本文詳解等級保護測評過程中，主機安全測評的要求項、測評方法及測評步驟，測評判分標(biāo)準(zhǔn)

1

身份鑒別

?

應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標(biāo)識和鑒別

測評方法及步驟（Windows主機）：

1)使用“WIN鍵+L”鎖定計算機，并再次登錄，驗證是否需要輸入密碼才能登陸，需要密碼則此項符合

2)點擊【開始】→【設(shè)置】→【控制面板】→【管理工具】→【本地安全策略】→【安全選項】進行檢查。查看“交互式登錄：不需要按Ctrl+Alt+Del”是否為“禁用”狀態(tài)，禁用為“符合”，或者在上一步驟“登錄”過程中是否有提示按“Ctrl+Alt+Del”才可進行登錄來判定是否已經(jīng)設(shè)置；

0分標(biāo)準(zhǔn)：

1）存在自動登錄或默認(rèn)賬戶默認(rèn)口令或默認(rèn)賬戶無口令。

滿分標(biāo)準(zhǔn)：

1）對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份鑒別；

2）不得使用默認(rèn)用戶和默認(rèn)口令。

?

操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換

測評方法及步驟（Windows主機）：

1)【開始】→【設(shè)置】→【控制面板】→【管理工具】→【本地安全策略】→【密碼策略】，查看密碼復(fù)雜度是否啟用，同時詢問或者查看當(dāng)前密碼的設(shè)置情況是否符合密碼復(fù)雜度要求；

2)【開始】→【設(shè)置】→【控制面板】→【管理工具】→【本地安全策略】→【密碼策略】，檢查密碼的最小強度是否設(shè)置為8位或以上，如是則此項為符合；

3)【開始】→【設(shè)置】→【控制面板】→【管理工具】→【本地安全策略】→【密碼策略】，查看密碼的有效期限設(shè)置，建議密碼最短使用期限應(yīng)該設(shè)置為2天，最長設(shè)置為70天，歷史密碼設(shè)置為24天，可根據(jù)系統(tǒng)情況略有出入，但不能為未設(shè)置狀態(tài)；

0分標(biāo)準(zhǔn)：

1）對口令復(fù)雜度和更換周期均無要求，或存在空口令或弱口令（6位數(shù)字及以下）；

滿分標(biāo)準(zhǔn)：

1）口令由數(shù)字、大小寫字母、符號混排，無規(guī)律的方式。

2）用戶口令的長度至少為8位。

3）口令每季度更換一次，更新的口令至少5次內(nèi)不能重復(fù)。

?

應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施

測評方法及步驟（Windows主機）：

1)【開始】→【設(shè)置】→【控制面板】→【管理工具】→【本地安全策略】→【賬戶鎖定策略】，檢查是否設(shè)置賬戶登錄失敗閾值（推薦設(shè)置為3~5次）以及鎖定時間（推薦設(shè)置為30分鐘），如進行設(shè)置則此項為符合；

0分標(biāo)準(zhǔn)：

1）無登錄失敗處理功能或未啟用登錄失敗處理功能；

滿分標(biāo)準(zhǔn)：

1）已啟用登錄失敗處理功能。

2）限制非法登錄嘗試次數(shù)，超嘗試次數(shù)后實現(xiàn)鎖定策略。

3）設(shè)置網(wǎng)絡(luò)連接超時自動退出。

?

當(dāng)對服務(wù)器進行遠(yuǎn)程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽

測評方法及步驟（Windows主機）：

1)查看系統(tǒng)當(dāng)前版本是否為windows server2003sp1以后版本；

2)【開始】→【設(shè)置】→【控制面板】→【管理工具】→【終端服務(wù)配置】→【連接】→雙擊右側(cè)【RDP-TCP】，查看【常規(guī)】標(biāo)簽，在安全層參數(shù)處設(shè)置應(yīng)為【協(xié)商】，則會使用TLS1.0的SSL加密方式進行遠(yuǎn)程連接；

0分標(biāo)準(zhǔn)：

1）當(dāng)對服務(wù)器進行遠(yuǎn)程管理，鑒別信息明文傳輸。

滿分標(biāo)準(zhǔn)：

1）當(dāng)對服務(wù)器進行遠(yuǎn)程管理，鑒別信息非明文傳輸。

?

