软件等保2.0三级相关项理解

安全控制点	测评指标	测试对象	测评实施内容	单元评定	调整	涉及重要数据
身份鉴别	a）应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；	终端和服务器等设备中的操作系统（包括宿主机和虚拟机操作系统）、网络设备（包括虚拟网络设备）、安全设备（包括虚拟安全设备）、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等	1）应核查用户在登录时是否采用了身份鉴别措施； 2）应核查用户列表确认用户身份标识是否具有唯一性； 3）应核查用户配置信息或测试验证是否不存在空口令用户； 4）应核查用户鉴别信息是否具有复杂度要求并定期更换。	如果1）-4）均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评单元指标要求。	1、当前系统采用 “用户名+密码+usbkey”的方 式对登录用户进行标识和身 份鉴别。2、在未登录的状态下， 用户不可访问任何页面或操 作功能，身份鉴别措施不能被 绕过。3、被测系统用户标识具 有唯一性。4、当前密码复杂度： 口令长度 14 位，包含大小写字 母，数字;更换周期：3 个月。 5、被测系统不存在弱口令和空 口令用户。	用户口令
	b）应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；	终端和服务器等设备中的操作系统（包括宿主机和虚拟机操作系统）、网络设备（包括虚拟网络设备）、安全设备（包括虚拟安全设备）、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等	1）应核查是否配置并启用了登录失败处理功能； 2）应核查是否配置并启用了限制非法登录功能，非法登录达到一定次数后采取特定动作，如账户锁定等； 3）应核查是否配置并启用了登录连接超时及自动退出功能。	如果1）-3）均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评单元指标要求。	1、被测系统登录 失败次数 10 次账户锁定 10 分 钟。2、被测系统空闲态自动退出时间 10 分钟。
	c）当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；	终端和服务器等设备中的操作系统（包括宿主机和虚拟机操作系统）、网络设备（包括虚拟网络设备）、安全设备（包括虚拟安全设备）、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等	应核查是否采用加密等安全方式对系统进行远程管理，防止鉴别信息在网络传输过程中被窃听。	如果以上测评实施内容为肯定，则符合本测评单元指标要求，否则不符合本测评单元指标要求。	1、被测系统智能 通过堡垒机采用 https 和 usbke y 进行登录。 2、通过抓包验 证，系统鉴别信息为密文。	业务数据
	d）应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。	终端和服务器等设备中的操作系统（包括宿主机和虚拟机操作系统）、网络设备（包括虚拟网络设备）、安全设备（包括虚拟安全设备）、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等	1）应核查是否采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别技术对用户身份进行鉴别； 2）应核查其中一种鉴别技术是否使用密码技术来实现。	如果1)和2）均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评单元 要求。	多因子认证	用户口令
访问控制	a）应对登录的用户分配账户和权限；	终端和服务器等设备中的操作系统（包括宿主机和虚拟机操作系统）、网络设备（包括虚拟网络设备）、安全设备（包括虚拟安全设备）、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等	1）应核查是否为用户分配了账户和权限及相关设置情况； 2）应核查是否已禁用或限制匿名、默认账户的访问权限。	如果1)和2）均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评单元 要求。	1、系统管理员 a dmin 为登录系统的用户分配 了不同的账户和权限。2、系统 内设置了不同的角色审计管 理员、安全管理员，为不同的 角色授予了不同的权限。3、经 验证，低权限用户不可访问非 授权的功能模块。	功能菜单权限