《信息系统安全等级保护测评准则.doc》由会员分享,可在线阅读,更多相关《信息系统安全等级保护测评准则.doc(203页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、【精品文档】如有侵权,请联系网站删除,仅供学习与交流信息系统安全等级保护测评准则.精品文档.信息系统安全等级保护测评准则目 录1范围12规范性引用文件13术语和定义14总则24.1测评原则24.2测评内容24.2.1 基本内容24.2.2 工作单元34.2.3 测评强度44.3结果重用44.4使用方法45第一级安全控制测评55.1 安全技术测评55.1.1 物理安全55.1.2 网络安全75.1.3主机系统安全95.1.4应用安全115.1.5数据安全135.2安全管理测评155.2.1安全管理机构155.2.2安全管理制度175.2.3人员安全管理175.2.4系统建设管理195.2.5系统
2、运维管理236第二级安全控制测评276.1安全技术测评276.1.1物理安全276.1.2网络安全336.1.3主机系统安全376.1.4应用安全426.1.5数据安全476.2安全管理测评506.2.1安全管理机构506.2.2安全管理制度526.2.3人员安全管理546.2.4系统建设管理566.2.5系统运维管理617第三级安全控制测评697.1安全技术测评697.1.1物理安全697.1.2网络安全767.1.3主机系统安全827.1.4应用安全907.1.5数据安全977.2安全管理测评997.2.1安全管理机构997.2.2安全管理制度1047.2.3人员安全管理1067.2.4系
3、统建设管理1097.2.5系统运维管理1158第四级安全控制测评1268.1安全技术测评1268.1.1物理安全1268.1.2网络安全1348.1.3主机系统安全1408.1.4应用安全1498.1.5数据安全1578.2安全管理测评1608.2.1安全管理机构1608.2.2安全管理制度1648.2.3人员安全管理1668.2.4系统建设管理1698.2.5系统运维管理1769第五级安全控制测评18810系统整体测评18810.1安全控制间安全测评18810.2层面间安全测评18910.3区域间安全测评18910.4系统结构安全测评190附录A(资料性附录)测评强度191A.1测评方式的测
4、评强度描述191A.2信息系统测评强度191附录B(资料性附录)关于系统整体测评的进一步说明197B.1区域和层面197B.1.1区域197B.1.2层面198B.2信息系统测评的组成说明200B.3系统整体测评举例说明201B.3.1被测系统和环境概述201B.3.1安全控制间安全测评举例202B.3.2层面间安全测评举例202B.3.3区域间安全测评举例203B.3.4系统结构安全测评举例203信息系统安全等级保护测评准则1 范围本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求,包括第一级、第二级、第三级和第四级信息系统安全控制测评要求和系统整体测评要求。本标准没有规定第五级信
5、息系统安全控制测评的具体内容要求。本标准适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参考使用。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB17859-1999 计算机信息系统安全保护等级划分准则GB/T 5271.8-2001 信息技术 词汇 第8部分:安全G
6、B/T xxx-2005 信息系统安全等级保护基本要求3 术语和定义GB/T 5271.8-2001和GB/T xxx-2005信息系统安全等级保护基本要求所确立的以及下列术语和定义适用于本标准。3.1工作单元 work unit工作单元是安全测评的最小工作单位,由测评项、测评方式、测评对象、测评实施和结果判定等组成,分别描述测评目的和内容、测评使用的方式方法、测试过程中涉及的测评对象、具体测试实施取证过程要求和测评证据的结果判定规则与方法。3.2测评强度 testing&evaluation intensity测评的广度和深度,体现测评工作的实际投入程度。3.3访谈 interview测评人
