3　主機安全

3.1　身份鑒别

本項要求包括：

a)應對登錄操作系統和數據庫系統的用戶進行身份标識和鑒别；

b)操作系統和數據庫系統管理用戶身份标識應具有不易被冒用的特點，口令應有複雜度要求并定期更換；

c)應啟用登錄失敗處理功能，可采取結束會話、限制非法登錄次數和自動退出等措施；

d)當對服務器進行遠程管理時，應采取必要措施，防止鑒别信息在網絡傳輸過程中被竊聽；

e)應為操作系統和數據庫系統的不同用戶分配不同的用戶名，确保用戶名具有唯一性。

f)應采用兩種或兩種以上組合的鑒别技術對管理用戶進行身份鑒别。

3.2　訪問控制

本項要求包括：

a)應啟用訪問控制功能，依據安全策略控制用戶對資源的訪問；

b)應根據管理用戶的角色分配權限，實現管理用戶的權限分離，僅授予管理用戶所需的最小權限；

c)應實現操作系統和數據庫系統特權用戶的權限分離；

d)應嚴格限制默認帳戶的訪問權限，重命名系統默認帳戶，修改這些帳戶的默認口令；

e)應及時删除多餘的、過期的帳戶，避免共享帳戶的存在。

f)應對重要信息資源設置敏感标記；

g)應依據安全策略嚴格控制用戶對有敏感标記重要信息資源的操作；

3.3　安全審計

本項要求包括：

a)審計範圍應覆蓋到服務器和重要客戶端上的每個操作系統用戶和數據庫用戶；

b)審計内容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統内重要的安全相關事件；

c)審計記錄應包括事件的日期、時間、類型、主體标識、客體标識和結果等；

d)應能夠根據記錄數據進行分析，并生成審計報表；

e)應保護審計進程，避免受到未預期的中斷；

f)應保護審計記錄，避免受到未預期的删除、修改或覆蓋等。

3.4　剩餘信息保護

本項要求包括：

a)應保證操作系統和數據庫系統用戶的鑒别信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在内存中；

b)應确保系統内的文件、目錄和數據庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。

3.5　入侵防範

本項要求包括：

a)應能夠檢測到對重要服務器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發生嚴重入侵事件時提供報警；

b)應能夠對重要程序的完整性進行檢測，并在檢測到完整性受到破壞後具有恢複的措施；

c)操作系統應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統補丁及時得到更新。

3.6　惡意代碼防範

本項要求包括：

a)應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；

b)主機防惡意代碼産品應具有與網絡防惡意代碼産品不同的惡意代碼庫；

c)應支持防惡意代碼的統一管理。

3.7　資源控制

本項要求包括：

a)應通過設定終端接入方式、網絡地址範圍等條件限制終端登錄；

b)應根據安全策略設置登錄終端的操作超時鎖定；

c)應對重要服務器進行監視，包括監視服務器的CPU、硬盤、内存、網絡等資源的使用情況；

d)應限制單個用戶對系統資源的最大或最小使用限度；

應能夠對系統的服務水平降低到預先規定的最小值進行檢測和報警。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!