【正文】 c) 審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等； d) 應(yīng)提供對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表的功能。 11 配合需求 配合項(xiàng)目 需求說(shuō)明 訪談 訪談系統(tǒng)管理員 查看材料 提供相關(guān)備份記錄文件、審計(jì)記錄等 實(shí)地檢查 查看運(yùn)維系統(tǒng)、檢查設(shè)備配置、工具接入配合 應(yīng)用安全 測(cè)評(píng)方案和內(nèi)容 序號(hào) 類別 測(cè)評(píng)要求 結(jié)果記錄 符合情況 1 身份鑒別（ S3） a) 應(yīng)提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別； b) 應(yīng)對(duì)同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別； c) 應(yīng)提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)，身份鑒別信息不易被冒用； d) 應(yīng)提供登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施； e) 應(yīng)啟用身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。 5 惡意代碼防范（ G2） a) 應(yīng)安裝防惡意代碼軟件，并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫(kù)； b) 應(yīng)支持防惡意代碼軟件的統(tǒng)一管理。 3 安全審計(jì)（ G2） a) 審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶； b) 審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件； c) 審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等； d) 應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。 序號(hào) 類別 測(cè)評(píng)要求 結(jié)果記錄 符合情況 1 身份鑒別（ S2） a) 應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別； b) 操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換； c) 應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施； d) 當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)； 10 序號(hào) 類別 測(cè)評(píng)要求 結(jié)果記錄 符合情況 e) 應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。 6 惡意代碼防范（ G3） a) 應(yīng)安裝防惡意代碼軟件，并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫(kù)； b) 主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫(kù)； c) 應(yīng)支持防惡意代碼的統(tǒng)一管理。 4 剩余信息保護(hù)（ S3） a) 應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)用戶的鑒別信息所在的存儲(chǔ)空間，被釋放或再分配給其他用戶前得到完全清除，無(wú)論這些信息是存放在硬盤(pán)上還是在內(nèi)存中； b) 應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間，被釋放或重新分配給其他用戶前得到完全清除。 2 訪問(wèn)控制（ S3） a) 應(yīng)啟用訪問(wèn)控制功能，依據(jù)安全策略控制用戶對(duì)資源的訪問(wèn)； b) 應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限； 8 序號(hào) 類別 測(cè)評(píng)要求 結(jié)果記錄 符合情況 c) 應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶的權(quán)限分離； d) 應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問(wèn)權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令； e) 應(yīng)及時(shí)刪除多余的、過(guò)期的帳戶，避免共享帳戶的存在。 