等級(jí)保護(hù)測(cè)評(píng)師初級(jí)技術(shù)考試等級(jí)保護(hù)測(cè)評(píng)師初級(jí)技術(shù)考試目錄等級(jí)保護(hù)政策和相關(guān)標(biāo)準(zhǔn)應(yīng)用部分 .............. 1網(wǎng)絡(luò)安全測(cè)評(píng)部分 ........................ 。主機(jī)安全部分 ............................ 應(yīng)用測(cè)評(píng)部分 ............................ 。數(shù)據(jù)庫(kù) .................................. 1。工具測(cè)試 ............................... 。等級(jí)保護(hù)政策和相關(guān)標(biāo)準(zhǔn)應(yīng)用部分《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》 國(guó)務(wù)院令 147號(hào)計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)。 安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法， 由安部會(huì)同有關(guān)部門(mén)制定《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》 中發(fā)辦[2003]27 號(hào)要加強(qiáng)信息安全標(biāo)準(zhǔn)化工作， 抓緊制定急需的信息安全管理和技術(shù)標(biāo)準(zhǔn)， 形成與國(guó)際標(biāo)準(zhǔn)銜接的中國(guó)特色的信息安全標(biāo)準(zhǔn)體系 。什么是等級(jí)保護(hù)工作信息安全等級(jí)保護(hù)工作是一項(xiàng)由信息系統(tǒng)主管部門(mén)、 運(yùn)營(yíng)單位、使用單位、安全產(chǎn)品提供方安全服務(wù)提供方、 檢測(cè)評(píng)估機(jī)構(gòu)、 信息安全監(jiān)督管理部門(mén)等多方參與， 涉及技術(shù)與管理兩個(gè)領(lǐng)域的復(fù)雜系統(tǒng)工程 UForfE8。等級(jí)保護(hù)制度的地位和作用是促進(jìn)信息化、維護(hù)國(guó)家信息安全的根本保障是開(kāi)展信息安全工作的基本方法，有效抓手等級(jí)保護(hù)的主要目的明確重點(diǎn)、突出重點(diǎn)、保護(hù)重點(diǎn)優(yōu)化信息安全資源的配置明確信息安全責(zé)任拖動(dòng)信息安全產(chǎn)業(yè)發(fā)展公安機(jī)關(guān)組織開(kāi)展等級(jí)保護(hù)工作的依據(jù)《警察法》規(guī)定：警察履行“監(jiān)督管理計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)工作”的職責(zé)國(guó)務(wù)院令 7“公安部主管全國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作” “等級(jí)保護(hù)的具體辦法由公安部會(huì)同有關(guān)部門(mén)制定” 。3.2008年國(guó)務(wù)院三定方案，公安部新增職能： “監(jiān)督、檢查、指導(dǎo)信息安全等級(jí)保護(hù)工作機(jī)構(gòu)公安部 網(wǎng)絡(luò)安全保衛(wèi)局各省 網(wǎng)絡(luò)警察總隊(duì)地市 網(wǎng)絡(luò)警察支隊(duì)區(qū)縣 網(wǎng)絡(luò)警察大部分職責(zé)制定信息安全政策打擊網(wǎng)絡(luò)違法犯罪互聯(lián)網(wǎng)安全管理重要信息系統(tǒng)安全 監(jiān)督網(wǎng)絡(luò)與信息安全信息通報(bào)國(guó)家信息安全職能部門(mén)職責(zé)分工公安機(jī)關(guān) 牽頭部門(mén)，監(jiān)督、檢查、指導(dǎo)信息安全等級(jí)保護(hù)工作國(guó)家保密部門(mén) 負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)。并負(fù)責(zé)涉及國(guó)家密信息系統(tǒng)分級(jí)保護(hù)國(guó)家密碼管理部門(mén)：負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)工業(yè)和信息化部門(mén)：負(fù)責(zé)等級(jí)保護(hù)工作中部門(mén)間的協(xié)調(diào)定級(jí) 備案 建設(shè)整改 測(cè)評(píng) 監(jiān)督檢查《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》 公通字[2004]66 號(hào)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》 GB17859-1999 簡(jiǎn)稱(chēng)《劃分準(zhǔn)則》《信息安全等級(jí)保護(hù)管理辦法》 公通字[2007]43 號(hào)簡(jiǎn)稱(chēng)《管理辦法》《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》 簡(jiǎn)稱(chēng)《實(shí)施指南》《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》 GB/T22240-2008 簡(jiǎn)稱(chēng)《定級(jí)指南》《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》 GB/T22239-2008 簡(jiǎn)稱(chēng)《基本要求》《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》 簡(jiǎn)稱(chēng)《測(cè)評(píng)要求》《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》 簡(jiǎn)稱(chēng) 《測(cè)評(píng)過(guò)程指南測(cè)評(píng)主要參照標(biāo)準(zhǔn)等級(jí)保護(hù)工作中用到的主要標(biāo)準(zhǔn)基礎(chǔ)17859實(shí)施指南定級(jí)環(huán)節(jié)定級(jí)指南整改建設(shè)環(huán)節(jié)基本要求測(cè)評(píng)要求測(cè)評(píng)過(guò)程指南定級(jí)方法 確定定級(jí)對(duì)象確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體綜合評(píng)定業(yè)務(wù)信息系統(tǒng)安全被破壞對(duì)客體的侵害程度得到業(yè)務(wù)信息安全等級(jí)確定系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體綜合評(píng)定系統(tǒng)服務(wù)安全被破壞對(duì)客體的侵害程度得到系統(tǒng)服務(wù)安全等級(jí)網(wǎng)絡(luò)安全測(cè)評(píng)部分7個(gè)控制點(diǎn) 33個(gè)要求結(jié)構(gòu)安全訪問(wèn)控制入侵防范惡意代碼防范設(shè)備防護(hù)理解標(biāo)準(zhǔn)：理解標(biāo)準(zhǔn)中涉及網(wǎng)絡(luò)部分的每項(xiàng)基本要求明確目的：檢查的最終目的是判斷該信息系統(tǒng)的網(wǎng)絡(luò)安全綜合防護(hù)能力注意事項(xiàng)結(jié)構(gòu)安全 7點(diǎn) 重要應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿(mǎn)足業(yè)務(wù)高峰期需要應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿(mǎn)足業(yè)務(wù)高峰期需要應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問(wèn)路徑應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖應(yīng)根據(jù)各個(gè)部門(mén)的工作職能、 重要性和所涉及信息的重要程度等因素， 劃分不同的子網(wǎng)網(wǎng)段，并按照方便管理和控制的原則為各個(gè)子網(wǎng)、網(wǎng)段分配地址段 。應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)， 重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段 AtqIjoZ。應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來(lái)指定帶寬分配優(yōu)先級(jí)別， 保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)保護(hù)重要主機(jī)訪問(wèn)控制應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制功能應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許 /拒絕訪問(wèn)的能力，控制粒度為端口級(jí)應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層 HTTP、21、TELNET、SMTP、POP30等協(xié)議命令集的控制 (協(xié)議需要記憶 )。