70.网络安全等级保护测评2.0作业指导书（应用系统）V1.0.xlsxVIP

序号 测评指标 控制项 检查对象 检查方法 推荐值 判断标准

1 身份鉴别 a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换； 业务应用系统 1)使用浏览器（B/S系统）或客户端（C/S系统）访问应用系统，查看应用系统是否对登录用户进行身份标识和鉴别；

2)使用用户管理员帐号访问用户管理页面，新建同名测试用户，验证系统是否具有标识唯一性检查功能；

3)用户名/密码验证方式中能否使用简单密码，密码是否区分大小写，密码长度、复杂度的要求，有无强制定期更新要求，是否能包含用户名，对使用连续的字母或数字有无限制；如为系统自动产生的口令，则查看强度是否满足要求；

4)渗透测试或弱口令扫描，查看应用系统中是否存在弱口令。 1)用户在登录时采用了身份鉴别措施；

2)用户列表确认用户身份标识具有唯一性；

3)用户配置信息或测试验证不存在空口令用户；

4)用户鉴别信息具有复杂度要求(密码满足8以上，由字母、数字和特殊字符两种及以上组成)并定期更换。 符合：如果1）-4）均为肯定，则符合；

部分符合：1）-4）部分符合，则部分符合；

不符合：1)-4)均不符合。

2 b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施； 业务应用系统 尝试使用不存在的用户名及任意口令和存在的用户名及错误口令登录应用系统，查看系统反应（提示是否过于明确），验证是否具有登录失败处理功能，如：结束会话、限制非法登录次数等，或者校验码机制防止非法口令猜解；检查系统是否具有会话超时自动退出功能。 提供登录失败处理功能，连续多次登录失败后采用锁定帐号或退出客户端等措施，同时提供了登录超时设定。 符合:提供登录失败处理功能和会话超时自动退出功能，判定为符合；

部分符合：仅提供失败处理功能和会话超时自动退出功能中的一种或校验码机制防止口令猜解，且验证码干扰信息较少，易被自动程序识别为部分符合；

不符合：无登录失败处理功能为不符合。

3 c)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听； 业务应用系统 1）检查系统是否采用加密信道进行通信，如采用加密机、VPN、SSL等技术；

2）通过数据截包分析测试查看系统使用过程中通信双方数据包内容，验证系统对整个报文或会话过程进行的加密功能是否有效；

3）系统采用的密码算法和密钥是否符合国家密码管理规定。 1）对通信过程中的整个报文或会话过程进行加密；

2）加密功能有效；

3）采用符合国家相关规定的算法。 符合:对通信过程中整个报文或会话过程进行加密，判定为符合；

部分符合：仅对部分敏感信息字段（如：用户鉴别信息）或部分业务（如：内外网不同）通信过程加密，判定为部分符合；

不符合：未采取任何加密措施判定为不符合。

4 d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。 业务应用系统 检查系统是否采取两个或两个以上的验证因素实现用户的身份鉴别，常用验证因素有：用户已知道的凭证（密码、个人识别号码（PIN））、用户已有的凭证（Token令牌、存储卡、智能卡）、用户的生物特征（指纹、语音、人脸、虹膜），典型的双因素验证有：用户名/密码、USBkey（数字证书）、token令牌或一次性密码OTP（动态密码）、智能卡等之间的任意两个组合。 采用两种或两种以上的鉴别技术。 符合：采用动态口令（动态令牌或短信验证码）、证书、IC卡等第二种验证措施与静态口令相结合判定为符合；部分符合：绑定客户端MAC或IP地址，可根据情况判为部分符合。

不符合：仅采用单一鉴别方式为不符合。

5 访问控制 a)应对登录的用户分配账户和权限； 业务应用系统 1)应核查是否为用户分配了账户和权限及相关设置情况；

2)应核查是否已禁用或限制匿名、默认账户的访问权限。 1)为用户分配了账户和权限，权限设置合理；

2)已禁用或限制匿名、默认账户的访问权限。 符合：如果1）-2）均为肯定，则符合；

部分符合：1）-2）部分符合，则部分符合；

不符合：1)-2)均不符合。

6 b)应重命名或删除默认账户，修改默认账户的默认口令； 业务应用系统 1)应核查是否已经重命名默认账户或默认账户已被删除；

2)应核查是否已修改默认账户的默认口令。 1)已经重命名默认账户或默认账户已被删除；

2)已修改默认账户的默认口令。 符合：如果1）或2）均符合，则符合；

不符合：1)-2)均不符合。

7 c)应及时删除或停用多余的、过期的账户，避免共享账户的存在 业务应用系统 1)应核查是否不存在多余或过期账户