2015版-主机安全测评指导书(共17页)

精选优质文档-倾情为你奉上XXX市人民政府重要信息系统主机安全测评指导书测评单位名称：成都博和赢创信息技术有限公司被测单位名称： XXXX2015年 X 月 X 日V1.0专心-专注-专业一、 系统概述本次需要进行测评的系统是XXX市人民政府XXX信息系统主机window server 2003系统。XXX市人民政府XXX信息系统已经完成建设和验收工作。为单位规范、高效和系统的管理提供了一个稳定的计算机和网络系统平台，从而需要对该系统进行等级保护工作。二、 安全保护等级 XXX通过自主定级为三级等级保护。本标准依据GB 17859-1999的五个安全保护等级的划分，根据数据安全在信息系统中的作用，规定了各个安全等级的数据安全所需要的基础安全技术的要求。 本标准适用于按等级化的要求进行的数据安全的设计和实现，对按等级化要求进行的数据安全的测试和管理可参照使用。三、 主机安全范围主机安全的范围包括：身份鉴别（S3）、访问控制（S3）、安全审计（G3）、剩余信息保护（S3）、入侵防范（G3）、恶意代码防范（G3）、资源控制（A3）。四、 测评指标1、 身份鉴别（S3）本项要求包括：a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别；b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；c) 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；d) 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；e) 应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。f) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。2、 访问控制（S3）本项要求包括：a) 应启用访问控制功能，依据安全策略控制用户对资源的访问；b) 应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；c) 应实现操作系统和数据库系统特权用户的权限分离；d) 应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；e) 应及时删除多余的、过期的帐户，避免共享帐户的存在。f) 应对重要信息资源设置敏感标记；g) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。3、 安全审计（G3）本项要求包括：a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；d) 应能够根据记录数据进行分析，并生成审计报表；e) 应保护审计进程，避免受到未预期的中断；f) 应保护审计记录，避免受到未预期的删除、修改或覆盖等。4、 剩余信息保护（S3）本项要求包括：a) 应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中；b) 应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除。5、 入侵防范（G3）本项要求包括：a) 应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警；b) 应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施；c) 操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。6、 恶意代码防范（G3）本项要求包括：a) 应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；b) 主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库；c) 应支持防恶意代码的统一管理。7、 资源控制（A3）本项要求包括：a) 应通过设定终端接入方式、网络地址范围等条件限制终端登录；b) 应根据安全策略设置登录终端的操作超时锁定；c) 应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况；d) 应限制单个用户对系统资源的最大或最小使用限度；e) 应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。五、 控制点详细序号类别测评项测评实施预期结果说明1身份鉴别a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别；检查1）查看登录是否需要密码1）用户需要输入用户名和密码才能登录。是否必须输入密码才能登录。