等保测评3级技术评测要求
等级保护三级技术类测评控制点(S3A3G3)类别 序号 72. 测 评 内 容 应启用访问控制功能,依据安全策略控制用户 对资源的访问。 (G2) 应根据管理用户的角色分配权限,实现管理用 户的权限分离,仅授予管理用户所需的最小权 限。 (G3) 应实现操作系统和数据库系统特权用户的权限 分离。 (G2) 应严格限制默认帐户的访问权限,重命名系统 默认帐户,修改这些帐户的默认口令。 (G2) 应及时删除多余的、过期的帐户,避免共享帐 户的存在。 (G2) 应对重要信息资源设置敏感标记。 (G3) 应依据安全策略严格控制用户对有敏感标记重 要信息资源的操作。 (G3) 审计范围应覆盖到服务器和重要客户端上的每 个操作系统用户和数据库用户。 (G2) 审计内容应包括重要用户行为、系统资源的异 常使用和重要系统命令的使用等系统内重要的 安全相关事件。 (G3) 审计记录应包括事件的日期
、时间、类型、主 体标识、客体标识和结果等。 (G2) 应能够根据记录数据进行分析,并生成审计报 访谈,检查,测试。 安全审计员,服务器操作系统、数 据库和重要终端操作系统。 访谈,检查。 服务器操作系统、数据库,服务器 操作系统文档,数据库管理系统文 档。 测评方法 结果记录 符合情况 Y N
73.
访问 控制
74. 75. 76. 77. 78. 79.
安全 审计
80.
81. 82.