5.2.3.2.1 测评指标
见JR/T 0060-2010 5.2.3.2。
5.2.3.2.2 测评实施
本项要求包括:
a)应访谈系统安全负责人,询问是否及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章以及机构提供的软硬件设备等;
b)应检查是否具有离岗人员交还身份证件、设备等的登记记录。
5.2.3.2.3 结果判定
如果5.2.3.2.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.2.3.3 安全意识教育和培训
5.2.3.3.1 测评指标
见JR/T 0060-2010 5.2.3.3。
5.2.3.3.2 测评实施
应访谈系统安全负责人,询问是否对各个岗位人员进行安全教育和岗位技能培训,告知相关的安全知识、安全责任和惩戒措施。
5.2.3.3.3 结果判定
如果5.2.3.3.2为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.2.3.4 外部人员访问管理
5.2.3.4.1 测评指标
见JR/T 0060-2010 5.2.3.4。
5.2.3.4.2 测评实施
本项要求包括:
a)应访谈系统安全负责人,询问外部人员访问重要区域(如访问机房、重要服务器或设备区等)是否需经有关部门或负责人批准;
b)应检查外部人员访问管理文档,查看是否具有规范外部人员访问机房等重要区域需经过相关部门或负责人批准的管理要求。
5.2.3.4.3 结果判定
如果5.2.3.4.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.2.4 系统建设管理
5.2.4.1 系统定级
5.2.4.1.1 测评指标
见JR/T 0060-2010 5.2.4.1。
5.2.4.1.2 测评实施
本项要求包括:
a)应访谈系统建设负责人,询问是否参照定级指南确定信息系统安全保护等级;
b)应检查系统定级文档,查看文档是否明确信息系统的边界和信息系统的安全保护等级,是否说明定级的方法和理由,是否有相关部门或主管领导的盖章或签名。
5.2.4.1.3 结果判定
如果5.2.4.1.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.2.4.2 安全方案设计
5.2.4.2.1 测评指标
见JR/T 0060-2010 5.2.4.2。
5.2.4.2.2 测评实施
本项要求包括:
a)应访谈系统建设负责人,询问是否依据风险分析的结果补充和调整过安全措施,具体做过哪些调整;
b)应检查系统的安全设计方案,查看方案是否描述系统的安全保护等级,是否描述系统的安全保护策略,是否根据系统的安全级别选择了安全措施;
c)应检查系统的安全设计方案,查看是否详细描述安全措施的实现内容,是否有安全产品的功能、性能和部署等描述,是否有安全建设的费用和计划等。
5.2.4.2.3 结果判定
如5.2.4.2.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.2.4.3 产品采购和使用
5.2.4.3.1 测评指标
见JR/T 0060-2010 5.2.4.3。
5.2.4.3.2 测评实施
应访谈系统建设负责人,询问系统使用的有关信息安全产品是否符合国家的有关规定,如安全产品获得了销售许可证等。
5.2.4.3.3 结果判定
如果5.2.4.3.2为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.2.4.4 自行软件开发
5.2.4.4.1 测评指标
见JR/T 0060-2010 5.2.4.4。
5.2.4.4.2 测评实施
本项要求包括:
a)应访谈系统建设负责人,询问是否进行自主开发软件;
b)应访谈系统建设负责人,询问自主开发软件是否在独立的环境中完成编码和调试,如相对独立的网络区域,询问软件设计相关文档是否由专人负责保管,负责人是何人;
c)应检查网络拓扑图和实际开发环境,查看是否实际运行环境和开发环境有效隔离。
5.2.4.4.3 结果判定
如果5.2.4.4.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.2.4.5 外包软件开发
5.2.4.5.1 测评指标
