4.1 身份鉴别
4.1.1 测评单元(L3-ADS1-01)
a) 测评指标
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,鉴别信息具有复杂度要求并定期更换;
4.1.2 测评单元(L3-ADS1-02)
a) 测评指标
应提供并启用登录失败处理功能,多次登录失败后应采取必要的保护措施;
4.1.3 测评单元(L3-ADS1-03)
a) 测评指标
应强制用户首次登录时修改初始口令;
4.1.4 测评单元(L3-ADS1-04)
a) 测评指标
用户身份鉴别信息丢失或失效时,应采用鉴别信息重置或其他技术措施保证系统安全。
4.1.5 测评单元(L3-ADS1-05)
a) 测评指标
应采用两种或两种以上组合的鉴别技术实现用户身份鉴别。
4.2 访问控制
4.2.1 测评单元(L3-ADS1-06)
a) 测评指标
应提供访问控制功能,对登录的用户分配账户和权限;
4.2.2 测评单元(L3-ADS1-07)
a) 测评指标
应重命名默认账户或修改默认口令;
4.2.3 测评单元(L3-ADS1-08)
a) 测评指标
应及时删除或停用多余的、过期的帐户,避免共享帐户的存在;
4.2.4 测评单元(L3-ADS1-09)
a) 测评指标
应授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系;
4.2.5 测评单元(L3-ADS1-10)
a) 测评指标
应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
4.2.6 测评单元(L3-ADS1-11)
a) 测评指标
访问控制的粒度应达到主体为用户级,客体为文件、数据库表级、记录或字段级;
4.2.7 测评单元(L3-ADS1-12)
a) 测评指标
应对敏感信息资源设置安全标记,并控制主体对有安全标记信息资源的访问。
4.3 安全审计
4.3.1 测评单元(L3-ADS1-13)
a) 测评指标
应提供并启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
4.3.2 测评单元(L3-ADS1-14)
a) 测评指标
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
4.3.3 测评单元(L3-ADS1-15)
a) 测评指标
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
4.3.4 测评单元(L3-ADS1-16)
a) 测评指标
应对审计进程进行保护,防止未经授权的中断;
4.3.5 测评单元(L3-ADS1-17)
a) 测评指标
审计记录产生时的时间应由系统范围内唯一确定的时钟产生,以确保审计分析的正确性;
4.4 软件容错
4.4.1 测评单元(L3-ADS1-18)
a) 测评指标
应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;
4.4.2 测评单元(L3-ADS1-19)
a) 测评指标
在故障发生时,应能够继续提供一部分功能,确保能够实施必要的措施;
4.4.3 测评单元(L3-ADS1-20)
a) 测评指标
应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。
4.5 资源控制
4.5.1 测评单元(L3-ADS1-21)
a) 测评指标
当通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;
4.5.2 测评单元(L3-ADS1-22)
a) 测评指标
应能够对系统的最大并发会话连接数进行限制;
4.5.3 测评单元(L3-ADS1-23)
a) 测评指标
应能够对单个账户的多重并发会话进行限制;
4.5.4 测评单元(L3-ADS1-24)
a) 测评指标
应能够对并发进程的每个进程占用的资源分配最大限额。
4.6 数据完整性
4.6.1 测评单元(L3-ADS1-25)
a) 测评指标
应采用校验码技术或加解密技术保证重要数据在传输过程中的完整性;
4.6.2 测评单元(L3-ADS1-26)
a) 测评指标
应采用校验码技术或加解密技术保证重要数据在存储过程中的完整性;
4.7 数据保密性
4.7.1 测评单元(L3-ADS1-27)
a) 测评指标
应采用加解密技术保证重要数据在传输过程中的保密性;
4.7.2 测评单元(L3-ADS1-28)
a) 测评指标
应采用加解密技术保证重要数据在存储过程中的保密性;
4.8 数据备份恢复
4.8.1 测评单元(L3-ADS1-29)
a) 测评指标
应提供重要数据的本地数据备份与恢复功能;
4.8.2 测评单元(L3-ADS1-30)
a) 测评指标
应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;
4.8.3 测评单元(L3-ADS1-31)
a) 测评指标
应提供重要数据处理系统的热冗余,保证系统的高可用性;
4.9 剩余信息保护
4.9.1 测评单元(L3-ADS1-32)
a) 测评指标
应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除;
4.9.2 测评单元(L3-ADS1-33)
a) 测评指标
应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
4.10 个人信息保护
4.10.1 测评单元(L3-ADS1-34)
a) 测评指标
应仅采集和保存业务必需的用户信息;
4.10.2 测评单元(L3-ADS1-35)
a) 测评指标
应禁止未授权访问和使用用户信息。