捷訊通信

服務(wù)熱線: 4007-188-668 免費(fèi)試用

呼叫中心系統(tǒng)數(shù)據(jù)庫(kù)安全技術(shù)指標(biāo)

來源: 捷訊通信 人氣: 發(fā)表時(shí)間:2021-12-29 10:01:25

捷訊通信呼叫中心系統(tǒng)數(shù)據(jù)庫(kù)安全技術(shù)指標(biāo)

技術(shù)項(xiàng)

說明

符合性

數(shù)據(jù)完整性

S2

a)    應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和用戶數(shù)據(jù)在傳輸過程中完整性受到破壞;

完全符合

b)    應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和用戶數(shù)據(jù)在存儲(chǔ)過程中完整性受到破壞。

完全符合

數(shù)據(jù)保密性

S2

a)    網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和應(yīng)用系統(tǒng)的鑒別信息、敏感的系統(tǒng)管理數(shù)據(jù)和敏感的用戶數(shù)據(jù)應(yīng)采用加密或其他有效措施實(shí)現(xiàn)傳輸保密性;

完全符合

b)    網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和應(yīng)用系統(tǒng)的鑒別信息、敏感的系統(tǒng)管理數(shù)據(jù)和敏感的用戶數(shù)據(jù)應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)存儲(chǔ)保密性;

完全符合

c)    當(dāng)使用便攜式和移動(dòng)式設(shè)備時(shí),應(yīng)加密或者采用可移動(dòng)磁盤存儲(chǔ)敏感信息。

完全符合

數(shù)據(jù)備份和恢復(fù)

A2

a)    應(yīng)提供自動(dòng)機(jī)制對(duì)重要信息進(jìn)行有選擇的數(shù)據(jù)備份;

完全符合

b)    應(yīng)提供恢復(fù)重要信息的功能;

完全符合

c)    應(yīng)提供重要網(wǎng)絡(luò)設(shè)備、通信線路和服務(wù)器的硬件冗余。

完全符合

捷訊通信呼叫中心系統(tǒng)設(shè)計(jì)遵循國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)(第二級(jí))的基本要求

技術(shù)項(xiàng)

說明

符合性

身份鑒別

S2

a)    應(yīng)用系統(tǒng)用戶的身份標(biāo)識(shí)應(yīng)具有唯一性;

完全符合

b)    應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別;

完全符合

c)    系統(tǒng)用戶身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn),例如口令長(zhǎng)度、復(fù)雜性和定期的更新等;

完全符合

d)    應(yīng)具有登錄失敗處理功能,如:結(jié)束會(huì)話、限制非法登錄次數(shù),當(dāng)?shù)卿涍B接超時(shí),自動(dòng)退出。

完全符合

訪問控制

S2

a)    應(yīng)依據(jù)安全策略控制用戶對(duì)客體的訪問;

完全符合

b)    自主訪問控制的覆蓋范圍應(yīng)包括與信息安全直接相關(guān)的主體、客體及它們之間的操作;

完全符合

c)    自主訪問控制的粒度應(yīng)達(dá)到主體為用戶級(jí),客體為文件、數(shù)據(jù)庫(kù)表級(jí);

完全符合

d)    應(yīng)由授權(quán)主體設(shè)置用戶對(duì)系統(tǒng)功能操作和對(duì)數(shù)據(jù)訪問的權(quán)限;

完全符合

e)    應(yīng)實(shí)現(xiàn)應(yīng)用系統(tǒng)特權(quán)用戶的權(quán)限分離,例如將管理與審計(jì)的權(quán)限分配給不同的應(yīng)用系統(tǒng)用戶;

完全符合

f)     權(quán)限分離應(yīng)采用最小授權(quán)原則,分別授予不同用戶各自為完成自己承擔(dān)任務(wù)所需的最小權(quán)限,并在它們之間形成相互制約的關(guān)系;

完全符合

g)    應(yīng)嚴(yán)格限制默認(rèn)用戶的訪問權(quán)限。

完全符合

安全審計(jì)

G2

a)    安全審計(jì)應(yīng)覆蓋到應(yīng)用系統(tǒng)的每個(gè)用戶;

完全符合

b)    安全審計(jì)應(yīng)記錄應(yīng)用系統(tǒng)重要的安全相關(guān)事件,包括重要用戶行為和重要系統(tǒng)功能的執(zhí)行等;

完全符合

c)    安全相關(guān)事件的記錄應(yīng)包括日期和時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)、事件的結(jié)果等;

完全符合

d)    審計(jì)記錄應(yīng)受到保護(hù)避免受到未預(yù)期的刪除、修改或覆蓋等。

完全符合

剩余信息保護(hù)(S2

a)    應(yīng)保證用戶的鑒別信息所在的存儲(chǔ)空間,被釋放或再分配給其他用戶前得到完全清除,無(wú)論這些信息是存放在硬盤上還是在內(nèi)存中;

完全符合

b)    應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間,被釋放或重新分配給其他用戶前得到完全清除。

完全符合

通信完整性

S2

a)    通信雙方應(yīng)約定單向的校驗(yàn)碼算法,計(jì)算通信數(shù)據(jù)報(bào)文的校驗(yàn)碼,在進(jìn)行通信時(shí),雙方根據(jù)校驗(yàn)碼判斷對(duì)方報(bào)文的有效性。

部分符合

通信保密性

S2

a)    當(dāng)通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng),另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話;

完全符合

b)    在通信雙方建立連接之前,利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證;

完全符合

c)    在通信過程中,應(yīng)對(duì)敏感信息字段進(jìn)行加密。

完全符合

軟件容錯(cuò)

A2

a)    應(yīng)對(duì)通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)進(jìn)行有效性檢驗(yàn);

部分符合

b)    應(yīng)對(duì)通過人機(jī)接口方式進(jìn)行的操作提供“回退”功能,即允許按照操作的序列進(jìn)行回退;

部分符合

c)    在故障發(fā)生時(shí),應(yīng)繼續(xù)提供一部分功能,確保能夠?qū)嵤┍匾拇胧?/span>

完全符合

資源控制

A2

a)    應(yīng)限制單個(gè)用戶的多重并發(fā)會(huì)話;

完全符合

b)    應(yīng)對(duì)應(yīng)用系統(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制;

完全符合

c)    應(yīng)對(duì)一個(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)進(jìn)行限制。

完全符合

代碼安全

G2

a)    應(yīng)對(duì)應(yīng)用程序代碼進(jìn)行惡意代碼掃描;

完全符合

b)    應(yīng)對(duì)應(yīng)用程序代碼進(jìn)行安全脆弱性分析。

完全符合