见JR/T 0060-2010 5.2.4.5。
5.2.4.5.2 测评实施
本项要求包括:
a)应访谈系统建设负责人,询问软件交付前是否依据开发要求的技术指标对软件功能和性能等进行验收测试,软件安装之前是否检测软件中的恶意代码;
b)应检查是否具有软件开发的相关文档,如需求分析说明书、软件设计说明书等,是否具有软件操作手册或使用指南。
5.2.4.5.3 结果判定
如果5.2.4.5.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.2.4.6 工程实施
5.2.4.6.1 测评指标
见JR/T 0060-2010 5.2.4.6。
5.2.4.6.2 测评实施
应访谈系统建设负责人,询问是否指定专门部门或人员对工程实施过程进行进度和质量控制,由何部门/何人负责。
5.2.4.6.3 结果判定
如果5.2.4.6.2为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.2.4.7 测试验收
5.2.4.7.1 测评指标
见JR/T 0060-2010 5.2.4.7。
5.2.4.7.2 测评实施
本项要求包括:
a)应访谈系统建设负责人,询问在信息系统建设完成后是否对其进行安全性测试验收;
b)应检查是否具有工程测试验收方案,查看其是否明确说明参与测试的部门、人员、测试验收内容、现场操作过程等内容;
c)应检查是否具有系统测试验收报告。
5.2.4.7.3 结果判定
如果5.2.4.7.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.2.4.8 系统交付
5.2.4.8.1 测评指标
见JR/T 0060-2010 5.2.4.8。
5.2.4.8.2 测评实施
本项要求包括:
a)应访谈系统建设负责人,询问系统交接工作是否根据交付清单对所交接的设备、文档、软件等进行清点;
b)应访谈系统建设负责人,询问系统正式运行前是否对运行维护人员进行过培训,针对哪些方面进行过培训;
c)应检查是否具有系统交付清单,查看交付清单是否说明系统交付的各类设备、软件、文档等;
d)应检查系统交付提交的文档,查看是否有指导用户进行系统运维的文档等。
5.2.4.8.3 结果判定
如果5.2.4.8.2 a)-d)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.2.4.9 安全服务商选择
5.2.4.9.1 测评指标
见JR/T 0060-2010 5.2.4.9。
5.2.4.9.2 测评实施
本项要求包括:
a)应访谈系统建设负责人,询问信息系统选择的安全服务商有哪些,是否符合国家有关规定;
b)应检查是否具有与安全服务商签订的安全责任合同书或保密协议等文档,查看其内容是否包含保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等。
5.2.4.9.3 结果判定
如果5.2.4.9.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.2.5 系统运维管理
5.2.5.1 环境管理
5.2.5.1.1 测评指标
见JR/T 0060-2010 5.2.5.1。
5.2.5.1.2 测评实施
本项要求包括:
a)应访谈系统运维负责人,询问是否有专门的部门或人员对机房供配电、空调、温湿度控制等设施进行定期维护,由何部门/何人负责,维护周期多长;
b)应访谈系统运维负责人,询问是否有专门的部门或人员对机房的出入、服务器开机/关机等日常工作进行管理,由何部门/何人负责;
c)应检查是否有机房安全管理制度,查看其内容是否覆盖机房物理访问、物品带进/带出机房和机房环境安全等方面。
检查维护记录,查验是否每季度对机房供配电、空调、UPS等设备进行维护管理。
5.2.5.1.3 结果判定
如果5.2.5.1.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.2.5.2 资产管理
5.2.5.2.1 测评指标
见JR/T 0060-2010 5.2.5.2。
5.2.5.2.2 测评实施
应检查是否有资产清单,查看其内容是否覆盖资产责任部门、责任人、所处位置和重要程度等方面。
5.2.5.2.3 结果判定
