测评指导书(三级)
目录
第 1 章 安全管理测评指导书 ......................................................................................................................................................................................................................................... 4
1.1 安全管理机构测评 ......................................................................................................................................................................................................................................................... 4
1.2 安全管理制度测评 ......................................................................................................................................................................................................................................................... 9
1.3 人员安全管理测评 ....................................................................................................................................................................................................................................................... 11
1.4 系统建设管理测评 ....................................................................................................................................................................................................................................................... 14
1.5 系统运维管理测评 ....................................................................................................................................................................................................................................................... 20
第 2 章 物理安全测评指导书 ....................................................................................................................................................................................................................................... 32
2.1 物理安全测评 ............................................................................................................................................................................................................................................................... 32
第 3 章 网络安全测评指导书 ....................................................................................................................................................................................................................................... 44
3.1 网络全局安全测评 ....................................................................................................................................................................................................................................................... 44
3.2 路由器安全测评 ........................................................................................................................................................................................................................................................... 47
3.3 交换机安全测评 ........................................................................................................................................................................................................................................................... 59
3.4 防火墙安全测评 ........................................................................................................................................................................................................................................................... 67
3.5 入侵检测/防御系统安全测评 ...................................................................................................................................................................................................................................... 71
第 4 章 操作系统安全测评指导书 ................................................................................................................................................................................................................................ 75
4.1
4.2
4.3
4.4
WINDOWS 操作系统安全测评 ........................................................................................................................................................................................................................................ 75
LINUX 操作系统安全测评 .............................................................................................................................................................................................................................................. 82
SOLARIS 操作系统安全测评 ........................................................................................................................................................................................................................................... 92
AIX 操作系统安全测评 ...............................................................................................................................................................................................................................................101
第 5 章 应用系统安全测评指导书 .............................................................................................................................................................................................................................. 109
5.1 应用系统安全测评 .....................................................................................................................................................................................................................................................109
IIS 应用安全测评 ........................................................................................................................................................................................................................................................114
5.2
APACHE 应用安全测评 ..................................................................................................................................................................................................................................................116
5.3
第 6 章 数据库安全测评指导书 ................................................................................................................................................................................................................................. 120
6.1
SQL SERVER 数据库安全测评 .......................................................................................................................................................................................................................................120
第 2 页 共 135 页
6.2
6.3
ORACLE 数据库安全测评 ..............................................................................................................................................................................................................................................124
SYBASE 数据库安全测评...............................................................................................................................................................................................................................................130
第 3 页 共 135 页
1.1 安全管理机构测评
第1章 安全管理测评指导书
序号 测评指标
测评项
检测方法
预期结果
a)设定管理部,定义各个方面的负
安全主管,管理机构,部门和各负责人职责;
访谈
责人岗位和职责
检查
核查各岗位职责范围和技能要求;
b)定义各个岗位和职责(系统、网
访谈
络、安全管理)
安全主管,岗位分工及相关职责;
访谈
安全主管,最高领导是否由单位主管领导委任或授权的人员担任;
1
岗位设置
(G3)
制度类文档要求
《部门设置、岗位
设置及工作职责
定义方面的管理
制度》
c)信息安全工作的委员会或领导
小组
安全主管、安全管理某方面的负责人、领导小组委员会或日常管理工作的负责人、日常管理
证据类文档要求
工作负责人及其岗位职责;
检查
《机构安全管理
人员岗位名单》
领导小组委员会或日常管理工作的负责人具有单位领导对其最高领导其委任授权书;
执行情况的文件或记录;
第 4 页 共 135 页
序号 测评指标
测评项
检测方法
预期结果
d)制定文件明确分工
检查
安全管理委员会职责文件。
访谈
安全主管, 岗位人员配备情况;
a) 配备系统、网络、安全管理员
检查
2
人员配备
(G3)
安全管理人员名单;
人员配备要求文档;
检查
b) 安全管理员是专职的
安全管理人员名单;
c)关键岗位定期轮岗
人员配备要求文档;
访谈
安全主管,定期轮岗情况。
访谈
制度类文档要求
《安全保障人事
管理制度》
制度类文档要求
a)明确授权审批事项
3
授权和审
批(G3)
安全主管,关键活动的审批部门,批准人是否得到授权,更新审批项目,审查周期;
《授权和审批流
检查
程》
授权管理文件包括事项列表(审批、双重审批事项、程序),更新审批项目,审查周期;
b)列表说明须审批的事项
访谈
关键活动的批准人,审批范围,审查程序;
记录类文档要求
《各项审批和批
第 5 页 共 135 页
序号 测评指标
测评项
检测方法
c)建立各审批事项的审批程序
检查
审批过程记录,审批程序与文件要求是否一致;
d)建立关键活动的双重审批制度
检查
审批的文档是否具有双重批准人的签字和审批部门的盖章;
e)不适用的权限应及时取消
检查
及时取消授权的记录;
f)定期审查,更新需授权和审批的
检查
项目
审查记录的日期是否与周期一致;
g)记录授权过程并保存授权文档
检查
授权管理文件包括事项列表(双重审批事项、程序),更新审批项目,审查周期。
访谈
a)内部沟通,定期召开会议
安全主管,与外单位和其他部门合作内容,沟通、合作方式有哪些;
安全主管,部门间协调会议,安全管理机构内部会议,信息安全领导小组例会;
安全管理人员,与外单位和其他部门人员主要沟通内容;
4
沟通和合
作(G3)
检查
部门间协调会议文件;
b)职能部门召开会议协调安全工
检查
作实施
安全工作会议文件;
c)安全领导小组定期召开指导和
检查
决策性例会
信息安全领导小组或委员会,例会会议纪要;
第 6 页 共 135 页
预期结果
准执行记录(来访
人员进入机房审
批、介质/设备外
带审批、系统外联
审批等)》(外联
接入、服务访问、
配置变更、采购、
外来人员访问和
管理)
记录类文档要求
《各类会议纪要
或记录(部门内、
部门间协调会、领
导小组)》
证据类文档要求
《外联单位联系
列表》
序号 测评指标
测评项
检测方法
预期结果
d)加强公安,电信的合作与沟通
e)加强专家沟通
f)建立外联单位信息表
检查
外联单位说明文档;
检查
外联单位说明文档;
检查
外联单位说明文档;
访谈
g)聘请顾问
a)定期检查
安全主管,专家顾问是否指导信息安全建设,参与安全规划和安全评审等;
检查
安全顾问证明文件,规划和建议的签字。
访谈
安全主管,检查周期,定期分析、评审异常行为;
检查
安全检查制度文档规定检查内容、检查程序和检查周期等;
5
审核和检
b)安全技术措施的有效性、安全
检查
查 (G3)
配置与安全策略的一致性
检查过程记录的程序与要求一致;
c)定期审计分析报告,采取应对
检查
措施
审计分析报告日期、检查、异常问题、分析结果和相应措施;
d)制定安全检查表,通报结果
访谈
安全员,安全检查包含内容、人员、程序策略和要求,通报形式、范围;
第 7 页 共 135 页
制度类文档要求
《安全审批和安
全检查方面的管
制制度》
序号 测评指标
测评项
检测方法
预期结果
e)制定审核和检查制度
检查
安全检查表。
第 8 页 共 135 页