两个及两个以上身份 鉴别技术的组合来进行身份鉴别（如采用用户名/ 口令、挑战应答、动态口令、物理设备、生物识别 技术和数字证书方式的身份鉴别技术中的任意两个 组合）；h） 应检查主要服务器操作系统和主要数据库管理 系统，查看是否巳配置了鉴别失败处理功能，并设 置了非法登录次数的限制值；查看是否设置网络登 录连接超时，并自动退出；i） 应测试主要服务器操作系统和主要数据库管理 系统，可通过错误的用户名和口令试图登录系统， 验证鉴别失败处理功能是否有效；j） 应渗透测试主要服务器操作系统，可通过使用口 令破解工具等，对服务器操作系统进行用户口令强 度检测，查看能否破解用户口令，破解口令后能否 登录进入系统；k）应渗透测试主要服务器操作系统，测试是否存在 绕过认证方式进行系统登录的方法，例如，认证程 序存在的安全漏洞，社会工程或其他手段等。

自 主 访 问 控 制a） 依据安全策略控 制主体对客体的访 问，如：仅开放业务 需要的服务端口、设 置重要文件的访问 权限、删除系统默认 的共享路径等；b） 根据管理用户的 角色分配权限，实现 管理用户的权限分 离，仅授予管理用户 所需的最小权限；c） 实现操作系统和 数据库系统特权用 户的权限分离；d） 严格限制默认帐 户的访问权限，禁用 或重命名系统默认 帐户，并修改这些帐 户的默认口令及时 删除多余的、过期的 帐户，避免共享帐户 的存在检查测试a）主要服务器 操作系统、数据 库a） 应检查服务器操作系统和数据库管理系统的自 主访问控制功能是否具有《信息安全等级保护操作 系统安全技术要求》和《信息安全等级保护 数据库 管理系统安全技术要求》第二级以上或TCSECC2级 以上的测试报告；b） 应检查主要服务器操作系统的安全策略，查看是 否对重要文件的访问权限进行了限制，对系统不需 要的服务、共享路径等可能被非授权访问的客体进 行了限制；c） 应检查主要服务器操作系统和主要数据库管理 系统的访问控制列表，查看授权用户中是否不存在 过期的帐号和无用的帐号等；访问控制列表中的用 户和权限，是否与安全策略相一致；d） 应检查主要数据库服务器的数据库管理员与操 作系统管理员是否由不同管理员担任。

e） 应检查主要服务器操作系统和主要数据库管理 系统，查看特权用户的权限是否进行分离，如可分 为系统管理员、安全管理员、安全审计员等；查看 是否采用最小授权原则（如系统管理员只能对系统 进行维护，安全管理员只能进行策略配置和安全设 置，安全审计员只能维护审计信息等）；f） 应查看主要服务器操作系统和主要数据库管理 系统，查看匿名/默认用户的访问权限是否巳被禁用 或者严格限制；g） 应测试主要服务器操作系统和主要数据库管理 系统，依据系统访问控制的安全策略，试图以未授 权用户身份/角色访问客体，验证是否不能进行访 问强 制 访 问 控 制a）强制访问控制的 覆盖范围应包括与 重要信息资源直接 相关的所有主体、客 体及它们之间的操 作；检查测试a） 主要服务器 操作系统、数据 库b） 服务器操作系统文档c） 数据库管理 系统文档a） 应检查服务器操作系统和数据库管理系统的强 制访问控制是否具有《信息安全等级保护操作系统 安全技术要求》和《信息安全等级保护 数据库管理 系统安全技术要求》第三级以上的测试报告；b） 应检查服务器操作系统文档，查看强制访问控制 模型是否采用“向下读，向上写”模型，如果操作 系统采用其他的强制访问控制模型，则操作系统文 档是否对这种模型进行详细分析，并有权威机构对 这种强制访问控制模型的合理性和完善性进行检测 证明；c） 应检查主要服务器操作系统和主要数据库管理 系统文档，查看强制访问控制是否与用户身份鉴别、 标识等安全功能密切配合，并且控制粒度达到主体为用户级，客体为文件和数据库表级；d） 应测试主要服务器操作系统和主要数据库管理 系统，依据系统文档描述的强制访问控制模型，以 授权用户和非授权用户身份访问客体，验证是否只 有授权用户可以访问客体，而非授权用户不能访问 客体；e） 应渗透测试主要服务器操作系统和主要数据库 管理系统，可通过非法终止强制访问模块，非法修 改强制访问相关规则，使用假冒身份等方式，测试 强制访问控制是否安全、可靠。

