【正文】 AFTER LOGON ON DATABASE BEGIN INSERT INTO LOGON_TABLE VALUES (SYS_CONTEXT(39。USERENV39。, 39。SESSION_USER39。), SYSDATE)。 END。 補(bǔ)充操作說明 檢測(cè)方法 判定條件 登錄測(cè)試，檢查相關(guān)信息是否被記錄 檢測(cè)操作 補(bǔ)充說明 觸發(fā)器與 AUDIT會(huì)有相應(yīng)資源開消，請(qǐng)檢查系統(tǒng)資源是否充足。特別是RAC環(huán)境，資源消耗較大。 編號(hào) ：安全要求 設(shè)備 ORACLE配置 17可選 要求內(nèi)容 數(shù)據(jù)庫應(yīng)配置日志功能，記錄用戶對(duì)數(shù)據(jù)庫的操作，包括但不限于以下內(nèi)容：賬號(hào)創(chuàng)建、刪除和權(quán)限修改、口令修改、讀取和修改數(shù)據(jù)庫配置、讀取和修改業(yè)務(wù)用戶的話費(fèi)數(shù)據(jù)、身份數(shù)據(jù)、涉及通信隱私數(shù)據(jù)。記錄需要包含用戶賬號(hào)，操作時(shí)間，操作內(nèi)容以及操作結(jié)果。 操作指南 參考配置操作 創(chuàng)建 ORACLE登錄觸發(fā)器，記錄相關(guān)信息，但對(duì) IP地址的記錄會(huì)有困難 LOGON_TABLE CREATE TRIGGER TRI_LOGON AFTER LOGON ON DATABASE BEGIN INSERT INTO LOGON_TABLE VALUES (SYS_CONTEXT(39。USERENV39。, 39。SESSION_USER39。), SYSDATE)。 END。 補(bǔ)充操作說明 檢測(cè)方法 判定條件 做相關(guān)操作，檢查是否記錄成功 檢測(cè)操作 補(bǔ)充說明 觸發(fā)器與 AUDIT會(huì)有相應(yīng)資源開消，請(qǐng)檢查系統(tǒng)資源是否充足。特別是RAC環(huán)境，資源消耗較大。 編號(hào) ：安全要求 設(shè)備 ORACLE配置 18可選 要求內(nèi)容 數(shù)據(jù)庫應(yīng)配置日志功能，記錄對(duì)與數(shù)據(jù)庫相關(guān)的安全事件。 操作指南 參考配置操作 創(chuàng)建 ORACLE登錄觸發(fā)器，記錄相關(guān)信息，但對(duì) IP地址的記錄會(huì)有困難 LOGON_TABLE CREATE TRIGGER TRI_LOGON AFTER LOGON ON DATABASE BEGIN INSERT INTO LOGON_TABLE VALUES (SYS_CONTEXT(39。USERENV39。, 39。SESSION_USER39。), SYSDATE)。 END。 補(bǔ)充操作說明 檢測(cè)方法 判定條件 做相關(guān)測(cè)試，檢查是否記錄成功 檢測(cè)操作 補(bǔ)充說明 觸發(fā)器與 AUDIT會(huì)有相應(yīng)資源開消，請(qǐng)檢查系統(tǒng)資源是否充足。特別是RAC環(huán)境，資源消耗較大。 編號(hào) ： 安全要求 設(shè)備 ORACLE配置 19可選 要求內(nèi)容 根據(jù)業(yè)務(wù)要求制定數(shù)據(jù)庫審計(jì)策略。 操作指南 參考配置操作 1. 通過設(shè)置參數(shù) audit_trail = db或 os來打開數(shù)據(jù)庫審計(jì)。 2. 然后可使用 Audit命令對(duì)相應(yīng)的對(duì)象進(jìn)行審計(jì)設(shè)置。 補(bǔ)充操作說明 檢測(cè)方法 判定條件 對(duì)審計(jì)的對(duì)象進(jìn)行一次數(shù)據(jù)庫操作，檢查操作是否被記錄。 檢測(cè)操作 1. 檢查初始化參數(shù) audit_trail是否設(shè)置。 2. 檢查 dba_audit_trail視圖中或 $ORACLE_BASE/admin/adump目錄下是否有數(shù)據(jù)。 