欢迎来到中国文库网! | 帮助中心 分享价值,成长自我!
中国文库网
全部分类
  • 实用文档 >
    实用文档
    求职/职场 PPT模板库 总结/汇报/计划 主持/演讲稿/致辞/ 思想汇报/心得体会 规章制度 调研述职 学习专题 行政公文 合同协议 方案/研究报告 说明文档 其它范文模版
  • 专业资料 >
    专业资料
    经管营销 IT/计算机 工程科技 人文社科 自然科学 医药卫生 农林牧渔
  • 教育资料 >
    教育资料
    幼儿教育 小学教育 初中教育 高中教育 职业教育 成人教育 高等教育 其它教育资料
  • 资格认证/考试 >
    资格认证/考试
    公务员考试 成考 自考 专升本考试 教师资格考试 司法考试 微软认证 思科认证 注册会计师 全国翻译资格认证 医师/药师资格考试 会计职称考试 报关员资格考试 人力资源管理师 安全工程师考试 出国培训 资产评估师考试 技工类职业技能考试 银行从业资格 计算机等级考试 营养师认证 物流师考试 证券从业资格考试 注册税务师 理财规划师 建筑师考试 质量管理体系认证 建造师考试 英语四六级 英语专业四八级 GRE 雅思/LSAT 托福 其它
  • 学术论文/大学论文 >
    学术论文/大学论文
    毕业论文 期刊/会议论文 管理论文 社科论文 文学论文 开题报告 经济论文 法律论文 医学论文 哲学论文 艺术论文 通讯论文 自然科学论文 论文指导/设计 其它论文
  • 生活休闲专区 >
    生活休闲专区
    饮食 游戏 体育/运动 音乐 旅游购物 娱乐时尚 美容化妆 家具家电 社会民生 影视/动漫 保健养生 随笔 摄影摄像 幽默滑稽 综合/其它
  • 首页 中国文库网 > 资源分类 > DOCX文档下载

    应用现场测评记录表.docx

    • 资源大小:22.23KB        全文页数:9页
    • 资源格式: DOCX        下载权限:游客/注册会员/VIP会员    下载费用:1金币 【人民币1元】
    游客快捷下载 游客一键下载
    会员登录下载
    下载资源需要1金币 【人民币1元】

    邮箱/手机:
    温馨提示:
    支付成功后,系统会根据您填写的邮箱或者手机号作为您下次登录的用户名和密码(如填写的是手机,那登陆用户名和密码就是手机号),方便下次登录下载和查询订单;
    特别说明:
    请自助下载,系统不会自动发送文件的哦;
    支付方式: 微信支付    支付宝   
    验证码:   换一换

          加入VIP,免费下载资源
     
    友情提示
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,既可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰   

