3)提供鉴别信息复杂度检查功能,复杂度检查内容包括长度,字母、数字及特殊符号等;4)采用口令进行鉴别的系统,口令由数字、大小写字母、符号混排,无规律的方式。5)用户口令的长度至少为8位。身份鉴别d)应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;1)提供登录失败处理功能,可采取结束会话、限制非法登录次数或自动退出等一种或几种措施;2)若采用限制非法登录次数,则应对用户登录失败次数设置一定门限,超过门限次数时应采取一定行动(如锁定、报警等措施)。控制点要求项标准验收意见身份鉴别e)应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。1)启用了身份鉴别功能;2)启用了用户身份标识唯一性检查;3)启用了用户登录失败处理功能;4)启用了用户身份鉴别信息复杂度检查功能;5)合理配置参数。如:鉴别失败次数的阈值、处理方法(自动退出或锁定帐户)、锁定时间、解锁方式等参数的设置恰当或者校验码产生方式合理;用户身份标识唯一性检查中对用户名大小写敏感;用户鉴别信息复杂度限制参数有强度。6)渗透测试未发现有可绕过身份鉴别进行系统访问的情况。访问控制a)应提供访问控制功能,依据安全策略控制用户对文件、数据等客体的访问;1)提供访问控制功能,根据访问控制策略实现访问控制功能;2)系统内指定管理用户对系统用户进行管理,配置用户对文件、数据等客体的访问控制策略;3)渗透测试未发现有可越权访问情形。访问控制b)访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;1)系统能根据访问控制规则正确实施对资源的控制;2)访问控制的粒度需达到主体为用户和进程级,客体为文件、数据库表级;3)访问控制功能正常,覆盖范围包括与资源访问相关的主体、客体及它们之间的操作。4)渗透测试未发现存在访问控制功能未覆盖到的客体。
全文预览
