安全子类--身份鉴别
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
一、测评对象
终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统) 、网络设备(包括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等
二、测评实施
1) 应核查用户在登录时是否采用了身份鉴别措施;
APPCommon
【尝试以合法和非法用户分别登录系统,查看是否成功,验证其身份标识和鉴别功能是否有效;如果是B/S应用系统,测试应用系统是否能够不登录而跨越验证界面直接通过URL访问应用系统功能模块,是否能够在注销退出后通过浏览器“后退”重新进入应用系统;】
2) 应核查用户列表确认用户身份标识是否具有唯一性;
Windows
【cmd->net user 用户名;】
Linux
【执行cat /etc/shadow,查看用户名后无“*”号和“!”号的可登录账户有哪些,可登录账户用户名后的密码字段是否为空(“*”表示该账户未启用;“!!”表示该账户暂未进行密码设置或该账户已锁定,同样不能登录系统)】
Oracle
【检查是否存在空口令或默认口令的账户select username,password from dba_users;】
APPCommon
【请应用系统管理员配合验证身份标识唯一性的检查功能是否启用,可通过在创建用户时输入已经存在的用户名进行验证;】
3) 应核查用户配置信息或测试验证是否不存在空口令用户;
APPCommon
【利用口令暴力破解等工具对应用系统进行测试,检查应用系统是否存在弱口令和空口令用户;】
4) 应核查用户鉴别信息是否具有复杂度要求并定期更换。
Windows
【查看用户上次更换口令时间;点击“开始→程序→管理工具→本地安全策略→安全设置→帐户策略→密码策略”,查看密码安全设置情况;】
Linux
【查看口令策略设置,执行cat /etc/login.defs,查看以下参数配置:
PASS_MIN_DAYS(密码有效期的最小天数,默认值0)
PASS_MAX_DAYS(密码有效期的最大天数,默认值99999)
PASS_WARN_AGE(提前多少天警告用户口令将过期,默认值7)
PASS_MIN_LEN(口令最小长度,默认值5)
其中有“#”注释掉的不起作用,前三项设置也可以通过shadow文件的第4、5、6字段体现出来;由于login.defs对root账户无效,因此如果仅以root账户进行管理,应记录/etc/shadow的设置。
查看口令复杂度设置,执行cat /etc/pam.d/system-auth,是否在“password requisite pam_cracklib.so”之后设置了以下参数:
minlen(口令最小长度)
lcredit(小写字母)
ucredit(大写字母)
dcredit(阿拉伯数字)
ocredit(其它字符)
difok(有几个字符和上一密码不同,默认值为5,或有1/2的字符与之前不同)】
Oracle
【select * from sys.dba_profiles;
select name,ptime from user;(CTIME:创建时间、PTIME:修改时间、EXPTIME:过期时间、LTIME:锁定时间)
检查Oracle是否启用口令复杂度函数。
select limit from dba_profiles where profile='DEFAULT' and resource_name='PASSWORD_VERIFY_FUNCTION';
查看该口令复杂度函数的中对长度的要求:
select text from dba_source where name= ‘PASSWORD_VERIFY_FUNCTION’ order by line;查看其中length(password)的取值;或查看utlpwdmms.sql中“—Check for the minimum length of the password”部分中“length(password)<”后的值。】
SQL Server
【在Microsoft SQL Server Management Studio中登录服务器,右键点击服务器,选择“属性”,选择“安全性”项,查看服务器身份验证。
在Microsoft SQL Server Management Studio中选择服务器组并展开,选择“安全性->登录名”项,右键点击管理员用户的“属性”,在“常规”中 查看“强制实施密码策略”和“强制密码过期”(此项仅与Windows 2003 Server版本联动)。】
APPCommon
【请应用系统管理员配合验证鉴别信息复杂度的检查功能是否启用,可通过在创建用户时输入简单口令等方式进行验证;】
三、单元判定
如果 1)~4) 均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
四、高风险判定
【设备存在弱口令】
判例内容:网络设备、安全设备、操作系统、数据库等存在空口令或弱口令帐户,并可通过该弱口令帐户登录,可判定为高风险。
适用范围:所有系统。
满足条件(同时):1、存在空口令或弱口令帐户;2、可使用该弱口令帐户登录。
【应用系统口令策略缺失】
判例内容:应用系统无任何用户口令复杂度校验机制,校验机制包括口令的长度、复杂度等,可判定为高风险。
适用范围:所有系统
满足条件(同时):1、应用系统无口令长度、复杂度校验机制;2、可设置6位以下,单个数字或连续数字或相同数字等易猜测的口令。
【应用系统存在弱口令】
判例内容:应用系统存在易被猜测的常用/弱口令帐户,可判定为高风险。
适用范围:所有系统。
满足条件:通过渗透测试或常用/弱口令尝试,发现应用系统中存在可被登录弱口令帐户。
b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
一、测评对象
终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟网络设备) 、安全设备(包括虚拟安全设备) 、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等。
二、测评实施:
1) 应核查是否配置并启用了登录失败处理功能;
Windows
【点击“开始→程序→管理工具→本地安全策略→安全设置→帐户策略→帐户锁定策略”,查看帐户锁定安全设置情况。】
Linux
【执行cat /etc/pam.d/system-auth,是否在“auth required pam_env.so”之后配置了:
auth required pam_tally.so deny=* onerr=fail no_magic_root unlock_time=*
deny=n时,连续n次登录失败后账户锁定,unlock_time表示账户锁定之后的自动解锁时间。(在/etc/passwd中查看账户的UID,“no_magic_root”表示如果这个模块是由一个uid=0的用户触发,那么计数器就增加。)
如果采用ssh登录,部分系统需在sshd里面设置如下:
auth required pam_tally.so onerr=fail no_magic_root
account required pam_tally.so deny=3 no_magic_root even_deny_root_account per_user reset
并且pam_tally无法自动清除错误登录次数,需手动执行:
pam_tally --user root --reset
在本地文本终端上做限制,应配置login文件;只在远程telnet、ssh登陆上做限制,应配置remote和sshd;
执行cat /etc/ssh/sshd_config中参数MaxAuthTries的设置(未被注释的情况下,达到设定次数后断开本次连接,需重新建立SSH连接方可再次进行登录尝试)。】
AIX
【①询问操作系统管理员是否采取措施实现登录失败处理。使用命令“cat /etc/security/user | more”查看文件中的“loginretries”参数设置,该参数表示从该用户上次成功登录系统到该用户被锁定这段时间内,允许该用户登录系统的失败次数。
② 使用命令“cat /etc/security/login.cfg”查看文件中各参数设置情况:
Logindisable(定义未成功登录多少次后该终端被锁定);
loginreenable(指该终端被锁住到自动解锁之间的时间,以分钟计算,默认为0,表示不会自动解锁,必须由系统管理员解锁);
Logindelay(定义未成功登录间的延迟时间,单位为秒。延迟时间是该属性值与不成功次数的乘积,如该值为2,则第一次登录失败之后延迟2秒才能再次尝试登录,第二次是4秒,然后6秒);
Logininterval(假如设定logindisable为3次,则在logininterval这段时间内必须出现三次登录失败才锁定登录端口,该参数单位为秒)。】
Solaris
【①询问系统管理员是否采取措施实现登录失败处理。在终端上输入“cat /etc/security/policy.conf”,查看其中的“Lock_After_Retries”参数设置。
②查看/etc/default/login中有没有将最大失败登录次数RETRIES=*,帐户锁定时间DISABLETIME=*,登录会话超时参数TIMEOUT=*,前的注释号去掉,查看参数设置值。新建用户尝试登录失败处理策略的有效性。】
Oracle
【执行select limit from dba_profiles where profile='DEFAULT' and resource_name='FAILED_LOGIN_ATTEMPTS';
查看管理员账户所对应概要文件的FAILED_LOGIN_ATTEMPTS(登录失败次数)的参数值。
执行select limit from dba_profiles where profile='DEFAULT' and resource_name='PASSWORD_LOCK_TIME';
查看管理员账户所对应概要文件的PASSWORD_LOCK_TIME(锁定时间)的参数值。】
SQL Server
