测评对象: 测评人:主机安全(三级)测评表测评时间: 现场测评确认:指标名称测评项a) 应对登录操作系统和 数据库系统的用户进 行 身 份 标 识 和 鉴别;1、 应访谈系统管理员和数据库管理员,询问操作系统和数据库管理系统的身份标识与鉴别机制采取何种措施实现;b) 操作系统和数据库系 统管理用户身份标识 应具有不易被冒用的 特点,口令应有复杂 度 要 求 并 定 期 更换;1、 应检查主要服务器操作系统和主要数据库管理系统,查看是否提供了身份鉴别措施,其身份鉴别信息是否具有不易被冒用的特点,如对用户登录口令的最小长度、复杂度和更换周期进行了要求和限制;c) 应启用登录失败处理 功能,可采取结束会 话、限制非法登录次 数和自动退出等措施;1、 应检查主要服务器操作系统和主要数据库管理系统,查看是否已配置了鉴别失败处理功能,并设置了非法登录次数的限制值;查看是否设置网络登录连接超时,并自动退出;d) 当对服务器进行远程 管理时,应采取必要 措施,防止鉴别信息 在网络传输过程中被窃听;1、 应访谈系统管理员和数据库管理员, 询问对操作系统和数据库管理系统是否采用了远程管理,如采用了远程管理,查看是否采用了防止鉴别信息在网络传输过程中被窃听的措施;e) 应为操作系统和数据 库系统的不同用户分 配不同的用户名,确 保用户名具有唯一性;1、 应检查主要服务器操作系统和主要数据库管理系统帐户列表,查看管理员用户名分配是否唯一;f) 应采用两种或两种以 上组合的鉴别技术对 管理用户进行身份鉴别。1、 应检查主要服务器操作系统和主要数据库管理系统,查看身份鉴别是否采用两个及两个以上身份鉴别技术的组合来进行身份鉴别。序号测评说明身份鉴别1 测评对象: 测评人:主机安全(三级)测评表测评时间: 现场测评确认:指标名称测评项序号测评说明a) 应启用访问控制功能 ,依据安全策略控制 用 户 对 资 源 的 访问;1、 应检查主要服务器操作系统的安全策略,查看是否对重要文件的访问权限进行了限制,对系统不需要的服务、共享路径等进行了禁用或删除;b) 应根据管理用户的角 色分配权限,实现管 理 用 户 的 权 限 分离 ,仅授予管理用户所需的最小权限;1、 应查看是否采用最小授权原则;2、 应检查主要数据库服务器的数据库管理员与操作系统管理员是否由不同管理员担任;c) 应实现操作系统和数 据库系统特权用户的权限分离;1、 ...
