该博客详细介绍了网络安全三级测评的指导内容,涉及身份鉴别、访问控制等多个方面。包括用户身份唯一性、口令复杂度、登录失败处理、远程管理安全、访问权限分配、账户管理、审计功能启用和入侵防范等关键措施的配置和检查。
1、应核查用户在登陆时是否采用了身份鉴别措施;
2、应核查用户列表确认用户身份标识是否具有唯一性;
3、应核查用户配置信息或测试验证是否不存在空口令用户;
4、应核查用户鉴别信息是否具有复杂度要求并定期更换。
b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
测评对象:
器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等。
测评方法:
1、应核查是否配置并启用了登录失败处理功能;
2、应核查是否配置并启用了限制非法登录功能,非法登录达到一定次数后采取特定动作,如账号锁定等;
3、应核查是否配置并启用了登录连续超时及自动退出功能。
c) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
测评对象:
终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等。
测评方法:
应核查是否采用加密等安全方式对系统进行远程管理,防止鉴别信息在网络传输过程中被窃听。
d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别, 且其中一种鉴别技术至少应使用密码技术来实现。
测评对象:
机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等。
测评方法:
1、应核查是否采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别技术对用户身份进行鉴别;
2、应核查其中一种鉴别技术是否使用密码技术来实现。
8.1.4.2 访问控制
a) 应对登录的用户分配账户和权限;
测评对象:
终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等。
测评方法:
1、应核查是否为用户分配了账户和权限及相关设置情况;
2、应核查是否已禁用或限制匿名、默认账户的访问权限。
b) 应重命名或删除默认账户,修改默认账户的默认口令;
测评对象:
终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等。
测评方法:
1、应核查是否已经重命名默认账户或默认账户已被删除;
2、应核查是否已修改默认账户的默认口令。
c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在;
测评对象:
终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括
最低0.47元/天 解锁文章
扫一扫
331
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
