应用安全应用测评指导书三级版
Apache 应用安全测评指导书
apache的安装目录权限设置严格。
授权的主体
手工检查:使用命令ls-l/usr/local/apache/bin
来检查httpd和apachectl文件的权限,建议权限为700,即只允许
手工检查:对于有保密要求的系统,在浏览器地址栏输入https://
服务器ip来确认是否启用了ssl加密功能。
启用web的加密功能。
密码算法合规
访谈:询问系统管理员目前apache使用的是哪种加密强度的算法,应抛弃使用SSLv2和加密强度较低的算法。
使用符合加密强度要求的算法。
序号
测评指标
测评项
检测方法
日志功能打开。
审计记录:重要用户行为、系统资源的异常使用和重要系统命令的使用
手工检查:1.使用命令查看apache的主配置文件
#cat/usr/local/apache/conf/httpd.conf
查看CustomLog、LogFormat、ErrorLog行的配置,确认是否包含了措施要求的内容。
进行访问超时设置。
资源限额
手工检查:查看/usr/local/apache/conf/httpd.conf文件中
MaxRequestsPerChild的配置,查看是否进行了访问限制。
存在对apache使用系统资源的限制。
多种方式限制终端登录
访谈:询问系统管理员,是否对网站资源按照用户身份、IP地址、
apache的日志配置要求。
安全事件记录:日期和时间、类型、主体标识、客体标识、事件的结果等
手工检查:1.使用命令查看apache的日志文件
三级测评指导书--等保2.0通用标准
网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件
1)应核查是否采用会话认证等机制为进出数据流提供明确的允许/拒绝访问的能力;2)应测试验证是否为进出数据流提供明确的允许/拒绝访问的能力
入侵防范
应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为
应保证网络各个部分的带宽满足业务高峰期需要
综合网管系统等
1)应核查综合网管系统各通信链路带宽是否满足高峰时段的业务流量需要;2)应测试验证网络带宽是否满足业务高峰期需求
应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址
路由器、交换机、无线接入设备和防火墙等提供网络通信功能的设备或相关组件
测评项
测评对象
测评检查内容
网络架构
应保证网络设备的业务处理能力满足业务高峰期需要
路由器、交换机、无线接入设备和防火墙等提供网络通信功能的设备或相关组件
1)应核查业务高峰时期一段时间内主要网络设备的CPU使用率和内存使用率是否满足需要;2)应核查网络设备是否从未出现过因设备性能问题导致的岩机情况;3)应测试验证设备是否满足业务高峰期需求
1)应核查是否依据重要性、部门等因素划分不同的网络区域;2)应核查相关网络设备配置信息,验证划分的网络区域是否与划分原则一致
应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段
网络拓扑
1)应核查网络拓扑图是否与实际网络运行环境一致;2)应核查重要网络区域是否未部署在网络边界处;3)应核查重要网络区域与其他网络区域之间是否采取可靠的技术隔离手段,如网闸、防火墙和设备访问控制列表(ACL)等
信息安全等级保护测评指导书-三级
测评指导书(三级)目录第1章安全管理测评指导书 (4)1.1安全管理机构测评 (4)1.2安全管理制度测评 (9)1.3人员安全管理测评 (11)1.4系统建设管理测评 (14)1.5系统运维管理测评 (20)第2章物理安全测评指导书 (32)2.1物理安全测评 (32)第3章网络安全测评指导书 (44)3.1网络全局安全测评 (44)3.2路由器安全测评 (47)3.3交换机安全测评 (59)3.4防火墙安全测评 (67)3.5入侵检测/防御系统安全测评 (71)第4章操作系统安全测评指导书 (75)4.1WINDOWS操作系统安全测评 (75)4.2L INUX操作系统安全测评 (82)4.3S OLARIS操作系统安全测评 (92)4.4AIX操作系统安全测评 (101)第5章应用系统安全测评指导书 (109)5.1应用系统安全测评 (109)5.2IIS应用安全测评 (114)5.3A PACHE应用安全测评 (116)第6章数据库安全测评指导书 (120)6.1SQL S ERVER数据库安全测评 (120)第 2 页共135 页6.2O RACLE数据库安全测评 (124)6.3S YBASE数据库安全测评 (130)第 3 页共135 页第1章安全管理测评指导书1.1安全管理机构测评第 4 页共135 页第 5 页共135 页第 6 页共135 页第7 页共135 页第8 页共135 页1.2安全管理制度测评第9 页共135 页第10 页共135 页1.3人员安全管理测评第11 页共135 页第12 页共135 页第13 页共135 页1.4系统建设管理测评第14 页共135 页第15 页共135 页第16 页共135 页第17 页共135 页第18 页共135 页第19 页共135 页1.5系统运维管理测评第20 页共135 页第21 页共135 页第22 页共135 页第23 页共135 页第24 页共135 页第25 页共135 页第26 页共135 页第27 页共135 页第28 页共135 页第29 页共135 页第30 页共135 页第31 页共135 页第2章物理安全测评指导书2.1物理安全测评第32 页共135 页第33 页共135 页第34 页共135 页第35 页共135 页第36 页共135 页第37 页共135 页第38 页共135 页第39 页共135 页第40 页共135 页第41 页共135 页第42 页共135 页第43 页共135 页第3章网络安全测评指导书3.1网络全局安全测评第44 页共135 页第45 页共135 页第46 页共135 页3.2路由器安全测评思科路由器第47 页共135 页第48 页共135 页第49 页共135 页第50 页共135 页。
三级安全指导全套(新)
三级安全指导全套(新)
介绍
本文档旨在提供全套的三级安全指导,以帮助组织和个人在不同层面上实施安全措施,保护敏感信息和确保系统安全。
一级安全指导
一级安全指导主要针对组织层面的安全问题,包括以下方面:- 确认组织的安全政策和流程,明确责任和权限
- 训练员工意识安全风险,加强安全意识教育
- 建立安全审计机制,定期检查安全措施的有效性
- 实施访问控制和权限管理,限制敏感信息的访问和传输
二级安全指导
二级安全指导主要针对系统层面的安全问题,包括以下方面:- 更新和安装最新的安全补丁,确保系统的漏洞得到及时修补- 配置和管理防火墙和入侵检测系统,监控网络流量和异常行为
- 加密敏感数据和通信,确保数据在传输和存储过程中的安全性
- 实施备份和恢复策略,确保系统可靠性和业务连续性
三级安全指导
三级安全指导主要针对个人层面的安全问题,包括以下方面:
- 设定强密码政策,确保个人账户和设备的安全性
- 定期更改密码并禁用不再使用的账户
- 将敏感信息妥善保存和处理,避免泄露和滥用
- 提供安全交流渠道,让员工可以报告安全问题和疑似事件
结论
以上是三级安全指导的全套内容。
通过按照指导实施相应的安
全措施,组织和个人可以有效应对安全风险,保护敏感信息,并确
保系统的安全性和稳定性。
请根据实际情况和需求进行调整和执行。
Windows2022年测评指导书三级S3A3G3.0版
序号类别测评项a)应对登录操作系统和数据库系统的用户进展身份标识和鉴别;b)操作系统和数据库系统治理用户身份鉴别信息应具有不易被冒用的特点,口令应有简单度要求并定期更换;c)应启用登录失败处理功能,可采测评实施1〕查看登录是否需要密码1〕依次开放[开头]->〔[掌握面板] ->〕[治理工具]->[本地安全策略]->[账户策略]->[密码策略],查看以下项的状况:a)简单性要求、b)长度最小值、c)最长存留期、d)最短存留期、e)强制密码历史。
1〕依次开放[开头]->〔[掌握面板] ->〕[治理工具]->[本地安全策略]->[账户预期结果1〕用户需要输入用户名和密码才能登录。
a)简单性要求已启用;b)长度最小值至少为 8 位;c)最长存留期不为 0;d)最短存留期不为 0;e)强制密码历史至少记住 3 个密码以上。