7、员通过与信息系统有关人员(个人/群体)进行交流、讨论等活动,获取证据以证明信息系统安全等级保护措施是否有效的一种方法。3.4 检查 examination不同于行政执法意义上的监督检查,是指测评人员通过对测评对象进行观察、查验、分析等活动,获取证据以证明信息系统安全等级保护措施是否有效的一种方法。3.5测试 testing测评人员通过对测评对象按照预定的方法/工具使其产生特定的行为等活动,查看、分析输出结果,获取证据以证明信息系统安全等级保护措施是否有效的一种方法。3.6被测系统 information system under testing&evaluation处在信息安全等级保护安全测试
8、评估之下的信息系统。3.7安全控制间安全测评 testing&evaluation among security controls测评分析在同一区域和层面内两个或者两个以上不同安全控制之间由于存在连接、交互、依赖、协调、协同等相互关联关系而产生的安全功能增强、补充或削弱等关联作用对信息系统整体安全保护能力的影响。3.8层面间安全测评 testing&evaluation among layers测评分析在同一区域内两个或者两个以上不同层面之间由于存在连接、交互、依赖、协调、协同等相互关联关系而产生的安全功能增强、补充或削弱等关联作用对信息系统安全保护能力的影响。3.9区域间安全测评 testi
9、ng&evaluation among areas and domains测评分析两个或者两个以上不同物理逻辑区域之间由于存在连接、交互、依赖、协调、协同等相互关联关系而产生的安全功能增强、补充或削弱等关联作用对信息系统安全保护能力的影响。4 总则4.1 测评原则a) 客观性和公正性原则虽然测评工作不能完全摆脱个人主张或判断,但测评人员应当没有偏见,在最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方式和解释,实施测评活动。b) 经济性和可重用性原则基于测评成本和工作复杂性考虑,鼓励测评工作重用以前的测评结果,包括商业安全产品测评结果和信息系统先前的安全测评结果。所有重用
10、的结果,都应基于结果适用于目前的系统,并且能够反映出目前系统的安全状态基础之上。c) 可重复性和可再现性原则不论谁执行测评,依照同样的要求,使用同样的测评方式,对每个测评实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于,前者与不同测评者测评结果的一致性有关,后者与同一测评者测评结果的一致性有关。d) 结果完善性原则测评所产生的结果应当证明是良好的判断和对测评项的正确理解。测评过程和结果应当服从正确的测评方法以确保其满足了测评项的要求。4.2 测评内容4.2.1 基本内容对信息系统安全等级保护状况进行测试评估,应包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求
11、的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。对安全控制测评的描述,使用工作单元方式组织。工作单元分为安全技术测评和安全管理测评两大类。安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关,内容复杂且充满系统个性。因
12、此,全面地给出系统整体测评要求的完整内容、具体实施方法和明确的结果判定方法是很困难的。测评人员应根据特定信息系统的具体情况,结合本标准要求,确定系统整体测评的具体内容,在安全控制测评的基础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。4.2.2 工作单元工作单元是安全测评的基本工作单位,对应一组相对独立和完整的测评内容。工作单元由测评项、测评对象、测评方式、测评实施和结果判定组成,如图1所示。工作单元测评项测评方式测评对象测评实施结果判定具体技术和管理要求访