為操作系統(tǒng)和數(shù)據(jù)庫的不同用戶分配不同的用戶名，確保用戶名具有唯一性

測評方法及步驟（Windows主機）：

1)?右鍵單擊【我的電腦】→【管理】，左側(cè)目錄樹中選擇【本地用戶和組】→【用戶】，查看各用戶名稱，是否包含同名用戶，不同名則此項為符合；

0分標(biāo)準(zhǔn)：

1）操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶名不具有唯一性。

滿分標(biāo)準(zhǔn)：

1）操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶名具有唯一性。

?

應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進行身份鑒別

測評方法及步驟（Windows主機）：

1)應(yīng)詢問系統(tǒng)管理員，對系統(tǒng)的登錄是否采用雙因子身份認(rèn)證方式進行驗證，查看有無CA認(rèn)證服務(wù)器或其他身份認(rèn)證手段，如存在其他認(rèn)證方式，嘗試進行其他認(rèn)證方式的身份登錄驗證，當(dāng)存在兩種或以上身份登錄方式為符合；

0分標(biāo)準(zhǔn)：

1）采用一種鑒別技術(shù)；

滿分標(biāo)準(zhǔn)：

1）采用兩種或兩種以上組合的鑒別技術(shù)（采用用戶名/口令、挑戰(zhàn)應(yīng)答、動態(tài)口令、物理設(shè)備、生物識別技術(shù)和數(shù)字證書方式的身份鑒別技術(shù)中的任意兩個組合及以上）。

?

?

2

訪問控制

?

應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問

測評方法及步驟（Windows主機）：

1)進入windows系統(tǒng)的系統(tǒng)目錄以及系統(tǒng)根目錄→system32、windows目錄，選擇目錄，右鍵【屬性】→【安全】，查看相應(yīng)目錄的讀寫執(zhí)行等的權(quán)限，判斷everyone、users、administrator各組的權(quán)限是否過高，非系統(tǒng)管理員賬號不得擁有修改、寫入和完全控制等權(quán)限；

2)【開始】→【運行】中輸入cmd，命令行中輸入net share，查看網(wǎng)絡(luò)共享的情況；

0分標(biāo)準(zhǔn)：

1）未根據(jù)業(yè)務(wù)需要設(shè)置訪問控制策略；

滿分標(biāo)準(zhǔn)：

1）制定安全策略。

2）根據(jù)安全策略控制用戶對資源的訪問。（對重要文件的訪問權(quán)限進行限制，對系統(tǒng)不需要的服務(wù)、共享路徑等可能被非授權(quán)訪問的客體（文件）進行限制）。

?

應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限

測評方法及步驟（Windows主機）：

1)【開始】→【控制面板】→【管理工具】→【本地安全策略】→【本地策略】→【審核策略】→【用戶權(quán)指派】，查看是否為某些用戶指派過高權(quán)限；

0分標(biāo)準(zhǔn)：

1）所有操作均使用超級權(quán)限賬戶進行管理；

滿分標(biāo)準(zhǔn)：

1）所有賬戶采用最小授權(quán)原則（如系統(tǒng)管理員只能對系統(tǒng)進行維護，安全管理員只能進行處理配置和安全設(shè)置，安全審計員只能維護審計信息等）。

?

應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離

測評方法及步驟（Windows主機）：

如果安裝了數(shù)據(jù)庫系統(tǒng)，應(yīng)檢查操作系統(tǒng)中的數(shù)據(jù)庫管理賬號的權(quán)限；

0分標(biāo)準(zhǔn)：

1）只配置一個管理人員；

2)?存在兼任；

滿分標(biāo)準(zhǔn)：

1）操作系統(tǒng)的特權(quán)用戶與該操作系統(tǒng)中安裝的數(shù)據(jù)庫系統(tǒng)的特權(quán)用戶權(quán)限進行分離，且權(quán)限互斥。

?

