Windows2003测评指导书-三级S3A3G3-1.0版 下载本文

公安部信息安全等级保护评估中心

序号 类别 测评项 e)应保护审计进程,避免受到未预期的中断; 测评实施 1)默认满足。 1)如果日志数据本地保存,则 a)依次展开[开始]->([控制面板] ->)[管理工具]->[本地安全策略]->[安全设置]->[本地策略]->[用户权限分配],右键点击策略“管理审核和安全日志”点属性,查看是否只有审计。系统审计账户所在的用户组是否在本地安全设置的用户列表中。 b)依次展开[开始]->([控制面板]->)[管理工具]->[事件查看器];查看“安全性”和“系统”日志“属性”的存储大小和覆盖策略。 2)若部署了日志服务器,则查看日志保存策略。 预期结果 1)默认满足。 说明 f)应保护审计记录,避免受到未预期的删除、修改或覆盖等。 1)如果日志数据本地保存,则 a)只有系统管理员组在本地安全设置的用户列表中 b)“安全性”和“系统”日志“属性”的存储大小不小于512KB;覆盖周期不小于15天。 2)如果日志数据存放在日志服务器上并且审计策略合理,则该要求为符合。 1)关注“管理审核和安全日志”的权限用户,关注“安全性”和“系统”日志“属性”的存储大小和覆盖周期。 2)如果日志数据存放在日志服务器上,则该要求向为符合。 4 剩余信息保护 b)应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。 a)应保证操作系统和数据库管理系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中; 1)如果测试报告、用户手册或管1)检查产品的测试报告、用户手册或理手册中没有相关描述,且没有管理手册,确认其是否具有相关功能;提供第三方工具增强该功能,则或由第三方工具提供了相应功能。 该项要求为不符合。 1)如果测试报告、用户手册或管1)检查产品的测试报告、用户手册或理手册中没有相关描述,且没有管理手册,确认其是否具有相关功能;提供第三方工具增强该功能,则或由第三方工具提供了相应功能。 该项要求为不符合。 第 5 页 共 9 页

公安部信息安全等级保护评估中心

序号 类别 测评项 a) 应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警; b)应能够对重要程序完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施; 测评实施 1)访谈系统管理员是否经常查看磁盘等资源的使用状况,有哪些性能监控手段。 预期结果 1)启用入侵检测系统,参考网络全局部分的“入侵检测系统”部分。 说明 1)如果测试报告、用户手册或管1)检查产品的测试报告、用户手册或理手册中没有相关描述,且没有管理手册,确认其是否具有相关功能;提供第三方工具增强该功能,则或由第三方工具提供了相应功能。 该项要求为不符合。 5 1)组件最小化: 访谈系统安装的组件和应用程序是否遵循了最小安装的原则; 入侵2)服务最小化: 防范 a)依次展开[开始]->([控制面板]->)[管理工具]->[服务]; c) 操作系统遵循最小安装的原则,b)查看已经启动的或者是手动的服务,仅安装需要的组件和应用程序,并一些不必要的服务如Alerter、Remote 通过设置升级服务器等方式保持系Registry Service、Messenger、Task 统补丁及时得到更新。 Scheduler是否已启动; 3)服务端口: 依次展开[开始]->[运行],在文本框中输入cmd点确定,输入netstat –an查看是否有不必要端口开启,如139、445。 4)默认共享: 1)系统安装的组件和应用程序遵循了最小安装的原则; 2)不必要的服务没有启动; 3)不必要的端口没有打开; 4)a)“共享名”列为空,无C$、D$、IPC$等默认共享。b)HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\restrictanonymous值不为“0”(0表示共享开启) 5)系统补丁先测试,再升级;补丁号为较新版本。 1)关注系统安装的组件和应用程序情况; 2)关注补丁是否先测试,补丁号是否为较新版本。 第 6 页 共 9 页

