安全資訊

3安全區域邊界

6 可信驗證

6.1測評單元(L3-ABS1-20)

該測評單元包括以下要求：
a) 測評指標:可基于可信根對邊界設備的系統引導程序、系統程序、重要配置參數和邊界防護應用程序等進(jìn)行可信驗證,并在應用程序的關(guān)鍵執行環(huán)節進(jìn)行動(dòng)態(tài)可信驗證,在檢測到其可信性受到破壞后進(jìn)行報警,并將驗證結果形成審計記錄送至安全管理中心。
b) 測評對象:提供可信驗證的設備或組件、提供集中審計功能的系統。
c) 測評實(shí)施包括以下內容:
    1) 應核查是否基于可信根對邊界設備的系統引導程序、系統程序、重要配置參數和邊界防護應用程序等進(jìn)行可信驗證;
    2) 應核查是否在應用程序的關(guān)鍵執行環(huán)節進(jìn)行動(dòng)態(tài)可信驗證;
    3) 應測試驗證當檢測到邊界設備的可信性受到破壞后是否進(jìn)行報警;
    4) 應測試驗證結果是否以審計記錄的形式送至安全管理中心。
d) 單元判定:如果1)～4)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。

4 安全計算環(huán)境

1 身份鑒別

1.1測評單元(L3-CES1-01)

該測評單元包括以下要求：

a) 測評指標:應對登錄的用戶(hù)進(jìn)行身份標識和鑒別,身份標識具有唯一性,身份鑒別信息具有復雜度要求并定期更換。
b) 測評對象:終端和服務(wù)器等設備中的操作系統(包括宿主機和虛擬機操作系統)、網(wǎng)絡(luò )設備(包括虛擬網(wǎng)絡(luò )設備)、安全設備(包括虛擬安全設備)、移動(dòng)終端、移動(dòng)終端管理系統、移動(dòng)終端管理客戶(hù)端、感知節點(diǎn)設備、網(wǎng)關(guān)節點(diǎn)設備、控制設備、業(yè)務(wù)應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等。

c) 測評實(shí)施包括以下內容:

    1)應核查用戶(hù)在登錄時(shí)是否采用了身份鑒別措施;
    2)應核查用戶(hù)列表確認用戶(hù)身份標識是否具有唯一性;
    3)應核查用戶(hù)配置信息或測試驗證是否不存在空口令用戶(hù);
    4應核查用戶(hù)鑒別信息是否具有復雜度要求并定期更換。

d) 單元判定:如果1)～4)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。

1.2測評單元(L3-CES1-02)

該測評單元包括以下要求：

a) 測評指標:應具有登錄失敗處理功能，應配量并啟用結束會(huì )話(huà)、限制非法登陸次數和當登錄連接超時(shí)自動(dòng)退出等相關(guān)措施。

b) 測評對象:終端和服務(wù)器等設備中的操作系統(包括宿主機和虛擬機操作系統)、網(wǎng)絡(luò )設備(包括虛擬網(wǎng)絡(luò )設備)、安全設備(包括虛擬安全設備)、移動(dòng)終端、移動(dòng)終端管理系統、移動(dòng)終端管理客戶(hù)端、感知節點(diǎn)設備、網(wǎng)關(guān)節點(diǎn)設備、控制設備、業(yè)務(wù)應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等。

c) 測評實(shí)施包括以下內容:

    1) 應核查是否配置并啟用了登錄失敗處理功能,
    2) 應核查是否配置并啟用了限制非法登錄功能,非法登錄達到一定次數后采取特定動(dòng)作,如賬戶(hù)鎖定等;
    3)應核查是否配置并啟用了登錄連接超時(shí)及自動(dòng)退出功能。

d) 單元判定:如果1)～3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。

1.3測評單元(L3-CES1-03)

該測評單元包括以下要求：
a) 測評指標:當進(jìn)行遠程管理時(shí),應采取必要措施防止鑒別信息在網(wǎng)絡(luò )傳輸過(guò)程中被竊聽(tīng)。

b) 測評對象:終端和服務(wù)器等設備中的操作系統(包括宿主機和虛擬機操作系統)、網(wǎng)絡(luò )設備(包括虛擬網(wǎng)絡(luò )設備)、安全設備(包括虛擬安全設備)、移動(dòng)終端、移動(dòng)終端管理系統、移動(dòng)終端管理客戶(hù)端、感知節點(diǎn)設備、網(wǎng)關(guān)節點(diǎn)設備、控制設備、業(yè)務(wù)應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等。

c) 測評實(shí)施:應核查是否采用加密等安全方式對系統進(jìn)行遠程管理,防止鑒別信息在網(wǎng)絡(luò )傳輸過(guò)程中被竊聽(tīng)
d)單元判定:如果以上測評實(shí)施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。

1.4測評單元(L3-CES1-04)

該測評單元包括以下要求:
a)測評指標:應采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶(hù)進(jìn)行身份鑒別,且其中一種鑒別技術(shù)至少應使用密碼技術(shù)來(lái)實(shí)現。

b) 測評對象:終端和服務(wù)器等設備中的操作系統(包括宿主機和虛擬機操作系統)、網(wǎng)絡(luò )設備(包括虛擬網(wǎng)絡(luò )設備)、安全設備(包括虛擬安全設備)、移動(dòng)終端、移動(dòng)終端管理系統、移動(dòng)終端管理客戶(hù)端、感知節點(diǎn)設備、網(wǎng)關(guān)節點(diǎn)設備、控制設備、業(yè)務(wù)應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等。

c)測評實(shí)施包括以下內容:
    1)應核查是否采用動(dòng)態(tài)口令、數字證書(shū)、生物技術(shù)和設備指紋等兩種或兩種以上組合的鑒別技術(shù)對用戶(hù)身份進(jìn)行鑒別;
    2)應核查其中一種鑒別技術(shù)是否使用密碼技術(shù)來(lái)實(shí)現。
d) 單元判定:如果1)和2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。