**
网络安全等级保护作业指导之应用
身份鉴别
1.测评项a : 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
测评要求:
- 应核查用户在登录时是否采用了身份鉴别措施(双因素认证等);
- 应核查用户列表,核查用户身份标识是否具有唯一性;
- 应核查用户配置信息或访谈系统管理员,核查是否不存在空口令用户;
- 应核查用户鉴别信息是否具有复杂度要求并定期更换。
建议测评方法:
1、使用浏览器(B/S系统)或客户端(C/S系统 )访问应用系统,查看应用系统是否对登录用户进行身份标识和鉴别;
2、使用管理员账户访问用户管理页面,新建同名测试用户,验证系统是否具有标识唯一性检查功能;
3、通过管理后台和用户界面进行密码修改,测试密码能否设置为空。
4、用户名/密码验证方式中能否使用简单密码,是否能包含用户名,对使用连续的字母或数字有无限制;如为系统自动产生的口令,则查看强度是否满足要求。
**2.测评项b 😗*应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
测评要求: - 应核查是否配置并启用了登录失败处理功能并核查是否配置并启用了限制非法登录达到一定次数后实现账户锁定功能;
- 应核