13、谈/检查/测试人员/文档/机制/设备测评方式对象操作是否符合测评项要求图1 工作单元构成测评项描述测评目的和测评内容,与信息安全等级保护要求的基本安全控制要求相一致。测评方式是指测评人员依据测评目的和测评内容应选取的、实施特定测评操作的方式方法,包括三种基本测评方式:访谈、检查和测试。测评对象是测评实施过程中涉及到的信息系统的构成成分,是客观存在的人员、文档、机制或者设备等。测评对象是根据该工作单元中的测评项要求提出的,与测评项的要求相适应。一般来说,实施测评时,面临的具体测评对象可以是单个人员、文档、机制或者设备等,也可能是由多个人员、文档、机制或者设备等构成的集合,它们分别需要使用到某个特
14、定安全控制的功能。测评实施是工作单元的主要组成部分,它是依据测评目的,针对具体测评内容开发出来的具体测评执行实施过程要求。测评实施描述测评过程中涉及到的具体测评方式、内容以及需要实现的和/或应该取得的测评结果。在测评实施过程描述中使用助动词“应(应该)”,表示这些过程是强制性活动,测评人员为作出结论必须完成这些过程;使用助动词“可(可以)”表示这些过程是非强制性活动,对测评人员作出结论没有根本性影响,因此测评人员可根据实际情况选择完成这些过程。结果判定描述测评人员执行完测评实施过程,产生各种测评证据后,如何依据这些测评证据来判定被测系统是否满足测评项要求的方法和原则。在给出整个工作单元的测评结
15、论前,需要先给出单项测评实施过程的结论。一般来说,单项测评实施过程的结论判定不是直接的,常常需要测评人员的主观判断,通常认为取得正确的、关键性证据,该单项测评实施过程就得到满足。某些安全控制可能在多个具体测评对象上实现(如主机系统的身份鉴别),在测评时发现只有部分测评对象上的安全控制满足要求,它们的结果判定应根据实际情况给出。对某些安全机制的测评要求采取渗透测试,主要是为了使测评强度与信息系统的安全等级相一致,渗透测试的测试结果一般不用到工作单元的结果判定中。如果某项测评实施过程在特定信息系统中不适用或者不能按测评实施过程取得相应证据,而测评人员能够采用其他实施手段取得等同的有效证据,则可判定
16、该测评实施项为肯定。4.2.3 测评强度测评强度是在测评过程中,对测评内容实施测评的工作强度,体现为测评工作的实际投入程度,反映出测评的广度和深度。测评广度越大,测评实施的范围越大,测评实施包含的测评对象就越多,测评的深度越深,越需要在细节上展开,因此就越需要更多的投入。投入越多就越能为测评提供更好的保证,体现测评强度越强。测评的广度和深度落实到访谈、检查和测试等三种基本测评方式上,其含义有所不同,体现出测评实施过程中访谈、检查和测试的投入程度不同。可以通过测评广度和深度来描述访谈、检查和测试三种测评方式的测评强度。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,满足相应安
17、全等级的保护要求。测评验证不同安全等级的信息系统是否达具有相应安全等级的安全保护能力,是否满足相应安全等级的保护要求,需要实施与其安全等级相适应的测评评估,付出相应的工作投入,达到应有的测评强度。信息安全等级保护要求第一级到第四级信息系统的测评强度在总体上可以反映在访谈、检查和测试等三种基本测评方式的测评广度和深度上,体现在具体的测评实施过程中(具体见附录A)。4.3 结果重用在信息系统所有安全控制中,有一些安全控制是不依赖于其所在的地点便可测评,即在其部署到运行环境之前便可以接受安全测评。如果一个信息系统部署和安装在多个地点,且系统具有一组共同的软件、硬件、固件组成部分,对于此类安全控制的测