安 全 审 计a） 审计范围覆盖到 服务器和重要客户 端上的每个操作系 统用户和数据库用 户；b） 审计内容包括系 统内重要的安全相 关事件，如：重要用 户行为、系统资源的 异常使用和重要系 统命令的使用等；c） 安全相关事件的 记录包括日期和时 间、类型、主体标识、 客体标识、事件的结 果等；d） 能够根据记录数 据进行分析，并生成 审计报表；e） 保护审计进程避 免受到未预期的中 断；f） 保护审计记录避 免受到未预期的删 除、修改或覆盖等访谈检查测试a） 安全审计员b） 主要服务器 操作系统、数据 库，重要终端a） 应访谈安全审计员，询问主机系统是否设置安全 审计；询问主机系统对事件进行审计的选择要求和 策略是什么；对审计日志的处理方式有哪些；b） 应检查主要服务器操作系统、重要终端操作系统 和主要数据库管理系统，查看当前审计范围是否覆 盖到每个用户；c） 应检查主要服务器操作系统、重要终端操作系统 和主要数据库管理系统，查看审计策略是否覆盖系 统内重要的安全相关事件，例如，用户标识与鉴别、 重要用户行为（如用超级用户命令改变用户身份， 删除系统表）、系统资源的异常使用、重要系统命 令的使用（如删除客体）等；d） 应检查主要服务器操作系统、重要终端操作系统 和主要数据库管理系统，查看审计记录信息是否包 括事件发生的日期与时间、触发事件的主体与客体、 事件的类型、事件成功或失败、身份鉴别事件中请 求的来源（如末端标识符）、事件的结果等内容；e） 应检查主要服务器和重要终端操作系统，查看是 否为授权用户浏览和分析审计数据提供专门的审计 工具（如对审计记录进行分类、排序、查询、统计、 分析和组合查询等），并能根据需要生成审计报表；f） 应检查主要服务器操作系统、重要终端操作系统 和主要数据库管理系统，查看审计跟踪设置是否定 义了审计跟踪极限的阈值，当存储空间被耗尽时， 能否采取必要的保护措施，例如，报警并导出、丢 弃未记录的审计信息、暂停审计或覆盖以前的审计 记录等；g） 应测试主要服务器操作系统、重要终端操作系统 和主要数据库管理系统，可通过非法终止审计功能 或修改其配置，验证审计功能是否受到保护；h） 应测试主要服务器操作系统、重要终端操作系统 和主要数据库管理系统，在系统上以某个系统用户 试图删除、修改或覆盖审计记录，测试安全审计的 保护情况与要求是否一致剩 余 信 息 保 护a） 保证操作系统和 数据库管理系统用 户的鉴别信息所在 的存储空间，被释放 或再分配给其他用 户前得到完全清除， 无论这些信息是存 放在硬盘上还是在 内存中；b） 确保系统内的文 件、目录和数据库记 录等资源所在的存 储空间，被释放或重 新分配给其他用户 前得到完全清除。

访谈检查a） 系统管理员b） 数据库管理 员c） 主要服务器 操作系统维护/ 操作手册d） 主要数据库 管理系统维护/ 操作手册a）应检查主要数据库服务器的数据库管理员与操作系统管理员是否由不同管理员担任入侵 防 范a） 能够检测到对重 要服务器进行入侵 的行为，能够记录入 侵的源IP、攻击的类 型、攻击的目的、攻 击的时间，并在发生 严重入侵事件时提 供报警；b） 能够对重要程序 完整性进行检测，并 在检测到完整性受 到破坏后具有恢复 的措施；c） 操作系统遵循最 小安装的原则，仅安 装需要的组件和应 用程序，并通过设置 升级服务器等方式 保持系统补丁及时 得到更新访谈检查a） 系统管理员b） 主要服务器a） 应访谈系统管理员，询问是否采取入侵防范措 施，入侵防范内容是否包括主机运行监视、资源使 用超过值报警、特定进程监控、入侵行为检测、完 整性检测等方面内容；b） 应访谈系统管理员，询问入侵防范产品的厂家、 版本和安装部署情况；询问是否按要求（如定期或 实时）进行产品升级；c） 应检查入侵防范系统，查看能否记录攻击者的源 IP、攻击类型、攻击目标、攻击时间等，在发生严 重入侵事件时是否提供报警（如声音、短信、EMAIL 等）；d） 应检查是否专门设置了升级服务器实现了对重 要服务器的补丁升级；e） 应检查主要服务器是否巳经及时更新了操作系 统和数据库系统厂商新公布的补丁。

恶* 意代 码 防 范a） 安装防恶意代码 软件，并及时更新防 恶意代码软件版本 和恶意代码库；b） 主机防恶意代码 产品具有与网络防 恶意代码产品不同 的恶意代码库；c） 支持防恶意代码访谈检查a） 系统安全管理员b） 主要服务器、重要终端c） 网络防恶意代码产品a） 应访谈系统安全管理员，询问主机系统是否采取 恶意代码实时检测与查杀措施，恶意代码实时检测 与查杀措施的部署情况如何，是否按要求（如定期 或实时）进行产品升级；b） 应检查主要服务器系统和重要终端系统，查看是 否安装实时检测与查杀恶意代码的软件产品，查看 实时检测与查杀恶意代码的软件产品是否支持恶意。