安全计算环境应用系统测评作业指导书 ZDJY/ZY-GX03-2.0
序号 测评指标 测评项 检查方法 检查结果
1 身份鉴别
a)应对登录的用户
进 行 身 份 标 识 和 鉴
别,身份标识具有唯
一性,身份鉴别信息
具有复杂度要求并定
期更换;
1)询问系统管理员,用户在登录时是否采用了身份鉴别
措施。
2)在未登录状态下直接访问任一操作页面或操作功能。
3)核查用户身份标识的设置策略。
4)核查鉴别信息复杂度和更换周期的设置策略。(可通
过查看修改口令等功能模块验证口令复杂度生效情况)
5)扫描应用系统,检查应用系统是否在在弱口令和空口
令用户。
b)应具有登录失败
处理功能,应配置并
启用结束会话、限制
非法登录次数和当登
录连接超时自动退出
等相关措施;
1)询问系统管理员,该系统是否具有登录失败处理功能
以及登录失败处理策略。
2)以正确的用户名、错误的口令连续多次登录系统,查
看系统的反应。
3)询问系统管理员,用户登录过程中,系统进行身份鉴
别时,连接超时自动断开的等待时间。
4)询问系统管理员,用户登录后,长时间无操作,系统
结束会话时间。
c)当进行远程管理
时,应采取必要措施
防止鉴别信息在网络
传输过程中被窃听;
不适用
d)应采用口令、密
码技术、生物技术等
两种或两种以上组合
的鉴别技术对用户进
1)询问系统管理员,系统是否采用动态口令、数字证
书和生物技术等两种或两种以上组合的鉴别技术对管
理用户身份进行鉴别。
2)询问系统管理员,其中一种鉴别技术是否使用密码
第 1 页 共 8 页
评论2