18、评可以集中在一个集成测试环境中实施,如果没有这种环境,则可以在其中一个预定的运行地点实施,在其他运行地点的安全测评便可重用此测评结果。在信息系统所有安全控制中,有一些安全控制与它所处于的运行环境紧密相关(如与人员或物理有关的某些安全控制),对其测评必须在信息系统分发到运行环境中才能进行。如果多个信息系统处在地域临近的封闭场地内,系统所属的机构同在一个领导层管理之下。对这些安全控制在多个信息系统中进行重复测评对有效资源可能是一种浪费,因此,可以在一个选定的信息系统中进行测评,而在此场地的其他信息系统直接重用这些测评结果。4.4 使用方法从第5章到第8章,描述了第一级、第二级、第三级和第四级安全控
19、制测评的测试评估要求,分为安全技术测评和安全管理测评两个小节。信息系统进行信息安全等级保护建设时,可能会选择使用与其安全等级不相同的安全控制来保护信息系统,如安全等级为第三级的信息系统,可能选择使用第二级中安全技术部分上的某些安全控制。因此,测评人员应根据特定信息系统选择使用的安全控制来选择本标准中相应等级安全控制测评中的工作单元。测评人员在选择完相应工作单元后,应根据信息系统的实际情况,结合第十章系统整体测评的要求,进一步细化测评实施过程,开发相应测评方案。测评过程中,测评人员应注意测评记录和证据的接收、处理、存储和销毁,保护其在测评期间免遭改变/遗失,并保守秘密。测评的最终输出是测评报告,
20、测评报告应给出各个工作单元的测评结论,并报告信息系统的整体安全测试评估分析结果。5 第一级安全控制测评5.1 安全技术测评5.1.1 物理安全5.1.1.1 物理访问控制5.1.1.1.1 测评项a) 机房出入应有专人负责,机房设施,进入机房的人员登记在案。5.1.1.1.2 测评方式访谈,检查。5.1.1.1.3 测评对象物理安全负责人,机房安全管理制度,进出机房的登记记录。5.1.1.1.4 测评实施a) 应访谈物理安全负责人,了解具有哪些控制机房进出的能力;b) 可检查机房安全管理制度,查看是否有关于机房出入方面的规定;c) 应检查机房是否有进出机房的登记记录。5.1.1.1.5 结果判
21、定a) 5.1.1.1.4 a)至少应包括制订了机房出入的管理制度,指定了专人负责机房出入,对进入的人员登记在案,则该项为肯定;b) 5.1.1.1.4 a)、c)均为肯定,则信息系统符合本单元测评项要求。5.1.1.2 防盗窃和防破坏5.1.1.2.1 测评项a) 应将主要设备放置在物理受限的范围内;b) 应对设备或主要部件进行固定,并设置明显的无法除去的标记。5.1.1.2.2 测评方式访谈,检查。5.1.1.2.3 测评对象物理安全负责人,机房设施,设备管理制度。5.1.1.2.4 测评实施a) 应访谈物理安全负责人,采取了哪些防止设备、介质等丢失的保护措施; b) 可检查是否有设备管理
22、制度文档;c) 应检查主要设备是否放置在机房内或其它不易被盗窃和破坏的可控范围内;d) 应检查主要设备或设备的主要部件的固定情况,是否不易被移动或被搬走,是否设置明显的无法除去的标记。5.1.1.2.5 结果判定a) 5.1.1.2.4 a)至少应该包括制订了设备管理制度,主要设备放置位置做到安全可控,设备或主要部件进行了固定和标记,则该项为肯定;b) 5.1.1.2.4 a)、c)-d)均为肯定,则信息系统符合本单元测评项要求。5.1.1.3 防雷击5.1.1.3.1 测评项a) 机房建筑应设置避雷装置。5.1.1.3.2 测评方式访谈,检查。5.1.1.3.3 测评对象物理安全负责人,机房
23、设施,建筑防雷设计/验收文档。5.1.1.3.4 测评实施a) 应访谈物理安全负责人,询问为防止雷击事件导致重要设备被破坏采取了哪些防护措施,机房建筑是否设置了避雷装置,是否通过验收或国家有关部门的技术检测;b) 可检查机房是否有建筑防雷设计/验收文档。5.1.1.3.5 结果判定a) 5.1.1.3.4 a)至少应包括符合GB 500571994建筑物防雷设计规范(GB157建筑防雷设计规范)中的计算机机房防雷要求,如果在雷电频繁区域,是否装设浪涌电压吸收装置等,则该项为肯定;b) 5.1.1.3.4 a)为肯定,则信息系统符合本单元测评项要求。5.1.1.4 防火5.1.1.4.1 测评项
