技術項 | 說明 | 符合性 |
身份鑒別 (S2) | a) 應用系統(tǒng)用戶的身份標識應具有唯一性; | 完全符合 |
b) 應對登錄的用戶進行身份標識和鑒別���; | 完全符合 |
c) 系統(tǒng)用戶身份鑒別信息應具有不易被冒用的特點����,例如口令長度、復雜性和定期的更新等����; | 完全符合 |
d) 應具有登錄失敗處理功能,如:結束會話���、限制非法登錄次數(shù)���,當?shù)卿涍B接超時,自動退出���。 | 完全符合 |
訪問控制 (S2) | a) 應依據(jù)安全策略控制用戶對客體的訪問���; | 完全符合 |
b) 自主訪問控制的覆蓋范圍應包括與信息安全直接相關的主體、客體及它們之間的操作����; | 完全符合 |
c) 自主訪問控制的粒度應達到主體為用戶級,客體為文件����、數(shù)據(jù)庫表級����; | 完全符合 |
d) 應由授權主體設置用戶對系統(tǒng)功能操作和對數(shù)據(jù)訪問的權限���; | 完全符合 |
e) 應實現(xiàn)應用系統(tǒng)特權用戶的權限分離,例如將管理與審計的權限分配給不同的應用系統(tǒng)用戶���; | 完全符合 |
f) 權限分離應采用最小授權原則����,分別授予不同用戶各自為完成自己承擔任務所需的最小權限���,并在它們之間形成相互制約的關系����; | 完全符合 |
g) 應嚴格限制默認用戶的訪問權限����。 | 完全符合 |
安全審計 (G2) | a) 安全審計應覆蓋到應用系統(tǒng)的每個用戶; | 完全符合 |
b) 安全審計應記錄應用系統(tǒng)重要的安全相關事件���,包括重要用戶行為和重要系統(tǒng)功能的執(zhí)行等����; | 完全符合 |
c) 安全相關事件的記錄應包括日期和時間、類型����、主體標識、客體標識����、事件的結果等; | 完全符合 |
d) 審計記錄應受到保護避免受到未預期的刪除����、修改或覆蓋等。 | 完全符合 |
剩余信息保護(S2) | a) 應保證用戶的鑒別信息所在的存儲空間����,被釋放或再分配給其他用戶前得到完全清除,無論這些信息是存放在硬盤上還是在內(nèi)存中���; | 完全符合 |
b) 應確保系統(tǒng)內(nèi)的文件���、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間,被釋放或重新分配給其他用戶前得到完全清除����。 | 完全符合 |
通信完整性 (S2) | a) 通信雙方應約定單向的校驗碼算法���,計算通信數(shù)據(jù)報文的校驗碼,在進行通信時����,雙方根據(jù)校驗碼判斷對方報文的有效性。 | 部分符合 |
通信保密性 (S2) | a) 當通信雙方中的一方在一段時間內(nèi)未作任何響應����,另一方應能夠自動結束會話����; | 完全符合 |
b) 在通信雙方建立連接之前,利用密碼技術進行會話初始化驗證���; | 完全符合 |
c) 在通信過程中����,應對敏感信息字段進行加密����。 | 完全符合 |
軟件容錯 (A2) | a) 應對通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)進行有效性檢驗����; | 部分符合 |
b) 應對通過人機接口方式進行的操作提供“回退”功能���,即允許按照操作的序列進行回退���; | 部分符合 |
c) 在故障發(fā)生時,應繼續(xù)提供一部分功能����,確保能夠實施必要的措施。 | 完全符合 |
資源控制 (A2) | a) 應限制單個用戶的多重并發(fā)會話���; | 完全符合 |
b) 應對應用系統(tǒng)的最大并發(fā)會話連接數(shù)進行限制���; | 完全符合 |
c) 應對一個時間段內(nèi)可能的并發(fā)會話連接數(shù)進行限制。 | 完全符合 |
代碼安全 (G2) | a) 應對應用程序代碼進行惡意代碼掃描����; | 完全符合 |
b) 應對應用程序代碼進行安全脆弱性分析。 | 完全符合 |
【捷訊云客服】