如果5.2.5.2.2为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.2.5.3 介质管理
5.2.5.3.1 测评指标
见JR/T 0060-2010 5.2.5.3。
5.2.5.3.2 测评实施
本项要求包括:
a)应访谈资产管理员,询问介质的存放环境是否采取保护措施防止介质被盗、被毁等;
b)应访谈资产管理员,询问是否根据介质的目录清单对介质的使用现状进行定期检查;
c)应检查介质使用管理记录,查看其是否记录介质归档和使用等情况。
5.2.5.3.3 结果判定
如果5.2.5.3.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.2.5.4 设备管理
5.2.5.4.1 测评指标
见JR/T 0060-2010 5.2.5.4。
5.2.5.4.2 测评实施
本项要求包括:
a)应访谈系统运维负责人,询问是否有专门的部门或人员对各种设备、线路进行定期维护,由何部门/何人负责,维护周期多长;
检查配套设施、软硬件维护是否至少每年进行一次。
b)应检查是否有设备安全管理制度,查看其内容是否对各种软硬件设备的选型、采购、发放和领用等环节进行规定。
5.2.5.4.3 结果判定
如果5.2.5.4.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.2.5.5 网络安全管理
5.2.5.5.1 测评指标
见JR/T 0060-2010 5.2.5.5。
5.2.5.5.2 测评实施
本项要求包括:
a)应访谈系统运维负责人,询问是否指定专门的部门或人员负责网络管理,维护网络运行日志、监控记录,分析处理报警信息等;
b)应访谈网络管理员,询问是否定期对网络进行漏洞扫描,扫描周期多长,发现漏洞是否及时修补;
c)应检查是否有网络漏洞扫描报告,检查扫描时间间隔与扫描周期是否一致。
1)检查是否至少每半年进行一次漏洞扫描,并对漏洞风险持续跟踪,在经过充分的验证测试后,对必要的漏洞开展修补工作;
2)检查漏洞扫描和修补报告,查看扫描和修补工作是否在恰当的时间,对可能存在的风险进行充分评估和准备,制定回退方案,备份重要数据后进行的;
3)检查漏洞扫描和修补报告,查看完成扫描和修补工作后,是否进行了验证测试,以保证网络系统的正常运行。
5.2.5.5.3 结果判定
如果5.2.5.5.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.2.5.6 系统安全管理
5.2.5.6.1 测评指标
见JR/T 0060-2010 5.2.5.6。
5.2.5.6.2 测评实施
本项要求包括:
a)应访谈系统运维负责人,询问是否指定专门的部门或人员负责系统管理,如根据业务需求和系统安全分析制定系统的访问控制策略,控制分配文件及服务的访问权限;
b)应访谈系统管理员,询问是否定期对系统进行漏洞扫描,扫描周期多长,发现漏洞是否及时修补,在安装系统补丁前是否对重要文件进行备份;
c)应检查是否有系统漏洞扫描报告,检查扫描时间间隔与扫描周期是否一致。
1)检查是否至少每半年进行一次漏洞扫描,并对漏洞风险持续跟踪,在经过充分的验证测试后,对必要的漏洞开展修补工作;
2)检查漏洞扫描和修补报告,查看扫描和修补工作是否在恰当的时间,对可能存在的风险进行充分评估和准备,制定回退方案,备份重要数据后进行的;
3)检查漏洞扫描和修补报告,查看完成扫描和修补工作后,是否进行了验证测试,以保证网络系统的正常运行。
5.2.5.6.3 结果判定
如果5.2.5.6.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.2.5.7 恶意代码防范管理
5.2.5.7.1 测评指标
见JR/T 0060-2010 5.2.5.7。
5.2.5.7.2 测评实施
应访谈系统运维负责人,询问是否对员工进行基本恶意代码防范意识的教育,是否告知应及时升级软件版本,使用外来设备、网络上接收文件和外来计算机或存储设备接入网络系统之前应进行病毒检查等。
5.2.5.7.3 结果判定
如果5.2.5.7.2为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.2.5.8 备份与恢复管理
5.2.5.8.1 测评指标
见JR/T 0060-2010 5.2.5.8。
