【文章內(nèi)容簡(jiǎn)介】 說明，是否至少采用下面的一種認(rèn)證方式l 口令□沒有 □有l(wèi) 令牌（如Secure ID、證書等）□沒有 □有l(wèi) 生物特征□沒有 □有□不需要 □需要(2) 是否對(duì)普通用戶登錄鑒別失敗3次后鎖定□不是 □是(3) 是否使用鑒別失敗系統(tǒng)告警提示機(jī)制□不是 □是(4) 普通用戶不活動(dòng)時(shí)間超過5分鐘是否自動(dòng)登出□不是 □是(5) 是否嚴(yán)格限制遠(yuǎn)程登錄（遠(yuǎn)程撥號(hào)或VPN）操作范圍和審批程序□不是 □是 密碼管理(1) 密碼是否滿足如下規(guī)則a) 長(zhǎng)度不少于6位；b) 至少包含1個(gè)字母，1個(gè)數(shù)字c) 密碼至少包含3個(gè)不相同的字符；d) 每季度更換一次密碼；e) 禁止使用最近4次曾使用過的密碼；□不是 □是(2) 是否不同的賬號(hào)使用了不同的初始密碼，以及使用什么策略。□沒有 □有，使用的策略 (3) 對(duì)于樣本系統(tǒng)組件、關(guān)鍵服務(wù)器和無線接入點(diǎn)，系統(tǒng)口令的長(zhǎng)度是否被設(shè)置為不低于6個(gè)字符?！醪皇? □是(4) 對(duì)于樣本系統(tǒng)組件、關(guān)鍵服務(wù)器和無線接入點(diǎn)，系統(tǒng)口令的長(zhǎng)度是否被設(shè)置為必須包含字母和數(shù)字?！醪皇? □是(5) 對(duì)于服務(wù)提供商是否要求客戶口令必須符合最低口令長(zhǎng)度規(guī)定?！鯖]有 □有(6) 對(duì)于服務(wù)提供商，是否要求客戶口令必須包含字母和數(shù)字?！鯖]有 □有(7) 用戶重置密碼是否有安全機(jī)制；□不是 □是(8) 系統(tǒng)強(qiáng)制修改初始密碼；不得以明文方式顯示、存儲(chǔ)和傳輸密碼；□不是 □是(9) 是否使用系統(tǒng)和產(chǎn)品在安裝時(shí)生成的缺省密碼?！醪皇? □是(10) 選擇一個(gè)樣本系統(tǒng)組件、關(guān)鍵服務(wù)器，是否已經(jīng)更改了默認(rèn)的賬戶和口令。□沒有 □有(11) 選擇一個(gè)樣本無線接入點(diǎn)，檢查下列相關(guān)的供應(yīng)商默認(rèn)設(shè)置：u 安裝時(shí)是否更改了WEP密鑰，知曉密鑰的員工離開組織或轉(zhuǎn)換工作崗位時(shí)否更改了WEP 密鑰。□不是 □是u 是否更改了默認(rèn)SSID。□不是 □是u 是否禁止了SSID廣播?！醪皇? □是u 是否更改了接入點(diǎn)的默認(rèn)SNMP社區(qū)字符串。□不是 □是u 是否更改了接入點(diǎn)的默認(rèn)口令。□不是 □是u 如果無線系統(tǒng)支持WPA，是否啟用了WPA或WPA2 技術(shù)。□不是 □是u 是否更改了其他與安全相關(guān)的無線供應(yīng)商默認(rèn)設(shè)置（如果適用）?！醪皇? □是(12) 對(duì)賬戶的增加、刪除、修改或者變更權(quán)限的審批歷史記錄是否經(jīng)過了嚴(yán)格的審批?！鯖]有 □有(13) 檢查權(quán)限更改記錄，對(duì)下面的情況是否明確或者記錄了權(quán)限回收時(shí)間。a) 臨時(shí)修改□沒有 □有b) 離職□沒有 □有c) 崗位變動(dòng)□沒有 □有(14) 是否對(duì)于連續(xù)90天未使用的賬號(hào)應(yīng)予以權(quán)限凍結(jié)；凍結(jié)后30天仍未使用的，予以注銷□不是 □是(15) 首次登陸應(yīng)是否強(qiáng)制要求修改密碼□沒有 □有(16) 對(duì)于樣本系統(tǒng)組件、關(guān)鍵服務(wù)器和無線接入點(diǎn)：u 是否禁用或移用了公用用戶ID和賬戶□沒有 □有u 是否不存在可執(zhí)行系統(tǒng)管理活動(dòng)和其他關(guān)鍵功能的共享用戶 ID□沒有 □有u 是否禁用使用共享和公用的用戶ID管理無線LAN和設(shè)備□沒有 □有(17) 口令策略/程序中是否明確地禁止共享口令□沒有 □有(18) 是否禁止發(fā)送共享口令，即使接收到請(qǐng)求時(shí)也禁止□不是 □是(19) 是否強(qiáng)制要求用戶定期更改登錄密碼，修改周期最長(zhǎng)不得超過3個(gè)月□沒有 □有，使用的策略 (20) 對(duì)于服務(wù)提供商，是否要求定期修改客戶口令，以及是否為客戶提供了口令修改指導(dǎo)，這些指導(dǎo)說明了在何時(shí)以及哪些情況必須修改口令□不是 □是(21) 是否對(duì)密碼進(jìn)行加密保護(hù)，密碼明文不會(huì)以任何形式出現(xiàn)□不是 □是(22) 是否在重置用戶密碼前對(duì)用戶身份進(jìn)行核實(shí)，以及核實(shí)方法?！醪皇? □是，核實(shí)方法 (23) 是否進(jìn)行了用戶登錄錯(cuò)誤次數(shù)限制。