應(yīng)嚴(yán)格限制默認(rèn)賬戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)賬戶，并修改這些賬戶的默認(rèn)口令

測評方法及步驟（Windows主機）：

1)右鍵單擊【我的電腦】→【管理】→【本地用戶和組】→【用戶】，查看賬號并記錄各賬號的用途；

2)右鍵單擊【我的電腦】→【管理】→【本地用戶和組】→【用戶】，查看有無“administrator”賬號，并檢查是否禁用了guest賬號，無“administrator”賬號且禁用了guest賬號則此項為符合；

0分標(biāo)準(zhǔn)：

1）使用默認(rèn)賬號和默認(rèn)口令或存在弱口令；

滿分標(biāo)準(zhǔn)：

1）合理限制默認(rèn)賬戶的訪問權(quán)限。

2）重命名默認(rèn)賬號。

3）修改默認(rèn)口令。

?

應(yīng)及時刪除多余的、過期的賬戶，避免共享賬戶的存在；

測評方法及步驟（Windows主機）：

1)右鍵單擊【我的電腦】→【管理】→【本地用戶和組】→【用戶】，查看和記錄賬號，詢問各賬號的用途，檢驗是否存在過期或者多余的賬號，比如數(shù)據(jù)庫或其他軟件安裝用的賬號等；

0分標(biāo)準(zhǔn)：

1）存在無用賬戶或多人共享賬戶；

滿分標(biāo)準(zhǔn)：

1）不存在過期和無用賬號。

2）做到賬戶和人一一對應(yīng)。

?

應(yīng)對重要信息資源設(shè)置敏感標(biāo)記

測評方法及步驟（Windows主機）：

1)詢問管理員是否使用技術(shù)手段對關(guān)鍵文件或者其它信息資源設(shè)置了敏感信息標(biāo)記，如存在此類控制策略，則可查看敏感信息的分級與標(biāo)記設(shè)置情況，并記錄其方式，不存在為不符合；

0分標(biāo)準(zhǔn)：

1）無設(shè)置敏感標(biāo)記功能；

滿分標(biāo)準(zhǔn)：

1）能對重要信息資源設(shè)置敏感標(biāo)記。

?

應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作

測評方法及步驟（Windows主機）：

1)?詢問和查看目前的敏感標(biāo)記策略的相關(guān)設(shè)置，如：如何劃分敏感標(biāo)記分類，如何設(shè)定訪問權(quán)限；

0分標(biāo)準(zhǔn)：

1）未依據(jù)安全策略實現(xiàn)功能控制；

滿分標(biāo)準(zhǔn)：

1）對重要資源設(shè)置敏感標(biāo)記，并制定了訪問控制策略。

?

?

3

安全審計

?

安全審計應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶

測評方法及步驟（Windows主機）：

1)?點擊【開始】→【設(shè)置】→【控制面板】→【管理工具】→【本地安全策略】→【審核策略】，查看是否對各審核項的成功和失敗事件進行審計開啟審核，在windows系統(tǒng)下默認(rèn)審核對所有用戶啟用，默認(rèn)情況下只要開啟審核功能即為符合；

2)右鍵【我的電腦】→【管理】→【事件查看器】，查看系統(tǒng)能否正常記錄安全、系統(tǒng)等日志，可查看到日志的記錄則此項為符合；

0分標(biāo)準(zhǔn)：

1）未啟用審計功能；

滿分標(biāo)準(zhǔn)：

1）啟用審計功能；

2)審計范圍覆蓋到服務(wù)器和重要客戶端上的每個用戶。

?

審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件

測評方法及步驟（Windows主機）：

1)【開始】→【設(shè)置】→【控制面板】→【管理工具】→【本地安全策略】→【審核策略】，查看是否有審核項開啟，開啟項目是否覆蓋了系統(tǒng)異常以及其他重要系統(tǒng)事件。Windows可審計包括系統(tǒng)、安全、應(yīng)用程序的異常操作和重大事件，開啟相關(guān)的審計功能即滿足此項要求，建議需要開啟的審核項包括：

審核賬戶登錄事件?????????? 成功/失敗

審核賬戶管理??????????????? 成功/失敗

審核目錄服務(wù)訪問????????? ??成功/失敗

審核登錄事件????????????????? 成功/失敗

審核對象訪問????????????????? 成功/失敗

審核策略更改?????????????????? 成功

審核系統(tǒng)事件?????????????????? 成功

0分標(biāo)準(zhǔn)：

1）審計內(nèi)容未包括重要用戶行為（如用超級用戶命令改變用戶身份，刪除系統(tǒng)表等）；

滿分標(biāo)準(zhǔn)：

1）審計策略覆蓋系統(tǒng)內(nèi)重要的安全相關(guān)事件，至少包括用戶標(biāo)記和鑒別、自主訪問控制的所有操作記錄、重要用戶行為（如用超級用戶命令改變用戶身份，刪除系統(tǒng)表）、系統(tǒng)資源的異常使用、重要系統(tǒng)命令的使用等。

?

