二級系統(tǒng)安全等級保護基本要求和測評要求

第一級基本要求第二級基本要求第二級測評要求

安全類別

a）機房和辦公場地應選擇在a）應訪談物理安全負責人，問詢現(xiàn)有機房和

物理具有防震、防風和防雨等能力放置終端計算機設(shè)備的辦公場地的環(huán)境條件是

位置的建造內(nèi)。否能夠滿足信息系統(tǒng)業(yè)務需求和安全管理需

/

的選求，是否具有基本的防震、防風和防雨等能力：

（G）b）應檢查機房和辦公場地是否在具有防震、

防風和防雨等能力的建造內(nèi)。

物理

a）機房出入應安排專人負￡）機房出入應安排專人負責，】）應訪談物理安全負責人，了解部署了哪些控

安全

責，控制、鑒別和記錄進入產(chǎn)、制、鑒別和記錄進入的人員；制人員進出機房的保護措施；

物理

的人員b）需進入機房的來訪人員應3）應檢查機房安全管理制度，查看是否有關(guān)

訪問

經(jīng)過申請和審批流程，并限制于機房出入方面的規(guī)定；

控制

和監(jiān)控其活動范圍。c）應檢查機房出入口是否有專人值守，是否有

（G）

值守記錄及人員進入機房的登記記錄；檢查機

房是否不存在專人值守之外的其他出入口；

第1頁

d）應檢查是否有來訪人員注入機房的審批記

錄，查看審批記錄是否包括來訪人員的訪問

范圍。

a）應將主要設(shè)備放置在機1）應將主要設(shè)備放置在機房a應訪談物理安全負責人，了解采取了哪些防

房內(nèi)；內(nèi)；止設(shè)備、介質(zhì)等丟失的保護措施；

b）公［將設(shè)備或者主要部件進b）應將設(shè)備或者主要部件進行b應訪談機房維護人員，問詢關(guān)鍵設(shè)備放置位

行固定，并設(shè)置明顯的不易固定，并設(shè)置明顯的不易除去置是否做到安全可控，設(shè)備或者主要部件是否進

防盜除去的標記C勺標記；彳『了固定和標記，通信線纜是否鋪設(shè)在隱蔽處；

竊和c）應將通信線纜鋪設(shè)在隱蔽是否對機房安裝的防盜報警設(shè)施并定期進行

防破處，可鋪設(shè)在地下或者管道中；維護檢查；

壞（G）d）應對介質(zhì)分類標識，存儲在c）應訪談資產(chǎn)管理員，介質(zhì)是否進行了分類標

介質(zhì)庫或者檔案室中；識管理，介質(zhì)是否存放在介質(zhì)庫或者檔案室

內(nèi)

0）主機房應安裝必要的防盜

進行管理；

報警設(shè)施。

d）應檢查關(guān)鍵設(shè)備是否放置在機房內(nèi)或者其

它

不易被盜竊和破壞的可控范圍內(nèi)；檢查關(guān)鍵設(shè)