主機(jī)安全 測(cè)評(píng)方案和內(nèi)容 序號(hào) 類別 測(cè)評(píng)要求 結(jié)果記錄 符合情況 1 身份鑒別（ S3） a) 應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別； b) 操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換； c) 應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施； d) 當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)； e) 應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。 測(cè)評(píng)指標(biāo) 由于國(guó)家對(duì)不同級(jí)別的信息系統(tǒng)有不同的安全保護(hù)能力要求，國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》描述了不同級(jí)別信息系統(tǒng)應(yīng)該實(shí)現(xiàn)的各類安全控制措施，信息系統(tǒng)的安全保護(hù)等級(jí)確定之 后，對(duì)被測(cè)系統(tǒng)進(jìn)行測(cè)評(píng)的測(cè)評(píng)指標(biāo)的提取和形成，是等級(jí)測(cè)評(píng)工作的基礎(chǔ)。 在安全管理測(cè)評(píng)中，測(cè)評(píng)人員主要采用文檔查閱與分析來(lái)獲取測(cè)評(píng)證據(jù)，用于判斷特定的安全管理措施是否符合國(guó)家、行業(yè)相關(guān)標(biāo)準(zhǔn)的 要求以及委托方的實(shí)際需求。 檢查 在物理測(cè)評(píng)中，測(cè)評(píng)人員采用文檔查閱與分析和現(xiàn)場(chǎng)觀察等檢查操作來(lái)獲取測(cè)評(píng)證據(jù)，用于判斷目標(biāo)系統(tǒng)在機(jī)房安全方面采用的特定安全技術(shù)措施是否符合國(guó)家相關(guān)標(biāo)準(zhǔn)以及委托方的實(shí)際需求。 系統(tǒng)信息安全加固、安全建設(shè)整改建議 的主要依據(jù)有： ? 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（ GB/T 250582021） ? Gartner 企業(yè)信息安全體系架構(gòu) ? OSA（開(kāi)放安全架構(gòu)）安全架構(gòu) ? SABSA 企業(yè)安全架構(gòu) ? 《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（ GB/T 209842021） ? 《信息技術(shù)安全性評(píng)估準(zhǔn)則》（ GB/T ） 相關(guān)依據(jù) 還有：公安部、國(guó)家保密局、國(guó)際密碼管理局、國(guó)務(wù)院信息化工作辦公室聯(lián)合轉(zhuǎn)發(fā)的《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（公通字 [2021]66）、公安 部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息化工作辦公室制定的《信息安全等級(jí)保護(hù)管理辦法》（公通字 [2021]43 號(hào)）、《政府網(wǎng)絡(luò)信息系統(tǒng)安全檢測(cè)辦法》（國(guó)辦發(fā) [2021]28 號(hào)）、《信息安全技術(shù)網(wǎng)絡(luò)信息系統(tǒng)安全檢測(cè)與等保測(cè)評(píng)要求》、《信息安全技術(shù)網(wǎng)絡(luò)信息系統(tǒng)安全檢測(cè)與等保測(cè)評(píng)過(guò)程指南》、《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》（ GB/T202712021）、《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（ GB/T 202702021）、《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》（ GB/T 202722021）、《信息 安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求》（ GB/T 202732021）、《信息安全技術(shù)服務(wù)器技術(shù)要求》（ GB/T 210282021）、《信息安全技術(shù)信息系統(tǒng)安全管理要求》（ GB/T 202692021）、《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》（ GB/T 202822021）、《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國(guó)務(wù)院147 號(hào)令）、《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2021]27 號(hào)）、《信息系統(tǒng)安全保障評(píng)估框架》（ GB/T 20274— 2021）、《信息安全管理實(shí)用規(guī)則》（ GB/T 19716— 2021）。 ? 