总体项目分考察项目分类类基本要求评测实施测评方式测评对象建设实现7.1.1.1物理位置的选择(G3)a) 应访谈物理安全负责人,询问现有机房和办公场地(放a) 机房和办公场地应选择在具有防震、防置终端计算机设备)的环境条件是否能够满足信息系统业风和防雨等能力的建筑内;务需求和安全管理需求,是否具有基本的防震、防风和防雨等能力;询问机房场地是否符合选址要求;b) 应访谈机房维护人员,询问是否存在因机房和办公场地环境条件引发的安全事件或安全隐患;如果某些环境条件不能满足,是否及时采取了补救措施;c) 应检查机房和办公场地的设计/验收文档,查看是否有b) 机房场地应避免设在建筑物的高层或地机房和办公场地所在建筑能够具有防震、防风和防雨等能下室,以及用水设备的下层或隔壁。力的说明;查看是否有机房场地的选址说明;查看是否与机房和办公场地实际情况相符合;d) 应检查机房和办公场地是否在具有防震、防风和防雨等能力的建筑内;e) 应检查机房场地是否避免在建筑物的高层或地下室,以及用水设备的下层或隔壁;f) 应检查机房场地是否避免设在强电场、强磁场、强震动c)机房场地应当避开强电场、强磁场、强源、强噪声源、重度环境污染、易发生火灾、水灾、易遭震动源、强噪声源、重度环境污染、易发受雷击的地区;g) 如果机房和办公场地的显示器、打印机等设备有敏感或生火灾、水灾、易遭受雷击的地区。密级信息输出,应检查设备摆放位置是否为不易被无关人员看到的隐蔽位置。a) 如果7.1.1.1.4 a)中机房场地的选址符合不在建筑物的高层或地下室,以及用水设备的下层访谈,检查。或隔壁;不在强电场、强磁场、物理安全负责强震动源、强噪声源、重度环境人,机房维护人污染、易发生火灾、水灾、易遭员,机房,办公受雷击的地区等要求,则该项为场地,机房场地肯定;设计/验收文档b) 如果7.1.1.1.4 g)中“如果”条件不成立,则该项为不适用;a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员;b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;7.1.1.2物理访问控制(G3)c)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;a) 应访谈物理安全负责人,了解具有哪些控制机房进出的能力;b) 应访谈物理安全负责人,如果业务或安全管理需要,是否对机房进行了划分区域管理,是否对各个区域都有专门的管理要求;c) 应访谈机房值守人员,询问是否认真执行有关机房出入的管理制度,是否对进入机房的人员记录在案;d) 应检查机房安全管理制度,查看是否有关于机房出入方面的规定;e) 应检查机房出入口是否有专人值守,是否有值守记录,以及进出机房的人员登记记录;检查机房是否存在电子门禁系统控制之外的出入口;f) 应检查机房是否有进入机房的人员身份鉴别措施,如戴有可见的身份辨识标识;g) 应检查是否有来访人员进入机房的审批记录;h) 应检查机房区域划分是否合理,是否在机房重要区域前设置交付或安装等过渡区域;是否对不同区域设置不同机房或者同一机房的不同区域之间设置有效的物理隔离装置(如隔墙等);i) 应检查机房或重要区域配置的电子门禁系统是否有验收文档或产品安全资质;第1页共1页j) 应检查电子门禁系统是否正常工作(不考虑断电后的工
作情况);查看电子门禁系统运行、维护记录;查看监控
访谈,检查。物理安全负责人,机房值守人员,机房设施(电子门禁系统),机房安全管理制度,值守记录,进入机房的登记记录,来访人员进入机房的审批记录,电子门禁系统记录。a) 如果有机房出入的管理制度,指定了专人在机房出入口值守,对进入的人员登记在案并进行身份鉴别,对来访人员须经批准、限制和监控其活动范围,机房或重要区域配置了电子门禁系统,则7.1.1.2.4 a)为肯定;b) 如果7.1.1.2.4 b)认为没有必要对机房进行划分区域管理(如果安全管理需要,计算机设备宜采用分区布置,如可分为主机区、存贮器区、数据输入区、数据输出区、通信区和监控调度区等),则测评实施h)不适用;c) 如果有机房出入的管理制度,指定了专人在机房出入口值守,对进入的人员登记在案并进行身份鉴别,对来访人员须经批准、限制和监控其活动范围,电子门禁系统管理,则7.1.1.2.4 d)为肯定;
d)重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。子门禁系统记录
房或者同一机房的不同区域之间设置有效的物理隔离装置
。
(如隔墙等);
i) 应检查机房或重要区域配置的电子门禁系统是否有验收文档或产品安全资质;j) 应检查电子门禁系统是否正常工作(不考虑断电后的工作情况);查看电子门禁系统运行、维护记录;查看监控进入机房的电子门禁系统记录,是否能够鉴别和记录进入的人员身份。指定了专人在机房出入口值守,对进入的人员登记在案并进行身份鉴别,对来访人员须经批准、限制和监控其活动范围,电子门禁系统管理,则7.1.1.2.4 d)为肯定;a) 应将主要设备放置在机房内;b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记;c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;7.1.1.3防盗窃和防破坏(G3)d) 应对介质分类标识,存储在介质库或档案室中;e) 设备或存储介质携带出工作环境时,应受到监控和内容加密;f) 应利用光、电等技术设置机房防盗报警系统;a) 应访谈物理安全负责人,采取了哪些防止设备、介质等丢失的保护措施;b) 应访谈机房维护人员,询问主要设备放置位置是否做到安全可控,设备或主要部件是否进行了固定和标记,通信线缆是否铺设在隐蔽处;是否设置了冗余或并行的通信线路;是否对机房安装的防盗报警系统和监控报警系统进行定期维护检查;c) 应访谈资产管理员,在介质管理中,是否进行了分类标识,是否存放在介质库或档案室中;询问对设备或存储介质携带出工作环境是否规定了审批程序、内容加密、专人检查等安全保护的措施;d) 应检查主要设备是否放置在机房内或其它不易被盗窃和破坏的可控范围内;检查主要设备或设备的主要部件的固定情况,是否不易被移动或被搬走,是否设置明显的无法除去的标记;e) 应检查通信线缆铺设是否在隐蔽处(如铺设在地下或管道中等)f) 应检查介质的管理情况,查看介质是否有正确的分类标识,是否存放在介质库或档案室中,并且进行分类存放(满足磁介质、纸介质等的存放要求),红外报警等措施;g) 应检查机房防盗报警设施是否正常运行,并查看运行和报警记录;应检查机房的摄像、传感等监控报警系统是否正常运行,并查看运行记录、监控记录和报警记录;h) 应检查有关设备或存储介质携带出工作环境的审批记录,以及专人对内容加密进行检查的记录;i) 应检查是否有设备管理制度文档,通信线路布线文档,介质管理制度文档,介质清单和使用记录,机房防盗报警设施的安全资质材料、安装测试/验收报告;查看文档中的条文是否与设备放置位置、设备或主要部件保护、通信线缆铺设等实际情况一致。j)应检查是否设置光、电技术监控报警系统(如红外等,满足其一即可)a) 如果有设备管理制度,主要设备放置位置做到安全可控,设备或主要部件进行了固定和标记,通信线缆铺设在隐蔽处,介质分类标识并存储在介质库或档案室,机房安装了防止进入盗窃和破坏的利用光、电等技术设置的机房防盗报警系统;设备或存储介质携带出工作环境的审批程序、内容加密、专人检查等措施;机房设置了摄像、传感等监控报警系统,则7.1.1.3.4 a)为肯定;g) 应对机房设置监控报警系统。a) 机房建筑应设置避雷装置;防雷击(G3)
a) 应访谈物理安全负责人,询问为防止雷击事件导致重要设备被破坏采取了哪些防护措施,机房建筑是否设置了避雷装置,是否通过验收或国家有关部门的技术检测;b) 应访谈机房维护人员,询问机房建筑避雷装置是否有人定期进行检查和维护;询问机房计算机系统接地(交流工作接地、安全保护接地)是否符合GB50174-93《电子计算机机房设计规范》的要求;
第2页共2页
c) 应检查机房是否有建筑防雷设计/验收文档,机房接地设计/验收文档,查看是否有地线连接要求的描述,与实际a) 如果计算机机房防雷符合GB50057-1994《建筑物防雷设计规范》(GB157《建筑防雷设计规范》)要求,而且如果是在雷电频繁区域,装设浪涌电压吸收装置
物理安全负责等,则7.1.1.4.4 a)为肯定;人,机房维护人b) 如果地线的引线和大楼的钢筋员,机房设施,网及各种金属管道绝缘,交流工建筑防雷设计/作接地的接地电阻不大于4Ω,安
b) 应设置防雷保安器,防止感应雷;7.1.1.4防雷击(G3)c) 机房应设置交流电源地线。设备被破坏采取了哪些防护措施,机房建筑是否设置了避雷装置,是否通过验收或国家有关部门的技术检测;b) 应访谈机房维护人员,询问机房建筑避雷装置是否有人定期进行检查和维护;询问机房计算机系统接地(交流工作接地、安全保护接地)是否符合GB50174-93《电子计算机机房设计规范》的要求;c) 应检查机房是否有建筑防雷设计/验收文档,机房接地设计/验收文档,查看是否有地线连接要求的描述,与实际情况是否一致;是否在电源和信号线增加有资质的避雷装置,以避免感应雷击;d) 应检查机房是否在电源和信号线增加有资质的避雷装置,以避免感应雷击。询问机房计算机系统接地是否设置了专用地线;50057-1994《建筑物防雷设计规范》(GB157《建筑防雷设计规范》)要求,而且如果是在雷电频访谈,检查。繁区域,装设浪涌电压吸收装置物理安全负责等,则7.1.1.4.4 a)为肯定;人,机房维护人b) 如果地线的引线和大楼的钢筋员,机房设施,网及各种金属管道绝缘,交流工建筑防雷设计/作接地的接地电阻不大于4Ω,安验收文档。全保护地的接地电阻不大于4Ω;防雷保护地(处在有防雷设施的建筑群中可不设此地)的接地电阻不大于10Ω的要求,则7.1.1.4.4 b)为肯定;7.1.1.5防火(G3)7.1.1物理安全