a)设置了“复位账户锁定计数器”说明是否必需输入密码才能登录。
全部的项只要不为默认的 0 或未启用就可以。
取完毕会话、限制非法登录次数和1 身份自动退出等措施;鉴别d) 当对效劳器进展远程治理时,应策略]->[账户锁定策略];2〕查看以下项的状况:a)复位账户锁定计数器、b)账户锁定时间和 c)账户锁定阈值。
1〕访谈治理员在进展远程治理时如何时间;全部的项只要不为默认b)设置了“账户锁定时间”;的0或未启用就可以。
c)设置了“账户锁定阈值”。
1)假设是本地治理或KVM 等硬件治理方式,此要求默认满足;实行必要措施,防止鉴别信息在网络传输过程中被窃听;e) 为操作系统和数据库的不同用防止鉴别信息在网络传输过程中被窃听。
1 〕依次开放[ 开始]->([ 掌握面2)假设承受远程治理,则需承受带加密治理的远程治理方式,如启用了加密功能的 3389 远程治理桌面或修改远程登录端口。
关注远程治理方式及传输协议。
Windows Server 2022 默户安排不同的用户名,确保用户名具有唯一性;板 ]->)[ 管理工具 ]->[ 计算机管 1〕无多人共用同一个账号的情理]->[本地用户和组]->[用户];查看况。
7SQLServer2022年测评指导书三级S3A3G3
序号类别测评项测评实施1〕开放效劳器组,编辑SQL Server 注册属性,查看身份认证方式;预期结果说明1)选中“使用SQL Server身份认证”,a)应对登录操作系统和数据库系统的用户进展身份标识和鉴别;或者2)直接登录SQL Server 企业治理器,试图连接数据库,查看系统是否消灭用户和密码的输入框。
1〕询问是否在安装时马上修改sa 口令,用该用户和常见密码试图登录数据库系统,查看是否成功。
并且选中“总是提示输入用户名和密应避开操作系统治理员对数码”。
据库系统进展直接治理。
2)提示用户输入密码。
b)操作系统和数据库系统管身理用户身份标识应具有不易1鉴被冒用的特点,口令应有复别杂度要求并定期更换;2)在SQL 查询分析器中执行命令:use masterselect * from syslogins where password isnull查看是否有空口令用户。
3)询问口令的治理要求,如口令的长度、口令简单性和口令更周期等方面的治理要求。
1)sa 用户的口令不是常见口令。
2)无空口令用户。
3)口令治理制度规定口令设置的复杂度要求,至少包括:字符数字混合、长度不低于8 位。
SQL Server2022 未供给技术手段来强制要求口令的简单性,因此,只能通过治理手段来进展强化用户口令的简单性。
c)应启用登录失败处理功能,可实行完毕会话、限制非法1〕访谈系统治理员,了解是否实行第三登录次数和自动退出等措方工具实现该功能。
施;1)〕假设没有承受第三方工具或对SQL Server2022 安全功能进展增加,则该项要求为不符合。
SQL Server2022 默认没有供给登录失败处理功能。
份第页共8 页第 页 共 8 页问序号类别 测评项测评实施 预期结果 说明d)当对效劳器进展远程治理时,应实行必要措施,防止鉴别信息在网络传输过程中被窃听;1) 询问是否能对数据库进展远程治理; 假设能够对数据库进展远程治理,则 2) 在效劳器网络有用工具中查看是否启 应选中“强制协议加密(C)”,并对其用“强制协议加密(C)”。
等级保护三级操作系统安全测评指导书
主机资源监视
对资源使用情况进行监视和记录。
资源报警阀值 特定进程监控 主机账户监控
系统资源达到一定阀值,能够报警。 对重要进程进行监控,对非法进程提供报 警。 对主机账户进行监控和提供告警。
7
入侵防范
访谈,手工检查: 1.访谈并查看入侵检测的措施,如经常通过如下命令查看入侵的重要线索,涉及命 令 主机 IDS #who /etc/security/failedlogin; 2.查看是否开启了防火墙、TCP SYN 保护机制等设置; 3.是否具备 rootkit 检查工具,定期进行 rootkit 检查; 4.询问是否有第三方入侵检测系统,如 IDS,是否开启报警功能。 访谈,核查: 重要程序完整性检测并恢 访谈是否使用一些文件完整性检查工具对重要文件的完整性进行检查,是否对重要 复 的配置文件进行备份。查看备份演示。 系统最小安装并更新
