会话连接数进行限制;应通过设定终端接入方式、网络地址范围等条件限制终端登录;应根据安全策略设置登录终端的操作超时锁定和鉴别失败锁定,并规定解锁或终止方式;应禁止同一用户账号在同一时间内并发登录;应限制单个用户对系统资源的最大或最小使用限度;技术要求项二级等保三级等保当系统的服务水平降低到预先规定的最小值时,应能检测和报警;应根据安全策略设定主体的服务优先级,根据优先级分配系统资源,保证优先级低的主体处理能力不会影响到优先级高的主体的处理能力。应用安全身份鉴别应用系统用户的身份标识应具有唯一性;应对登录的用户进行身份标识和鉴别;系统用户身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更新等;应具有登录失败处理功能,如:结束会话、限制非法登录次数,当登录连接超时,自动退出。系统用户的身份标识应具有唯一性;应对登录的用户进行身份标识和鉴别;系统用户的身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更新等;应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;应具有登录失败处理功能,如:结束会话、限制非法登录次数,当登录连接超时,自动退出;应具有鉴别警示功能;应用系统应及时清除存储空间中动态使用的鉴别信息。访问控制应依据安全策略控制用户对客体的访问;自主访问控制的覆盖范围应包括与信息安全直接相关的主体、客体及它们之间的操作;自主访问控制的粒度应达到主体为用户级,客体为文件、数据库表级;应由授权主体设置用户对系统功能操作和对数据访问的权限;应依据安全策略控制用户对客体的访问;自主访问控制的覆盖范围应包括与信息安全直接相关的主体、客体及它们之间的操作;自主访问控制的粒度应达到主体为用户级,客体为文件、数据库表级;应由授权主体设置用户对系统功能操作和对数据访问的权限;应实现应用系统特权用户的权限分离,例如将管理与审计的权限分配给不同的应用系统用户;
全文预览