應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙應(yīng)按用戶(hù)和系統(tǒng)之間的允許訪問(wèn)規(guī)則， 決定允許或拒絕用戶(hù)對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn)， 制粒度為單個(gè)用戶(hù)應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶(hù)數(shù)安全審計(jì) 4項(xiàng)應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶(hù)行為等進(jìn)行日志記錄審計(jì)記錄包括：事件的日期和時(shí)間、用戶(hù)、 事件類(lèi)型、事件是否成功及其他與審計(jì)相關(guān)信息應(yīng)能夠根據(jù)記錄進(jìn)行分析，并生成審計(jì)報(bào)表測(cè)評(píng)步驟結(jié)構(gòu)安全邊界完整性檢查入侵防范惡意代碼防范訪問(wèn)控制安全審計(jì)網(wǎng)絡(luò)設(shè)備防護(hù)備份與恢復(fù)應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場(chǎng)外存放應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地應(yīng)采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余、保證系統(tǒng)的高可用性3、測(cè)評(píng)結(jié)果匯總整理對(duì)全局性檢查結(jié)果和各單項(xiàng)檢查結(jié)果進(jìn)行匯總核對(duì)檢查結(jié)果，記錄內(nèi)容真實(shí)有效，勿有遺漏主機(jī)安全部分主機(jī)安全測(cè)評(píng)機(jī)主機(jī)安全是由操作系統(tǒng)自身安全配置、 相關(guān)安全軟件以及第三方安全設(shè)備等來(lái)實(shí)現(xiàn)， 主測(cè)評(píng)則是依據(jù)基本要求對(duì)主機(jī)安全進(jìn)行符合性檢查 。目前運(yùn)行在主機(jī)上流行的操作系統(tǒng)有 windows linux sun_solaris ibm_aix hp_ux。測(cè)評(píng)準(zhǔn)備工作 很重要信息收集服務(wù)器的設(shè)備名稱(chēng)、型號(hào)、所屬網(wǎng)絡(luò)區(qū)域、操作系統(tǒng)版本、 IP、安裝應(yīng)用軟件的名稱(chēng)、主業(yè)務(wù)應(yīng)用、涉及數(shù)據(jù)、是否熱備、重要程度、責(zé)任部門(mén) 。信息收集的原則 重要完整性原則重要性原則測(cè)評(píng)指導(dǎo)書(shū)準(zhǔn)備根據(jù)信息收集的內(nèi)容、結(jié)合主機(jī)所屬等級(jí)、編寫(xiě)測(cè)評(píng)指導(dǎo)書(shū)入侵防范惡意代碼防范系統(tǒng)資源控制備份與恢復(fù)身份鑒別 6應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶(hù)身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)， 口令有復(fù)雜度要求要求定期更換應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)的不同用戶(hù)分配不同的用戶(hù)名，確保用戶(hù)名具有唯一性應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶(hù)進(jìn)行身份鑒身份鑒別共有 6個(gè)檢查項(xiàng)身份的標(biāo)識(shí)密碼口令的復(fù)雜度設(shè)置登錄失敗的處理遠(yuǎn)程管理的傳輸模式用戶(hù)名的唯一性身份組合鑒別技術(shù)什么是雙因子鑒別 重要個(gè)人所知道的信息個(gè)人的生理特征個(gè)人的行為特征訪問(wèn)控制 7個(gè)檢查項(xiàng)對(duì)系統(tǒng)的訪問(wèn)控制功能管理用戶(hù)的角色分配操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理員的權(quán)限分離默認(rèn)用戶(hù)的訪問(wèn)權(quán)限賬戶(hù)的清理重要信息資源的敏感標(biāo)記設(shè)置對(duì)有敏感標(biāo)記信息資源的訪問(wèn)和控安全審計(jì) 6個(gè)檢查項(xiàng)審計(jì)范圍審計(jì)的事件審計(jì)記錄格式審計(jì)報(bào)表得生成審計(jì)進(jìn)程保護(hù)審計(jì)記錄的保護(hù)剩余信息保護(hù) 2鑒別信息清空文件記錄等的清入侵防范 3項(xiàng)入侵行為的記錄和報(bào)警重要文件的完整性保護(hù)惡意代碼防范安裝防惡意代碼軟件主機(jī)的防惡意代碼庫(kù)和網(wǎng)絡(luò)防惡意代碼庫(kù)的差別除了安裝防病毒軟件還有什么能解決重要！～除了安裝防病毒軟件還有什么能解決重要！～安全補(bǔ)丁管理平臺(tái)防火墻入侵檢測(cè)系統(tǒng)對(duì)系統(tǒng)和數(shù)據(jù)進(jìn)行嘗備系統(tǒng)資源控制 5項(xiàng)應(yīng)通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄。應(yīng)根據(jù)安全策略設(shè)置登錄終端的－超時(shí)鎖定主機(jī)資源監(jiān)控－應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的 ，硬盤(pán)，內(nèi)存，網(wǎng)絡(luò)資源的使用情況單個(gè)資源利用－應(yīng)限制單個(gè)用戶(hù)對(duì)系統(tǒng)資源的最大或最小使用限度檢測(cè)和報(bào)警。聲光電色備份與恢復(fù) 1硬件冗余超級(jí)用戶(hù)的特權(quán)劃分為一組！～應(yīng)用測(cè)評(píng)部分開(kāi)發(fā)商和用戶(hù)對(duì)應(yīng)用系統(tǒng)安全重視程度不夠開(kāi)發(fā)商安全意識(shí)普遍淡薄，開(kāi)發(fā)中留有安全漏洞用戶(hù)普遍對(duì)應(yīng)用安全不重視，系統(tǒng)上線前不把關(guān)針對(duì)口令的攻擊，如口令破解針對(duì)WEB的應(yīng)用的攻擊應(yīng)用測(cè)評(píng)的特點(diǎn)安全功能和配置檢查并重應(yīng)用測(cè)評(píng)重不確定因素較多測(cè)評(píng)范圍廣，分析較為困難應(yīng)用測(cè)評(píng)的方法通過(guò)檢查 查看是否進(jìn)行了正確的配置如果條件允許，需進(jìn)行測(cè)試雙因子很重要！應(yīng)用測(cè)評(píng)里 安全審計(jì)很重抗抵賴(lài)通信完整性數(shù)據(jù)庫(kù)身份鑒別 數(shù)據(jù)庫(kù)管理員是否采取措施保證遠(yuǎn)程管理數(shù)據(jù)加密傳雙因子在數(shù)據(jù)庫(kù)中部署比較困難訪問(wèn)控制ORACL的檢查方法Select limit from dba_profiles where profile='DEFAULT' andresouce_name='PASSOWRD_VERIFY_FUNCTI' 是否啟用口令復(fù)雜函數(shù)。 。檢查 utlpwdmms.sql 中 －－checkforthemininumlentghofthepassword 部份中l(wèi)ength(password)< 后的值 。SQL的檢查方法Select*fromsysloginswherepasswordisnull 查看是否存在空口令帳戶(hù)數(shù)據(jù)審計(jì)KQjl8W4。ORACL的檢查方法Slect limit form dba_profiles where profile='DEFAULT' resource_name='FAILED_LOGIN_ATTEMPTS'查看值是否為 unlimited 如果值不為該值則說(shuō)明設(shè)置了登錄失敗嘗試次數(shù)的限制 。Slect limit fromdba_proprofile='DEFAULT' andresource_name='PASSWORD_LOCK_TIME',查看其值是否為 d 如果不為則說(shuō)明設(shè)置了口令鎖定時(shí)間。 。Select username,account_status fromdba_users 詢(xún)問(wèn)每個(gè)帳戶(hù)的用途，查看是否存在余的，過(guò)期的帳戶(hù) 0I6vtxg。Selectefroms 檢查是否安裝 ORACLEESECURIT模塊cL3PFK。查看是否創(chuàng)建策略： selectpolicy_name,statusfromDBA_SA_POLICIES 查看是否創(chuàng)建級(jí)別： select*FROMdba_sa_livelsORDERBYlevel_num 。查看標(biāo)簽創(chuàng)建情況： select*fromdba_sa_labels查看策略與模式、表的對(duì)應(yīng)關(guān)系： select*fromdba_sa_tables_policies 判斷是否針重要信息資源設(shè)置敏感標(biāo)簽。 。查看用戶(hù)的標(biāo)簽： select*fromdba_sa_user_labels的檢查方法Select*fromdba_sa_user_labels安全審計(jì)SQL的檢查方法、在“企業(yè)管理器＝》右鍵單擊注冊(cè)名稱(chēng)＝》單擊： “屬性”＝》安全性，查看每個(gè)注冊(cè)“審核級(jí)別”是否為“全部” 。、詢(xún)問(wèn)數(shù)據(jù)庫(kù)管理員，是否采取第三方工具或其他措施增強(qiáng) SQLServer 的日志功能。、用不同的用戶(hù)登錄數(shù)據(jù)庫(kù)系統(tǒng)并進(jìn)行不同的操作，在 SQL數(shù)據(jù)庫(kù)中查看日志錄。ORACL的檢查方法等級(jí)保護(hù)測(cè)評(píng)師初級(jí)技術(shù)考試Selectvaluefromv$parameterwherename='audit_trail' 。Showparmeteraudit_trail 查看是否開(kāi)啟審計(jì)功能Showparameter audit audit_sys_operations 查看是否對(duì)所有 sys用戶(hù)的操作進(jìn)行了記錄YTa1ek。Selectsel,uqd,del,insfromdba_obj_audit_opts, 查看是否對(duì) sel,upd,del,ins 操作行了審計(jì) fSelect*fromdba_stmt_audit_opts, 查看審計(jì)是否設(shè)置成功Select*fromdba_priv_audit_opts 查看權(quán)限審計(jì)選項(xiàng)審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類(lèi)型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等。用戶(hù)可以通過(guò) altersystemsetaudit_trail=none 并重啟實(shí)例關(guān)閉審計(jì)功能，查看是成功。