组件
7、恶意代码防范安全配置 要求主机具备一定的恶意代码防范措施。
a) 应安装防恶意代码软件，并及时更新防恶 意代码软件版本和恶意代码库；
b) 主机防恶意代码产品应具有与网络防恶意代 码产品不同的恶意代码库；
c) 应支持防恶意代码软件的统一管理。
8、可信路径的安全配置 可信路径是在用户与内核之间开辟一条直接的、
4)在组中，应为每个帐户授予所需的最小权限
访问控制需检查项
访问控制
取消不使用的共享文件夹
控制系统开启的共享及共享文 件夹的访问权限,删除IPC$、 ADMIN$、C$、D$等默认共享
控制重要数据的访问权限
Guest账号禁用
取消多余账号
3、安全审计安全配置
在通用操作系统中，均有安全审计功能，
通过相关配置，能够对系统的重要事件进行 安全审计。在windows操作系统中，将通过 控制面板 管理工具 本地安全策略 本 地策略 审核策略中的所有项目,配置为 “成功”和“失败”均记录日志。在“事件 察看器”中设置“应用程序”、“安全性” 和“系统”日志的存储大小和覆盖策略。
1、身份鉴别
在windows操作系统身份鉴别配置：通 过控制面板 管理工具 本地安全策略
计算机配置 Windows设置,配置系统的各 项”安全设置”。其中和身份鉴别有关的是
“帐户策略”，其中分为“密码策略”和“帐 户锁定策略 ”。
“密码策略”主要有以下设置：
1)密码应符合复杂度要求 2)设置密码长度最小值 3)密码最短使用期限 4)强制密码历史 5)用可还原的加密来存储密码
CPU、内存、网络连接等使用情况等。 1)磁盘空间限制：在windows操作系统中，需
要在组策略 计算机配置 管理模板 系统
磁盘配额，配置磁盘配额限制
2)资源监控：在windows操作系统中，可以使 用控制面板 性能，对系统中所有资源进
行监控，并且可以在“性能日志和警报” 中，设置“警报”，当某个资源降低到预 先设定的最小值，可以进行报警。
二、数据库安全配置与加固措施
1、增强系统管理员帐户sa口令 2、安装最新的补丁 3、限制启动帐户权限 4、启用数据库系统日志审计 5、删除示例数据库 6、修改默认的监听端口 7、停用非必需组件 8、分离数据库与应用系统 9、禁用危险的存储过程 10、关闭RPC 远程连接
1、增强系统管理员帐户sa口令
4、安全标记 要求对所有主体和客体设置敏感标记。
5、剩余信息保护安全配置
剩余信息保护要求“确保系统内的文件、 目录和数据库记录等资源所在的存储空间， 被释放或重新分配给其他用户前得到完全消 除”。对于通用操作系统来说，考虑到运行 效率，没有在系统内核层面默认实现剩余信 息保护功能，只能通过第三方工具来实现。
登录SQL SERVER数据库企业管理器，在“安全性”“登录” 中为sa设置足够复杂的口令
2、安装最新的补丁
安装所有补丁，SP1～SP4。
执行以下SQL命令可以查询详细版本信息： select @@version
注：升级补丁可能需要重启数据库服务，升级 前应进行测试，并备份系统文件和数据。
3、限制启动帐户权限
主机和数据库安全配置 与加固措施
一、主机安全配置与加固措施
信息系统是由主机、网络设备、存储设备、 安全设备以及各种应 用系统组成的。其中主机是 信息系统中的重要组成部分，承担着信息的存储、 处理的主要工作。
由于主机是信息泄露的最终来源，也是各类 攻击的最终目标，因此主机的安全关系到整个信息 系统中信息的最终安全。
口令复杂性要求 口令长度最小值 口令最长存留期 口令最短存留期 复位帐户锁定计数器 帐户锁定时间 帐户锁定阀值
启用 8字符 90天 0天 15分钟 15分钟 5次
“帐户锁定策略”主要有以下设置：
1)帐户锁定时间 2)帐户锁定阀值 3)在此后复位帐户锁定及暑期
身份鉴别需检查项
身份鉴别
必须录入密码才能登陆 取消弱密码和空密码帐号 密码8位以上，字母数字混合。
根据最小权限原则定义专门的帐户用于启动和运行数据库
服务，登录SQL SERVER数据库企业管理器，右键点击打开 数据库的“属性”，在“安全性”页面中设置SQL Server 的启动账户：
4、启用数据库系统日志审计 启用数据库的日志审计功能，登录SQL SERVER
6、入侵防范 通过配置操作系统的自动升级功能，能够使系统自动安装最
新的补丁程序，但是对于入侵检测和完整性检测功能，需要第三 方工具来实现。入侵检测也可以通过在网络中布置网络入侵检测 系统实现
入侵防范需检查项
入侵防范
系统已安装最新的升级补丁包 关闭系统开启的多余的系统服务
关闭系统开启的多余的网络端口 卸载系统安装的多余的Windows
启用帐号锁定策略 取消远程登陆
2、访问控制安全配置 在windows操作系统安全配置：通过控
制面板 管理工具 计算机管理 系统工 具 本地用户和组中，可以对系统中的用户
和权限进行安全配置。
在“用户”中应：
1)禁用系统来宾帐户 2)重命名系统默认帐户、修改默认口令 3)删除系统中所有无用帐户、过期帐户和共享 帐户
资源控制的安全配置
资源控制
设定终端接入方式、网络地址范围等条 件限制终端登录
对重要服务器进行监视，包括监视服务 器的CPU、硬盘、内存、网络等资源的
使用情况
根据安全策略设置登录ቤተ መጻሕፍቲ ባይዱ端的操作超时 锁定
限制单个用户对系统资源的最大或最小 使用限度
能够对系统的服务水平降低到预先规定 的最小值进行检测和报警
可信任的交互路径，为防止黑客特洛伊木马记录在登 陆及其他敏感操作时的行动。
管理员应在控制面板 管理工具 本地安全策 略 计算机配置 Windows设置 本地策略 安 全选项中，将“交互式登陆：无需按Ctrl+Alt+Del” 设置为“已禁用”。
9、资源控制安全配置 控制系统中各项资源，如：磁盘空间、
针对信息系统中的重要终端和服务 器《信息安全技术 信息系统安全等级
保护基本要求》从以下9个方面对主机 安全进行安全要求：
1、身份鉴别 2、访问控制安全配置 3、安全审计安全配置 4、安全标记 5、剩余信息保护安全配置 6、入侵防范 7、恶意代码防范安全配置 8、可信路径的安全配置 9、资源控制安全配置