【文章內(nèi)容簡介】 型、事件是否成功及其他與審計(jì)相關(guān)的信息；符合要求部署有網(wǎng)絡(luò)運(yùn)維管理軟件、流控、上網(wǎng)行為管理設(shè)備c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；符合要求部署有網(wǎng)絡(luò)運(yùn)維管理軟件、流控、上網(wǎng)行為管理設(shè)備d)應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等?；痉弦蟛渴鹩芯W(wǎng)絡(luò)運(yùn)維管理軟件、流控、上網(wǎng)行為管理設(shè)備安全審計(jì)日志記錄要求保存至少半年以上。4邊界完整性檢查（S3）本項(xiàng)要求包括：a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，；不符合要求不能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷。部署準(zhǔn)入控制系統(tǒng)，對(duì)接入局域網(wǎng)的終端進(jìn)行有效管理,b)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷。不符合要求采用準(zhǔn)入控制系統(tǒng)，杜絕私自外聯(lián)5入侵防范（G3）本項(xiàng)要求包括：a)應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、 木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；符合要求部署有入侵防御（應(yīng)保持特征庫及時(shí)更新）b)當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警符合要求部署有入侵防御（應(yīng)保持特征庫及時(shí)更新）6惡意代碼防范（G3）本項(xiàng)要求包括：a)應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除；符合要求部署有防病毒網(wǎng)關(guān)（應(yīng)保持特征、規(guī)則庫及時(shí)更新）b)應(yīng)維護(hù)惡意代碼庫的升級(jí)和檢測(cè)系統(tǒng)的更新。符合要求7網(wǎng)絡(luò)設(shè)備防護(hù)（G3）本項(xiàng)要求包括：a)應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；不符合要求可通過指定專人維護(hù)網(wǎng)絡(luò)設(shè)備，并通過用戶名和密碼 進(jìn)行身份鑒別b)應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；不符合要求增添堡壘機(jī)設(shè)備，這樣可以有效對(duì)遠(yuǎn)程用戶進(jìn)行管理。c)網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；符合要求對(duì)設(shè)備進(jìn)行唯一的標(biāo)示。d)主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；不符合要求主要網(wǎng)絡(luò)設(shè)備未對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；增設(shè)堡壘機(jī)和雙因素認(rèn)證設(shè)備e)身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；符合要求用戶口令應(yīng)12位以上高強(qiáng)度密碼，數(shù)字和字母組成，至少3 個(gè)月更換一次。f)應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；基本符合要求當(dāng)一次登錄密碼錯(cuò)誤次數(shù)超過 6 次， 應(yīng)能自動(dòng)關(guān)閉并告警。g)當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；基本符合要求建議通過、ssh等加密措施進(jìn)行遠(yuǎn)程管理。h)應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。不符合要求部署堡壘機(jī)控制用戶權(quán)限 主機(jī)安全現(xiàn)狀與差距分析圖表 4 主機(jī)安全現(xiàn)狀差距分析表序號(hào)要求指標(biāo)項(xiàng)是否符合差距分析備注1身份鑒別（S3）本項(xiàng)要求包括：a)應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別；符合要求通過賬號(hào)密碼限制操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶登陸，進(jìn)行身份標(biāo)識(shí)和鑒別；b)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；基本符合要求建議完善密碼策略安全設(shè)置，啟用密碼定期更換時(shí)間。c)應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；基本符合要求建議啟用登錄失敗處理功能。d)當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；符合要求采用IPSec VPN對(duì)傳輸加密的方法來保證遠(yuǎn)程管理安全可靠。e)應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。不符合要求建議按照最小使用原則設(shè)置管理員賬號(hào)f)應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別。不符合要求增設(shè)堡壘機(jī)2訪問控制（S3）本項(xiàng)要求包括：a)應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對(duì)資源的訪問；符合要求通過安全設(shè)備按需求設(shè)置訪問控制策略b)應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限；不符合要求部署堡壘機(jī)，將網(wǎng)絡(luò)管理員、系統(tǒng)管理員和安全審計(jì)員分離，通過技術(shù)手段控制授予所需要的最小權(quán)限。c)應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；符合要求滿足d)應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令；基本符合要求統(tǒng)一對(duì)賬號(hào)名進(jìn)行修改，杜絕使用administration等默認(rèn)用戶名。