Sp_config'remotelogintimeout(s);, 查看是否設(shè)置了超時(shí)時(shí)間查看空閑超時(shí)設(shè)置，select limit from dba_profiles where profile='DEFAULT resource_name='IDLE_TIME'. h應(yīng)限制單個(gè)用戶(hù)對(duì)系統(tǒng)資源的最大或最小使用限度。ORACL的檢查方法Selectusername,prodba_users 確定用戶(hù)使用的profile,針對(duì)指定用戶(hù)的 profile,查看其限制（以 default 為例。。Select limit from dba_profileswhereprofile='DEFAULT'andresource_name='CPU_PER_USER',查看是否對(duì)每個(gè)用戶(hù)所允許的并行會(huì)話數(shù)進(jìn)行了限制。jSelect limit from dba_profiles where profile='DEFAULT' resource_name='CPU_PER_SESSION',查看是否對(duì)一個(gè)會(huì)話可以使用的 時(shí)間進(jìn)行了限制。LSelect limit from dba_profiles where profile='DEFAULT' andresource_name='CPU_PER_IDLE_TIME',查看是否對(duì)允許空閑會(huì)話的時(shí)間進(jìn)行了限制。 備份與恢復(fù) 應(yīng)用和數(shù)據(jù)庫(kù)應(yīng)提供數(shù)據(jù)本地備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次 備份介質(zhì)場(chǎng)外存儲(chǔ)考試要點(diǎn)應(yīng)用系統(tǒng)的特點(diǎn)a測(cè)評(píng)范圍較廣和數(shù)據(jù)庫(kù)、操作系統(tǒng)等成熟產(chǎn)品不同， 應(yīng)用系統(tǒng)現(xiàn)場(chǎng)測(cè)評(píng)除檢查安全配置外，還需驗(yàn)證其安全功能是正確b測(cè)評(píng)中不確定因素較多，測(cè)評(píng)較為困難需根據(jù)業(yè)務(wù)和數(shù)據(jù)流程確定測(cè)評(píng)重點(diǎn)和范圍應(yīng)用系統(tǒng)安全漏洞發(fā)現(xiàn)困難，很難消除代碼級(jí)的安全隱患c測(cè)評(píng)結(jié)果分析較為困難應(yīng)用系統(tǒng)與平臺(tái)軟件，如 平臺(tái)、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)絡(luò)等都存在關(guān)聯(lián)關(guān)系應(yīng)用系統(tǒng)的測(cè)評(píng)方法a通過(guò)訪談，了解安全措施的實(shí)施情況和其他成熟產(chǎn)品不同，應(yīng)用系統(tǒng)只有在充分了解其部署情況和業(yè)務(wù)流程后，才能明確測(cè)評(píng)的范圍和對(duì)象，分析其系統(tǒng)的脆弱性和面臨的主要安全威脅，有針對(duì)性的進(jìn)行測(cè)評(píng) Jota2Cu。b通過(guò)檢查，查看其是否進(jìn)行了正確的配置等級(jí)保護(hù)測(cè)評(píng)師初級(jí)技術(shù)考試有的安全功能（如口令長(zhǎng)度限制、錯(cuò)誤登錄嘗試次數(shù)等）需要在應(yīng)用系統(tǒng)上進(jìn)行配置，查看其是否進(jìn)行了正確的配置，與安全策略是否一致。 。無(wú)需進(jìn)行配置的，則應(yīng)查看其部署情況是否與訪談一致。c如果條件允許，需進(jìn)行測(cè)試可通過(guò)測(cè)試驗(yàn)證安全功能是否正確，配置是否生效。代碼級(jí)的安全漏洞在現(xiàn)場(chǎng)查驗(yàn)比較困難，則可進(jìn)行漏洞掃描和滲透測(cè)試，如果條件允許則可進(jìn)行代碼白盒測(cè)試。 。應(yīng)用系統(tǒng)難理解的地方a身份鑒別應(yīng)提供專(zhuān)用的登錄控制模塊對(duì)登錄用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別；應(yīng)對(duì)同一用戶(hù)采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶(hù)身份鑒別；應(yīng)提供用戶(hù)身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶(hù)份標(biāo)識(shí)，身份鑒別信息不易被冒用； 。應(yīng)提供登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；應(yīng)啟用身份鑒別、用戶(hù)身份標(biāo)識(shí)唯一性檢查、用戶(hù)身份鑒別信息復(fù)雜度檢查以及登錄失處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。 。條款理解三級(jí)或三級(jí)以上系統(tǒng)要求必須提供兩種（兩次口令鑒別不屬于兩種鑒別技術(shù)）或兩種以組合的鑒別技術(shù)進(jìn)行身份鑒別，在身份鑒別強(qiáng)度上有了更大的提高。 。檢查方法詢(xún)問(wèn)系統(tǒng)管理員，了解身份鑒別措施的部署和實(shí)施情況。根據(jù)了解的情況，檢查應(yīng)用系統(tǒng)是否按照策略要求進(jìn)行了相應(yīng)的配置，在條件允許的情下，驗(yàn)證功能（包括應(yīng)用口令暴力破解等測(cè)試手段）是否正確。 vkSyIlS。b訪問(wèn)控制要求項(xiàng)訪問(wèn)控制的覆蓋范圍應(yīng)包括與資源訪問(wèn)相關(guān)的主體、客體及它們之間的操作；應(yīng)由授權(quán)主體配置訪問(wèn)控制策略，并嚴(yán)格限制默認(rèn)帳戶(hù)的訪問(wèn)權(quán)限；應(yīng)授予不同帳戶(hù)為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系；應(yīng)具有對(duì)重要信息資源設(shè)置敏感標(biāo)記的功能；應(yīng)依據(jù)安全策略嚴(yán)格控制用戶(hù)對(duì)有敏感標(biāo)記重要信息資源的操作。條款理解三級(jí)系統(tǒng)要求訪問(wèn)控制的粒度達(dá)到文件、數(shù)據(jù)庫(kù)表級(jí)，權(quán)限之間具有制約關(guān)系（如三權(quán)分離，管理、審計(jì)和操作權(quán)限），并利用敏感標(biāo)記控制用戶(hù)對(duì)重要信息資源的操作。 。檢查方法等級(jí)保護(hù)測(cè)評(píng)師初級(jí)技術(shù)考試詢(xún)問(wèn)系統(tǒng)管理員，了解訪問(wèn)控制措施的部署和實(shí)施情況。根據(jù)了解的情況，檢查應(yīng)用系統(tǒng)是否按照策略要求進(jìn)行了相應(yīng)的配置，在條件允許的情況下，驗(yàn)證功能是否正確。 。c安全審計(jì)要求項(xiàng)應(yīng)提供覆蓋到每個(gè)用戶(hù)的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)；應(yīng)保證無(wú)法單獨(dú)中斷審計(jì)進(jìn)程，無(wú)法刪除、修改或覆蓋審計(jì)記錄；審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日期、時(shí)間、發(fā)起者信息、類(lèi)型、描述和結(jié)果等；應(yīng)提供對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢(xún)、分析及生成審計(jì)報(bào)表的功能。條款理解三級(jí)系統(tǒng)強(qiáng)調(diào)對(duì)每個(gè)用戶(hù)的重要操作進(jìn)行審計(jì)，重要操作一般包括登錄 /退出、改變?cè)L問(wèn)制策略、增加 /刪除用戶(hù)、改變用戶(hù)權(quán)限和增加 /刪除/查詢(xún)數(shù)據(jù)等。 VcnGpY。檢查方法詢(xún)問(wèn)系統(tǒng)管理員，了解安全審計(jì)措施的部署和實(shí)施情況。重點(diǎn)檢查應(yīng)用系統(tǒng)是否對(duì)每個(gè)用戶(hù)的重要操作進(jìn)行了審計(jì)，同時(shí)可通過(guò)進(jìn)行一些操作，看應(yīng)用系統(tǒng)是否進(jìn)行了正確的審計(jì)。 vs9FUKi。c剩余信息保護(hù)要求項(xiàng)應(yīng)保證用戶(hù)鑒別信息所在的存儲(chǔ)空間被釋放或再分配給其他用戶(hù)前得到完全清除，無(wú)論些信息是存放在硬盤(pán)上還是在內(nèi)存中； X0wE4e。應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間被釋放或重新分配給其用戶(hù)前得到完全清除。 。條款理解該項(xiàng)要求是為了防止某個(gè)用戶(hù)非授權(quán)獲取其他用戶(hù)的鑒別信息、文件、目錄和數(shù)據(jù)庫(kù)記等資源，應(yīng)用系統(tǒng)應(yīng)加強(qiáng)內(nèi)存和其他資源管理。 5檢查方法詢(xún)問(wèn)系統(tǒng)管理員，了解剩余信息保護(hù)方面采取的措施。根據(jù)了解的情況，測(cè)試其采取的措施是否有效，如以某個(gè)用戶(hù)進(jìn)行操作，操作完成退系統(tǒng)后系統(tǒng)是否保留有未被刪除的文件等。 4lefoFB。d通信完整性要求項(xiàng)應(yīng)采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性。條款理解該項(xiàng)要求強(qiáng)調(diào)采取密碼技術(shù)來(lái)保證通信過(guò)程中的數(shù)據(jù)完整性，普通加密技術(shù)無(wú)法保證密件在傳輸過(guò)程中不被替換，還需利用 函數(shù)（如MD、SH和MA）用于完整性校驗(yàn)，但不利用生成的校驗(yàn)碼來(lái)進(jìn)行完整性校驗(yàn)。 ydQRJ2。檢查方法詢(xún)問(wèn)系統(tǒng)管理員，了解通信完整性方面采取的措施。等級(jí)保護(hù)測(cè)評(píng)師初級(jí)技術(shù)考試可通過(guò)查看文檔或源代碼等方法來(lái)驗(yàn)證措施是否落實(shí)。