第2頁

備或者設(shè)備的主要部件的固定情況，查看其是否

不易被挪移或者被搬走，是否設(shè)置明顯的不易除

去的標記；

。）應檢查通信線纜鋪設(shè)是否在隱蔽處；

0應檢查機房防盜報警設(shè)施是否正常運行，并

查看是否有運行和報警記錄；

g）應檢查介質(zhì)的管理情況，查看介質(zhì)是否有正

確的分類標識，是否存放在介質(zhì)庫或者檔案室1人O

公機房建造應設(shè)置避雷裝z）機房建造應設(shè)置避雷裝置；C1）應訪談物理安全負責人，問詢?yōu)榉乐估讚?/p>

置1，）機房應設(shè)置交流電源地線。事件導致重要設(shè)備被破壞采取了哪些防護措

施，機房建造是否設(shè)置了避雷裝置，是否通過

防雷

驗收或者國家有關(guān)部門的技術(shù)檢測；問詢機房計

擊（G）

算機供電系統(tǒng)是否有交流電源地線；

b）應檢查機房建造是否有避雷裝置，是否有交

流地線。

笫3頁

a）機房應設(shè)置滅火設(shè)備0機房應設(shè)置滅火設(shè)備和火a應訪談物理安全負責人，問詢機房是否設(shè)置

災自動報警系統(tǒng)。了滅火設(shè)備，是否設(shè)置了火災自動報警系統(tǒng)，

是否有人負貢維護該系統(tǒng)的運行，是否制定r

有關(guān)機房消防的管理制度和消防預案，是否進

行了消防培訓；

防火b：應訪談機房維護人員，問詢是否對火災自動

（G）IR警系統(tǒng)定期進行檢查和維護；

C）應檢杳機房是否設(shè)置了滅火設(shè)備，滅火設(shè)備

擺放位置是否合理，其有效期是否合格：應檢

查機房火災自動報警系統(tǒng)是否正常工作，查看

是否有運行記錄、報警記錄、定期檢查和維修

記錄。

防水a(chǎn)）應對穿過機房墻壁和樓1）水管安裝，不得穿過機房＜）應訪談物理安全負責人，問詢機房是否部署

和防板的水管增加必要的保護屋頂和活動地板下；了防水防潮措施；如果機房內(nèi)有上/下水管安

(G)措施；b）應采取措施防止雨水通過裝，是否避免穿過屋頂和活動地板下，穿過墻

笫4頁

b）應采取措施防止雨水通幾房窗戶、屋頂和墻壁滲透；壁和樓板的水管是否采取了可靠的保護措施；

過機房窗戶、屋頂和墻壁滲C）應采取措施防止機房內(nèi)水生濕度較高的地區(qū)或者季節(jié)是否有人負責機房

防

透蒸氣結(jié)露和地下積水的轉(zhuǎn)移及水防潮事宜，配備除濕裝置：

滲透。。）應訪談機房維護人員，問詢機房是否沒有出

現(xiàn)過漏水和返潮事件；如果機房內(nèi)有上/下水管

安裝，是否時常檢查其漏水情況；在濕度較高

地區(qū)或者季節(jié)是否有人負責機房防水防潮事宜，

使用除濕裝置除濕；如果浮現(xiàn)機房水蒸氣結(jié)露

和地下積水的轉(zhuǎn)移及滲透現(xiàn)象是否及時采取

防范措施；

C）應檢查穿過主機房墻壁或者樓板的管道是

否配置套管，管道及套管之間是否采取可靠

的密

封措施；

d）的檢杳機房的窗戶、屋頂和堵壁等是否未出

現(xiàn)過漏水、滲透和返潮現(xiàn)象，機房及其環(huán)境是

第5頁

否不存在明顯的漏水和返潮的威脅,；如果浮現(xiàn)

漏水、滲透和返潮現(xiàn)象，則查看是否能夠及時

修復解決；

e）對濕度較高的地區(qū)，應檢查機房是否有濕度

記錄，是否有除濕裝置并能夠正常運行，是否

有防止浮現(xiàn)機房地下積水的轉(zhuǎn)移及滲透的措

施，是否有防水防潮處理記錄。

a）關(guān)鍵設(shè)備應采用必要的接a應訪談物理安全負責人，問詢關(guān)鍵設(shè)備是否

地防靜電措施。采取用必要的防靜電措施，機房是否不存在靜

防靜

/電問題或者因靜電引起的安全事件；

（G）

b）應檢查關(guān)鍵設(shè)備是否有安全接地，查看機房

是否不存在明顯的靜電現(xiàn)象。

溫濕機房應設(shè)置必要的溫、濕度1兒房應設(shè)置溫、濕度自動調(diào)節(jié)）應訪談物理安全負責人，問詢機房是否配備

度控控制設(shè)施，使機房溫、濕度設(shè)施，使機房溫、濕度的變化了，溫濕度自動調(diào)節(jié)設(shè)施，保證溫濕度能夠滿

制(G)的變化在設(shè)備運行所允許在設(shè)備運行所允許的范圍之各計算機設(shè)備運行的要求，是否在機房管理制

第6頁

的范圍之內(nèi)內(nèi)。度中規(guī)定了溫濕度控制的要求，是否有人負責

此項工作，是否定期檢查和維護機房的溫濕度

自動調(diào)節(jié)設(shè)施，問詢是否沒有浮現(xiàn)過溫濕度影

響系統(tǒng)運行

的事件；

b）應檢查溫濕度自動調(diào)節(jié)設(shè)施是否能夠正常

運行，杳看是否有溫濕度記錄、運行記錄和維

護記錄；查看機房溫濕度是否滿足計算站場地

的技術(shù)條件要求”

a）應在機房供電路線上配a）應在機房供電路線上配置a）應訪談物理安全負責人，問詢計算機系統(tǒng)

