1.解决账号登录的一般用户划分帐户和管理权限.
2.应重新命名或删掉默认设置帐户,改动默认设置帐户的默认设置动态口令.
3.应立即删掉或停止使用不必要的、到期的帐户,防止共享资源帐户的存有.
4.应授于监管一般用户须要的最低管理权限,完成监管一般用户的管理权限剥离.
5.应由认证行为主体配备浏览控制策略,浏览控制策略规定行为主体对行为主体的浏览标准.
6.密钥管理的粒度分布应做到行为主体为一般用户级或系统进程级,行为主体为文档、数据库表级.
7.解决关键行为主体和行为主体设定安全标识,并操纵行为主体对有安全标识信息资源的浏览。
专业测评项a
a)解决账号登录的一般用户划分帐户和管理权限.
假如从字面意思来说,便是1个空话,一般用户都账号登录帐户了,当然就存有着帐户。
这儿的意思是应当就是你原本就存有“好几个帐户”,随后当一般用户应用时要适度的划分帐户
给一般用户,而帐户再拥有不同的管理权限,那样就完成了将管理权限根据帐户划分给一般
用户(个人)。因此,该专业测评项就须要软件系统中存有最少2个帐户,且这两个帐户的管
理权限不同。嗯,具体专业测评中我也真遇到过基本上欠缺密钥管理功能模块的,倒不是彻
底欠缺密钥管理(辨别)功能模块,在没有账号登录的状况下,可立即浏览后台管理地址。
这也是归属于风险等级高项:反而是只有一个帐户或是多个帐户,可是账号登录后都没有管
理权限分配模式,都没有在源代码中做这一功能模块.
给一般用户,而帐户再拥有不同的管理权限,那样就完成了将管理权限根据帐户划分给一般
用户(个人)。因此,该专业测评项就须要软件系统中存有最少2个帐户,且这两个帐户的管
理权限不同。嗯,具体专业测评中我也真遇到过基本上欠缺密钥管理功能模块的,倒不是彻
底欠缺密钥管理(辨别)功能模块,在没有账号登录的状况下,可立即浏览后台管理地址。
这也是归属于风险等级高项:反而是只有一个帐户或是多个帐户,可是账号登录后都没有管
理权限分配模式,都没有在源代码中做这一功能模块.
在专业测评规定中专业测评实行如下所示:对于软件系统,这一没有什么能查的,可忽视。
4.专业测评项b
b)应重新命名或删掉默认设置帐户,改动默认设置帐户的默认设置动态口令;实际上便是瞧一
瞧有木有存有user、system等普遍的默认设置帐户登录名,假如存有,无论它究竟是否是具体
的默认设置一般用户,都算作不完全满足要求。此外有一些软件系统的默认设置帐户尽管不应
用user、system等普遍的默认设置帐户登录名,可是它这一APP全部都是用的这一默认设置登
录名,那样的话也得改。
瞧有木有存有user、system等普遍的默认设置帐户登录名,假如存有,无论它究竟是否是具体
的默认设置一般用户,都算作不完全满足要求。此外有一些软件系统的默认设置帐户尽管不应
用user、system等普遍的默认设置帐户登录名,可是它这一APP全部都是用的这一默认设置登
录名,那样的话也得改。
5.专业测评项c
c)应立即删掉或停止使用不必要的、到期的帐户,防止共享资源帐户的存有;关键对于超级管
理员、后台管理帐户开展判断,通常全部都是满足的。
理员、后台管理帐户开展判断,通常全部都是满足的。
6.专业测评项d
d)应授于监管一般用户须要的最低管理权限,完成监管一般用户的管理权限剥离.
假如业务流程比较多,例如医疗机构的系统软件、财务软件或是别的系统软件,管理权限原本
便会分到较为细,乃至十分细。这类状况下,给个满足是都没有多少难题的。假如业务流程范
围较为小,很有可能管理权限划分的粒度分布就十分粗了。我也遇到过,某一软件系统就2个
人物角色,一种是一般用户,一种是后台管理一般用户,这类只可以往一部分满足、不满足的
角度去判断了。
便会分到较为细,乃至十分细。这类状况下,给个满足是都没有多少难题的。假如业务流程范
围较为小,很有可能管理权限划分的粒度分布就十分粗了。我也遇到过,某一软件系统就2个
人物角色,一种是一般用户,一种是后台管理一般用户,这类只可以往一部分满足、不满足的
角度去判断了。