e通信保密性要求項(xiàng)在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證；應(yīng)對(duì)通信過(guò)程中的整個(gè)報(bào)文或會(huì)話過(guò)程進(jìn)行加密。條款理解該項(xiàng)要求強(qiáng)調(diào)整個(gè)報(bào)文或會(huì)話過(guò)程進(jìn)行加密，同時(shí)，如果在加密隧道建立之前需要傳遞碼等信息，則應(yīng)采取密碼技術(shù)來(lái)保證這些信息的安全。 voarxsQ。檢查方法詢(xún)問(wèn)系統(tǒng)管理員，了解通信保密性方面采取的措施，分析其會(huì)話初始化過(guò)程是否安全?？赏ㄟ^(guò)抓包工具（如 pro）獲取通信雙方的內(nèi)容，查看系統(tǒng)是否對(duì)通信雙方的內(nèi)容進(jìn)行了加密。 px9scn2。F抗抵賴(lài)要求項(xiàng)應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。條款理解該項(xiàng)要求強(qiáng)調(diào)應(yīng)用系統(tǒng)提供抗抵賴(lài)措施（如數(shù)字簽名），從而保證發(fā)送和接收方都是真實(shí)存在的用戶(hù)。檢查方法詢(xún)問(wèn)系統(tǒng)管理員，了解抗抵賴(lài)方面采取的措施?？赏ㄟ^(guò)查看文檔或源代碼等方法來(lái)驗(yàn)證措施是否落實(shí)。g軟件容錯(cuò)要求項(xiàng)應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的數(shù)據(jù)格式或度符合系統(tǒng)設(shè)定要求； 0dctOYi。條款理解為了防止檢查方法詢(xún)問(wèn)系統(tǒng)管理員，了解軟件容錯(cuò)方面采取的措施?？赏ㄟ^(guò)查看文檔或源代碼等方法來(lái)驗(yàn)證措施是否落實(shí)，并在界面上輸入超過(guò)長(zhǎng)度或不符要求格式（如 i’r- ）的數(shù)據(jù)，驗(yàn)證其功能是否正確。 XO4AiX。h資源控制要求項(xiàng)當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話；應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制；應(yīng)能夠?qū)蝹€(gè)帳戶(hù)的多重并發(fā)會(huì)話進(jìn)行限制；等級(jí)保護(hù)測(cè)評(píng)師初級(jí)技術(shù)考試應(yīng)能夠?qū)σ粋€(gè)訪問(wèn)帳戶(hù)或一個(gè)請(qǐng)求進(jìn)程占用的資源分配最大限額和最小限額；應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警；應(yīng)提供服務(wù)優(yōu)先級(jí)設(shè)定功能，并在安裝后根據(jù)安全策略設(shè)定訪問(wèn)帳戶(hù)或請(qǐng)求進(jìn)程的優(yōu)先級(jí)，根據(jù)優(yōu)先級(jí)分配系統(tǒng)資源。 fnS5iIU。條款理解資源控制是為了保證大多數(shù)用戶(hù)能夠正常的使用資源，防止服務(wù)中斷，應(yīng)用系統(tǒng)應(yīng)采取制最大并發(fā)連接數(shù)、請(qǐng)求帳戶(hù)的最大資源限制等措施。 l檢查方法詢(xún)問(wèn)系統(tǒng)管理員，了解資源控制措施的部署和實(shí)施情況。根據(jù)了解的情況，檢查應(yīng)用系統(tǒng)是否配備了相應(yīng)的功能，在條件允許的情況下，驗(yàn)證功能是否正確數(shù)據(jù)完整性要求項(xiàng)應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中完整性受到破壞，在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施； w應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲(chǔ)過(guò)程中完整性受到破壞，在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施。 。條款理解該項(xiàng)要求強(qiáng)調(diào)不僅要保證管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸數(shù)據(jù)的完整性，而且要保證存儲(chǔ)過(guò)程中的完整性并且在檢測(cè)到完整性受到破壞時(shí)采取恢復(fù)措施。 u檢查方法詢(xún)問(wèn)系統(tǒng)管理員，了解數(shù)據(jù)完整性措施部署和實(shí)施情況。根據(jù)了解的情況，檢查應(yīng)用系統(tǒng)是否配備了相應(yīng)的功能，在條件允許的情況下，驗(yàn)證功能是否正確。要求項(xiàng)應(yīng)采用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性；應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲(chǔ)保密性。條款理解該項(xiàng)要求強(qiáng)調(diào)不僅要保證管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸數(shù)據(jù)的保密性，而且要保證存儲(chǔ)過(guò)程中的保密性并且在檢測(cè)到完整性受到破壞時(shí)采取恢復(fù)措施。 檢查方法詢(xún)問(wèn)系統(tǒng)管理員，了解數(shù)據(jù)保密性措施部署和實(shí)施情況。根據(jù)了解的情況，檢查應(yīng)用系統(tǒng)是否配備了相應(yīng)的功能，在條件允許的情況下，驗(yàn)證功能是否正確。等級(jí)保護(hù)測(cè)評(píng)師初級(jí)技術(shù)考試k備份和恢復(fù)要求項(xiàng)應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場(chǎng)外存放；應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地。條款理解該項(xiàng)要求對(duì)備份策略進(jìn)行了明確的要求，即“完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場(chǎng)存放”，并且強(qiáng)調(diào)應(yīng)提供異地?cái)?shù)據(jù)備份功能。 。這部分主要檢查文件型數(shù)據(jù)的備份和恢復(fù)方式。檢查方法詢(xún)問(wèn)系統(tǒng)管理員，了解備份和恢復(fù)方面采取的措施。根據(jù)了解的情況，檢查相應(yīng)措施是否落實(shí)，如果條件允許，則驗(yàn)證其是否有效。數(shù)據(jù)庫(kù)要求能看懂命令針對(duì)數(shù)據(jù)的測(cè)評(píng)的關(guān)鍵指標(biāo)比較清楚 數(shù)據(jù)完整性 通行完整性工具測(cè)試什么是工具測(cè)試工具測(cè)試是利用各種測(cè)試工具， 通過(guò)對(duì)目標(biāo)系統(tǒng)的掃描、 探測(cè)等操作、使其產(chǎn)生特定的響等活動(dòng)，通過(guò)查看、分析響應(yīng)結(jié)果， 獲取證據(jù)以證明信息系統(tǒng)安全措施是否得以有效實(shí)施的一種方法。3bfYfeO。工具測(cè)試的目的利用測(cè)試工具， 我們不僅可以直接獲取到目標(biāo)系統(tǒng)本身存在的系統(tǒng)、 應(yīng)用等方面的漏洞， 同時(shí)，也可以通過(guò)在不同的區(qū)域接入測(cè)試工具所得到的測(cè)試結(jié)果， 判斷不同區(qū)域之間的訪問(wèn)控制情況。利用工具測(cè)試，結(jié)合其他核查手段， 可以為測(cè)試結(jié)果的客觀和準(zhǔn)確提供保證。 工具測(cè)試的作用 PPT7工具測(cè)試做為一種高靈活性的輔助測(cè)試手段， 在相關(guān)的一些標(biāo)準(zhǔn)文件中， 無(wú)法直接制定工測(cè)試基本要求 測(cè)評(píng)要求工具測(cè)試的流程 重要！收集目標(biāo)系統(tǒng)信息規(guī)劃工具測(cè)試接入點(diǎn)制定《工具測(cè)試作業(yè)指導(dǎo)書(shū)》現(xiàn)場(chǎng)測(cè)試收集目標(biāo)系統(tǒng)信息網(wǎng)絡(luò)設(shè)備安全設(shè)備主機(jī)各設(shè)備的類(lèi)型目標(biāo)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等相關(guān)信息規(guī)劃工具測(cè)試接入點(diǎn)的基本、共性原則 重點(diǎn)！～由低級(jí)別系統(tǒng)向高級(jí)別系統(tǒng)探測(cè)同一系統(tǒng)同等重要程度功能區(qū)域之間要互相探測(cè)等級(jí)保護(hù)測(cè)評(píng)師初級(jí)技術(shù)考試等級(jí)保護(hù)測(cè)評(píng)師初級(jí)技術(shù)考試等級(jí)保護(hù)測(cè)評(píng)師初級(jí)技術(shù)考試由較低重要程度區(qū)域向較高重要程度區(qū)域探測(cè)由外聯(lián)接口向系統(tǒng)內(nèi)部探測(cè)跨網(wǎng)絡(luò)隔離設(shè)備 (包括網(wǎng)絡(luò)設(shè)備和安全設(shè)備 )要分段探作業(yè)指導(dǎo)書(shū)包含如下內(nèi)容接入點(diǎn)描述各個(gè)接入點(diǎn)接入 IP配置被測(cè)目標(biāo)系統(tǒng)的 IP地址等系統(tǒng)信息描述各個(gè)測(cè)試點(diǎn)測(cè)試開(kāi)始結(jié)束時(shí)間各個(gè)測(cè)試點(diǎn)可能出現(xiàn)的異常情況的記工具測(cè)試注意事項(xiàng) 重要的！～工具測(cè)試接入測(cè)試設(shè)備之前， 首先要有被測(cè)系統(tǒng)人員確定測(cè)試條件是否具備。 測(cè)試條件括被測(cè)網(wǎng)絡(luò)設(shè)備、 主機(jī)、安全設(shè)備等是否都在正常運(yùn)行， 測(cè)試時(shí)間段是否為可測(cè)試時(shí)間段等等。