a) 应访谈物理安全负责人,询问机房是否设置了灭火设备,是否设置了自动检测火情、自动报警、自动灭火的自动消防系统,是否有专人负责维护该系统的运行,是否制a) 机房应设置火灾自动消防系统,能够自订了有关机房消防的管理制度和消防预案,是否进行了消动检测火情、自动报警,并自动灭火;防培训;b) 应访谈机房值守人员,询问对机房出现的消防安全隐患是否能够及时报告并得到排除;是否参加过机房灭火设备的使用培训,是否能够正确使用灭火设备和自动消防系统(喷水不适用于机房);c) 应检查机房是否设置了自动检测火情(如使用温感、烟感探测器)、自动报警、自动灭火的自动消防系统,摆放b) 机房及相关的工作房间和辅助房应采用位置是否合理,有效期是否合格;应检查自动消防系统是具有耐火等级的建筑材料;否正常工作,查看运行记录、报警记录、定期检查和维修记录;d) 应检查是否有机房消防方面的管理制度文档;检查是否有机房防火设计/验收文档;检查是否有机房自动消防系统的设计/验收文档,文档是否与现有消防配置状况一致;检查是否有机房及相关房间的建筑材料、区域隔离防火措施c) 机房应采取区域隔离防火措施,将重要的验收文档或消防检查验收文档;设备与其他设备隔离开。e) 应检查机房是否采取区域隔离防火措施,将重要设备与其他设备隔离开。访谈,检查物理安全负责人,机房值守人员,机房设施,机房安全管理制度,机房防火设计/验收文档,自动消防系统设计/验收文档。7.1.1.6防水和防潮(G3)a) 应访谈物理安全负责人,询问机房建设是否有防水防潮a) 水管安装,不得穿过机房屋顶和活动地措施;如果机房内有上下水管安装,是否避免穿过屋顶和板下;活动地板下,穿过墙壁和楼板的水管是否采取了的保护措施,如设置套管;在湿度较高地区或季节是否有人负责机房防水防潮事宜,配备除湿装置;b) 应访谈机房维护人员,询问机房是否出现过漏水和返潮事件;如果机房内有上下水管安装,是否经常检查是否有b) 应采取措施防止雨水通过机房窗户、屋漏水情况;如果出现机房水蒸气结露和地下积水的转移与顶和墙壁渗透;渗透现象是否采取防范措施;c) 应检查机房是否有建筑防水和防潮设计/验收文档,是否与机房防水防潮的实际情况一致;d) 如果有管道穿过主机房墙壁和楼板处,应检查是否有必要的保护措施,如设置套管等;
e) 应检查机房是否不存在屋顶和墙壁等出现过漏水、渗透和返潮现象,机房及其环境是否不存在明显的漏水和返潮
第3页共3页
的威胁;如果出现漏水、渗透和返潮现象是否能够及时修复解决;
访谈,检查。物理安全负责人,机房维护人员,机房设施,a) 如果7.1.1.6.4 d)、f)中建筑防水和防潮“如果”条件不成立,则该项为设计/验收文不适用;档,机房湿度记录,除湿装置运行记录。
防水和防潮(G3)渗透现象是否采取防范措施;
c) 应检查机房是否有建筑防水和防潮设计/验收文档,是否与机房防水防潮的实际情况一致;d) 如果有管道穿过主机房墙壁和楼板处,应检查是否有必要的保护措施,如设置套管等;c) 应采取措施防止机房内水蒸气结露和地e) 应检查机房是否不存在屋顶和墙壁等出现过漏水、渗透下积水的转移与渗透;和返潮现象,机房及其环境是否不存在明显的漏水和返潮的威胁;如果出现漏水、渗透和返潮现象是否能够及时修复解决;f) 如果在湿度较高地区或季节,应检查机房是否有湿度记录,是否有除湿装置并能够正常运行,是否有防止出现机d) 应安装对水敏感的检测仪表或元件,对房地下积水的转移与渗透的措施,是否有防水防潮处理记机房进行防水检测和报警。录和除湿装置运行记录,与机房湿度记录情况是否一致。人,机房维护人
员,机房设施,
建筑防水和防潮“如果”条件不成立,则该项为设计/验收文不适用;档,机房湿度记录,除湿装置运行记录。a) 主要设备应采用必要的接地防静电措施;7.1.1.7防静电(G3)b) 机房应采用防静电地板。a) 应访谈物理安全负责人,询问机房是否采用必要的接地等防静电措施,是否有控制机房湿度的措施;在静电较强地区的机房是否采取了有效的防静电措施;b) 应访谈机房维护人员,询问是否经常检查机房湿度,并控制在GB2887中的规定的范围内;询问机房是否存在静电问题或因静电引起的故障事件;如果存在静电时是否及时采取消除静电的措施;c) 应检查机房是否有防静电设计/验收文档,查看其描述内容与实际情况是否一致;d) 应检查机房是否有安全接地,查看机房的相对湿度的记录是否符合GB2887中的规定,查看机房是否不存在明显的静电现象;e) 如果在静电较强的地区,应检查机房是否了采用了如防静电地板、防静电工作台、以及静电消除剂和静电消除器等措施。a) 7.1.1.7.4 e)中有效的防静访谈,检查。电措施,可以包括如防静电地板物理安全负责、防静电工作台,或静电消除剂人,机房维护人和静电消除器等措施的部分或全员,机房设施,部,则该项为肯定;防静电设计/验b) 如果7.1.1.7.4 e)中“如果收文档,湿度记”条件不成立,则该项为不适录。用;7.1.1.8温湿度控制(G3)机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。a) 应访谈物理安全负责人,询问机房是否配备了恒温恒湿系统,保证温湿度能够满足计算机设备运行的要求,是否在机房管理制度中规定了温湿度控制的要求,是否有人负责此项工作;b) 应访谈机房维护人员,询问是否定期检查和维护机房的温湿度自动调节设施,询问是否出现过温湿度影响系统运行的事件;c) 应检查机房是否有温湿度控制设计/验收文档,是否能够满足系统运行需要,是否与当前实际情况相符合;d) 应检查恒温恒湿系统是否能够正常运行,查看是否有温湿度记录、运行记录和维护记录;查看机房温、湿度是否满足GB 2887-89《计算站场地技术条件》的要求。访谈,检查。物理安全负责人,机房维护人员,机房设施,温湿度控制设计/验收文档,温湿度记录、运行记录和维护记录。第4页共4页
7.1.1.9电力供应(A3)a) 应访谈物理安全负责人,询问计算机系统供电线路是否a) 应在机房供电线路上配置稳压器和过电与其他供电分开;询问计算机系统供电线路上是否设置了压防护设备;稳压器和过电压防护设备;是否设置了短期备用电源设备(如UPS),供电时间是否满足系统最低电力供应需求;是否安装了冗余或并行的电力电缆线路(如双路供电方式);是否建立备用供电系统(如备用发电机);b) 应访谈机房维护人员,询问是对在计算机系统供电线路上的稳压器、过电压防护设备、短期备用电源设备等进行定期检查和维护;是否能够控制电源稳压范围满足计算机系统运行正常;c) 应访谈机房维护人员,询问冗余或并行的电力电缆线路b) 应提供短期的备用电力供应,至少满足(如双路供电方式)在双路供电切换时是否能够对计算机主要设备在断电情况下的正常运行要求;系统正常供电;是否定期检查备用供电系统(如备用发电机),是否能够在规定时间内正常启动和正常供电;d) 应检查机房是否有电力供应安全设计/验收文档,查看文档中是否标明单独为计算机系统供电,配备稳压器、过电压防护设备、备用电源设备以及冗余或并行的电力电缆线路等要求;查看与机房电力供应实际情况是否一致;e) 应检查计算机供电线路,查看计算机系统供电是否与其他供电分开;c) 应设置冗余或并行的电力电缆线路为计f) 应检查机房,查看计算机系统供电线路上的稳压器、过电压防护设备和短期备用电源设备是否正常运行,查看供算机系统供电;电电压是否正常;g) 应检查是否有稳压器、过电压防护设备以及短期备用电源设备等电源设备的检查和维护记录,以及冗余或并行的电力电缆线路切换记录,备用供电系统运行记录;以及上述计算机系统供电的运行记录,是否能够符合系统正常运行的要求;h) 应测试安装的冗余或并行的电力电缆线路(如双路供电方式),是否能够进行双路供电切换;i) 应测试备用供电系统(如备用发电机)是否能够在规定d) 应建立备用供电系统。时间内正常启动和正常供电。访谈,检查,测试。物理安全负责人,机房维护人员,机房设施,电力供应安全设计/验收文档,检查和维护记录。7.1.1.10电磁防护(S3)a) 应访谈物理安全负责人,询问是否有防止外界电磁干扰a) 应采用接地方式防止外界电磁干扰和设和设备寄生耦合干扰的措施(包括设备外壳有良好的接备寄生耦合干扰;地;电源线和通信线缆隔离等);是否对处理秘密级信息的设备采取了防止电磁泄露的措施;b) 应访谈机房维护人员,询问是否对设备外壳做了良好的接地;是否做到电源线和通信线缆隔离;是否出现过因电磁防护问题引发的故障;处理秘密级信息的设备是否为低b) 电源线和通信线缆应隔离铺设,避免互辐射设备,是否安装了满足BMB4-2000《电磁干扰器技术要相干扰;求和测试方法》要求的二级电磁干扰器;c) 应检查机房是否有电磁防护设计/验收文档,查看其描述内容与实际情况是否一致;d) 应检查机房设备外壳是否有安全接地;
e) 应检查机房布线,查看是否做到电源线和通信线缆隔
第5页共5页离;
f) 应检查使用电磁干扰器的涉密设备开机,是否同时开启
访谈,检查。物理安全负责人,机房维护人员,机房设施,电磁防护设计/验收文档。电磁防护(S3)
辐射设备,是否安装了满足BMB4-2000《电磁干扰器技术要求和测试方法》要求的二级电磁干扰器;
c) 应检查机房是否有电磁防护设计/验收文档,查看其描述内容与实际情况是否一致;d) 应检查机房设备外壳是否有安全接地;e) 应检查机房布线,查看是否做到电源线和通信线缆隔c) 应对关键设备和磁介质实施电磁屏蔽。离;f) 应检查使用电磁干扰器的涉密设备开机,是否同时开启电磁干扰器。人,机房维护人员,机房设施,电磁防护设计/验收文档。7.1.2.1结构安全(G3)a) 应保证主要网络设备的业务处理能力具a) 可访谈网络管理员,询问信息系统中的边界和主要网络设备的性能以及目前业务高峰流量情况;备冗余空间,满足业务高峰期需要;b) 可访谈网络管理员,询问网段划分情况以及划分的原则;询问重要的网段有哪些,对重要网段的保护措施有哪些;c) 可访谈网络管理员,询问网络的带宽情况;询问网络中带宽控制情况以及带宽分配的原则;d) 可访谈网络管理员,询问网络设备上的路由控制策略措b) 应保证网络各个部分的带宽满足业务高施有哪些,这些策略设计的目的是什么;峰期需要;e) 应检查网络拓扑图,查看其与当前运行情况是否一致;f) 应检查网络设计/验收文档,查看是否有边界和主要网络设备能满足基本业务需求,网络接入及核心网络的带宽能满足业务高峰期的需要,是否不存在带宽瓶颈等方面的设计或描述;g) 应检查网络设计/验收文档,查看是否有根据各部门的c) 应在业务终端与业务服务器之间进行路工作职能、重要性和所涉及信息的重要程度等因素,划分由控制建立安全的访问路径;不同的子网或网段,并按照方便管理和控制的原则为各子网和网段分配地址段的设计或描述;h) 应检查边界和主要网络设备,查看是否配置路由控制策略(如使用静态路由等)建立安全的访问路径;i) 应检查边界和主要网络设备,查看重要网段是否采取了网络地址与数据链路地址绑定的措施(如对重要服务器采d) 应绘制与当前运行情况相符的网络拓扑用IP地址和MAC地址绑定措施);结构图;j) 应检查边界和主要网络设备,查看是否有对带宽进行控制的策略(如路由、交换设备上的QOS策略配置情况,专用的带宽管理设备的配置策略等),这些策略能否保证在网络发生拥堵的时候优先保护重要业务(如重要业务的主机e) 应根据各部门的工作职能、重要性和所的优先级要高于非重要业务的主机);涉及信息的重要程度等因素,划分不同的k) 应测试网络拓扑结构,可通过网络拓扑结构自动发现、子网或网段,并按照方便管理和控制的原绘制工具,验证实际的网络拓扑结构和网络拓扑结构图是否一致;则为各子网、网段分配地址段;l) 应测试业务终端与业务服务器之间的访问路径,可通过使用路由跟踪工具(如tracert等工具),验证业务终端与业务服务器之间的访问路径是否安全(如访问路径是否固定等);f) 应避免将重要网段部署在网络边界处且m) 应测试重要网段,验证其采取的网络地址与数据链路地直接连接外部信息系统,重要网段与其他址绑定措施是否有效(如试图使用非绑定地址,查看是否网段之间采取可靠的技术隔离手段;能正常访问等);n) 应测试网络带宽分配策略,可通过使用带宽测试工具,测试网络带宽分配是否有效。