【文章內(nèi)容簡(jiǎn)介】 連接超時(shí)自動(dòng)退出等措施；f) 當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽a) 應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；b)應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；c)網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；d)身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；e) 應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；f) 當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。a) 應(yīng)訪談網(wǎng)絡(luò)管理員，詢問邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備的防護(hù)措施有哪些；詢問邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備的登錄和驗(yàn)證方式做過何種配置；詢問遠(yuǎn)程管理的設(shè)備是否采取措施防止鑒別信息被竊聽；b) 應(yīng)訪談網(wǎng)絡(luò)管理員，詢問網(wǎng)絡(luò)設(shè)備的口令策略是什么；c) 應(yīng)檢查邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備，查看是否配置了對(duì)登錄用戶進(jìn)行身份鑒別的功能，口令設(shè)置是否有復(fù)雜度和定期修改要求；d) 應(yīng)檢查邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備，查看是否配置了鑒別失敗處理功能；e) 應(yīng)檢查邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備，查看是否配置了對(duì)設(shè)備遠(yuǎn)程管理所產(chǎn)生的鑒別信息進(jìn)行保護(hù)的功能；f) 應(yīng)檢查邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備，查看是否對(duì)網(wǎng)絡(luò)設(shè)備管理員登錄地址進(jìn)行限制；g) 應(yīng)對(duì)邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備進(jìn)行滲透測(cè)試，通過使用各種滲透測(cè)試技術(shù)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行滲透測(cè)試，驗(yàn)證網(wǎng)絡(luò)設(shè)備防護(hù)能力是否符合要求。主機(jī)安全身份鑒別(S)a) 應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別a) 應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別；b) 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；c) 應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；d) 當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；e) 應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。a) 應(yīng)訪談系統(tǒng)管理員和數(shù)據(jù)庫管理員，詢問操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的身份標(biāo)識(shí)與鑒別機(jī)制采取何種措施實(shí)現(xiàn)；b) 應(yīng)訪談系統(tǒng)管理員和數(shù)據(jù)庫管理員，詢問對(duì)操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng) 是否采用了遠(yuǎn)程管理，如果采用了遠(yuǎn)程管理，查看是否采用了防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽的措施；c) 應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫管理系統(tǒng) 帳戶列表，查看管理員用戶名分配是否唯一；d) 應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫管理系統(tǒng)，查看 是否提供了身份鑒別措施，其身份鑒別信息是否具有不易 被冒用的特點(diǎn)，如對(duì)用戶登錄口令的最小長(zhǎng)度、復(fù)雜度和更換周期進(jìn)行要求和限制；e) 應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫管理系統(tǒng)，查看是否已配置了鑒別失敗處理功能，設(shè)置了非法登錄次數(shù)的限制值；查看是否設(shè)置登錄連接超時(shí)處理功能，如自動(dòng)退出。安全標(biāo)記(S)//訪問控制(S)a) 應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對(duì)資源的訪問；c) 應(yīng)限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令；d) 應(yīng)及時(shí)刪除多余的、過期的帳戶，避免共享帳戶的存在a) 應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對(duì)資源的訪問；b) 應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；c) 應(yīng)限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令；d) 應(yīng)及時(shí)刪除多余的、過期的帳戶，避免共享帳戶的存在。a) 應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)的安全策略，查看是否對(duì)重要文件的訪問權(quán)限進(jìn)行了限制，對(duì)系統(tǒng)不需要的服務(wù)、共享路徑等進(jìn)行了禁用或刪除；b) 應(yīng)檢查關(guān)鍵數(shù)據(jù)庫服務(wù)器的數(shù)據(jù)庫管理員與操作系統(tǒng)管理員是否由不同管理員擔(dān)任 ；c) 應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫管理系統(tǒng)，查看匿名/默認(rèn)用戶的訪問權(quán)限是否已被禁用或者嚴(yán)格限制，是否刪除了系統(tǒng)中多余的、過期的以及共享的帳戶；d) 應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫管理系統(tǒng)的權(quán)限設(shè)置情況，查看是否依據(jù)安全策略對(duì)用戶權(quán)限進(jìn)行了限制。可信路徑(S)//安全審計(jì)(G)/a) 審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；b) 審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；c) 審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；d) 應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。a) 應(yīng)訪談安全審計(jì)員，詢問主機(jī)系統(tǒng)的 安全審計(jì)策略是否包括系統(tǒng)內(nèi)重要用戶行為、系統(tǒng)資源的異常和重要系統(tǒng)命令的使用等重要的安全相關(guān)事件；b) 應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫管理系統(tǒng)， 查看安全審計(jì)配置是否符合安全審計(jì)策略的要求；c) 應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫管理系統(tǒng)，查看審計(jì)記錄信息是否包括事件發(fā)生的日期與時(shí)間、觸發(fā)事件的主體與客體、事件的類型、事件成 功或失敗、事件的結(jié)果等內(nèi)容；d) 應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫管理系統(tǒng)， 查看是否對(duì)審計(jì)記錄實(shí)施了保護(hù)措施，使其避免受到未預(yù)期的刪除、修改或覆蓋等；剩余信息保護(hù)(S)//入侵防范(G)a)操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并保持系統(tǒng)補(bǔ)丁及時(shí)得到更新a) 操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。a) 應(yīng)訪談系統(tǒng)管理員，詢問操作系統(tǒng)中所安裝的系統(tǒng)組件和應(yīng)用程序是否都是必須的，詢問操作系統(tǒng)補(bǔ)丁更新的方式和周期；b) 應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)中所安裝的系統(tǒng)組件和應(yīng)用程序是否都是必須的；c) 應(yīng)檢查是否設(shè)置了專門的升級(jí)服務(wù)器實(shí)現(xiàn)對(duì)關(guān)