本文聚焦信息安全等级保护中的应用系统安全,涵盖身份鉴别、访问控制和入侵防范等方面,详细阐述了L3级别的相关控制措施,旨在提升系统的安全防护能力。
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。
应用系统
身份鉴别
L3-CES1-01
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性。身份鉴别信息具有复杂度要求并定期更换。
1)询问系管,用户登录时是否采用了身份鉴别措施
2)在未登录状态下之间访问任一操作页面或操作功能
3)核查用户身份标识的设置策略
4)核查鉴别信息复杂度和更换周期的设置策略(可通过查看修改口令等功能模块验证口令复杂度生效情况)
5)扫描应用系统,检测应用系统是否存在弱口令和空口令用户
L3-CES1-02
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。
1)询问系统管理员,该系统是否具有登录失败处理功能以及登录失败处理策略
2)以正确的用户名,错误的口令连续多次登录系统,查看系统的反应
3)询问系统管理员,用户登录过程中,系统进行身份鉴别信息时,连接超时自动断开的等待时间
4)询问系统管理员,用户登录后,长时间误操作,系统结束会话时间
L3-CES1-03
应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现
1)询问系统管理员,系统是否采用
最低0.47元/天 解锁文章
扫一扫
1086
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
