信息安全等级保护测评指导书-三级.pdf-资料库

测评指导书（三级）

目录第 1 章安全管理测评指导书 ......................................................................................................................................................................................................................................... 4 1.1 安全管理机构测评 ......................................................................................................................................................................................................................................................... 4 1.2 安全管理制度测评 ......................................................................................................................................................................................................................................................... 9 1.3 人员安全管理测评 ....................................................................................................................................................................................................................................................... 11 1.4 系统建设管理测评 ....................................................................................................................................................................................................................................................... 14 1.5 系统运维管理测评 ....................................................................................................................................................................................................................................................... 20 第 2 章物理安全测评指导书 ....................................................................................................................................................................................................................................... 32 2.1 物理安全测评 ............................................................................................................................................................................................................................................................... 32 第 3 章网络安全测评指导书 ....................................................................................................................................................................................................................................... 44 3.1 网络全局安全测评 ....................................................................................................................................................................................................................................................... 44 3.2 路由器安全测评 ........................................................................................................................................................................................................................................................... 47 3.3 交换机安全测评 ........................................................................................................................................................................................................................................................... 59 3.4 防火墙安全测评 ........................................................................................................................................................................................................................................................... 67 3.5 入侵检测/防御系统安全测评 ...................................................................................................................................................................................................................................... 71 第 4 章操作系统安全测评指导书 ................................................................................................................................................................................................................................ 75 4.1 4.2 4.3 4.4 WINDOWS 操作系统安全测评 ........................................................................................................................................................................................................................................ 75 LINUX 操作系统安全测评 .............................................................................................................................................................................................................................................. 82 SOLARIS 操作系统安全测评 ........................................................................................................................................................................................................................................... 92 AIX 操作系统安全测评 ...............................................................................................................................................................................................................................................101 第 5 章应用系统安全测评指导书 .............................................................................................................................................................................................................................. 109 5.1 应用系统安全测评 .....................................................................................................................................................................................................................................................109 IIS 应用安全测评 ........................................................................................................................................................................................................................................................114 5.2 APACHE 应用安全测评 ..................................................................................................................................................................................................................................................116 5.3 第 6 章数据库安全测评指导书 ................................................................................................................................................................................................................................. 120 6.1 SQL SERVER 数据库安全测评 .......................................................................................................................................................................................................................................120 第 2 页共 135 页

6.2 6.3 ORACLE 数据库安全测评 ..............................................................................................................................................................................................................................................124 SYBASE 数据库安全测评...............................................................................................................................................................................................................................................130 第 3 页共 135 页

1.1 安全管理机构测评第1章安全管理测评指导书序号测评指标测评项检测方法预期结果 a)设定管理部，定义各个方面的负安全主管，管理机构，部门和各负责人职责；访谈责人岗位和职责检查核查各岗位职责范围和技能要求； b)定义各个岗位和职责(系统、网访谈络、安全管理）安全主管，岗位分工及相关职责；访谈安全主管，最高领导是否由单位主管领导委任或授权的人员担任； 1 岗位设置 (G3) 制度类文档要求《部门设置、岗位设置及工作职责定义方面的管理制度》 c）信息安全工作的委员会或领导小组安全主管、安全管理某方面的负责人、领导小组委员会或日常管理工作的负责人、日常管理证据类文档要求工作负责人及其岗位职责；检查《机构安全管理人员岗位名单》领导小组委员会或日常管理工作的负责人具有单位领导对其最高领导其委任授权书；执行情况的文件或记录；第 4 页共 135 页

序号测评指标测评项检测方法预期结果 d)制定文件明确分工检查安全管理委员会职责文件。访谈安全主管，岗位人员配备情况； a) 配备系统、网络、安全管理员检查 2 人员配备 (G3) 安全管理人员名单；人员配备要求文档；检查 b) 安全管理员是专职的安全管理人员名单； c)关键岗位定期轮岗人员配备要求文档；访谈安全主管，定期轮岗情况。访谈制度类文档要求《安全保障人事管理制度》制度类文档要求 a)明确授权审批事项 3 授权和审批(G3) 安全主管，关键活动的审批部门，批准人是否得到授权，更新审批项目，审查周期；《授权和审批流检查程》授权管理文件包括事项列表（审批、双重审批事项、程序），更新审批项目，审查周期； b)列表说明须审批的事项访谈关键活动的批准人，审批范围,审查程序；记录类文档要求《各项审批和批第 5 页共 135 页

序号测评指标测评项检测方法 c）建立各审批事项的审批程序检查审批过程记录，审批程序与文件要求是否一致； d)建立关键活动的双重审批制度检查审批的文档是否具有双重批准人的签字和审批部门的盖章； e)不适用的权限应及时取消检查及时取消授权的记录； f）定期审查,更新需授权和审批的检查项目审查记录的日期是否与周期一致； g)记录授权过程并保存授权文档检查授权管理文件包括事项列表（双重审批事项、程序），更新审批项目，审查周期。访谈 a）内部沟通，定期召开会议安全主管，与外单位和其他部门合作内容，沟通、合作方式有哪些；安全主管，部门间协调会议,安全管理机构内部会议，信息安全领导小组例会；安全管理人员，与外单位和其他部门人员主要沟通内容； 4 沟通和合作（G3) 检查部门间协调会议文件； b）职能部门召开会议协调安全工检查作实施安全工作会议文件； c）安全领导小组定期召开指导和检查决策性例会信息安全领导小组或委员会，例会会议纪要；第 6 页共 135 页预期结果准执行记录（来访人员进入机房审批、介质/设备外带审批、系统外联审批等）》（外联接入、服务访问、配置变更、采购、外来人员访问和管理）记录类文档要求《各类会议纪要或记录（部门内、部门间协调会、领导小组）》证据类文档要求《外联单位联系列表》

序号测评指标测评项检测方法预期结果 d）加强公安，电信的合作与沟通 e）加强专家沟通 f）建立外联单位信息表检查外联单位说明文档；检查外联单位说明文档；检查外联单位说明文档；访谈 g）聘请顾问 a）定期检查安全主管，专家顾问是否指导信息安全建设，参与安全规划和安全评审等；检查安全顾问证明文件，规划和建议的签字。访谈安全主管，检查周期，定期分析、评审异常行为；检查安全检查制度文档规定检查内容、检查程序和检查周期等； 5 审核和检 b）安全技术措施的有效性、安全检查查（G3) 配置与安全策略的一致性检查过程记录的程序与要求一致； c）定期审计分析报告，采取应对检查措施审计分析报告日期、检查、异常问题、分析结果和相应措施； d）制定安全检查表，通报结果访谈安全员，安全检查包含内容、人员、程序策略和要求，通报形式、范围；第 7 页共 135 页制度类文档要求《安全审批和安全检查方面的管制制度》