序号
测评指标
测评项
检测方法 手工检查: 在 root 权限下,查看文件权限是否满足以下要求: /etc/filesystems 权限为 664, /etc/hosts 权限为 664, /etc/inittab 权限为 600, /etc/vfs 权限为 644, /etc/security/failedlogin 权限为 644, /etc/security/audit/hosts 权限为 660,记录权限存在问题的目录或文件。
对用户管理启用一定安全策略。
登陆失败处理
对用户登录进行限制。
鉴别警示功能
存在警告性 banner 信息。
对相连设备进行身份标识 访谈: 和鉴别 询问管理员是否使用证书等方式对设备身份进行鉴别。
采取技术手段对相连 设备进行身份鉴别。
远程管理加密
信息安全等级考试三级教材《应用安全》
5.2.2软件安全开发
建立安全威胁模型 安全设计、安全编程、安全测试
5.2.3软件安全开发生命周期
5.2.1软件开发生命周期
软件开发生命周期 软件编码人员进行软件开发过程中,一般 都会遵循相应的软件开发生命周期模型用于 指导编码的整个过程。计算机软件产品从需 求分析、设计、编码、测试、发布到维护, 类似于经历一个生命的孕育、诞生、成长、 成熟、衰亡的周期,一般称为软件开发生命 周期。
5.1.2软件漏洞的分类
(1)按照软件漏洞被攻击者利用的地点进行 分类
① 本地利用漏洞 ② 远程利用漏洞
(2)根据漏洞形成原因分类
① 输入验证错误漏洞 ② 缓冲区溢出漏洞 ③ 设计错误漏洞 ④ 意外情况处置错误漏洞
5.1.2软件漏洞的分类
(2)根据漏洞形成原因分类
① 访问验证错误漏洞 ② 配被异常执行漏洞
5.1.1软件漏洞的概念和特点
漏洞也称为脆弱性(Vulnerability),是计算 机系统的硬件、软件、协议在系统设计、 具体实现、系统配置或安全策略上存在的 缺陷。这些缺陷一旦发现并被恶意利用, 就会使攻击者在未授权的情况下访问或破 坏系统,从而影响计算机系统的正常运行 甚至造成安全损害。
软件漏洞专指计算机系统中的软件系统漏 洞。
1.漏洞利用的概念和shellcode的编写 (1)漏洞利用的基本概念
随 机 填 NOPNOP… 充数据 …NOPNOP
Shellcode 新 的 返 回 地址
(2)shellcode的概念 栈溢出攻击时输入数据的组成
(3)shellcode的编写
5.1.5软件漏洞利用及其防护技术
2.漏洞利用技术 (1)静态shellcode地址的利用技术 (2)动态变化的shellcode地址的利用技术 (3)heap spray技术 3.软件漏洞利用的防护技术
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1)通过注册用户,并以一种身份鉴别技术登录,验证是否可以登录。
用户的认证方式选择两种或两种以上组合的鉴别技术,只用一种技术无法认证成功。
c) 应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;
访谈:
1)访谈应用系统管理员,询问应用系统采取何种措施防止身份鉴别信息被冒用(如复杂性混有大、小写字母、数字和特殊字符,口令周期等);
访谈:
访谈应用系统管理员,询问应用系统特权用户的权限是否分离(如将系统管理员、安全员和审计员的权限分离),权限之间是否相互制约(如系统管理员、安全管理员等不能对审计日志进行管理,安全审计员不能管理审计功能的开启、关闭、删除等重要事件的审计日志等);
系统管理员、安全管理员、安全审计员由不同的人员和用户担当。至少应该有系统管理员和安全管理员,安全审计员在有第三方审计工具时可以不要求。
手工检查:
1)应测试主要应用系统,可通过用默认用户(默认密码)登录,并用该用户进行操作(包括合法、非法操作),验证系统对默认用户访问权限的限制是否有效;
应用系统限制授权用户对系统功能的操作和数据访问权限设置,并严格限制默认帐户的访问权限。
d) 应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。
手工检查:
1)应检查主要应用系统,查看系统是否提供访问控制机制;是否依据安全策略控制用户对客体(如文件和数据库中的数据)的访问;
