本文詳解等級保護測評過程中，主機安全測評的要求項、測評方法及測評步驟，測評判分標準

1

身份鑒別

?

應對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別

測評方法及步驟（Windows主機）：

1)使用“WIN鍵+L”鎖定計算機，并再次登錄，驗證是否需要輸入密碼才能登陸，需要密碼則此項符合

2)點擊【開始】→【設置】→【控制面板】→【管理工具】→【本地安全策略】→【安全選項】進行檢查。查看“交互式登錄：不需要按Ctrl+Alt+Del”是否為“禁用”狀態(tài)，禁用為“符合”，或者在上一步驟“登錄”過程中是否有提示按“Ctrl+Alt+Del”才可進行登錄來判定是否已經(jīng)設置；

0分標準：

1）存在自動登錄或默認賬戶默認口令或默認賬戶無口令。

滿分標準：

1）對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份鑒別；

2）不得使用默認用戶和默認口令。

?

操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換

測評方法及步驟（Windows主機）：

1)【開始】→【設置】→【控制面板】→【管理工具】→【本地安全策略】→【密碼策略】，查看密碼復雜度是否啟用，同時詢問或者查看當前密碼的設置情況是否符合密碼復雜度要求；

2)【開始】→【設置】→【控制面板】→【管理工具】→【本地安全策略】→【密碼策略】，檢查密碼的最小強度是否設置為8位或以上，如是則此項為符合；

3)【開始】→【設置】→【控制面板】→【管理工具】→【本地安全策略】→【密碼策略】，查看密碼的有效期限設置，建議密碼最短使用期限應該設置為2天，最長設置為70天，歷史密碼設置為24天，可根據(jù)系統(tǒng)情況略有出入，但不能為未設置狀態(tài)；

0分標準：

1）對口令復雜度和更換周期均無要求，或存在空口令或弱口令（6位數(shù)字及以下）；

滿分標準：

1）口令由數(shù)字、大小寫字母、符號混排，無規(guī)律的方式。

2）用戶口令的長度至少為8位。

3）口令每季度更換一次，更新的口令至少5次內(nèi)不能重復。

?

應啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施

測評方法及步驟（Windows主機）：

1)【開始】→【設置】→【控制面板】→【管理工具】→【本地安全策略】→【賬戶鎖定策略】，檢查是否設置賬戶登錄失敗閾值（推薦設置為3~5次）以及鎖定時間（推薦設置為30分鐘），如進行設置則此項為符合；

0分標準：

1）無登錄失敗處理功能或未啟用登錄失敗處理功能；

滿分標準：

1）已啟用登錄失敗處理功能。

2）限制非法登錄嘗試次數(shù)，超嘗試次數(shù)后實現(xiàn)鎖定策略。

3）設置網(wǎng)絡連接超時自動退出。

?

當對服務器進行遠程管理時，應采取必要措施，防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽

測評方法及步驟（Windows主機）：

1)查看系統(tǒng)當前版本是否為windows server2003sp1以后版本；

2)【開始】→【設置】→【控制面板】→【管理工具】→【終端服務配置】→【連接】→雙擊右側(cè)【RDP-TCP】，查看【常規(guī)】標簽，在安全層參數(shù)處設置應為【協(xié)商】，則會使用TLS1.0的SSL加密方式進行遠程連接；

0分標準：

1）當對服務器進行遠程管理，鑒別信息明文傳輸。

滿分標準：

1）當對服務器進行遠程管理，鑒別信息非明文傳輸。

?

為操作系統(tǒng)和數(shù)據(jù)庫的不同用戶分配不同的用戶名，確保用戶名具有唯一性

測評方法及步驟（Windows主機）：

1)?右鍵單擊【我的電腦】→【管理】，左側(cè)目錄樹中選擇【本地用戶和組】→【用戶】，查看各用戶名稱，是否包含同名用戶，不同名則此項為符合；

0分標準：

1）操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶名不具有唯一性。

滿分標準：

1）操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶名具有唯一性。

?

應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別

測評方法及步驟（Windows主機）：

1)應詢問系統(tǒng)管理員，對系統(tǒng)的登錄是否采用雙因子身份認證方式進行驗證，查看有無CA認證服務器或其他身份認證手段，如存在其他認證方式，嘗試進行其他認證方式的身份登錄驗證，當存在兩種或以上身份登錄方式為符合；

0分標準：

1）采用一種鑒別技術；

滿分標準：

1）采用兩種或兩種以上組合的鑒別技術（采用用戶名/口令、挑戰(zhàn)應答、動態(tài)口令、物理設備、生物識別技術和數(shù)字證書方式的身份鑒別技術中的任意兩個組合及以上）。

?

