From 8f7b333f7afc123b216ccad67f67d56b8bd89f5f Mon Sep 17 00:00:00 2001 From: Noriu Date: Tue, 24 Dec 2024 14:50:57 +0800 Subject: [PATCH] =?UTF-8?q?2024=E5=B9=B412=E6=9C=8824=E6=97=A5=2014:50:59?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- .../三级/安全计算环境/操作系统(Kylin Server).md | 69 +++++++ .../三级/安全计算环境/操作系统(WinSer2012).md | 182 ++++++++++++++++++ 过程文档.md | 69 +++++++ 3 files changed, 320 insertions(+) create mode 100644 测评模板/三级/安全计算环境/操作系统(Kylin Server).md create mode 100644 测评模板/三级/安全计算环境/操作系统(WinSer2012).md create mode 100644 过程文档.md diff --git a/测评模板/三级/安全计算环境/操作系统(Kylin Server).md b/测评模板/三级/安全计算环境/操作系统(Kylin Server).md new file mode 100644 index 0000000..202b617 --- /dev/null +++ b/测评模板/三级/安全计算环境/操作系统(Kylin Server).md @@ -0,0 +1,69 @@ +# 三级测评指导书 - 安全计算环境 - 操作系统(Kylin Server) + +### 一、身份鉴别 + +1. 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 + + + +### 二、访问控制 + + + + + + + +### 三、安全审计 + + + + + + + +### 四、入侵防范 + + + + + +### 五、恶意代码防范 + + + + + +### 六、可信验证 + + + + + + + +### 七、数据完整性 + + + + + + + +### 八、数据保密性 + + + + + + + +### 九、数据备份恢复 + + + + + + + +### 十、剩余信息保护 \ No newline at end of file diff --git a/测评模板/三级/安全计算环境/操作系统(WinSer2012).md b/测评模板/三级/安全计算环境/操作系统(WinSer2012).md new file mode 100644 index 0000000..58ae0c5 --- /dev/null +++ b/测评模板/三级/安全计算环境/操作系统(WinSer2012).md @@ -0,0 +1,182 @@ +# 三级测评指导书 - 安全计算环境 - 操作系统(Windows2012) + +### 一、身份鉴别 + +1. **应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。** + + | 要求 | 实际 | 判定 | + | -------------------------------------------- | ---- | ---- | + | 勾选了“要使用本机,用户必须输入用户名和密码” | | | + | 使用空口令无法登录系统 | | | + | 密码必须符合复杂性要求:已启用 | | | + | 密码长度最小值:8个字符 | | | + | 密码最长使用期限:42天 | | | + | 密码最短使用期限:2天 | | | + | 强制密码历史:5个记住的密码 | | | + | 密码永不过期属性:未勾选“密码永不过期” | | | + + + +2. **应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。** + + | 要求 | 实际 | 判定 | + | ------------------------------------ | ---- | ---- | + | 账户锁定策略已开启 | | | + | 账户锁定时间:30分钟 | | | + | 账户锁定阀值:5次无效登录 | | | + | 复位账户锁定计数器:30分钟之后 | | | + | 启用屏保并勾选“在恢复时显示登录屏幕” | | | + + + +3. **当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。** + + | 要求 | 实际 | 判定 | + | ------------------------ | ---- | ---- | + | 已禁用Telnet服务 | | | + | 采取3389远程桌面方式管理 | | | + + + +4. **应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。