应用系统提供访问控制功能模块,其功能控制用户对文件、数据库表等访问。
b) 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;
访谈:
1)访谈应用系统管理员,询问应用系统的访问控制功能模块是否根据实际环境设置安全策略;
手工检查:
1)应测试主要应用系统,可通过用不同权限的用户登录,查看其权限是否受到应用系统的限制。
应用系统的重要文件及目录已根据用户级别设置了访问控制策略。
c) 应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限;
访谈:
1)访谈应用系统管理员,询问应用系统是否有对授权主体进行系统功能操作和对数据访问权限进行设置的功能,是否限制了默认用户的访问权限;
应用系统对重要信息资源已设置敏感标记。
f) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
访谈:
访谈应用系统管理员,询问应用系统的强制访问控制是否与用户身份鉴别、标识等安全功能密切配合,并且控制粒度达到主体为用户级,客体为文件和数据库表级;
通过敏感标记设定用户对重要信息资源的访问。
3
安全审计
手工检查:
1)检查产品的测试报告,查看其是否有通信完整性的说明,如果有则查看其是否有系统是根据校验码判断对方数据包的有效性的,用密码计算通信数据报文的报文验证码的描述;可通过Hash函数(如MD5、SHA和MAC)对完整性进行校验,但不能使用CRC。
通过获取通信双方的数据包,查看通信报文含有验证码。
编号:
测评指导书
《信息系统安全等级保护基本要求》
基础网络安全-应用安全-第三级
V1.0
天融信信息安全等保中心
1、测评对象
对象名称及IP地址
备注(测评地点及环境等)
2、入场确认
序号
确认内容
1
测评对象中的关键数据已备份。如果没有备份则不进行测评
2
测评对象工作正常。如工作异常则不进行测评。
开始时间
确认签字
访谈:
访谈安全审计员,审计记录监控和保护采取的措施。例如:通过专用日志服务器或存储设备对审计记录进行备份,并避免对审计记录的修改、删除或覆盖。
通过专用日志服务器或存储设备对审计记录进行备份,并避免对审计记录的修改、删除或覆盖。
c) 审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等;
访谈:
访谈安全审计员,是否为授权用户浏览和分析审计数据提供专门的审计工具(如对审计记录进行分类、排序、查询、统计、分析和组合查询等),并能根据需要生成审计报表;
能定期生成审计报表并包含必要审计要素。
4
剩余信息保护
a) 应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;
访谈:
访谈应用系统管理员,询问应用系统是否对人机接口输入(如用户界面的数据输入)或通信接口输入的数据进行有效性检验;
应用系统对用户输入的信息进行校验。
b) 应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。
访谈:
访谈应用系统管理员,询问应用系统是否在故障发生时继续提供一部分功能,确保能够实施必要的措施(如对重要数据的保存);
1)应用系统使用口令鉴别机制对用户进行身份标识和鉴别;
2)登录时提示输入用户名和口令;以错误口令或空口令登录时提示登录失败,验证了登录控制功能的有效性;
3)应用系统不存在密码为空的用户。
b) 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;
访谈:
1)访谈应用系统管理员,询问应用系统是否采用了两种及两种以上身份鉴别技术的组合来进行身份鉴别(如采用用户名/口令、挑战应答、动态口令、物理设备、生物识别技术中的任意两种组合);
访谈:
1)检查产品的测试报告、用户手册或管理手册,确认其是否具有相关功能;或由第三方工具提供了相应功能。
1)如果测试报告、用户手册或管理手册中没有相关描述,且没有提供第三方工具增强该功能,则该项要求为不符合。
b) 应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。
