序号类别测评项 测评实施 预期结果 说明 1身份 鉴别a) 应提供专用的登 录控制模块对登录用 户进行身份标识和鉴 别；1）查看是否提供专用的登录控制模块对登录用户进行身 份标识和鉴别 检查应用系统是否有用户管理模块，是否对系统的用户账 号和口令强度进行强制性要求；1）用户需要输入用户名和 密码才能登录。是否必须输入密码才能 登录。 b)应提供用户身份标 识唯一和鉴别信息复 杂度检查功能，保证 应用系统中不存在重 复用户身份标识，身 份鉴别信息不易被冒 用；查看是否能对用户身份标识唯一和鉴别信息复杂度检查可访谈系统管理员，询问 应用系统是否采取身份标 识和鉴别措施，具体措施 有哪些；系统采取 何种措施防止身份鉴别信 息被冒用（如复杂性混有 大、小写字母、数字和特殊 字符，设定口令 周期等）； c) 应启用登录失败 处理功能，可采取结 束会话、限制非法登 录次数和自动退出等 措施；可访谈系统管理员，询问应用系统是否具有登录失败处理 的功能，是如何进行处理的； a）查看以下项的情况： a)复位账户锁定计数器、 b)账户锁 定时间和c)账户锁定阈值。a)设置了“复位账户锁定 计数器”时间； b)设置了“账户锁定时 间”； c)设置了“账户锁定阈 值”。所有的项只要不为默认 的0或未启用就可以。 d) 应启用身份鉴别、 用户身份标识唯一性 检查、用户身份鉴别 信息复杂度检查以及 登录失败处理功能，可访谈系统管理员，询问应用系统对用户标识是否具有唯 一性（如UID、 用户名或其他信息在系统中是唯一的，用该 标识能唯一识别该用户）1）无多人共用同一个账号 的情况。应防止多人使用同一个 账号。 第 1 页 共 7 页序号类别测评项 测评实施 预期结果 说明 并根据安全策略配置 相关参数 2访问 控制a) 应启用访问控制 功能，依据安全策略 控制用户对文件、数 据库表等客体的访 问；应访谈系统管理员，询问业务系统是否提供访问控制措 施，具体措施有哪些，自主访问控制的粒度如何； 应检查重要应用系统，查看系统是否提供访问控制机制； 是否依据安全策略控制用户对客体（如文件和数据库中的 数据）的访问； b) 访问控制的覆盖 范围应包括与资源访 问相关的主体、客体 及它们之间的操作；应检查重要应用系统，查看其自主访问控制的覆盖范围是 否包括与信息安全直接相关的主体、客体及它们之间的操 作；自主访问控制的粒度是否达到主体为用户级，客体为 文件、数据库表级（如数据库表、视图、存储过程等）； c) 应授权主体配置 访问控制策略，并严 格限制默认账户的访 问权限；应检查重要应用系统，查看应用系统是否有对授权主体进 行系统功能操作和对数据访问权限进行设置的功能； 应检查重要应用系统，查看其特权用户的权限是否分离 （如将系统管理员、安全员和审计员的权限分离），权限 之间是否相互制约；可通过用不同权限的用户 登录，查看其权限是否受 到应用系统的限制，验证 系统权限分离功能是否有 效； d) 应授予不同账户 为完成各自承担任务 所需的最小权限，并 在它们之间形成相互 制约的关系； e) 生产系统应建立 关键账户与权限的关 第 2 页 共 7 页序号类别测评项 测评实施 预期结果 说明 系表。（F2） 3安全 审计a) 安全审计应覆盖 到每个用户的安全审 计功能，对应用系统 重要的安全 事件进行 审计；可访谈安全审计员，询问应用系统是否设置安全审计；询 问应用系统对 事件进行审计的 选择要求和策略是 什么；对 审计日志的处理方式有哪些； 查看是否有审 核策略启用。1）至少启用一项审 核策 略。不能所有审计策略 均未 启用。 如果a)条不符合则以下 b)、c)、d)、e)、f)直接判 定为不符 合。 b) 审计记录应包括 事件的日期、时间、 类型、主体标识、客 体标识和结果等；保 存时间不 少于一个 月。应检查重要应用系统，查看其审计 跟踪设置是否定 义了审 计跟踪极限的阈值， 当存储空间被耗尽时，能否采取必要 的保护措施，例如，报警并导出、丢弃未记录的审计信息、 暂停审计或覆盖以 前的审计记录等； c）应保证不提供删 除、修改或覆盖审计 记录的功能；查看日志保存策略。1）如果日志数据本地保 存，则 a)只有系统管理员 组在本 地安全设置的用户 列表中 b)“安全性”和“系统” 日志“属性”的存储大小 不小于512KB；覆盖周期不 小于15天。 2）如果日志数据存放在日 志服务器上并且审计策略 合理，则该要求为符 合。1）关注“管理审 核和安 全日志”的权限用户， 关注“安全性”和“系 统”日志“属性”的存 储大小和覆盖周期。 