三级应用安全测评指导：信息系统安全等保基础

该文档是"应用安全应用测评指导书三级版.pdf"，主要依据《信息系统安全等级保护基本要求》，针对基础网络安全和应用安全的第三级标准进行详细阐述，由天融信信息安全等保中心编制。文档旨在指导如何对信息系统进行安全测评，确保其达到三级安全保护标准。 在文档中，测评对象的确认是非常重要的一环，包括对象名称、IP地址以及测评环境的描述。在入场确认阶段，测评人员需确保测评对象的关键数据已备份，并且系统工作正常。测评过程涉及多个步骤，包括访谈和手工检查，以验证系统的安全性。 在身份标识和鉴别方面，文档强调了应用系统应具备专用的登录控制模块，采用口令鉴别机制，同时要求用户提供用户名和口令进行登录。系统应能有效验证登录控制功能，不允许密码为空的用户存在。此外，系统应支持多种身份鉴别技术的组合，如用户名/口令、挑战应答、动态口令、物理设备和生物识别等，以增强安全性。 为了防止身份鉴别信息被冒用，应用系统需要有身份标识唯一性和鉴别信息复杂度检查功能。管理员应确认每个用户身份标识的独特性，并设置复杂度要求，比如包含大、小写字母、数字和特殊字符的混合。在实际操作中，如果尝试创建不符合这些要求的用户，系统应当拒绝注册。 总结来说，这份指导书详细列出了三级安全保护下应用安全的测评标准和实施步骤，涵盖了身份鉴别、登录控制、鉴别信息复杂度等多个关键点，对于保障互联网应用的安全性提供了全面的评估框架。通过这样的测评，可以有效地发现并修复潜在的安全隐患，提升整体的信息安全保障水平。