1? 范圍
??? 本標(biāo)準(zhǔn)規(guī)定了支撐網(wǎng)在安全等級保護(hù)、安全風(fēng)險評估、災(zāi)難備份及恢復(fù)等方面的安全防護(hù)要求。
本標(biāo)準(zhǔn)適用于公眾電信網(wǎng)中的支撐網(wǎng)。
2? 規(guī)范性引用文件
??? 下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標(biāo)準(zhǔn)。然而,鼓勵根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件,其最新版本適用于本標(biāo)準(zhǔn)。
? YD/T 1729-2008??? 電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)實(shí)施指南
? YD/T 1730-2008??? 電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險評估實(shí)施指南
? YD/T 1731-2008??? 電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難備份及恢復(fù)實(shí)施指南
? YD/T 1754-2008??? 電信網(wǎng)和互聯(lián)網(wǎng)物理環(huán)境安全等級保護(hù)要求
? YD/T 1756-2008??? 電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護(hù)要求
3? 術(shù)語和定義
??? 下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。
3.1
??? 支撐網(wǎng)安全等級 Security Classification of Supporting Network
??? 支撐網(wǎng)安全重要程度的表征,重要程度可從支撐網(wǎng)受到破壞后,對國家安全、社會秩序、經(jīng)濟(jì)運(yùn)行、公共利益、網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商造成的損害來衡量。
3.2
??? 支撐網(wǎng)安全等級保護(hù) Classified Security Protection of Supporting Network
??? 對支撐網(wǎng)分等級實(shí)施安全保護(hù)。
3.3
??? 組織 Organization
??? 組織是由不同作用的個體為實(shí)施共同的業(yè)務(wù)目標(biāo)而建立的結(jié)構(gòu),組織的特性在于為完成目標(biāo)而分工、合作;一個單位是一個組織,某個業(yè)務(wù)部門也可以是一個組織。
3.4
??? 支撐網(wǎng)安全風(fēng)險 Security Risk of Supporting Network
??? 人為或自然的威脅可能利用支持網(wǎng)中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對組織造成的影響。
3.5
??? 支撐網(wǎng)安全風(fēng)險評估 Security Risk Assessment of Supporting Network
??? 指運(yùn)用科學(xué)的方法和手段,系統(tǒng)地分析支撐網(wǎng)所面臨的威脅及其存在的脆弱性,評估安全事件一旦發(fā)生可能造成的危害程度,提出有針對性的抵御威脅的防護(hù)對策和安全措施。防范和化解支撐網(wǎng)安全風(fēng)險。或者將風(fēng)險控制在可接受的水平,為最大限度地為保障支撐網(wǎng)的安全提供科學(xué)依據(jù)。
3.6
??? 支撐網(wǎng)資產(chǎn) Asset of Supporting Network
??? 支撐網(wǎng)中具有價值的資源,是安全防護(hù)保護(hù)的對象。支撐網(wǎng)中的資產(chǎn)可能以多種形式存在,無形的、有形的、硬件、軟件,包括物理布局、通信設(shè)備、物理線路、數(shù)據(jù)、軟件、文檔、規(guī)程、業(yè)務(wù)、人員、管理等各種類型的資源,如網(wǎng)絡(luò)管理系統(tǒng)、計費(fèi)系統(tǒng)等。
3.7?