【在Microsoft SQL Server Management Studio中登录服务器并展开,右键点击服务器,选择“属性”,选择“高级”项,查看登录超时设定。也可在Microsoft SQL Server Management Studio的查询中输入命令:“sp_configure”查看数据库启动的配置参数;其中remote login timeout为远程登录超时设定。】
MySQL
【MySQL默认无登录失败处理功能。】
2) 应核查是否配置并启用了限制非法登录功能,非法登录达到一定次数后采取特定动作,如账户锁定等;
3) 应核查是否配置并启用了登录连接超时及自动退出功能。
Windows
【查看登录终端是否开启了带密码的屏幕保护功能;打开“组策略”,在“计算机配置”、“管理模板”、“Windows 组件”、“终端服务”、“会话”中,查看在“空闲会话限制”中,是否配置了空闲的会话(没有客户端活动的会话)继续留在服务器上的最长时间;】
Linux
【查看/etc/profile文件中"HISTSIZE="后是否对TMOUT的限定值做了设置(此参数对SSH和Telnet方式远程均起作用。默认无空闲超时锁定,TMOUT的值可限制su成其他帐户后操作空闲超时和SSH远程登录的操作空闲超时)。
使用命令“cat /etc/ssh/sshd_config”命令查看sshd_config文件中参数“ ClientAliveInterval”和“ClientAliveCountMax”有没有被注释掉,若没有,记录其参数值。(ClientAliveInterval指定了服务器端向客户端请求消息的时间间隔, 默认是0, 不发送。ClientAliveCountMax表示服务器发出请求后客户端没有响应的次数,默认为3,达到一定值, 就自动断开。)】
AIX
【①查看文件/etc/profile文件中TMOUT参数的设置情况(此参数可以控制telnet远程连接空闲操作超时,单位为秒)。
②使用命令“cat /etc/ssh/sshd_config”命令查看sshd_config文件中参数“ ClientAliveInterval”和“ClientAliveCountMax”有没有被注释掉,若没有,记录其参数值。注意:这两个参数仅对SSH-2有效(ClientAliveInterval设置一个以秒记的时长,如果超过这么长时间没有收到客户端的任何数据,sshd将通过安全通道向客户端发送一个“alive”消息,并等候应答,默认值 0 表示不发送"alive"消息;ClientAliveCountMax表示sshd在未收到任何客户端回应前最多允许发送多少个"alive"消息。默认值是 3,到达这个上限后,sshd将强制断开连接、关闭会话。例如: ClientAliveInterval设为 15, ClientAliveCountMax保持为默认值,那么无应答的客户端会在45秒后被强制断开。)。】
Solaris
【使用命令“cat /etc/ssh/sshd_config”命令查看sshd_config文件中参数“ ClientAliveInterval”和“ClientAliveCountMax”有没有被注释掉,若没有,记录其参数值。(ClientAliveInterval指定了服务器端向客户端请求消息的时间间隔, 默认是0, 不发送。ClientAliveCountMax表示服务器发出请求后客户端没有响应的次数,默认为3,达到一定值, 就自动断开。)】
Oracle
【输入命令:select username,profile from dba_users;查看管理员账户所对应的概要文件。
输入命令:select * from sys.dba_profiles;查看管理员账户所对应概要文件的CONNECT_TIME(连接时间)、IDLE_TIME(空闲时间)。】
SQL Server
【在Microsoft SQL Server Management Studio中登录服务器并展开,右键点击服务器,选择“属性”,选择“连接”项,查看查询超时设定。也可在Microsoft SQL Server Management Studio的查询中输入命令:“sp_configure”查看数据库启动的配置参数;其中remote query timeout远程查询超时设定。】
MySQL
【show variables;查看wait_timeout项。】
三、单元判定
如果 1)~3) 均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
四、高风险判定
判例内容:可通过互联网登录的应用系统未提供任何登录失败处理措施,攻击者可进行口令猜测,可判定为高风险。
适用范围:3级及以上系统。
满足条件:1、3级及以上系统;2、可通过互联网登录,且对帐号安全性要求较高,如帐户涉及金融、个人隐私信息、后台管理等;3、对连续登录失败无任何处理措施;4、攻击者可利用登录界面进行口令猜测。
c) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
一、测评对象
终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统) 、网络设备(包括虚拟网络设备) 、安全设备(包括虚拟安全设备) 、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等。
二、测评实施
应核查是否采用加密等安全方式对系统进行远程管理,防止鉴别信息在网络传输过程中被窃听。【检查远程管理时管理员所使用的管理协议,查看传输过程中的鉴别信息是否是经过加密处理的、抗重放的,并可使用抓包工具,判断管理员远程管理时传输过程中的鉴别信息被窃听的可能性。】
三、单元判定
如果以上测评实施内容为肯定,则符合本单元测评指标要求,否则不符合本单元测评指标要求。
四、高风险判定
判例内容:通过不可控网络环境远程管理的网络设备、安全设备、操作系统、数据库等,鉴别信息明文传输,容易被监听,造成数据泄漏,可判定为高风险。
适用范围:所有系统。
满足条件(同时):1、通过不可控网络环境远程进行管理;2、管理帐户口令以明文方式传输;3、使用截获的帐号可远程登录。
d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
一、测评对象
终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等。
二、测评实施
1)应核查是否采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别技术对用户身份进行鉴别;
2)应核查其中一种鉴别技术是否使用密码技术来实现。
三、单元判定
如果 1)~2) 均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
四、高风险判定:
【设备未实现双因素认证】判例内容:重要核心设备、操作系统等未采用两种或两种以上鉴别技术对用户身份进行鉴别。例如仅使用用户名/口令方式进行身份验证,削弱了管理员账号的安全性,无法避免账号的未授权窃取或违规使用,可判定为高风险。
适用范围:3级及以上系统。
满足条件(同时):1、3级及以上系统;2、重要核心设备、操作系统等通过不可控网络环境远程进行管理;3、设备未启用两种或两种以上鉴别技术对用户身份进行鉴别;4级系统多种鉴别技术中未用到密码技术或生物技术。
【互联网可访问系统未实现双因素认证】判例内容:通过互联网方式访问,且涉及大额资金交易、核心业务等操作的系统,在进行重要操作前应采用两种或两种以上方式进行身份鉴别,如只采用一种验证方式进行鉴别,可判定为高风险。
适用范围:3级及以上系统。
满足条件(同时):1、3级及以上系统;2、通过互联网方式访问的系统,在进行涉及大额资金交易、核心业务等重要操作前未启用两种或两种以上鉴别技术对用户身份进行鉴别;4级系统多种鉴别技术中未用到密码技术或生物技术。
安全子类--访问控制
a)应对登录的用户分配账户和权限;
一、测评对象
终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统) 、网络设备(包招虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等
二、测评实施
1) 应核查是否为用户分配了账户和权限及相关设置情况;
2) 应核查是否已禁用或限制匿名、默认账户的访问权限。
Windows
【Guest账户是否已被禁用或者严格限制。】
Linux
【执行:cat /etc/shadow,查看可登录帐户中有无默认用户。(如linux 9中存在如下默认帐户:bin、daemon、adm、lp、sync、shutdown、halt、mail、news、uucp、operator、ftp、nobody、rpm、vcsa、sshd、nfsnobody、games、rpc、rpcuser、mailnull、snmsp、pcap、xfs、ntp、gdm、nscd、news、gopher等。)若存在默认帐户,记录默认帐户的权限。】
AIX
【①打开/etc/passwd和/etc/security/passwd文件,查看可登录账户中有无默认账户,如daemon、bin、sys、adm、guest、nobody、lpd、uucp,、nuucp等。若存在可登录默认账户,记录默认账户的权限。
②查看/etc/security/user文件中各用户的account_locked参数值(为TRUE时为锁定状态),记录锁定的账户。】
Solaris
【执行:cat /etc/shadow,查看可登录帐户中有无默认帐户。若存在默认帐户,记录默认帐户的权限。】
Oracle
【输入命令:select username,password from dba_users;根据列出的所有账户,查看是否存在默认账户,默认账户是否已禁用。】
SQL Server
【输入命令:“select * from syslogins”,根据所列出的账户,查看是否存在默认账户,默认账户是否已禁用。】
MySQL
【查看数据库用户列表中默认帐户root的设置情况。】
三、单元判定
如果 1)~2) 均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
