本项要求包括:
a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别;
b) 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别,其中一种是不可伪造的;
c) 应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;
d) 应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
e) 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。
应提供为主体和客体设置安全标记的功能并在安装后启用;
本项要求包括:
a) 应提供自主访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;
b) 自主访问控制的覆盖范围应包括与信息安全直接相关的主体、客体及它们之间的操作;
c) 应由授权主体配置访问控制策略,并禁止默认帐户的访问;
d) 应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系;
e) 应通过比较安全标记来确定是授予还是拒绝主体对客体的访问。
本项要求包括:
a) 在应用系统对用户进行身份鉴别时,应能够建立一条安全的信息传输路径。
b) 在用户通过应用系统对资源进行访问时,应用系统应保证在被访问的资源与用户之间应能够建立一条安全的信息传输路径。
本项要求包括:
