- 1、本文档共9页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
二级等保应用安全现场检查项整顿
阐明
文档基于《财政信息化项目管理系统》现场检查内容进行整顿不能代表其她系统现场
检查。
检查过程
检查组一人到现场基于《二级等保检查项》模板对建设方进行提问,提问内容基本不会
偏高模板内容。
注意:对于轻易展现检查项,检查组也许会规定建设方进行现场操作演示,因而对于某
些轻易重现问题应尽量不要以其枉方式回答,举例阐明:顾客密码与否以加密方式存储”,
可以通过查询数据直观体现出来,属于轻易重现检查项;而“系统传播过程中与否对数据进
行加密”,验证这个问题则需要通过开发环境进行体现,属于不易重现检查项,对于此类检
查项,检查组人员一般不会规定通过系统进行重现。
身份鉴别
应提供专用登录控制模块对登录顾客进行身份标识和鉴别,
检查系统与否有登录环节。!{一般系统都会有登录环节,不需关怀)
应提供顾客身份标识唯一和鉴别信息复杂度检查功能,保证
应用系统中不存在反复顾客身份标识,身份鉴别信息不易被
冒用,
检查登录时信息与否可以唯一标示一种顾客。(一般系统均有此限制,不需关怀)
检查密码复杂度。(二级等保规定密码长度为8位,并以数字+字母组合}
应提供登录失败处理功能,可采用结束会话、限制非法登录
次数和自动退出等措施;
检查与否有多次登录失败处理机制。(一般都是通过增长登录失败计数器机制实现登录
失败处理【每次登录失败后计数器+1,当计数器到达一定数值时进行失败处理,当顾客登录
成功后计数器清零)、目前主流处理方式有两种:一是锁定顾客,需要管理员进行解锁后才
可再次使用,二是限制登录时间,例如10分钟后才可再次尝试登录)
应启用身份鉴别、顾客身份标识唯一性检查、顾客身份鉴别
信息复杂度检查以及登录失败处理功能,并根据安全方略配
置有关参数。
检查与否可以绕过登录模块进入系统《直接在URL中录入某功能页面URL)。(一般状
况下业务系统都会以登录人信息来获得对应业务功能和业务数据,因而大多数状况下不登录
是无法正常使用系统功能。当然,有一种统一检查届辑是最佳,常用处理手段为检查session
中与理有顾客登录信息,如无则跳转到错误处理逮辑)
访问控制
应提供访问控制功能,根据安全方略控制顾客对文献、数据
库表等客体访问,
检查与否有可赵权访问情形;(本次检查时检查人员仅提问了登录后顾客能不能访问不
该其使用功能,咱们回答每个顾客均有功能权限,在登录后会根据功能权限仅展示顾客有权
限使用功能.)
个人理解该项应当是检查顾客与否可以在系统中通过非常规手段获取到顾客受权以外
信息。
访问控制覆盖范围应波及与资源访问有关主体、客体及它们
之间操作,
检查系统能否根据访问控制规则对的实行对资源控制(未提问,个人理解为系统功能、
数据权限与否可以正常工作)
文档评论(0)