24、a) 应设置灭火设备,并保持灭火设备的良好状态。5.1.1.4.2 测评方式访谈,检查。5.1.1.4.3 测评对象物理安全负责人,机房设施,机房安全管理制度,机房防火设计/验收文档。5.1.1.4.4 测评实施a) 应访谈物理安全负责人,询问机房是否设置了灭火设备,是否制订了有关机房消防的管理制度和消防预案,是否进行了消防培训;b) 应检查机房是否设置了灭火设备,摆放位置是否合理,有效期是否合格;c) 可检查有关机房消防的管理制度文档,检查机房是否有防火设计/验收文档。5.1.1.4.5 结果判定a) 5.1.1.4.4 a)、c)均为肯定,则信息系统符合本单元测评项要求。5.1.1.5 防
25、水和防潮5.1.1.5.1 测评项a) 应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;b) 应采取措施防止雨水通过屋顶和墙壁渗透。5.1.1.5.2 测评方式访谈,检查。5.1.1.5.3 测评对象物理安全负责人,机房设施,建筑防水和防潮设计/验收文档。5.1.1.5.4 测评实施a) 应访谈物理安全负责人,询问机房建设是否有防水防潮措施,是否出现过漏水和返潮事件;如果机房内有上/下水管安装,是否必要的保护措施,如设置套管等;b) 可检查机房是否有建筑防水和防潮设计/验收文档;c) 如果有管道穿过主机房墙壁和楼板处,应检查是否采取必要的保护措施,如设置套管等;d) 应检查机房是否不存
26、在屋顶和墙壁等出现过漏水、渗透和返潮现象,机房及其环境是否不存在明显的漏水和返潮的威胁;如果出现漏水、渗透和返潮现是否能够及时修复解决。5.1.1.5.5 结果判定a) 5.1.1.5.4 a)、c)-d)均为肯定,则信息系统符合本单元测评项要求。5.1.1.6 温湿度控制5.1.1.6.1 测评项a) 应设置必要的温、湿度控制设施,使机房温、湿度的变化在设备运行所允许的范围之内。5.1.1.6.2 测评方式访谈,检查5.1.1.6.3 测评对象物理安全负责人,机房设施,温湿度控制设计/验收文档。5.1.1.6.4 测评实施a) 应访谈物理安全负责人,询问机房是否配备了空调等温湿度控制设施,保
27、证温湿度能够满足计算机设备运行的要求,是否在机房管理制度中规定了温湿度控制的要求,是否有人负责此项工作;b) 可检查机房是否有温湿度控制设计/验收文档;c) 应检查空调设备是否能够正常运行,检查机房温湿度是否满足GB 2887-89计算站场地技术条件的要求。5.1.1.6.5 结果判定a) 5.1.1.6.4 a)、c)均为肯定,则信息系统符合本单元测评项要求。5.1.1.7 电力供应5.1.1.7.1 测评项a) 计算机系统供电应与其他供电分开;b) 应设置稳压器和过电压防护设备。5.1.1.7.2 测评方式访谈,检查。5.1.1.7.3 测评对象物理安全负责人,机房设施,电力供应安全设计/
28、验收文档。5.1.1.7.4 测评实施a) 应访谈物理安全负责人,询问计算机系统供电线路是否与其他供电分开;询问计算机系统供电线路上是否设置了稳压器和过电压防护设备;b) 可检查机房是否有电力供应安全设计/验收文档;c) 应检查计算机供电线路,查看计算机系统供电是否与其他供电分开;d) 应检查机房,查看计算机系统供电线路上的稳压器和过电压防护设备是否正常运行。5.1.1.7.5 结果判定a) 5.1.1.7.4 a)、c)-d)均为肯定,则信息系统符合本单元测评项要求。5.1.2 网络安全5.1.2.1 结构安全与网段划分5.1.2.1.1 测评项a) 主要网络设备的业务处理能力应满足基本业务
29、需要;b) 根据机构业务的特点,在满足基本业务需要的基础上,应合理设计网络接入及核心网络的带宽;c) 应在业务终端与业务服务器之间进行路由控制,并建立安全的访问路径;d) 应设计和绘制与当前运行情况相符的网络拓扑结构图。5.1.2.1.2 测评方式访谈,检查。5.1.2.1.3 测评对象网络结构,网络管理员,边界和关键网络设备,网络拓扑图,网络设计/验收文档。5.1.2.1.4 测评实施a) 可访谈网络管理员,询问信息系统中的边界和关键网络设备的业务处理能力是否满足基本业务需求;b) 可访谈网络管理员,询问目前的网络接入及核心网络的带宽是否满足业务需要;c) 可访谈网络管理员,询问网络设备上的