5.2.5.8.2 测评实施
本项要求包括:
a)应访谈系统运维负责人,询问是否识别出需要定期备份的业务信息、系统数据和软件系统,主要有哪些;
b)应检查备份管理文档,查看其是否明确了备份方式、备份频度、存储介质和保存期等方面内容。
5.2.5.8.3 结果判定
如果5.2.5.8.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.2.5.9 安全事件处置
5.2.5.9.1 测评指标
见JR/T 0060-2010 5.2.5.9。
5.2.5.9.2 测评实施
本项要求包括:
a)应访谈系统运维负责人,询问是否告知用户在发现安全弱点和可疑事件时应及时报告;
b)应检查是否有安全事件报告和处置管理制度,查看其是否明确安全事件的现场处理、事件报告和后期恢复等内容。
5.2.5.9.3 结果判定
如果5.2.5.9.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6 第二级信息系统单元测评
6.1 安全技术测评
6.1.1 物理安全
6.1.1.1 物理位置的选择
6.1.1.1.1 测评指标
见JR/T 0060-2010 6.1.1.1。
6.1.1.1.2 测评实施
本项要求包括:
a)应访谈物理安全负责人,询问机房和办公场地所在建筑物是否具有防震、防风和防雨等能力;
b)应检查是否有机房和办公场地所在建筑物抗震设防审批文档;
检查机房和办公场地的设计、验收文档或相关证据,查看机房和办公场地所在建筑的防震能力说明。
c)应检查机房和办公场地所在建筑物是否具有防风和防雨等能力。
1)检查机房和办公场地的设计、验收文档或相关证据,查看机房和办公场地所在建筑的防风和防雨说明;
2)检查设计、验收文档是否与机房和办公场地实际情况相符合;
3)如果机房外墙壁有对外的窗户,检查是否采用了双层固定窗,并做了密封、防水处理。
6.1.1.1.3 结果判定
如果6.1.1.1.2a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.1.1.2 物理访问控制
6.1.1.2.1 测评指标
见JR/T 0060-2010 6.1.1.2。
6.1.1.2.2 测评实施
本项要求包括:
a)应检查机房出入口是否有专人值守负责控制并鉴别进入机房的人员,是否有值守记录;
检查是否由专人负责管理机房出入,人员进出监控记录是否保存3个月以上。
b)应检查机房是否不存在专人值守之外的其他开放的出入口;
c)应检查是否有来访人员进入机房的登记记录;
d)应检查是否有来访人员进入机房的申请、审批记录,查看申请、审批记录是否包括来访人员的访问范围;
1)检查对外来人员出入机房是否有审批流程,记录带进带出的设备、进出时间、工作内容,记录应保存3个月以上;
2)应访谈物理安全负责人,了解是否有专人陪同来访人员。
e)应检查来访人员进入机房时是否有专人陪同。
6.1.1.2.3 结果判定
如果6.1.1.2.2a)-e)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.1.1.3 防盗窃和防破环
6.1.1.3.1 测评指标
见JR/T 0060-2010 6.1.1.3。
6.1.1.3.2 测评实施
本项要求包括:
a)应检查重要设备等是否放置在机房内;
b)应检查重要设备等或设备的主要部件是否固定;
检查重要设备是否安装、固定在机柜内或机架上。
c)应检查重要设备等或设备的主要部件上是否设置明显的不易除去的标记;
d)应检查通信线缆铺设是否暗敷或在不易被发现的地方;
检查通信线缆是否铺设在管道或线槽、线架中。
e)应检查主机房是否安装防盗报警设施,防盗报警设施是否正常运行,是否通过了国家相关部门检验,并查看是否有防盗报警设施的运行记录;
f)应检查介质是否有分类标识,是否分类存放在介质库或档案室内。
6.1.1.3.3 结果判定
如果6.1.1.3.2a)-f)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.1.1.4 防雷击
6.1.1.4.1 测评指标
见JR/T 0060-2010 6.1.1.4。
6.1.1.4.2 测评实施
本项要求包括:
a)应访谈物理安全负责人,询问机房所在建筑物是否设置了避雷装置,是否通过验收或国家有关部门的技术检测;
