编号
检测项
检测说明
技术要求细
化 要系统命令的使用等系统内重要的安全相关事件;
4.审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;
5.审计记录应真实有效。
检测方法及步骤 行为(如用超级用户命令
改变用户身份,删除系统表)、系统资源的异常使用、重要系统命令的使用(如删除客体)等; 4.检查操作系统和数据库系统,查看审计记录信息是否包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、事件成功或失败、身份鉴别事件中请求的来源(如末端标识符)、事件的结果等内容;
5.测试操作系统和数据库系统,在系统上以某个用户试图产生一些重要的安全相关事件(如鉴别失败等),测试安全审计的记录情况与要求是否一致。 1.访谈主机管理员,询问审计记录的存储和保护的措施(如配置日志服务器,启用日志守护进程syslogd等);
2.测试服务器操作系统和数据库系统,在系统上以某个用户试图删除、修改或覆盖审计记录,测试安全审计的保护情况与要求是否一致;
3.测试操作系统和数据库系统,用户可通过非法终止审计功能或修改其配置,验证审计功能是否受到保护。
1.访谈主机管理员,询问是否能根据记录数据进行分析,并生成审计报表; 2.测试服务器操作系统和
预期结果及判定 使用(如删除客体)等; 4.审计记录信息包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、事件成功或失败、身份鉴别事件中请求的来源(如末端标识符)、事件的结果等内容;
5. 安全审计记录中含有用户鉴别失败的记录。
类别
4.2.3.2 主机安
全/安全审计/日志权限和保护
必测项
1.应具有审计记录的存储和保护的措施;
2.应保护审计记录,避免受到未预期的删除、修改或覆盖等; 3.审计进程应受到保护。
1.审计记录存储在日志服
务器上,并已启用日志守护进程syslogd等; 2.用户删除、修改或覆盖审计记录失败;
3.用户不能非法终止审计功能或修改其配置。
技术类
4.2.3.3 主机安
全/安全审计/系统
必测项
应能够根据记录数据进行分析,并生成审计报表。 1.可根据记录数据进行分
析,并生成审计报表; 2.已为授权用户浏览和分析审计数据提供专门的审
技术类
27
编号
检测项 信息分析
检测说明
技术要求细
化
检测方法及步骤
预期结果及判定
类别
数据库系统,查看是否为计工具,用于生成审计报授权用户浏览和分析审计表。 数据提供专门的审计工具(如对审计记录进行分类、排序、查询、统计、分析和组合查询等),并能根据需要生成审计报表。
必测项
1.应具有系统备份或系统重要文件备份;
2.应对备份方式、备份周期、备份介质进行要求; 3.备份应真实有效。 应具备各种主机故障恢复策略。
1.访谈主机管理员,询问主要对哪些系统备份或系统重要文件进行备份; 2.检查是否具有规定备份方式(热备、冷备)、备份周期文档;
3.检查备份数据的存放场所、备份介质(如磁带等)、备份记录等,是否对备份和冗余设备的有效性定期维护和检查。
1.访谈主机管理员,询问是否具有主机故障恢复策略文档;
2.检查主机故障恢复策略文档是否包含故障恢复策略的操作流程、紧急联系人、恢复时间要求等; 3.定期执行恢复程序,确保各种主机故障恢复策略是否有效。
1.访谈主机管理员,询问是否对主机磁盘空间进行监控;
2.检查磁盘空间的划分策略是否合理,以及采取了哪些保证磁盘使用安全的措施。
1.访谈主机管理员,询问是否有主机加固策略,是否进行过主机加固,是否有主机加固记录等; 2.依据主机加固策略测试
1.主要对业务信息、系统数据及软件系统以及系统重要文件等进行备份; 2.按照要求对系统及文件进行了备份,并对备份记录进行了保管。 3.备份真实有效。
技术类
4.2.4.1 主机安
全/系统保护/系统备份
4.2.4.2 主机安
全/系统保护/故障恢复策略
必测项
1.具有主机故障恢复策略文档;
2.主机故障恢复策略文档包含故障恢复策略的操作流程、紧急联系人、恢复时间要求等;
3.定期对主机故障恢复策略进行验证,具有验证记录。
1.对主机磁盘空间进行监控,并提供记录;
2.防止在单磁盘出现问题时影响服务(如RAID、磁盘阵列等)。
技
术类
4.2.4.3 主机安
全/系统保护/磁盘空间安全 4.2.4.4 主机安
全/系统保护/主机安全加
必测项
1.应具备磁盘监控措施; 2.应对主机磁盘空间进行合理规划,确保磁盘空间使用安全。 1.应具有主机加固策略; 2.应进行过主机加固,并具备相应记
技术类
必测项
1.具有主机加固策略文档、进行过主机加固并具有主机加固记录;
2.主机已依照主机加固策略进行了加固,主机加固
技术类
28
编号
检测项 固
检测说明
技术要求细
化 录。
检测方法及步骤 主机加固是否有效,查看主机加固记录是否有操作人、审核人、操作时间、加固策略等。
1.检查产品的测试报告、用户手册或管理手册,确认其是否具有相关功能;或由第三方工具提供了相应功能;
2.检查主要操作系统和主要数据库管理系统维护操作手册,查看是否明确用户的鉴别信息存储空间被释放或再分配给其他用户前的处理方法和过程;是否明确文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前的处理方法和过程。
预期结果及判定 记录中包含有操作人、审核人、操作时间、加固策略等。
1.如果测试报告、用户手册或管理手册中没有相关描述,且没有提供第三方工具增强该功能,则该项要求为不符合;