b) 操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；检查1）依次展开开始->（控制面板 ->）管理工具->本地安全策略->账户策略->密码策略，查看以下项的情况：a)复杂性要求、b)长度最小值、c)最长存留期、d)最短存留期、e)强制密码历史。a)复杂性要求已启用；b)长度最小值至少为8位；c)最长存留期不为0；d)最短存留期不为0；e)强制密码历史至少记住3个密码以上。所有的项应该不为默认的0或未启用。c) 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；检查1）依次展开开始->（控制面板 ->）管理工具->本地安全策略->账户策略->账户锁定策略；2）查看以下项的情况：a)复位账户锁定计数器、b)账户锁定时间和c)账户锁定阈值。a)设置了“复位账户锁定计数器”时间；b)设置了“账户锁定时间”；c)设置了“账户锁定阈值”。所有的项应该不为默认的0或未启用就可以。d) 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；访谈1）访谈管理员在进行远程管理时如何防止鉴别信息在网络传输过程中被窃听。1）如果是本地管理或KVM等硬件管理方式，此要求默认满足；2）如果采用远程管理，则需采用带加密管理的远程管理方式，如启用了加密功能的3389远程管理桌面或修改远程登录端口。关注远程管理方式及传输协议。e) 为操作系统和数据库的不同用户分配不同的用户名，确保用户名具有唯一性；检查1）依次展开开始->(控制面板->)管理工具->计算机管理->本地用户和组->用户；查看用户列表，询问每个账户的使用情况。1）无多人共用同一个账号的情况。Windows Server 2003默认不存在相同用户名的用户，但应防止多人使用同一个账号。f） 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。访谈1）访谈系统管理员，询问系统除密码外有无其他身份鉴别方法，如令牌、智能卡等。1）有两种或以上组合的鉴别技术。不同于用户名/口令的身份鉴别方法主要有动态口令、数字证书、生物信息识别等。2访问控制a) 应启用访问控制功能，依据安全策略控制用户对资源的访问；检查1）文件权限：a)右键点击开始，打开开资源管理器(X)，工具->文件夹选项->查看中的“使用简单文件共享（推荐）”是否选中；b)右键单击下面两个文件夹的属性->安全，查看users的权限。%systemdrive%program files%systemroot%system32config2）用户权限：a)开始->（控制面板 ->）管理工具->计算机管理->本地用户和组->组b)双击“名称”列中Administrators用户，查看成员。1）a）未选中“使用简单文件共享（推荐）”选项。b）program files文件夹的users权限只允许“读取和运行”、“列出文件夹目录”、“读取”三种权限；config文件夹的users权限只允许“列出文件夹目录”权限；2）普通用户、应用账户等非管理员账户不属于管理员组。b) 应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；访谈1）访谈并查看管理用户及角色的分配情况。1）系统管理员、安全管理员、安全审计员由不同的人员和用户担当。至少应该有系统管理员和安全管理员，安全审计员在有第三方审计工具时可以不要求。验证操作：按照3安全审计->f->1)的操作，查看“管理审核和安全用户”中的用户组是否只有安全审计员。c) 应实现操作系统和数据库系统特权用户的权限分离；访谈1）访谈并查看管理用户及角色的分配情况。1）操作系统除具有管理员账户外，至少还有专门的审计管理员账户，且他们的权限互斥。1）操作系统的特权账户应包括管理员、安全员和审计员。至少应该有管理员和审计员，并且他们的权限是互斥关系的。2）应保证操作系统管理员和审计员不为同一个账号，且不为同一个人。d) 应严格限制默认账户的访问权限，重命名系统默认账户，并修改这些账户的默认口令；检查1）依次展开开始->(控制面板->)管理工具->计算机管理->本地用户和组->用户；2）查看用户列表中是否有SUPPORT_a0、GUEST账户，如果有这些账户，则右键点击该账户->属性，查看账户是否停用。1）用户列表中没有名为GUEST、SUPPORT_a0的账户，或已经禁用。e) 应及时删除多余的、过期的账户，避免共享账户的存在；检查1）依次展开开始->(控制面板 ->)管理工具->计算机管理->本地用户和组->用户，查看是否存在过期账户；）依据用户账户列表询问主机管理员，每个账户是否为合法用户；2）依据用户账户列表询问主机管理员，是否存在多人共用的账户。1）无多余账户、过期账户；2）无多人共享账户。关注是否未清理已离职员工的账户。f）应对重要信息资源设置敏感标记；访谈1）询问系统管理员，是否实现了该功能，具体措施是什么。1）如果没有采取任何措施，则该项要求为不符合。Windows Server 2003不提供该功能。