四、高风险判定
判例内容:应用系统访问控制功能存在缺失,无法按照设计策略控制用户对系统功能、数据的访问;可通过直接访问URL等方式,在不登录系统的情况下,非授权访问系统功能模块,可判定为高风险。
适用范围:所有系统。
满足条件:可通过直接访问URL等方式,在不登录系统的情况下,非授权访问系统重要功能模块。
b) 应重命名或删除默认账户,修改默认账户的默认口令;
一、测评对象
终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟网络设备)、安全设备(包括虚拟安全设备) 、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等。
二、测评实施
1) 应核查是否已经重命名默认账户或默认账户已被删除;
2) 应核查是否已修改默认账户的默认口令。
Linux
【执行:cat /etc/shadow,查看可登录帐户中有无默认用户。(如linux 9中存在如下默认帐户:bin、daemon、adm、lp、sync、shutdown、halt、mail、news、uucp、operator、ftp、nobody、rpm、vcsa、sshd、nfsnobody、games、rpc、rpcuser、mailnull、snmsp、pcap、xfs、ntp、gdm、nscd、news、gopher等。)若存在默认帐户,询问口令有无更改。】
AIX
【①打开/etc/passwd和/etc/security/passwd文件,查看可登录账户中有无默认账户,如daemon、bin、sys、adm、guest、nobody、lpd、uucp,、nuucp等。若存在可登录默认账户,询问其口令有无更改。
②查看/etc/security/user文件中各用户的account_locked参数值(为TRUE时为锁定状态),记录锁定的账户。】
Solaris
【执行:cat /etc/shadow,查看可登录帐户中有无默认帐户。若存在默认帐户,询问口令有无更改。】
Oracle
【执行select username,password from dba_users;
根据列出的所有账户,查看是否存在默认账户,默认账户是否已禁用,未禁用默认账户的口令是否更改;查看数据库系统管理员账户的口令是否为空口令或弱口令,询问管理员是否加强了口令强度,并让管理员在现场登录数据库进行口令强度验证。
默认口令列表如下:
“E066D214D5421CCC”,-- dbsnmp
“24ABAB8B06281B4C”,-- ctxsys
“72979A94BAD2AF80”,-- mdsys
“C252E8FA117AF049”,-- odm
“A7A32CD03D3CE8D5”,-- odm_mtr
“88A2B2C183431F00”,-- ordplugins
“7EFA02EC7EA6B86F”,-- ordsys
“4A3BA55E08595C81”,-- outln
“F894844C34402B67”,-- scott
“3F9FBD883D787341”,-- wk_proxy
“79DF7A1BD138CF11”,-- wk_sys
“7C9BA362F8314299”,-- wmsys
“88D8364765FCE6AF”,-- xdb
“F9DA8977092B7B81”,-- tracesvr
“9300C0977D7DC75E”,-- oas_public
“A97282CE3D94E29E”,-- websys
“AC9700FD3F1410EB”,-- lbacsys
“E7B5D92911C831E1”,-- rman
“AC98877DE1297365”,-- perfstat
“66F4EF5650C20355”,-- exfsys
“84B8CBCA4D477FA3”,-- si_informtn_schema
“D4C5016086B2DC6A”,-- sys
“D4DF7931AB130E37”,-- system。】
SQL Server
【输入命令:“select * from syslogins”查看是否存在默认账户。】
MySQL
【查看数据库用户列表中默认帐户root的设置情况。】
三、单元判定
如果1)或2) 为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
四、高风险判定
【设备默认口令处理】判例内容:网络设备、安全设备、操作系统、数据库等默认账号的默认口令未修改,使用默认口令进行登录设备,可判定为高风险。
适用范围:所有系统。
满足条件(同时):1、未修改默认帐户的默认口令;2、可使用该默认口令账号登录。
【应用系统默认口令处理不当】判例内容:应用系统默认账号的默认口令未修改,可利用该默认口令登录系统,可判定为高风险。
适用范围:所有系统。
满足条件(同时):1、未修改默认帐户的默认口令;2、可使用该默认口令账号登录。
c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在;
一、测评对象
终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统) 、网络设备(包括虚拟网络设备) 、安全设备(包括虚拟安全设备) 、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等。
二、测评实施
1) 应核查是否不存在多余或过期账户,管理员用户与账户之间是否一一对应;
2) 应测试验证多余的、过期的账户是否被删除或停用。
Linux
【使用“cat /etc/shadow”命令查询可登录帐户,根据所列出的帐户,询问操作系统管理员各个帐户的作用,判断是否存在多余的、过期的和共享帐户。】
AIX
【使用“cat /etc/passwd”命令查询可登录账户有哪些,根据所列出的账户,询问操作系统管理员各个账户的作用,判断是否存在多余的、过期的和共享账户。】
Solaris
【使用“cat /etc/shadow”命令查询可登录帐户,根据所列出的帐户,询问数据库管理员各个帐户的作用,判断是否存在多余的、过期的和共享帐户。】
Oracle
【默认情况下oracle对sys,system,dbsnmp,sysman,mgmt_view5个账户进行了解锁,确认是否有用。】
SQL Server
【输入命令:“select * from syslogins”,根据所列出的账户,询问数据库管理员各个账户的作用,是否存在多余的、过期的和共享账户。】
三、单元判定
如果 1)~2) 均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
d) 应授予管理用户所需的最小权限,实现管理用户的权限分离;
一、测评对象
终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等。
二、测评实施
1) 应核查是否进行角色划分;
2) 应核查管理用户的权限是否已进行分离,如分配成系统管理员(账号分配和功能分配等)、安全管理员(密码复杂度设置、访问控制策略配置和登录地址限制等)和审计员(审计日志查看与管理);
3) 应核查管理用户权限是否为其工作任务所需的最小权限,是否存在越权访问的现象,如系统管理员可对审计日志进行管理。
Windows
【点击“开始->管理工具->服务器管理器->配置->本地用户和组”,查看当前系统用户和组。】
Linux
【询问可su成root权限的账户,是否限制普通账户su成root。若用户声称只有wheel组用户可su成root,执行cat /etc/sudoers,查看“%wheel ALL=(ALL) ALL”是否被注释掉(若未注释掉,表示允许wheel组的成员运行所有命令)。执行cat /etc/pam.d/su,开头两行:
auth sufficient /lib/security/$ISA/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wheel的注释是否被去掉,如果注释均已去掉,则表示只有wheel组用户可以su成root。执行cat /etc/group,查看wheel组账户;
分别在root账户和普通账户下执行umask,查看umask设置(该参数决定以该用户身份创建目录或文件时,文件的默认权限);】
AIX
【查看并记录/etc/security/user文件中针对每个可登录账户的属性描述参数设置情况:
admin(是否为管理型用户,值为TRUE表示该用户是管理用户,只有root用户可以修改该管理型用户的属性);
su(是否允许其他用户用su命令切换到该用户,值为TRUE表示允许);
rlogin(能否从远程用telnet或rlogin命令以该用户的身份登录系统,值为TRUE表示可以);
umask(以该用户身份创建文件时,指出文件的默认文件权限);
admgroups(列出该用户管理的组,对于这些组,该用户可以添加、删除成员);
sugroups(列出能够使用su命令切换到该用户的组,可以在组前加上“!”表示拒绝该组)。
尤其关注root和其他管理账户。】
Solaris
【询问可su成root权限的帐户有哪些,是否限制普通帐户su成root。查看/etc/profile中umask设置,umask设置了用户创建文件的默认权限。若只允许特定组中用户使用su命令,输入“ls –al /bin/su”命令查看/bin/su 的所属组、权限设置情况(如550,即其他用户没有读(r)、写(w)和执行(x)权限)及组中用户。】
Oracle
【询问安全管理员系统安全策略,查看用户和权限是否与安全策略相一致,特权用户的权限是否进行分离,分为系统管理员、安全管理员、安全审计员等;查看是否采用最小授权原则;
执行select * from DBA_ROLE_PRIVS where GRANTED_ROLE=‘DBA’;
查看被赋予DBA角色的账户;
执行select * from dba_role_privs where GRANTEE=‘USERNAME’;
查看账户“USERNAME”所拥有的角色;
执行select * from dba_role_privs where GRANTEE=‘ROLENAME’;