補(bǔ)充說明 AUDIT會(huì)有相應(yīng)資源開消，請(qǐng)檢查系統(tǒng)資源是否充足。特別是 RAC環(huán)境，資源消耗較大。 、 安全管理 、 安全集成 參考 確 定 項(xiàng) 目 滿 足 的 需求 和 不 符 合 項(xiàng)項(xiàng) 目 成 果 匯 總項(xiàng) 目 成 果 更 新項(xiàng) 目 開 始 實(shí) 施 ， 按階 段 更 新 項(xiàng) 目 狀 態(tài)1 .按 項(xiàng) 目 階 段 ， 里 程 碑 來 定 期 更 新 項(xiàng) 目 狀 態(tài)建 立 項(xiàng) 目導(dǎo) 入 招 標(biāo) 文 檔1 .按 照 任 務(wù) 管 理 ， 建 立 本 項(xiàng) 目 這 個(gè) 任 務(wù) ；2 、 輸 入 項(xiàng) 目 描 述 ， 總 體 計(jì) 劃 ， 負(fù) 責(zé) 人 員 等1 .導(dǎo) 入 項(xiàng) 目 招 標(biāo) 書 ， 甲 方 項(xiàng) 目 方 案2 、 導(dǎo) 入 乙 方 投 標(biāo) 書 全 套 文 檔 ， 合 同 等項(xiàng) 目 關(guān) 閉1 .項(xiàng) 目 關(guān) 閉1 、 導(dǎo) 入 方 案 模 塊 本 項(xiàng) 目 設(shè) 計(jì) 的 需 求 和 不 符 合項(xiàng) ， 并 根 據(jù) 項(xiàng) 目 最 終 實(shí) 際 情 況 ， 確 定 本 項(xiàng) 目 滿 足的 需 求 和 不 符 合 項(xiàng) ， 與 符 合 程 度1 、 可 以 階 段 性 和 最 終 一 次 更 新 項(xiàng) 目 的 成 果 和 對(duì)需 求 /不 符 合 項(xiàng) 的 滿 足 情 況 ， 包 括 ： 對(duì) 需 求 的 滿 足 說 明 和 完 成 情 況 說 明 對(duì) 安 全 措 施 增 加 增 強(qiáng) 的 描 述 說 明 信 息 資 產(chǎn) 增 加 的 說 明2 .如 項(xiàng) 目 期 間 不 需 匯 報(bào) 或 測(cè) 評(píng) ， 可 最 終 一 次 更 新1 .項(xiàng) 目 總 結(jié) 描 述2 、 對(duì) 需 求 滿 足 情 況 的 總 結(jié)3 、 上 傳 項(xiàng) 目 交 付 件 、 項(xiàng) 目 驗(yàn) 收 報(bào) 告 、安全制度 參考 安全制度包括各類安全制度，管理辦法，技術(shù)標(biāo)準(zhǔn)，配置標(biāo)準(zhǔn)，流程，記錄表單，技術(shù)手冊(cè)，操作指南等等。包括公司級(jí)別的，系統(tǒng)級(jí)別的，和資產(chǎn)級(jí)別的。 確 定 項(xiàng) 目 滿 足 的 需求 和 不 符 合 項(xiàng)完 成 征 求 意 見 稿挑 選 安 全 制 度 庫 中的 制 度 模 版 ， 確 定新 編 與 更 新 文 檔 清單建 立 項(xiàng) 目導(dǎo) 入 任 務(wù) 文 檔1 .按 照 任 務(wù) 管 理 ， 建 立 本 項(xiàng) 目 這 個(gè) 任 務(wù) ；2 、 輸 入 項(xiàng) 目 描 述 ， 總 體 計(jì) 劃 ， 負(fù) 責(zé) 人 員 等3 、 第 一 次 任 務(wù) 性 質(zhì) 為 新 建 。 后 續(xù) 更 新 流 程 為 審 閱 更 新1 .如 招 標(biāo) 項(xiàng) 目 ， 導(dǎo) 入 招 標(biāo) 書 ， 項(xiàng) 目 方 案 ， 乙 方 投 標(biāo) 書 全 套 文檔 ， 合 同 等2 、 如 甲 方 自 己 實(shí) 施 ， 導(dǎo) 入 項(xiàng) 目 范 圍 說 明 等1 、 導(dǎo) 入 方 案 模 塊 本 項(xiàng) 目 設(shè) 計(jì) 的 需 求 和 不 符 合 項(xiàng) ， 并 根 據(jù) 項(xiàng)目 最 終 實(shí) 際 情 況 ， 確 定 本 項(xiàng) 目 滿 足 的 需 求 和 不 符 合 項(xiàng) ， 與 符合 程 度1 、 進(jìn) 行 中 ， 和 完 成 初 稿 后 ， 隨 時(shí) 對(duì) 比 項(xiàng) 目 滿 足 的 需 求 和不 符 合 項(xiàng) ， 如 出 現(xiàn) 遺 漏 進(jìn) 行 增 補(bǔ) 。