XXX市人民政府 重要信息系统 主机安全测评指导书
测评单位名称:成都博和赢创信息技术有限公司 被测单位名称:XXXX 2015年 X 月 X 日 V1.0
一、 系统概述
本次需要进行测评的系统是XXX市人民政府XXX信息系统主机windowserver 2003系统。
XXX市人民政府XXX信息系统已经完成建设和验收工作。为单位规范、高效和系统的管理提供了一个稳定的计算机和网络系统平台,从而需要对该系统进行等级保护工作。
二、 安全保护等级
XXX通过自主定级为三级等级保护。本标准依据GB 17859-1999的五个安全保护等级的划分,根据数据安全在信息系统中的作用,规定了各个安全等级的数据安全所需要的基础安全技术的要求。
本标准适用于按等级化的要求进行的数据安全的设计和实现,对按等级化要求进行的数据安全的测试和管理可参照使用。
三、 主机安全范围
主机安全的范围包括:身份鉴别(S3)、访问控制(S3)、安全审计(G3)、剩余信息保护(S3)、入侵防范(G3)、恶意代码防范(G3)、资源控制(A3)。
四、 测评指标
1、 身份鉴别(S3) 本项要求包括:
a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别; b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
c) 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
d) 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
e) 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
f) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
2、 访问控制(S3) 本项要求包括:
a) 应启用访问控制功能,依据安全策略控制用户对资源的访问; b) 应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;
c) 应实现操作系统和数据库系统特权用户的权限分离; d) 应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;
e) 应及时删除多余的、过期的帐户,避免共享帐户的存在。 f) 应对重要信息资源设置敏感标记;
g) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
3、 安全审计(G3) 本项要求包括: