稳定的审计系统流程有哪些（操作系统审计方案如何编写）

操作系统审计方案一、审计目标： 操作系统，接下来我们就来聊聊关于稳定的审计系统流程有哪些?以下内容大家不妨参考一二希望能帮到您!

稳定的审计系统流程有哪些

操作系统审计方案

一、审计目标： 操作系统

二、审计对象：操作系统

三、审计范围：操作系统

四、审计依据：国家会计、财政、税务、银监等法律法规、条例、办法及我行相关管理办法。

五、审计内容：

（一）操作系统日常维护

1、日常维护管理

基本要求：

应对操作系统进行定期维护、升级、备份

检查方法：

（1）OS 等系统软件是否升过级 [有/无]。若有则提。供书面记录 [好/一般/差]。

（2） OS 等系统软件是否做过重要维护 [有/无]若有 [自己维护/开发商维护/其他]。书面记录 [有/无]。

（3）主机OS 等定期备份 [有/无]。若有查看备份 [好/一般/差]。

（4）主机硬件系统是否做过扩充/升级等 [有/无]。若有 [自己维护/开发商维护/其他]。书面记录 [有/无]。

（5）主机等硬件设备定期测试 [有/无]。若有查看书面记录 [好/一般/差]。

（6）主机等硬件设备定期维护 [有/无]。若有查看记录 [好/一般/差]。

（7）主机上有无开发环境 [有/无]。

（8）主机上有无源程序等 [有/无]。

（9）OS 的系统补丁是否经过测试 [有/无]。

（10）OS 的系统补丁是否经过批准 [有/无]。

（11）银行是否建立日常管理制度文件 [有/无]。

（二）用户、密码设置及根系统管理

1、root 用户及密码管理

基本要求：

应对登录操作系统用户进行身份标识和鉴别；操作系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换。应对root 密码双人分段管理并封存保管。

检查方法：

（1）按规定掌握root 密码的人数及密码设置情况：主机 [ ]人，岗位[ ]。分段保管 [是/否]。封存保管 [是/否]。封存情况 [好/否]。

（2）其他知道root 密码的人 [有/无]。若有则 [主机名| 岗位| 职称| 其他]。

（3）银行是否建立root 用户资格管理机制 [有/无]。

（4）银行是否建立root 密码保管制度 [有/无]。

2、root 用户及密码设置

基本要求：

应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令。应保证root 用户的密码达到一定的复杂度。

检查方法：

查看/etc/default/security 文件，确认配置了比较健壮的密码策略：-密码长度6 到8 位。-密码是否是字母和数字的组合。-是否启用了密码历史，并且至少比6 要大。-是否最少每90 天修改一次密码。【备注】/etc/default/security 文件规定了密码标准的参数及其值，每行一组参数和值。请使用统管理员的帐号登陆系统，使用命令"more /etc/default/security"查看文件的内容：-禁止空密码ALLOW_NULL_PASSWORD=0。-密码长度检测MIN_PASSWORD_LENGTH=6（或更大）。-为保证字母和数字的组合，请确认下列参数都不为0。- PASSWORD_MIN_UPPER_CASE_CHARS。- PASSWORD_MIN_LOWER_CASE_CHARS。- PASSWORD_MIN_DIGIT_CHARS。- PASSWORD_MIN_SPECIAL_CHARS。-密码历史PASSWORD_HISTORY_DEPTH=6（或更大）。-密码更改日期PASSWORD_MAXDAYS=90（或更小）。

3、root 登录失败记录管理

基本要求：

应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施。审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。

检查方法：

查看root 登录失败日志，从中分析是否有可疑记录。【备注】

（1）检查有无root 登录失败日志定期检查、分析机制，有无问题报告上报机制。

（2）可使用命令 more var/adm/loginlog，分析使用root 用户登录失败的情况。

4、su 命令失败记录管理

基本要求：

审计范围应覆盖到服务器和重要客户端上的每个操作系统用户。审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。操作系统应详细记录使用su 命令的记录。

检查方法：

调阅使用su 命令的日志，从中分析是否有可疑记录。【备注】

（1）检查有无su 命令日志定期检查、分析机制，有无问题报告上报机制。

（2）使用命令more /etc/security/failedlogin 调阅su 命令日志。

5、定时保护管理

基本要求：

应根据安全策略设置登录终端的操作超时锁定

检查方法：

查阅/etc/default/login 文件是否包含TIMEOUT 参数的设置（按秒）。

6、root 是否只能在某设备上注册

基本要求：

当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听，root 只能在固定的设备上注册。

检查方法：

（1）与系统管理员进行会谈，以了解root 用户登录策略；

（2）使用#more/etc/default/login 查看：CONSOLE= 设备描述。

7、根文件系统自动清理设置管理

基本要求：

应保证操作系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中。应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除。