置穩(wěn)壓器和過電壓防護設(shè)穩(wěn)壓器和過電壓防護設(shè)備；供電路線上是否設(shè)置了穩(wěn)壓器和過電壓防護設(shè)

電力

備b）應提供短期的備用電力供備；是否設(shè)置了短期備用電源設(shè)備，供電時間

供應

應，至少滿足關(guān)鍵設(shè)備在斷電是否滿足系統(tǒng)關(guān)鍵設(shè)備最低電力供應需求；

（A）

情況下的正常運行要求。））應檢查機房，查看計算機系統(tǒng)供電路線上的

穩(wěn)壓器、過電壓防護設(shè)備和短期備用電源設(shè)

第7頁

備是否正常運行；

c）應檢查是否有穩(wěn)壓器、過電壓防護設(shè)備以及

短期備用電源設(shè)備等的檢查和維護記錄。

a）電源線和通信線纜應隔離鋪0應訪談物理安全負責人，問詢電源線和通信

電磁設(shè)，避免互相干擾。線纜是否隔離鋪設(shè)，是否沒有浮現(xiàn)過因電磁干

防護/擾等問題引起的故障；

（S）b）應檢查機房布線，查看是否做到電源線和通

信線纜隔離。

公應保證關(guān)鍵網(wǎng)絡(luò)a）應保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)a）應訪談網(wǎng)絡(luò)管理員，問詢關(guān)鍵網(wǎng)絡(luò)設(shè)備的性

設(shè)備的業(yè)務處理能力滿足務處理能力具備冗余空間，滿能以及目前業(yè)務高峰流量情況；

結(jié)構(gòu)基本業(yè)務需要；足業(yè)務高峰期需要：b）應訪談網(wǎng)絡(luò)管理員，問詢網(wǎng)段劃分情況以及

網(wǎng)絡(luò)

安全b）應保證接入網(wǎng)絡(luò)和b）應保證接入網(wǎng)絡(luò)和核心網(wǎng)劃分原則；問詢重要的網(wǎng)段有哪些；

安全

（G）核心網(wǎng)絡(luò)的帶寬滿足基本絡(luò)的帶寬滿足業(yè)務高峰期需c）應訪談網(wǎng)絡(luò)管理員，問詢網(wǎng)絡(luò)中帶寬操縱情

業(yè)務需要；要：況以及帶寬分配的原則；

c）應繪制及當前運行c）應繪制及當前運行情況相（1）應檢查網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖，查看其及當前運行

第8頁

情況相符的網(wǎng)絡(luò)拓撲結(jié)構(gòu)守的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖；的實際網(wǎng)絡(luò)系統(tǒng)是否一致；

圖d)應根據(jù)各部門的工作職能、e：應檢查網(wǎng)絡(luò)設(shè)計或者驗收文檔，查看是否有

重要性和所涉及信息的重要程關(guān)鍵網(wǎng)絡(luò)設(shè)備業(yè)務處理能力、接入網(wǎng)絡(luò)及核心

度等因素，劃分不同的子網(wǎng)或彳/網(wǎng)絡(luò)