g）应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。访谈1）询问系统管理员，是否实现了该功能，具体措施是什么。1）如果没有采取任何措施，则该项要求为不符合。Windows Server 2003不提供该功能。3安全审计a) 安全审计应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；检查1）依次展开开始->(控制面板 ->) 管理工具->本地安全策略->本地策略->审核策略；2）查看是否有审核策略启用。1）至少启用一项审核策略。不能所有审计策略均未启用。如果a)条不符合则以下b)、c)、d)、e)、f)直接判定为不符合。b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；检查1）依次展开开始->(控制面板 ->) 管理工具-> 本地安全策略->本地策略->审核策略；2）查看各审核策略对哪些操作进行审核。a)审计账户登录事件：成功，失败 b)审计账户管理：成功，失败 c)审计目录服务访问：失败 d)审计登录事件：成功，失败 e)审计对象访问：成功，失败 f)审计策略更改：成功，失败 g)审计特权使用：失败 h)审计系统事件：成功，失败至少应包含a)审计账户登录事件、b)审计账户管理、d)审计登录事件、f)审计系统事件、g)审计系统事件的成功与失败行为。c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；1）默认满足。1）默认满足。d）应能够根据记录数据进行分析，并生成审计报表；访谈1）访谈系统管理员是否有第三方日志分析软件。1）使用第三方日志分析软件或Windows事件查看器，定期分析审计报表。Windows“事件查看器”具备审计报表的生成功能。e）应保护审计进程，避免受到未预期的中断；1）默认满足。1）默认满足。f）应保护审计记录，避免受到未预期的删除、修改或覆盖等。检查1）如果日志数据本地保存，则a)依次展开开始->(控制面板 ->）管理工具->本地安全策略->安全设置->本地策略->用户权限分配，右键点击策略“管理审核和安全日志”点属性，查看是否只有审计。系统审计账户所在的用户组是否在本地安全设置的用户列表中。b)依次展开开始->(控制面板->)管理工具->事件查看器；查看“安全性”和“系统”日志“属性”的存储大小和覆盖策略。2）若部署了日志服务器，则查看日志保存策略。1）如果日志数据本地保存，则a)只有系统管理员组在本地安全设置的用户列表中b)“安全性”和“系统”日志“属性”的存储大小不小于512KB；覆盖周期不小于15天。2）如果日志数据存放在日志服务器上并且审计策略合理，则该要求为符合。1）关注“管理审核和安全日志”的权限用户，关注“安全性”和“系统”日志“属性”的存储大小和覆盖周期。2）如果日志数据存放在日志服务器上，则该要求向为符合。4剩余信息保护a）应保证操作系统和数据库管理系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中；检查1）检查产品的测试报告、用户手册或管理手册，确认其是否具有相关功能；或由第三方工具提供了相应功能。1）如果测试报告、用户手册或管理手册中没有相关描述，且没有提供第三方工具增强该功能，则该项要求为不符合。b）应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除。检查1）检查产品的测试报告、用户手册或管理手册，确认其是否具有相关功能；或由第三方工具提供了相应功能。1）如果测试报告、用户手册或管理手册中没有相关描述，且没有提供第三方工具增强该功能，则该项要求为不符合。5入侵防范a) 应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警；检查1）访谈系统管理员是否经常查看磁盘等资源的使用状况，有哪些性能监控手段。1）启用入侵检测系统，参考网络全局部分的“入侵检测系统”部分。b）应能够对重要程序完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施；检查1）检查产品的测试报告、用户手册或管理手册，确认其是否具有相关功能；或由第三方工具提供了相应功能。1）如果测试报告、用户手册或管理手册中没有相关描述，且没有提供第三方工具增强该功能，则该项要求为不符合。c) 操作系统遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。访谈1）组件最小化：访谈系统安装的组件和应用程序是否遵循了最小安装的原则；检查2）服务最小化：a）依次展开开始->（控制面板->）管理工具->服务；b）查看已经启动的或者是手动的服务，一些不必要的服务如Alerter、Remote Registry Service、Messenger、Task Scheduler是否已启动；检查3）服务端口：依次展开开始->运行，在文本框中输入cmd点确定，输入netstat an查看是否有不必要端口开启，如139、445。