查看账户“ROLENAME”所拥有的角色;
执行select * from DBA_SYS_PRIVS where GRANTEE=‘USERNAME’or GRANTEE=‘ROLENAME’;
查看账户名为“USERNAME”以及该账户拥有的角色“ROLENAME”的系统权限;
执行select * from DBA_TAB_PRIVS where GRANTEE=‘USERNAME’or GRANTEE=‘ROLENAME’;
查看账户名为“USERNAME”以及该账户拥有的角色“ROLENAME”的对象权限。
系统管理员账户不负责操作业务数据库;业务数据库管理员不应具备系统管理权限(如删除数据库、表等)。】
SQL Server
【询问数据库管理员管理账户是否按照最小权限进行划分。在Microsoft SQL Server Management Studio中的查询中输入命令:“sp_helplogins”查看所有数据库登录用户的信息及其权限。在Microsoft SQL Server Management Studio的查询中输入命令:“select * from sys.sql_logins”,查看SQL Server身份认证模式的能够登录账户,其中is_disabled值为1,则登录账户被锁定;输入命令:“select * from sys.syslogins”,查看所有登录账户,其中 “denylogin”的值为1时,拒绝账户连接到数据库引擎,“sysadmin”的值为1时,具有系统管理员权限。
sa之类的系统管理员账户不负责操作业务数据库;业务数据库管理员不应具备系统管理权限(如删除数据库、表和存储过程等)】
MySQL
查看数据库管理员管理帐户是否按照最小权限进行划分。
输入命令:use mysql; select * from user;查看数据库用户各用户及权限。
三、单元判定
如果 1)~3) 均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
一、测评对象
终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统) 、网络设备(包括虚拟网络设备) 、安全设备(包括虚拟安全设备) 、移动终端、移动终端管理系统、移动终端管理客户端、业务应用系统、数据库管理系统、中间件和1 系统管理软件及系统设计文挡等
二、测评实施
1) 应核查是否由授权主体(如管理用户)负责配置访问控制策略,询问管理员具体的管理授权人员或部门;
2) 应核查授权主体是否依据安全策略配置了主体对客体的访问规则;
3) 应测试验证用户是否有可越权访问情形,检查各账户是否只能对自己得被授权模块进行访问,尝试能否以系统账户访问非授权的功能模块。
三、单元判定
如果 1)~3) 均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
f) 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
一、测评对象
终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟网络设备) 、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文挡等
二、测评实施
应核查访问控制策略的控制粒度是否达到主体为用户级或进程级,客体为文件、数据库表、记录或字段级。
NET
【网络设备查看访问控制的粒度是否达到主体为用户级,客体为设备中的各功能模块。】
Windows
【查看重要文件的访问权限是否进行了限制,如%systemdrive%windowssystem、%systemroot%system32config、重要应用程序所在文件夹内的文件等。右键选择“属性”>“安全”,查看everyone组、users组和administrators组的权限设置;】
Linux
【切换到文件相应目录下,执行ls –l,查看系统目录/etc/environment、/etc/group、/etc/hosts.allow、/etc/hosts.deny、/etc/login.defs、/etc/passwd、/etc/profile、/etc/resolv.conf、/etc/services、/etc/shadow、etc/syslog.conf、/etc/xinet.conf、/etc/ssh/sshd_config、/etc/sysconfig/network、/etc/audit/auditd.conf、/etc/audit/audit.rules等文件的权限;】
AIX
【使用命令“cd /etc”命令切换到目录/etc下,使用“ls –l”命令查看并记录此目录下文件/etc/environment、/etc/group、/etc/hosts.equiv 、/etc/inetd.conf 、/etc/passwd、/etc/profile 、/etc/rc.tcpip的属性设置;然后使用命令“cd security”切换到/etc/security目录下,使用“ls –l”命令查看文件/etc/security/login.cfg 、/etc/security/passwd、/etc/security/user的属性设置,同理,查看文件/etc/ssh/sshd_config和目录/var/adm的权限设置。严格限制以上文件和目录写权限的赋予。】
Solaris
【使用“ls –l”命令查看系统目录如/etc、/etc/default 、/bin、/var等的权限设置,使用“ls –l 文件名”命令对重要文件如/etc/passwd、/etc/shadow、/etc/group等的权限进行查看。】
Oracle
【询问数据库管理员数据库是否具有重要的表
执行select * from dba_tab_privs where table_name = A;
查看重要的表的访问控制权限,其中A为重要的表如“AUD$”等。】
SQL Server
【询问数据库管理员是否具有安全策略,数据库是否具有重要的表。在企业管理器中右键点击重要的表,查看其权限。】
三、单元判定
如果以上测评实施内容为肯定,则符合本单元测评指标要求,否则不符合本单元测评指标要求。
g) 应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
一、测评对象
终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统) 、网络设备(包括虚拟网络设备) 、安全设备(包括虚拟安全设备) 、移动终端、移动终端管理系统、移动终端管理客户端、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文挡等。
二、测评实施
1) 应核查是否对重要主体和客体设置了安全标记;
2) 应测试验证是否依据主体、客体安全标记控制主体对客体访问的强制访问控制策略。
三、单元判定
如果 1)~2) 均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
安全子类--安全审计
- 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
- 测评对象
终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟网络设备)、安全设备(包括虚拟安全设备) 、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等。
二、测评实施
1) 应核查是否开启了安全审计功能;
2) 应核查安全审计范围是否覆盖到每个用户;
3) 应核查是否对重要的用户行为(成功登录、失败登录、退出登录和配置更改等)和重要安全事件进行审计。
Windows
查看是否开启了安全审计功能,询问并查看是否有第三方审计工具或系统;
点击“开始→管理工具→本地安全策略→本地策略→审核策略”,查看审计内容安全设置(Windows 2008及以上版本默认记录了有的事件)。
Linux
执行ps –ef|grep syslogd和ps –ef|grep auditd,或首先执行runlevel查看系统的运行级别,然后执行chkconfig --list syslog和chkconfig --list auditd,查看对应运行级别的syslog日志服务和auditd审计服务是否启用;
在/var/log文件中查看操作系统日志,是否包含登录日志utmp(记录当前登录的每个用户)、wtmp(用户每次登录和退出时间的记录)和lastlog(最近几次成功登录和最后一次不成功的登录)、bootlog、消息日志messages、安全日志secure、守护进程日志cron等重要日志文件,使用who、last或cat命令验证其中重要日志文件记录的内容;
查看/var/log/audit下是否存在audit.log日志文件,使用cat命令查看其中内容;
执行cat /etc/syslog.conf,分析是否包含了以下审计内容(日志目标文件可自定义):
authpriv.*(认证系统的所有级别事件)
kern.warning(系统内核警告及以上级别事件)
cron.*(守护进程的所有级别事件)
mail.*(电子邮件系统的所有级别事件)
*.info;mail.none;authpriv.none;cron.none(除邮件系统、认证系统、守护进程之外的所有事件来源类型的情报信息及以上级别事件)
*.emerg(所有事件来源类型的紧急级别事件)
Local7.*(与系统导入有关的所有级别事件)
查看并记录/etc/audit/audit.rules文件设置情况,分析是否包含了如下配置内容:
-w /var/log/audit/ -k LOG_audit(审计对文件/var/log/audit/的写动作)
-w /etc/audit/ -p wa -k CFG_audit(审计对目录/etc/audit/的写动作)
-w /etc/group -p wa -k CFG_group(审计对文件/etc/group的写动作)
-w /etc/passwd -p wa -k CFG_passwd(审计对文件/etc/passwd的写动作)