b)应访谈物理安全负责人,询问机房是否设置有交流电源地线;
c)应检查机房所在建筑物的防雷验收文档中是否有设置避雷装置的说明;
d)应检查机房防雷验收文档中是否有设置交流电源地线的说明。
6.1.1.4.3 结果判定
如果6.1.1.4.2a)-d)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.1.1.5 防火
6.1.1.5.1 测评指标
见JR/T 0060-2010 6.1.1.5。
6.1.1.5.2 测评实施
本项要求包括:
a)应检查机房是否设置了灭火设备,灭火设备是否是经消防检测部门检测合格的产品,其有效期是否合格;
b)应检查机房是否部署了火灾自动报警系统,火灾自动报警系统是否是经消防检测部门检测合格的产品,是否处于正常运行状态,是否有火灾自动报警系统的运行记录。
应检查机房的火灾自动报警系统向当地公安消防部门备案的相关材料。
6.1.1.5.3 结果判定
如果6.1.1.5.2a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.1.1.6 防水和防潮
6.1.1.6.1 测评指标
见JR/T 0060-2010 6.1.1.6。
6.1.1.6.2 测评实施
本项要求包括:
a)应检查机房屋顶或活动地板下是否未安装水管;
b)应检查穿过机房墙壁或楼板的给水排水管道是否采取防渗漏和防结露等保护措施;
1)检查与机房设备无关的水管是否穿过机房屋顶和活动地板下;
2)检查机房屋顶和活动地板下铺有水管的,是否采取了有效的防水措施。
c)应检查机房的窗户、屋顶和墙壁等是否未出现过漏水、渗透和返潮现象,机房的窗户、屋顶和墙壁是否进行过防水防渗处理;
d)如果机房内安装有空调机和加湿器,应检查是否设置了挡水和排水设施;
e)如果机房位于湿度较高的地区,应检查机房是否有除湿装置并能够正常运行,是否有防水防潮处理记录。
6.1.1.6.3 结果判定
如果6.1.1.6.2a)-e)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.1.1.7 防静电
6.1.1.7.1 测评指标
见JR/T 0060-2010 6.1.1.7。
6.1.1.7.2 测评实施
应检查重要设备是否有接地构造或其他静电泄放措施。
6.1.1.7.3 结果判定
如果6.1.1.7.2为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.1.1.8 温湿度控制
6.1.1.8.1 测评指标
见JR/T 0060-2010 6.1.1.8。
6.1.1.8.2 测评实施
本项要求包括:
a)应检查机房内是否配备了温湿度自动调节设施,温湿度自动调节设施是否能够正常运行,机房温度、相对湿度是否满足电子信息设备的使用要求;
检查机房开机时温度是否控制在JR/T 0060-2010的相关要求之内。
b)应检查是否有机房的温湿度记录,是否有温湿度自动调节设施的运行记录。
6.1.1.8.3 结果判定
如果6.1.1.8.2a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.1.1.9 电力供应
6.1.1.9.1 测评指标
见JR/T 0060-2010 6.1.1.9。
6.1.1.9.2 测评实施
本项要求包括:
a)应检查机房的计算机系统供电线路上是否设置了稳压器和过电压防护设备,这些设备是否正常运行;
b)应检查机房计算机系统是否配备了短期备用电源设备,备用电源设备是否正常运行。
1)检查是否配备或租用了发电机,以及是否配备了UPS;
2)检查UPS实际供电能力是否能够满足关键设备在断电情况下正常运行2个小时以上;
3)如果是租用发电机,应检查租用发电机的合同或相关证明材料;
4)检查发电机储油是否能够确保发电机持续供电,并采取了有效措施确保发电机用油的及时补充。
6.1.1.9.3 结果判定
如果6.1.1.9.2a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.1.1.10 电磁防护
6.1.1.10.1 测评指标
见JR/T 0060-2010 6.1.1.10。
6.1.1.10.2 测评实施
应检查机房布线,查看是否做到电源线和通信线缆隔离。
检查电源线和通信线缆是否铺设在不同的桥架或者管道内。