?

2

訪問控制

?

應啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問

測評方法及步驟（Windows主機）：

1)進入windows系統(tǒng)的系統(tǒng)目錄以及系統(tǒng)根目錄→system32、windows目錄，選擇目錄，右鍵【屬性】→【安全】，查看相應目錄的讀寫執(zhí)行等的權限，判斷everyone、users、administrator各組的權限是否過高，非系統(tǒng)管理員賬號不得擁有修改、寫入和完全控制等權限；

2)【開始】→【運行】中輸入cmd，命令行中輸入net share，查看網(wǎng)絡共享的情況；

0分標準：

1）未根據(jù)業(yè)務需要設置訪問控制策略；

滿分標準：

1）制定安全策略。

2）根據(jù)安全策略控制用戶對資源的訪問。（對重要文件的訪問權限進行限制，對系統(tǒng)不需要的服務、共享路徑等可能被非授權訪問的客體（文件）進行限制）。

?

應根據(jù)管理用戶的角色分配權限，實現(xiàn)管理用戶的權限分離，僅授予管理用戶所需的最小權限

測評方法及步驟（Windows主機）：

1)【開始】→【控制面板】→【管理工具】→【本地安全策略】→【本地策略】→【審核策略】→【用戶權指派】，查看是否為某些用戶指派過高權限；

0分標準：

1）所有操作均使用超級權限賬戶進行管理；

滿分標準：

1）所有賬戶采用最小授權原則（如系統(tǒng)管理員只能對系統(tǒng)進行維護，安全管理員只能進行處理配置和安全設置，安全審計員只能維護審計信息等）。

?

應實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權用戶的權限分離

測評方法及步驟（Windows主機）：

如果安裝了數(shù)據(jù)庫系統(tǒng)，應檢查操作系統(tǒng)中的數(shù)據(jù)庫管理賬號的權限；

0分標準：

1）只配置一個管理人員；

2)?存在兼任；

滿分標準：

1）操作系統(tǒng)的特權用戶與該操作系統(tǒng)中安裝的數(shù)據(jù)庫系統(tǒng)的特權用戶權限進行分離，且權限互斥。

?

應嚴格限制默認賬戶的訪問權限，重命名系統(tǒng)默認賬戶，并修改這些賬戶的默認口令

測評方法及步驟（Windows主機）：

1)右鍵單擊【我的電腦】→【管理】→【本地用戶和組】→【用戶】，查看賬號并記錄各賬號的用途；

2)右鍵單擊【我的電腦】→【管理】→【本地用戶和組】→【用戶】，查看有無“administrator”賬號，并檢查是否禁用了guest賬號，無“administrator”賬號且禁用了guest賬號則此項為符合；

0分標準：

1）使用默認賬號和默認口令或存在弱口令；

滿分標準：

1）合理限制默認賬戶的訪問權限。

2）重命名默認賬號。

3）修改默認口令。

?

應及時刪除多余的、過期的賬戶，避免共享賬戶的存在；

測評方法及步驟（Windows主機）：

1)右鍵單擊【我的電腦】→【管理】→【本地用戶和組】→【用戶】，查看和記錄賬號，詢問各賬號的用途，檢驗是否存在過期或者多余的賬號，比如數(shù)據(jù)庫或其他軟件安裝用的賬號等；

0分標準：

1）存在無用賬戶或多人共享賬戶；

滿分標準：

1）不存在過期和無用賬號。

2）做到賬戶和人一一對應。

?

應對重要信息資源設置敏感標記

測評方法及步驟（Windows主機）：

1)詢問管理員是否使用技術手段對關鍵文件或者其它信息資源設置了敏感信息標記，如存在此類控制策略，則可查看敏感信息的分級與標記設置情況，并記錄其方式，不存在為不符合；

0分標準：

1）無設置敏感標記功能；

滿分標準：

1）能對重要信息資源設置敏感標記。

?

應依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作

測評方法及步驟（Windows主機）：

1)?詢問和查看目前的敏感標記策略的相關設置，如：如何劃分敏感標記分類，如何設定訪問權限；

0分標準：

1）未依據(jù)安全策略實現(xiàn)功能控制；

滿分標準：

1）對重要資源設置敏感標記，并制定了訪問控制策略。

?

?

3

安全審計

?

