3安全區(qū)域邊界

6 可信驗證

6.1測評單元(L3-ABS1-20)

該測評單元包括以下要求：
a) 測評指標:可基于可信根對邊界設備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護應用程序等進行可信驗證,并在應用程序的關鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證,在檢測到其可信性受到破壞后進行報警,并將驗證結(jié)果形成審計記錄送至安全管理中心。
b) 測評對象:提供可信驗證的設備或組件、提供集中審計功能的系統(tǒng)。
c) 測評實施包括以下內(nèi)容:
    1) 應核查是否基于可信根對邊界設備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護應用程序等進行可信驗證;
    2) 應核查是否在應用程序的關鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證;
    3) 應測試驗證當檢測到邊界設備的可信性受到破壞后是否進行報警;
    4) 應測試驗證結(jié)果是否以審計記錄的形式送至安全管理中心。
d) 單元判定:如果1)～4)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。

4 安全計算環(huán)境

1 身份鑒別

1.1測評單元(L3-CES1-01)

該測評單元包括以下要求：

a) 測評指標:應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,身份鑒別信息具有復雜度要求并定期更換。
b) 測評對象:終端和服務器等設備中的操作系統(tǒng)(包括宿主機和虛擬機操作系統(tǒng))、網(wǎng)絡設備(包括虛擬網(wǎng)絡設備)、安全設備(包括虛擬安全設備)、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點設備、網(wǎng)關節(jié)點設備、控制設備、業(yè)務應用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設計文檔等。

c) 測評實施包括以下內(nèi)容:

    1)應核查用戶在登錄時是否采用了身份鑒別措施;
    2)應核查用戶列表確認用戶身份標識是否具有唯一性;
    3)應核查用戶配置信息或測試驗證是否不存在空口令用戶;
    4應核查用戶鑒別信息是否具有復雜度要求并定期更換。

d) 單元判定:如果1)～4)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。

1.2測評單元(L3-CES1-02)

該測評單元包括以下要求：

a) 測評指標:應具有登錄失敗處理功能，應配量并啟用結(jié)束會話、限制非法登陸次數(shù)和當?shù)卿涍B接超時自動退出等相關措施。

b) 測評對象:終端和服務器等設備中的操作系統(tǒng)(包括宿主機和虛擬機操作系統(tǒng))、網(wǎng)絡設備(包括虛擬網(wǎng)絡設備)、安全設備(包括虛擬安全設備)、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點設備、網(wǎng)關節(jié)點設備、控制設備、業(yè)務應用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設計文檔等。

c) 測評實施包括以下內(nèi)容:

    1) 應核查是否配置并啟用了登錄失敗處理功能,
    2) 應核查是否配置并啟用了限制非法登錄功能,非法登錄達到一定次數(shù)后采取特定動作,如賬戶鎖定等;
    3)應核查是否配置并啟用了登錄連接超時及自動退出功能。

d) 單元判定:如果1)～3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。

1.3測評單元(L3-CES1-03)

該測評單元包括以下要求：
a) 測評指標:當進行遠程管理時,應采取必要措施防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽。

b) 測評對象:終端和服務器等設備中的操作系統(tǒng)(包括宿主機和虛擬機操作系統(tǒng))、網(wǎng)絡設備(包括虛擬網(wǎng)絡設備)、安全設備(包括虛擬安全設備)、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點設備、網(wǎng)關節(jié)點設備、控制設備、業(yè)務應用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設計文檔等。

c) 測評實施:應核查是否采用加密等安全方式對系統(tǒng)進行遠程管理,防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽
d)單元判定:如果以上測評實施內(nèi)容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。

1.4測評單元(L3-CES1-04)

該測評單元包括以下要求:
a)測評指標:應采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進行身份鑒別,且其中一種鑒別技術(shù)至少應使用密碼技術(shù)來實現(xiàn)。

b) 測評對象:終端和服務器等設備中的操作系統(tǒng)(包括宿主機和虛擬機操作系統(tǒng))、網(wǎng)絡設備(包括虛擬網(wǎng)絡設備)、安全設備(包括虛擬安全設備)、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點設備、網(wǎng)關節(jié)點設備、控制設備、業(yè)務應用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設計文檔等。

c)測評實施包括以下內(nèi)容:
    1)應核查是否采用動態(tài)口令、數(shù)字證書、生物技術(shù)和設備指紋等兩種或兩種以上組合的鑒別技術(shù)對用戶身份進行鑒別;
    2)應核查其中一種鑒別技術(shù)是否使用密碼技術(shù)來實現(xiàn)。
d) 單元判定:如果1)和2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。