-w /etc/shadow -k CFG_shadow (审计对文件/etc/shadow的写动作)
-w /etc/login.defs -p wa -k CFG_login.defs(审计对文件/etc/ login.defs的写动作)
-w /etc/pam.d/ -p wa -k CFG_pam (审计对目录/etc/ pam.d的写动作)
-w /etc/ssh/sshd_config -k CFG_sshd_config(审计对文件/etc/ssh/sshd_config的写动作)
-a entry,always -F arch=b32 -S mount -S umount(审计系统挂载和卸载调用的进入和退出)
-a entry,always -F arch=b32 -S mknod -S mknodat(审计创建特殊文件调用的进入和退出);
AIX
①使用命令“ps -ef | grep syslogd” 查看系统是否运行syslogd系统日志守护进程;使用命令“ps -ef | grep errdemon”,查看系统是否运行错误日志守护进程;使用命令“audit query”查询子审计系统的状态(audit可审计系统安全方面的事件,如文件的读、写等)。
②查看在目录/var/adm下是否包含如sulog(记录每次执行su命令的日志)、wtmp(账户成功登录系统的记录,为二进制文件)、messages(主要用于记录系统日志),有无/etc/security/lastlog(用户上次登录系统的信息)、/etc/security/failedlogin(记录每次失败登录系统的情况)、/var/adm/ras/errlog(系统错误日志,为二进制文件)、/var/adm/ras/bootlog(记录系统启动过程中发生的问题)等日志。
③询问操作系统管理员是否使用history命令来获取命令使用记录。
④查看系统日志配置文件/etc/syslog.conf,记录其中的配置内容。(默认情况下,syslog.conf文件没有任何内容。用户可在syslog.conf文件中定义日志的来源、日志的优先级别和发送的目的地。)
⑤查看audit审计子系统配载文件:“/etc/security/audit/config”(定义审计模式、审计类、临时文件等),“ /etc/security/audit/events”(审计的事件定义,如FILE_Open、FILE_Read、FILE_Write、PROC_Execute等)和“/etc/security/audit/objects”(审计对象的定义),记录其中的配置内容。
Solaris
①使用命令“svcs system-log”查看日志服务有没有启用。
②在目录/var下是否包含如cron、mail等日志,/var/log目录下是否包含syslog日志, /var/adm目录下是否包含utmpx(记录当前登录的每个用户)、wtmpx(用户每次登录和退出时间的记录)、lastlog(最近几次成功登录和最后一次不成功的登录)、bootlog、sulog(su命令的记录)、messages等日志,使用cat、who、last命令查看其中重要日志文件记录的内容。
③记录下操作系统所记重要日志文件名称,查看各日志文件所记录的内容。询问操作系统管理员能否使用history命令来获取命令使用记录。
④查看文件/etc/default/su中,决定是否对所有su命令使用做记录的参数“SYSLOG=”。
⑤查看文件/etc/default/login中,决定是否记录root登录参数“SYSLOG=”。
⑥查看文件/etc/default/cron中cron日志开启参数“CRONLOG=”。
⑦打开/etc/syslog.conf文件,记录其中配置,分析查看操作系统都对哪些事件进行了审计。
Oracle
执行show parameters audit_trail;或select value from v$parameter where name=‘audit_trail’;
Audit_trail的值:
“None”:是默认值,不做审计;
“DB”:将audit trail 记录在数据库的审计相关表中,如aud$,审计的结果只有连接信息;
“DB,Extended”:这样审计结果里面除了连接信息还包含了当时执行的具体语句;
“OS”:将audit trail 记录在操作系统文件中,文件名由audit_file_dest参数指定;
查看系统的审计功能是否开启;
执行show parameter AUDIT_SYS_OPERATIONS;
默认情况下,oracle会自动审计具有SYSOPER、SYSDBA权限用户所执行的特权操作,即连接数据库、关闭启动数据库并将特权操作的相关记录记录到操作系统审计跟踪中,如果要审计特权用户的其他数据库操作,就必须将初始化参数AUDIT_SYS_OPERATIONS设置成TRUE;
若参数AUDIT_TRAIL设置为TRUE:
执行show parameter audit_sys_operations;
查看是否对所有sys用户的操作进行了记录;
执行select sel,upd,del,ins from DBA_OBJ_AUDIT_OPTS;
查看是否对sel,upd,del,ins操作进行了审计;
执行select * from DBA_STMT_AUDIT_OPTS;
查看审计是否设置成功;
执行select * from DBA_PRIV_AUDIT_OPTS;
查看针对权限的审计规则配置情况。
SQL Server
在Microsoft SQL Server Management Studio中登录服务器并展开,右键点击服务器,选择“属性”,选择“安全性”项,查看登录审核和是否启用C2 审计跟踪。也可在Microsoft SQL Server Management Studio的查询中输入命令:“sp_configure”查看“c2 audit mode”项的值,“0”是未开启C2审计,“1”是开启C2审计。
SQL Server数据库的审计内容包括SQL Server日志和应用程序日志。SQL Server的SQL Server日志可通过Microsoft SQL Server Management Studio进行查看,展开服务器点击“管理-〉SQL Server 日志";SQL Server的应用程序日志可通过操作系统的日志进行查看。
MySQL
查看MySQL数据库各审计日志是否开启。
输入命令:
show variables;
查看log,log_bin,log_slow_queries,log_error等项;查看在操作系统中MySQL日志文件的内容,各日志文件默认存储在data文件夹中。
三、单元判定
如果 1)~3) 均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。使用堡垒机或其他第三方审计工具进行日志审计,能有效记录用户行为和重要安全事件,可视为等效措施,判符合。
四、高风险判定
【设备未开启安全审计措施】判例内容:重要核心网络设备、安全设备、操作系统、数据库等未开启任何审计功能,无法对重要的用户行为和重要安全事件进行审计,也无法对事件进行溯源,可判定为高风险。
适用范围:3级及以上系统。
满足条件(同时):1、3级及以上系统;2、重要核心网络设备、安全设备、操作系统、数据库等未开启任何审计功能,无法对重要的用户行为和重要安全事件进行审计;3、无其他技术手段对重要的用户行为和重要安全事件进行溯源。
【应用系统无安全审计措施】判例内容:应用系统(包括前端系统和后台管理系统)无任何日志审计功能,无法对用户的重要行为进行审计,也无法对事件进行溯源,可判定为高风险。
适用范围:3级及以上系统。
满足条件(同时):1、3级及以上系统;2、应用系统无任何日志审计功能,无法对用户的重要行为进行审计;3、无其他技术手段对重要的用户行为和重要安全事件进行溯源。
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
- 测评对象
终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统) 、网络设备(包招虚拟网络设备) 、安全设备(包括虚拟安全设备) 、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等。
二、测评实施
应核查审计记录信息是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
Windows
【点击“我的电脑”,选择“管理”打开“计算机管理”窗口,点击系统工具/事件查看器,分别查看系统、应用程序、安全、Setup、转发的事件等方面的审计要素。】
Linux
【查看审计日志的内容,分析其是否包括事件的日期和时间、用户、事件类型、事件是否成功等,more /var/log/audit.d。】
AIX
【使用cat或tail -100等命令查看sulog、messages等日志文件的内容;使用last命令查看wtmp日志;使用“errpt|more”命令查看错误日志;使用“auditpr –v @AIX@
Oracle
【输入命令:select timestamp#,action#,terminal,userid from sys.aud$;查看Oracle数据库记在表SYS.AUD$中各项审计要素。】
三、单元判定
如果以上测评实施内容为肯定,则符合本单元测评指标要求,否则不符合本单元测评指标要求。
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
一、测评对象
终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统) 、网络设备(包招虚拟网络设备) 、安全设备(包括虚拟安全设备) 、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等。
二、测评实施
1) 应核查是否采取了保护措施对审计记录进行保护,测试是否可以避免审计记录受到未预期的删除、修改或覆盖等;
2) 应核查是否采取技术措施对审计记录进行定期备份,并核查其备份策略,查看审计日志保存时间是否大于6个月。