30、路由控制策略措施有哪些,这些策略设计的目的是什么;d) 应检查是否绘制有网络拓扑图,并检查拓扑图是否与当前运行情况一致;e) 应检查网络设计/验收文档,查看是否有边界和关键网络设备的处理能力是否能满足基本业务需求的能力,网络接入及核心网络的带宽能否满足业务需要的设计或说明;f) 应检查边界和关键网络设备,查看是否配置路由控制策略(如使用静态路由等)建立安全的访问路径。5.1.2.1.5 结果判定a) 如果5.1.2.1.4 e)中缺少相应的文档,则该项为否定;b) 5.1.2.1.4 d)-f)均为肯定,则信息系统符合本单元测评项要求。5.1.2.2 网络访问控制5.1.2.2.1 测评项a)
31、 应根据访问控制列表对源地址、目的地址、源端口、目的端口、协议等进行检查,允许/拒绝数据包出入。5.1.2.2.2 测评方式访谈,检查。5.1.2.2.3 测评对象安全员,边界网络设备。5.1.2.2.4 测评实施a) 可访谈安全员,询问采取网络访问控制的措施有哪些;询问访问控制策略的设计原则;询问网络访问控制设备具备的访问控制功能(如是基于状态的,还是基于包过滤等);b) 应检查边界网络设备(包括网络安全设备),查看是否有正确的访问控制列表(如ACL)对数据的源地址、目的地址、源端口、目的端口、协议等进行控制。5.1.2.2.5 结果判定a) 5.1.2.2.4 b)为肯定,则信息系统符合本
32、单元测评项要求。5.1.2.3 拨号访问控制5.1.2.3.1 测评项a) 通过访问控制列表对系统资源实现允许或拒绝用户访问,控制粒度为用户组。5.1.2.3.2 测评方式访谈,检查。5.1.2.3.3 测评对象安全员,边界网络设备。5.1.2.3.4 测评实施a) 可访谈安全员,询问网络是否允许拨号访问网络;询问对拨号访问控制的策略是什么,采取何种技术手段实现(如使用防火墙还是使用路由器实现),拨号访问用户的权限分配原则是什么;b) 应检查边界网络设备(如路由器,防火墙,认证网关),查看是否正确的配置了拨号访问控制列表(对系统资源实现允许或拒绝用户访问),并查看其控制粒度是否为用户组。5.1
33、.2.3.5 结果判定a) 5.1.2.3.4 b)为肯定,则信息系统符合本单元测评项要求。5.1.2.4 网络设备防护5.1.2.4.1 测评项a) 应对登录网络设备的用户进行身份鉴别;b) 应具有登录失败处理功能,如结束会话、限制非法登录次数。5.1.2.4.2 测评方式访谈,检查。5.1.2.4.3 测评对象网络管理员,边界和关键网络设备(包含安全设备)。5.1.2.4.4 测评实施a) 可访谈网络管理员,询问对关键网络设备的防护措施有哪些;询问采取的网络设备的口令策略是什么;询问对关键网络设备的登录和验证方式做过何种特定配置;b) 应检查边界和关键网络设备上的安全配置,查看是否对登录关
34、键网络设备的用户进行身份鉴别;c) 应检查边界和关键网络设备上的安全配置,查看是否对鉴别失败采取相应的措施(如是否有鉴别失败后锁定帐号等措施);查看是否限制非法登录次数。5.1.2.4.5 结果判定a) 5.1.2.4.4 b)-c)均为肯定,则信息系统符合本单元测评项要求。5.1.3 主机系统安全5.1.3.1 身份鉴别5.1.3.1.1 测评项a) 应对登录操作系统和数据库管理系统的用户进行身份标识和鉴别;b) 应具有登录失败处理功能,如结束会话、限制非法登录次数。5.1.3.1.2 测评方式访谈,检查,测试。5.1.3.1.3 测评对象系统管理员,数据库管理员,核心服务器操作系统,核心数
