应用安全应用测评指导书三级1.0版模板.doc

编号： 测 评 指 导 书 《信息系统安全等级保护基本要求》 基础网络安全-应用安全-第三级 V1.0 天融信信息安全等保中心 1、测评对象 对象名称及IP地址 备注（测评地点及环境等） 2、入场确认 序号 确认内容 1 测评对象中的关键数据已备份。如果没有备份则不进行测评 2 测评对象工作正常。如工作异常则不进行测评。 开始时间 确认签字 3、离场确认 序号 确认内容 1 测评工作未对测评对象造成不良影响，测评对象工作正常。 结束时间 确认签字  序号 类别 测评项 测评实施 预期结果 1 身份鉴别 a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别； 访谈: 1)访谈应用系统管理员，询问应用系统的身份标识和鉴别机制采用何种措施实现；2)登录应用系统，查看是否提示输入用户口令，然后以正确口令登录系统，再以错误口令或空口令重新登录，观察是否成功。 b) 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别； 访谈: 1）访谈应用系统管理员，询问应用系统是否采用了两种及两种以上身份鉴别技术的组合来进行身份鉴别（如采用用户名/口令、挑战应答、动态口令、物理设备、生物识别技术中的任意两种组合）；手工检查：1）通过注册用户，并以一种身份鉴别技术登录，验证是否可以登录。 c) 应提供用户身份标识唯一和鉴别信息