检查方法：

使用命令#more /etc/default/boot正确值： AUTOBOOT=YES 实际值： AUTOBOOT=FSCKFIX=YES FSCKFIX=

8、其他特权用户管理

基本要求：

应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限。确认无关的系统帐号已被禁用。

检查方法：

（1）与系统管理员进行会谈：- 软件安装过程中，与设置用户访问权限和禁用默认用户帐号有关的步骤。- 与用户名管理有关的策略、流程、标准和指南。- 用户名管理的责任。

（2）默认用户帐户的状态。查看/etc/passwd 文件，确认厂家默认的用户ID 已被禁用。【备注】如果密码区域含有*号，表示这个帐户的密码不起作用。要想查看/etc/passwd中列出的用户帐户的状态，请以系统管理员的帐号登陆，敲入如下命令："userstat -a"。检查下列系统默认帐户的状态：root (0), daemon (1), bin (2), sys (3), adm (4), uucp (5), lp (9),nuucp (11), hpdb (27), www (30), webadmin (40), smbnull (101)。确认除root 外，UID 小于100 的用户都已经被禁用，除非业务特殊需要。

9、用户UID 管理情况

基本要求：

应为操作系统的不同用户分配不同的用户名，确保用户名具有唯一性。应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。应及时删除多余的、过期的帐户，避免共享帐户的存在，严格管理多个用户使用一个UID 的情况。

检查方法：

（1）检查/etc/passwd 文件检查（系统用户情况，重点检查uid 重复的用户）。系统用户（伪用户）异常情况：[用户名|uid|gid|group|home-dir|shell]。系统普通用户设置情况：[用户名|uid|gid|group|home-dir|用途]。

（2）检查/etc/security/passwd 文件（password 的属性值）。系统用户（伪用户）异常情况：[用户名|uid|gid|group|home-dir|shell]。系统普通用户设置异常情况：[用户名|uid|gid|group|home-dir|用途]。

（3）/etc/user、/etc/security/user 文件检查（有无重复用户、应删除而没删除的用户）

（4）调阅银行一段时间内离职人员清单，检查是否存在用户还存在的情况。

10、配置文件管理

基本要求：

应对重要信息资源设置敏感标记。应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。相关系统文件的权限应根据业务需求进行设置。

检查方法：

（1）与系统管理员进行会谈以取得用户配置文件策略以及银行是否建立相关策略制度。

（2）分别取得/etc/security/limits 、/etc/environments 、/etc/security/environ 、/etc/security/lastlog、/etc/security/.ids、/etc/security/.profile 等配置文件，检查是否符合配置文件策略。

11、用户目录管理

基本要求：

应严格限制用户目录下的文件，以防止恶意代码侵入系统。用户目录不应存在非正常文件。

检查方法：

（1）与系统管理员进行会谈以取得用户目录管理策略；

（2）抽查部分用户的/home 目录逐个检查。

（三）主机文件系统安全

1、文件系统目录权限配置管理

基本要求：

应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。根据实际需求配置核心文件系统目录权限。

检查方法：

（1）与信息安全管理员或技术支持人员进行会谈以了解：- 银行是否建立与系统文件和文件夹访问控制相关的信息安全策略和流程。- 系统文件和文件夹管理的角色和责任。- 系统文件和文件夹访问控制权限与银行标准背离，其原因何在。- 相关系统处理平台实现的系统文件和文件夹访问控制方法。- 对修改系统文件和文件夹、修改其访问权限进行的监控过程。

（2）查看/etc、/bin、/usr、/var、/home 等文件目录权限设置是否违背上述策略。

2、参数“umask”配置管理

基本要求：

默认 umask 参数：默认umask 参数设置在/etc/profile 目录下。Root 用户的“umask”参数应该被设为027 以移除其他用户对root 用户所创建文件的权限。检查其他特权用户例如admin、dba 的”umask”参数是否根据需求合理的设置。对于非特权用户，“umask”设置为022 通常是合适的，因为它可以阻止其他用户写文件的权限，从而限制更新文件的权限。抽查任意一个非特权用户，检查其用户目录下的”umask”参数是否被设置为022。