g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。第6页共6页咨询服务:了解关键网络设备(如路由器、交换机、防火墙/UTM等)的处理能力,同时了解业务高峰期的带宽占用,两者对比来确定本项是否满足。如果不满足,给出解决建议咨询服务:在关键设备上配置带宽控制策略,已满足业务高峰要求咨询服务:在边界设备上配置路由策略,保障业务终端和业务服访谈,检查,测务器之间的访问路径安全试。网络管理员,边界和主要网络设备,网络拓扑图,网络设计/咨询服务:协助绘制正确的网络验收文档。拓扑结构图咨询服务:进行安全域划分,并对网段、IP进行统一合理规划部署UTM/FW/隔离机部署并配置交换机/UTM/FW/流控产品/负载均衡产品/终端安全管理a) 应在网络边界部署访问控制设备,启用访问控制功能;部署交换机、FW、UTM等b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;部署FW、UTM、IPSa) 可访谈安全员,询问采取的网络访问控制措施有哪些;询问访问控制策略的设计原则是什么;询问访问控制策略是否做过调整,以及调整后和调整前的情况如何;b) 应检查边界网络设备,查看其是否根据会话状态信息(如包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息,并应支持地址通配符的使用)对数据流进行控制;c) 应检查边界网络设备,查看其是否对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;d) 应检查边界网络设备,查看是否能设置会话处于非活跃的时间或会话结束后自动终止网络连接;查看是否能设置网络最大流量数及网络连接数;e) 应检查主要网络设备,查看是否有访问控制措施(如VLAN,访问控制列表,MAC地址绑定)控制便携式和移动式设备接入网络;f) 应测试边界网络设备,可通过试图访问未授权的资源,验证访问控制措施对未授权的访问行为的控制是否有效(如可以使用扫描工具来探测等);g) 应测试主要网络设备,可通过试图用移动设备接入网络,验证网络设备的访问控制策略是否有效;h) 应对网络访问控制措施进行渗透测试,可通过采用多种渗透测试技术(如http隧道等),验证网络访问控制措施是否不存在明显的弱点。c) 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;d) 应在会话处于非活跃一定时间或会话结束后终止网络连接;7.1.2.2访问控制(G3)e) 应限制网络最大流量数及网络连接数;f) 重要网段应采取技术手段防止地址欺骗;部署UTM、IPS、上网行为管理产品,网络审计部署FW、UTM访谈,检查,测试。安全员,边界网部署FW、UTM络设备(包括网络安全设备)。部署FW、UTM:内网管理IP/MAC绑定功能g) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;部署FW、UTM、网络审计、终端安全管理h) 应限制具有拨号访问权限的用户数量。部署FW、UTM、内网管理第7页共7页
a) 可访谈安全员,询问是否允许拨号访问网络;询问对拨号访问控制的策略是什么,采取什么技术手段实现拨号访问控制(如使用防火墙还是使用路由器实现),采取的拨拨号访问控制号访问用户的权限分配原则是什么;询问对保护访问的认a) 应在基于安全属性的允许远程用户对系证方式有哪些;统访问的规则的基础上,对系统所有资源b) 应检查边界网络设备(如路由器,防火墙,认证网允许或拒绝用户进行访问,控制粒度为单关),查看是否正确的配置了拨号访问控制列表(对系统个用户;资源实现允许或拒绝访问),控制粒度是否为单个用户;b) 应限制具有拨号访问权限的用户数量;查看其能否限制拨号访问权限的用户数量;c) 应按用户和系统之间的允许访问规则,c) 应测试边界网络设备,可通过试图非授权的访问,验证决定允许用户对受控系统进行资源访问。拨号访问措施能否有效对系统资源实现允许或拒绝用户访问的控制;d) 应测试边界网络设备,可使用测试拨号连接数工具,验证其限制具有拨号访问权限的用户数量的功能是否有效。访谈,检查,测试。安全员,边界网违规外联控制系统络设备(包括网络安全设备)。a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;7.1.2网络安全
7.1.2.3安全审计(G3)b) 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;c) 应能够根据记录数据进行分析,并生成审计报表;d) 应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。a) 可访谈审计员,询问网络系统中的边界和关键网络设备是否设置安全审计,包括哪些项;询问审计记录的主要内容有哪些;对审计记录的处理方式有哪些;b) 应检查边界和主要网络设备,查看审计记录是否包含网络系统中的网络设备运行状况、网络流量、用户行为等;c) 应检查边界和主要网络设备,查看事件审计记录是否包括:事件的日期和时间、用户、事件类型、事件成功情况,及其他与审计相关的信息;d) 应检查边界和主要网络设备,查看是否可以对特定事件,按照指定方式进行实时报警(如声音、EMAIL、短信等);e) 应检查边界和主要网络设备,查看是否为授权用户浏览和分析审计数据提供专门的审计工具(如对审计记录进行分类、排序、查询、统计、分析和组合查询等),并能根据需要生成审计报表;f) 应测试边界和主要网络设备,可通过以某个用户试图产生一些重要的安全相关事件(如鉴别失败等),验证安全审计的覆盖情况和记录情况与要求是否一致;g) 应测试边界和主要网络设备,可通过以某个系统用户试图删除、修改或覆盖审计记录,验证安全审计的保护情况与要求是否一致。部署网管系统、网络审计、流量分析系统、安全管理平台。访谈,检查,测部署网络审计试。审计员,边界和主要网络设备。部署网络审计部署网络审计7.1.2.4边界完整性检查
a) 可访谈安全员,询问是否有对内部用户未通过准许私自联到外部网络的行为、对非授权设备私自联到网络的行为进行监控的措施,具体采取什么措施;询问网络内“非a) 应能够对非授权设备私自联到内部网络法外联”的情况;的行为进行检查,准确定出位置,并对其b) 应检查边界完整性检查设备运行日志,查看运行是否进行有效阻断;正常(查看是否持续对网络进行监控);c) 应检查边界完整性检查设备,查看是否设置了同时对非法联接到内网和非法联接到外网的行为进行监控;查看是否对发现的非法联接行为进行有效的阻断;d) 应测试边界完整性检查设备,测试是否能有效的发现第8页共8页“非法外联”的行为(如产生非法外联的动作,查看边界完整性检查设备是否能够发现该行为);
部署终端安全管理:防止非法接入功能,同时利用UTM和天珣的配合访谈,检查,测试。安全员,边界完整性检查设备,
7.1.2.4边界完整性检查(S3)非法联接到内网和非法联接到外网的行为进行监控;查看是否对发现的非法联接行为进行有效的阻断;
d) 应测试边界完整性检查设备,测试是否能有效的发现“非法外联”的行为(如产生非法外联的动作,查看边界完整性检查设备是否能够发现该行为);e) 应测试边界完整性检查设备,测试是否确定出“非法外联”设备的位置,并对其进行有效阻断(如产生非法外联的动作,查看边界完整性检查设备是否能够准确定位并b) 应能够对内部网络用户私自联到外部网阻断);络的行为进行检查,准确定出位置,并对f) 应测试边界完整性检查设备,测试是否能够对非授权其进行有效阻断。设备私自联到网络的行为进行检查,并准确定出位置,对其进行有效阻断(如产生非法接入的动作,查看测试边界完整性检查设备是否能准确的发现,准确的定位并产生阻断)。试。
安全员,边界完整性检查设备,边界完整性检查设备运行日志。部署终端安全管理、非法外联监控7.1.2.5入侵防范(G3)a) 可访谈安全员,询问网络入侵防范措施有哪些;是否有专门的设备对网络入侵进行防范;询问网络入侵防范规则a) 应在网络边界处监视以下攻击行为:端库的升级方式;口扫描、强力攻击、木马后门攻击、拒绝b) 应检查网络入侵防范设备,查看是否能检测以下攻击行服务攻击、缓冲区溢出攻击、IP碎片攻击为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击和网络蠕虫攻击等;、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等;c) 应检查网络入侵防范设备,查看入侵事件记录中是否包括入侵的源IP、攻击的类型、攻击的目的、攻击的时间等;d) 应检查网络入侵防范设备,查看其生产厂商是否为正规厂商,规则库是否为最新;e) 应测试网络入侵防范设备,验证其监控策略是否有效(如模拟产生攻击动作,查看网络入侵防范设备的反b) 当检测到攻击行为时,记录攻击源IP、应);攻击类型、攻击目的、攻击时间,在发生f) 应测试网络入侵防范设备,验证其报警策略是否有效严重入侵事件时应提供报警。(如模拟产生攻击动作,查看网络入侵防范设备是否能实时报警)。访谈,检查,测试。部署IDS、UTM、IPS、Ddos产品安全员,网络入侵防范设备。7.1.2.6恶意代码防范(G3)a) 可访谈安全员,询问系统中的网络防恶意代码防范措施是什么;询问恶意代码库的更新策略;询问防恶意代码产a) 应在网络边界处对恶意代码进行检测和品的有哪些主要功能;询问系统是否发生过针对恶意代码清除;入侵的安全事件;b) 应检查设计/验收文档,查看其是否有在网络边界及核心业务网段处有对恶意代码采取相关措施(如是否有防病毒网关),防恶意代码产品是否有实时更新的功能的描述;c) 应检查恶意代码产品运行日志,查看是否持续运行;d) 应检查在网络边界及核心业务网段处是否有相应的防恶意代码的措施;e) 应检查防恶意代码产品,查看是否为正规厂商生产,运b) 应维护恶意代码库的升级和检测系统的行是否正常,恶意代码库是否为最新版本;更新。