测评包指导(12月1日)

操作系统安全测评指导书LINUX1 概述1.1 适用范围本测评指导书适用于信息系统等级为三级的主机Linux 操作系统测评。

1.2 说明本测评指导书基于《信息系统安全等级保护根本要求》的根底上进展设计。

本测评指导书是主机安全对于Linux 操作系统身份鉴别、访问把握、安全审计、剩余信息保护、备份与恢复安全配置要求，对Linux 操作系统主机的安全配置审计作起到指导性作用。

1.4 保障条件1)需要相关技术人员〔系统治理员〕的乐观协作2)需要测评主机的治理员帐户和口令3)提前备份系统及配置文件第2 页/共10 页序号测评指标测评项操作步骤预期记录实际状况记录1 身份鉴别(S3) a)应为操作系统的不同用户安排不同的用户名，确保用户名具有唯一性。

b)应对登录操作系统的用户进展身份标识和鉴别。

查看用户名与UIDcat /etc/passwd、cat /etc/shadow查看登录是否需要密码cat /etc/passwd、cat /etc/shadow分别查看用户名〔第1 列〕与UID〔第3 列〕是否有重复项全部用户具有身份标识和鉴别，用户密码栏项〔第2 项〕带有X，表示登陆都需要密码验证。

假设留空则表示空密码。

序号测评指标测评项操作步骤预期记录实际状况记录c)操作系统治理用户身份标识应具有不易被冒用的特点，系统的静态口令应在8 位以上并由字母、数字和符号等混合组成并每三个月更换口令。

①查看登录配置文件cat /etc/login.defs②查看密码策略配置文件(CentOS、Fedora、RHEL 系统)cat /etc/pam.d/system-auth(Debian、Ubuntu 或Linux Mint 系统)cat /etc/pam.d/common-password①登录相关配置内容：PASS_MAX_DAYS=90#登陆密码有效期90 天PASS_MIN_DAYS=2#登陆密码最短修改时间，增加可以防止非法用户短期更改屡次PASS_MIN_LEN=7#登陆密码最小长度7 位PASS_WARN_AGE=10#登陆密码过期提前10 天提示修改②密码策略相关配置password requisite pam_cracklib.soretry=3 minlen=7 difok=3 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1#“minlen=7”表示最小密码长度为7# “difok=3”启用3 种类型符号#“ucredit=-1”至少1 个大写字符# “lcredit=-1”至少1 个小写字符#“dcredit=-1”至少1 个数字字符#“ucredit=-1”至少1 个标点字符序号测评指标测评项d)应启用登录失败处理功能，可实行完毕会话、限制登录间隔、限制非法登录次数和自动退出等措施。

cvcc职业测评答案【篇一：职业核心能力人证测评包答案作业】>过程测评文件包national vocational key skills certificate proficiencyprocess evaluation portfolio职业沟通vocational communication（2012版）测评人姓名：身份证号码：准考证号码：单位：教育部教育管理信息中心全国职业核心能力认证办公室一、前言职业核心能力（又称为关键能力，key skills）是人们职业生涯各种活动中，除专业能力之外、广泛需要并且可以让学习者自信和成功地展示自己、并根据具体情况如何选择和应用的基本能力。

职业核心能力认证项目（简称cvcc项目）是教育部教育管理信息中心全国职业核心能力认证办公室研发团队在吸收了英国、美国、德国等西方发达国家最新能力教育和培训成果基础上开发出来的。

通过培训和测评，就业者可以成功地提升在生活、学习和职业场景中的效率和质量。

2010年5月20日，教育部正式向全国发文推广职业核心能力认证项目。

职业核心能力包括如下模块：职业沟通vocational communication团队合作teamwork解决问题problem solving自我管理self-management信息处理information and communication technology创新创业innovation and entrepreneurship礼仪训练etiquette trainingcvcc等级测评由过程测评和笔试两部分组成。

总分为500分，其中，过程测评为150分，笔试350分，笔试包括专业能力考试和职业能力测评。

参加等级测评的考生须在持有《教育部全国职业核心能力认证教师资格证》的教师和培训师指导下，用2个星期或2个星期以上的时间完成《全国职业核心能力水平等级认证过程测评文件包》。

教育部教育管理信息中心全国职业核心能力认证办公室北京二○一一年三月五日二、测评指导全国职业核心能力水平等级认证过程测评文件包依据教育部职业核心能力专家委员会所制定的职业核心能力等级标准而设计，用于在过程培训中测查参加全国职业核心能力水平等级认证的考生能力水平。

