ISO27001检查表 Windows_Checklist ISO27001,信息审计信息安全加固手册
信息安全管理手册-ISO27001(完整资料).doc
【最新整理,下载后即可编辑】信息安全管理体系管理手册ISMS-M-yyyy版本号:A/1受控状态:■受控□非受控日期:2016年1月8日实施日期:2016年1月8日修改履历版本制订者修改时间更改内容审核人审核意见变更申请单号A/0 编写组2016-1-08定版审核人A同意编写组2017-1-15定版审核人B同意A/100 目录00 目录 (3)01 颁布令 (5)02 管理者代表授权书 (6)03 企业概况 (7)04 信息安全管理方针目标 (9)05 手册的管理 (11)06 信息安全管理手册 (12)1 范围 (12)1.1 总则 (12)1.2 应用 (12)2 规范性引用文件 (12)3 术语和定义 (12)3.1 本公司 (13)3.2 信息系统 (13)3.3 计算机病毒 (13)3.4 信息安全事件 (13)3.5 相关方 (13)4 组织环境 (13)4.1 组织及其环境 (13)4.2 相关方的需求和期望 (13)4.3 确定信息安全管理体系的范围 (14)4.4 信息安全管理体系 (14)5 领导力 (14)5.1 领导和承诺 (14)5.2 方针 (15)5.3 组织角色、职责和权限 (15)6 规划 (15)6.1 应对风险和机会的措施 (15)6.2 信息安全目标和规划实现 (18)7 支持 (18)7.1 资源 (18)7.2 能力 (19)7.3 意识 (19)7.4 沟通 (19)7.5 文件化信息 (19)8 运行 (20)8.1 运行的规划和控制 (20)8.2 信息安全风险评估 (21)8.3 信息安全风险处置 (21)9 绩效评价 (21)9.1 监视、测量、分析和评价 (21)9.2 内部审核 (22)9.3 管理评审 (23)10 改进 (23)10.1 不符合和纠正措施 (23)10.2 持续改进 (24)附录A 信息安全管理组织结构图 (25)附录B 信息安全管理职责明细表 (26)附录C 信息安全管理程序文件清单 (28)01 颁布令为提高**公司**的信息安全管理水平,保障我公司业务活动的正常进行,防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失,我公司开展贯彻ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了**公司** 《信息安全管理手册》。
ISO27001信息安全管理方案手册.docx
~~信息安全管理手册版本号: V1.0~~目录01 颁布令 (1)02 管理者代表授权书 (2)03 企业概况 (3)04 信息安全管理方针目标 (3)05 手册的管理 (6)信息安全管理手册 (7)1范围 . (7)1.1总则 (7)1.2应用 (7)2规范性引用文件 . (8)3术语和定义 . (8)3.1本公司 (8)3.2信息系统 (8)3.3计算机病毒 (8)3.4信息安全事件 (8)3.5相关方 (8)4信息安全管理体系 . (9)4.1概述 (9)4.2建立和管理信息安全管理体系 (9)4.3文件要求 (15)5管理职责 . (18)5.1管理承诺 (18)5.2资源管理 (18)6内部信息安全管理体系审核 . (19)6.1总则 (19)6.2内审策划 (19)6.3内审实施 (19)7管理评审 . (21)~~7.2评审输入 (21)7.3评审输出 (21)7.4评审程序 (22)8信息安全管理体系改进 (23)8.1持续改进 (23)8.2纠正措施 (23)8.3预防措施 (23)~~1颁布令为提高我公司的信息安全管理水平,保障公司业务活动的正常进行,防止由于信息安全事件(信息系统的中断、数据的丢失、敏感信息的泄密)导致的公司和客户的损失,我公司开展贯彻 GB/T22080-2008idtISO27001:2005 《信息技术 - 安全技术 - 信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了《信息安全管理手册》。
《信息安全管理手册》是企业的法规性文件,是指导企业建立并实施信息安全管理体系的纲领和行动准则,用于贯彻企业的信息安全管理方针、目标,实现信息安全管理体系有效运行、持续改进,体现企业对社会的承诺。
《信息安全管理手册》符合有关信息安全法律、GB/T22080-2008idtISO27001:2005 《信息技术 - 安全技术 - 信息安全管理体系 - 要求》标准和企业实际情况,现正式批准发布,自 2015年12 月 23 日起实施。
ISO27001-2013信息安全管理手册