    应用现场测评记录表.docx

    深圳市信息安全测评中心 第 1 页 共 9 页项目编号**应用测评现场记录表2010 年_月深圳市信息安全测评中心 第 2 页 共 9 页1.测评对象2.入场确认3.离场确认对象名称及 IP 地址 备注序号 确认内容1 测评对象中的关键数据已备份。如果没有备份则不进行核查。2 测评对象工作正常。如工作异常则不进行核查。开始时间 确认签字序号 确认内容1 测评工作未对测评对象造成不良影响,测评对象工作正常。开始时间 确认签字深圳市信息安全测评中心 第 3 页 共 9 页4.测评记录序号 类别 测评内容 测评方法示例 结果记录 符合情况1 应提供专用的登录控制模块对登录用户进行身份标识和鉴别;访谈应用系统管理员,询问应用系统是否采取身份标识和鉴别措施,具体措施有哪些;系统采取何种措施防止身份鉴别信息被冒用;2应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;访谈应用系统管理员,询问应用系统是否采取两种或两种以上组合的鉴别技术实现用户身份鉴别;3应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;检查主要应用系统,查看其是否采用了两个及两个以上身份鉴别技术的组合来进行身份鉴别;4应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;访谈系统管理员,询问应用系统是否具有登录失败处理的功能,是如何进行处理的;5身份鉴别应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。检查主要应用系统,查看其是否提供登录失败处理功能,能否根据安全策略配置相关参数。6 访问控 制应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;检查主要应用系统,查看系统是否提供访问控制机制;是否依据安全策略控制用户对客体的访问;深圳市信息安全测评中心 第 4 页 共 9 页序号 类别 测评内容 测评方法示例 结果记录 符合情况7访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;检查主要应用系统,查看其访问控制的覆盖范围是否包括与信息安全直接相关的主体、客体及它们之间的操作;8 应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限;检查主要应用系统,查看其是否有由授权用户设置其它用户访问系统功能和用户数据的权限的功能,是否限制默认用户访问权限;9应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。检查主要应用系统,查看系统是否授予不同帐户为完成各自承担任务所需的最小权限,特权用户的权限是否分离,权限之间是否相互制约;10 应具有对重要信息资源设置敏感标记的功能;检查主要应用系统,查看是否能对重要信息资源设置敏感标记,这些敏感标记是否以默认方式生成或由安全员建立、维护和管理;11 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;测试主要应用系统,查看是否依据安全策略严格控制用户对有敏感标记重要信息资源的操作。12 安全审 计应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;检查主要应用系统,查看其当前审计范围是否覆盖到每个用户;检查主要应用系统,查看其审计策略是否覆盖系统内重要的安全相关事件,例如,用户标识与鉴别、自主访问控制的所有操作记录、重要用户行为、系统资源的异常使用、深圳市信息安全测评中心 第 5 页 共 9 页序号 类别 测评内容 测评方法示例 结果记录 符合情况重要系统命令的使用等;13 应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录;测试主要应用系统,可通过非法终止审计功能或修改其配置,验证审计功能是否受到保护;测试主要应用系统,试图非授权删除、修改或覆盖审计记录,验证安全审计的保护情况与要求是否一致;14审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等;检查主要应用系统,查看其审计记录信息是否包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、事件成功或失败、身份鉴别事件中请求的来源、事件的结果等内容;15应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。检查主要应用系统,查看其是否为授权用户浏览和分析审计数据提供专门的审计分析功能,并能根据需要生成审计报表;16应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;检查设计/验收文档,查看其是否有关于系统在释放或再分配鉴别信息所在存储空间给其他用户前如何将其进行完全清除(无论这些信息是存放在硬盘上还是在内存中)的描述;17剩余信息保护应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。检查设计/验收文档,查看其是否有关于释放或重新分配系统内文件、目录和数据库记录等资源所在存储空间给其他用户前进行完全清除的描述;测试主要应深圳市信息安全测评中心 第 6 页 共 9 页序号 类别 测评内容 测评方法示例 结果记录 符合情况用系统,用某用户登录系统并进行操作后,在该用户退出后用另一用户登录,试图操作(读取、修改或删除等)其他用户产生的文件、目录和数据库记录等资源,查看是否成功,验证系统提供的剩余信息保护功能是否正确(确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除) 。18 通信完 整性 应采用密码技术保证通信过程中数据的完整性。检查设计/验收文档,查看其是否有通信完整性的说明,如果有则查看其是否是用密码技术来保证通信过程中数据的完整性的描述;测试主要应用系统,可通过获取通信双方的数据包,查看通信报文是否含有加密的验证码。19 通信保 密性在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;测试主要应用系统,通过查看通信双方数据包的内容,查看系统是否能在通信双方建立连接之前,利用密码技术进行会话初始化验证;查看系统在通信过程中,对整个报文或会话过程进行加密的功能是否有效;深圳市信息安全测评中心 第 7 页 共 9 页序号 类别 测评内容 测评方法示例 结果记录 符合情况20 应对通信过程中的整个报文或会话过程进行加密。测试主要应用系统,可通过获取通信双方的数据包,查看通信报文是否含有加密的验证码。21应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能;测试主要应用系统,通过双方进行通信,查看系统是否提供在请求的情况下为数据原发者或接收者提供数据原发证据的功能;22抗抵赖应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。测试主要应用系统,通过双方进行通信,查看系统是否提供在请求的情况下为数据原发者或接收者提供数据接收证据的功能。23应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;检查主要应用系统,查看业务系统是否对人机接口输入或通信接口输入的数据进行有效性检验;测试主要应用系统,可通过对人机接口输入的不同长度或格式的数据,查看系统的反应,验证系统人机接口有效性检验功能是否正确;24软件容错应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。测试主要应用系统,验证其是否提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。深圳市信息安全测评中心 第 8 页 共 9 页序号 类别 测评内容 测评方法示例 结果记录 符合情况25当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;检查主要应用系统,查看超时,是否自动退出;26 应能够对系统的最大并发会话连接数进行限制; 检查主要应用系统,是否有最大并发会话连接数的限制;27 应能够对单个帐户的多重并发会话进行限制; 检查主要应用系统,查看是否限制单个帐户的多重并发会话;28 应能够对一个时间段内可能的并发会话连接数进行限制; 检查主要应用系统,是否对一个时间段内可能的并发会话连接数进行限制;29应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额;检查主要应用系统,是否能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额;30资源控制应能够对系统服务水平降低到预先规定的最小值进行检测和报警;检查主要应用系统,是否能够对系统服务水平降低到预先规定的最小值进行检测和报警;深圳市信息安全测评中心 第 9 页 共 9 页序号 类别 测评内容 测评方法示例 结果记录 符合情况31应提供服务优先级设定功能,并在安装后根据安全策略设定访问帐户或请求进程的优先级,根据优先级分配系统资源。检查主要应用系统,是否能根据安全策略设定主体的服务优先级,根据优先级分配系统资源。

    注意事项

    本文(应用现场测评记录表.docx)为本站会员(520AC)主动上传,中国文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知中国文库网(发送邮件至277317659@qq.com或直接QQ联系客服),我们立即给予删除!

    温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。

    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服客服 - 联系我们

    copyright@ 2018 zgwenku网站版权所有
    ICP备案编号:蜀ICP备18016090号

    收起
    展开