f) 应检查防恶意代码产品的配置策略,查看是否支持恶意代码防范的统一管理(如查看是否为分布式部署,集中管理等)。第9页共9页部署IDS、UTM、IPS、网络防病毒(防病毒网关等)访谈,检查。安全员,防恶意代码产品,设计/验收文档,恶意代码产品运行日志。要求厂商具备持续更新特征库的能力a) 应对登录网络设备的用户进行身份鉴别;a) 可访谈网络管理员,询问对关键网络设备的防护措施有b) 应对网络设备的管理员登录地址进行限哪些;询问对关键网络设备的登录和验证方式做过何种特制;定配置;b) 应访谈网络管理员,询问网络设备的口令策略是什么;c) 应检查边界和主要网络设备上的安全设置,查看其是否c) 网络设备用户的标识应唯一;有对鉴别失败采取相应的措施的设置;查看是否有限制非d) 主要网络设备应对同一用户选择两种或法登录次数的功能;d) 应检查边界和主要网络设备上的安全设置,查看是否对两种以上组合的鉴别技术来进行身份鉴边界和主要网络设备的管理员登录地址进行限制;查看是别;否设置网络登录连接超时,并自动退出;查看是否实现设备特权用户的权限分离;查看是否对网络上的对等实体进行身份鉴别;查看是否对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别(如同时使用口令和地址绑定等);e) 应测试边界和主要网络设备的安全设置,验证鉴别失败e) 身份鉴别信息应具有不易被冒用的特处理措施(如模拟失败登录,观察网络设备的动作等),点,口令应有复杂度要求并定期更换;限制非法登录次数(如模拟非法登录,观察网络设备的动作等),对网络设备的管理员登录地址进行限制(如使用任意地址登录,观察网络设备的动作等)等功能是否有效;f) 应测试边界和主要网络设备的安全设置,验证其网络登录连接超自动退出的设置是否有效(如长时间连接无任何操作,观察观察网络设备的动作等);f) 应具有登录失败处理功能,可采取结束g) 应对边界和主要网络设备进行渗透测试,通过使用各种会话、限制非法登录次数和当网络登录连渗透测试技术(如口令猜解等)对网络设备进行渗透测接超时自动退出等措施;试,验证网络设备防护能力是否符合要求。g) 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;h) 应实现设备特权用户的权限分离。a) 应检查服务器操作系统和数据库管理系统身份鉴别功能是否具有《信息安全等级保护操作系统安全技术要求》和《信息安全等级保护数据库管理系统安全技术要求》第二级以上或TCSEC C2级以上的测试报告;b) 可访谈系统管理员,询问操作系统的身份标识与鉴别机a) 应对登录操作系统和数据库系统的用户制采取何种措施实现,目前系统提供了哪些身份鉴别措施和鉴别失败处理措施;进行身份标识和鉴别;c) 可访谈数据库管理员,询问数据库的身份标识与鉴别机制采取何种措施实现,目前系统提供了哪些身份鉴别措施和鉴别失败处理措施;d) 应检查服务器操作系统文档和数据库管理系统文档,查看用户身份标识的唯一性是由什么属性来保证的(如用户名或者UID等);e) 应检查主要服务器操作系统和主要数据库管理系统,查看是否提供了身份鉴别措施(如用户名和口令等),其身份鉴别信息是否具有不易被冒用的特点,例如,口令足够第10页共10页
长,口令复杂(如规定字符应混有大、小写字母、数字和
1、通过设备本身的安全配置来实现身份鉴别2、通过安全产品来实现身份鉴别,如CA、动态口令卡、USB-Key、指纹认证、生物认证借助网络设备自身的认证功能。咨询服务:对网络设备命名做统一规划2、通过安全产品来实现身份鉴别,如CA、动态口令卡、USB-Key、指纹认证、生物认证访谈,检查,测试。网络管理员,边界和主要网络设备。安全管理制度与认证产品自身设置a) 如网络设备的口令策略为口令长度8位以上,口令复杂(如规定字符应混有大、小写字母、数字和特殊字符),口令生命周期,新旧口令的替换要求(规定替换的字符数量)或为了便于记忆使用了令牌;则7.1.2.8.4 b)满足测评要求;7.1.2.7网络设备防护(G3)认证产品策略配置通信加密、数据加密产品等安全管理制度与策略1、咨询服务:安全加固2、安全产品:CA、电子公文系统、动态口令卡、USB-Key、生物认证等a) 如果7.1.3.1.4 a)为肯定,则测评实施j)、k)和l)为肯定;d) 如果7.1.3.1.4 p)中没有常见的绕过认证方式进行系统登录的方法,则该项为肯定;b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;7.1.3.1身份鉴别(S3)c) 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;d) 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;e) 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。f) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。d) 应检查服务器操作系统文档和数据库管理系统文档,查看用户身份标识的唯一性是由什么属性来保证的(如用户名或者UID等);e) 应检查主要服务器操作系统和主要数据库管理系统,查看是否提供了身份鉴别措施(如用户名和口令等),其身份鉴别信息是否具有不易被冒用的特点,例如,口令足够长,口令复杂(如规定字符应混有大、小写字母、数字和特殊字符),口令生命周期,新旧口令的替换要求(如规定替换的字符数量)或为了便于记忆使用了令牌;f) 应检查主要服务器操作系统和主要数据库管理系统,查看身份鉴别是否采用两个及两个以上身份鉴别技术的组合来进行身份鉴别(如采用用户名/口令、挑战应答、动态口令、物理设备、生物识别技术和数字证书方式的身份鉴别技术中的任意两个组合);g) 应检查主要服务器操作系统和主要数据库管理系统,查看是否已配置了鉴别失败处理功能,并设置了非法登录次数的限制值,对超过限制值的登录终止其鉴别会话或临时封闭帐号;查看是否设置网络登录连接超时,并自动退出;查看是否设置鉴别警示信息;h) 应检查主要服务器操作系统,查看服务器操作系统是否对与之相连的服务器或终端设备进行身份标识和鉴别;i) 应测试主要服务器操作系统和主要数据库管理系统,可通过错误的用户名和口令试图登录系统,验证鉴别失败处理功能是否有效;j) 应测试主要服务器操作系统和主要数据库管理系统,当进入系统时,是否先需要进行标识(如建立账号),而没有进行标识的用户不能进入系统;k) 应测试主要服务器操作系统和主要数据库管理系统,添加一个新用户,其用户标识为系统原用户的标识(如用户名或UID),查看是否不会成功;l) 应测试主要服务器操作系统和主要数据库管理系统,删除一个用户标识,然后再添加一个新用户,其用户标识和所删除的用户标识一样(如用户名/UID),查看是否不能成功;m) 应测试主要服务器操作系统,可通过使用未进行身份标识和鉴别的主机连接该服务器,验证主机系统能否正确地对与之相连的服务器或终端设备进行身份标识和鉴别;n) 应渗透测试主要服务器操作系统,可通过使用口令破解工具等,对服务器操作系统进行用户口令强度检测,查看能否破解用户口令,破解口令后能否登录进入系统;o) 应渗透测试主要服务器操作系统,验证已存在的非授权账号(如安装一些服务后会系统会增加的新账号)是否不能与系统进行交互式登录管理;p) 应渗透测试主要服务器操作系统,测试是否存在绕过认证方式进行系统登录的方法,例如,认证程序存在的BUG,社会工程或其他手段等。操作系统和数据库系统自身设计实现b) 如果不采用用户名/口令方式的进行身份鉴别,则7.1.3.1.4n)不适用;c) 如果7.1.3.1.4 o)中能破解口令,则该项为否定;访谈,检查,测试。系统管理员,数据库管理员,主要服务器操作系统,主要数据库操作系统和数据库系统自身设计管理系统,服务实现器操作系统文档,数据库管理系统文档。传输链路防护或加密技术操作系统和数据库系统自身设计实现操作系统和数据库系统自身设计实现a) 应启用访问控制功能,依据安全策略控制用户对资源的访问;a) 应检查服务器操作系统和数据库管理系统的自主访问控制功能是否具有《信息安全等级保护 操作系统安全技术要求》和《信息安全等级保护 数据库管理系统安全技术要求》第二级以上或TCSEC C2级以上的测试报告;
b) 应检查服务器操作系统和数据库管理系统的安全策略,查看是否明确主体(如用户)以用户和/或用户组的身份规
第11页共11页定对客体(如文件或系统设备,目录表和存取控制表访问控
制等)的访问控制,覆盖范围是否包括与信息安全直接相
b) 应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;c) 应实现操作系统和数据库系统特权用户的权限分离;7.1技术要求
7.1.3.2访问控制d) 应严格限制默认帐户的访问权限,重命(S3)-自名系统默认帐户,修改这些帐户的默认口主访问控令;制e) 应及时删除多余的、过期的帐户,避免共享帐户的存在。f) 应对重要信息资源设置敏感标记;制功能是否具有《信息安全等级保护 操作系统安全技术要求》和《信息安全等级保护 数据库管理系统安全技术要求》第二级以上或TCSEC C2级以上的测试报告;b) 应检查服务器操作系统和数据库管理系统的安全策略,查看是否明确主体(如用户)以用户和/或用户组的身份规定对客体(如文件或系统设备,目录表和存取控制表访问控制等)的访问控制,覆盖范围是否包括与信息安全直接相关的主体(如用户)和客体(如文件,数据库表等)及它们之间的操作(如读、写或执行);c) 应检查服务器操作系统和数据库管理系统的安全策略,查看是否明确主体(如用户)具有非敏感标记(如角色),并能依据非敏感标记规定对客体的访问;d) 应检查主要服务器操作系统和主要数据库管理系统的访问控制列表,查看授权用户中是否不存在过期的帐号和无用的帐号等;访问控制列表中的用户和权限,是否与安全策略相一致;e) 应检查主要服务器操作系统和主要数据库管理系统,查看客体(如文件,数据库表、视图、存储过程和触发器等)的所有者是否可以改变其相应访问控制列表的属性,得到授权的用户是否可以改变相应客体访问控制列表的属性;f) 应检查主要服务器操作系统和主要数据库管理系统,查看特权用户的权限是否进行分离,如可分为系统管理员、安全管理员、安全审计员等;查看是否采用最小授权原则(如系统管理员只能对系统进行维护,安全管理员只能进行策略配置和安全设置,安全审计员只能维护审计信息等);g) 应检查主要服务器操作系统和主要数据库管理系统,查看在系统管理员、安全管理员、安全审计员之间是否设置了相互制约关系(如系统管理员、安全管理员等不能对审计日志,安全审计员管理不了审计数据的开启、关闭、删除等重要事件的审计日志等);h) 应查看主要服务器操作系统和主要数据库管理系统,查看匿名/默认用户的访问权限是否已被禁用或者严格限制(如限定在有限的范围内);i) 应测试主要服务器操作系统和主要数据库管理系统,依据系统访问控制的安全策略,试图以未授权用户身份/角色访问客体,验证是否不能进行访问。