審計記錄應(yīng)包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等

測評方法及步驟（Windows主機）：

1)右鍵【我的電腦】→【管理】→【事件查看器】,雙擊任一事件查看器（安全、系統(tǒng)、應(yīng)用等），可看到各記錄項和要素，查看是否包含了日期、時間、主體、客體、結(jié)果，Windows默認(rèn)情況下包含這些屬性項，默認(rèn)情況下開啟審核則符合要求；

0分標(biāo)準(zhǔn)：

1）審計記錄未包括事件的時間、主體標(biāo)識、客體標(biāo)識和結(jié)果等；

滿分標(biāo)準(zhǔn)：

1）審計記錄包括事件發(fā)生的日期和時間、觸發(fā)事件的主體與客體、事件的類型、事件成功或失敗、身份鑒別事件中請求的來源、事件的結(jié)果等。

?

應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表

測評方法及步驟（Windows主機）：

1)?詢問管理員，是否定期查看操作系統(tǒng)日志并根據(jù)安全事件的發(fā)生的情況制作報表以及分析報告，或詢問管理員是否有第三方的安全審計系統(tǒng)進行安全審計，并具備定期出具報表以及報告功能；

0分標(biāo)準(zhǔn)：

1）未執(zhí)行審計分析；

2）未形成審計報表；

滿分標(biāo)準(zhǔn)：

1）提供專門的審計工具對審計記錄進行分類、排序、查詢、統(tǒng)計、分析等。

2）能根據(jù)需要生成審計報表。

3）定期對記錄數(shù)據(jù)進行分析。

?

應(yīng)保護審計進程，避免受到未預(yù)期的中斷

測評方法及步驟（Windows主機）：

1)windows自帶審計進程自保護功能，不會受到未預(yù)期的中斷，因此此項在默認(rèn)情況下即為符合；

0分標(biāo)準(zhǔn)：

1）審計進程可被非授權(quán)中斷；

滿分標(biāo)準(zhǔn)：

1）審計進程受到保護，無法未授權(quán)中斷或未授權(quán)修改配置。

?

?

4

剩余信息保護

應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中

測評方法及步驟（Windows主機）：

1)【開始】→【控制面板】→【管理工具】→【本地安全策略】→【本地策略】→【安全選項】，查看“交互式登錄：不顯示上次的用戶名”項是否設(shè)置為“已啟用”狀態(tài)；

0分標(biāo)準(zhǔn)：

1）前次登錄鑒別信息第二次登錄的時候未被清除；

滿分標(biāo)準(zhǔn)：

1）存儲空間再分配其他用戶時完全清除。

?

應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除

測評方法及步驟（Windows主機）：

1)【開始】→【控制面板】→【管理工具】→【本地安全策略】→【本地策略】→【安全選項】,查看“關(guān)機：清除虛擬內(nèi)存頁面文件”項是否狀態(tài)為“已啟用”，啟用為符合；

2)繼續(xù)查看【本地安全策略】→【賬戶策略】的密碼策略，查看是否選中“用可還原的加密來存儲密碼”；

0分標(biāo)準(zhǔn)：

1）能夠訪問其他用戶已經(jīng)釋放的文件、目錄和數(shù)據(jù)庫記錄等資源；

滿分標(biāo)準(zhǔn)：

1）操作系統(tǒng)具備自身的清除機制進行清除或采用第三方工具清除。

?

應(yīng)能夠檢測到對重要服務(wù)器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴(yán)重入侵事件時提供報警

測評方法及步驟（Windows主機）：

1)詢問系統(tǒng)管理員，是否對主機部署主機入侵檢查系統(tǒng)，主機入侵檢測系統(tǒng)是否能記錄入侵事件以及各要素；

2)查看系統(tǒng)是否開啟自帶防火墻，通過自身防火墻來防范攻擊，以及通過系統(tǒng)的審計來記錄防火墻的入侵日志，或者是否有其他防火墻或者主動防御系統(tǒng)防范攻擊行為，記錄攻擊事件；

0分標(biāo)準(zhǔn)：

1）重要服務(wù)器上不能檢測到對重要服務(wù)器的入侵行為 ；

滿分標(biāo)準(zhǔn)：

1）能夠在重要服務(wù)器上檢測到入侵的行為。

2）保存有攻擊源IP、攻擊類型、攻擊目標(biāo)、攻擊時間等相關(guān)入侵檢測記錄。

3）發(fā)生入侵事件能夠報警（如聲音、短信、Email等）。

?