安全審計應覆蓋到服務器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶

測評方法及步驟（Windows主機）：

1)?點擊【開始】→【設置】→【控制面板】→【管理工具】→【本地安全策略】→【審核策略】，查看是否對各審核項的成功和失敗事件進行審計開啟審核，在windows系統(tǒng)下默認審核對所有用戶啟用，默認情況下只要開啟審核功能即為符合；

2)右鍵【我的電腦】→【管理】→【事件查看器】，查看系統(tǒng)能否正常記錄安全、系統(tǒng)等日志，可查看到日志的記錄則此項為符合；

0分標準：

1）未啟用審計功能；

滿分標準：

1）啟用審計功能；

2)審計范圍覆蓋到服務器和重要客戶端上的每個用戶。

?

審計內(nèi)容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關事件

測評方法及步驟（Windows主機）：

1)【開始】→【設置】→【控制面板】→【管理工具】→【本地安全策略】→【審核策略】，查看是否有審核項開啟，開啟項目是否覆蓋了系統(tǒng)異常以及其他重要系統(tǒng)事件。Windows可審計包括系統(tǒng)、安全、應用程序的異常操作和重大事件，開啟相關的審計功能即滿足此項要求，建議需要開啟的審核項包括：

審核賬戶登錄事件?????????? 成功/失敗

審核賬戶管理??????????????? 成功/失敗

審核目錄服務訪問????????? ??成功/失敗

審核登錄事件????????????????? 成功/失敗

審核對象訪問????????????????? 成功/失敗

審核策略更改?????????????????? 成功

審核系統(tǒng)事件?????????????????? 成功

0分標準：

1）審計內(nèi)容未包括重要用戶行為（如用超級用戶命令改變用戶身份，刪除系統(tǒng)表等）；

滿分標準：

1）審計策略覆蓋系統(tǒng)內(nèi)重要的安全相關事件，至少包括用戶標記和鑒別、自主訪問控制的所有操作記錄、重要用戶行為（如用超級用戶命令改變用戶身份，刪除系統(tǒng)表）、系統(tǒng)資源的異常使用、重要系統(tǒng)命令的使用等。

?

審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結(jié)果等

測評方法及步驟（Windows主機）：

1)右鍵【我的電腦】→【管理】→【事件查看器】,雙擊任一事件查看器（安全、系統(tǒng)、應用等），可看到各記錄項和要素，查看是否包含了日期、時間、主體、客體、結(jié)果，Windows默認情況下包含這些屬性項，默認情況下開啟審核則符合要求；

0分標準：

1）審計記錄未包括事件的時間、主體標識、客體標識和結(jié)果等；

滿分標準：

1）審計記錄包括事件發(fā)生的日期和時間、觸發(fā)事件的主體與客體、事件的類型、事件成功或失敗、身份鑒別事件中請求的來源、事件的結(jié)果等。

?

應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表

測評方法及步驟（Windows主機）：

1)?詢問管理員，是否定期查看操作系統(tǒng)日志并根據(jù)安全事件的發(fā)生的情況制作報表以及分析報告，或詢問管理員是否有第三方的安全審計系統(tǒng)進行安全審計，并具備定期出具報表以及報告功能；

0分標準：

1）未執(zhí)行審計分析；

2）未形成審計報表；

滿分標準：

1）提供專門的審計工具對審計記錄進行分類、排序、查詢、統(tǒng)計、分析等。

2）能根據(jù)需要生成審計報表。

3）定期對記錄數(shù)據(jù)進行分析。

?

應保護審計進程，避免受到未預期的中斷

測評方法及步驟（Windows主機）：

1)windows自帶審計進程自保護功能，不會受到未預期的中斷，因此此項在默認情況下即為符合；

0分標準：

1）審計進程可被非授權中斷；

滿分標準：

1）審計進程受到保護，無法未授權中斷或未授權修改配置。

?

?

4

剩余信息保護

應保證操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中

測評方法及步驟（Windows主機）：

1)【開始】→【控制面板】→【管理工具】→【本地安全策略】→【本地策略】→【安全選項】，查看“交互式登錄：不顯示上次的用戶名”項是否設置為“已啟用”狀態(tài)；

0分標準：

1）前次登錄鑒別信息第二次登錄的時候未被清除；

滿分標準：

1）存儲空間再分配其他用戶時完全清除。

?