检查,测试。主要服务器操作系统,主要数据库管理系统,安全策略。1、咨询服务:安全加固2、安全产品:个人防火墙、HIDS、内网安全管理等a) 如果7.1.3.2.4 a)为肯定,则测评实施e)和i)为肯定;g) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;a) 应启用访问控制功能,依据安全策略控a) 应检查服务器操作系统和数据库管理系统的强制访问控制用户对资源的访问;制是否具有《信息安全等级保护 操作系统安全技术要求》和《信息安全等级保护 数据库管理系统安全技术要求》第三级以上的测试报告;b) 应根据管理用户的角色分配权限,实现b) 应检查主要服务器操作系统和主要数据库管理系统,查管理用户的权限分离,仅授予管理用户所看是否能对重要信息资源和访问重要信息资源的所有主体设置敏感标记,这些敏感标记是否构成多级安全模型的属需的最小权限;性库,主体和客体的敏感标记是否以默认方式生成或由安全员建立、维护和管理;c) 应检查服务器操作系统文档,查看强制访问控制模型是
否采用“向下读,向上写”模型,如果操作系统采用其他试。
的强制访问控制模型,则操作系统文档是否对这种模型进主要服务器操作
访问控制计指南》中的相关附录。第12页共12页行详细分析,并有权威机构对这种强制访问控制模型的合系统,主要数据(S3)-强最好的技术手段是在主机系统的
理性和完善性进行检测证明;库管理系统,服
制访问控设计时实现,而不是使用外置或
7.1.3.2访问控制(S3)-强制访问控d) 应严格限制默认帐户的访问权限,重命制名系统默认帐户,修改这些帐户的默认口令;e) 应及时删除多余的、过期的帐户,避免共享帐户的存在。f) 应对重要信息资源设置敏感标记;c) 应实现操作系统和数据库系统特权用户的权限分离;g) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;看是否能对重要信息资源和访问重要信息资源的所有主体设置敏感标记,这些敏感标记是否构成多级安全模型的属性库,主体和客体的敏感标记是否以默认方式生成或由安全员建立、维护和管理;c) 应检查服务器操作系统文档,查看强制访问控制模型是否采用“向下读,向上写”模型,如果操作系统采用其他的强制访问控制模型,则操作系统文档是否对这种模型进行详细分析,并有权威机构对这种强制访问控制模型的合理性和完善性进行检测证明;d) 应检查服务器操作系统和主要数据库管理系统文档,查看强制访问控制是否与用户身份鉴别、标识等安全功能密切配合,并且控制粒度达到主体为用户级,客体为文件和数据库表级;e) 应测试主要服务器操作系统和主要数据库管理系统,依据系统文档描述的强制访问控制模型,以授权用户和非授权用户身份访问客体,验证是否只有授权用户可以访问客体,而非授权用户不能访问客体;f) 应渗透测试主要服务器操作系统和主要数据库管理系统,可通过非法终止强制访问模块,非法修改强制访问相关规则,使用假冒身份等方式,测试强制访问控制是否安全、可靠。访谈,检查,测试。主要服务器操作系统,主要数据库管理系统,服务器操作系统文档,数据库管理系统文档。详细实现方式,可参见《方案设计指南》中的相关附录。最好的技术手段是在主机系统的设计时实现,而不是使用外置或外加设备/系统弥补。7.1.3主机安全
7.1.3.3安全审计(G3)a) 可访谈安全审计员,询问主机系统是否设置安全审计;询问主机系统对事件进行审计的选择要求和策略是什么;对审计日志的处理方式有哪些;b) 应检查主要服务器操作系统、重要终端操作系统和主要数据库管理系统,查看当前审计范围是否覆盖到每个用户;c) 应检查主要服务器操作系统、重要终端操作系统和主要a) 审计范围应覆盖到服务器和重要客户端数据库管理系统,查看审计策略是否覆盖系统内重要的安上的每个操作系统用户和数据库用户;全相关事件,例如,用户标识与鉴别、自主访问控制的所有操作记录、重要用户行为(如用超级用户命令改变用户身份,删除系统表)、系统资源的异常使用、重要系统命令的使用(如删除客体)等;d) 应检查主要服务器操作系统、重要终端操作系统和主要数据库管理系统,查看审计记录信息是否包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、事件成功或失败、身份鉴别事件中请求的来源(如末端标识符)、事件的结果等内容;e) 应检查主要服务器和重要终端操作系统,查看是否为授权用户浏览和分析审计数据提供专门的审计工具(如对审b) 审计内容应包括重要用户行为、系统资计记录进行分类、排序、查询、统计、分析和组合查询源的异常使用和重要系统命令的使用等系等),并能根据需要生成审计报表;统内重要的安全相关事件;f) 应检查主要服务器操作系统、重要终端操作系统和主要数据库管理系统,查看能否对特定事件指定实时报警方式(如声音、EMAIL、短信等);g) 应检查主要服务器操作系统、重要终端操作系统和主要数据库管理系统,查看审计跟踪设置是否定义了审计跟踪c) 审计记录应包括事件的日期、时间、类极限的阈值,当存储空间被耗尽时,能否采取必要的保护措施,例如,报警并导出、丢弃未记录的审计信息、暂停型、主体标识、客体标识和结果等;审计或覆盖以前的审计记录等;h) 应测试主要服务器操作系统、重要终端操作系统和主要数据库管理系统,可通过非法终止审计功能或修改其配置,验证审计功能是否受到保护;
i) 应测试主要服务器操作系统、重要终端操作系统和主要
第13页共13页数据库管理系统,在系统上以某个用户试图产生一些重要
的安全相关事件(如鉴别失败等),测试安全审计的覆盖
网络审计、主机审计操作系统和数据库自带的审计功能访谈,检查,测试。安全审计员,主网络审计、主机审计要服务器操作系操作系统和数据库自带的审计功统,重要终端操能作系统,主要数据库管理系统。网络审计、主机审计操作系统和数据库自带的审计功能措施,例如,报警并导出、丢弃未记录的审计信息、暂停审计或覆盖以前的审计记录等;
h) 应测试主要服务器操作系统、重要终端操作系统和主要数据库管理系统,可通过非法终止审计功能或修改其配d) 应能够根据记录数据进行分析,并生成置,验证审计功能是否受到保护;审计报表;i) 应测试主要服务器操作系统、重要终端操作系统和主要数据库管理系统,在系统上以某个用户试图产生一些重要的安全相关事件(如鉴别失败等),测试安全审计的覆盖e) 应保护审计进程,避免受到未预期的中情况和记录情况与要求是否一致;断;j) 应测试主要服务器操作系统、重要终端操作系统和主要数据库管理系统,在系统上以某个系统用户试图删除、修f) 应保护审计记录,避免受到未预期的删改或覆盖审计记录,测试安全审计的保护情况与要求是否一致。除、修改或覆盖等。a) 应访谈系统管理员,询问哪些故障或其他原因会导致服务器系统中断,中断后能否以手动或自动方式恢复运系统保护行,相应操作规程有哪些;a) 系统因故障或其他原因中断后,应能够b) 应测试主要服务器操作系统,可通过人为制造一些故以手动或自动方式恢复运行。障(如断电等),验证服务器系统因故障或其他原因中断后,能否以手动或自动方式恢复运行。网络审计、主机审计操作系统和数据库自带的审计功能网络审计、主机审计操作系统和数据库自带的审计功能网络审计、主机审计操作系统和数据库自带的审计功能访谈,测试。系统管理员,主要服务器操作系统。a) 如果系统管理员能够描述出主要故障或其他原因,以及相应操作规程,则7.1.3.5.4 b)为肯定;7.1.3.4剩余信息保护(S3)a) 应检查服务器操作系统和数据库管理系统的剩余信息保护(用户数据保密性保护/客体重用)功能是否具有《信息a) 应保证操作系统和数据库系统用户的鉴安全等级保护 操作系统安全技术要求》和《信息安全等级别信息所在的存储空间,被释放或再分配保护 数据库管理系统安全技术要求》第二级以上的测试报给其他用户前得到完全清除,无论这些信告;息是存放在硬盘上还是在内存中;b) 应与系统管理员访谈,询问操作系统用户的鉴别信息存储空间,被释放或再分配给其他用户前是否得到完全清除;系统内的文件、目录等资源所在的存储空间,被释放或重新分配给其他用户前是否得到完全清除;c) 应与数据库管理员访谈,询问数据库管理员用户的鉴别信息存储空间,被释放或再分配给其他用户前是否得到完全清除;数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前是否得到完全清除;b) 应确保系统内的文件、目录和数据库记d) 应检查主要操作系统和主要数据库管理系统维护操作手录等资源所在的存储空间,被释放或重新册,查看是否明确用户的鉴别信息存储空间,被释放或再分配给其他用户前的处理方法和过程;文件、目录和数据分配给其他用户前得到完全清除。库记录等资源所在的存储空间,被释放或重新分配给其他用户前的处理方法和过程。访谈,检查。系统管理员,数据库管理员,主要服务器操作系统维护/操作手册,主要数据库管理系统维护/操作手册。1、咨询服务:1)、对可复用存储设备,提供明确的格式化操作方法;2)、对不可复用的存储介质,提供明确的销毁措施如果7.1.3.6.4 a)为肯定,则测评实施b)-d)为肯定;a) 应与系统管理员访谈,询问主机系统是否采取入侵防范措施,入侵防范内容是否包括主机运行监视、资源使用a) 应能够检测到对重要服务器进行入侵的超过值报警、特定进程监控、入侵行为检测、完整性检测行为,能够记录入侵的源IP、攻击的类型等方面内容;、攻击的目的、攻击的时间,并在发生严b) 应与系统管理员访谈,询问入侵防范产品的厂家、版重入侵事件时提供报警;本和在主机系统中的安装部署情况;询问是否进行过部署的改进或者更换过产品,是否按要求(如定期或实时)进行产品升级;c) 应检查主要服务器系统,查看是否进行主机运行监视,监视的内容是否包括主机的CPU、硬盘、内存、网络等资源的使用情况,并给出资源使用历史记录;
d) 应检查主要服务器系统,查看是否设定资源报警阈值(如CPU、硬盘、内存、网络等资源的报警阈值)以便在资第14页共14页源使用超过规定数值时发出报警,并查看报警方式有哪
HIDS、IPS、个人防火墙a) 如果7.1.3.7.4 b)中的厂家为正规厂家(如有销售许可),版本号较新,改进合理,定期升级,则该项为肯定;7.1.3.5入侵防范(G3)行产品升级;