信息安全管理手册版本号:V1.0目录01颁布令 (1)02管理者代表授权书 (2)03企业概况 (3)04信息安全管理方针目标 (3)05手册的管理 (6)信息安全管理手册 (7)1范围 (7)1.1总则 (7)1.2应用 (7)2规范性引用文件 (8)3术语和定义 (8)3.1本公司 (8)3.2信息系统 (8)3.3计算机病毒 (8)3.4信息安全事件 (8)3.5相关方 (8)4信息安全管理体系 (9)4.1概述 (9)4.2建立和管理信息安全管理体系 (9)4.3文件要求 (15)5管理职责 (18)5.1管理承诺 (18)5.2资源管理 (18)6内部信息安全管理体系审核 (19)6.1总则 (19)6.2内审策划 (19)6.3内审实施 (19)7管理评审 (21)7.1总则 (21)7.2评审输入 (21)7.3评审输出 (21)7.4评审程序 (22)8信息安全管理体系改进 (23)8.1持续改进 (23)8.2纠正措施 (23)8.3预防措施 (23)01颁布令为提高我公司的信息安全管理水平,保障公司业务活动的正常进行,防止由于信息安全事件(信息系统的中断、数据的丢失、敏感信息的泄密)导致的公司和客户的损失,我公司开展贯彻GB/T22080-2008idtISO27001:2013《信息技术-安全技术-信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了《信息安全管理手册》。
《信息安全管理手册》是企业的法规性文件,是指导企业建立并实施信息安全管理体系的纲领和行动准则,用于贯彻企业的信息安全管理方针、目标,实现信息安全管理体系有效运行、持续改进,体现企业对社会的承诺。
《信息安全管理手册》符合有关信息安全法律、GB/T22080-2008idtISO27001:2013《信息技术-安全技术-信息安全管理体系-要求》标准和企业实际情况,现正式批准发布,自2015年12月23日起实施。
ISO27001:2022信息安全管理手册
信息安全管理手册目录4 组织环境 (2)4.1 理解组织及其环境 (2)4.2 理解相关方的需求和期望 (2)4.3 确定信息安全管理体系范围 (2)4.4 信息安全管理体系 (2)5 领导作用 (2)5.1 领导作用和承诺 (2)5.2 方针 (2)5.3 组织角色、职责和权限 (3)6 策划 (3)6.1 应对风险和机遇的措施 (3)6.1.1 总则 (3)6.1.2 信息安全风险评估 (3)6.1.3 信息安全风险处置 (3)6.2 信息安全目标及其实现的策划 (4)6.3 变更策划 (4)7 支持 (4)7.1 资源 (4)7.2 能力 (4)7.3 意识 (5)7.4 沟通 (5)7.5 文件化信息 (5)7.5.1 总则 (5)7.5.2 创建和更新 (5)7.5.3 文件化信息的控制 (5)8 运行 (6)8.1 运行策划与控制 (6)8.2 信息安全风险评估 (6)8.3 信息安全风险处置 (6)9 绩效评价 (6)9.1 监视、测量、分析和评价 (6)9.2 内部审核 (6)9.2.1 总则 (6)9.2.2 内部审核方案 (6)9.3 管理评审 (7)9.3.1 总则 (7)9.3.2 管理评审输入 (7)9.3.3 管理评审结果 (7)10 改进 (7)10.1 持续改进 (7)10.2 不符合和纠正措施 (7)4 组织环境4.1 理解组织及其环境组织应确定与其宗旨相关的,且影响其实现信息安全管理体系预期结果的能力相关的外部和内部因素。
4.2 理解相关方的需求和期望组织应确定:a) 与信息安全管理体系有关的相关方;b) 这些相关方的相关要求;c)需要通过信息安全管理体系应对的要求。
注:相关方的要求可包括法律法规要求和合同义务。
4.3 确定信息安全管理体系范围组织应确定信息安全管理体系的边界和适用性以建立其范围。
当确定范围时,组织应考虑:a) 4.1 中提到的外部和内部因素;b) 4.2 中提到的要求c)组织实施活动之间及与其他组织间实施活动的接口和依赖关系。
ISO27001信息安全管理手册
信息安全管理手册版本号:V1.0目录01 颁布令 (1)02 管理者代表授权书 (2)03 企业概况 (3)04 信息安全管理方针目标 (3)05 手册的管理 (6)信息安全管理手册 (7)1 范围 (7)1.1 总则 (7)1.2 应用 (7)2 规范性引用文件 (8)3 术语和定义 (8)3.1 本公司 (8)3.2 信息系统 (8)3.3 计算机病毒 (8)3.4 信息安全事件 (8)3.5 相关方 (8)4 信息安全管理体系 (9)4.1 概述 (9)4.2 建立和管理信息安全管理体系 (9)4.3 文件要求 (15)5 管理职责 (18)5.1 管理承诺 (18)5.2 资源管理 (18)6 内部信息安全管理体系审核 (19)6.1 总则 (19)6.2 内审策划 (19)6.3 内审实施 (19)7 管理评审 (21)7.1 总则 (21)7.2 评审输入 (21)7.3 评审输出 (21)7.4 评审程序 (22)8 信息安全管理体系改进 (23)8.1 持续改进 (23)8.2 纠正措施 (23)8.3 预防措施 (23)01 颁布令为提高我公司的信息安全管理水平,保障公司业务活动的正常进行,防止由于信息安全事件(信息系统的中断、数据的丢失、敏感信息的泄密)导致的公司和客户的损失,我公司开展贯彻GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了《信息安全管理手册》。