检查4）默认共享：a)依次展开开始->运行，在文本框中输入cmd点确定，输入net share，查看共享；b)依次展开开始->运行，在文本框中输入regedit点确定，查看HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsarestrictanonymous值是否为“0”检查5）补丁更新访谈系统补丁升级的方法，开始->运行，在文本框中输入regedit，查看HKEY_LOCAL_MACHINESOFTWAREMicrosoftUpdates下的安装补丁列表。1）系统安装的组件和应用程序遵循了最小安装的原则；2）不必要的服务没有启动；3）不必要的端口没有打开；4）a)“共享名”列为空，无C$、D$、IPC$等默认共享。b)HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsarestrictanonymous值不为“0”（0表示共享开启）5）系统补丁先测试，再升级；补丁号为较新版本。1）关注系统安装的组件和应用程序情况；2）关注补丁是否先测试，补丁号是否为较新版本。6恶意代码防范a) 应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；检查1）查看系统中安装的防病毒软件。询问管理员病毒库更新策略。查看病毒库的最新版本更新日期是否超过一个星期。1）安装了防病毒软件，病毒库经常更新，是最新版本。在关注防病毒软件的同时还应该保证病毒库是否及时更新。b)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库；访谈1）访谈系统管理员网络防病毒软件和主机防病毒软件分别采用什么病毒库。1）主机防恶意代码产品与网络防恶意代码产品的恶意代码库不同网络上若没有网络防恶意代码产品则本条不符合c) 应支持恶意代码防范的统一管理。访谈1）访谈防恶意代码的管理方式，例如升级方式。防恶意代码统一管理，统一升级。关注升级方式是否统一。7系统资源控制a) 应通过设定终端接入方式、网络地址范围等条件限制终端登录；访谈1）访谈系统管理员了解系统对登录终端的接入方式进行限制的措施；2）依次展开开始->控制面板->网络连接->本地连接属性->Internet协议属性中高级->选项->TCP/IP筛选中有没有对端口做限制；3）如果安装有主机防火墙则查看有无登录地址限制。1）如果安装有主机防火墙则通过防火墙对登录地址进行限制；如果无主机防火墙，则在“TCP/IP筛选”中对端口做了限制。b) 应根据安全策略设置登录终端的操作超时锁定；检查1）依次展开开始->控制面板->显示的屏幕保护程序，查看登录该服务器的终端是否设置了屏幕锁定。1）等待时间应在10分钟以下，在恢复时使用密码保护的选项勾选。关注等待时间设置是否过长，恢复时使用密码保护是否选中。c）应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况；访谈1）访谈系统管理员了解是否经常查看“系统资源监控器”或第三方监控软件。1）每日至少三次查看“系统资源监控器”及磁盘使用状况并记录。或使用集中监控平台实时监控系统资源使用情况。关注监视的方式，主要目的是了解通过这些监视方式能否使管理员及时、准确了解到服务器的资源使用情况d) 应限制单个用户对系统资源的最大或最小使用限度；访谈1）访谈管理员针对系统资源控制的管理措施，询问服务器是否为专用服务器；2）同时按下CRL、ALT、Delete键打开Windows任务管理器->性能，查看CPU使用率。1）CPU使用率不超过70%。主要应了解服务器资源的分配是否能满足其业务需求。如果服务器不是多业务竞争使用硬件资源且实时利用率不是很高，那么认为不存在资源紧张情况。确实需要多业务公用资源的，应判断当前的资源分配方式能否满足业务需求。e）应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。访谈及检查1）Windows系统自身不满足，询问系统管理员有无第三方主机监控程序。2）如果有第三方主机监控程序，则查看是否有报警功能。1）有第三方主机监控程序，且其提供主动的声、光、电、短信、邮件等形式的一种或多种报警方式。如果采用人工监控，本条判定为不符合，但在综合风险分析中可降低本条风险。8备份与恢复d) 应提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。访谈1）访谈并查看系统备份措施；1）双机热备、冷备或集群等方式主要了解硬件冗余情况。如果没有双机备份或集群，至少应具有1台或多台备份服务器随时顶替故障服务器。参考文献【1】 GB 17859-1999信息安全技术 计算机信息系统安全保护等级划分准则。【2】 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求。【3】 GB/T XXXXX-XXXX 信息安全技术 信息系统安全等级保护测评过程指南。