35、据库管理系统。5.1.3.1.4 测评实施a) 应检查服务器操作系统和数据库管理系统的身份鉴别功能是否具有等级保护一级以上或TCSEC C1级以上的测试报告;b) 可访谈系统管理员,询问操作系统的身份标识与鉴别机制采取何种措施实现;c) 应检查核心服务器操作系统,查看是否提供了身份鉴别措施(如用户名和口令等);d) 应检查核心服务器操作系统,查看是否已配置了鉴别失败处理功能,并设置了非法登录次数的限制值;e) 应测试核心服务器操作系统,验证当进入操作系统时,是否先需要进行标识(如建立账号);f) 可访谈数据库管理员,询问数据库的身份标识与鉴别机制采取何种措施实现;g) 应查看核心数据库管理系统
36、,查看是否提供了身份鉴别措施(如用户名和口令等);h) 应检查核心数据库管理系统,查看是否已配置了鉴别失败处理功能,并设置了非法登录次数的限制值;i) 应测试核心数据库管理系统,验证当进入数据库管理系统前是否必须进行标识(如建立账号)。5.1.3.1.5 结果判定a) 如果5.1.3.1.4 a)为肯定,则测评实施c)-e)和g)-i)为肯定;b) 测评实施c)-e)和g)-i)均为肯定,则信息系统符合本单元测评项要求。5.1.3.2 自主访问控制5.1.3.2.1 测评项a) 操作系统和数据库管理系统应依据安全策略控制用户对客体的访问;b) 自主访问控制的覆盖范围应包括与信息安全直接相关的主
37、体、客体及它们之间的操作;c) 操作系统和数据库管理系统自主访问控制的粒度应达到主体为用户组/用户级,客体为文件、数据库表级;d) 应由授权主体设置对客体访问和操作的权限;e) 应严格限制默认用户的访问权限。5.1.3.2.2 测评方式检查。5.1.3.2.3 测评对象核心服务器操作系统,核心数据库管理系统,安全策略。5.1.3.2.4 测评实施a) 应检查服务器操作系统和数据库管理系统的自主访问控制功能是否具有等级保护一级以上或TCSEC C1级以上的测试报告;b) 应检查服务器操作系统的安全策略,查看是否明确主体(如用户)以用户和/或用户组的身份规定对客体(如文件)的访问控制,覆盖范围是否
38、包括与信息安全直接相关的主体(如用户)和客体(如文件)及它们之间的操作(如读或写);c) 应检查核心服务器操作系统,查看客体(如文件)的所有者是否可以改变其相应访问控制列表的属性,得到授权的用户是否可以改变相应客体访问控制列表的属性;d) 应查看核心服务器操作系统,查看匿名/默认用户的访问权限是否已被禁用或者严格限制(如限定在有限的范围内);e) 应检查数据库管理系统的安全策略,查看是否明确主体对客体的访问权限(如目录表访问控制/存取控制表访问控制等),是否允许主体(如用户)以用户和/或用户组的身份规定并控制对客体(如数据库表)的访问控制;f) 应检查核心数据库管理系统,查看客体(如数据库表、
39、视图、存储过程和触发器等)的所有者是否可以改变其相应访问控制列表的属性,得到授权的用户是否可以改变相应客体访问控制列表的属性;g) 应检查核心数据库管理系统,查看匿名/默认用户的访问权限是否已被禁用或者严格限制(如限定在有限的范围内)。5.1.3.2.5 结果判定a) 如果5.1.3.2.4 a)为肯定,则测评实施c)、d)、f)和g)为肯定;b) 5.1.3.2.4 b)-i)均为肯定,则信息系统符合本单元测评项要求。5.1.3.3 恶意代码防范5.1.3.3.1 测评项a) 重要业务处理服务器应安装实时检测与查杀恶意代码的软件产品。5.1.3.3.2 测评方式访谈,检查。5.1.3.3.3
40、 测评对象系统安全员,重要服务器。5.1.3.3.4 测评实施a) 应访谈系统安全员,询问主机系统是否采取恶意代码实时检测与查杀措施,恶意代码实时检测与查杀措施的部署情况如何;b) 应检查重要服务器,查看是否安装实时检测与查杀恶意代码的软件产品(主要是防病毒产品);查看实时检测与查杀恶意代码软件产品的厂家、名称和恶意代码库版本号。5.1.3.3.5 结果判定a) 如果5.1.3.3.4 a)中恶意代码实时检测与查杀措施的部署包括所有重要业务处理服务器,则该项为肯定;b) 如果5.1.3.2.4 b)中的实时检测与查杀恶意代码软件产品厂家为正规厂家,该恶意代码库版本较新,则该项为肯定;c) 5.
