审计是安全工作不可缺少的一环,也是等级保护的重点关注对象。
安全审计部分有4个测评点:
a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
1)查看系统是否开启了安全审计功能
在命令行输入“"secpol.msc”,弹出“本地安全策略”窗口,查看“安全设置->本地策略->审计策略”中的相关项目。右侧的详细信息窗格即显示审计策略的设置情况。
2)询问并查看是否有第三方审计工具或系统
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
查看审计记录是否包含要求的信息
1)在命令行输入"eventvwr.msc",弹出“事件查看器”窗口,“事件查看器(本地)->Windows日志"下包括“应用程序”、“安全”、“设置”、“系统”几类记录事件类型,点击任意类型事件,查看日志文件是否满足此项要求
2) 如果安装了第三方审计工具,则:查看审计记录是否包括日期、时间,类型、主体标识、客体标识和结果
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
访谈审计记录的存储、备份和保护的措施,是否将操作系统日志定时发送到日志服务器上等,并使用sylog方式或smp方式将日志发送到日志服务器。
如果部署了日志服务器,登录日志服务器查看操作系统的日志是否在收集的范围内
d) 应对审计进程进行保护,防止未经授权的中断
1)访谈对审计进程监控和保护的措施
2)测试使用非安全审计员中断审计进程,查看审计进程的访问权限是否设置合理。
3)查看是否有第三方系统对被测操作系统的审计进程进行监控和保护
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
