序号 测评指标 测评项 a)应对登录操作系统和检查方法 预期结果 1.访谈系统管理员都有那些登录系统的用户并记录用户名,以及用户是否已设置密码。 2.查看登录过程中系统帐户是否使用了密码进行验证登录。 需要输入用户名和密码才可登录系统 1 身份鉴别 数据库系统的 用户进行身份标识和鉴别 第1页
序号 测评指标 测评项 b)操作系统和数据库系统管理用户身 检查方法 预期结果 1.强制密码历史:建议值为24。 2.密码最长使用期限限制:建议值为70天。 3.密码最短使用期限限制:建议值为2天。 4.密码长度最小值:建议值最短8个字符。 5.密码必须符合复杂性要求:建议值启用。 6.用可还原的加密来存储密码:建议值为不启用。 7.输入的密码复杂度中包含大小写字母.数字和字符。 1.开始-运行-gpedit.msc或检查管理工具-》本地安全策略-》帐户策略-》密码策略中的相关项目。 2.询问管理用户输入的密码复杂度中是否包含大小写字母.数字和字符。 2 份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换。 第2页
序号 测评指标 测评项 c)应启用登录失败处理功能,可采取结 检查方法 预期结果 1.开始-》运行-gpedit.msc或检查管理工具-》本地安全策略-》账户策略-》账户锁定策略。 钟 次 帐户锁定时间:建议值30分账户锁定阈值:建议值3-53 束会话,限制非法登陆次数和自动退出等措施。 第3页