6.1.1.10.3 结果判定
如果6.1.1.10.2为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.1.2 网络安全
6.1.2.1 结构安全
6.1.2.1.1 测评指标
见JR/T 0060-2010 6.1.2.1。
6.1.2.1.2 测评实施
本项要求包括:
a)应检查网络设计或验收文档,查看是否有满足关键网络设备业务处理能力需要的设计或描述;
b)应检查网络设计或验收文档,查看是否有满足接入网络及核心网络的带宽业务高峰期需要的设计或描述;
检查网络监控日志,查看关键网络设备近一年的CPU负载峰值是否小于30%。
c)应检查网络拓扑结构图,查看其与当前运行的实际网络系统是否一致;
检查网络拓扑结构图是否完整,是否有相应的网络配置表,包含设备IP地址等主要信息,与当前运行情况相符,并及时更新。
d)应检查网络设计或验收文档,查看是否有根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网和网段分配地址段的设计或描述。
6.1.2.1.3 结果判定
如果6.1.2.1.2 a)-d)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.1.2.2 访问控制
6.1.2.2.1 测评指标
见JR/T 0060-2010 6.1.2.2。
6.1.2.2.2 测评实施
本项要求包括:
a)应检查边界网络设备的访问控制策略,查看其是否根据会话状态信息对数据流进行控制,控制粒度是否为网段级;
b)应检查边界网络设备的访问控制策略,查看是否按用户和系统之间的允许访问规则,允许或拒绝对受控系统进行访问,且控制力度为单个用户;
c)应检查边界网络设备的拨号用户列表,查看其是否对具有拨号访问权限的用户数量进行限制。
1)检查是否禁止了通过互联网对重要信息系统进行远程维护和管理;
2)测试是否存在拨号接入网络的方式;如果存在拨号接入,检查边界网络设备(如路由器,防火墙,认证网关),查看是否正确的配置了拨号访问控制列表(对系统资源实现允许或拒绝访问)。
6.1.2.2.3 结果判定
如果6.1.2.2.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.1.2.3 安全审计
6.1.2.3.1 测评指标
见JR/T 0060-2010 6.1.2.3。
6.1.2.3.2 测评实施
本项要求包括:
a)应检查边界和关键网络设备的安全审计策略,查看其是否包括网络设备运行状况、网络流量、用户行为等;
b)应检查边界和关键网络设备的安全审计记录,查看其是否包括:事件的日期和时间、用户、事件类型、事件成功情况及其他与审计相关的信息。
6.1.2.3.3 结果判定
如果6.1.2.3.2a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.1.2.4 边界完整性检查
6.1.2.4.1 测评指标
见JR/T 0060-2010 6.1.2.4。
6.1.2.4.2 测评实施
应检查边界完整性检查设备的非法外联监控策略,查看是否正确设置了对网络内部用户私自连接到外部网络的行为进行有效监控的配置。
6.1.2.4.3 结果判定
如果6.1.2.4.2为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合本单元测评指标要求。
6.1.2.5 入侵防范
6.1.2.5.1 测评指标
见JR/T 0060-2010 6.1.2.5。
6.1.2.5.2 测评实施
本项要求包括:
a)应检查网络入侵防范设备,查看是否能检测以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等;
检查入侵防范设备是否根据系统应用要求进行了规则配置。
b)应检查网络入侵防范设备的规则库版本,查看其规则库是否及时更新。
6.1.2.5.3 结果判定
如果6.1.2.5.2 a)和 b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.1.2.6 网络设备防护
6.1.2.6.1 测评指标
见JR/T 0060-2010 6.1.2.6。
6.1.2.6.2 测评实施
本项要求包括:
