1、身份鉴别 （6）

a、对登录操作系统和数据库系统的用户进行身份标识和鉴别

b、 用户身份标识应具有不易被冒用的特点，口令有复杂度要求并定期更换

c、启用登录失败处理功能，采取结束会话、限制非法登录次数和自动推出等措施

d、对服务器进行远程管理时，采取相应的措施，防止鉴别信息在网络传输的过程中被窃听

e、为操作系统和数据库系统的不同用户分配不同的用户名，保证用户名的唯一性

f、采用两种或两种以上的鉴别技术对管理用户进行身份鉴别

2、访问控制 （7）

a、启用访问控制功能，依据安全策略控制用户对资源的访问

b、根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限

c、操作系统和数据库系统管理用户的权限分离

d、限制默认账户的访问权限，重命名默认账户，修改默认账户的默认口令

e、及时删除多余、过期的账户

f、对重要信息设置敏感标记

g、依据安全策略控制用户对有敏感标记的重要信息资源的操作

3、安全审计 （6）

a、审计范围覆盖到服务器和重要客户端上的每一个操作系统用户和数据库用户

b、审计内容包含重要用户行为、系统资源的异常使用、重要系统命令的使用等系统内的重要的安全相关事件

c、审计记录包括事件的日期、时间、类型、主题标识、客体标识和结果等

d、能根据记录数据进行分析，生成审计报表

e、保护审计进程，避免受到未预期的中断

f、保护审计记录，避免受到未预期的删除、修改或覆盖等

4、剩余信息保护 （2）

a、保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前 得到完全清除，无论这些信息时存放再硬盘上还是内存中

b、保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除

5、入侵防范 （3）

a、能检测到对重要服务器的入侵行为，能记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并且再发生严重入侵行为时提供报警

b、能对重要程序的完整性进行检测，并且在检测到完整性受到破坏后具有恢复的措施

操作系统遵循最下安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新

6、恶意代码防范 （3）

a、安装防恶意代码软件，并及时更新防恶意代码软件版本和防恶意代码库

b、主机防恶意代码产品和网络防恶意代码产品具有不同的恶意代码库

c、支持防恶意代码的统一管理

7、资源控制 （5）

a、通过设定终端接入方式、网络地址范围等条件限制终端登录

b、根据安全策略设置登录终端的操作超时锁定

c、对重要服务器进行监视，服务器的CPU、硬盘、内存、网络等资源的使用情况

d、限制单个用户对系统资源的最大或最小使用限度

e、在系统的服务水平降低到预先规定的最小值进行检测和报警