??? 支撐網(wǎng)資產(chǎn)價值 Asset Value of Supporting Network
??? 支撐網(wǎng)中資產(chǎn)的重要程度或敏感程度。資產(chǎn)價值是資產(chǎn)的屬性,也是進(jìn)行資產(chǎn)識別的主要內(nèi)容。
3.8
??? 支撐網(wǎng)威脅 Threat of Supporting Network
??? 可能導(dǎo)致對支撐網(wǎng)產(chǎn)生危害的不希望事故的潛在起因,它可能是人為的,也可能是非人為的:可能是無意失誤,也可能是惡意攻擊。常見的支撐網(wǎng)威脅有黑客入侵、硬件故障、人為操作失誤、火災(zāi)、水災(zāi)等等。
3.9
??? 支撐網(wǎng)脆弱性 Vulnerability of Supporting Network
??? 支撐網(wǎng)脆弱性是指支撐網(wǎng)中存在的弱點(diǎn)、缺陷與不足,不直接對資產(chǎn)造成危害-但可能被威脅所利用從而危害資產(chǎn)的安全。
3.10
??? 支撐網(wǎng)災(zāi)難 Disaster of Supporting Network
??? 由于各種原因,造成支撐網(wǎng)故障或癱瘓,使支撐網(wǎng)的功能停頓或服務(wù)水平不可接受、達(dá)到特定的時間的突發(fā)性事件。
3.11
??? 支撐網(wǎng)災(zāi)難備份 Backup for Disaster Recovery of Supporting Network
??? 為了支撐網(wǎng)災(zāi)難恢復(fù)而對相關(guān)網(wǎng)絡(luò)要素進(jìn)行備份的過程。
3.12
??? 支撐網(wǎng)災(zāi)難恢復(fù) Disaster Recovery of Supporting Network
為了將支撐網(wǎng)從災(zāi)難造成的故障或癱瘓狀態(tài)恢復(fù)到正常運(yùn)行狀態(tài)成都分正常運(yùn)行狀態(tài)、并將其功能從災(zāi)難造成的不正常狀態(tài)恢復(fù)到可接受狀態(tài),而設(shè)計的活動和流程。
?
4?? 支撐網(wǎng)安全防護(hù)概述
?
4.1? 支撐網(wǎng)安全防護(hù)范圍
??? 支撐網(wǎng)是獨(dú)立于業(yè)務(wù)兩之外的用于支持阿絡(luò)及設(shè)備維護(hù)、業(yè)務(wù)運(yùn)營和賬務(wù)管理的綜合信息系統(tǒng)所組成的網(wǎng)絡(luò)。本標(biāo)準(zhǔn)中支撐網(wǎng)的安全防護(hù)范圍包括網(wǎng)管系統(tǒng)和業(yè)務(wù)運(yùn)營支捧系統(tǒng)。本標(biāo)準(zhǔn)中的網(wǎng)管系統(tǒng)覆蓋以下網(wǎng)絡(luò):固定通信網(wǎng)、移動通信網(wǎng)、消息網(wǎng)、智能網(wǎng)、接入網(wǎng)、傳送網(wǎng)、IP承載網(wǎng)、信令網(wǎng)、同步網(wǎng)。本標(biāo)準(zhǔn)中的業(yè)務(wù)運(yùn)營支撐系統(tǒng)包括計費(fèi)系統(tǒng)、營業(yè)系統(tǒng)、賬務(wù)系統(tǒng)。
4.2? 支撐網(wǎng)安全防護(hù)內(nèi)容
??? 根據(jù)電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系的要求,將支撐網(wǎng)安全防護(hù)內(nèi)容分為安全等級保護(hù)、安全風(fēng)險評估、災(zāi)難備份及恢復(fù)等3個部分。
? ??——支撐網(wǎng)安全等級保護(hù)
?? ?主要包括業(yè)務(wù)安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、物理環(huán)境安全、管理安全等。
? ??——支撐網(wǎng)安全風(fēng)險評估
? ??主要包括資產(chǎn)識別、脆弱性識別、威脅識別、已有安全措施的確認(rèn)、風(fēng)險分析、風(fēng)險評估文件記錄等,本標(biāo)準(zhǔn)文件僅對支撐網(wǎng)進(jìn)行資產(chǎn)分析、脆弱性分析、威脅分析,在支撐網(wǎng)安全風(fēng)險評估過程中確定各個資產(chǎn)、脆弱性、威脅的具體值。資產(chǎn)、脆弱性、威脅的賦值方法及資產(chǎn)價值、風(fēng)險值的計算方法參見YD/T 1730-2008《電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險評估實(shí)施指南》。
? ??——支撐網(wǎng)災(zāi)難備份及恢復(fù)
主要包括災(zāi)難備份及恢復(fù)等級確定、針對災(zāi)難備份及恢復(fù)各資源要素的具體實(shí)施等。
?
5? 支撐網(wǎng)定級對象和安全等級確定
?