網(wǎng)段，并按照方便管理和控制的帶寬滿足業(yè)務高峰期需要的設(shè)計或者說明；

的原則為各子網(wǎng)、網(wǎng)段分配地f)應檢查網(wǎng)絡(luò)設(shè)計或者驗收文檔，杳看是否有根

址段。據(jù)各部門的工作職能、重要性和所涉及信息的

重要程度等因素，劃分不同的子網(wǎng)或者網(wǎng)段，

并

按照方便管理和控制的原則為各子網(wǎng)和網(wǎng)段分

用?地加段的設(shè)計或者描述

a)應在網(wǎng)絡(luò)邊界部署訪問a)應在網(wǎng)絡(luò)邊界部署訪問控

a)應訪談安全管理員，問詢網(wǎng)絡(luò)訪問控制措施

訪問控制設(shè)備，啟用訪問控制功別設(shè)備，啟用訪問控制功能；

有哪些；問詢訪問控制策略的設(shè)計原則是什么；

控制能；b)應能根據(jù)會話狀態(tài)信息為

問詢網(wǎng)絡(luò)訪問控制設(shè)備具備哪些訪問控制功

(G)b)應根據(jù)訪問控制列表對數(shù)據(jù)流提供明確的允許/拒絕造；問詢是否允許撥號訪問網(wǎng)絡(luò)；

源地址、目的地址、源端「」、訪問的能力，控制粒度為網(wǎng)月殳b)5檢查邊界網(wǎng)絡(luò)設(shè)備，看看其是否根據(jù)會

第9頁

目的端口和協(xié)議等進行檢級。話狀態(tài)信息對數(shù)據(jù)流進行控制，控制粒度是否

杳，以允許/拒絕數(shù)據(jù)包出C）應按用戶和系統(tǒng)之間的允為網(wǎng)段級；

入；許訪問規(guī)則，決定允許或者拒C）應檢杳邊界網(wǎng)絡(luò)設(shè)備，看看其是含限制具有

絕

c）應通過訪問控制列表對撥號訪問權(quán)限的用戶數(shù)量；

用戶對受控系統(tǒng)進行資源訪

系統(tǒng)資源實現(xiàn)允許或者拒

d）應測試邊界網(wǎng)絡(luò)設(shè)備，可通過試圖訪問未授

絕問，控制粒度為單個用戶；

權(quán)的資源，驗證訪問控制措施是否能對未授權(quán)

用戶訪問，控制粒度至少為d）應限制具有撥號訪問權(quán)限

的訪問行為進行控制，控制粒度是否至少為單

用戶組的用戶數(shù)量

個用戶

a）應訪談安全審計員，問詢邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)

a）應對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)

備是否開啟審計功能，審計內(nèi)容包括哪些項；

備運行狀況、網(wǎng)絡(luò)流量、用戶

問詢審計記錄的主要內(nèi)容有哪些；

安全行為等進行日志記錄；

b）應檢查邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備，查看其審計策

審計/b）審計記錄應包括事件的日

略是否包括網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用

（G）期和時間、用戶、事件類型、

戶行為等：

事件是否成功及其他及審計相

c）應檢查邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備，查看其事件審

辛66金自

第10頁

計記錄是否包括：事件的日期和時間、用戶、

事件類型、事件成功情況。

a）應能夠?qū)?nèi)部網(wǎng)絡(luò)中浮現(xiàn)a應訪談安全管理員，問詢是否對內(nèi)部用戶私

的內(nèi)部用戶未通過準許私自聯(lián)自連接到外部網(wǎng)絡(luò)的行為；

邊界

到外部網(wǎng)絡(luò)的行為進行檢查。））應檢查邊界完整性檢查設(shè)備，查看是否正確

完整

/設(shè)置了對網(wǎng)絡(luò)內(nèi)部用戶私自連接到外部網(wǎng)絡(luò)的

性檢

行為進行有效監(jiān)控的配置：

查⑸

c）應測試邊界完整性檢查設(shè)備，驗證其是否能

夠有效發(fā)現(xiàn)“非法外聯(lián)”的行為。

a）應在網(wǎng)絡(luò)邊界處監(jiān)視以下a）應訪談安全管理員，問詢網(wǎng)絡(luò)入侵防范措

攻擊行為：端口掃描、強力攻施有哪些；問詢是否有專門設(shè)備對網(wǎng)絡(luò)入侵進

入侵

擊、木馬后門攻擊、拒絕服務行防范；

防范/

攻擊、緩沖區(qū)溢出攻擊、IP碎b）應檢查網(wǎng)絡(luò)入侵防范設(shè)備，查看是否能檢測

（G）

片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。以下攻擊行為：端口掃描、強力攻擊、木馬后

門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、1P

第11頁

碎片攻擊、網(wǎng)絡(luò)蠕蟲攻擊等；

C）應檢杳網(wǎng)絡(luò)入侵防范設(shè)備，查看其規(guī)則庫是

否為最新；

d）應測試網(wǎng)絡(luò)入侵防范設(shè)備，驗證其檢測。

惡意

代碼

//

防范

（G）

&）應對登錄網(wǎng)絡(luò)設(shè)備的用a）應對登錄網(wǎng)絡(luò)設(shè)備的用戶應訪談網(wǎng)絡(luò)管理員，問詢邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)