《信息安全管理手册》是企业的法规性文件,是指导企业建立并实施信息安全管理体系的纲领和行动准则,用于贯彻企业的信息安全管理方针、目标,实现信息安全管理体系有效运行、持续改进,体现企业对社会的承诺。
《信息安全管理手册》符合有关信息安全法律、GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》标准和企业实际情况,现正式批准发布,自2015年 12月 23 日起实施。
ISO27001信息安全管理手册
信息安全管理手册目录01 颁布令 (3)02 管理者代表授权书 (4)03 企业概况 (5)04 信息安全管理方针目标 (6)05 手册的管理 (8)信息安全管理手册 (9)1 范围 (9)1.1 总则 (9)1.2 应用 (9)2 规范性引用文件 (10)3 术语和定义 (10)3.1 本公司 (10)3.2 信息系统 (10)3.3 计算机病毒 (10)3.4 信息安全事件 (10)3.5 相关方 (10)4 信息安全管理体系 (11)4.1 概述 (11)4.2 建立和管理信息安全管理体系 (11)4.3 文件要求 (17)5 管理职责 (20)5.1 管理承诺 (20)5.2 资源管理 (20)6 内部信息安全管理体系审核 (21)6.1 总则 (21)6.2 内审策划 (21)6.3 内审实施 (21)7 管理评审 (23)7.1 总则 (23)7.2 评审输入 (23)7.3 评审输出 (23)7.4 评审程序 (24)8 信息安全管理体系改进 (25)8.1 持续改进 (25)8.2 纠正措施 (25)8.3 预防措施 (25)附录A(规范性附录)信息安全管理组织结构图 (27)附录B(规范性附录)办公大楼平面图 (28)附录C(规范性附录)信息安全管理职责明细表 (27)附录D(资料性附录)信息安全管理程序文件清单 (31)附录E (规范性附录)信息安全角色和职责 (30)附录F(规范性附录)组织机构图 (35)附录G(规范性附录)ISMS职能分配表 (36)01 颁布令为提高我公司的信息安全管理水平,保障公司业务活动的正常进行,防止由于信息安全事件(信息系统的中断、数据的丢失、敏感信息的泄密)导致的公司和客户的损失,我公司开展贯彻GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了《信息安全管理手册》。
ISO27001-2013版全套内审检查表
9.2
内部审核
审核员参与制订了审核计划,风险评估人员识别了资产、脆弱性、威胁和影响,评估了风险,针对高风险制定了风险处置计划。
提供:内审计划。
√
10.1
不符合和纠正措施
有《预防措施实施记录》。
√
10.2
持续改进
组织建立了持续改进机制。定期识别需改进的地方。
√
A.6.1.1
信息安全角色和职责
公司在信息安全管理职责明细表里明确了信息安全职责。公司设立信息安全管理者代表,全面负责ISMS的建立、实施与保持工作
√
4.3
确定信息安全管理体系范围
在手册的4.3章确定了信息安全的组织、业务、物理范围。
√
4.4
信息安全管理体系
按ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系-要求》规定,建立、实施、保持和持续改进信息安全管理体系。包含了4级文件:手册、程序文件、管理制度、记录。
√
5.1
目前尚无变更发生。
√
A.12.1.3
容量管理
有《容量管理规划》,对服务器存储容量和网络带宽进行了容量规划。
√
A.12.1.4
开发、测试和运行设施的分离
开发方案测试报告及相应设施齐备
√
A.12.2.1
控制恶意软件
公司各部门员工都安装杀毒软件,并及时升级病毒库。网管定期进行监督检查。
√
A.12.3.1
信息备份
资产责任人
有《信息资产清单》、《重要信息资产清单》都定义了责任部门或责任人
√
A.8.1.3
资产的允许使用
提供《用户授权申请表》,满足要求。
√
A.8.1.4
最新完整版27001信息安全管理体系内部审核检查表
A.8.2信息分类
目标:确保信息资产是按照其对组织的重要性受到适当级别的保护。
A.8.2.1
信息分类
公司是否根据法规、价值、重要性和敏感性对信息进行分类,保护信息免受未授权泄露或篡改?