c) 应检查主要服务器系统,查看是否进行主机运行监视,监视的内容是否包括主机的CPU、硬盘、内存、网络等资源的使用情况,并给出资源使用历史记录;d) 应检查主要服务器系统,查看是否设定资源报警阈值(如CPU、硬盘、内存、网络等资源的报警阈值)以便在资b) 应能够对重要程序的完整性进行检测,源使用超过规定数值时发出报警,并查看报警方式有哪并在检测到完整性受到破坏后具有恢复的些;措施;e) 应检查主要服务器系统,查看是否对特定进程(包括主要的系统进程,如WINDOWS 的Explorer进程)进行监控,是否可以设定非法进程列表;f) 应检查主要服务器系统,查看是否对主机账户(如系统管理员)进行控制,以限制对重要账户的添加和更改等;g) 应检查主要服务器系统,查看能否记录攻击者的源IP、攻击类型、攻击目标、攻击时间等,在发生严重入侵事件时是否提供报警(如声音、短信、EMAIL等);c) 操作系统应遵循最小安装的原则,仅安h) 应测试主要服务器系统,试图运行非法进程,验证其装需要的组件和应用程序,并通过设置升能否限制非法进程的运行;试图添加或更改重要账户,验级服务器等方式保持系统补丁及时得到更证主机能否限制重要账户的添加和更改;新。i) 应测试主要服务器系统,试图破坏重要程序(如执行系统任务的重要程序)的完整性,验证主机能否检测到重要程序的完整性受到破坏。访谈,检查,测网站保护与自动恢复系统试。系统管理员,主要服务器系统。补丁管理系统7.1.3.6恶意代码防范(G3)a) 应访谈系统安全员,询问主机系统是否采取恶意代码实时检测与查杀措施,恶意代码实时检测与查杀措施的部署a) 应安装防恶意代码软件,并及时更新防情况如何,因何改进过部署或者更换过产品,是否按要求恶意代码软件版本和恶意代码库;(如定期或实时)进行产品升级;b) 应检查主机恶意代码防范方面的设计/验收文档,查看描述的安装范围是否包括服务器和终端设备(包括移动设备);c) 应检查主要服务器系统和主要终端系统,查看是否安装b) 主机防恶意代码产品应具有与网络防恶实时检测与查杀恶意代码的软件产品,查看实时检测与查意代码产品不同的恶意代码库;杀恶意代码的软件产品是否支持恶意代码防范的统一管理功能,查看检测与查杀恶意代码软件产品的厂家、版本号和恶意代码库名称;d) 应检查网络防恶意代码产品,查看厂家、版本号和恶意c) 应支持防恶意代码的统一管理。代码库名称。访谈,检查,测试。系统安全员,主要服务器系统,主要终端系统,网络防恶意代码产品,主机安全设计/验收文档。IPS(WIPS)、HIDS、防病毒系统如果7.1.3.8.4 a)中恶意代码实时检测与查杀措施的部署到所有服务器和重要终端,则该项为肯定;b) 7.1.3.8.4 a)-c)均为肯定,检查发现主机系统防恶意代码产品与网络防恶意代码产品使用不同的恶意代码库(如厂家、版本号和恶意代码库名称不相同等),则信息系统符合本单元测评项要求。a) 应通过设定终端接入方式、网络地址范a) 应检查主要服务器操作系统,查看是否限制单个用户围等条件限制终端登录;的多重并发会话数量;查看是否设置登录终端的操作超时锁定和鉴别失败锁定,以及是否规定解锁或终止方式;查看是否配置了终端接入方式、网络地址范围等条件限制终端登录;b) 应检查主要服务器操作系统,查看是否对一个时间段内可能的并发会话连接数进行限制,是否禁止同一用户账b) 应根据安全策略设置登录终端的操作超号在同一时间内并发登录,是否限制单个用户对系统资源时锁定;(如CPU、内存和硬盘等)的最大或最小使用限度;c) 应检查主要服务器操作系统,查看是否在服务水平降低到预先规定的最小值时,能检测和报警,报警的方式有哪些,能否已根据安全策略设定主体(如进程)的服务优第15页共15页先级,并根据优先级分配系统资源,保证优先级低的主体
处理能力不会影响到优先级高的主体的处理能力;
咨询服务:安全加固安全产品:终端安全管理、UTM^2咨询服务:安全加固,配置终端系统帐户的登录超时锁定设置7.1.3.7资源控制(A3)c) 应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;d) 应限制单个用户对系统资源的最大或最小使用限度;e) 应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。(如CPU、内存和硬盘等)的最大或最小使用限度;
c) 应检查主要服务器操作系统,查看是否在服务水平降低到预先规定的最小值时,能检测和报警,报警的方式有哪些,能否已根据安全策略设定主体(如进程)的服务优先级,并根据优先级分配系统资源,保证优先级低的主体处理能力不会影响到优先级高的主体的处理能力;d) 应测试主要服务器操作系统,任选一个用户,登录服务器,试图发出多重并发会话,验证系统是否限制单个用户的多重并发会话;试图在一段时间内建立一些并发会话连接,验证系统是否对一定时间段内的并发会话连接数进行限制;e) 应测试重要服务器操作系统,任选一个用户帐户,登录服务器,用不同的终端接入方式、网络地址试图登录服务器,验证重要服务器操作系统是否通过终端接入方式、网络地址范围等条件限制终端登录。f) 应测试主要服务器操作系统,试图使服务水平降低到预先规定的最小值,验证系统能否正确检测和报警;g) 应测试主要服务器操作系统,任选一个用户,登录服务器,在一定时间内不进行任何动作,验证主要服务器操作系统能否对操作超时的终端进行锁定;任选一个用户,可通过多次失败登录服务器,验证服务器能否对鉴别失败的终端进行锁定,锁定后能否按照规定的解锁或终止方式进行解锁或终止。检查,测试。网管系统主要服务器操作系统。操作系统自身设置操作系统自身设置7.1.4.1身份鉴别(S3)
a) 可访谈系统管理员,询问应用系统是否采取身份标识和鉴别措施,具体措施有哪些;系统采取何种措施防止身份a) 应提供专用的登录控制模块对登录用户鉴别信息被冒用(如复杂性混有大、小写字母、数字和特殊字符,口令周期等);进行身份标识和鉴别;b) 可访谈系统管理员,询问应用系统是否具有登录失败处理的功能,是如何进行处理的;询问应用系统对用户标识在整个生命周期内是否具有唯一性(如UID、用户名或其他信息在系统中是唯一的,用该标识在整个生命周期内能唯一识别该用户);c) 应检查设计/验收文档,查看文档中是否有系统采取了唯一标识(如用户名、UID或其他属性)的描述;d) 应检查操作规程和操作记录,查看其是否有身份标识和鉴别的操作规程、审批记录和操作记录;e) 应检查主要应用系统,查看其是否采用了两个及两个以b) 应对同一用户采用两种或两种以上组合上身份鉴别技术的组合来进行身份鉴别(如采用用户名/口的鉴别技术实现用户身份鉴别;令、挑战应答、动态口令、物理设备、生物识别技术中的任意两个组合);对有抗抵赖要求的系统,查看其是否采用数字证书方式的身份鉴别技术;f) 应检查主要应用系统,查看其是否配备身份标识(如建立账号)和鉴别(如口令等)功能;查看其其身份鉴别信息是否具有不易被冒用的特点,例如复杂性(如规定字符应混有大、小写字母、数字和特殊字符)或为了便于记忆使用了令牌;
g) 应检查主要应用系统,查看其是否配备并使用登录失败处理功能(如登录失败次数超过设定值,系统自动退出等);
h) 应测试主要应用系统,可通过注册用户,并登录系统,查看登录是否成功,验证其身份标识和鉴别功能是否有
第16页共16页
效;可通过删除一个用户再重新注册相同标识的用户,查看能否成功,验证身份标识在整个生命周期内是否具有唯
访谈,检查,测试。系统管理员,主要应用系统,设计/验收文档,操作规程和操作记录。
应用系统自身的设计实现,是最佳解决方案1、咨询服务:安全加固服务、渗透性测试服务2、安全产品:CA、HIDS、个人防火墙、主机审计、指纹认证、动态口令卡、USB-Key、生物认证等a) 如果7.1.4.1.4 c)中相关文档有用户唯一性标识的描述,则该项为肯定;
b) 如果7.1.4.1.4 d)中缺少相应的文档,则该项为否定;
7.1.4.1身份鉴别(S3)用数字证书方式的身份鉴别技术;
f) 应检查主要应用系统,查看其是否配备身份标识(如建立账号)和鉴别(如口令等)功能;查看其其身份鉴别信息是否具有不易被冒用的特点,例如复杂性(如规定字符应混有大、小写字母、数字和特殊字符)或为了便于记忆c) 应提供用户身份标识唯一和鉴别信息复使用了令牌;杂度检查功能,保证应用系统中不存在重g) 应检查主要应用系统,查看其是否配备并使用登录失败复用户身份标识,身份鉴别信息不易被冒处理功能(如登录失败次数超过设定值,系统自动退出用;等);h) 应测试主要应用系统,可通过注册用户,并登录系统,查看登录是否成功,验证其身份标识和鉴别功能是否有效;可通过删除一个用户再重新注册相同标识的用户,查看能否成功,验证身份标识在整个生命周期内是否具有唯一性;i) 应测试主要应用系统,验证其登录失败处理,非法登录d) 应提供登录失败处理功能,可采取结束次数限制,登录连接超时自动退出等功能是否有效;会话、限制非法登录次数和自动退出等措j) 应测试主要应用系统,验证其是否及时清除存储空间中施;动态使用的鉴别信息(如登录系统,退出系统后重新登录系统,查看上次登录的鉴别信息是否存在);k) 应测试主要应用系统,验证其是否有鉴别警示功能(如系统有三次登录失败则锁定该用户的限制,则应给用户必要的提示);l) 应渗透测试主要应用系统,测试身份鉴别信息是否不易e) 应启用身份鉴别、用户身份标识唯一性被冒用(如通过暴力破解或其他手段进入系统,对WEB系统检查、用户身份鉴别信息复杂度检查以及可采用SQL注入等绕过身份鉴别的方法)。登录失败处理功能,并根据安全策略配置相关参数。1、咨询服务:安全加固服务、渗透性测试服务
试。
