6.1　檢查技術

6.1.1　文檔檢查

文檔檢查應確定策略和規程在技術上覆蓋以下方面：

a) 被測方為網絡安全等級測評的評估者提供適當的文檔，為了解系統的安全態勢提供基礎，確保檢查的全面性；

b) 檢查對象包括安全策略、體系結構和要求、標準作業程序、系統安全計劃和授權許可、系統互連的技術規范、事件響應計劃，確保技術的準確性和完整性；

c) 檢查安全策略、體系結構和要求、標準作業程序、系統安全計劃和授權許可、系統互連的技術規范、事件響應計劃等文檔的完整性，通過檢查執行記錄和相應表單，確認被測方安全措施的實施與制度文檔的一致性；

d) 發現可能導致遺漏或不恰當地實施安全控制措施的缺陷和弱點；

e) 評估者驗證被測系統的文檔是否與網絡安全等級保護標準法規相符合，查找有缺陷或已過時的策略；

f) 文檔檢查的結果可用于調整其他的測試技術，例如，當口令管理策略規定了最小口令長度和復雜度要求的時候，該信息應可用于配置口令破解工具，以提高口令破解效率。

6.1.2　日志檢查

應對信息系統中的以下日志信息進行檢查：

a) 認證服務器或系統日志，包括成功或失敗的認證嘗試；

b) 操作系統日志，包括系統和服務的啟動、關閉，未授權軟件的安裝，文件訪問，安全策略變更，賬戶變更（例如賬戶創建和刪除、賬戶權限分配）以及權限使用等信息；

c) IDS/IPS日志，包括惡意行為和不恰當使用；

d) 防火墻、交換機和路由器日志，包括影響內部設備的出站連接（如僵尸程序、木馬、間諜軟件等），以及未授權連接的嘗試和不恰當使用；

e) 應用日志，包括未授權的連接嘗試、賬號變更、權限使用，以及應用程序或數據庫的使用信息等；

f) 防病毒日志，包括病毒查殺、感染日志，以及升級失敗、軟件過期等其他事件；

g) 其他安全日志，如補丁管理等，應記錄已知漏洞的服務和應用等信息；

h) 網絡運行狀態、網絡安全事件相關日志，留存時間不少于6個月。

6.1.3　規則集檢查

規則集檢查對象應包括如防火墻、IDS/IPS等網絡設備以及部署在操作系統或主機集群中軟件的訪問控制列表、規則集，以及重要信息系統中數據庫、操作系統和應用系統的強制訪問控制機制，具體包括：

a) 訪問控制列表

1) 每一條規則都應是有效的（例如，因臨時需求而設定的規則，在不需要的時候應立刻移除）；

2) 應只允許策略授權的流量通過，其他所有的流量默認禁止。

b) 規則集

1) 應采用默認禁止策略；

2) 規則應實施最小權限訪問，例如限定可信的IP地址或端口；

3) 特定規則應在一般規則之前被觸發；

4) 任何不必要的開放端口應關閉，以增強周邊安全；

5) 規則集不應允許流量繞過其他安全防御措施。

c) 強制訪問控制機制

1) 強制訪問控制策略應具有一致性，系統中各個安全子集應具有一致的主、客體標記和相同的訪問規則；

2) 以文件形式存儲和操作的用戶數據，在操作系統的支持下，應實現文件級粒度的強制訪問控制；

3) 以數據庫形式存儲和操作的用戶數據，在數據庫管理系統的支持下，應實現表/記錄、字段級粒度的強制訪問控制；

4) 檢查強制訪問控制的范圍，應限定在已定義的主體與客體中。

6.1.4　系統配置檢查

應通過檢查操作系統的安全策略設置和安全配置文件，標識安全配置控制的弱點，包括：

a) 未依據安全策略進行加固或配置；

b) 不必要的服務和應用；

c) 不當的用戶帳號和口令設置；

d) 不正確的審計策略配置，以及備份設置；

e) 不正確的操作系統文件訪問權限設置；

f) 重要信息系統中主、客體的敏感標記：

1) 由系統安全員創建的用戶敏感標記、客體（如數據）敏感標記；

2) 實施相同強制訪問控制安全策略的主、客體，應以相同的敏感信息進行標記；

3) 檢查標記的范圍，應擴展到系統中的所有主體與客體；

4) 實施相同強制訪問控制安全策略的各個場地的主、客體，應以相同的敏感信息進行標記，保證系統中標記的一致性。

6.1.5　文件完整性檢查

實施文件完整性檢查時應采取以下技術措施：

a) 將一個已知安全的系統作為基準樣本，用于系統文件的比對；

b) 基準樣本應采用離線存儲，防止攻擊者通過修改基準樣本來破壞系統并隱藏蹤跡；

c) 校驗數據庫應通過補丁和其他升級更新文件保持最新狀態；

d) 采用哈希或簽名等手段，保證校驗數據庫所存儲的數據的完整性。

6.1.6　密碼檢查

應對系統采用的密碼技術或產品進行檢查，保證其所提供的密碼算法相關功能符合國家密碼主管部門的有關規定。