A.8.2.2
信息标识
公司是否制定和实施合适的信息标识程序,并与组织的信息分类方案相匹配?
A.13.1.1
网络控制
是否对网络进行管理和控制,以保护系统和应用程序的信息?
A.13.1.2
网络服务安全
应识别所有网络服务的安全机制、服务等级和管理要求,并包括在网络服务协议中,无论这种服务是由内部提供的还是外包的。
A.13.1.3
网络隔离
是否在网络中按组(GROUP)隔离信息服务、用户和信息系统?
A.6.1.1
信息安全的角色和职责
公司是否制定分配所有信息安全职责?
A.6.1.2
职责分离
有冲突的职责和责任范围是否分离,以减少对组织资产未经授权访问、无意修改或误用的机会?
A.6.1.3
与监管机构的联系
公司是否与相关监管机构保持适当联系?
A.6.1.4
与特殊利益团体的联系
公司是否与特殊利益团体、其他专业安全协会或行业协会保持适当联系?
A.7.2任用中
目标:确保员工和合同方了解并履行他们的信息安全责任。
A.7.2.1
管理职责
公司是否建立要求员工、合同方符合组织建立的信息安全策略和程序?
A.7.2.2
信息安全意识、教育与培训
组织内所有员工、相关合同人员及合同方人员是否接受适当的意识培训?并定期更新与他们工作相关的组织策略及程序?
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全加固手册WINDOWS系统二零零五年四月1 补丁类 (5)1.1 最新的Service Pack (5)1.2 最新的Hotfixs (5)2 端口服务类 (6)2.1 禁止Messenger服务 (6)2.2 禁止Telnet服务 (7)3系统参数类 (7)3.1禁止自动登录 (7)3.2禁止在蓝屏后自动启动机器 (8)3.4删除服务器上的管理员共享 (9)3.5防止计算机浏览器欺骗攻击 (9)4网络参数类 (10)4.1防止碎片包攻击 (10)4.2 keep-alive时间 (11)5用户管理、访问控制、审计功能类 (12)5.1验证Passwd强度 (12)5.2密码长度 (12)5.3密码使用时间 (14)5.4账号登录事件审计 (15)5.5账号管理审计 (16)5.6目录服务访问审计 (18)5.7登录事件审计 (19)5.8对象访问审计 (21)5.9策略更改审计 (22)5.10特权使用审计 (24)5.11进程跟踪审计 (25)5.12系统事件审计 (27)5.13失败登录账号锁定 (28)5.14失败登录账号锁定时间 (29)5.15登录时间到期时自动退出登录 (30)5.16不显示上次登录的用户名 (31)5.17 防止系统保持计算机账号和口令 (32)5.18防止用户安装打印机驱动程序 (34)5.19恢复控制台禁止管理员自动登录 (35)6防病毒 (36)6.1安装防病毒软件及其更新 (37)7 Windows主机上WWW服务的安全增强 (37)7.1启用日志记录 (37)7.2删除未使用的脚本映射 (38)7.3删除IIS默认文件和目录 (39)8修改系统默认日志保存路径 (40)9 SQLSERVER加固 (40)9.1 SP补丁 (40)9.2删除不用的外部存储过程 (41)10替换CMD命令 (41)11 tunnel封装terminal服务 (42)1补丁类1.1 最新的Service Pack风险描述是否已经安装了最新的Service Pack风险等级风险高加固建议从微软的更新网站上下载最新的补丁进行安装加固存在的风险需要重启系统加固风险规避方法加固成果升级后能避免攻击者利用微软已公布的漏洞进行攻击加固具体方法WindowsSP补丁(如WIN2000的SP3)包可以用介质升级;最好选择可以恢复系统的安装方式意见管理员对本条风险加固的意见:●同意●需要修改(描述修改的意见)●不同意(描述不同意的原因)●签名(签字确认)厂商意见厂商维护人员对本条风险加固的意见:●同意●需要修改(描述修改的意见)●不同意(描述不同意的原因)●签名(签字确认)1.2 