e)應(yīng)及時(shí)刪除多余的、過期的帳戶，避免共享帳戶的存在?；痉弦蠼ㄗh按照最小分配原則進(jìn)行賬戶設(shè)定。f)應(yīng)對(duì)重要信息資源設(shè)置敏感標(biāo)記；不符合要求未對(duì)重要服務(wù)器部署服務(wù)器加固系統(tǒng)，采取安全加固措施，并設(shè)置敏感標(biāo)記。對(duì)重要服務(wù)器部署服務(wù)器加固系統(tǒng)，采取安全加固措施，并設(shè)置敏感標(biāo)記g)應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息資源的操作；基本符合要求滿足通過安全設(shè)備按需求設(shè)置嚴(yán)格的訪問控制策略3安全審計(jì)（G3）本項(xiàng)要求包括：a)審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；不符合要求未部署數(shù)據(jù)庫審計(jì)系統(tǒng)和堡壘機(jī)，無法對(duì)服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶進(jìn)行審計(jì)。部署數(shù)據(jù)庫審計(jì)/堡壘機(jī)系統(tǒng)b)審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；不符合要求未部署數(shù)據(jù)庫審計(jì)系統(tǒng)，無法對(duì)重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件進(jìn)行審計(jì)。部署堡壘機(jī)/日志審計(jì)系統(tǒng)/數(shù)據(jù)庫審計(jì)系統(tǒng)c)審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；不符合要求未部署安全審計(jì)系統(tǒng)，無法進(jìn)行審計(jì)。部署堡壘機(jī)/日志審計(jì)系統(tǒng)/數(shù)據(jù)庫審計(jì)系統(tǒng)d)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；不符合要求未部署日志審計(jì)系統(tǒng)/數(shù)據(jù)庫審計(jì)系統(tǒng)，無法對(duì)異常行為實(shí)時(shí)告警。部署日志審計(jì)系統(tǒng)/數(shù)據(jù)庫審計(jì)系統(tǒng)e)應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中斷；不符合要求未部署日志審計(jì)系統(tǒng)/數(shù)據(jù)庫審計(jì)系統(tǒng)部署日志審計(jì)系統(tǒng)/數(shù)據(jù)庫審計(jì)系統(tǒng)f)應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。不符合要求未部署日志審計(jì)系統(tǒng)/數(shù)據(jù)庫審計(jì)系統(tǒng)。（審計(jì)記錄至少應(yīng)保存半年。）部署日志審計(jì)系統(tǒng)/數(shù)據(jù)庫審計(jì)系統(tǒng)4剩余信息保護(hù)（S3）本項(xiàng)要求包括：a)應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲(chǔ)空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；符合要求滿足b)應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲(chǔ)空間，被釋放或重新分配給其他用戶前得到完全清除?；痉弦笤诮K端Windows操作系統(tǒng)啟用“關(guān)機(jī)前清除虛擬內(nèi)存頁面”功能項(xiàng)。5入侵防范（G3）本項(xiàng)要求包括：a)應(yīng)能夠檢測(cè)到對(duì)重要服務(wù)器進(jìn)行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警；不符合要求不滿足服務(wù)器終端部署主機(jī)安全加固系統(tǒng)b)應(yīng)能夠?qū)χ匾绦虻耐暾赃M(jìn)行檢測(cè)，并在檢測(cè)到完整性受到破壞后具有恢復(fù)的措施；不符合要求未定期使用完整性檢查工具或腳本對(duì)服務(wù)器的重要程序和文件進(jìn)行檢查。定期使用完整性檢查工具或腳本對(duì)服務(wù)器的重要程序和文件進(jìn)行檢查。c)操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。符合要求通過補(bǔ)丁服務(wù)器保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。通過安全加固軟件結(jié)合人工的方式對(duì)服務(wù)器進(jìn)行優(yōu)化6惡意代碼防范（G3）本項(xiàng)要求包括：a)應(yīng)安裝防惡意代碼軟件，并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫；符合要求應(yīng)保持防惡意代碼軟件的及時(shí)更新b)主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫；基本符合要求防惡意代碼的產(chǎn)品應(yīng)選用不同廠商的產(chǎn)品，此類產(chǎn)品有防惡意代碼軟件或防病毒軟件。c)應(yīng)支持防惡意代碼的統(tǒng)一管理。符合要求部署的防惡意代碼應(yīng)具有統(tǒng)一管理的功能。7資源控制（A3）本項(xiàng)要求包括：a)應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；基本符合要求通過防火墻對(duì)終端接入進(jìn)行管理；采用防火墻訪問控制策略及主機(jī)加固軟件對(duì)終端登接入進(jìn)行限制。b)應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定；基本符合要求應(yīng)在主機(jī)上設(shè)置超時(shí)鎖定功能c)應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；基本符合要求不滿足可通過網(wǎng)絡(luò)運(yùn)維管理軟件、主機(jī)加固系統(tǒng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視并對(duì)服務(wù)器的運(yùn)行狀況異常實(shí)時(shí)告警。