检查方法：

（1）通过与系统管理员访谈以了解：－定义系统参数和系统策略的步骤；－执行和评估系统安全的责任。

（2）查看是否违背上述策略。

3、应用目录权限配置管理

基本要求：

应启用访问控制功能，依据安全策略控制用户对资源的访问。

检查方法：

（1）通过与系统管理员访谈以了解应用目录权限参数和目录下应有的文件；

（2）抽查部分应用目录进行核实。

（四）主机系统访问控制

1、登录失败日志管理

基本要求：

审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；应能够根据记录数据进行分析，并生成审计报表；应保护审计进程，避免受到未预期的中断；应保护审计记录，避免受到未预期的删除、修改或覆盖等。日志应当记录信息安全策略中所定义的登录失败情况，应当定期查看系统生成的报告并采取措施。

检查方法：

（1）查看银行是否建立日志定时审阅、分析机制，有无相关制度，有无清晰的报告路线；

（2）通过查阅银行诸如系统配置和安全报告等方面的文档，搜集相关证据证实银行就询问所提供答案的真实性，看是否根据已建立的制度和流程实施了控制活动。【备注】通过以下途径检查登陆失败日志是否有效记录：- 在HP-UX 系统中失败的登陆记录可通过命令“lastb”查看。- 在AIX 系统中失败的登陆记录可通过命令“who -a/etc/security/failedlogin”查看。- 在Sun Solaris 系统中失败的登陆记录可通过命令“more/var/adm/messages”查看。- 命令“more /var/adm/sulog”显示使用命令“su 用户名密码”在用户间切换的所有成功和失败的操作。

2、UNIX 通信服务管理

基本要求：

应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。应当在业务需求的基础上启动UNIX 通信服务。

检查方法：

（1）与系统管理员访谈以了解允许启动的网络服务清单，有无相关策略制度；

（2）检查“inetd.conf”文件，识别所有已启动的网络服务。使用系统管理员帐号在命令行运行netstat-a 命令（查看开启了那些端口），识别所有正在运行的网络服务，并通过具体的“侦听”识别服务的类型；

（3）使用管理员帐号检查所有网络服务的必要性，关注高风险的服务，如ftp,telnet 和finger。

3、NFS 目录共享管理

基本要求：

应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。应通过设定终端接入方式、网络地址范围等条件限制终端登录。应当只在必要时提供NFS 目录共享，并进行合理的限制。

检查方法：

（1）与系统管理员访谈以了解允许启动的NFS 目录共享；

（2）通过以下方法检查当前的NFS 配置：--AIX 和 HP-UX: 执行“more /etc/exports”命令，查看NFS 服务器上所提供的目录共享配置。执行“showmount -a”命令，显示当前所有挂载到服务器共享目录上的客户端系统。--SOLARIS: 执行dfshares 命令，查看/etc/exports 文件

4、HTTP 服务管理

基本要求：

应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。web 服务（HTTP）的访问是基于必要的业务需求，并进行了适当的限制。应通过设定终端接入方式、网络地址范围等条件限制终端登录。

检查方法：

（1）与系统管理员进行会谈：-确定检查范围内的服务器是否有服务器启用了HTTP 服务。-用来支持HTTP 服务器正常工作的物理地点和文档。-讨论对HTTP 服务的监控和HTTP 相关的进程。-HTTP 服务器采用的安全配置和安全报告机制。

（2）HTTP 服务器。如果检查范围内的服务器没有需要被用作HTTP 服务器的，请确认的确如此。/etc/inetd.conf 文件列出了所有已启动的服务，请检查HTTP 服务是否在列。如果的确因为业务需要，启用了HTTP 服务，请看下一步。

（3）Web 服务器安全。如果因业务需要启用了HTTP 服务，请检查ip 过滤是否已经建立，用于控制远程的访问。/etc/opt/ipf/ipf.conf 文件用来设定IP 过滤规则。要查看当前的IP 过滤规则，请用系统管理员账号登陆，敲入"more /etc/opt/ip/ipf.conf"命令。查看是否建立了对HTTP 流量的控制（以'portwww'标识），并且这些规则与规定的策略一致。执行"ps -ef"命令，查看HTTP 后台进程不是以”root”用户运行的。

5、FTP 对主机的访问管理

基本要求：

应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。通过FTP 对主机的访问应基于业务需要并得到有效控制。