戶進行身份鑒別；進行身份鑒別：備的防護措施有哪%;問詢邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)

網(wǎng)絡(luò)

b）應具有登錄失敗處理功b）應對網(wǎng)絡(luò)設(shè)備的管理員登錄備的登錄和驗證方式做過何種配置；問詢遠程

設(shè)備

能，可采取結(jié)束會話、限制地址進行限制；管理的設(shè)備是否采取措施防止鑒別信息被竊

防護

非法登錄次數(shù)和當網(wǎng)絡(luò)登C）網(wǎng)絡(luò)設(shè)備用戶的標識應唯聽；

（G）

錄連接超時自動退出等措—?））應訪談網(wǎng)絡(luò)管理員，問詢網(wǎng)絡(luò)設(shè)備的口令策

施；d）身份鑒別信息應具有不易被略是什么；

第12頁

f）當對網(wǎng)絡(luò)設(shè)備進行遠程冒用的特點，口令應有復雜度c）應檢杳邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備，杳看是否配置

管理時，應采取必要措施防要求并定期更換；了對登錄用戶進行身份鑒別的功能，口令設(shè)置

是否有復雜度和定期修改要求；

止鑒別信息在網(wǎng)絡(luò)傳輸過力應具有登錄失敗處理功能，

程中被竊聽可采取結(jié)束會話、限制非法登d）應檢杳邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備，杳看是否配置

錄次數(shù)和當網(wǎng)絡(luò)登錄連接超時了鑒別失敗處理功能；

自動退出等措施；e）應檢杳邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備，查看是否配置

f）當對網(wǎng)絡(luò)設(shè)備進行遠程管了對設(shè)備遠程管理所產(chǎn)生的鑒別信息進行保護

理時，應采取必要措施防止鑒的功能；

別信息在網(wǎng)絡(luò)傳輸過程中被竊

f）應檢查邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備，查看是否對網(wǎng)

聽。絡(luò)設(shè)備管理員登錄地址進行限制；

g）應對邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備進行滲透測試，通

過使用各種滲透測試技術(shù)對網(wǎng)絡(luò)設(shè)備進行滲透

測試，驗證網(wǎng)絡(luò)設(shè)備防護能力是否符合要求。

主機身份a）應對登錄操作系統(tǒng)和數(shù)a）應對登錄操作系統(tǒng)和數(shù)據(jù)a）應訪談系統(tǒng)管理員和數(shù)據(jù)庫管理員，問詢操

安全鑒別據(jù)庫系統(tǒng)的用戶進行身份庫系統(tǒng)的用戶進行身份標識和作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的身份標識及鑒別機

第13頁

(S)標識和鑒別鑒別；制采取何種措施實現(xiàn)；

b）操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管b）應訪談系統(tǒng)管理員和數(shù)據(jù)庫管理員，問詢對

理用戶身份標識應具有不易被操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)是否米用了遠程

冒用的特點，口令應有復雜度

管理，如果采用了遠程管理，查看是否采用了

要求并定期更換；防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽的措

c）應啟用登錄失敗處理功能，施；

可采取結(jié)束會話、限制非法登c）應檢杳關(guān)鍵服務器操作系統(tǒng)和關(guān)犍數(shù)據(jù)庫

錄次數(shù)和自動退出等措施；管理系統(tǒng)帳戶列表，查看管理員用戶名分配是

d）當對服務器進行遠程管理否惟一；

時，應采取必要措施，防止鑒d）應檢查關(guān)鍵服務器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫

別信息在網(wǎng)絡(luò)傳輸過程中被竊管理系統(tǒng)，查看是否提供了身份鑒別措施，其

聽；身份鑒別信息是否具有不易被冒用的特點，如

e）應為操作系統(tǒng)和數(shù)據(jù)庫系對用戶登錄口令的最小長度、復雜度和更換周

統(tǒng)的不同用戶分配不同的用戶期進行要求和限制；

名，確保用戶名具有惟一性。0）應檢查關(guān)鍵服務器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫

第14頁

管理系統(tǒng)，查看是否已配置了鑒別失敗處理功

能，設(shè)置了非法登錄次數(shù)的限制值；杳看是否

設(shè)置登錄連接超時處理功能，如自動退出。

安全

標記//

（S）

a）應啟用訪問控制功能，?應啟用訪問控制功能，依據(jù)a）應檢查關(guān)鍵服務器操作系統(tǒng)的安全策略，查

依據(jù)安全策略控制用戶對安全策略控制用戶對資源的訪看是否對重要文件的訪問權(quán)限進行了限制，對

資源的訪問；InA統(tǒng)不需要的服務、共享路徑等進行了禁用或者

訪問C）應限制默認帳戶的訪問b）應實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫刪除；

控制權(quán)限，重命名系統(tǒng)默認帳系統(tǒng)特權(quán)用戶的權(quán)限分離；））應檢杳關(guān)鍵數(shù)據(jù)庫服務器的數(shù)據(jù)庫管理員

（S）戶，修改這些帳戶的默認口C）應限制默認帳戶的訪問權(quán)及操作系統(tǒng)管理員是否由不同管理員擔任：

令；限，重命名系統(tǒng)默認帳戶，修C）應檢查關(guān)鍵服務器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫

d）應及時刪除多余的、過C攵這些帳戶的默認口令；,官理系統(tǒng)，查看匿名/默認用戶的訪問權(quán)限是否

期的帳戶，避免共享帳戶的（.）應及時刪除多余的、過期的已被禁用或者嚴格限制，是否刪除了系統(tǒng)中多

第15頁

存在帳戶，避免共享帳戶的存在。余的、過期的以及共享的帳戶；

d）應檢查關(guān)鍵服務器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫

管理系統(tǒng)的權(quán)限設(shè)置情況，查看是否依據(jù)安全

策略對用戶權(quán)限進行了限制。

可信

/

路徑//

（S）

a）審計范圍應覆蓋到服務器a）應訪談安全審計員，問詢主機系統(tǒng)的安全

上的每一個操作系統(tǒng)用戶和數(shù)審計策略是否包括系統(tǒng)內(nèi)重要用戶行為、系統(tǒng)

據(jù)

資源的異常和重要系統(tǒng)命令的使用等垂耍的安

安全庫用戶；

全相關(guān)事件；

審計/b）審計內(nèi)容應包括重要用戶

））應檢行關(guān)鍵服務器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫

（G）行為、系統(tǒng)資源的異常使用和

管理系統(tǒng)，查看安全審計配置是否符合安全審

重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)

計策略的要求；

重要的安全相關(guān)事件；

c）應檢查關(guān)鍵服務器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫

c）審計記錄應包括事件的日

第16頁

期、時間、類型、主體標識、管理系統(tǒng)，查看審計記錄信息是否包括事件發(fā)

客體標識和結(jié)果等；生的日期及時間、觸發(fā)事件的主體及客體、事

d)應保護審計記錄，避免受到件KJ類型、事件成功或者失敗、事件的結(jié)果等內(nèi)

未預期的刪除、修改或者覆蓋等?容；

d）應檢查關(guān)鍵服務器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫

管理系統(tǒng)，查看是否對審計記錄實施了保護措

施，使其避免受到未預期的刪除、修改或者覆

蓋

等；

剩余

信息

/

保護

⑹

入侵a）操作系統(tǒng)應遵循最小安1）操作系統(tǒng)應遵循最小安裝a應訪談系統(tǒng)管理員，問詢操作系統(tǒng)中所安裝

防范裝的原則，僅安裝需要的組的原則，僅安裝需要的組件和的系統(tǒng)組件和應用程序是否都是必須的，問詢

（G）件和應用程序，并保持系統(tǒng)以用程序，并通過設(shè)置升級服操作系統(tǒng)補丁更新的方式和周期；

第17頁

補丁及時得到更新務器等方式保持系統(tǒng)補丁及時b）應檢查關(guān)鍵服務器操作系統(tǒng)中所安裝的系

得到更新。統(tǒng)組件和應用程序是否都是必須的：

c）應檢杳是否設(shè)置了專門的升級服務器實現(xiàn)