Linux
【执行cat /etc/syslog.conf,查看是否将syslog日志发送至备份地址,记录其IP并核实。】
AIX
【使用“ls -l 日志文件名称”命令查看各类日志文件的权限设置;询问审计日志的保存方式和备份机制;使用“/usr/lib/errdemon –l”命令查看并记录错误日志的属性信息。】
Solaris
【询问审计日志的保存方式,并查看个日志文件的权限设置。查看并记录/etc/logadm.conf文件的配置内容,分析日志文件的备份情况。】
Oracle
询问数据库管理员采取何种措施对审计记录进行保护,是否对审计数据进行备份。是否采用Oracle Audit Vault等严格限制用户访问审计记录的权限。
查看归档模式设置必须以SYSDBA连接数据库,输入命令:archive log list;查看Oracle数据库是否启用了归档模式。
SQL Server
【询问数据库管理员采取何种措施对审计记录进行保护,是否对审计数据进行备份。SQL Server 的审计日志可通过Microsoft SQL Server Management Studio进行定期导出备份,展开服务器点击“管理-〉维护计划";选择计划内容对配置信息进行查看。】
MySQL
【询问数据库管理员对日志文件进行管理的方式,查看各审计日志的访问权限,MySQL数据库默认操作系统授权用户可任意修改和删除日志文件。】
三、单元判定
如果 1)~2) 均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
四、高风险判定:
判例内容:《网络安全法》要求“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”;因此,如相关设备日志留存不满足法律法规相关要求,可判定为高风险。
适用范围:3级及以上系统。
满足条件:1、3级及以上系统;2、对网络运行状态、网络安全事件等日志的留存不满足法律法规规定的相关要求(不少于六个月)。
d) 应对审计进程进行保护,防止未经授权的中断。
一、测评对象
终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟网络设备) 、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等。
- 测评实施
应测试验证通过非审计管理员的其他账户来中断审计进程,验证审计进程是否受到保护。
三、单元判定
如果以上测评实施内容为肯定,则符合本单元测评指标要求,否则不符合本单元测评指标要求。
安全子项--入侵防范
a)应遵循最小安装的原则,仅安装需要的组件和应用程序;
一、测评对象
终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备和控制设备等。
二、测评实施
1) 应核查是否遵循最小安装原则;
2) 应核查是否未安装非必要的组件和应用程序。
Windows
【点击“开始→设置→控制面板→添加或删除程序→添加/删除Windows组件”,记录系统组件实际安装情况,检查是否有无用的组件;点击“开始→设置→控制面板→添加或删除程序”查看当前系统软件的安装情况,检查是否有无用或多余的软件;】
Linux
【使用“rpm -qa”、“yum list installed”命令查看操作系统软件安装情况;】
AIX
【查看操作系统中有无安装多余的应用程序;使用“lslpp –l”命令查看操作系统软件安装情况;】
Solaris
【使用命令“Pkginfo –l|more”查看软件包安装情况。】
- 单元判定
如果1)和2) 均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
b) 应关闭不需要的系统服务、默认共享和高危端口
一、测评对象
终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统) 、网络设备(包括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备和控制设备等。
二、测评实施
1) 应核查是否关闭了非必要的系统服务和默认共享;
2) 应核查是否不存在非必要的高危端口。
Windows
【通过“net start”;“net share”命令,查看系统启用服务列表、开放共享的情况,检查是否存在无用的服务或共享,如Alerter、Remote Registry Service、Messenger、Task Scheduler等;
通过“netstat –an”检查是否存在无用的高危端口,如139、445。】
Linux
【执行service --status-all | grep running查看并确认是否已经关闭危险的网络服务,如telnet、echo、shell、login、finger、r命令等;是否关闭非必需的网络服务如talk、ntalk、pop-2、Sendmail、Imapd、Pop3d等;
执行netstat –antp,查看端口的开放情况;】
AIX
【使用“lssrc –a”命令查看所有SRC管理的服务的开启状况,使用“lssrc -l -s inetd”命令查看inetd的状态以及由INETD启动的服务的状态,关注telnetd、ftpd、rlogind、rshd、sendmail、SNMP、DNS等服务有无开启;使用命令“lssrc –g nfs”查看Nfs服务有无开启,询问所开启服务有无开启的必要。
使用“netstat –an | more”命令查看端口的开放情况。】
Solaris
【①查看telnet、ftp等服务开启情况:/etc/inetd.conf。使用“svcs”命令查看操作系统服务开启状况。
②使用netstat –an来查看端口的开放情况。】
三、单元判定
如果1)和2) 均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
四、高风险判定
判例内容:网络设备、安全设备、操作系统等存在多余系统服务/默认共享/高危端口存在,且存在可被利用的高危漏洞或重大安全隐患,可判定为高风险。
适用范围:所有系统。
满足条件:网络设备、安全设备、操作系统上的多余系统服务/默认共享/高危端口存在可被利用的高风险漏洞或重大安全隐患。
c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
一、测评对象
终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统) 、网络设备(包括虚拟网络设备) 、安全设备(包括虚拟安全设备) 、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备和控制设备等。
二、测评实施
应核查配置文件或参数是否对终端接入范围进行限制。
Windows
【查看是否开启主机防火墙或TCP/IP筛选功能。】
Linux
【查看在/etc/hosts.allow和/etc/hosts.deny文件中是否限制了可采用SSH或Telnet等方式远程登录该操作系统的主机地址;
若安装了SSH,查看/etc/ssh/sshd_config文件“PermitRootLogin”语句是否被注释掉,若没有查看值为“yes”还是“no”(此行被注释掉时root默认可以ssh远程登录)。查看配置文件中是否对用户或组的ssh登录作限制,即是否设定“AllowUsers”、“AllowGroups”或“DenyUsers”、“DneyGroups”,并进行记录;】
AIX
【①查看在/etc/hosts.equiv文件中是否加入了可信任主机或用户(“+”表示信任该计算机/用户,被信任主机上的用户无需提供密码即可执行rlogin等远程指令。如果计算机名和用户都没有在/etc/hosts.equiv中被定义为受信任的,那么它们就是不受信任的。另外,“-”表示明确地禁止对计算机/用户的信任,即需要口令才能执行远程命令。)。询问操作系统管理员有没有安装Tcp_Wrapper等软件来限制可远程登录服务器的IP地址(AIX默认没有限制可远程登录IP地址的配置文件)。
②询问账户root可否远程登录。查看/etc/security/user中rlogin、logintimes的设置情况。
③若安装了SSH(AIX默认没有安装SSH),查看/etc/ssh/sshd_config文件 “PermitRootLogin ”语句有没有被注释掉,若没有查看值为 “yes”还是“no”(此行被注释掉时root默认不可ssh远程登录)。查看最大的失鉴别次数:MaxAuthTries值。查看配置文件中有没有对用户或组的ssh登录作限制,即有没有设定“AllowUsers”、“AllowGroups”或“DenyUsers”、“DneyGroups”,并作记录。】
Solaris
【查看在/etc/hosts.allow,/etc/hosts.deny和/etc/ssh/sshd_config文件中是否对可远程登录操作系统的主机或帐户进行了限制。】
Oracle
【询问数据库管理员是否对终端接入方式、网络地址范围等条件限制终端登录;查看操作系统$ORACLE_HOME etworkadmin目录下的SQLNET.ORA文件。
SQLNET.ORA文件中tcp.validate_checking=yes,通过tcp.invited_nodes=(IP1、IP2…)限定了允许的IP,通过tcp.excluded_nodes=(IP3、IP4…)限制了不允许的IP。
备注:SQLNET.ORA文件中tcp.validate_checking=yes表示启动地址检查功能;tcp.invited_nodes=(IP1、IP2…)表示允许IP1、IP2等地址进行访问,tcp.excluded_nodes=(IP3、IP4…)表示拒绝IP3、IP4等地址进行访问。】
MySQL
【询问数据库管理员是否对终端接入方式、网络地址范围等条件限制终端登录;
输入命令:use mysql; select * from user;
查看数据库用户各用户的登录限制,例如“root@localhost”中localhost为帐户root的登录限制。】
三、单元判定
如果以上测评实施内容为肯定,则符合本单元测评指标要求,否则不符合本单元测评指标要求。