公安部信息安全等级保护评估中心

序号 类别 测评项 测评实施 a)依次展开[开始]->[运行],在文本框中输入cmd点确定,输入net share,查看共享; b)依次展开[开始]->[运行],在文本框中输入regedit点确定,查看HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\restrictanonymous值是否为“0” 5)补丁更新 访谈系统补丁升级的方法,[开始]->[运行],在文本框中输入regedit,查看HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Updates下的安装补丁列表。 预期结果 说明 6 恶意代码b)主机防恶意代码产品应具有与网防范 络防恶意代码产品不同的恶意代码库; a) 应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库; 1)查看系统中安装的防病毒软件。询问管理员病毒库更新策略。查看病毒库的最新版本更新日期是否超过一个星期。 1)安装了防病毒软件,病毒库经常更新,是最新版本。 在关注防病毒软件的同时还应该保证病毒库是否及时更新。 网络上若没有网络防恶意代码产品则本条不符合 关注升级方式是否统一。 1)访谈系统管理员网络防病毒软件和1)主机防恶意代码产品与网络防主机防病毒软件分别采用什么病毒库。 恶意代码产品的恶意代码库不同 访谈防恶意代码的管理方式,例如升级方式。 1)访谈系统管理员了解系统对登录终端的接入方式进行限制的措施; 防恶意代码统一管理,统一升级。 1)如果安装有主机防火墙则通过防火墙对登录地址进行限制;如c) 应支持恶意代码防范的统一管理。 7 系统资源a) 应通过设定终端接入方式、网络地址范围等条件限制终端登录; 第 7 页 共 9 页

公安部信息安全等级保护评估中心

序号 类别 控制 测评项 测评实施 2)依次展开[开始]->[控制面板]->[网络连接]->[本地连接]属性->[Internet协议]属性中[高级]->[选项]->[TCP/IP筛选]中有没有对端口做限制; 3)如果安装有主机防火墙则查看有无登录地址限制。 预期结果 果无主机防火墙,则在“TCP/IP筛选”中对端口做了限制。 说明 b) 应根据安全策略设置登录终端的操作超时锁定; 1)依次展开[开始]->[控制面板]->[显示]的屏幕保护程序,查看登录该服务器的终端是否设置了屏幕锁定。 1)访谈系统管理员了解是否经常查看“系统资源监控器”或第三方监控软件。 1)等待时间应在10分钟以下,在恢复时使用密码保护的选项勾选。 关注等待时间设置是否过长,恢复时使用密码保护是否选中。 c)应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况; 关注监视的方式,主要1)每日至少三次查看“系统资源目的是了解通过这些监监控器”及磁盘使用状况并记录。 视方式能否使管理员及或使用集中监控平台实时监控系时、准确了解到服务器统资源使用情况。 的资源使用情况 主要应了解服务器资源的分配是否能满足其业务需求。如果服务器不是多业务竞争使用硬件资源且实时利用率不是很高,那么认为不存在资源紧张情况。确实需要多业务公用资源的,应判断当前的资源分配方式能否满足业务需d) 应限制单个用户对系统资源的最大或最小使用限度; 1)访谈管理员针对系统资源控制的管理措施,询问服务器是否为专用服务器; 2)同时按下CRL、ALT、Delete键打开[Windows任务管理器]->[性能],查看CPU使用率。 1)CPU使用率不超过70%。 第 8 页 共 9 页

公安部信息安全等级保护评估中心

序号 类别 测评项 测评实施 1)Windows系统自身不满足,询问系统管理员有无第三方主机监控程序。 2)如果有第三方主机监控程序,则查看是否有报警功能。 预期结果 求。 1)有第三方主机监控程序,且其提供主动的声、光、电、短信、邮件等形式的一种或多种报警方式。 说明 如果采用人工监控,本条判定为不符合,但在综合风险分析中可降低本条风险。 e)应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。 8 备份与恢复 d) 应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。 1)访谈并查看系统备份措施; 主要了解硬件冗余情况。如果没有双机备份1)双机热备、冷备或集群等方式 或集群,至少应具有1台或多台备份服务器随时顶替故障服务器。 第 9 页 共 9 页