滲透測(cè)試：沒(méi)有標(biāo)準(zhǔn)的定義。 ? 漏洞掃描檢查：使用工具自帶的庫(kù)和基線。 測(cè)評(píng)依據(jù) 信息安全測(cè)評(píng)與其他測(cè)評(píng)一樣，是依據(jù)相關(guān)的需求、設(shè)計(jì)、標(biāo)準(zhǔn)和規(guī)范，對(duì)待測(cè)對(duì)象進(jìn)行測(cè)試、評(píng)估（評(píng)價(jià)），因此有必要梳理出測(cè)評(píng)對(duì)象、以及采用的標(biāo)準(zhǔn)規(guī)范。但此次測(cè)評(píng)為云環(huán)境下的測(cè)評(píng)，由于機(jī)房和網(wǎng)絡(luò)環(huán)境的安全責(zé)任不歸屬該單位，故此次測(cè)評(píng)對(duì)象為：主機(jī)、應(yīng)用系統(tǒng)和安全管理制度三個(gè)層面相關(guān)的對(duì)象。1 測(cè)評(píng)方案 測(cè)評(píng)流程 依據(jù) 《 GBT 284482021 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》 ，我們以《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》（ GBT 284492021）為測(cè)評(píng)輸入，采取相應(yīng)的（包括：訪談、檢查、測(cè)試）測(cè)評(píng)方法，按照相應(yīng)的測(cè)評(píng)規(guī)程對(duì)測(cè)評(píng)對(duì)象（包括：制度文檔、各類設(shè)備、安全配置、相關(guān)人員）進(jìn)行相應(yīng)力度（包括：廣度、深度）的單元測(cè)評(píng)、整體測(cè)評(píng)，對(duì)測(cè)評(píng)發(fā)現(xiàn)的風(fēng)險(xiǎn)項(xiàng)進(jìn)行分析評(píng)估，提出合理化整改建議，最終得到相應(yīng)的信息系統(tǒng)等級(jí)測(cè)評(píng)報(bào)告。 信息系統(tǒng)等級(jí)測(cè)評(píng)工作共分為四項(xiàng)活動(dòng)，即測(cè)評(píng)準(zhǔn)備活動(dòng)、方案編制活動(dòng)、現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)、結(jié)果分析與報(bào)告編制活動(dòng)，基本工作流程圖如下： 1 圖表 1 等級(jí)測(cè)評(píng)工作流程圖 2 測(cè)評(píng)力度 測(cè)評(píng)力度 信息系統(tǒng)安全保護(hù)等級(jí) 二級(jí)系統(tǒng) 三級(jí)系統(tǒng) 訪談 廣度 測(cè)評(píng)對(duì)象在種類和數(shù)量上抽樣，種類和數(shù)量都較多 測(cè)評(píng)對(duì)象在數(shù)量上抽樣，在種類上基本覆蓋 深度 充分 較全面 檢查 廣度 測(cè)評(píng)對(duì)象在種類和數(shù)量上抽樣，種類和數(shù)量都較多 測(cè)評(píng)對(duì)象在數(shù)量上抽樣，在種類上基本覆蓋 深度 充分 較全面 測(cè)試 廣度 測(cè)評(píng)對(duì)象在種類和數(shù)量、范圍上抽樣，種類和數(shù)量都較多，范圍大 測(cè)評(píng)對(duì)象在數(shù)量和范圍上抽樣，在種類上基本覆蓋 深度 功能測(cè)試 /性能測(cè)試 功能測(cè)試 /性能測(cè)試，滲透測(cè)試 測(cè)評(píng)對(duì)象 我們一般的測(cè)評(píng)對(duì)象包括：整體對(duì)象，如機(jī)房、辦公環(huán)境、網(wǎng)絡(luò)等，也包括具體對(duì)象，如網(wǎng)關(guān)設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備、工作站、操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)等。 ? 在具體測(cè)評(píng)對(duì)象選擇工作過(guò)程中，遵循以下原則： ? 完整性原則，選擇的設(shè)備、措施等應(yīng)能滿足相應(yīng)等級(jí)的測(cè)評(píng)力度要求； ? 重要性原則，應(yīng)抽查重要的服務(wù)器、數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)設(shè)備等； ? 安全性原則，應(yīng)抽查對(duì)外暴露的網(wǎng)絡(luò)邊界； ? 共享性原則，應(yīng)抽查共享設(shè)備和數(shù)據(jù)交換平臺(tái) /設(shè)備； 3 ? 代表性原則，抽查應(yīng)盡量覆蓋系統(tǒng)各種設(shè)備類型、操作系統(tǒng)類型、數(shù)據(jù)庫(kù)系統(tǒng)類型和應(yīng)用系統(tǒng)的類型。 測(cè)評(píng)使用的主要指標(biāo)依據(jù)如下： 系統(tǒng)定級(jí) 使用的主要指標(biāo)依據(jù)有： ? 《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（ GB 178591999） ? 