访谈:
访谈安全员,询问应用系统数在存储和传输过程中是否采取保密措施(如在通信过程中对敏感信息字段进行加密等),具体措施有哪些;
通过查看通信双方数据包的内容,查看系统在通信过程中,对整个报文或会话过程进行加密的功能。
7
抗抵赖
a) 应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能;
访谈:
b) 应能够对系统的最大并发会话连接数进行限制;
访谈:
访谈应用系统管理员,询问业务系统是否有资源控制的措施(如对应用系统的最大并发会话连接数进行限制);
已限制访问系统的最大并发会话连接数。
c) 应能够对单个帐户的多重并发会话进行限制;
访谈:
访谈应用系统管理员,是否有限制单个用户的多重并发会话;
已限制单个用户多重会话连接数。
6
通信保密性
a) 在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;
访谈:
访谈安全员,应用系统是否能在通信双方建立会话之前,利用密码技术进行会话初始化验证(如SSL建立加密通道前是否利用密码技术进行会话初始验证);
在通信双方建立连接之前利用密码技术进行会话初始化验证。
b) 应对通信过程中的整个报文或会话过程进行加密。
1)通过删除一个用户再重新注册相同标识的用户,查看能否成功,验证身份标识在整个生命周期内是否具有唯一性;
1)添加测试账户不会成功;
2)系统不存在多人共用一个账户的情况。
2
访问控制
a) 应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;
访谈:
1)访谈应用系统管理员,询问应用系统是否提供访问控制措施,具体措施有哪些,自主访问控制的粒度如何;
访谈安全员,系统是否具有抗抵赖的措施,具体措施有哪些,查看其是否采用数字证书方式的身份鉴别技术;
应用系统提供在请求的情况下为数据原发者或接收者提供数据接收证据的功能。
b) 应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。
8
软件容错
a) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;
d) 应能够对一个时间段内可能的并发会话连接数进行限制;
访谈:
访谈应用系统管理员,询问应用系统是否禁止同一用户账号在同一时间内并发登录,是否能够对一个时间段内可能的并发会话连接数进行限制;
应用系统根据不同时间设置不同连接数。
e) 应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额;
访谈:
e) 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。
访谈:
1)访谈应用系统管理员,询问应用系统对用户标识在整个生命周期内是否具有唯一性(如UID、用户名或其他信息在系统中是唯一的,用该标识在整个生命周期内能唯一识别该用户);
手工检查:
a) 应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;
访谈:
访谈安全审计员,询问应用系统是否有安全审计功能,对事件进行审计的选择要求和策略是什么,对审计日志的保护措施有哪些;查看其当前审计范围是否覆盖到每个用户;
系统开启了安全审计功能或部署了第三方安全审计设备。
b) 应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录;
访谈:
1)访谈应用系统管理员,询问应用系统是否配备并使用登录失败处理功能(如登录失败次数超过设定值,系统自动退出等),查看是否启用配置;
手工检查:
1)应测试主要应用系统,验证其登录失败处理,非法登录次数限制等功能是否有效;
1)应用系统已启用登陆失败处理、结束会话、限制非法登录次数等措施;
2)当超过系统规定的非法登陆次数登录操作系统时,系统锁定或自动断开连接;
访谈:
1)检查产品的测试报告、用户手册或管理手册,确认其是否具有相关功能;或由第三方工具提供了相应功能。
1)如果测试报告、用户手册或管理手册中没有相关描述,且没有提供第三方工具增强该功能,则该项要求为不符合。