Noriu/dbcp-note
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

2024年12月24日 14:50:59

Browse Source
This commit is contained in:
Noriu 2024-12-24 14:50:57 +08:00
parent 704c28d6b5
commit 8f7b333f7a
3 changed files with 320 additions and 0 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

69
测评模板/三级/安全计算环境/操作系统(Kylin Server).md Normal file
View File

@ -0,0 +1,69 @@
# 三级测评指导书 - 安全计算环境 - 操作系统Kylin Server
### 一、身份鉴别
1. 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换
### 二、访问控制
### 三、安全审计
### 四、入侵防范
### 五、恶意代码防范
### 六、可信验证
### 七、数据完整性
### 八、数据保密性
### 九、数据备份恢复
### 十、剩余信息保护

182
测评模板/三级/安全计算环境/操作系统(WinSer2012).md Normal file
View File

@ -0,0 +1,182 @@
# 三级测评指导书 - 安全计算环境 - 操作系统Windows2012
### 一、身份鉴别
1. **应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。**
| 要求 | 实际 | 判定 |
| -------------------------------------------- | ---- | ---- |
| 勾选了“要使用本机,用户必须输入用户名和密码” | | |
| 使用空口令无法登录系统 | | |
| 密码必须符合复杂性要求:已启用 | | |
| 密码长度最小值8个字符 | | |
| 密码最长使用期限42天 | | |
| 密码最短使用期限2天 | | |
| 强制密码历史5个记住的密码 | | |
| 密码永不过期属性:未勾选“密码永不过期” | | |
2. **应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。**
| 要求 | 实际 | 判定 |
| ------------------------------------ | ---- | ---- |
| 账户锁定策略已开启 | | |
| 账户锁定时间30分钟 | | |
| 账户锁定阀值5次无效登录 | | |
| 复位账户锁定计数器30分钟之后 | | |
| 启用屏保并勾选“在恢复时显示登录屏幕” | | |
3. **当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。**
| 要求 | 实际 | 判定 |
| ------------------------ | ---- | ---- |
| 已禁用Telnet服务 | | |
| 采取3389远程桌面方式管理 | | |
4. **应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。**
| 要求 | 实际 | 判定 |
| ------------------------------------------------------------ | ---- | ---- |
| 采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的兼备技术对用户进行身份鉴别 | | |
| 其中一种鉴别技术采用了国家认可的密码技术 | | |
### 二、访问控制
1. **应对登录的用户分配账户和权限**
| 要求 | 实际 | 判定 |
| ------------------------------------------------ | ---- | ---- |
| 为登录的用户分配了账户,权限分配与用户权限表一致 | | |
| 禁用了guest账户并限制了administrator账户的权限 | | |
2. **应重命名或删除默认账户,修改默认账户的默认口令**
| 要求 | 实际 | 判定 |
| -------------------------------------------------------- | ---- | ---- |
| 将系统管理员账户Administrator和来宾账户Guest修改成其他值 | | |
| 已对默认账户采用密码进行保护 | | |
3. **应及时删除或停用多余的、过期的账户,避免共享账户的存在**
| 要求 | 实际 | 判定 |
| ---------------------------------------------------- | ---- | ---- |
| 不存在多余、过期的账户,管理员用户与账户之间一一对应 | | |
| 多余、过期的账户均已被删除或停用 | | |
4. **应授予管理用户所需的最小权限,实现管理用户的权限分离**
| 要求 | 实际 | 判定 |
| -------------------------------------------------- | ---- | ---- |
| 建立了系统管理员、审计管理员、安全管理员等账户 | | |
| 管理员账户分属于不同用户组,且所在用户组权限无交叉 | | |
| 管理账户的权限为完成工作任务所需的最小权限 | | |
1
5. **应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则**
| 要求 | 实际 | 判定 |
| ---------------------------------------------- | ---- | ---- |
| 由专门的管理员对访问控制策略进行配置 | | |
| 不同用户组的访问控制规则设置与访问控制策略一致 | | |
| Windows默认无越权漏洞 | | |
6. **访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级**
| 要求 | 实际 | 判定 |
| --------------- | ---- | ---- |
| Windows默认符合 | | |
7. **应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问**
| 要求 | 实际 | 判定 |
| ------------------------------------------------------ | ---- | ---- |
| 设置了主机中主体、客体的安全标记 | | |
| 依据强制访问控制策略安全标记的主体对安全标记客体的访问 | | |
### 三、安全审计
1. **应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计**
| | | |
| ---- | ---- | ---- |
| | | |
| | | |
### 四、入侵防范
### 五、恶意代码防范
### 六、可信验证
### 七、数据完整性
### 八、数据保密性
### 九、数据备份恢复
### 十、剩余信息保护

69
过程文档.md Normal file
View File

@ -0,0 +1,69 @@
# 欣欣晶智
### 工程公司
高健
### 测评机构
测评一部 文军日
测评二部 杨林
市场部 杜仁伟
商务部 李萍
质检部 李雪莹
入场之前确认是不是签合同了
三级系统不允许放弃漏扫和渗透
如有自愿放弃的需要些自愿放弃验证测试声明,并盖章
服务评价表,我司人员需要与登记表中的一致
![image-20241223135014739](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/20241223135014916.png)
上述文件需要双方盖章
项目经理就是负责人
过程文档
1. 项目计划书(制定人:项目经理、审核人:金玉平;测评方信息:联系人:项目经理,组长:项目经理,组员:其他人)
2. 测评项数,项目数要一致
3. 技术和管理要分开
4. 情况调查表:理论上由客户填写、调研时间要在项目计划书之后
- 单位所属类型不知道去企查查上搜
- 负责人按照网络安全领导小组的红头文件填写,没有网络安全领导小组的红头文件等保过不去
- 联系人协调人就填现场配合的同志
- 等级测评基本信息表中的被测单位联系人与情况调查表中的联系人要一致
- 参与人员名单附录A 安全相关人员
- 物理环境情况附录A 物理机房
- 被测对象基本情况:信息安全等级保护备案证明
- 附录B
- 基本信息表安全评测等级
- 重要程度
-