(单位)系统等级保护四级测评现场检测表测试对象范围:安全技术测试对象名称:主机系统安全测试主机(数据库)系统名称(IP):配合人员签字:测试人员签字:核实人员签字:测试日期:第 2 页共 14 页结果统计:测评项测评结果1身份鉴别□符合□部分符合□不符合2自主访问控制□符合□部分符合□不符合3强制访问控制□符合□部分符合□不符合4可信路径□符合□部分符合□不符合5安全审计□符合□部分符合□不符合6系统保护□符合□部分符合□不符合7剩余信息保护□符合□部分符合□不符合8入侵防范□符合□部分符合□不符合9恶意代码防范□符合□部分符合□不符合10资源控制□符合□部分符合□不符合测试类别等级测评(四级)测试对象安全技术测试类主机系统安全测试项身份鉴别测试要求:1.操作系统和数据库管理系统用户的身份标识应具有唯一性;2.应对登录操作系统和数据库管理系统的用户进行身份标识和鉴别;3.应对冋一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;4.操作系统和数据库管理系统用户的身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期更新等;5.操作系统和数据库管理系统用户的身份鉴别信息至少有一种应是不可伪造的,例如以公私钥对、生物特征等作为身份鉴别信息;6.应具有登录失败处理功能,如结束会话、限制非法登录次数,当登录连接超时,自动退出;7.应具有鉴别警示功能;测试记录:1.检查服务器操作系统和数据库管理系统身份鉴别功能是否具有《信息安全等级保护操作系统安全技术要求》和《信息安全等级保护数据库管理系统安全技术要求》第二级以上或TCSECC2 级以上的测试报告:否口是口2.访谈系统管理员,询问操作系统的身份标识与鉴别机制采取何种措施实现:目前系统提供了哪些身份鉴别措施和鉴别失败处理措施:第 3 页共 14 页3.访谈数据库管理员,询问数据库的身份标识与鉴别机制采取何种措施实现:目前系统提供了哪些身份鉴别措施和鉴别失败处理措施:4.检查服务器操作系统文档和数据库管理系统文档,查看用户身份标识的唯一性是由什么属性来保证的(如用户名或者 UID 等):5.检查主要服务器操作系统和主要数据库管理系统,查看是否提供了身份鉴别措施(如用户名和口令等):否口是口身份鉴别信息是否具有不易被冒用的特点,例如,口令足够长,口令复杂(如规定字符应混有大、小写字母、数字和特殊字符),口令生命周期,新旧口令的替换要求(如规定替换的字符数量)或为了便于记...