應(yīng)能夠?qū)χ匾绦蛲暾赃M行檢測，并在檢測到完整性受到破壞后具有恢復(fù)的措施

測評方法及步驟（Windows主機）：

1)詢問系統(tǒng)管理員，是否利用一些檢查工具和腳本對重要文件的完整性進行檢查，如對比校驗等，是否對重要的配置文件進行備份，可查看備份的演示；

0分標(biāo)準(zhǔn)：

1）無法檢測重要程序的完整性 ；

滿分標(biāo)準(zhǔn)：

1）通過第三方軟件對重要程序進行完整性檢測。

2）檢測到完整性受到破壞后具有恢復(fù)措施。

?

操作系統(tǒng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補丁及時得到更新

測評方法及步驟（Windows主機）：

1)右鍵點擊【我的電腦】→【屬性】，查看當(dāng)前操作系統(tǒng)server pack版本，如2000為sp4版本,2003為sp2版本，xp為sp2版本，則SP版本符合要求，【開始】→【運行】中輸入“appwiz.cpl”勾選“顯示更新”可以查看安全補丁是否為最新，并記錄最后更新的時間；

2)【開始】→【運行】→輸入“cmd”，進入命令行界面，輸入#netstat –an

記錄系統(tǒng)開啟的TCP和UDP端口，確認(rèn)是否含有不必要開放的端口或者是否存在可疑端口；

3)?【開始】→【運行】→輸入“services.msc”，進入服務(wù)查看界面，查看是否有不必要的服務(wù)開啟；

0分標(biāo)準(zhǔn)：

1）存在明顯能被利用的安全漏洞；

滿分標(biāo)準(zhǔn)：

1）遵循最小安裝原則，僅安裝需要的組件和應(yīng)用程序；

2）未啟動多余的服務(wù)和端口；

3）設(shè)置升級服務(wù)器實現(xiàn)對服務(wù)器的補丁升級；

4）操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)補丁為廠商新公布的補丁版本。

?

6

惡意代碼防范

應(yīng)安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫

測評方法及步驟（Windows主機）：

1)【開始】→【設(shè)置】→【控制面板】→【安全中心】，查看是否安裝殺毒以及是否及時更新到最新，更新時間不晚于一星期；

0分標(biāo)準(zhǔn)：

1）未安裝防惡意代碼產(chǎn)品或安裝防惡意代碼產(chǎn)品未及時升級；

滿分標(biāo)準(zhǔn)：

1）安裝防惡意代碼軟件；

2）防惡意代碼軟件為最新版本；

3）惡意代碼庫定期更新，且為最新版本。

?

主機防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫

測評方法及步驟（Windows主機）：

1)檢查主機防惡意代碼產(chǎn)品品牌與網(wǎng)絡(luò)防惡意代碼品牌對比，是否為不同品牌或其使用了不同的惡意代碼庫，如不同則此項符合；

0分標(biāo)準(zhǔn)：

1）網(wǎng)絡(luò)和主機防惡意代碼產(chǎn)品相同代碼庫 ；

滿分標(biāo)準(zhǔn)：

1）網(wǎng)絡(luò)和主機防惡意代碼產(chǎn)品有不同的惡意代碼庫。

?

應(yīng)支持惡意代碼防范的統(tǒng)一管理

測評方法及步驟（Windows主機）：

1)檢查防惡意代碼產(chǎn)品，是否采用的CS架構(gòu)，在各服務(wù)器及主機處安裝的為防惡意代碼的客戶端，并有專門的服務(wù)器安裝防惡意代碼產(chǎn)品的服務(wù)器端，且服務(wù)器端對終端用戶能施行統(tǒng)一管理，如靜默升級惡意代碼庫等，

0分標(biāo)準(zhǔn)：

1）未實現(xiàn)統(tǒng)一管理（非網(wǎng)絡(luò)版）；

滿分標(biāo)準(zhǔn)：

1）支持惡意代碼防范統(tǒng)一管理，統(tǒng)一更新、統(tǒng)一檢測與查殺。

?

