安全加固

一、访问控制加固

网络安全访问控制加固

1.提供在网络边界部署访问控制设备，启用访问控制功能的安全服务；
2.对数据带通用协议提供访问控制的安全服务；
3.根据数据的敏感标记允许或拒绝数据通过的安全服务；
4.远程拨号访问功能安全服务。

主机安全访问控制加固

1.依据安全策略和所有主体和客体设置的敏感标记控制主体对客体的访问的服务；
2.提供访问控制的粒度达到主体为用户级或进程级，客体为文件、数据库表、记录和字段级的服务。
3. 根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限的服务；
4. 能够实现操作系统和数据库系统特权用户的权限分离；
5. 提供严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令的服务；
6. 能够及时删除多余的、过期的帐户，避免共享帐户的存在。

应用安全访问控制加固

1. 提供自主访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问；
2. 提供自主访问控制的覆盖范围包括与信息安全直接相关的主体、客体及它们之间的操作的服务；
3. 能够由授权主体配置访问控制策略，并禁止默认帐户的访问；
4. 授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系；
5. 提供通过比较安全标记来确定是授予还是拒绝主体对客体的访问的服务。

二、反入侵加固

网络安全反入侵加固

1. 能够在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；
2. 当检测到攻击行为时，会记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警及自动采取相应动作。

主机安全反入侵加固

　1. 能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警；
　2. 能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施；
　3. 操作系统能够遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。

三、防火墙设备加固

1. 提供对登录网络设备的用户进行身份鉴别的服务；
2. 提供对网络设备的管理员登录地址进行限制的服务；
3. 提供网络设备用户的标识唯一的服务；
4. 主要网络设备能够对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；
5. 身份鉴别信息具有不易被冒用的特点，口令有复杂度要求并定期更换；
6. 提供网络设备用户的身份鉴别信息至少有一种是不可伪造的服务；
7. 具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；
8. 当对网络设备进行远程管理时，能够采取必要措施防止鉴别信息在网络传输过程中被窃听；
9. 提供实现设备特权用户的权限分离的服务。

四、灾难恢复及审计加固

　网络安全审计加固

1. 提供对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录的服务；
2. 审计记录会包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；
3. 能够根据记录数据进行分析，并生成审计报表；
4. 提供对审计记录进行保护，避免受到未预期的删除、修改或覆盖等的服务；
5. 提供定义审计跟踪极限的阈值，当存储空间接近极限时，能采取必要的措施，当存储空间被耗尽时，终止可审计事件的发生的服务；
6. 能够根据信息系统的统一安全策略，实现集中审计，时钟保持与时钟服务器同步。

　主机安全审计加固

1. 审计范围能够覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；
2. 审计内容会包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；
3. 审计记录能够包括日期和时间、类型、主体标识、客体标识、事件的结果等的服务；
4. 能够根据记录数据进行分析，并生成审计报表；
5. 提供保护审计进程，避免受到未预期的中断的服务；
6. 提供保护审计记录，避免受到未预期的删除、修改或覆盖等的服务；
7. 能够根据信息系统的统一安全策略，实现集中审计。

　应用安全审计加固

1. 提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计的服务；
2. 提供保证无法单独中断审计进程，无法删除、修改或覆盖审计记录的服务；
3. 审计记录的内容至少能够包括事件的日期、时间、发起者信息、类型、描述和结果等；
4. 提供对审计记录数据进行统计、查询、分析及生成审计报表的功能；
5. 根据系统统一安全策略，提供集中审计接口的服务。