2）如果日志数据存放在 日志服务器上，则该要 求向为符合。 4通信应采用检验码 技术保a) 可访谈安全员，询问业务系统是否有数据在 传输过程 第 3 页 共 7 页序号类别测评项 测评实施 预期结果 说明 完整 性证通信过程中数据的 完整性。中进行完 整性保证的操作，具体措施是 什么； b) 应检查设计/验收文档，查看其是否有通信完 整性的 说明，如果有 则查看其是否有系统是根据 校验码判断对方 数据包的有效性的 描述； c) 应测评重要应用系统，可通过 获取通信双方的数据 包，查看其是否有验证码。 5通信 保密 性 a)在通信双方建立连 接之前，应用系统应 利用密码技术进行会 话初始化验证；a) 可访谈安全员，询问业务系统数据在存储和 传输过程 中是否采取保密措施（如在通信 双方建立会话之前利用密 码技术进行会话 初始化验证，在通信过程中对 敏感信息字 段进行加密等），具体措施有哪些，是否所有应用系统的 通信都采取了上述措施； b) 应测评重要应用系统，查看 当通信双方中的一方在一 段时间内未作任何 响应，另一方是否能自动结束会话；系 统是否能在通信 双方建立连接之前，利用密码技术进行会 话初始化验证（如SSL建立加密通道前是否利用密码技术 进行会话 初始验证）； c) 应测评重要应用系统，通过通信 双方中的一方在一段 时间内未作任何 响应，查看 另一方是否能自动结束会话， 测评当通信双方中的一方在一段时间内未作任何 响应，另 一方是否能自动结束会话的功能是否有效； d) 应测评重要应用系统，通过查看通信 双方数据包的 内 容，查看系统在通信过程中，对 敏感信息字段进行加密的 功能是否有效。 b)应对通信过程中的 第 4 页 共 7 页序号类别测评项 测评实施 预期结果 说明 敏感信息字段进行加 密。 6软件 容错 a) 应提供数据有效 性检验功能，保证通 过人机接口输入或通 过通信接口输入的数 据格式或长度符合系 统设定要求；a) 可访谈系统管理员，询问业务系统是否有保证 软件具 有容错能力的措施（如对人机接口输入或通过通信接口输 入的数据进行有效性检验等），具体措施有哪些； b) 应检查重要应用系统，通过输入不同的数据格 式或长 度等进行验证，查看业务系统是否对人机接口输入（如用 户界面的数据输入）或通信接口输入的数据进行有效性检 验；是否 允许按照操作的序 列进行回退（如撤消操作）； 是否在故障发生时继续提供一部分功能， 确保能够实施必 要的措施（如对重要数据的保存）； c) 应测评重要应用系统，可通过输入的不同（如数据格 式或长度等符合、不符合软件设定的要求），验证系统人 机接口有效性检验功能是否 正确； d) 应测评重要应用系统，可通过多 步操作，然后回退， 验证系统能否 按照操作的序 列进行正确的回退；可通过 给 系统人为制 造一些故障（如系统 异常），验证系统能否在 故障发生时继续提供一部分功能，并能实施必要的措施。 b) 在故障发生时， 应用系统应能 够继续 提供一部分功能， 确 保能够实施必要的措 施。 c) 应能够有效屏蔽 第 5 页 共 7 页序号类别测评项 测评实施 预期结果 说明 系统技术错误信息， 不将系统 产生的错误 信息直接 反馈给客 户。（F2） 7系统 资源 控制a) 对于有会话或 短 连接的应用系统，当 应用系统的通信 双方 的一方在一段时间内 未作任何 响应，另一 方应能够自动结束会 话；可访谈系统管理员，询问业务系统是否有资源控制的措施 （如对应用系统的最大并 发会话连接数进行限制，是否 禁 止同一用户账号在同一时间 内并发登录，是否对一个时间 段内可能的并 发会话连接数进行限制，对一个访问用户或 一个请求进程占用的资源分配最大限 额和最小限 额 等），具体措施有哪些； b) 应能够对应用系 统的最大并 发会话连 接数进行限制；应检查重要应用系统，查看系统是否有最大并 发会话连接 数的限制；关注等待时间设置是否 过长，恢复时使用密码 保护是否选中。 c) 对于有会话的应 用系统，应能够对单 个账户的多重并 发会 话进行限制；主要应了 解服务器资源 的分配是否能 满足其业 务需求。如果 服务器不 是多业务 竞争使用硬件 资源且实时利用率不是 很高，那么认为不存在 资源紧张情况。确实需 要多业务 公用资源的， 应判断当前的资源分配 方式能否满足业务需 第 6 页 共 7 页序号类别测评项 测评实施 预期结果 说明 求。 第 7 页 共 7 页