1应用安全测评指导书应用系统安全测评序号测评指标测评项检查方法预期结果1身份鉴别a)检查应用系统的身份标识与鉴别功能设置和使用配置情况；检查应用系统对用户登录各种情况的处理，如登录失败处理、登录连接超时等。

访谈: 1)访谈应用系统管理员，询问应用系统的身份标识和鉴别机制采用何种措施实现； 2)登录应用系统，查看是否提示输入用户口令，然后以正确口令登录系统，再以错误口令或空口令重新登录，观察是否成功。

1)应用系统使用口令鉴别机制对用户进行身份标识和鉴别； 2)登录时提示输入用户名和口令；以错误口令或空口令登录时提示登录失败，验证了登录控制功能的有效性；3)应用系统不存在密码为空的用户。

b)检查应用系统的身份标识与鉴别功能设置和使用配置情况；检查应用系统对用户登录各种情况的处理，如登录失败处理、登录连接超时等。

访谈: 1）访谈应用系统管理员，询问应用系统是否采用了两种及两种以上身份鉴别技术的组合来进行身份鉴别（如采用用户名/口令、挑战应答、动态口令、物理设备、生物识别技术中的任意两种组合）；手工检查：1）通过注册用户，并以一种身份鉴别技术登录，验证是否可以登录。

用户的认证方式选择两种或两种以上组合的鉴别技术，只用一种技术无法认证成功。

c)检查应用系统的身份标识与鉴别功能设置和使用配置情况；检查应用系统对用户登录各种情况的处访谈： 1）访谈应用系统管理员，询问应用系统采取何种措施防止身份鉴别信息被冒用（如复杂性混有大、小写字母、数字和特殊字符，口令周期等）；手工检查： 1）以弱口令用户注册，验证其用1)应用系统配备身份标识（如建立帐号）和鉴别（如口令等）功能；其身份鉴别信息具有不易被冒用的特点，规定字符混有大、小写字母、数字和特殊字符）；2)以不符合复杂度要求和不符合长度要求理，如登录失败处理、登录连接超时等。

户是否注册成功。

的口令创建用户时均提示失败。

d)检查应用系统的身份标识与鉴别功能设置和使用配置情况；检查应用系统对用户登录各种情况的处理，如登录失败处理、登录连接超时等。

医院中层测评工作方案一、测评目的：医院中层干部是医院发展的骨干力量，他们的能力、贡献直接影响着医院整体的发展。

因此进行中层干部测评，有助于了解干部的工作表现、优点、潜力和不足之处，以便于引导干部做好工作，进行激励和提升。

同时可以为干部的选拔和考核提供定量化的参考依据，减少主观性，增强公正性。

二、测评对象：本次中层干部测评的对象包括科室主任及副主任、护士长、药剂师及其他技术职务等。

三、测评方式：采用多种方式进行测评，包括问卷调查、个人研究报告、主管部门评价等多种方法，形成全面的测评结果。

1. 问卷调查：采用匿名调查的方式，发放问卷给所有医院中层干部，采用五级评分法进行评价，评价内容包括工作能力、沟通能力、协调能力、团队合作能力、领导能力等多个方面。

通过问卷可以直观地了解干部的全面情况和被测人自我评价的一致性。

2. 个人研究报告：干部通过自己对某个方面的研究和总结，展示自己在某个专业领域中的水平和能力，同时也可以反映干部的学习、研究能力以及创新能力等。

此项内容为非必备内容，只提供参考作用。

3. 主管部门评价：通过各个科室的主管部门对自己手下的中层干部进行评价，主要涉及工作能力、领导能力等综合能力，可以提供干部工作的真实情况。

四、测评标准：根据医院中层干部的特点和管理职责，将其能力和素质分为五个方面进行评价：1. 工作能力：包括干部所在职责范围内的专业技能、业务水平和操作能力等，指考察干部在具体工作中的能力和实际表现。

2. 沟通能力：包括与上级领导、下属干部、同事之间的沟通协调能力，指考察干部的表达能力、沟通技巧、人际交往能力等。

3. 领导能力：包括干部对下属干部的管理和领导能力，包括指定工作任务分配、组织协调、指导培训、激发团队士气等。

4. 团队合作能力：包括干部在目标、工作分配、资源配置和决策等方面的参与、合作能力，指考察干部与部门成员之间协作的能力。

5. 个人素质：包括干部的道德素质、思想素质、自我修养等方面的表现。