一、网络运营者
1.1 身份鉴别安全措施
身份鉴别是应用系统与用户建立信任关系、确认操作者身份的过程,应用系统的登录控制模块应做到:
1)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,鉴别信息具有复杂度要求并定期更换。
2)应提供并启用登录失败处理功能,多次登录失败后应采取必要的保护措施。
3)应强制用户首次登录时修改初始口令。
4)用户身份鉴别信息丢失或失效时,应采用鉴别信息重置或其他技术措施保证系统安全。
5)应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。
1.2 访问控制安全设施
访问控制策略的配置必须由安全管理人员完成,且必须遵循以下几点:
1)应提供访问控制功能,对登录的用户分配账号和权限。
2)应重命名默认账号或修改这些账号的默认口令。
3)应及时删除或停用多余的、过期的账号,避免共享账号的存在。
4)应授予不同账号为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。
5)应由授权主体配置策略,策略规定主体对客体的访问规则。
6)的粒度应达到主体为用户级,客体为文件或表级、记录或字段级。
7)应对敏感信息资源设置安全标记,并控制主体对有安全标记信息资源的访问。
1.3 安全审计措施
2)需要对审计记录和实时保护,对于审计记录要做到定期备份,
1)应提供安全审计功能&#