四、高风险判定
判例内容:通过不可控网络环境远程管理的网络设备、安全设备、操作系统、数据库等,未采取技术手段对管理终端进行限制,可判定为高风险。
适用范围:3级及以上系统。
满足条件(同时):1、3级及以上系统;2、可通过不可控网络环境远程进行管理;3、未采取技术手段对管理终端进行管控(管控措施包括但不限于终端接入管控、网络地址范围限制、堡垒机等。
d) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;
一、测评对象:
业务应用系统、中间件和系统管理软件及系统设计文档等
二、测评实施
1) 应核查系统设计文档的内容是否包括数据有效性检验功能的内容或模块;
2) 应测试验证是否对人机接口或通信接口输入的内容进行有效性检验。
APPCommon
【询问应用系统管理员,应用系统中的数据有效性检验功能,并适当验证应用系统对输入数据有效性检验功能是否正确,如条件允许,可尝试在数值型输入域中输入字母,或在规定长度的输入域中输入超长字符,可验证B/S应用系统是否过滤输入字符中的危险字符,如SQL注入(1’ or ‘1’=’1)、javascript脚本
e) 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
一、测评对象
终端和服务器等设备中的操作系统( 包括宿主机和虚拟机操作系统)、网络设备(包招虚拟网络设备) 、安全设备(包括虚拟安全设备) 、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件等。
二、测评实施
1) 应通过漏洞扫描、渗透测试等方式核查是否不存在高风险漏洞。
2) 应核查是否在经过充分测试评估后及时修补漏洞。
Windows
【“开始”>“设置”>“控制面板”>“添加删除程序”>“更改或删除程序”,记录系统安全补丁编号KBxxxxxx。
点击“开始->管理工具->服务器管理器”,查看“安全信息”,其中包含Windows升级设置和最后一次更新时间。】
Linux
【询问系统管理员是否部署有升级服务器。使用“rpm –qa|grep patch”命令查看操作系统升级包安装情况。】
AIX
询问操作系统是否升级,是否有升级服务器。使用“Instfix –i|grep ML”查看系统补丁安装情况,或“lslpp -Bl Uxxxxxx(Uxxxxxx 是补丁程序的ID。例: lslpp -Bl U465241 命令可用于查看系统中是否安装了ID为U4652241的补丁程序。)
Solaris
询问操作系统是否升级,是否有升级服务器。使用“showrev –p”命令查看操作系统已安装的补丁,使用命令“Pkginfo –l|more”查看软件包安装情况。
查看操作系统banner信息:cat /etc/motd
三、单元判定
如果 1)~2) 均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
四、高风险判定
【互联网设备未修补已知重大漏洞】判例内容:对于一些互联网直接能够访问到的网络设备、安全设备、操作系统、数据库等,如存在外界披露的重大漏洞,未及时修补更新,无需考虑是否有POC攻击代码,可判定为高风险。
适用范围:所有系统。
满足条件(同时):1、该设备可通过互联网访问;2、该设备型号、版本存在外界披露的重大安全漏洞;3、未及时采取修补或其他有效防范措施。
【内部设备存在可被利用高风险】判例内容:通过验证测试或渗透测试能够确认并利用的,可对网络设备、安全设备、操作系统、数据库等造成重大安全隐患的漏洞(包括但不限于缓冲区溢出、提权漏洞、远程代码执行、严重逻辑缺陷、敏感数据泄露等),可判定为高风险。
适用范围:所有系统。
满足条件(同时):1、存在可被利用的高风险漏洞;2、通过验证测试或渗透测试确认该高风险漏洞可能对该设备造成重大安全隐患。
【应用系统存在可被利用的高风险漏洞】判例内容:应用系统所使用的环境、框架、组件等存在可被利用的高风险漏洞,导致敏感数据泄露、网页篡改、服务器被入侵等安全事件的发生,可能造成严重后果的,可判定为高风险。
适用范围:所有系统。
满足条件(同时):1、应用系统所使用的环境、框架、组件等存在可被利用的,可能导致敏感数据泄露、网页篡改、服务器被入侵等安全事件的发生,造成严重后果的高风险漏洞;2、无其他有效技术手段对该漏洞进行防范。
【应用系统存在严重逻辑缺陷类漏洞】判例内容:如应用系统的业务功能(如密码找回功能等)存在高风险安全漏洞或严重逻辑缺陷,可能导致修改任意用户密码、绕过安全验证机制非授权访问等情况,可判定为高风险。
适用范围:所有系统。
满足条件: 通过测试,发现应用系统的业务功能(如密码找回功能等)存在高风险安全漏洞或严重逻辑缺陷,可能导致修改任意用户密码、绕过安全验证机制非授权访问等情况。
f) 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
一、测评对象
终端和服务部等设备中的操作系统(包括宿主机和虚拟机操作系统) 、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备和控制设备等
二、测评实施
1) 应访谈并核查是否有入侵检测的措施。是否部署NIDS或NIPS,部分防火墙也具有IPS或IDS功能。
2) 应核查在发生严重入侵事件时是否提供报警。
【①访谈操作系统管理员,询问是否采取入侵防范措施(如安装软件工具来监测网络可能受到的攻击),入侵防范内容是否包括主机运行监视、资源使用、特定进程监控、入侵行为检测等方面内容;
②查看入侵防范产品的厂家、版本和安装部署情况,是否按要求(如定期或实时)进行产品升级;
③检查入侵防范系统,查看能否记录攻击者的源IP、攻击类型、攻击目标、攻击时间等,在发生严重入侵事件时是否提供报警(如声音、短信、EMAIL等)。】
Linux
【是否启用了主机防火墙、TCP SYN保护机制等设置,并使用“iptables -L”命令查看防火墙设置规则;检查是否安装了以下主机入侵检测软件Dragon Squire by Enterasys Networks、ITA by Symantec、Hostsentry by Psionic Software、Logcheck by Psionic Software、RealSecure agent by ISS等,查看软件的版本及策略配置,查看能否记录攻击者的源IP、攻击类型、攻击目标、攻击时间等,以及在发生严重入侵事件时是否提供报警(如声音、短信、EMAIL等);】
三、单元判定
如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
安全子项--恶意代码防范
应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。
- 测评对象
终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统) 、移动终端、移动终端管理系统、移动终端管理客户端和控制设备等
二、测评实施
1) 应核查是否安装了防恶意代码软件或相应功能的软件,定期进行升级和更新防恶意代码库;
2) 应核查是否采用主动免疫可信验证技术及时识别人侵和病毒行为;
3) 应核查当识别人侵和病毒行为时是否将其有效阻断。
三、单元判定
如果1)和3) 或2) 和3) 均为肯定,则符合本测评单元指标要求, 否则不符合或部分符合本测评单元指标要求。
四、高风险判定
判例内容:Windows操作系统未安装防恶意代码软件,并进行统一管理,无法防止来自外部的恶意攻击或系统漏洞带来的危害,可判定为高风险。
适用范围:所有系统。
满足条件(任意条件):1、Windows操作系统未安装杀毒软件。2、Windows操作系统安装的杀毒软件病毒库一月以上未更新。(可根据服务器部署环境、行业或系统特性缩短或延长病毒库更新周期)
安全子项--可信认证
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
- 测评对象
提供可信验证的设备或组件、提供集中审计功能的系统
二、测评实施
1) 应核查是否基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证;
2) 应核查是否在应用程序的关键执行环节进行动态可信验证;
3) 应测试验证当检测到计算设备的可信性受到破坏后是否进行报警;
4) 应测试验证结果是否以审计记录的形式送至安全管理中心。
三、单元判定:
如果1) -4) 均为肯定,则相合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
安全子项--数据完整性
a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
一、测评对象
业务应用系统、数据库管理系统、中间件、系统管理软件及系统设计文档、数据安全保护系统、终端和服务器等设备中的操作系统及网络设备和安全设备等
二、测评实施
1) 应核查系统设计文档,鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等在传输过程中是否采用了校验技术或密码技术保证完整性;
2) 应测试验证在传输过程中对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等进行篡改,是否能够检测到数据在传输过程中的完整性受到破坏并能够及时恢复。
三、单元判定
如果1)和2 ) 均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
四、高风险判定
判例内容:对数据传输完整性要求较高的系统,数据在网络层传输无完整性保护措施,一旦数据遭到篡改,可能造成财产损失的,可判定为高风险。
适用范围:对数据传输完整性要求较高的3级及以上系统。
满足条件(同时):1、3级及以上系统;2、系统数据传输完整性要求较高;3、数据在网络层传输无任何完整性保护措施。
b) 应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
一、测评对象
业务应用系统、数据库管理系统、中间件、系统管理软件及系统设计文档、数据安全保护系统、终端和服务器等设备中的操作系统及网络设备和安全设备中等。