接入系統(tǒng)的設(shè)備、工具的 IP地址等配置要經(jīng)過(guò)被測(cè)試系統(tǒng)相關(guān)人員確認(rèn)對(duì)于測(cè)試過(guò)程可能造成的對(duì)目標(biāo)系統(tǒng)的網(wǎng)絡(luò)流量及主機(jī)性能等方面的影響 (例如口令探可能會(huì)造成的帳號(hào)鎖定等情況 )，要事先告知被測(cè)系統(tǒng)相關(guān)人員 G對(duì)于測(cè)試過(guò)程中關(guān)鍵步驟、重要證據(jù)，要及時(shí)利用抓圖等取證工具取證對(duì)于測(cè)試過(guò)程中出現(xiàn)的異常情況 (服務(wù)器出現(xiàn)故障、網(wǎng)絡(luò)中斷等待 )要及時(shí)記錄測(cè)試結(jié)束后，需要被測(cè)方人員確認(rèn)被測(cè)系統(tǒng)狀態(tài)正常并簽字后離場(chǎng)衛(wèi)生管理制度1 總則1.1 為了加強(qiáng)公司的環(huán)境衛(wèi)生管理，創(chuàng)造一個(gè)整潔、文明、溫馨的購(gòu)物、辦公環(huán)境，根據(jù)《公共場(chǎng)所衛(wèi)生管理?xiàng)l例》的要求，特制定本制度。1.2 集團(tuán)公司的衛(wèi)生管理部門(mén)設(shè)在企管部，并負(fù)責(zé)將集團(tuán)公司的衛(wèi)生區(qū)域詳細(xì)劃分到各部室，各分公司所轄區(qū)域衛(wèi)生由分公司客服部負(fù)責(zé)劃分，確保無(wú)遺漏。2 衛(wèi)生標(biāo)準(zhǔn)2.1 室內(nèi)衛(wèi)生標(biāo)準(zhǔn)2.1.1 地面、墻面：無(wú)灰塵、無(wú)紙屑、無(wú)痰跡、無(wú)泡泡糖等粘合物、無(wú)積水，墻角無(wú)灰吊、無(wú)蜘蛛網(wǎng)。2.1.2 門(mén)、窗、玻璃、鏡子、柱子、電梯、樓梯、燈具等，做到明亮、無(wú)灰塵、無(wú)污跡、無(wú)粘合物，特別是玻璃，要求兩面明亮。2.1.3 柜臺(tái)、貨架：清潔干凈，貨架、柜臺(tái)底層及周?chē)鸁o(wú)亂堆亂放現(xiàn)象、無(wú)灰塵、無(wú)粘合物，貨架頂部、背部和底部干凈，不存放雜物和私人物品。2.1.4 購(gòu)物車(chē)（筐）、直接接觸食品的售貨工具（包括刀、叉等）：做到內(nèi)外潔凈，無(wú)污垢和粘合物等。購(gòu)物車(chē)（筐）要求每天營(yíng)業(yè)前簡(jiǎn)單清理，周五全面清理消毒；售貨工具要求每天消毒，并做好記錄。2.1.5 商品及包裝：商品及外包裝清潔無(wú)灰塵（外包裝破損的或破舊的不得陳列）。2.1.6 收款臺(tái)、服務(wù)臺(tái)、辦公櫥、存包柜：保持清潔、無(wú)灰塵，臺(tái)面和側(cè)面無(wú)灰塵、無(wú)灰吊和蜘蛛網(wǎng)。桌面上不得亂貼、亂畫(huà)、亂堆放物品，用具擺放有序且干凈，除當(dāng)班的購(gòu)物小票收款聯(lián)外，其它單據(jù)不得存放在桌面上。2.1.7 垃圾桶：桶內(nèi)外干凈，要求營(yíng)業(yè)時(shí)間隨時(shí)清理，不得溢出，每天下班前徹底清理，不得留有垃圾過(guò)夜。2.1.8 窗簾：定期進(jìn)行清理，要求干凈、無(wú)污漬。2.1.9 吊飾：屋頂?shù)牡躏椧鬅o(wú)灰塵、無(wú)蜘蛛網(wǎng)，短期內(nèi)不適用的吊飾及時(shí)清理徹底。2.1.10 內(nèi)、外倉(cāng)庫(kù)：半年徹底清理一次，無(wú)垃圾、無(wú)積塵、無(wú)蜘蛛網(wǎng)等。2.1.11 室內(nèi)其他附屬物及工作用具均以整潔為準(zhǔn)，要求無(wú)灰塵、無(wú)粘合物等污垢。2.2 室外衛(wèi)生標(biāo)準(zhǔn)2.2.1 門(mén)前衛(wèi)生：地面每天班前清理，平時(shí)每一小時(shí)清理一次，每周四營(yíng)業(yè)結(jié)束后有條件的用水沖洗地面（冬季可根據(jù)情況適當(dāng)清理），墻面干凈且無(wú)亂貼亂畫(huà)。2.2.2 院落衛(wèi)生：院內(nèi)地面衛(wèi)生全天保潔，果皮箱、消防器械、護(hù)欄及配電箱等設(shè)施每周清理干凈。垃圾池周邊衛(wèi)生清理徹底，不得有垃圾溢出。2.2.3 綠化區(qū)衛(wèi)生：做到無(wú)雜物、無(wú)紙屑、無(wú)塑料袋等垃圾。3 清理程序3.1 室內(nèi)和門(mén)前院落等區(qū)域衛(wèi)生：每天營(yíng)業(yè)前提前10分鐘把所管轄區(qū)域內(nèi)衛(wèi)生清理完畢，營(yíng)業(yè)期間隨時(shí)保潔。下班后5-10分鐘清理桌面及衛(wèi)生區(qū)域。3.2 綠化區(qū)衛(wèi)生：每周徹底清理一遍，隨時(shí)保持清潔無(wú)垃圾。4 管理考核4.1 實(shí)行百分制考核，每月一次（四個(gè)分公司由客服部分別考核、集團(tuán)職能部室由企管部統(tǒng)一考核）。不符合衛(wèi)生標(biāo)準(zhǔn)的，超市內(nèi)每處扣0.5分，超市外每處扣1分。4.2 集團(tuán)堅(jiān)持定期檢查和不定期抽查的方式監(jiān)督各分公司、部門(mén)的衛(wèi)生工作。每周五為衛(wèi)生檢查日，集團(tuán)檢查結(jié)果考核至各分公司，各分公司客服部的檢查結(jié)果考核至各部門(mén)。目錄等級(jí)保護(hù)政策和相關(guān)標(biāo)準(zhǔn)應(yīng)用部分 .............. 1網(wǎng)絡(luò)安全測(cè)評(píng)部分 ........................ 。主機(jī)安全部分 ............................ 應(yīng)用測(cè)評(píng)部分 ............................ 。數(shù)據(jù)庫(kù) .................................. 1。工具測(cè)試 ............................... 。等級(jí)保護(hù)政策和相關(guān)標(biāo)準(zhǔn)應(yīng)用部分《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》 國(guó)務(wù)院令 147號(hào)計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)。 安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法， 由安部會(huì)同有關(guān)部門(mén)制定《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》 中發(fā)辦[2003]27 號(hào)要加強(qiáng)信息安全標(biāo)準(zhǔn)化工作， 抓緊制定急需的信息安全管理和技術(shù)標(biāo)準(zhǔn)， 形成與國(guó)際標(biāo)準(zhǔn)銜接的中國(guó)特色的信息安全標(biāo)準(zhǔn)體系 。什么是等級(jí)保護(hù)工作信息安全等級(jí)保護(hù)工作是一項(xiàng)由信息系統(tǒng)主管部門(mén)、 運(yùn)營(yíng)單位、使用單位、安全產(chǎn)品提供方安全服務(wù)提供方、 檢測(cè)評(píng)估機(jī)構(gòu)、 信息安全監(jiān)督管理部門(mén)等多方參與， 涉及技術(shù)與管理兩個(gè)領(lǐng)域的復(fù)雜系統(tǒng)工程 UForfE8。等級(jí)保護(hù)制度的地位和作用是促進(jìn)信息化、維護(hù)國(guó)家信息安全的根本保障是開(kāi)展信息安全工作的基本方法，有效抓手等級(jí)保護(hù)的主要目的明確重點(diǎn)、突出重點(diǎn)、保護(hù)重點(diǎn)優(yōu)化信息安全資源的配置明確信息安全責(zé)任拖動(dòng)信息安全產(chǎn)業(yè)發(fā)展公安機(jī)關(guān)組織開(kāi)展等級(jí)保護(hù)工作的依據(jù)《警察法》規(guī)定：警察履行“監(jiān)督管理計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)工作”的職責(zé)國(guó)務(wù)院令 7“公安部主管全國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作” “等級(jí)保護(hù)的具體辦法由公安部會(huì)同有關(guān)部門(mén)制定” 。3.2008年國(guó)務(wù)院三定方案，公安部新增職能： “監(jiān)督、檢查、指導(dǎo)信息安全等級(jí)保護(hù)工作機(jī)構(gòu)公安部 網(wǎng)絡(luò)安全保衛(wèi)局各省 網(wǎng)絡(luò)警察總隊(duì)地市 網(wǎng)絡(luò)警察支隊(duì)區(qū)縣 網(wǎng)絡(luò)警察大部分職責(zé)制定信息安全政策打擊網(wǎng)絡(luò)違法犯罪互聯(lián)網(wǎng)安全管理重要信息系統(tǒng)安全 監(jiān)督網(wǎng)絡(luò)與信息安全信息通報(bào)國(guó)家信息安全職能部門(mén)職責(zé)分工公安機(jī)關(guān) 牽頭部門(mén)，監(jiān)督、檢查、指導(dǎo)信息安全等級(jí)保護(hù)工作國(guó)家保密部門(mén) 負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)。