对于系统默认的用户名，由于它们的某些权限与实际系统的要求可能存在差异，从而造成安全隐患，因此这些默认用户名应禁用，对于匿名用户的访问原则上是禁止的，查看服务器操作系统，确认匿名/默认用户的访问权限已被禁用或者严格限制。依据服务器操作系统访问控制的安全策略，以为授权用户身份/角色测试访问客体，是否不允许进行访问 10、 应及时删除多余的，过期的账户，避免共享账户的存在。 对于系统默认的用户名，由于他们的某些权限与实际系统的要求可能存在差异，从而造成安全隐患，因此这些默认用户名应禁用。对于匿名用户的访问，原则上是禁止的，查看服务器操作系统，确认匿名/默认用户的访问权限已被禁止或严格限制。依据服务器操作系统、访问控制的安全策略，以未授权用户身份/角色测试访问客体，是否不允许进行访问 11、 应对重新信息资源设置敏感标记。 12、 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。

敏感标记是强制访问控制的依据，主客体都有，它存在的形式无所谓，可能是整形的数字，也可能是字母，总之它表示主客体的安全级别。敏感标记是由强认证的安全管理员进行设置的，通过对重要信息资源设置敏感标记，决定主体以何种权限对客体进行操作，实现强制访问控制。

小结：

在三级系统中，访问控制公有7个检查项，分别是对系统的访问控制功能、管理用户的角色分配、操作系统和数据库系统管理员的权限分离，默认用户的访问权限，账户的清理、重要信息资源的敏感标记设置和对有敏感标记信息资源的访问控制

（三） 安全审计： 13、 安全审计应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。 安全审计定义是保障计算机系统本地安全和网络安全的重要技术，通过对审计信息的分析可以为计算机系统的脆弱性评估、责任认定、损失评估、系统恢复提供关键性信息。因此覆盖范围必须要到每个操作系统用户和数据库用户 14、 审计内容应包括重要用户行为，系统资源的一场使用和重要系统命令的使用等系统内重要的安全相关事件。

有效合理的配置安全审计内容，能够及时准确的了解和判断安全事件的内容和性质，并且可以极大的节省系统资源 15、 审计记录包括事件的日期，时间，类型，主体标识，客体标识和结果等。 审计记录是指跟踪指定数据库的使用状态产生的信息，它应该包括事件的日期、时间、类型、主体标识、客体标识和结果等。通过记录中得详细信息，能够帮助管理员或其他相关检查人员准确的分析和定位事件 16、 应保护审计进程，避免受到未预期的中断。

保护好审计进程，当避免当时间发生时，能够及时记录时间发生的详细内容

17、 应保护审计记录，避免受到未预期的删除，修改或覆盖等。 非法用户进入系统后的第一件事情就是去清理系统日志和审计日志，而发现入侵的最简单最直接的方法就是去看系统记录和安全审计文件，因此，必须对审计记录进行安全保护，避免受到未预期的删除、修改或覆盖等。

小结：

在三级系统中，安全审计共有6个检查项，分别是审计范围、审计的事件、审计记录格式、审计报表得生成、审计进程保护和审计记录的保护

（四） 剩余信息保护： 18、 应保证操作系统和数据库管理系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中。

剩余信息保护是指操作系统用户的鉴别信息存储空间，被释放或再分配给其他用户前是否得到完全清楚 19、 应确保系统的文件，目录和数据库记录等资源所在的储存空间，被释放或重新分配给其他用户前得到完全清除。

由于主存于辅存价格和性能的差异，现代操作系统普遍采用辅存作为缓存，对于缓存使用的安全问题也尤其重要 小结

在三级系统中，剩余信息保护共有2个检查项，分别是鉴别信息清空、文件记录等得清空

（五） 入侵防范： 20、 应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP，攻击的类型，攻击的目的，攻击的时间，并在发生严重入侵事件时提供报警。

要维护系统安全，必须进行主动监视，以检查是否发生了入侵和攻击。因此一套成熟的主机监控机制能够有效的避免、发现、阻断恶意攻击事件 21、 应能够对重要程序完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施。

对系统重要文件备份或者对整个系统进行全备，有利于当系统遭受到破坏后能够得到及时恢复 22、 操作系统遵循最小安装的原则，仅安装需要的组建和应用程序，并通过设置更新服务器等方式保持系统补丁及时得到更新。

对于本项而言，主要涉及到两个方面的内容，分别是：系统服务、补丁升级。遵循最小安装原则，仅开启需要的服务，安装需要的组件和程序，可以极大地降低系统遭受攻击的可能性。

及时更新系统补丁，可以避免遭受由系统漏洞带来的风险

小结：

在三级系统中，入侵防范公有3个检查项，分别是入侵行为的记录和报警、重要文件的完整性保护、最小安装原则

（六） 恶意代码防范： 23、 应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库。

无论是Windows主机还是Linux主机，都面临着木马，蠕虫等病毒软件的破坏。因此一般的主机为防范病毒均会安装防病毒软件，如 Norton Anti-Virus 、金山毒霸等，并且通常也能及时更新病毒库 24、 主机防恶意代码产品应具有与网络防恶意代码产品不通的恶意代码库。

基于网络和基于主机的防病毒软件在系统上应构成立体的防护结构，属于深层防御的一部分。因此基于网络的防病毒软件的病毒库应与基于主机的防病毒软件的病毒库不同 25、 应支持恶意代码方法的统一管理。

一个机构的病毒管理应满足木桶原理，只有当所有主机都及时更新了病毒库才能够做到防止病毒的入侵。因此应有同意的病毒管理策略，例如统一更新，定时查杀等 小结：

在三级系统中，恶意代码防范共有3个检查项，分别是安装防恶意代码软件，主机的防恶意代码库和网络防恶意代码库的差别，防恶意代码软件统一管理

（七） 系统资源控制： 26、 应通过设置终端接入方式，网络地址范围等条件限制终端登录。

系统资源概念是指CPU、存储空间、传输带快等软硬件资源，通过设定终端接入方式、网络地址范围等条件限制终端登录，可以极大的节省系统资源，保证了系统的可用性，同时也提高了系统的安全性，对于Windows系统自身来说，可以通过主机防火墙或TCP/IP筛选来实现以上功能 27、 根据安全策略设置登录终端的操作超时锁定。

如果系统管理员在离开系统之前忘记注销管理员账户，那么可能存在被恶意用户利用或被其他非授权用户误用的可能性，从而对系统带来不可控制的安全隐患 28、 应对重要服务器进行监视，包括监视服务器的CPU，硬盘，内存，网络等资源的使用情况。

对主机的监控出了做到人工监控外，另一个主要方面是自动监控，目前自动监控的主要方法

是设定资源报警阀值，以便在资源使用超过规定数值时发出报警 29、 限制单个用户对紫铜资源的最大或最小使用限度。

一个服务器上可能有多用户，如果不对每个用户进行限制则很容易导致DDOS攻击，最终使系统资源耗尽，因此应限制单个用户的系统资源使用限度 30、 应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。

当系统的服务水平降低到预先规定的最小值时，如磁盘空间不足、CPU利用率过高、硬件发生故障等，通过报警机制，将问题现象发送给相关负责人，及时定位引起问题的原因和对异常情况进行处理，从而避免故障的发生或将影响减到到最低

小结：

在三级系统中，系统资源控制共有5个检查项，分别是接入控制，超时锁定，主机资源监控，单个资源利用，系统服务水平监控和报警机制

（八） 备份与恢复： 31、 应提供主要网络设备，通信线路和数据处理系统的硬件冗余，保证系统的高可用性。

对于可用性要求较高的信息系统来说，仅仅进行数据备份是远远不够的，还必须进行系统备份。系统备份策略包括本地和远程两种方式，其中，本地备份主要使用容错技术和冗余配置来应对硬件故障；远程备份主要用于应对灾难事件，有热站和冷站两种选择

小结：

在三级系统中，备份与恢复公有1个检查项，是否硬件冗余

第三章：应用安全测评： 应用安全的形势：

1、 如今，越来越多的企业用户已将核心业务系统转移到网络上，WEB浏览器成为业务系统的窗口，应用系统面临更多的安全威胁；并且由于各种原因使得其存在较多的安全漏洞。在此背景下，如果保障企业的应用安全，尤其是WEB应用安全成为新形势下信息安全保障的关键所在。

2、 针对应用系统的攻击手段越来越多：

1、 常见的攻击手段。如口令破解，信息窃听，绕过访问控制，后门攻击等。

2、 针对WEB应用的攻击，如跨站脚本攻击，SQL注入，缓冲区溢出，拒绝服务攻击等。 应用测评的特点： （一） 测评范围较广

1、 和数据库，操作系统等成熟产品不同，应用系统现场测评除检查安全配置外，还需验证其安全是否正确。