□不是 □是，限制幾次 。(24) 如果對(duì)登錄錯(cuò)誤次數(shù)有限制，則核實(shí)用戶登錄限制數(shù)是否是5次（超過就會(huì)鎖定）?！醪皇? □是(25) 對(duì)于樣本系統(tǒng)組件、關(guān)鍵服務(wù)器和無線接入點(diǎn)，系統(tǒng)/會(huì)話空閑超時(shí)是否被設(shè)置為10分鐘或更短?！醪皇? □是 安全審計(jì)(1) 是否啟用了審計(jì)功能□不是 □是(2) 日志是否記錄用戶登錄系統(tǒng)的時(shí)間和方式□不是 □是(3) 日志是否記錄失敗的訪問嘗試□不是 □是(4) 日志是否記錄對(duì)關(guān)鍵目錄的訪問或執(zhí)行關(guān)鍵操作的記錄（與系統(tǒng)安全相關(guān)的事件）□不是 □是(5) 現(xiàn)場(chǎng)檢查日志，確定是否定期統(tǒng)計(jì)用戶訪問系統(tǒng)資源的記錄信息并反饋用戶進(jìn)行確認(rèn)和評(píng)估□不是 □是(6) 進(jìn)行內(nèi)部或外部審計(jì)的周期□無 □一年一次 □一季度一次 □其他(7) 是否對(duì)設(shè)備進(jìn)行了安全測(cè)試，以確?？刂品椒軌蜃R(shí)別并阻止安全區(qū)域內(nèi)的非授權(quán)訪問企圖。（例如：每季度使用一次無線分析工具識(shí)別所有無線設(shè)備）?！醪皇? □是(8) 每年是否委托由中國銀聯(lián)認(rèn)可的有資質(zhì)的第三方機(jī)構(gòu)進(jìn)行定期掃描□不是 □是(9) 下列網(wǎng)絡(luò)重大變更后是否掃描：u 安裝新的設(shè)備□不是 □是u 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)調(diào)整□不是 □是u 調(diào)整防火墻配置□不是 □是u 應(yīng)用系統(tǒng)升級(jí)□不是 □是(10) 弱點(diǎn)掃描是否通過?！醪皇? □是(11) 每年是否委托由中國銀聯(lián)認(rèn)可的有資質(zhì)的第三方機(jī)構(gòu)進(jìn)行定期滲透測(cè)試□不是 □是(12) 下列網(wǎng)絡(luò)重大變更后是否進(jìn)行滲透測(cè)試：u 操作系統(tǒng)升級(jí)□不是 □是u 應(yīng)用系統(tǒng)升級(jí)□不是 □是u 網(wǎng)絡(luò)拓?fù)渥兏醪皇? □是u WEB服務(wù)器變更□不是 □是(13) 滲透測(cè)試是否通過?！醪皇? □是(14) 是否安裝了入侵檢測(cè)系統(tǒng)。□不是 □是(15) 是否部署了文件完整性監(jiān)控軟件或者人工對(duì)核心文件監(jiān)控和管理。□不是 □是(16) 是否配置文件完整性監(jiān)控軟件或者按照流程人為對(duì)關(guān)鍵文件定期進(jìn)行比較。□不是 □是(17) 對(duì)核心文件的修改是否需要授權(quán)。□不是 □是(18) 監(jiān)控和管理的核心文件是否包括下面的幾類。u 防火墻配置文件□不是 □是u 交換機(jī)配置文件□不是 □是u 路由器配置文件□不是 □是 日志管理如果建立了日志記錄及審核機(jī)制（□沒有 □有），請(qǐng)完成下面的評(píng)估內(nèi)容。(1) 日志記錄和管理機(jī)制中是否包含下面的內(nèi)容。u 用戶對(duì)敏感信息的訪問□沒有 □有u 登錄系統(tǒng)的方式□沒有 □有u 失敗的訪問嘗試□沒有 □有u 系統(tǒng)管理員的操作□沒有 □有u 對(duì)系統(tǒng)日志的訪問□沒有 □有u 其他涉及賬戶信息安全的系統(tǒng)記錄□沒有 □有(1) 檢查組織內(nèi)的正確時(shí)間捕獲和發(fā)送流程以及樣本系統(tǒng)組件、關(guān)鍵服務(wù)器和無線接入點(diǎn)的時(shí)間相關(guān)系統(tǒng)參數(shù)設(shè)置，是否包含并且實(shí)施了時(shí)間同步過程?！醪皇? □是(2) 是否使用了NTP或類似技術(shù)進(jìn)行時(shí)間同步。□不是 □是如果使用了NTP技術(shù)，檢查運(yùn)行的網(wǎng)絡(luò)時(shí)間協(xié)議（NTP）是否為最新版本。□不是 □是(3) 是否只有審計(jì)用戶可以訪問或更改審計(jì)日志□不是 □是(4) 是否僅允許有工作需要的人員查看評(píng)估追蹤記錄?！醪皇? □是(5) 評(píng)估追蹤記錄是否被及時(shí)備份到集中的日志服務(wù)器上或難以更改的介質(zhì)上?！醪皇? □是(6) 是否將無線網(wǎng)絡(luò)的日志復(fù)制到了一臺(tái)位于內(nèi)部局域網(wǎng)的日志服務(wù)器上?！醪皇? □是(7) 是否使用文件完整性監(jiān)視和變更檢測(cè)軟件保護(hù)日志，確保已有的日志被改變時(shí)產(chǎn)生報(bào)警（當(dāng)然，在已有的日志中添加數(shù)據(jù)，不應(yīng)