检查方法：

（1）与系统和安全管理员进行会谈：-FTP 服务的配置、管理策略和流程（包括匿名用户、TFTP）。-使用FTP 进行文件传输所采取安全措施。-对FTP 活动的监控，包括对FTP 用户主文件夹文件访问权限的检查。

（2）检查FTP 用户列表。HP-UX 使用/etc/ftpusers 或 /etc/ftpd/ftpusers 文件来限制FTP 用户。文件中所列用户是不允许通过FTP 访问系统的。请确认除了合法的用户外，其他任何用户都不在该文件中。系统级别的用户帐户如果没有重要原因，也不应当通过FTP 来传输信息，因此root 帐户通常也不应该被允许使用FTP。

（3）检查匿名FTP。请检查系统是否建立了FTP 匿名帐户，方法是看“/etc/passwd”是否有一个条目用户名为“ftp”，密码为*，所属用户组为guest，并且登陆的shell 为“/usr/bin/false”。举个例子（假设guest 组的ID 为10）：“ftp:*:500:10:anonymous ftp:/home/ftp:/usr/bin/false”。进入FTP 主目录，执行命令-laR，获取该文件夹的内容列表。除了public 目录外，所有其他目录的访问权限都应该是555，文件的访问权是444。Public 目录一般的访问权限为777。

6、Telnet 网络服务管理

基本要求：

应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警。应根据业务需要决定是否屏蔽telnet 网络服务。

检查方法：

（1）与系统和安全管理员进行会谈：-Telnet 服务的配置、管理策略和流程。-使用Telnet 进行访问所采取安全措施。-对Telnet 活动的监控。

（2）使用命令#more /etc/inetd.conf 核实是否与上述策略相匹配。

7、远程访问控制策略管理

基本要求：

应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警。应通过设定终端接入方式、网络地址范围等条件限制终端登录；

检查方法：

（1）与系统管理员进行会谈：- 银行是否制定远程访问控制方面制度。- 评估系统管理员在远程访问管理方面的认知水平。- 业务需要开启哪些远程访问。- 在Internet 服务中，提供了哪些默认的远程访问服务。- 用户主目录的管理情况，特别是主目录中的远程访问配置文件。

（2）参照风险点（1）风险点（2）风险点（3）风险点（4）风险点（5）风险点6 的检查情况进行综合判断。

【备注】

（1）检查保障HP-UX 系统远程访问安全的策略和流程。确定策略和流程中规定了哪些网络是被信任的。

（2）远程访问相关服务。使用命令"more /etc/inetd.conf"，列出HP-UX 服务器上的所有服务。确定一些相对不安全的服务如：telnet、rlogin、rsh、rcp 和基于rpc 的服务NIS 是没有启动的。确定只有当业务实际需要时，这些服务才被启动。

（3）检查是否启用了系统间的信赖机制。查看” hosts.equiv”文件，确定是否建立了信任网络。注意到，如果SSH/Telnet 功能开启，具有shell 访问权限的系统用户在远程访问时也同样具有这样的权限，这是很危险的。使用系统管理员账号登陆，敲入"more /etc/hosts.equiv"命令以查看信任网络是否是严格按照策略进行建立的。

（4）rhosts 支持。.rhost 文件提供了用户级远程访问的方法。.rhost 文件基于远程计算机的网络地址或用户名，实现了一种不太安全的认证机制。请确认rhost 功能是关闭的。如果根据业务需要启用了rhost 功能，确认强匹配符’ ’没有使用，因为.rhosts 中的条目应当始终是确定的主机和用户（举个例子”trustedhost alice”而不是”trustedhost”）。

（五）主机系统工作情况

1、系统进程数量管理

基本要求：

应限制单个用户对系统资源的最大或最小使用限度。系统进程数量应控制在正常值以内。

检查方法：

（1）与系统管理员进行会谈以了解系统中正常的进程数量；

（2）查看系统中实际的进程数量，看是否超出正常值。

2、系统容量管理

基本要求：

银行应定期检查容量规划并进行定期检查。应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况。应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。

检查方法：

（1）检查银行是否制定有主机容量规划，是否针对主机容量进行定期检测；

（2）uptime 显示，系统综合处理能力判断（系统负载） [富裕很大/可用/有潜在问题]；

（3）top 显示，系统综合处理能力判断 [富裕很大/可用/有潜在问题（] 提供运行在系统上的与CPU 关系最密切的进程列表，以及负载平均、进程数量、使用的存储器和页面空间数量）；