7

資源控制

應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄

測評方法及步驟（Windows主機）：

1)選中當(dāng)前啟用的網(wǎng)卡，打開【屬性】界面，項目中選擇【TCP/IP屬性】，彈出界面中選擇【高級】，選擇【選項】標(biāo)簽，雙擊打開【TCP/IP篩選】，查看是否勾選“啟用TCP/IP篩選”或者設(shè)置了遠(yuǎn)程訪問的源IP。

2)是否使用IPSEC來進行TCP/IP過濾，【開始】→【運行】中輸入secpol.msc，右鍵建立IP安全策略。查看有無TCP/IP策略；

3)是否使用網(wǎng)絡(luò)/個人防火墻等方式限制訪問來源；以上3者有其一即為此項符合，或者有其他可行的資源控制手段也可。

0分標(biāo)準(zhǔn)：

1）未限制終端登錄；

滿分標(biāo)準(zhǔn)：

1）遠(yuǎn)程登錄限制終端接入方式和網(wǎng)絡(luò)地址。

?

應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定

測評方法及步驟（Windows主機）：

1)應(yīng)詢問系統(tǒng)管理員，是否定期巡查服務(wù)器資源狀況并記錄狀態(tài)，或者是否使用第三方管理工具監(jiān)控服務(wù)器的資源使用狀況；

0分標(biāo)準(zhǔn)：

1）未設(shè)置操作超時鎖定；

滿分標(biāo)準(zhǔn)：

1）設(shè)置了合理的操作超時鎖定（10分鐘以內(nèi)）；

2）在恢復(fù)時需要重新鑒別。

?

應(yīng)對重要服務(wù)器進行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況

測評方法及步驟（Windows主機）：

1)對遠(yuǎn)程用戶的超時設(shè)置可查看如下設(shè)置：右鍵【我的電腦】→【管理】→【本地用戶和組】→【用戶】，選擇要被限制的用戶，右鍵單擊，選擇【屬性】，選擇【會話】標(biāo)簽，查看活動會話限制和空閑會話限制有無設(shè)置時間，無則不符合；

2)?對本機登錄的會話超時設(shè)置可通過如下步驟查看：右鍵桌面空白處，選擇【屬性】→【屏幕保護程序】標(biāo)簽，查看是否設(shè)置了使用屏保、等待時間以及超時密碼鎖定策略，無則不符合，以上情況都符合時此項符合；

0分標(biāo)準(zhǔn)：

1）未對重要服務(wù)器資源使用情況進行監(jiān)視。

滿分標(biāo)準(zhǔn)：

1）通過監(jiān)控管理軟件對服務(wù)器的資源（CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等）的使用情況進行實時監(jiān)視。

?

應(yīng)限制單個用戶對系統(tǒng)資源的最大或最小使用限度

測評方法及步驟（Windows主機）：

1)訪談管理員是否有相應(yīng)的措施限制用戶對系統(tǒng)資源訪問的最大最小限度，針對系統(tǒng)資源控制的管理措施；

0分標(biāo)準(zhǔn)：

1）系統(tǒng)資源不足且未限制單個用戶的使用限度。

滿分標(biāo)準(zhǔn)：

1）支持惡意代碼防范統(tǒng)一管理，統(tǒng)一更新、統(tǒng)一檢測與查殺。1）對單個用戶系統(tǒng)資源（CPU、內(nèi)存、硬盤）的使用限度進行限制。

?

應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進行檢測和報警

測評方法及步驟（Windows主機）：

1)詢問管理員日常如何監(jiān)控系統(tǒng)服務(wù)水平，若有第三方監(jiān)控程序，詢問并查看它是否有相關(guān)功能；

0分標(biāo)準(zhǔn)：

1）未采用第三方監(jiān)控管理軟件對系統(tǒng)服務(wù)水平進行監(jiān)視。

滿分標(biāo)準(zhǔn)：

1）通過第三方監(jiān)控管理軟件進行監(jiān)視。

2）第三方監(jiān)控管理軟件具有報警功能，且設(shè)置了報警門限值。