维护恶意代码库的升级和检测系统的更新。
5
f1127网络设备防护(G3)
本项要求包括:a应对登录网络设备的用户进行身份鉴别;b应对网络设备的管理员登录地址进行限制;c网络设备标识应唯一;同一网络设备的用户标识应唯一;禁止多个人员共用一个账号;(增强)d身份鉴别信息应不易被冒用,口令复杂度应满足要求并定期更换。应修改默认用户和口令,不得使用缺省口令,口令长度不得小于8位,要求是字母和数字或特殊字符的混合并不得与用户名相同,口令应定期更换,并加密存储;(增强)e主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;f应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;g当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;h应实现设备特权用户的权限分离,系统不支持的应部署日志服务器保证管理员的操作能够被审计,并且网络特权用户管理员无权对审计记录进行操作;(增强)i应封闭不需要的网络端口,关闭不需要的网络服务。如需使用SNMP服务,应采用安全性增强版本;并应设定复杂的Commu
ity控制字段,不使用Public、Private等默认字段。(新增)
113主机安全
1131身份鉴别(S3)
本项要求包括:a应对登录操作系统和数据库系统的用户进行身份标识和鉴别;b操作系统和数据库系统管理用户身份鉴别信息应不易被冒用,口令复杂度应满足要求并定期更换。口令长度不得小于8位,且为字母、数字或特殊字符的混
6
f合组合,用户名和口令禁止相同;(增强)c启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。限制同一用户连续失败登录次数;(增强)d当对服务器进行远程管理时,采取必要措施,防止鉴别信息在网络传输过程中被窃听;e应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性;f应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
1132访问控制(S3)
本项要求包括:a应启用访问控制功能,依据安全策略控制用户对资源的访问;b应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;c应实现操作系统和数据库系统特权用户的权限分离;d应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;e应及时删除多余的、过期的帐户,避免共享帐户的存在;f应对重要信息资r