（4）sar 显示，系统综合处理能力判断 [富裕很大/可用/有潜在问题]（系统资源的使用情况，特别是内存和CPU 的使用情况）；

（5）vmstat 显示，系统内存/虚存情况判断 [富裕很大/可用/有潜在问题]；

（6）iostat 显示，系统设备处理能力判断 [富裕很大/可用/有潜在问题] ；（7）df iv 显示电脑硬盘空闲空间是否大于15%，以保证系统性能的稳定

3、定时进程设置情况管理

基本要求：

应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库。定时进程设置情况（批处理情况）应根据业务需求设定。

检查方法：

（1）与系统管理员进行会谈以了解系统定时处理的程序的情况以及银行创建、修改、终止定时程序的相关制度文件及审批流程。

（2）查看系统中cron 进程的状态 [ 启动 / 无]。

（3）/var/adm/cron/cron.deny 和allow 文件情况。/var/adm/cron/cron.deny 文件 [正常/异常]。/var/adm/cron/cron.allow 文件 [正常/异常]。【备注】：

（1）同负责AIX 管理的系统管理员和主管人员进行会谈：- 怎样在cron table 和“at”命令中处理进行中的交易和用户请求.- 怎样确保“cron” 和 “at”作业被完成。- 是否有任何第三方软件用于调度批处理。- 在cron table 添加和删除条目的步骤以及谁有权进行这样的操作。- 在cron table 中修改已有的条目的位置以及谁有权进行这样的操作。- cron table 的文件权限和存取权限。- 在这些文件中使用cron.allow, cron.deny, at.allow, 和 at.deny 条目。- 限制未经授权用户进入“cron” 和 “at”的方法。- cron 的登陆特征和cron table 的配置。- 日志审查/错误警报机制到位。

（2）查看相关配置文件。cron.allow 和at.allow 文件中列出了被允许使用Crontab 程序和at 命令进行任务调度的用户列表。cron.deny 和at.deny 文件正好相反。检查/var/adm/cron/at.allow ，/var/adm/cron/at.deny，/var/adm/cron/cron.allow，/var/adm/cron/cron.deny 这四个文件，确认只有授权的用户才能进行任务调度。当同时存在.allow 和.deny 文件时，.deny 文件将被系统忽略。使用管理员帐号登陆，使用如下命令查看文件的内容："more /var/adm/cron/cron.allow"和"more /var/adm/cron/at.allow"

4、定时进程Cron 日志管理

基本要求：

审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。定时进程Cron 日志应当完整，提供足够的可供审计的资料。

检查方法：

Cron 日志通常存放在/var/adm/cron/log file 目录。要检查当前日志的内容，使用以下命令，当以管理员登入帐户的系统： “more/var/adm/cron/log”。检查/etc/cronlog.conf 并且发现日志记录间隔时间。证实日志记录间隔时间被设置是根据政策或程序或者根据银行需要。并且证实记录文件的权限使用“ls”命令并且保证未批准的用户不可能删除日志。

（六）HACMP 设置情况

1、HACMP 维护切换管理

基本要求：

对重要主机设备应采取双机热备方式以保障业务连续性，对双击热备设备应定时检查并定时切换演练。

检查方法：

（1）群集、资源等配置和维护情况。查看安装上机时书面记录 [有/无]。日常维护记录 [有/无]。若有，记录情况[好/一般/差]。

（2）检查切换情况。定期切换规定 [有/无]，切换记录 [有/无]，情况 [好/一般/差]。故障切换次数 [ ]，切换情况 [正常/异常]。

2、其他高可靠性方案管理

基本要求：

对重要主机设备应采取措施以保障业务连续性，对保障业务连续性的设备应定时检查并定时切换演练。

检查方法：

（1）高可靠性技术方案名称。名称 [ ]，实现方式 [ ]。技术特点 [ ]。主机间备份方式 [ ]。

（2）群集、资源等配置和维护情况。查看安装上机时书面记录 [有/无]。日常维护记录 [有/无]。若有，记录情况 [好/一般/差]。

（3）检查切换情况。定期切换规定 [有/无]，切换记录 [有/无]，情况 [好/一般/差]。故障切换次数 [ ]，切换情况 [正常/异常]。

（七）Windows 系统安全策略设置是否合理

1、信息安全政策管理

基本要求：

应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令。

检查方法：

与管理员访谈并获取可用的信息安全政策和程序，讨论其规则;工具和程序用来防止未经许可存取信息、以及用户的安全策略信息。了解其组管理、用户管理、用户策略、用户权限、文件和目录权限、网络服务、审计和Windows 远程存取。