最新的Hotfixs风险描述是否已经安装了最新的Hotfixs风险等级风险高加固建议从微软的更新网站上下载最新的补丁进行安装加固存在的风险可能需要重新启动系统加固风险规避方法加固成果升级后能避免攻击者利用微软已公布的漏洞进行攻击加固具体方法WIN2000的HOTFIX可以直接点击开始菜单的Windows Update,直接到/zhcn/default.asp升级,最好选择可以恢复系统的安装方式意见管理员对本条风险加固的意见:●同意●需要修改(描述修改的意见)●不同意(描述不同意的原因)●签名(签字确认)厂商意见厂商维护人员对本条风险加固的意见:●同意●需要修改(描述修改的意见)●不同意(描述不同意的原因)●签名(签字确认)2端口服务类2.1 禁止Messenger服务风险描述用于把Alerter服务器的消息发送给网络上的其它机器风险等级风险低加固建议将Messenger服务停止或者禁用加固存在的风险加固成果不会把Alerter服务器的消息发送给网络上的其它机器加固具体方法1、打开控制面板->管理工具->服务窗口2、查看Messenger服务是否已启动3、将服务停止,将其启动类型由“自动”改为“手动”或者“禁用”。
意见管理员对本条风险加固的意见:●同意●需要修改(描述修改的意见)●不同意(描述不同意的原因)●签名(签字确认)厂商意见厂商维护人员对本条风险加固的意见:●同意●需要修改(描述修改的意见)●不同意(描述不同意的原因)●签名(签字确认)2.2 禁止Telnet服务风险描述该服务在缺省时被安装.用于基于命令行方式的远程管理, 但是该协议在网络上一明文传输数据.风险等级风险高加固建议将Telnet服务停止或者禁用,如果需要进行命令行方式的远程管理, 建议使用SSH来作为替代加固存在的风险加固成果避免入侵者通过监控Telnet协议端口获得敏感信息加固具体方法1、打开控制面板->管理工具->服务窗口2、查看Telnet服务是否已启动3、将服务停止,将其启动类型由“自动”改为“手动”或者“禁用”。
意见管理员对本条风险加固的意见:●同意●需要修改(描述修改的意见)●不同意(描述不同意的原因)●签名(签字确认)厂商意见厂商维护人员对本条风险加固的意见:●同意●需要修改(描述修改的意见)●不同意(描述不同意的原因)●签名(签字确认)3系统参数类3.1禁止自动登录风险描述自动登录会把用户名和口令以明文的形式保存在注册表中,因此需要禁止自动登录风险等级风险高加固建议修改注册表相关键值来禁止自动登录加固存在的风险加固风险规避方法加固成果禁止了系统自动登录,避免其它用户从注册表中获得其它用户及其口令加固具体方法1、运行中输入regedit2、修改键值HKLM\Software\Microsoft\Windows NT\ CurrentVersion\Winlogon\AutoAdminLogon 为(REG_DWORD) 0意见管理员对本条风险加固的意见:同意需要修改(描述修改的意见)不同意(描述不同意的原因)签名(签字确认)厂商意见厂商维护人员对本条风险加固的意见:同意需要修改(描述修改的意见)不同意(描述不同意的原因)签名(签字确认)3.2禁止在蓝屏后自动启动机器风险描述防止有恶意用户故意制造程序错误来重起机器以进行某些操作风险等级风险低加固建议修改注册表相关键值来禁止在蓝屏后自动启动机器加固存在的风险加固风险规避方法加固成果用户在输入口令时都会用星号遮掩加固具体方法1、运行中输入regedit2、修改键值HKLM\System\ CurrentControlSet\Control\CrashControl\AutoReboot 为(REG_DWORD) 0意见管理员对本条风险加固的意见:同意需要修改(描述修改的意见)不同意(描述不同意的原因)签名(签字确认)厂商意见厂商维护人员对本条风险加固的意见:同意需要修改(描述修改的意见)不同意(描述不同意的原因)签名(签字确认)3.3删除服务器上的管理员共享风险描述每个Windows NT/2000机器在安装后都缺省存在”管理员共享”,它们被限制只允许管理员使用,但是它们会在网络上以Admin$,c$等来暴露每个卷的根目录和%systemroot%目录风险等级风险高加固建议修改注册表相关键值来删除服务器上的管理员共享加固存在的风险如果在网络上使用管理员共享来进行远程备份,防病毒支持,或其它远程管理,将会使你的应用程序不工作.