2 、 如 全 部 滿 足 可 以 完 成 征 求 意 見 稿 ， 正 式 征 求 意 見 。3 、 每 個(gè) 制 度 文 檔 ， 可 以 有 不 同 的 狀 態(tài)審 閱 原 有 的 制 度 文檔1 .在 前 面 評(píng) 估 階 段 ， 對(duì) 收 集 的 制 度 文 檔 和 審 閱 意 見 ， 進(jìn) 行 確認(rèn) 或 更 新 。 不 完 整 的 繼 續(xù) 收 集 ， 并 確 認(rèn)2 、 如 評(píng) 估 階 段 未 審 閱 ， 此 處 審 閱調(diào) 研 ， 編 寫 ， 征 求意 見1 .調(diào) 研 實(shí) 際 情 況 和 要 求 ， 開 始 編 寫 ， 完 成 初 稿 后 征 求 意 見1 .根 據(jù) 軟 件 提 供 的 制 度 庫 ， 選 擇 相 近 的 模 版 種 類 ， 列 出 制 度清 單 ， 并 挑 選 ， 以 作 為 示 例2 、 根 據(jù) 示 例 ， 結(jié) 合 評(píng) 估 結(jié) 果 要 求 ， 列 出 初 步 的 新 編 與 更 新文 檔 清 單 ， 和 完 整 的 制 度 文 檔 清 單3 、 對(duì) 比 項(xiàng) 目 滿 足 的 需 求 和 不 符 合 項(xiàng)3 、 確 認(rèn) 最 終 的 文 檔 清 單 ， 狀 態(tài) 和 主 要 要 求征 求 意 見 ， 完 成 試運(yùn) 行 稿1 、 征 求 意 見 后 ， 收 集 意 見 ， 修 改 成 為 試 運(yùn) 行 稿試 運(yùn) 行 結(jié) 束 ， 成 為正 式 發(fā) 布 稿1 、 試 運(yùn) 行 后 ， 收 集 意 見 ， 修 改 成 為 正 式 發(fā) 布 稿 。2 、 成 為 正 式 發(fā) 布 狀 態(tài) 后 ， 導(dǎo) 入 到 安 全 體 系 中 。定 期 更 新1 、 之 后 的 定 期 審 閱 ， 更 新 等 工 作 ， 生 成 新 一 個(gè) 任 務(wù) 。流 程 基 本 同 上 安全制度設(shè)計(jì)項(xiàng)目流程圖 、安全運(yùn)維 參考 安全運(yùn)維主要包括：運(yùn)維體系的建立和運(yùn)行，各類運(yùn)維管理記錄的產(chǎn)生和維護(hù)，以及信息安全管理制度的執(zhí)行記錄等。 運(yùn)維的總體流程如下圖： 建 立 公 司 基 本 的 運(yùn)維 體 系建 立 本 系 統(tǒng) 的 運(yùn) 維體 系上 傳 各 種 證 據(jù) 文 件總 結(jié)1 .根 據(jù) 最 高 等 級(jí) 要 求 ， 把 所 有 系 統(tǒng) 統(tǒng) 一 的 要 求 納入 公 司 級(jí) 別 的 運(yùn) 維 體 系 中 。 主 要 是 運(yùn) 維 組 織 、 人員 、 運(yùn) 維 制 度 。2 、 對(duì) 制 度 ， 從 制 度 體 系 中 挑 選 鏈 接 過 來 。 其 他的 ， 進(jìn) 行 描 述 和 說 明3 、 運(yùn) 維 體 系 有 些 內(nèi) 容 ， 可 能 在 建 設(shè) 階 段 進(jìn) 行 了 建設(shè) 。 不 足 的 此 處 補(bǔ) 充1 .用 戶 確 認(rèn) 使 用 的 表 單 ， 填 寫 記 錄 等 證 據(jù) 文件 。 上 傳 到 此 處 。1 .查 看 全 部 的 滿 足 情 況 ， 各 類 證 據(jù) 文 檔 完 成 情況 。 發(fā) 現(xiàn) 遺 漏 的 補(bǔ) 充 。1 .根 據(jù) 本 系 統(tǒng) 級(jí) 別 ， 列 出 所 有 要 求 項(xiàng) 和 所 有 不 符合 項(xiàng) 。 完 成 所 有 不 符 合 項(xiàng) ， 并 整 理 確 認(rèn) 已 符 合項(xiàng) 。2 、 對(duì) 于 使 用 公 司 級(jí) 別 的 運(yùn) 維 體 系 的 ， 作 出 說 明 ，并 鏈 接 。3 、 運(yùn) 維 體 系 有 些 內(nèi) 容 ， 可 能 在 建 設(shè) 階 段 進(jìn) 行 了 建設(shè) 。 