.
编号:
测 评 指 导 书
《信息系统安全等级保护基本要求》
基础网络安全-通用数据库-第三级
V1.0
天融信信息安全等保中心
.
.
1、测评对象 对象名称及IP地址
备注(测评地点及环境等) 2、入场确认 序号 1 2 开始时间
确认内容 测评对象中的关键数据已备份。如果没有备份则不进行测评 测评对象工作正常。如工作异常则不进行测评。 确认签字 3、离场确认 序号 1 结束时间 确认内容 测评工作未对测评对象造成不良影响,测评对象工作正常。 确认签字 .
.
序号 类别 测评项 测评实施 预期结果 1)数据库使用口令鉴别机制对用户进行身份标识和鉴别; 2)登录时提示输入用户名和口令,以错误口令或空口令登录时提示登录失败,验证了登录控制功能的有效性。 1)口令符合复杂度要求,长度不小于8位,由数字、大小写字母、特殊符号组成,并定期更换; 符合情况 访谈: a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别; 访谈数据库管理员,询问采用何种方式对登录数据库系统的用户进行身份标识并验证其身份。 b)操作系统和数据库系统管理用户身份标识应访谈: 1 身份鉴别 具有不易被冒用的特点,口令应有复杂度要求并定期更换; 询问数据库管理员,是否开启数据库强制密码策略,并询问口令管理要求(口令的长度、2)以不符合复杂度要求或不符合规口令复杂性,口令更新周期)。 定长度的口令创建用户时均提示失败。 访谈: 询问数据库管理员是否采取其他措施限制c)应启用登录失败处理功能,可采取结束会话、用户的非法登录。 限制非法登录次数和自动退出等措施; 核查: 新建测试账户test,并以错误的口令登录数据库,查看数据库反应。 数据库启用了登录失败处理功能,以测试账户登录数据库,失败登录一定的次数后会被锁定。 .