二、测评实施:
1) 应核查设计文档,是否采用了校验技术或密码技术保证鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等在存储过程中的完整性;
2) 应核查是否采用技术措施(如数据安全保护系统等)保证鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等在存储过程中的完整性;
3) 应测试验证在存储过程中对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等进行篡改,是否能够检测到数据在存储过程中的完整性受到破坏并能够及时恢复。
三、单元判定:
如果1) ~3) 均为肯定, 则符合本测评单元指标要求, 否则不符合或部分符合本测评单元指标要求。
安全子项--数据保密性
a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;
一、测评对象
业务应用系统、数据库管理系统、中间件、系统管理软件及系统设计文档、数据安全保护系统、终端和服务器等设备中的操作系统及网络设备和安全设备等
二、测评实施
1) 应核查系统设计文档,鉴别数据、重要业务数据和重要个人信息等在传输过程中是否采用密码技术保证保密性;
2) 应通过嗅探等方式抓取传输过程中的数据包,鉴别数据、重要业务数据和重要个人信息等在传输过程中是否进行了加密处理。
三、单元判定
如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
四、高风险判定
判例内容:用户鉴别信息、公民敏感信息数据或重要业务数据等以明文方式在不可控网络中传输,可判定为高风险。
适用范围:3级及以上系统。
满足条件(同时):1、3级及以上系统;2、用户身份认证信息、个人敏感信息数据或重要业务数据等以明文方式在不可控网络中传输。
b) 应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
一、测评对象
业务应用系统、数据库管理系统、中间件、系统管理软件及系统设计文档、数据安全保护系统、终端和服务器等设备中的操作系统及网络设备和安全设备中的重要配置数据。
二、测评实施
1) 应核查是否采用密码技术保证鉴别数据、重要业务数据和重要个人信息等在存储过程中的保密性;
2) 应核查是否采用技术措施(如数据安全保护系统等)保证鉴别数据、重要业务数据和重要个人信息等在存储过程中的保密性;
3) 应测试验证是否对指定的数据进行加密处理。
三、单元判定
单元判定:如果1~3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
四、高风险判定
判例内容:用户身份认证信息、个人敏感信息数据、重要业务数据、行业主管部门定义的非明文存储类数据等以明文方式存储,且无其他有效保护措施,可判定为高风险。
适用范围:所有系统。
满足条件(同时):1、用户身份认证信息、个人敏感信息数据、重要业务数据、行业主管部门定义的非明文存储类数据等以明文方式存储;2、无其他有效数据保护措施。
安全子项--数据备份恢复
a)应提供重要数据的本地数据备份与恢复功能;
一、测评对象
配置数据和业务数据。
二、测评实施
1) 应核查是否按照备份策略进行本地备份;
2) 应核查备份策略设置是否合理、配置是否正确。
3) 应核查备份结果是否与备份策略一致。查看实际备份记录是否与备份策略一致
4) 应核查近期恢复测试记录是否能够进行正常的数据恢复。检查管理员的恢复测试记录,是否能将备份数据正常的恢复至设备中。
三、单元判定
如果1~4)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
四、高风险判定:
判例内容:应用系统未提供任何数据备份措施,一旦遭受数据破坏,无法进行数据恢复的,可判定为高风险。
适用范围:所有系统。
满足条件:应用系统未提供任何数据备份措施,一旦遭受数据破坏,无法进行数据恢复。
b) 应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;
一、测评对象
配置数据和业务数据
二、测评实施
1、应核查是否提供异地数据备份功能,并通过通信网络将重要配置数据、重要业务数据定时批量传送至备份场地。
三、单元判定
如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
四、高风险判定:
判例内容:对系统、数据容灾要求较高的系统,如金融、医疗卫生、社会保障等行业系统,如无异地数据灾备措施,或异地备份机制无法满足业务需要,可判定为高风险。
适用范围:对系统、数据容灾要求较高的3级及以上系统。
满足条件(同时):1、3级及以上系统;2、对容灾要求较高的系统;3、系统无异地数据备份措施,或异地备份机制无法满足业务需要。
c) 应提供重要数据处理系统的热冗余,保证系统的高可用性。
一、测评对象
重要数据处理系统
二、测评实施
应核查重要数据处理系统(包括边界路由器、边界防火墙、核心交换机、应用服务器、数据库服务器等)是否采用热冗余方式部署。如采用双机热备或多机堆叠等方式进行部署。
三、单元判定
如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
四、高风险判定
判例内容:对数据处理可用性要求较高系统(如金融行业系统、竞拍系统、大数据平台等),应采用热冗余技术提高系统的可用性,若核心处理节点(如服务器、DB等)存在单点故障,可判定为高风险。
适用范围:对数据处理可用性要求较高的3级及以上系统。
满足条件(同时):1、3级及以上系统;2、对数据处理可用性要求较高系统;3、处理重要数据的设备(如服务器、DB等)未采用热冗余技术,发生故障可能导致系统停止运行。
安全子类--剩余信息保护
a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除;
一、测评对象
终端和服务器等设备中的操作系统、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等
二、测评实施
应核查相关配置信息或系统设计文档,用户的鉴别信息所在的存储空间被释放或重新分配前是否得到完全清除。
Windows
【打开“本地安全策略”->本地策略中的安全选项,查看是否启用“不显示上次登录用户名”。】
APPCommon
【如果是B/S应用系统,查看应用系统是否在浏览器本地留有Cookies记录,Cookie记录是否包含用户名或口令等敏感信息,用户注销后,Cookie是否自动清除。】
三、单元判定
如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
四、高风险判定
判例内容:身份鉴别信息释放或清除机制存在缺陷,如在正常进行释放或清除身份鉴别信息操作后,仍可非授权访问系统资源或进行操作,可判定为高风险。
适用范围:所有系统。
满足条件(同时):1、身份鉴别信息释放或清除机制存在缺陷;2、利用剩余鉴别信息,可非授权访问系统资源或进行操作。
b) 应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
一、测评对象
终端和服务器等设备中的操作系统、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等
二、测评实施
应核查相关配置信息或系统设计文档,敏感数据所在的存储空间被释放或重新分配给其他用户前是否得到完全消除。
Windows
打开“本地安全策略”->本地策略中的安全选项,查看是否选中“关机前清除虚拟内存页面”;打开“本地安全策略”->“帐户策略”中的密码策略,查看是否选中“用可还原的加密来存储密码”。
三、单元判定
如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
四、高风险判定
判例内容:身份鉴别信息释放或清除机制存在缺陷,如在正常进行释放或清除身份鉴别信息操作后,仍可非授权访问系统资源或进行操作,可判定为高风险。
适用范围:3级及以上系统。
满足条件(同时):1、3级及以上系统;2、敏感数据释放或清除机制存在缺陷;3、利用剩余信息,可非授权获得相关敏感数据。
安全子类--个人信息保护
a)应仅采集和保存业务必需的用户个人信息;
一、测评对象
用户数据、业务应用系统和数据库管理系统等。
二、测评实施
1、应核查采集的用户个人信息是否是业务应用必需的;
2、应核查是否制定了有关用户个人信息保护的管理制度和流程。
三、单元判定
如果1和2均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
四、高风险判定
判例内容:在采集和保存用户个人信息时,应通过正式渠道获得用户同意、授权,如在未授权情况下,采取、存储用户个人隐私信息,可判定为高风险。
适用范围:所有系统。
满足条件(任意条件):1、在未授权情况下,采取、存储用户个人隐私信息,无论该信息是否是业务需要。2、采集、保存法律法规、主管部门严令禁止采集、保存的用户隐私信息。
b) 应禁止未授权访问和非法使用用户个人信息。
一、测评对象
业务应用系统和数据库管理系统等。
二、测评实施
1、应核查是否采用技术措施限制对用户个人信息的访问和使用;
2、应核查是否制定了有关用户个人信息保护的管理制度和流程。
三、单元判定
如果1和2均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
四、高风险判定:
判例内容:未授权访问和非法使用个人信息,如在未授权情况下将用户信息提交给第三方处理,未脱敏的情况下用于其他业务用途,未严格控制个人信息查询以及导出权限,非法买卖、泄露用户个人信息等,可判定为高风险。
适用范围:所有系统。
满足条件(任意条件):1、在未授权情况下将用户个人信息共享给其他公司、机构、个人(国家、法律规定的公安、司法机构除外)。2、未脱敏的情况下用于其他非核心业务系统或测试环境等。3、未严格控制个人信息查询以及导出权限。4、非法买卖、泄露用户个人信息。
734
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