對關(guān)鍵服務器操作系統(tǒng)補丁的升級；

d）應檢查關(guān)鍵服務器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫

管理系統(tǒng)的補丁是否得到了及時安裝。

a）應安裝防惡意代碼軟a應安裝防惡意代碼軟件，并￡0應訪談系統(tǒng)安全管理員，問詢主機系統(tǒng)是否

件，并及時更新防惡意代碼及時更新防惡意代碼軟件版本采取惡意代碼實時檢測及查殺措施，惡意代碼

惡意軟件版本和惡意代碼庫印惡意代碼庫；實時檢測及查殺措施的部署覆蓋范圍如何；

代碼b）應支持防惡意代碼軟件的b）應檢查關(guān)鍵服務器，查看是否安裝了實時檢

防范統(tǒng)一管理。測及查殺惡意代碼的軟件產(chǎn)品并進行及時更

（G）新；

c）應檢查防惡意代碼產(chǎn)品是否實現(xiàn)了統(tǒng)一管

理。

資源/a）應通過設(shè)定終端接入方式、a）應檢查關(guān)鍵服務器操作系統(tǒng)，查看是否設(shè)定

第18頁

控制網(wǎng)絡(luò)地址范圍等條件限制終端終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端

（A）登錄；登錄；

））應根據(jù)安全策略設(shè)置登錄））應檢查關(guān)鍵服務器操作系統(tǒng)，查看是否設(shè)置

終端的操作超時鎖定；了單個用戶對系統(tǒng)資源的最大或者最小使用限

度；

c）應限制單個用戶對系統(tǒng)資

源的最大或者最小使用限度。

c）應檢查能夠訪問關(guān)鍵服務器的終端是否設(shè)

置了操作超時鎖定的配置。

a）應提供專用的登錄控制a）應提供專用的登錄控制模a）應訪談應用系統(tǒng)管理員，問詢應用系統(tǒng)是否

模塊對登錄用戶進行身份塊對登錄用戶進行身份標識和提供專用的登錄控制模塊對登錄的用戶進行身

標識和鑒別；鑒別；份標識和鑒別，具體措施有哪些；系統(tǒng)采取何

身份

種措施防止身份鑒別信息被冒用；

c）應提供登錄失敗處理功））應提供用戶身份標識惟一

鑒別

能，可采取結(jié)束會話、限制和鑒別信息復雜度檢查功能，））應訪談應用系統(tǒng)管理員，問詢應用系統(tǒng)是否

（S）

應用非法登錄次數(shù)和自動退出保證應用系統(tǒng)中不存在重復用具有登錄失敗處理功能；

安全等措施；戶身份標識，身份鑒別信息不（）應訪談應用系統(tǒng)管理員，問詢應用系統(tǒng)對用

d）應啟用身份鑒別和登錄：易被冒用；戶標識是否具有惟一性；

第19頁

失敗處理功能，并根據(jù)安全c）應提供登錄失敗處理功能，d）應檢查設(shè)計或者驗收文檔，查看其是否有系統(tǒng)

策略配置相關(guān)參數(shù)可采取結(jié)束會話、限制非法登采用了保證惟一標識的措施的描述；

錄次數(shù)和自動退出等措施；e）應檢查關(guān)鍵應用系統(tǒng)，皆看其是否提供身份

d）應啟用身份鑒別、用戶身份'標識和鑒別功能；查看其身份鑒別信息是否

標識惟一性檢查、用戶身份鑒具有不易被冒用的特點；其鑒別信息復雜度檢

別信息復雜度檢查以及登錄失查功能是否能保證系統(tǒng)中不存在弱口令等；

敗處理功能，并根據(jù)安全策略'）應檢查關(guān)鍵應用系統(tǒng)，杳看其提供的登錄失

配置相關(guān)參數(shù)。敗處理功能，是否根據(jù)安全策略配置了相關(guān)參

數(shù)；

g）應測試關(guān)鍵應用系統(tǒng)，可通過試圖以合法和

非法用戶分別登錄系統(tǒng)，查看是否成功，驗證