本標(biāo)準(zhǔn)文件中支撐網(wǎng)的定級對象為各類網(wǎng)管系統(tǒng)和業(yè)務(wù)運(yùn)營支撐系統(tǒng),可按照全國、省和地市將各個系統(tǒng)分為不同級別。網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商應(yīng)根據(jù)YD/T 1729-2008《電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)實(shí)施指南》中確定安全等級的方法對支撐網(wǎng)進(jìn)行定級,即根據(jù)社會影響力、所提供服務(wù)的重要性、規(guī)模和服務(wù)范圍的大小對各類網(wǎng)管系統(tǒng)和業(yè)務(wù)運(yùn)營支撐系統(tǒng)分別定級。定級方法中的權(quán)重α、β、γ可根據(jù)具體網(wǎng)絡(luò)情況進(jìn)行調(diào)節(jié)。
?
6? 支撐網(wǎng)資產(chǎn)、脆弱性、威脅分析
?
6.1? 資產(chǎn)分析
??? 支撐網(wǎng)的資產(chǎn)可分為設(shè)備硬件、軟件、數(shù)據(jù)、網(wǎng)絡(luò)、服務(wù)、文檔和人員等.表l給出支撐網(wǎng)的資產(chǎn)列表。
表1 ?支撐網(wǎng)資產(chǎn)列表
?
?分類 | ??? 示例 |
? 設(shè)備硬件 | 支撐網(wǎng)中的各種主機(jī)設(shè)備,網(wǎng)絡(luò)設(shè)備 |
? 設(shè)備軟件 | 設(shè)備中的軟件,包括操作系統(tǒng)、中間件軟件、數(shù)據(jù)庫軟件、應(yīng)用軟件等 |
? ? 重要數(shù)據(jù) | 保存在設(shè)備上的各種重要數(shù)據(jù),包括網(wǎng)元和網(wǎng)絡(luò)配置數(shù)據(jù)、管理員操作維護(hù)記錄、用戶信息、計費(fèi)數(shù)據(jù)和賬單等 |
? 同絡(luò) | 承載支撐網(wǎng)的網(wǎng)絡(luò) |
? 服務(wù) | 賬單服務(wù)等 |
? ? 文檔 | 紙質(zhì)以及保存在電腦中的各種文件。如設(shè)計文檔、技術(shù)要求、管理規(guī)定(機(jī)構(gòu)設(shè)置、管理制度、人 員管理辦法)、工作計劃、技術(shù)或財務(wù)報告、用戶手冊等 |
? 人員 | 管理人員,掌握重要技術(shù)的人員,如網(wǎng)絡(luò)維護(hù)人員、設(shè)備維護(hù)人員、研發(fā)人員鋒 |
6.2? 脆弱性分析
? ??支撐網(wǎng)的脆弱性可分為技術(shù)脆弱性和管理脆弱性兩方面。表2給出支撐網(wǎng)的脆弱性列表。
?
?
?
表2? 支撐網(wǎng)脆弱性列表
?
??? 類型 | ??? 對象 | ??? 存在的脆弱性 |
? ? ? 技術(shù)脆弱性 ? ? | ? 服務(wù),應(yīng)用 | 由于網(wǎng)絡(luò)和設(shè)備的處理或備份能力不夠而導(dǎo)致服務(wù)提供不連續(xù) |
? ??? 網(wǎng)絡(luò) | 網(wǎng)絡(luò)拓?fù)湓O(shè)計不合理,無冗余鏈路,單點(diǎn)故障隱患,與互聯(lián)網(wǎng)連接造成的訪問控制 漏洞 |
設(shè)備(軟件、硬 ? 件和數(shù)據(jù)) | 設(shè)備老化、系統(tǒng)設(shè)計缺陷、無數(shù)據(jù)備份、無過載保護(hù)、無防病毒黑客攻擊的手段等 系統(tǒng)存在可技外界利用的漏洞 |