2、安全产品:CA、HIDS、个人防系统管理员,主火墙、主机审计、指纹认证、动要应用系统,设态口令卡、USB-Key、生物认证等计/验收文档,a) 如果7.1.4.1.4 c)中相关文操作规程和操作档有用户唯一性标识的描述,则记录。该项为肯定;b) 如果7.1.4.1.4 d)中缺少相应的文档,则该项为否定;a) 应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;7.1.4.2访问控制(S3)a) 可访谈系统管理员,询问业务系统是否提供访问控制措施,具体措施有哪些,自主访问控制的粒度如何;b) 应检查主要应用系统,查看系统是否提供访问控制机制;是否依据安全策略控制用户对客体(如文件和数据库中的数据)的访问;b) 访问控制的覆盖范围应包括与资源访问c) 应检查主要应用系统,查看其自主访问控制的覆盖范围相关的主体、客体及它们之间的操作;是否包括与信息安全直接相关的主体、客体及它们之间的操作;自主访问控制的粒度是否达到主体为用户级,客体为文件、数据库表级(如数据库表、视图、存储过程等);d) 应检查主要应用系统,查看应用系统是否有对授权主体c) 应由授权主体配置访问控制策略,并严进行系统功能操作和对数据访问权限进行设置的功能;e) 应检查主要应用系统,查看其特权用户的权限是否分离格限制默认帐户的访问权限;(如将系统管理员、安全员和审计员的权限分离),权限之间是否相互制约(如系统管理员、安全管理员等不能对审计日志进行管理,安全审计员不能管理审计功能的开启、关闭、删除等重要事件的审计日志等);f) 应检查主要应用系统,查看其是否有限制默认用户访问d) 应授予不同帐户为完成各自承担任务所权限的功能,并已配置使用;需的最小权限,并在它们之间形成相互制g) 应测试主要应用系统,可通过用不同权限的用户登录,约的关系。查看其权限是否受到应用系统的限制,验证系统权限分离功能是否有效;h) 应测试主要应用系统,可通过授权主体设置特定用户对系统功能进行操作和对数据进行访问的权限,然后以该用户登录,验证用户权限管理功能是否有效;
第17页共17页i) 应测试主要应用系统,可通过用默认用户(默认密码)
登录,并用该用户进行操作(包括合法、非法操作),验
访谈,检查,测试。系统管理员,主要应用系统。1、咨询服务:安全加固、风险评估服务、渗透测试服务2、应用系统自带的访问控制功能是实现的关键g) 应测试主要应用系统,可通过用不同权限的用户登录,查看其权限是否受到应用系统的限制,验证系统权限分离功能是否有效;
h) 应测试主要应用系统,可通过授权主体设置特定用户对系统功能进行操作和对数据进行访问的权限,然后以该用户登录,验证用户权限管理功能是否有效;e) 应具有对重要信息资源设置敏感标记的i) 应测试主要应用系统,可通过用默认用户(默认密码)功能;登录,并用该用户进行操作(包括合法、非法操作),验证系统对默认用户访问权限的限制是否有效;j) 应渗透测试主要应用系统,测试自主访问控制的覆盖范围是否包括与信息安全直接相关的主体、客体及它们之间的操作(如试图绕过系统访问控制机制等操作)。f) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;7.1.4.3安全审计(G3)a) 可访谈安全审计员,询问应用系统是否有安全审计功能,对事件进行审计的选择要求和策略是什么,对审计日志的保护措施有哪些;b) 应检查主要应用系统,查看其当前审计范围是否覆盖到每个用户;c) 应检查主要应用系统,查看其审计策略是否覆盖系统内重要的安全相关事件,例如,用户标识与鉴别、自主访问a) 应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;控制的所有操作记录、重要用户行为(如用超级用户命令改变用户身份,删除系统表)、系统资源的异常使用、重要系统命令的使用(如删除客体)等;d) 应检查主要应用系统,查看其审计记录信息是否包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、事件成功或失败、身份鉴别事件中请求的来源(如末端标识符)、事件的结果等内容;e) 应检查主要应用系统,查看其是否为授权用户浏览和分析审计数据提供专门的审计工具(如对审计记录进行分类、排序、查询、统计、分析和组合查询等),并能根据需要生成审计报表;b) 应保证无法单独中断审计进程,无法删f) 应检查主要应用系统,查看其能否对特定事件指定实时报警方式(如声音、EMAIL、短信等);除、修改或覆盖审计记录;g) 应测试主要应用系统,可通过非法终止审计功能或修改其配置,验证审计功能是否受到保护;c) 审计记录的内容至少应包括事件的日期h) 应测试主要应用系统,在系统上以某个用户试图产生一、时间、发起者信息、类型、描述和结果些重要的安全相关事件(如鉴别失败等),测试安全审计的覆盖情况和记录情况与要求是否一致;等;i) 应测试主要应用系统,在系统上以某个系统用户试图删除、修改或覆盖审计记录,验证安全审计的保护情况与要d) 应提供对审计记录数据进行统计、查询求是否一致。、分析及生成审计报表的功能。访谈,检查,测应用系统自带的审计功能是实现试。的主体,网络审计系统也可以实安全审计员,主现部分功能。要应用系统。7.1.4应用安全
7.1.4.4剩余信息保护(S3)
a) 可访谈系统管理员,询问系统是否采取措施保证对存储介质中的残余信息进行删除(无论这些信息是存放在硬盘a) 应保证用户鉴别信息所在的存储空间被上还是在内存中),具体措施有哪些;释放或再分配给其他用户前得到完全清b) 应检查设计/验收文档,查看其是否有关于系统在释放除,无论这些信息是存放在硬盘上还是在或再分配鉴别信息所在存储空间给其他用户前如何将其进内存中;行完全清除(无论这些信息是存放在硬盘上还是在内存中)的描述;c) 应检查设计/验收文档,查看其是否有关于释放或重新分配系统内文件、目录和数据库记录等资源所在存储空间第18页共18页给其他用户前如何进行完全清除的描述;
d) 应测试主要应用系统,用某用户登录系统并进行操作
1、咨询服务:1)、对可复用存访谈,检查,测储设备,提供明确的格式化操作试。方法;2)、对不可复用的存储介系统管理员,设质,提供明确的销毁措施计/验收文档。a) 如果7.1.4.4.4 b)-c)缺少
剩余信息保护(S3)中)的描述;
c) 应检查设计/验收文档,查看其是否有关于释放或重新分配系统内文件、目录和数据库记录等资源所在存储空间给其他用户前如何进行完全清除的描述;d) 应测试主要应用系统,用某用户登录系统并进行操作后,在该用户退出后用另一用户登录,试图操作(读取、b) 应保证系统内的文件、目录和数据库记修改或删除等)其他用户产生的文件、目录和数据库记录录等资源所在的存储空间被释放或重新分等资源,查看是否成功,验证系统提供的剩余信息保护功能是否正确(确保系统内的文件、目录和数据库记录等资配给其他用户前得到完全清除。源所在的存储空间,被释放或重新分配给其他用户前得到完全清除)。储设备,提供明确的格式化操作
试。方法;2)、对不可复用的存储介系统管理员,设质,提供明确的销毁措施计/验收文档。a) 如果7.1.4.4.4 b)-c)缺少相关材料,则该项为否定;7.1.4.5通信完整性(S3)应采用密码技术保证通信过程中数据的完整性。a) 可访谈安全员,询问业务系统是否有数据在传输过程中进行完整性保证的操作,具体措施是什么;b) 应检查设计/验收文档,查看其是否有通信完整性的说明,如果有则查看其是否有系统是根据校验码判断对方数据包的有效性的,用密码计算通信数据报文的报文验证码的描述;c) 应测试主要应用系统,可通过获取通信双方的数据包,查看通信报文是否含有验证码。访谈,检查,测试。安全员,主要应电子签名技术用系统,设计/验收文档。7.1.4.6通信保密性(S3)a) 可访谈安全员,询问业务系统数据在存储和传输过程中是否采取保密措施(如在通信双方建立连接之前利用密码技术进行会话初始化验证,在通信过程中对敏感信息字段进行加密等),具体措施有哪些;a) 在通信双方建立连接之前,应用系统应b) 应检查相关证明材料(证书),查看应用系统采用的密利用密码技术进行会话初始化验证;码算法是否符合国家有关部门要求;c) 应测试主要应用系统,查看当通信双方中的一方在一段时间内未作任何响应,另一方是否能自动结束会话;系统是否能在通信双方建立会话之前,利用密码技术进行会话初始化验证(如SSL建立加密通道前是否利用密码技术进行会话初始验证);在通信过程中,是否对整个报文或会话过程进行加密;d) 应测试主要应用系统,通过通信双方中的一方在一段时间内未作任何响应,查看另一方是否能自动结束会话,测b) 应对通信过程中的整个报文或会话过程试当通信双方中的一方在一段时间内未作任何响应,另一方是否能自动结束会话的功能是否有效;进行加密。e) 应测试主要应用系统,通过查看通信双方数据包的内容,查看系统在通信过程中,对整个报文或会话过程进行加密的功能是否有效。访谈,检查,测试。安全员,主要应用系统,相关证明材料(证书)。密码机、加密产品等也可以在应用系统自身实现a) 如果7.1.4.6.4 b)缺少相关材料,则该项为否定;7.1.4.7抗抵赖(G3)a) 应具有在请求的情况下为数据原发者或a) 可访谈安全员,询问系统是否具有抗抵赖的措施,具体接收者提供数据原发证据的功能;措施有哪些;访谈,测试。b) 应测试主要应用系统,通过双方进行通信,查看系统是安全员,主要应否提供在请求的情况下为数据原发者或接收者提供数据原b) 应具有在请求的情况下为数据原发者或发证据的功能;是否提供在请求的情况下为数据原发者或用系统。接收者提供数据接收证据的功能。接收者提供数据接收证据的功能。电子证书产品、电子签名系统、电子印章系统、加密与认证系统等身份认证系统是基础第19页共19页
7.1.4.8软件容错(A3)a) 可访谈系统管理员,询问业务系统是否有保证软件具有容错能力的措施(如对人机接口输入或通过通信接口输入a) 应提供数据有效性检验功能,保证通过的数据进行有效性检验等),具体措施有哪些;人机接口输入或通过通信接口输入的数据b) 应检查主要应用系统,查看业务系统是否对人机接口输格式或长度符合系统设定要求;入(如用户界面的数据输入)或通信接口输入的数据进行有效性检验;是否允许按照操作的序列进行回退(如撤消操作);是否在故障发生时继续提供一部分功能,确保能够实施必要的措施(如对重要数据的保存);c) 应测试主要应用系统,可通过输入的不同(如数据格式或长度等符合、不符合软件设定的要求),验证系统人机接口有效性检验功能是否正确;b) 应提供自动保护功能,当故障发生时自d) 应测试主要应用系统,可通过多步操作,然后回退,验动保护当前所有状态,保证系统能够进行证系统能否按照操作的序列进行正确的回退;e) 应测试主要应用系统,可通过给系统人为制造一些故障恢复。(如系统异常),验证系统能否在故障发生时实时检测到故障状态并报警,能否自动保护当前所有状态。访谈,检查,测试。应用系统自身的设计实现,风险系统管理员,主评估服务与源代码审核服务要应用系统。7.1.4.9资源控制(A3)a) 当应用系统的通信双方中的一方在一段a) 可访谈系统管理员,询问业务系统是否有资源控制的措时间内未作任何响应,另一方应能够自动施(如对应用系统的最大并发会话连接数进行限制,是否结束会话;禁止同一用户账号在同一时间内并发登录,是否对一个时间段内可能的并发会话连接数进行限制,对一个访问用户或一个请求进程占用的资源分配最大限额和最小限额等),具体措施有哪些;b) 应检查主要应用系统,查看是否有限制单个用户的多重并发会话;系统是否有最大并发会话连接数的限制,是否b) 应能够对系统的最大并发会话连接数进有对一个时间段内可能的并发会话连接数进行限制;是否行限制;能根据安全策略设定主体的服务优先级,根据优先级分配系统资源,保证优先级低的主体处理能力不会影响到优先级高的主体的处理能力;c) 应检查主要应用系统,查看是否根据安全策略设置登录终端的操作超时锁定和鉴别失败锁定,并规定解锁或终止c) 应能够对单个帐户的多重并发会话进行方式;是否禁止同一用户账号在同一时间内并发登录;是否对一个访问用户或一个请求进程占用的资源分配最大限限制;额和最小限额;d) 应检查主要应用系统,查看是否根据安全属性(用户身份、访问地址、时间范围等)允许或拒绝用户建立会话连d) 应能够对一个时间段内可能的并发会话接;查看是否有服务水平最小值的设定,当系统的服务水平降低到预先设定的最小值时,系统报警;连接数进行限制;e) 应测试主要应用系统,可通过对系统进行超过单个用户的多重并发会话连接,验证系统能否正确地限制单个用户的多重并发会话数;可通过对系统进行超过最大并发会话连接数进行连接,验证系统能否正确地限制最大并发会话e) 应能够对一个访问帐户或一个请求进程连接数;占用的资源分配最大限额和最小限额;f) 应测试主要应用系统,可通过在一个时间段内,用超过设定的并发连接数对系统进行连接,查看能否连接成功,验证系统对一个时间段内可能的并发会话连接数进行限制的功能是否正确;g) 应测试主要应用系统,可通过设置登录终端的操作超时锁定和鉴别失败锁定,并规定解锁或终止方式,制造操作