2、安全选项设置管理

基本要求：

操作系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换。

检查方法：

通过与管理员访谈取得安全策略，和推荐安全策略进行比较：允许服务器操作员在特定的时间或以特定的时间间隔。计划执行特定的任务。禁用。允许在不登录的情况下关闭系统禁用。当系统被关闭时，清除虚拟内存的页文件启用。禁止登录时按CTRL ALT DEL 禁用。登录时不显示最后登录的用户名启用。防止系统维护计算机帐户密码禁用。恢复控制台: 允许管理员自动登录禁用。恢复控制台: 允许从所有驱动器文件夹中复制文件禁用允许第三方服务器消息块（Servermessage block）服务器使用未加密的密码进行身份验证。禁用。为对象指定默认自由访问控制列表启用。

3、日志策略设置管理

基本要求：

审计范围应覆盖到服务器和重要客户端上的每个操作系统用户；审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等； 应能够根据记录数据进行分析，并生成审计报表；应保护审计进程，避免受到未预期的中断；应保护审计记录，避免受到未预期的删除、修改或覆盖等。

检查方法：

通过与管理员访谈取得日志策略，和推荐日志策略进行比较，至少反映以下事件日志：帐户登录事件成功, 失败。帐户管理成功, 失败。访问目录服务成功, 失败。登录事件失败。对象访问成功, 失败。变更策略成功, 失败。使用特权失败。全过程跟踪失败。系统事件成功, 失败。最大的应用日志大小 >10 MB。最大的安全日志大小 >10 MB。最大的系统日志大小 >10 MB。限制访客访问应用日志 必须。限制访客访问安全日志必须。限制访客访问系统日志必须。保留应用日志 >14 天。保留安全日志 >14 天。保留系统日志 >14 天。应用日志保留方法按天。安全日志保留方法按天。系统日志保留方法按天。安全日志满关闭计算机关闭。

4、硬盘分区格式管理

基本要求：

硬盘分区应尽量使用NTFS 文件系统

检查方法：

NTFS 允许管理员以用户和/或用户组指定文件和目录许可。FAT 格式不具备这个特点，所以在FAT 卷难以实现文件和目录许可。

（八）Windows 日常管理

1、版本管理

基本要求：

银行应统一操作系统版本

检查方法：

查看各桌面电脑windows 操作系统版本是否统一。

2、补丁管理

基本要求：

应及时检查操作系统安全补丁发布情况，发现有新的补丁发布，应及时升级。生产业务系统应首先在模拟环境下进行升级测试，通过后，经过审批，再对生产环境操作系统进行升级，并定期向主管负责人员汇报打补丁状态。

检查方法：

检查有无补丁管理制度，查看各桌面电脑windows 操作系统是否统一升级补丁。

3、软件管理

基本要求：

银行应禁止从事业务生产的计算机安装来历不明的软件，或私自从互联网下载的软件。外来软件在安装前，应查杀病毒，确保安全后才可安装上线。

检查方法：

查看各桌面电脑windows 操作系统有无安装与办公无关的软件及有无游戏软件或盗版软件。

4、登录密码、屏幕保护密码管理

基本要求：

服务器和终端应通过设置屏幕保护密码或即时锁屏等方式进行访问控制。

检查方法：

查看各桌面电脑windows 操作系统是否设置了登录密码、屏幕保护密码。

5、机器命名、工作组设置管理

基本要求：

应根据安全策略设置登录终端的操作超时锁定。机器命名、工作组设置应根据银行同一策略设置。

检查方法：

与管理员访谈并获取机器命名、工作组设置规则，并查看各桌面设置是否符合规则。

6、IP 地址管理

基本要求：

应根据全行同一的IP 管理策略设置IP 地址。

检查方法：

与管理员访谈并获取IP 地址设置规则，并查看各桌面设置是否符合规则。

六、审计依据

1．《某商业银行信息系统风险管理办法》（某银办发[XXXX]XX号）

2．《某商业银行供应商管理办法》

3．《某商业银行信息化项目管理办法（试行）》（某银发［XXXX］XX号）

4．《银行外包风险管理指引》（银监发[XXXX]XX号）

,