加固风险规避方法加固成果无法利用admin$,c$等来访问网络windows nt/2000 机器的共享加固具体方法1、运行中输入regedit2、修改键值HKLM\System\CurrentControlSet\ Services\LanmanServer\Parameters\AutoShareServer 为(REG_DWORD) 0意见管理员对本条风险加固的意见:同意需要修改(描述修改的意见)不同意(描述不同意的原因)签名(签字确认)厂商意见厂商维护人员对本条风险加固的意见:同意需要修改(描述修改的意见)不同意(描述不同意的原因)签名(签字确认)3.4防止计算机浏览器欺骗攻击风险描述虽然建议终端用户关闭他们的计算机浏览服务,但是也可能不是每个用户都会去执行.该注册表选项在计算机浏览服务被允许时提供对该服务弱点的保护.更详细的信息可以在/default.aspx?scid=kb;EN-US;q262694查到.风险等级风险中加固建议修改注册表相关键值来防止计算机浏览器欺骗攻击加固存在的风险加固风险规避方法加固成果防止计算机浏览器欺骗攻击加固具体方法1、运行中输入regedit2、修改键值HKLM\System\ CurrentControlSet\Services\MrxSmb\Parameters\RefuseReset 为(REG_DWORD) 1意见管理员对本条风险加固的意见:同意需要修改(描述修改的意见)不同意(描述不同意的原因)签名(签字确认)厂商意见厂商维护人员对本条风险加固的意见:同意需要修改(描述修改的意见)不同意(描述不同意的原因)签名(签字确认)4网络参数类4.1防止碎片包攻击风险描述帮助防止碎片包攻击风险等级风险中加固建议修改注册表相关键值来帮助防止碎片包攻击加固存在的风险加固风险规避方法加固成果能帮助防止碎片包攻击加固具体1、运行中输入regedit2、修改键值HKLM\System\CurrentControlSet\方法Services\Tcpip\Parameters\EnablePMTUDiscovery 为(REG_DWORD) 1意见管理员对本条风险加固的意见:同意需要修改(描述修改的意见)不同意(描述不同意的原因)签名(签字确认)厂商意见厂商维护人员对本条风险加固的意见:同意需要修改(描述修改的意见)不同意(描述不同意的原因)签名(签字确认)4.2 keep-alive时间风险描述Keep-alive时间被网络子系统用来判定一个TCP会话是否仍然有效. 风险等级风险低加固建议修改注册表相关键值来设定keep-alive数值加固存在的风险加固风险规避方法加固成果能限定一个TCP会话的最大保持时间加固具体方法1、运行中输入regedit2、修改键值HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\KeepAliveTime 为(REG_DWORD) 300000(300000表示5分钟)意见管理员对本条风险加固的意见:同意需要修改(描述修改的意见)不同意(描述不同意的原因)签名(签字确认)厂商意见厂商维护人员对本条风险加固的意见:同意需要修改(描述修改的意见)不同意(描述不同意的原因)签名(签字确认)5用户管理、访问控制、审计功能类5.1验证Passwd强度风险描述验证系统已经存在的Passwd强度风险等级风险高加固建议核查具有空口令的用户和弱密码的用户,passwd强度来增强系统安全性加固存在的风险可能造成某些其他系统来使用弱口令登陆本系统用户来做同步备份或操作的脚本失效加固风险规避方法加固成果增强用户密码的强度,大大降低用户密码被猜解的可能性加固具体方法验证系统口令强度,对弱口令的用户重新做口令加固。