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（ GB/T 222402021） 等級(jí)保護(hù)測(cè)評(píng) 使用的主要指標(biāo)依據(jù)有： ? 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（ GB/T 222392021） ? 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》（ GBT 284482021） ? 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》（ GBT 284492021） ? 《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（ GB/T 209842021） 現(xiàn)狀測(cè)評(píng) 使用的主要指標(biāo)依據(jù)有： ? 制度檢查：以 GB/T22239《等級(jí)保護(hù)基本要求》、 ISO27000/ISO1779ITIL 的相關(guān)要求作為補(bǔ)充檢查要求，檢查是否具有相應(yīng)的制度、記錄。 ? 整體網(wǎng)絡(luò)架構(gòu)分析：以基于安全域的劃分結(jié)果進(jìn)行分析，主要參考《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》（ GB/T 250702021）。通過(guò)模擬惡意黑客的攻擊的方法，來(lái)評(píng)估4 信息系統(tǒng)安全防御按照預(yù)期計(jì)劃正 常運(yùn)行。 5 測(cè)評(píng)方法 訪談 依據(jù)測(cè)評(píng)技術(shù)方案（訪談問(wèn)題）列表對(duì)相關(guān)人員進(jìn)行訪談，獲取與安全管理有關(guān)的評(píng)估證據(jù)用于判斷特定的安全管理措施是否符合國(guó)家相關(guān)標(biāo)準(zhǔn)以及委托方的實(shí)際需求。 在主機(jī)安全測(cè)評(píng)、網(wǎng)絡(luò)安全測(cè)評(píng)、應(yīng)用安全測(cè)評(píng)和數(shù)據(jù)安全及備份恢復(fù)等方面的測(cè)評(píng)活動(dòng)中，測(cè)評(píng)人員綜合采用文檔查閱與分析、安全配置核查和網(wǎng)絡(luò)監(jiān)聽(tīng)與分析等檢查操作來(lái)獲取測(cè)評(píng)證據(jù)，用于判斷目標(biāo)系統(tǒng)在主機(jī)、網(wǎng)絡(luò)和應(yīng)用層面采用的特定安全技術(shù)措施是否符合國(guó)家相關(guān)標(biāo)準(zhǔn)以及委托方的實(shí)際需求，對(duì)相關(guān)設(shè)備進(jìn)行檢查的過(guò)程中，我方不直接操作設(shè)備，甲方安排相關(guān)配合人員根據(jù)我方的檢查要求對(duì)設(shè)備進(jìn)行操作，并將結(jié)果反饋給我方。 測(cè)試 在網(wǎng)絡(luò)安全、主機(jī)安全和應(yīng)用安全等方面的測(cè)評(píng)活動(dòng)中，測(cè)評(píng)人員可以采用手工驗(yàn)證和工具測(cè)試等測(cè)試操作對(duì)特定安全技術(shù)措施的有效性進(jìn)行測(cè)試，測(cè)試結(jié)6 果用于判斷目標(biāo)系統(tǒng)在網(wǎng)絡(luò)、主機(jī)或應(yīng)用層面采用的特定技術(shù)措施是否符合國(guó)家相關(guān)標(biāo)準(zhǔn)以及委托方的實(shí)際需求，并進(jìn)一步應(yīng)用于對(duì)目標(biāo)系統(tǒng)進(jìn)行安全性整體分析。第三級(jí)信息系統(tǒng)的測(cè)評(píng)指標(biāo)分布情況如下： 第三級(jí)信息系統(tǒng)測(cè)評(píng)指標(biāo) 測(cè)評(píng)指標(biāo) 技術(shù) / 管理 安全分類 安全子類數(shù)量 S3 A3 G3 小計(jì) 技術(shù)要求 物理安全 1 1 8 10 網(wǎng)絡(luò)安全 1 0 6 7 主機(jī)安全 3 1 3 7 應(yīng)用安全 5 2 2 9 數(shù)據(jù)安全 2 1 0 3 管理要求 安全管理制度 0 0 3 3 安全管理機(jī)構(gòu) 0 0 5 5 人員安全管理 0 0 5 5 系統(tǒng)建設(shè)管理 0 0 11 11 系統(tǒng)運(yùn)維管理 0 0 13 13 合 計(jì) 73 7 2 測(cè)評(píng)內(nèi)容 測(cè)評(píng)的內(nèi)容主要包括技術(shù)和管理兩個(gè)方面的內(nèi)容，技術(shù)方面主要涉及主機(jī)安全、應(yīng)用安全與數(shù)據(jù)安全等方面的內(nèi)容；管理方面主要涉及安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理共 10 個(gè)層面。 f) 應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別。 f) 應(yīng)對(duì)重要信息資源設(shè)置敏感標(biāo)記；