等保测评 安全计算环境之应用系统

安全计算环境之应用系统

1. 身份鉴别

a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换

“1)询问系统管理员，用户在登录时是否采用了身份鉴别措施
2)在未登录状态下直接访问任一操作页面或操作功能
3)核查用户身份标识的设置策略
4)核查鉴别信息复杂度和更换周期的设置策略。(可通过查看修改口令等功能模块验证口令复杂度生效情况)
5)扫描应用系统，检查应用系统是否存在弱口令和空口令用户”

b)具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施

"
1)询问系统管理员，该系统是否具有登录失败处理功能以及登录失败处理策略
2)以正确的用户名，错误的口令连续多次登录系统，查看系统的反应自动断开的等待时间
3询问统管理员用户登录过程中，系统进行身份鉴别时，设置了合理的连接超时自动断开等待时间
4）询问系统管理员，用户登录后，长时间无操作，系统端束会话时间"

c)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听

“1)如果是本地管理成KVM等硬件管理方式，此要求默认满足，
2)如果采用远程管理，则需采用带加密管理的远程管理方式。在命令行输入”pgedit.msc“弹出“本地组策略编辑器”窗口，查着“本地计算机策略一》计算机配置一>管理模板一>Windows组件一选程桌面服务>远程桌面会话主机-安全”中的相关项目”

d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现

“1)询问系统管理员，系统是否采用动态口念，数字证书和生物技术等两种或两种以上组合的鉴别技术对管理用户身份进行登别
2)询间系统管理员，其中一种鉴别技术是否使用密码技术来实现
3)使用系统内管理用户登录系统，验证其登录方式是否与询问结果一致”

2. 访问控制

a)应对登录的用户分配账户和权限；

“1)询问系统管理员，系统是否为登录的用户分配了账户和权限
2)以不同角色的用户登录系统，验证用户权限分配情况
3)尝试使用登录用户访问未授权的功能，查看访问控制策略生效情