并負(fù)責(zé)涉及國(guó)家密信息系統(tǒng)分級(jí)保護(hù)國(guó)家密碼管理部門(mén)：負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)工業(yè)和信息化部門(mén)：負(fù)責(zé)等級(jí)保護(hù)工作中部門(mén)間的協(xié)調(diào)定級(jí) 備案 建設(shè)整改 測(cè)評(píng) 監(jiān)督檢查《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》 公通字[2004]66 號(hào)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》 GB17859-1999 簡(jiǎn)稱(chēng)《劃分準(zhǔn)則》《信息安全等級(jí)保護(hù)管理辦法》 公通字[2007]43 號(hào)簡(jiǎn)稱(chēng)《管理辦法》《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》 簡(jiǎn)稱(chēng)《實(shí)施指南》《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》 GB/T22240-2008 簡(jiǎn)稱(chēng)《定級(jí)指南》《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》 GB/T22239-2008 簡(jiǎn)稱(chēng)《基本要求》《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》 簡(jiǎn)稱(chēng)《測(cè)評(píng)要求》《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》 簡(jiǎn)稱(chēng) 《測(cè)評(píng)過(guò)程指南測(cè)評(píng)主要參照標(biāo)準(zhǔn)等級(jí)保護(hù)工作中用到的主要標(biāo)準(zhǔn)基礎(chǔ)17859實(shí)施指南定級(jí)環(huán)節(jié)定級(jí)指南整改建設(shè)環(huán)節(jié)基本要求測(cè)評(píng)要求測(cè)評(píng)過(guò)程指南定級(jí)方法 確定定級(jí)對(duì)象確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體綜合評(píng)定業(yè)務(wù)信息系統(tǒng)安全被破壞對(duì)客體的侵害程度得到業(yè)務(wù)信息安全等級(jí)確定系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體綜合評(píng)定系統(tǒng)服務(wù)安全被破壞對(duì)客體的侵害程度得到系統(tǒng)服務(wù)安全等級(jí)網(wǎng)絡(luò)安全測(cè)評(píng)部分7個(gè)控制點(diǎn) 33個(gè)要求結(jié)構(gòu)安全訪問(wèn)控制入侵防范惡意代碼防范設(shè)備防護(hù)理解標(biāo)準(zhǔn)：理解標(biāo)準(zhǔn)中涉及網(wǎng)絡(luò)部分的每項(xiàng)基本要求明確目的：檢查的最終目的是判斷該信息系統(tǒng)的網(wǎng)絡(luò)安全綜合防護(hù)能力注意事項(xiàng)結(jié)構(gòu)安全 7點(diǎn) 重要應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿(mǎn)足業(yè)務(wù)高峰期需要應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿(mǎn)足業(yè)務(wù)高峰期需要應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問(wèn)路徑應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖應(yīng)根據(jù)各個(gè)部門(mén)的工作職能、 重要性和所涉及信息的重要程度等因素， 劃分不同的子網(wǎng)網(wǎng)段，并按照方便管理和控制的原則為各個(gè)子網(wǎng)、網(wǎng)段分配地址段 。應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)， 重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段 AtqIjoZ。應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來(lái)指定帶寬分配優(yōu)先級(jí)別， 保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)保護(hù)重要主機(jī)訪問(wèn)控制應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制功能應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許 /拒絕訪問(wèn)的能力，控制粒度為端口級(jí)應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層 HTTP、21、TELNET、SMTP、POP30等協(xié)議命令集的控制 (協(xié)議需要記憶 )。應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙應(yīng)按用戶(hù)和系統(tǒng)之間的允許訪問(wèn)規(guī)則， 決定允許或拒絕用戶(hù)對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn)， 制粒度為單個(gè)用戶(hù)應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶(hù)數(shù)安全審計(jì) 4項(xiàng)應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶(hù)行為等進(jìn)行日志記錄審計(jì)記錄包括：事件的日期和時(shí)間、用戶(hù)、 事件類(lèi)型、事件是否成功及其他與審計(jì)相關(guān)信息應(yīng)能夠根據(jù)記錄進(jìn)行分析，并生成審計(jì)報(bào)表測(cè)評(píng)步驟結(jié)構(gòu)安全邊界完整性檢查入侵防范惡意代碼防范訪問(wèn)控制安全審計(jì)網(wǎng)絡(luò)設(shè)備防護(hù)備份與恢復(fù)應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場(chǎng)外存放應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地應(yīng)采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余、保證系統(tǒng)的高可用性3、測(cè)評(píng)結(jié)果匯總整理對(duì)全局性檢查結(jié)果和各單項(xiàng)檢查結(jié)果進(jìn)行匯總核對(duì)檢查結(jié)果，記錄內(nèi)容真實(shí)有效，勿有遺漏主機(jī)安全部分主機(jī)安全測(cè)評(píng)機(jī)主機(jī)安全是由操作系統(tǒng)自身安全配置、 相關(guān)安全軟件以及第三方安全設(shè)備等來(lái)實(shí)現(xiàn)， 主測(cè)評(píng)則是依據(jù)基本要求對(duì)主機(jī)安全進(jìn)行符合性檢查 。目前運(yùn)行在主機(jī)上流行的操作系統(tǒng)有 windows linux sun_solaris ibm_aix hp_ux。測(cè)評(píng)準(zhǔn)備工作 很重要信息收集服務(wù)器的設(shè)備名稱(chēng)、型號(hào)、所屬網(wǎng)絡(luò)區(qū)域、操作系統(tǒng)版本、 IP、安裝應(yīng)用軟件的名稱(chēng)、主業(yè)務(wù)應(yīng)用、涉及數(shù)據(jù)、是否熱備、重要程度、責(zé)任部門(mén) 。信息收集的原則 重要完整性原則重要性原則測(cè)評(píng)指導(dǎo)書(shū)準(zhǔn)備根據(jù)信息收集的內(nèi)容、結(jié)合主機(jī)所屬等級(jí)、編寫(xiě)測(cè)評(píng)指導(dǎo)書(shū)入侵防范惡意代碼防范系統(tǒng)資源控制備份與恢復(fù)身份鑒別 6應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶(hù)身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)， 口令有復(fù)雜度要求要求定期更換應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)的不同用戶(hù)分配不同的用戶(hù)名，確保用戶(hù)名具有唯一性應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶(hù)進(jìn)行身份鑒身份鑒別共有 6個(gè)檢查項(xiàng)身份的標(biāo)識(shí)密碼口令的復(fù)雜度設(shè)置登錄失敗的處理遠(yuǎn)程管理的傳輸模式用戶(hù)名的唯一性身份組合鑒別技術(shù)什么是雙因子鑒別 重要個(gè)人所知道的信息個(gè)人的生理特征個(gè)人的行為特征訪問(wèn)控制 7個(gè)檢查項(xiàng)對(duì)系統(tǒng)的訪問(wèn)控制功能管理用戶(hù)的角色分配操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理員的權(quán)限分離默認(rèn)用戶(hù)的訪問(wèn)權(quán)限賬戶(hù)的清理重要信息資源的敏感標(biāo)記設(shè)置對(duì)有敏感標(biāo)記信息資源的訪問(wèn)和控安全審計(jì) 6個(gè)檢查項(xiàng)審計(jì)范圍審計(jì)的事件審計(jì)記錄格式審計(jì)報(bào)表得生成審計(jì)進(jìn)程保護(hù)審計(jì)記錄的保護(hù)剩余信息保護(hù) 2鑒別信息清空文件記錄等的清入侵防范 3項(xiàng)入侵行為的記錄和報(bào)警重要文件的完整性保護(hù)惡意代碼防范安裝防惡意代碼軟件主機(jī)的防惡意代碼庫(kù)和網(wǎng)絡(luò)防惡意代碼庫(kù)的差別除了安裝防病毒軟件還有什么能解決重要！～除了安裝防病毒軟件還有什么能解決重要！～安全補(bǔ)丁管理平臺(tái)防火墻入侵檢測(cè)系統(tǒng)對(duì)系統(tǒng)和數(shù)據(jù)進(jìn)行嘗備系統(tǒng)資源控制 5項(xiàng)應(yīng)通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄。應(yīng)根據(jù)安全策略設(shè)置登錄終端的－超時(shí)鎖定主機(jī)資源監(jiān)控－應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的 ，硬盤(pán)，內(nèi)存，網(wǎng)絡(luò)資源的使用情況單個(gè)資源利用－應(yīng)限制單個(gè)用戶(hù)對(duì)系統(tǒng)資源的最大或最小使用限度檢測(cè)和報(bào)警。聲光電色備份與恢復(fù) 1硬件冗余超級(jí)用戶(hù)的特權(quán)劃分為一組！～應(yīng)用測(cè)評(píng)部分開(kāi)發(fā)商和用戶(hù)對(duì)應(yīng)用系統(tǒng)安全重視程度不夠開(kāi)發(fā)商安全意識(shí)普遍淡薄，開(kāi)發(fā)中留有安全漏洞用戶(hù)普遍對(duì)應(yīng)用安全不重視，系統(tǒng)上線前不把關(guān)針對(duì)口令的攻擊，如口令破解針對(duì)WEB的應(yīng)用的攻擊應(yīng)用測(cè)評(píng)的特點(diǎn)安全功能和配置檢查并重應(yīng)用測(cè)評(píng)重不確定因素較多測(cè)評(píng)范圍廣，分析較為困難應(yīng)用測(cè)評(píng)的方法通過(guò)檢查 查看是否進(jìn)行了正確的配置如果條件允許，需進(jìn)行測(cè)試雙因子很重要！