? ? ?物理環(huán)境 | 機(jī)房場地選擇不合理,防火、供配電、防靜電、接地與防霄、電磁防護(hù)、溫濕度控 制不符合規(guī)范I通信線路、機(jī)房設(shè)備的保護(hù)不符合規(guī)范 |
? ? ? ? ? ??? ???管理脆弱性 ? ? ? ? ? | ? (1)安全管理機(jī)構(gòu)方面:崗位設(shè)置不合理(如人員配置過少、職責(zé)不清)、授權(quán) 和審批程序簡化、溝通和合作未執(zhí)行、審核和檢查未執(zhí)行等: ? (2)安全管理制度方面:管理審|度不完善、制度評審和修訂不及時等; ? (3)人員安全管理方面;人員錄用不符合程序、人員離崗未辦理安全手續(xù)、人員 束進(jìn)行安全培訓(xùn)、對于外部人員未進(jìn)行限制訪問等; ? (4)建設(shè)管理方面:安全方案不完善、軟件開發(fā)不符合程序、工程實(shí)施未進(jìn)行安 全驗(yàn)收或驗(yàn)收不嚴(yán)格等; ? (5)運(yùn)維管理方面:物理環(huán)境管理措施簡單、存儲介質(zhì)使用不受限、設(shè)備沒有定 期維護(hù)、廠家支持力度不夠、關(guān)鍵性能指標(biāo)沒有定期監(jiān)控、無惡意代碼防范措施、 無數(shù)據(jù)備份和恢復(fù)策略、訪問控制不嚴(yán)格、操作管理不規(guī)范等,應(yīng)急保障措施不到 位等 |
6.3? 威脅分析
?支撐網(wǎng)的威脅可分為設(shè)備威脅、環(huán)境威脅和人為威脅.環(huán)境威脅包括自然界不可抗的威脅和其他物理威脅。根據(jù)威脅的動機(jī),人為威脅又可分為惡意和非惡意兩種。表3給出支撐網(wǎng)的威脅列表。
? ??表3? 支撐網(wǎng)威脅列表
?
??? 來源 | ??? 威脅描述 |
設(shè)備威脅 | 各類設(shè)備本身的軟硬件故障,設(shè)備和介質(zhì)老化造成的數(shù)據(jù)丟失,系統(tǒng)宕機(jī) |
? ? ?? 環(huán)境成脅 | 物理環(huán)境 | 斷電、靜電、灰塵、潮濕、溫度、電磁干擾等I意外事故或通信線路方面的故障 |
自然災(zāi)害 | 鼠蚊蟲害、洪災(zāi)、火災(zāi)、泥石流、山體滑坡、地震、臺風(fēng)、雷電 |
? ? ? ? 人為威脅 ? ? ? ? | ? ? 惡意人員 ? | 不滿的或有預(yù)謀的內(nèi)部人員濫用權(quán)限進(jìn)行惡意破壞; 采用自主或內(nèi)外勾結(jié)的方式盜竊或篡改機(jī)密信息; 外部人員利用惡意代碼和病毒對網(wǎng)絡(luò)或系統(tǒng)進(jìn)行攻擊; 外部人員進(jìn)行物理破壞、盜竊等 |
? ? 非惡意人員 ? ? | 內(nèi)部人員由于缺乏責(zé)任心或者無作為而沒有執(zhí)行應(yīng)當(dāng)執(zhí)行的操作,或無意地執(zhí)行了 錯誤的操作導(dǎo)致安全事件; 內(nèi)部人員沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損壞; 內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要求而導(dǎo)致故障或攻擊; 安全管理制度不完善、落實(shí)不到位造成安全管理不規(guī)范或者管理混亂導(dǎo)致安全事件 |
?
7? 支撐網(wǎng)安全等級保護(hù)要求
?