應確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除

測評方法及步驟（Windows主機）：

1)【開始】→【控制面板】→【管理工具】→【本地安全策略】→【本地策略】→【安全選項】,查看“關機：清除虛擬內(nèi)存頁面文件”項是否狀態(tài)為“已啟用”，啟用為符合；

2)繼續(xù)查看【本地安全策略】→【賬戶策略】的密碼策略，查看是否選中“用可還原的加密來存儲密碼”；

0分標準：

1）能夠訪問其他用戶已經(jīng)釋放的文件、目錄和數(shù)據(jù)庫記錄等資源；

滿分標準：

1）操作系統(tǒng)具備自身的清除機制進行清除或采用第三方工具清除。

?

應能夠檢測到對重要服務器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警

測評方法及步驟（Windows主機）：

1)詢問系統(tǒng)管理員，是否對主機部署主機入侵檢查系統(tǒng)，主機入侵檢測系統(tǒng)是否能記錄入侵事件以及各要素；

2)查看系統(tǒng)是否開啟自帶防火墻，通過自身防火墻來防范攻擊，以及通過系統(tǒng)的審計來記錄防火墻的入侵日志，或者是否有其他防火墻或者主動防御系統(tǒng)防范攻擊行為，記錄攻擊事件；

0分標準：

1）重要服務器上不能檢測到對重要服務器的入侵行為 ；

滿分標準：

1）能夠在重要服務器上檢測到入侵的行為。

2）保存有攻擊源IP、攻擊類型、攻擊目標、攻擊時間等相關入侵檢測記錄。

3）發(fā)生入侵事件能夠報警（如聲音、短信、Email等）。

?

應能夠?qū)χ匾绦蛲暾赃M行檢測，并在檢測到完整性受到破壞后具有恢復的措施

測評方法及步驟（Windows主機）：

1)詢問系統(tǒng)管理員，是否利用一些檢查工具和腳本對重要文件的完整性進行檢查，如對比校驗等，是否對重要的配置文件進行備份，可查看備份的演示；

0分標準：

1）無法檢測重要程序的完整性 ；

滿分標準：

1）通過第三方軟件對重要程序進行完整性檢測。

2）檢測到完整性受到破壞后具有恢復措施。

?

操作系統(tǒng)遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統(tǒng)補丁及時得到更新

測評方法及步驟（Windows主機）：

1)右鍵點擊【我的電腦】→【屬性】，查看當前操作系統(tǒng)server pack版本，如2000為sp4版本,2003為sp2版本，xp為sp2版本，則SP版本符合要求，【開始】→【運行】中輸入“appwiz.cpl”勾選“顯示更新”可以查看安全補丁是否為最新，并記錄最后更新的時間；

2)【開始】→【運行】→輸入“cmd”，進入命令行界面，輸入#netstat –an

記錄系統(tǒng)開啟的TCP和UDP端口，確認是否含有不必要開放的端口或者是否存在可疑端口；

3)?【開始】→【運行】→輸入“services.msc”，進入服務查看界面，查看是否有不必要的服務開啟；

0分標準：

1）存在明顯能被利用的安全漏洞；

滿分標準：

1）遵循最小安裝原則，僅安裝需要的組件和應用程序；

2）未啟動多余的服務和端口；

3）設置升級服務器實現(xiàn)對服務器的補丁升級；

4）操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)補丁為廠商新公布的補丁版本。

?

6

惡意代碼防范

應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫

測評方法及步驟（Windows主機）：

1)【開始】→【設置】→【控制面板】→【安全中心】，查看是否安裝殺毒以及是否及時更新到最新，更新時間不晚于一星期；

0分標準：

1）未安裝防惡意代碼產(chǎn)品或安裝防惡意代碼產(chǎn)品未及時升級；

滿分標準：

1）安裝防惡意代碼軟件；

2）防惡意代碼軟件為最新版本；

3）惡意代碼庫定期更新，且為最新版本。

?

主機防惡意代碼產(chǎn)品應具有與網(wǎng)絡防惡意代碼產(chǎn)品不同的惡意代碼庫

測評方法及步驟（Windows主機）：

1)檢查主機防惡意代碼產(chǎn)品品牌與網(wǎng)絡防惡意代碼品牌對比，是否為不同品牌或其使用了不同的惡意代碼庫，如不同則此項符合；

0分標準：

1）網(wǎng)絡和主機防惡意代碼產(chǎn)品相同代碼庫 ；

滿分標準：

1）網(wǎng)絡和主機防惡意代碼產(chǎn)品有不同的惡意代碼庫。

?