應(yīng)用測(cè)評(píng)里 安全審計(jì)很重抗抵賴(lài)通信完整性數(shù)據(jù)庫(kù)身份鑒別 數(shù)據(jù)庫(kù)管理員是否采取措施保證遠(yuǎn)程管理數(shù)據(jù)加密傳雙因子在數(shù)據(jù)庫(kù)中部署比較困難訪問(wèn)控制ORACL的檢查方法Select limit from dba_profiles where profile='DEFAULT' andresouce_name='PASSOWRD_VERIFY_FUNCTI' 是否啟用口令復(fù)雜函數(shù)。 。檢查 utlpwdmms.sql 中 －－checkforthemininumlentghofthepassword 部份中l(wèi)ength(password)< 后的值 。SQL的檢查方法Select*fromsysloginswherepasswordisnull 查看是否存在空口令帳戶(hù)數(shù)據(jù)審計(jì)KQjl8W4。ORACL的檢查方法Slect limit form dba_profiles where profile='DEFAULT' resource_name='FAILED_LOGIN_ATTEMPTS'查看值是否為 unlimited 如果值不為該值則說(shuō)明設(shè)置了登錄失敗嘗試次數(shù)的限制 。Slect limit fromdba_proprofile='DEFAULT' andresource_name='PASSWORD_LOCK_TIME',查看其值是否為 d 如果不為則說(shuō)明設(shè)置了口令鎖定時(shí)間。 。Select username,account_status fromdba_users 詢(xún)問(wèn)每個(gè)帳戶(hù)的用途，查看是否存在余的，過(guò)期的帳戶(hù) 0I6vtxg。Selectefroms 檢查是否安裝 ORACLEESECURIT模塊cL3PFK。查看是否創(chuàng)建策略： selectpolicy_name,statusfromDBA_SA_POLICIES 查看是否創(chuàng)建級(jí)別： select*FROMdba_sa_livelsORDERBYlevel_num 。查看標(biāo)簽創(chuàng)建情況： select*fromdba_sa_labels查看策略與模式、表的對(duì)應(yīng)關(guān)系： select*fromdba_sa_tables_policies 判斷是否針重要信息資源設(shè)置敏感標(biāo)簽。 。查看用戶(hù)的標(biāo)簽： select*fromdba_sa_user_labels的檢查方法Select*fromdba_sa_user_labels安全審計(jì)SQL的檢查方法、在“企業(yè)管理器＝》右鍵單擊注冊(cè)名稱(chēng)＝》單擊： “屬性”＝》安全性，查看每個(gè)注冊(cè)“審核級(jí)別”是否為“全部” 。、詢(xún)問(wèn)數(shù)據(jù)庫(kù)管理員，是否采取第三方工具或其他措施增強(qiáng) SQLServer 的日志功能。、用不同的用戶(hù)登錄數(shù)據(jù)庫(kù)系統(tǒng)并進(jìn)行不同的操作，在 SQL數(shù)據(jù)庫(kù)中查看日志錄。ORACL的檢查方法等級(jí)保護(hù)測(cè)評(píng)師初級(jí)技術(shù)考試Selectvaluefromv$parameterwherename='audit_trail' 。Showparmeteraudit_trail 查看是否開(kāi)啟審計(jì)功能Showparameter audit audit_sys_operations 查看是否對(duì)所有 sys用戶(hù)的操作進(jìn)行了記錄YTa1ek。Selectsel,uqd,del,insfromdba_obj_audit_opts, 查看是否對(duì) sel,upd,del,ins 操作行了審計(jì) fSelect*fromdba_stmt_audit_opts, 查看審計(jì)是否設(shè)置成功Select*fromdba_priv_audit_opts 查看權(quán)限審計(jì)選項(xiàng)審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類(lèi)型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等。用戶(hù)可以通過(guò) altersystemsetaudit_trail=none 并重啟實(shí)例關(guān)閉審計(jì)功能，查看是成功。Sp_config'remotelogintimeout(s);, 查看是否設(shè)置了超時(shí)時(shí)間查看空閑超時(shí)設(shè)置，select limit from dba_profiles where profile='DEFAULT resource_name='IDLE_TIME'. h應(yīng)限制單個(gè)用戶(hù)對(duì)系統(tǒng)資源的最大或最小使用限度。ORACL的檢查方法Selectusername,prodba_users 確定用戶(hù)使用的profile,針對(duì)指定用戶(hù)的 profile,查看其限制（以 default 為例。。Select limit from dba_profileswhereprofile='DEFAULT'andresource_name='CPU_PER_USER',查看是否對(duì)每個(gè)用戶(hù)所允許的并行會(huì)話數(shù)進(jìn)行了限制。jSelect limit from dba_profiles where profile='DEFAULT' resource_name='CPU_PER_SESSION',查看是否對(duì)一個(gè)會(huì)話可以使用的 時(shí)間進(jìn)行了限制。LSelect limit from dba_profiles where profile='DEFAULT' andresource_name='CPU_PER_IDLE_TIME',查看是否對(duì)允許空閑會(huì)話的時(shí)間進(jìn)行了限制。 備份與恢復(fù) 應(yīng)用和數(shù)據(jù)庫(kù)應(yīng)提供數(shù)據(jù)本地備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次 備份介質(zhì)場(chǎng)外存儲(chǔ)考試要點(diǎn)應(yīng)用系統(tǒng)的特點(diǎn)a測(cè)評(píng)范圍較廣和數(shù)據(jù)庫(kù)、操作系統(tǒng)等成熟產(chǎn)品不同， 應(yīng)用系統(tǒng)現(xiàn)場(chǎng)測(cè)評(píng)除檢查安全配置外，還需驗(yàn)證其安全功能是正確b測(cè)評(píng)中不確定因素較多，測(cè)評(píng)較為困難需根據(jù)業(yè)務(wù)和數(shù)據(jù)流程確定測(cè)評(píng)重點(diǎn)和范圍應(yīng)用系統(tǒng)安全漏洞發(fā)現(xiàn)困難，很難消除代碼級(jí)的安全隱患c測(cè)評(píng)結(jié)果分析較為困難應(yīng)用系統(tǒng)與平臺(tái)軟件，如 平臺(tái)、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)絡(luò)等都存在關(guān)聯(lián)關(guān)系應(yīng)用系統(tǒng)的測(cè)評(píng)方法a通過(guò)訪談，了解安全措施的實(shí)施情況和其他成熟產(chǎn)品不同，應(yīng)用系統(tǒng)只有在充分了解其部署情況和業(yè)務(wù)流程后，才能明確測(cè)評(píng)的范圍和對(duì)象，分析其系統(tǒng)的脆弱性和面臨的主要安全威脅，有針對(duì)性的進(jìn)行測(cè)評(píng) Jota2Cu。b通過(guò)檢查，查看其是否進(jìn)行了正確的配置等級(jí)保護(hù)測(cè)評(píng)師初級(jí)技術(shù)考試有的安全功能（如口令長(zhǎng)度限制、錯(cuò)誤登錄嘗試次數(shù)等）需要在應(yīng)用系統(tǒng)上進(jìn)行配置，查看其是否進(jìn)行了正確的配置，與安全策略是否一致。 。無(wú)需進(jìn)行配置的，則應(yīng)查看其部署情況是否與訪談一致。c如果條件允許，需進(jìn)行測(cè)試可通過(guò)測(cè)試驗(yàn)證安全功能是否正確，配置是否生效。代碼級(jí)的安全漏洞在現(xiàn)場(chǎng)查驗(yàn)比較困難，則可進(jìn)行漏洞掃描和滲透測(cè)試，如果條件允許則可進(jìn)行代碼白盒測(cè)試。 。應(yīng)用系統(tǒng)難理解的地方a身份鑒別應(yīng)提供專(zhuān)用的登錄控制模塊對(duì)登錄用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別；應(yīng)對(duì)同一用戶(hù)采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶(hù)身份鑒別；應(yīng)提供用戶(hù)身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶(hù)份標(biāo)識(shí)，身份鑒別信息不易被冒用； 。應(yīng)提供登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；應(yīng)啟用身份鑒別、用戶(hù)身份標(biāo)識(shí)唯一性檢查、用戶(hù)身份鑒別信息復(fù)雜度檢查以及登錄失處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。 。條款理解三級(jí)或三級(jí)以上系統(tǒng)要求必須提供兩種（兩次口令鑒別不屬于兩種鑒別技術(shù)）或兩種以組合的鑒別技術(shù)進(jìn)行身份鑒別，在身份鑒別強(qiáng)度上有了更大的提高。 。檢查方法詢(xún)問(wèn)系統(tǒng)管理員，了解身份鑒別措施的部署和實(shí)施情況。根據(jù)了解的情況，檢查應(yīng)用系統(tǒng)是否按照策略要求進(jìn)行了相應(yīng)的配置，在條件允許的情下，驗(yàn)證功能（包括應(yīng)用口令暴力破解等測(cè)試手段）是否正確。 vkSyIlS。