7.1? 第1級要求
??? 不作要求。
7.2? 第2級要求
7.2.1?業(yè)務(wù)安全
??? a)? 計費(fèi)系統(tǒng)要求不間斷運(yùn)行,全年中斷時間應(yīng)符合電信運(yùn)營企業(yè)的相關(guān)要求;
??? b)? 計費(fèi)系統(tǒng)中斷后應(yīng)當(dāng)對中斷期間未采集的數(shù)據(jù)進(jìn)行補(bǔ)采;
??? c)? 計費(fèi)系統(tǒng)定時對計費(fèi)信息等數(shù)據(jù)進(jìn)行備份,保證計費(fèi)信息不丟失,計費(fèi)數(shù)據(jù)在系統(tǒng)中保存的時間應(yīng)符合相關(guān)要求(至少3個月);
??? d)? 賬務(wù)系統(tǒng)應(yīng)當(dāng)確保賬單的準(zhǔn)確性,保證賬單不重復(fù)、不丟失、不被修改。
7.2.2?網(wǎng)絡(luò)安全
7.2.2.1? 結(jié)構(gòu)安全
??? a)? 應(yīng)保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間,滿足業(yè)務(wù)高峰期需要;
??? b)? 應(yīng)保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬滿足業(yè)務(wù)高峰期需要;
??? c)? 應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖;
??? d)? 應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素,劃分不同的予網(wǎng)或網(wǎng)段,并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段。
7.2.2.2? 訪問控制
??? a)? 應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備,啟用訪問控制功能;
??? b)? 應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力,控制粒度為網(wǎng)段級;
??? c)? 應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則,決定允許或拒絕用戶對受控系統(tǒng)進(jìn)行資源訪問,控制粒度為單個用戶。
7.2.2.3? 安全審計
??? a)? 應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄;
??? b)? 審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息。
7.2.2.4? 邊界完整性檢查
??? 應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查。
7.2.2.5? 入侵防范
??? 應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為:端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。
7.2.2.6網(wǎng)絡(luò)設(shè)備防護(hù)
??? a)? 應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別;
??? b)? 應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制;
??? c)? 網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)惟一;
??? d)? 身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn),口令應(yīng)有復(fù)雜度要求并定期更換;
??? e)? 應(yīng)具有登錄失敗處理功能,可采取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時自動退出等措施;
?? ?f)? 當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時,應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。
7.2.3?主機(jī)安全
7.2.3.1? 身份鑒別
??? a)? 應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別;
??? b)? 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識應(yīng)具有不易被冒用的特點(diǎn),口令應(yīng)有復(fù)雜度要求并定期更換;
??? c)? 應(yīng)啟用登錄失敗處理功能,可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施;
??? d)? 當(dāng)對服務(wù)器進(jìn)行遠(yuǎn)程管理時,應(yīng)采取必要措施,防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽;
??? e)? 應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名,確保用戶名具有惟一性。
7.2.3.2? 訪問控制
??? a)? 應(yīng)啟用訪問控制功能,依據(jù)安全策略控制用戶對資源的訪問;
??? b)? 應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離;
??? c)? 應(yīng)限制默認(rèn)賬戶的訪問權(quán)限,重命名系統(tǒng)默認(rèn)賬戶,修改這些賬戶的默認(rèn)口令;
??? d)? 應(yīng)及時刪除多余的、過期的賬戶,避免共享賬戶的存在。
7.2.3.3? 安全審計
??? a)?審計范圍應(yīng)覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶;
??? b)? 審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件;
??? c)? 審計記錄應(yīng)包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等;
??? d)? 應(yīng)保護(hù)審計記錄,避免受到未預(yù)期的刪除、修改或覆蓋等。
7.2.3.4? 入侵防范
??? 操作系統(tǒng)應(yīng)遵循最小安裝的原則,僅安裝需要的組件和應(yīng)用程序,保持系統(tǒng)補(bǔ)丁及時得到更新。
7.2.3.5? 惡意代碼防范
??? a)? 應(yīng)安裝防惡意代碼軟件,并及時更新防惡意代碼軟件版本和惡意代碼庫;
??? b) 應(yīng)支持防惡意代碼軟件的統(tǒng)一管理。
7.2.3.6? 資源控制
??? a)? 應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄;
??? b)? 應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定;
??? c)? 應(yīng)限制單個用戶對系統(tǒng)資源的最大或最小使用限度。
7.2.4?應(yīng)用安全
7.2.4.1? 身份鑒別
??? a)? 應(yīng)提供專用的登錄控制模塊對登錄用戶進(jìn)行身份標(biāo)識和鑒別;
??? b)? 應(yīng)提供用戶身份標(biāo)識惟一和鑒別信息復(fù)雜度檢查功能,保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識,身份鑒別信息不易被冒用;
??? c)? 應(yīng)提供登錄失敗處理功能,可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施;
??? d)? 應(yīng)啟用身份鑒別、用戶身份標(biāo)識惟一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能,并根據(jù)安全策略配置相關(guān)參數(shù)。