應支持惡意代碼防范的統(tǒng)一管理

測評方法及步驟（Windows主機）：

1)檢查防惡意代碼產(chǎn)品，是否采用的CS架構，在各服務器及主機處安裝的為防惡意代碼的客戶端，并有專門的服務器安裝防惡意代碼產(chǎn)品的服務器端，且服務器端對終端用戶能施行統(tǒng)一管理，如靜默升級惡意代碼庫等，

0分標準：

1）未實現(xiàn)統(tǒng)一管理（非網(wǎng)絡版）；

滿分標準：

1）支持惡意代碼防范統(tǒng)一管理，統(tǒng)一更新、統(tǒng)一檢測與查殺。

?

7

資源控制

應通過設定終端接入方式、網(wǎng)絡地址范圍等條件限制終端登錄

測評方法及步驟（Windows主機）：

1)選中當前啟用的網(wǎng)卡，打開【屬性】界面，項目中選擇【TCP/IP屬性】，彈出界面中選擇【高級】，選擇【選項】標簽，雙擊打開【TCP/IP篩選】，查看是否勾選“啟用TCP/IP篩選”或者設置了遠程訪問的源IP。

2)是否使用IPSEC來進行TCP/IP過濾，【開始】→【運行】中輸入secpol.msc，右鍵建立IP安全策略。查看有無TCP/IP策略；

3)是否使用網(wǎng)絡/個人防火墻等方式限制訪問來源；以上3者有其一即為此項符合，或者有其他可行的資源控制手段也可。

0分標準：

1）未限制終端登錄；

滿分標準：

1）遠程登錄限制終端接入方式和網(wǎng)絡地址。

?

應根據(jù)安全策略設置登錄終端的操作超時鎖定

測評方法及步驟（Windows主機）：

1)應詢問系統(tǒng)管理員，是否定期巡查服務器資源狀況并記錄狀態(tài)，或者是否使用第三方管理工具監(jiān)控服務器的資源使用狀況；

0分標準：

1）未設置操作超時鎖定；

滿分標準：

1）設置了合理的操作超時鎖定（10分鐘以內(nèi)）；

2）在恢復時需要重新鑒別。

?

應對重要服務器進行監(jiān)視，包括監(jiān)視服務器的CPU、硬盤、內(nèi)存、網(wǎng)絡等資源的使用情況

測評方法及步驟（Windows主機）：

1)對遠程用戶的超時設置可查看如下設置：右鍵【我的電腦】→【管理】→【本地用戶和組】→【用戶】，選擇要被限制的用戶，右鍵單擊，選擇【屬性】，選擇【會話】標簽，查看活動會話限制和空閑會話限制有無設置時間，無則不符合；

2)?對本機登錄的會話超時設置可通過如下步驟查看：右鍵桌面空白處，選擇【屬性】→【屏幕保護程序】標簽，查看是否設置了使用屏保、等待時間以及超時密碼鎖定策略，無則不符合，以上情況都符合時此項符合；

0分標準：

1）未對重要服務器資源使用情況進行監(jiān)視。

滿分標準：

1）通過監(jiān)控管理軟件對服務器的資源（CPU、硬盤、內(nèi)存、網(wǎng)絡等）的使用情況進行實時監(jiān)視。

?

應限制單個用戶對系統(tǒng)資源的最大或最小使用限度

測評方法及步驟（Windows主機）：

1)訪談管理員是否有相應的措施限制用戶對系統(tǒng)資源訪問的最大最小限度，針對系統(tǒng)資源控制的管理措施；

0分標準：

1）系統(tǒng)資源不足且未限制單個用戶的使用限度。

滿分標準：

1）支持惡意代碼防范統(tǒng)一管理，統(tǒng)一更新、統(tǒng)一檢測與查殺。1）對單個用戶系統(tǒng)資源（CPU、內(nèi)存、硬盤）的使用限度進行限制。

?

應能夠?qū)ο到y(tǒng)的服務水平降低到預先規(guī)定的最小值進行檢測和報警

測評方法及步驟（Windows主機）：

1)詢問管理員日常如何監(jiān)控系統(tǒng)服務水平，若有第三方監(jiān)控程序，詢問并查看它是否有相關功能；

0分標準：

1）未采用第三方監(jiān)控管理軟件對系統(tǒng)服務水平進行監(jiān)視。

滿分標準：

1）通過第三方監(jiān)控管理軟件進行監(jiān)視。

2）第三方監(jiān)控管理軟件具有報警功能，且設置了報警門限值。