41、1.3.2.4 a)-b)均为肯定,则信息系统符合本单元测评项要求。5.1.4 应用安全5.1.4.1 身份鉴别5.1.4.1.1 测评项a) 应对登录应用系统的用户进行身份标识和鉴别;b) 应具有登录失败处理的功能,如结束会话、限制非法登录次数。5.1.4.1.2 测评方式访谈,检查。5.1.4.1.3 测评对象系统管理员,关键应用系统。5.1.4.1.4 测评实施a) 可访谈系统管理员,询问应用系统是否采取身份标识和鉴别措施,具体措施有哪些;b) 应访谈系统管理员,询问应用系统是否具有登录失败处理的功能,是如何进行处理的;c) 应检查关键应用系统,查看其是否配备身份标识(如建立账号)和鉴别
42、(如口令等)功能; d) 应检查关键应用系统,查看其是否配备并使用登录失败处理功能(如限制非法登录次数,登录失败次数超过设定值则结束会话等)。5.1.4.1.5 结果判定a) 5.1.4.1.4 b)-d)均为肯定,则信息系统符合本单元测评项要求。5.1.4.2 访问控制5.1.4.2.1 测评项a) 应控制应用系统用户对系统功能和用户数据的访问;b) 应用系统自主访问控制的粒度应达到主体为用户组/用户级;c) 应由授权主体设置用户对系统功能的操作和对数据访问的权限;d) 应严格限制默认用户的访问权限。5.1.4.2.2 测评方式访谈,检查,测试。5.1.4.2.3 测评对象系统管理员,关键应
43、用系统,总体规划/设计文档。5.1.4.2.4 测评实施a) 可访谈系统管理员,询问业务系统是否提供访问控制措施,具体措施有哪些;b) 应检查关键应用系统,查看系统是否提供访问控制机制; c) 应检查关键应用系统,查看其是否有限制默认用户访问权限的功能,并已配置使用;d) 应测试关键应用系统,可通过用不同权限的用户登录,查看其权限是否受到应用系统的限制,验证系统权限分离功能是否有效;e) 应测试关键应用系统,可通过授权主体设置特定用户对系统功能进行操作和对数据进行访问的权限,然后以该用户登录,验证用户权限管理功能是否有效;f) 应测试关键应用系统,可通过用默认用户登录,验证系统对默认用户访问权
44、限的限制是否有效。5.1.4.2.5 结果判定a) 5.1.4.2.4 b)-f)均为肯定,则信息系统符合本单元测评项要求。5.1.4.3 通信完整性5.1.4.3.1 测评项a) 通信双方应约定通信会话的方式,在进行通信时,双方根据会话方式判断对方报文的有效性。5.1.4.3.2 测评方式访谈,检查,测试。5.1.4.3.3 测评对象安全员,关键应用系统,总体规划/设计文档。5.1.4.3.4 测评实施a) 可访谈安全员,询问业务系统数据在传输过程中是否有完整性保证措施,具体措施有哪些;b) 应检查设计/验收文档,查看其是否有关于系统是根据校验码(CRC校验)判断对方数据包的有效性的描述;c
45、) 应测试关键应用系统,可通过获取通信双方的数据包,查看其是否有验证码。5.1.4.3.5 结果判定a) 5.1.4.3.4 b)-c)均为肯定,则信息系统符合本单元测评项要求。5.1.4.4 软件容错5.1.4.4.1 测评项a) 应对通过人机接口输入或通过通信接口输入的数据进行有效性检验;b) 在故障发生并中断退出时,提供故障类型和故障发生点的信息。5.1.4.4.2 测评方式访谈,检查,测试。5.1.4.4.3 测评对象系统管理员,关键应用系统。5.1.4.4.4 测评实施a) 可访谈系统管理员,询问业务系统是否有保证软件具有容错能力的措施(如对人机接口输入或通过通信接口输入的数据进行有效性检验,在故障发生并中断退出时系统是否提供故障类型和故障发生点的信息等),具体措施有哪些;b) 应检查关键应用系统,查看业务系统是否有对人机接口输入(如用户界面的数据输入)或通信接口输入的数据进行有效性检验的功能; c) 应测试关键应用系统,可通过输入的不同(如数据格式或长度等符合、不符合软件设定的要求)验证系统人机接口有效性检验功能是否正确;
限制150内