a)应检查边界和关键网络设备的设备防护策略,查看是否配置了对登录用户进行身份鉴别的功能;
b)应检查边界和关键网络设备的设备防护策略,查看是否对网络设备的登录地址进行了限制;
c)应检查边界和关键网络设备的帐户列表,查看用户标识是否唯一;
检查是否已经删除默认用户或修改默认用户的口令,根据管理需要开设用户,不得使用缺省口令、空口令、弱口令。
d)应检查边界和关键网络设备的设备防护策略,查看是否对口令的复杂度和定期修改进行了设置;
e)应检查边界和关键网络设备的设备防护策略,查看是否配置了登录失败处理功能,包括结束会话、限制非法登录次数、登录连接超时自动退出等;
f)应检查边界和关键网络设备的设备防护策略,查看是否配置了对设备远程管理所产生的鉴别信息进行保护的功能。
6.1.2.6.3 结果判定
如果6.1.2.6.2 a)-f)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.1.3 主机安全
6.1.3.1 身份鉴别
6.1.3.1.1 测评指标
见JR/T 0060-2010 6.1.3.1。
6.1.3.1.2 测评实施
本项要求包括:
a)应检查重要服务器操作系统和重要数据库管理系统的身份鉴别策略,查看是否提供了身份鉴别措施;
b)应检查重要服务器操作系统和重要数据库管理系统的身份鉴别策略,查看其身份鉴别信息是否具有不易被冒用的特点,如对用户登录口令的最小长度、复杂度和更换周期进行要求和限制;
c)应检查重要服务器操作系统和重要数据库管理系统的身份鉴别策略,查看是否配置了登录失败处理功能、设置了非法登录次数的限制值;查看是否设置网络登录连接超时,并自动退出;
d)应访谈系统管理员和数据库管理员,询问是否对操作系统和数据库管理系统采用了远程管理方式,如果采用远程管理方式,查看是否具有防止鉴别信息在网络传输过程中被窃听的措施;
e)应检查重要服务器操作系统和重要数据库管理系统帐户列表,查看管理员用户名或UID分配是否唯一。
1)检查是否为操作系统的不同用户分配不同的用户名;
2)检查是否为数据库系统的不同用户分配不同的用户名。
6.1.3.1.3 结果判定
a)如果使用数字证书、动态口令卡等机制实现身份认证,6.1.3.1.2 b)判定为肯定,否则,需要检查用户登录口令的最小长度、复杂度和更换周期等策略和要求;
b)如果6.1.3.1.2 a)-e)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.1.3.2 访问控制
6.1.3.2.1 测评指标
见JR/T 0060-2010 6.1.3.2。
6.1.3.2.2 测评实施
本项要求包括:
a)应检查重要服务器操作系统的访问控制策略,查看是否对重要文件的访问权限进行了限制,对系统不需要的服务、共享路径等进行了禁用或删除;
b)应检查重要数据库管理系统的特权用户和重要操作系统的特权用户,查看不同管理员的系统账户权限是否不同,且不应由同一人担任;
如果系统支持操作系统和数据库系统特权用户的权限分离,应检查重要数据库管理系统的特权用户和重要操作系统的特权用户,查看不同管理员的系统账户权限是否不同,且不应由同一人担任。
c)应检查重要服务器操作系统和重要数据库管理系统的访问控制策略,查看是否已禁用或者限制匿名/默认帐户的访问权限,是否重命名系统默认帐户、修改这些帐户的默认口令;
d)应检查重要服务器操作系统和重要数据库管理系统的访问控制策略,是否删除了系统中多余的、过期的以及共享的帐户;
1)检查系统中的账号是否为用户工作必须的;
2)检查是否及时删除了多余的、过期的账户。
e)应检查重要服务器操作系统和重要数据库管理系统的权限设置情况,查看是否依据安全策略对用户权限进行了限制。
6.1.3.2.3 结果判定
a)如果系统不支持修改、重命名特权用户,6.1.3.2.2 c)、e)为不适用;
b)如果6.1.3.2.2 a)-e)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.1.3.3 安全审计
6.1.3.3.1 测评指标
见JR/T 0060-2010 6.1.3.3。
6.1.3.3.2 测评实施
本项要求包括:
a)应检查重要服务器操作系统和重要数据库管理系统的安全审计策略,查看安全审计配置是否包括系统内重要用户行为、系统资源的异常和重要系统命令的使用等重要的安全相关事件;