b訪問(wèn)控制要求項(xiàng)訪問(wèn)控制的覆蓋范圍應(yīng)包括與資源訪問(wèn)相關(guān)的主體、客體及它們之間的操作；應(yīng)由授權(quán)主體配置訪問(wèn)控制策略，并嚴(yán)格限制默認(rèn)帳戶(hù)的訪問(wèn)權(quán)限；應(yīng)授予不同帳戶(hù)為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系；應(yīng)具有對(duì)重要信息資源設(shè)置敏感標(biāo)記的功能；應(yīng)依據(jù)安全策略嚴(yán)格控制用戶(hù)對(duì)有敏感標(biāo)記重要信息資源的操作。條款理解三級(jí)系統(tǒng)要求訪問(wèn)控制的粒度達(dá)到文件、數(shù)據(jù)庫(kù)表級(jí)，權(quán)限之間具有制約關(guān)系（如三權(quán)分離，管理、審計(jì)和操作權(quán)限），并利用敏感標(biāo)記控制用戶(hù)對(duì)重要信息資源的操作。 。檢查方法等級(jí)保護(hù)測(cè)評(píng)師初級(jí)技術(shù)考試詢(xún)問(wèn)系統(tǒng)管理員，了解訪問(wèn)控制措施的部署和實(shí)施情況。根據(jù)了解的情況，檢查應(yīng)用系統(tǒng)是否按照策略要求進(jìn)行了相應(yīng)的配置，在條件允許的情況下，驗(yàn)證功能是否正確。 。c安全審計(jì)要求項(xiàng)應(yīng)提供覆蓋到每個(gè)用戶(hù)的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)；應(yīng)保證無(wú)法單獨(dú)中斷審計(jì)進(jìn)程，無(wú)法刪除、修改或覆蓋審計(jì)記錄；審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日期、時(shí)間、發(fā)起者信息、類(lèi)型、描述和結(jié)果等；應(yīng)提供對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢(xún)、分析及生成審計(jì)報(bào)表的功能。條款理解三級(jí)系統(tǒng)強(qiáng)調(diào)對(duì)每個(gè)用戶(hù)的重要操作進(jìn)行審計(jì)，重要操作一般包括登錄 /退出、改變?cè)L問(wèn)制策略、增加 /刪除用戶(hù)、改變用戶(hù)權(quán)限和增加 /刪除/查詢(xún)數(shù)據(jù)等。 VcnGpY。檢查方法詢(xún)問(wèn)系統(tǒng)管理員，了解安全審計(jì)措施的部署和實(shí)施情況。重點(diǎn)檢查應(yīng)用系統(tǒng)是否對(duì)每個(gè)用戶(hù)的重要操作進(jìn)行了審計(jì)，同時(shí)可通過(guò)進(jìn)行一些操作，看應(yīng)用系統(tǒng)是否進(jìn)行了正確的審計(jì)。 vs9FUKi。c剩余信息保護(hù)要求項(xiàng)應(yīng)保證用戶(hù)鑒別信息所在的存儲(chǔ)空間被釋放或再分配給其他用戶(hù)前得到完全清除，無(wú)論些信息是存放在硬盤(pán)上還是在內(nèi)存中； X0wE4e。應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間被釋放或重新分配給其用戶(hù)前得到完全清除。 。條款理解該項(xiàng)要求是為了防止某個(gè)用戶(hù)非授權(quán)獲取其他用戶(hù)的鑒別信息、文件、目錄和數(shù)據(jù)庫(kù)記等資源，應(yīng)用系統(tǒng)應(yīng)加強(qiáng)內(nèi)存和其他資源管理。 5檢查方法詢(xún)問(wèn)系統(tǒng)管理員，了解剩余信息保護(hù)方面采取的措施。根據(jù)了解的情況，測(cè)試其采取的措施是否有效，如以某個(gè)用戶(hù)進(jìn)行操作，操作完成退系統(tǒng)后系統(tǒng)是否保留有未被刪除的文件等。 4lefoFB。d通信完整性要求項(xiàng)應(yīng)采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性。條款理解該項(xiàng)要求強(qiáng)調(diào)采取密碼技術(shù)來(lái)保證通信過(guò)程中的數(shù)據(jù)完整性，普通加密技術(shù)無(wú)法保證密件在傳輸過(guò)程中不被替換，還需利用 函數(shù)（如MD、SH和MA）用于完整性校驗(yàn)，但不利用生成的校驗(yàn)碼來(lái)進(jìn)行完整性校驗(yàn)。 ydQRJ2。檢查方法詢(xún)問(wèn)系統(tǒng)管理員，了解通信完整性方面采取的措施。等級(jí)保護(hù)測(cè)評(píng)師初級(jí)技術(shù)考試可通過(guò)查看文檔或源代碼等方法來(lái)驗(yàn)證措施是否落實(shí)。e通信保密性要求項(xiàng)在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證；應(yīng)對(duì)通信過(guò)程中的整個(gè)報(bào)文或會(huì)話過(guò)程進(jìn)行加密。條款理解該項(xiàng)要求強(qiáng)調(diào)整個(gè)報(bào)文或會(huì)話過(guò)程進(jìn)行加密，同時(shí)，如果在加密隧道建立之前需要傳遞碼等信息，則應(yīng)采取密碼技術(shù)來(lái)保證這些信息的安全。 voarxsQ。檢查方法詢(xún)問(wèn)系統(tǒng)管理員，了解通信保密性方面采取的措施，分析其會(huì)話初始化過(guò)程是否安全。可通過(guò)抓包工具（如 pro）獲取通信雙方的內(nèi)容，查看系統(tǒng)是否對(duì)通信雙方的內(nèi)容進(jìn)行了加密。 px9scn2。F抗抵賴(lài)要求項(xiàng)應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。條款理解該項(xiàng)要求強(qiáng)調(diào)應(yīng)用系統(tǒng)提供抗抵賴(lài)措施（如數(shù)字簽名），從而保證發(fā)送和接收方都是真實(shí)存在的用戶(hù)。檢查方法詢(xún)問(wèn)系統(tǒng)管理員，了解抗抵賴(lài)方面采取的措施?？赏ㄟ^(guò)查看文檔或源代碼等方法來(lái)驗(yàn)證措施是否落實(shí)。g軟件容錯(cuò)要求項(xiàng)應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的數(shù)據(jù)格式或度符合系統(tǒng)設(shè)定要求； 0dctOYi。條款理解為了防止檢查方法詢(xún)問(wèn)系統(tǒng)管理員，了解軟件容錯(cuò)方面采取的措施?？赏ㄟ^(guò)查看文檔或源代碼等方法來(lái)驗(yàn)證措施是否落實(shí)，并在界面上輸入超過(guò)長(zhǎng)度或不符要求格式（如 i’r- ）的數(shù)據(jù)，驗(yàn)證其功能是否正確。 XO4AiX。h資源控制要求項(xiàng)當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話；應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制；應(yīng)能夠?qū)蝹€(gè)帳戶(hù)的多重并發(fā)會(huì)話進(jìn)行限制；等級(jí)保護(hù)測(cè)評(píng)師初級(jí)技術(shù)考試應(yīng)能夠?qū)σ粋€(gè)訪問(wèn)帳戶(hù)或一個(gè)請(qǐng)求進(jìn)程占用的資源分配最大限額和最小限額；應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警；應(yīng)提供服務(wù)優(yōu)先級(jí)設(shè)定功能，并在安裝后根據(jù)安全策略設(shè)定訪問(wèn)帳戶(hù)或請(qǐng)求進(jìn)程的優(yōu)先級(jí)，根據(jù)優(yōu)先級(jí)分配系統(tǒng)資源。 fnS5iIU。條款理解資源控制是為了保證大多數(shù)用戶(hù)能夠正常的使用資源，防止服務(wù)中斷，應(yīng)用系統(tǒng)應(yīng)采取制最大并發(fā)連接數(shù)、請(qǐng)求帳戶(hù)的最大資源限制等措施。 l檢查方法詢(xún)問(wèn)系統(tǒng)管理員，了解資源控制措施的部署和實(shí)施情況。根據(jù)了解的情況，檢查應(yīng)用系統(tǒng)是否配備了相應(yīng)的功能，在條件允許的情況下，驗(yàn)證功能是否正確數(shù)據(jù)完整性要求項(xiàng)應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中完整性受到破壞，在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施； w應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲(chǔ)過(guò)程中完整性受到破壞，在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施。 。條款理解該項(xiàng)要求強(qiáng)調(diào)不僅要保證管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸數(shù)據(jù)的完整性，而且要保證存儲(chǔ)過(guò)程中的完整性并且在檢測(cè)到完整性受到破壞時(shí)采取恢復(fù)措施。 u檢查方法詢(xún)問(wèn)系統(tǒng)管理員，了解數(shù)據(jù)完整性措施部署和實(shí)施情況。根據(jù)了解的情況，檢查應(yīng)用系統(tǒng)是否配備了相應(yīng)的功能，在條件允許的情況下，驗(yàn)證功能是否正確。要求項(xiàng)應(yīng)采用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性；應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲(chǔ)保密性。條款理解該項(xiàng)要求強(qiáng)調(diào)不僅要保證管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸數(shù)據(jù)的保密性，而且要保證存儲(chǔ)過(guò)程中的保密性并且在檢測(cè)到完整性受到破壞時(shí)采取恢復(fù)措施。 檢查方法詢(xún)問(wèn)系統(tǒng)管理員，了解數(shù)據(jù)保密性措施部署和實(shí)施情況。根據(jù)了解的情況，檢查應(yīng)用系統(tǒng)是否配備了相應(yīng)的功能，在條件允許的情況下，驗(yàn)證功能是否正確。等級(jí)保護(hù)測(cè)評(píng)師初級(jí)技術(shù)考試k備份和恢復(fù)要求項(xiàng)應(yīng)提