进行限制。Р主机安全资源控制 e)应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。 1)未采用第三方监控管理软件对系统服务水平进行监视。 1)通过第三方监控管理软件进行监视。?2)第三方监控管理软件具有报警功能,且设置了报警门限值。Р应用安全身份鉴别 a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别; 1)未提供登录控制模块,实施操作前无需进行身份鉴别。 1)具有登录控制模块对用户进行身份鉴别。Р应用安全身份鉴别 b) 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别; 1)应用程序管理账户仅采用单一鉴别方式。 1)对同一用户采用两种或两种以上的鉴别技术。Р应用安全身份鉴别 c) 应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用; 1)用户身份标识不唯一,或存在多人共用账号;?2)未提供鉴别信息复杂度检查功能,或未启用身份鉴别功能,或口令长度低于6位或者存在弱口令,或使用默认用户和默认口令,或渗透测试发现可绕过身份鉴别进行系统访问。 1)提供用户身份标识唯一性检查功能;?2)用户身份标识具有唯一性。?3)提供鉴别信息复杂度检查功能,复杂度检查内容包括长度,字母、数字及特殊符号、定期更换周期等;?4)采用口令进行鉴别的系统,口令由数字、大小写字母、符号混排,无规律的方式。?5)用户口令的长度至少为8位。?6)口令每季度更换一次,更新的口令至少5次内不能重复。Р应用安全身份鉴别 d) 应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施; 1)无登录失败处理功能。 1)提供登录失败处理功能,可采取结束会话、限制非法登录次数或自动退出等一种或几种措施;?2)若采用限制非法登录次数,则应对用户登录失败次数设置一定门限,超过门限次数时应采取一定行动(如锁定、报警等措施)。
全文预览