** + + | 要求 | 实际 | 判定 | + | ------------------------------------------------------------ | ---- | ---- | + | 采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的兼备技术对用户进行身份鉴别 | | | + | 其中一种鉴别技术采用了国家认可的密码技术 | | | + + + +### 二、访问控制 + +1. **应对登录的用户分配账户和权限** + + | 要求 | 实际 | 判定 | + | ------------------------------------------------ | ---- | ---- | + | 为登录的用户分配了账户,权限分配与用户权限表一致 | | | + | 禁用了guest账户并限制了administrator账户的权限 | | | + + + +2. **应重命名或删除默认账户,修改默认账户的默认口令** + + | 要求 | 实际 | 判定 | + | -------------------------------------------------------- | ---- | ---- | + | 将系统管理员账户Administrator和来宾账户Guest修改成其他值 | | | + | 已对默认账户采用密码进行保护 | | | + + + +3. **应及时删除或停用多余的、过期的账户,避免共享账户的存在** + + | 要求 | 实际 | 判定 | + | ---------------------------------------------------- | ---- | ---- | + | 不存在多余、过期的账户,管理员用户与账户之间一一对应 | | | + | 多余、过期的账户均已被删除或停用 | | | + + + +4. **应授予管理用户所需的最小权限,实现管理用户的权限分离** + + | 要求 | 实际 | 判定 | + | -------------------------------------------------- | ---- | ---- | + | 建立了系统管理员、审计管理员、安全管理员等账户 | | | + | 管理员账户分属于不同用户组,且所在用户组权限无交叉 | | | + | 管理账户的权限为完成工作任务所需的最小权限 | | | + + 1 + +5. **应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则** + + | 要求 | 实际 | 判定 | + | ---------------------------------------------- | ---- | ---- | + | 由专门的管理员对访问控制策略进行配置 | | | + | 不同用户组的访问控制规则设置与访问控制策略一致 | | | + | Windows默认无越权漏洞 | | | + + + +6. **访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级** + + | 要求 | 实际 | 判定 | + | --------------- | ---- | ---- | + | Windows默认符合 | | | + + + +7. **应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问** + + | 要求 | 实际 | 判定 | + | ------------------------------------------------------ | ---- | ---- | + | 设置了主机中主体、客体的安全标记 | | | + | 依据强制访问控制策略安全标记的主体对安全标记客体的访问 | | | + + + +### 三、安全审计 + +1. **应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计** + + | | | | + | ---- | ---- | ---- | + | | | | + | | | | + + + + + + + +### 四、入侵防范 + + + + + +### 五、恶意代码防范 + + + + + +### 六、可信验证 + + + + + + + +### 七、数据完整性 + + + + + + + +### 八、数据保密性 + + + + + + + +### 九、数据备份恢复 + + + + + + + +### 十、剩余信息保护 + + + + + + + diff --git a/过程文档.md b/过程文档.md new file mode 100644 index 0000000..19f188c --- /dev/null +++ b/过程文档.md @@ -0,0 +1,69 @@ +# 欣欣晶智 + +### 工程公司 + +高健 + +### 测评机构 + +测评一部 文军日 + +测评二部 杨林 + +市场部 杜仁伟 + +商务部 李萍 + +质检部 李雪莹 + + + + + +入场之前确认是不是签合同了 + + + + + +三级系统不允许放弃漏扫和渗透 + +如有自愿放弃的需要些自愿放弃验证测试声明,并盖章 + + + +服务评价表,我司人员需要与登记表中的一致 + + + +![image-20241223135014739](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/20241223135014916.png) + +上述文件需要双方盖章 + + + + + +项目经理就是负责人 + + + + + +过程文档 + +1. 项目计划书(制定人:项目经理、审核人:金玉平;测评方信息:联系人:项目经理,组长:项目经理,组员:其他人) +2. 测评项数,项目数要一致 +3. 技术和管理要分开 +4. 情况调查表:理论上由客户填写、调研时间要在项目计划书之后 + - 单位所属类型不知道去企查查上搜 + - 负责人按照网络安全领导小组的红头文件填写,没有网络安全领导小组的红头文件等保过不去 + - 联系人协调人就填现场配合的同志 + - 等级测评基本信息表中的被测单位联系人与情况调查表中的联系人要一致 + - 参与人员名单:附录A 安全相关人员 + - 物理环境情况:附录A 物理机房 + - 被测对象基本情况:信息安全等级保护备案证明 + - 附录B + - 基本信息表安全评测等级 + - 重要程度 + - \ No newline at end of file