2.主要操作系统和主要数据库管理系统维护操作手册说明用户的鉴别信息存储空间被释放或再分配给其他用户前的处理方法和流程,以及明确文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前的处理方法和过程,且处理方法和流程确保剩余信息得到相应的保护。
技术类 类别
4.2.5.1 主机安必测
全/剩项 余信息保护/剩余信息保护
1.应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;
2.应确保系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。 1.宜采取入侵防范措施; 2.宜能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严
4.2.6.1 主机安
全/入侵防范/入侵防范记录
必测项
1.访谈系统管理员,询问是否采取入侵防范措施,入侵防范内容是否包括主机运行监视、特定进程监控、入侵行为检测和完整性检测等方面内容; 2.检查在主机系统层面是否有对入侵行为进行检测的相关措施:如主机系统本身是否提供并开启了相应的功能或是否部署了第三方工具提供了相应的功1.系统管理员说明采取了技入侵防范措施,入侵防范术内容包括主机运行监视、类 特定进程监控、入侵行为检测和完整性检测方面; 2.主机层面提供并开启了相关功能或部署了第三方工具进行入侵行为的检测和完整性检测;
3.在网络边界处部署了IDS(IPS)系统,或UTM启用了入侵检测(保护)
29
编号
检测项
检测说明
技术要求细
化 重入侵事件时提供报警; 3.宜能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施。
检测方法及步骤 能;
3.检查在网络边界处是否有对网络攻击进行检测的相关措施:如部署并启用入侵检测系统;
4.检查入侵攻击检测日志;
5.检查采用何种报警方式;
6.访谈系统管理员当检测到重要程序完整性受到破坏后的恢复措施。
预期结果及判定 功能;
4.如果主机系统测试报告、用户手册或管理手册中没有相关描述,且在主机层面或网络层面没有提供第三方工具增强该功能,则该项要求为不符合; 5.有入侵攻击相关日志记录;
6.在发生严重事件时应能够提供监控屏幕实时报警,最好有主动的声、光、电、短信、邮件等形式的一种或多种报警方式; 7.系统管理员说明在检测到重要程序完整性受到破坏后具有一定的恢复措施,如通过定期备份的文件进行恢复。
1.定期对系统中的服务和技端口进行了梳理,并关闭术了不必要的服务和端口; 类 2.通过查看和扫描,系统中未发现不必要的服务和端口开启。
类别
4.2.6.2 主机安
全/入侵防范/关闭服务和端口
必测项
1.应关闭不必要的服务; 2.应关闭不必要的端口。
1.访谈系统管理员,是否
定期对系统中的服务和端口进行梳理,并关闭不必要的服务和端口;
2.查看系统中已经启动的或者是手动的服务,一些不必要的服务是否已启动,针对Windows系统可通过[开始]-[控制面板]-[管理工具]-[服务]查看服务的开启情况,针对Linux系统,可以查看/etc/inetd.conf文件查看服务开启情况;
3.输入netstat –an查看系统端口开放情况; 4.采用端口扫描工具,查看是否存在不必要的服务或端口。
1.访谈系统管理员,询问系统安装的组件和应用程
4.2.6.3 主机安
全/入必测项 1.操作系统应遵循最小1.系统安装的组件和应用程序遵循了最小安装的原技术
30
编号
检测项 侵防范/最小安装原则
检测说明
技术要求细
化 安装的原则,仅安装需要的组件和应用程序; 2.通过设置升级服务器等方式保持系统补丁及时得到更新。
检测方法及步骤 序是否遵循了最小安装的
原则;
2.查看系统中已经启动的或者是手动的服务,一些不必要的服务是否已启动,输入netstat –an查看系统是否有不必要端口开启;
3.针对Windows操作系统,查看系统默认共享的开启情况:
a)依次展开[开始]->[运行],在文本框中输入cmd点确定,输入net share,查看共享;
b)依次展开[开始]->[运行],在文本框中输入regedit点确定,查看HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\restrictanonymous值是否为“0”; 4.访谈系统管理员,询问系统补丁升级的方法; 5.查看系统中补丁安装的情况,如对于Windows操作系统,可以通过
[开始]->[运行],在文本框中输入regedit,查看HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Updates下的安装补丁列表; 6.通过操作系统扫描工具对操作系统系统进行漏洞扫描,查看系统是否存在因补丁未及时更新而造成的风险漏洞。
1.查看系统中是否部署了防恶意软件;
2.访谈系统管理员,询问
预期结果及判定
类别
则; 类 2.系统中不必要的服务没有启动,不必要的端口没有打开;
3.针对Windows操作系统,非域环境中,关闭默认共享,即:a)“共享名”列为空,无C$、D$、IPC$等默认共享,b)HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\restrictanonymous值不为“0”(0表示共享开启);
4.通过部署升级服务器等方式进行了补丁升级,且补丁先测试,再升级; 5.系统中补丁号为较新版本;
6.漏洞扫描中未发现因补丁未及时更新而导致的风险漏洞。
4.2.7.1 主机安
全/恶意代码
必测项
1.应安装防恶意代码软件; 1.安装了防恶意代码软件;
2.防恶意代码软件的覆盖技术类
31