应用系统等保测评方法

身份鉴别

1. 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换

检查方法：

1、 应对登录的用户进行身份标识和鉴别，需要查看登录时是否采用用户名和密码登录。

2、 身份标识具有唯一性，就是检查是否有同名账户，新建一个已存在账户的同名账户，看是否能创建成功。这里还有一个隐藏的要求是，查看有没有空口令账户，一般都是没有的。

3.1、查看口令是否存在复杂度的限制功能（需要关注安全策略），需要验证登录进入系统后，找到修改个人口令的页面，进行测试（需要测试前台、后台功能是否正常）。

     

3.2前端页面是否直接对口令强度做出校验，比如提示口令不得少于 X 位等，测试：可以用浏览器自带的元素审查功能，查看一下是否存在相关的 Js 代码。

火狐、谷歌等浏览器都有元素审查的功能，可以看到直接写在页面中的 Js

3.3如果 Js 代码功能没有封装在 Js 文件里，那是比较容易发现的，把整个页面的 HTML 拷贝出来，找到密码文本框的 html 代码，搜索其 Class 或者 Id ，一般就可以找到相关的 Js 代码，如果封装在 Js 文件里，那你就要去浏览器的网络选项卡那把加载过的 Js 文件都看一看。

3.4还有一种 Js 代码也比较容易弄清楚，它是直接使用某种 Js 组件，这样它的口令的要求是以 html 的形式写在文本框的 html 中，然后配合相应的 Js 代码，结合着实现

b) 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。

1. 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施

检查方法：

1、测试，一般就是连续登录失败几次后永久锁定或者锁定一段时间（需要关注安全策略）

需要进行测试是否提示或者建立测试账户进行测试

2、一般都是在代码中或者配置文件中（比如asp.net的web.config）实现，不是很好找到明确的证据，最好还是实际试验下，等到超时，刷新下，看看是否已经注销。