d)應(yīng)限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度；基本符合要求應(yīng)對(duì)單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度進(jìn)行限制；e)應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警。基本符合要求可通過網(wǎng)絡(luò)運(yùn)維管理系統(tǒng)/主機(jī)安全加固軟件對(duì)重要服務(wù)器進(jìn)行監(jiān)視并對(duì)服務(wù)器的運(yùn)行狀況異常實(shí)時(shí)告警。 應(yīng)用安全現(xiàn)狀與差距分析xxxx大學(xué)應(yīng)用系統(tǒng)主要是教務(wù)系統(tǒng)、一卡通、財(cái)務(wù)系統(tǒng)等，具體應(yīng)用沒有問題，但沒有相應(yīng)的安全審計(jì)系統(tǒng)，所以無法對(duì)系統(tǒng)中安全事件進(jìn)行審計(jì)。詳見下表：圖表 5 應(yīng)用安全現(xiàn)狀差距分析表序號(hào)要求指標(biāo)項(xiàng)是否符合差距分析備注1身份鑒別（S3）本項(xiàng)要求包括：a)應(yīng)提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別；不符合要求未采用技術(shù)手段，提供專用的登錄控制模塊對(duì)登錄用戶的身份進(jìn)行標(biāo)識(shí)和鑒別。增設(shè)堡壘機(jī)，通過堡壘機(jī)用戶登陸進(jìn)行身份識(shí)別和鑒別。b)應(yīng)對(duì)同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別；不符合要求未采用兩種以上組合的鑒別技術(shù)。采用堡壘機(jī)和雙因素設(shè)備。c)應(yīng)提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)，身份鑒別信息不易被冒用；符合要求滿足d)應(yīng)提供登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；符合要求滿足e)應(yīng)啟用身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。符合要求滿足2訪問控制（S3）本項(xiàng)要求包括：a)應(yīng)提供訪問控制功能，依據(jù)安全策略控制用戶對(duì)文件、數(shù)據(jù)庫表等客體的訪問；符合要求滿足b)訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作；符合要求滿足c)應(yīng)由授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限；符合要求滿足d)應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系。基本符合要求大部分設(shè)備只有管理員賬號(hào)，網(wǎng)絡(luò)、系統(tǒng)和安全管理員沒有分別設(shè)置，并由一個(gè)人同時(shí)兼任。對(duì)每個(gè)系統(tǒng)管理員根據(jù)其所承擔(dān)的任務(wù)，設(shè)置其工作權(quán)限，網(wǎng)絡(luò)、系統(tǒng)和安全管理員應(yīng)分別設(shè)置，不能由一個(gè)人同時(shí)兼任。e)應(yīng)具有對(duì)重要信息資源設(shè)置敏感標(biāo)記的功能；基本符合要求對(duì)重要服務(wù)器部署服務(wù)器加固系統(tǒng)，采取安全加固措施，并設(shè)置敏感標(biāo)記。f)應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息資源的操作；基本符合要求服務(wù)器加固系統(tǒng)有實(shí)現(xiàn)文件強(qiáng)制訪問控制、注冊(cè)表強(qiáng)制訪問控制、進(jìn)程強(qiáng)制訪問控制、程序授權(quán)控制、網(wǎng)絡(luò)級(jí)訪問控制等功能。3安全審計(jì)（G3）本項(xiàng)要求包括：a)應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)；不符合要求部署數(shù)據(jù)庫審計(jì)系統(tǒng),對(duì)應(yīng)用系統(tǒng)每個(gè)用戶的安全事件進(jìn)行記錄審計(jì)。b)應(yīng)保證無法單獨(dú)中斷審計(jì)進(jìn)程，無法刪除、修改或覆蓋審計(jì)記錄；不符合要求通過堡壘機(jī)/日志審計(jì)對(duì)安全事件進(jìn)行記錄審計(jì)。c)審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等；不符合要求部署日志審計(jì)系統(tǒng)/數(shù)據(jù)庫審計(jì)系統(tǒng)/堡壘機(jī)。d)應(yīng)提供對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表的功能。不符合要求部署日志審計(jì)系統(tǒng)/數(shù)據(jù)庫審計(jì)系統(tǒng)/堡壘機(jī)。4剩余信息保護(hù)（S3）本項(xiàng)要求包括：a)應(yīng)保證用戶鑒別信息所在的存儲(chǔ)空間被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；符合要求滿足。b)應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲(chǔ)空間被釋放或重新分配給其他用戶前得到完全清除。符合要求滿足。5通信完整性（S3）本項(xiàng)要求包括：應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。符合要求滿足6通信保密性（S3）本項(xiàng)要求包括：a)在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證；符合要求在應(yīng)用軟件編程中，對(duì)通信的保密性提出要求。b)應(yīng)對(duì)通信過程中的整個(gè)報(bào)文或會(huì)話過程進(jìn)行加密。符合要求在應(yīng)用軟件編程中，對(duì)通信的保密性提出要求。7抗抵賴（G3）本項(xiàng)要求包括：a)應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；符合要求應(yīng)用軟件中有此項(xiàng)功能b)應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。符合要求應(yīng)用軟件中有此項(xiàng)功能8軟件容錯(cuò)（A3）本項(xiàng)要求包括：a