不 足 的 此 處 補(bǔ) 充總 體 ， 或 各 單 項(xiàng) 啟動(dòng) 進(jìn) 入 運(yùn) 維 狀 態(tài)1 .啟 動(dòng) 公 司 級(jí) 、 系 統(tǒng) 級(jí) ， 總 體 或 各 單 項(xiàng) ， 進(jìn)入 正 式 運(yùn) 維 狀 態(tài)2 、 標(biāo) 記 啟 動(dòng) 時(shí) 間形 成 運(yùn) 維 體 系1 .公 司 級(jí) 和 本 系 統(tǒng) 形 成 運(yùn) 維 體 系 ， 導(dǎo) 入 到 安全 體 系 中 。列 出 各 類 證 據(jù) 文 件要 求1 .根 據(jù) 體 系 要 求 ， 列 出 各 類 證 據(jù) 文 件 要 求 列表 。 并 給 出 模 版 索 引 和 示 例 文 件建 立 任 務(wù)1 .建 立 一 個(gè) 構(gòu) 建 運(yùn) 維 體 系 的 任 務(wù) ， 進(jìn) 行 描 述 ， 標(biāo)注 時(shí) 間 。 如 果 在 建 設(shè) 過 程 中 有 了 ， 此 處 不 建 立 ，只 引 用 結(jié) 果 安全運(yùn)維流程圖 運(yùn)維的主要內(nèi)容如下： 環(huán) 境 管 理資 產(chǎn) 管 理介 質(zhì) 管 理設(shè) 備 管 理監(jiān) 控 管 理 和 安 全 管理網(wǎng) 絡(luò) 安 全 管 理系 統(tǒng) 安 全 管 理惡 意 代 碼 防 范 管 理密 碼 管 理變 更 管 理備 份 與 恢 復(fù) 管 理安 全 事 件 處 置應(yīng) 急 預(yù) 案 管 理1 .物 理 管 理 責(zé) 任 人 列 表 ；2 .機(jī) 房 管 理 制 度 ；3 .物 理 管 理 記 錄 ；1 .資 產(chǎn) 管 理 清 單 ， 鏈 接 軟 件 的 資 產(chǎn) 管 理 表 ；2 .資 產(chǎn) 管 理 制 度 ；3 .資 產(chǎn) 管 理 記 錄 ， 主 要 指 銷 售 、 上 線 、 下 線 、 維 護(hù) 、 維 修 等 ；1 .介 質(zhì) 管 理 清 單 （ 是 否 合 并 到 資 產(chǎn) 管 理 表 ？ ） ；2 .介 質(zhì) 管 理 制 度 ；3 .介 質(zhì) 管 理 記 錄 ， 主 要 指 入 庫 、 領(lǐng) 用 、 銷 毀 等 ；1 .設(shè) 備 清 單 及 維 護(hù) 責(zé) 任 人 （ 是 否 合 并 到 資 產(chǎn) 管 理 表 ？ ）2 .設(shè) 備 管 理 制 度 ；3 .設(shè) 備 管 理 記 錄 （ 選 型 、 采 購 、 發(fā) 放 、 維 掮 、 維 修 等 ） ；1 .監(jiān) 控 管 理 制 度 ；2 .監(jiān) 控 管 理 記 錄 ；1 .網(wǎng) 絡(luò) 安 全 管 理 責(zé) 任 人 ；2 .網(wǎng) 絡(luò) 安 全 管 理 制 度 ；3 .網(wǎng) 絡(luò) 安 全 管 理 記 錄 ；1 .系 統(tǒng) 記 問 控 制 策 略 ；2 .系 統(tǒng) 漏 洞 掃 描 與 加 固 記 錄 ；3 .系 統(tǒng) 安 全 管 理 制 度 ；4 .系 統(tǒng) 管 理 責(zé) 任 人 列 表 （ 鏈 接 人 員 表 ） ；5 .系 統(tǒng) 維 護(hù) 記 錄 ；6 .系 統(tǒng) 審 計(jì) 記 錄 ；1 .惡 意 代 碼 防 范 意 識(shí) 教 育 記 錄 （ 包 括 內(nèi) 容 、 方 式 、 記 錄 ） ；2 .惡 意 代 碼 檢 測(cè) 責(zé) 任 人 ；3 .惡 意 代 碼 檢 測(cè) 記 錄 ；4 .惡 意 代 碼 庫 升 級(jí) 檢 查 記 錄 、 報(bào) 表 、 總 結(jié) 匯 報(bào) 等 相 關(guān) 材 料 ；1 .密 碼 使 用 管 理 制 度 ；1 .變 更 管 理 的 制 度 ；2 .變 更 管 理 的 流 程 ；3 .變 更 管 理 的 記 錄 ；1 .備 份 與 恢 復(fù) 管 理 制 度 ；2 .備 份 與 恢 復(fù) 記