第20页共20页超时和鉴别失败,验证系统能否锁定,解锁或终止方式是
否和设定的方式相同;
访谈,检查,测操作系统自身的功能实现,是最试。佳解决方案系统管理员,主FW、UTM、终端安全管理要应用系统。f) 应测试主要应用系统,可通过在一个时间段内,用超过设定的并发连接数对系统进行连接,查看能否连接成功,验证系统对一个时间段内可能的并发会话连接数进行限制的功能是否正确;g) 应测试主要应用系统,可通过设置登录终端的操作超时f) 应能够对系统服务水平降低到预先规定锁定和鉴别失败锁定,并规定解锁或终止方式,制造操作的最小值进行检测和报警;超时和鉴别失败,验证系统能否锁定,解锁或终止方式是否和设定的方式相同;h) 应测试主要应用系统,可通过按照安全属性(用户身份、访问地址、时间范围等)设定允许或拒绝某个用户建立会话连接,然后用该用户进行对应的操作,验证查看系统g) 应提供服务优先级设定功能,并在安装能否正确地根据安全属性允许或拒绝用户建立会话连接;后根据安全策略设定访问帐户或请求进程试图使服务水平降低到预先规定的最小值,验证系统能否正确检测并报警。的优先级,根据优先级分配系统资源。a) 可访谈系统管理员,询问业务系统是否有保证质量的措施(如系统是否有应用程序代码编写安全规范,开发人员是否参照规范编写代码),具体措施有哪些;b) 应检查设计/验收文档和其他相关文档,查看是否有应代码安全用程序代码编写安全规范;a) 应制定应用程序代码编写安全规范,要c) 应检查设计/验收文档和相关证明材料(证书),查看求开发人员参照规范编写代码;是否有对应用程序代码进行代码复审;b) 应对应用程序代码进行代码复审,识别d) 应检查设计/验收文档和相关证明材料(证书),查看可能存在的恶意代码;是否对应用程序代码进行安全脆弱性分析;c) 应对应用程序代码进行安全脆弱性分e) 应检查设计/验收文档和相关证明材料(证书),查看析;是否有对应用程序代码进行穿透性测试的声明;d) 应对应用程序代码进行穿透性测试。f) 应检查主要应用系统,查看应用程序代码的编制与代码安全规范要求是否一致;g) 应测试主要应用系统,可通过对代码进行穿透性测试(如内存溢出等),查看是否成功。访谈,检查,测试。系统管理员,设a) 如果7.1.4.10.4 b)-e)缺计/验收文档,少相关材料,则该项为否定;相关证明材料(证书),主要应用系统。7.1.5.1数据完整性(S3)a) 可访谈安全员,询问业务系统数据在存储、传输过程中是否有完整性保证措施,具体措施有哪些;在检测到完整性错误时是否能恢复,恢复措施有哪些;a) 应能够检测到系统管理数据、鉴别信息b) 应检查操作系统、网络设备、数据库管理系统的设计/和重要业务数据在传输过程中完整性受到验收文档或相关证明性材料(如证书、检验报告等)等,破坏,并在检测到完整性错误时采取必要查看其是否有能检测/验证到系统管理数据(如WINDOWS域的恢复措施;管理、目录管理数据)、鉴别信息(如用户名和口令)和用户数据(如用户数据文件)在传输过程中完整性受到破坏,能检测到系统管理数据、身份鉴别信息和用户数据(如防火墙的访问控制规则)在存储过程中完整性受到破坏,能检测到重要系统完整性受到破坏,在检测到完整性错误时采取必要的恢复措施的描述;如果有相关信息,查看其配置是否正确;
c) 应检查主要应用系统,查看其是否配备检测/验证系统管理数据、鉴别信息和用户数据在传输过程中完整性受到破坏的功能;是否配备检测/验证系统管理数据、身份鉴别信息和用户数据在存储过程中完整性受到破坏的功能;是否配备检测/验证重要系统/模块完整性受到破坏的功能;在检测/验证到完整性错误时能采取必要的恢复措施;
d) 应检查主要应用系统,查看其是否配备检测系统完整性受到破坏的功能;并在检测到完整性错误时采取必要的恢复措施。第21页共21页
访谈,检查。安全员,主要应用系统,设计/验收文档,相关证明性材料(如证书、检验报告等)。
数字签名产品、加密认证产品、冗余备份产品等a) 如果7.1.5.1.4 b)缺少相关材料,则该项为否定;
数据完整性(S3)坏,能检测到系统管理数据、身份鉴别信息和用户数据(如防火墙的访问控制规则)在存储过程中完整性受到破坏,能检测到重要系统完整性受到破坏,在检测到完整性错误时采取必要的恢复措施的描述;如果有相关信息,查看其配置是否正确;c) 应检查主要应用系统,查看其是否配备检测/验证系统管理数据、鉴别信息和用户数据在传输过程中完整性受到破坏的功能;是否配备检测/验证系统管理数据、身份鉴别b) 应能够检测到系统管理数据、鉴别信息信息和用户数据在存储过程中完整性受到破坏的功能;是和重要业务数据在存储过程中完整性受到否配备检测/验证重要系统/模块完整性受到破坏的功能;破坏,并在检测到完整性错误时采取必要在检测/验证到完整性错误时能采取必要的恢复措施;的恢复措施。d) 应检查主要应用系统,查看其是否配备检测系统完整性受到破坏的功能;并在检测到完整性错误时采取必要的恢复措施。安全员,主要应用系统,设计/
冗余备份产品等
验收文档,相关a) 如果7.1.5.1.4 b)缺少相证明性材料(如关材料,则该项为否定;证书、检验报告等)。7.1.5
数据安7.1.5.2全及备数据保密份恢复性(S3)a) 可访谈网络管理员,询问信息系统中的网络设备的鉴别信息、敏感的系统管理数据和敏感的用户数据是否采用加密或其他有效措施实现传输保密性;是否采用加密或其他保护措施实现存储保密性;b) 可访谈系统管理员,询问信息系统中的操作系统的鉴别信息、敏感的系统管理数据和敏感的用户数据是否采用a) 应采用加密或其他有效措施实现系统管加密或其他有效措施实现传输保密性;是否采用加密或其理数据、鉴别信息和重要业务数据传输保他保护措施实现存储保密性;密性;c) 可访谈数据库管理员,询问信息系统中的数据库管理系统的鉴别信息、敏感的系统管理数据和敏感的用户数据是否采用加密或其他有效措施实现传输保密性;是否采用加密或其他保护措施实现存储保密性;d) 可访谈安全员,询问信息系统中的应用系统的鉴别信息、敏感的系统管理数据和敏感的用户数据是否采用加密或其他有效措施实现传输保密性;是否采用加密或其他保护措施实现存储保密性;e) 可访谈安全员,询问当使用便携式和移动式设备时,是否加密或者采用可移动磁盘存储敏感信息;f) 应检查操作系统、网络设备、数据库管理系统、关键应用系统的设计/验收文档,查看其是否有关于鉴别信息、敏感的系统管理数据和敏感的用户数据采用加密或其他有效措施实现传输保密性描述,是否有采用加密或其他保护措施实现存储保密性的描述;g) 应检查相关证明性材料(如证书或其他相关材料b) 应采用加密或其他保护措施实现系统管等),查看其是否有特定业务通信的通信信道符合相关的理数据、鉴别信息和重要业务数据存储保国家规定的说明;h) 应检查主要应用系统,查看其鉴别信息、敏感的系统密性。管理数据和敏感的用户数据是否采用加密或其他有效措施实现传输保密性描述,是否采用加密或其他保护措施实现存储保密性;i) 应测试主要应用系统,通过用嗅探工具获取系统传输数据包,查看其是否采用了加密或其他有效措施实现传输保密性。访谈,检查,测试。系统管理员、网络管理员、安全员、数据库管理员,主要应用系统,设计/验收文档,相关证明性材料(如证书等)。数据加密产品、加密机、VPNa) 如果7.1.5.2.4 f)缺少相关材料,则该项为否定;b) 如果没有相关证明性材料(如证书、检验报告等),7.1.5.2.4 g)为否定;第22页共22页
7.1.5.3备份和恢复(A3)a) 应提供本地数据备份与恢复功能,完全a) 可访谈网络管理员,询问信息系统中的网络设备是否数据备份至少每天一次,备份介质场外存提供自动备份机制对重要信息进行本地和异地备份功能;是否提供对重要信息进行恢复的功能;是否提供重要网络放;设备、通信线路和服务器的硬件冗余;b) 可访谈系统管理员,询问信息系统中的操作系统是否提供自动备份机制对重要信息进行本地和异地备份功能;是否提供对重要信息进行恢复的功能;b) 应提供异地数据备份功能,利用通信网c) 可访谈数据库管理员,询问信息系统中的数据库管理络将关键数据定时批量传送至备用场地;系统是否提供自动备份机制对重要信息进行本地和异地备份功能;是否提供重要业务系统的本地系统级热备份;是否提供对重要信息进行恢复的功能;d) 应检查设计/验收文档,查看其是否有关于操作系统、网络设备、数据库管理系统、应用系统配置有本地系统级热备份和重要信息恢复功能的描述;c) 应采用冗余技术设计网络拓扑结构,避e) 应检查操作系统、网络设备、数据库管理系统、主要免关键节点存在单点故障;应用系统,查看其是否配置有本地/异地备份和重要信息恢复的功能,其配置是否正确;f) 应检查重要网络设备、通信线路和服务器是否提供硬件冗余;d) 应提供主要网络设备、通信线路和数据g) 应检查重要业务系统是否配备本地系统级热备份的功处理系统的硬件冗余,保证系统的高可用能。性。容灾产品、备份设备a) 如果没有设计/验收文档,7.1.5.3.4 d) 则该项为否定;访谈,检查。系统管理员,网络管理员,数据异地容灾系统、远程备份系统库管理员,操作系统,网络设备,数据库管理系统,主要应用系统,设计/验收文档。线路备份路由/交换/FW等设备热备(HA功能)第23页共23页
因篇幅问题不能全部显示,请点此查看更多更全内容