二級(jí)系統(tǒng)安全等級(jí)保護(hù)基本要求和測(cè)評(píng)要求

1、安全類(lèi)別第一級(jí)基本要求第二級(jí)基本要求第二級(jí)測(cè)評(píng)要求物理 安全物理位 置的選 擇（G）/a）機(jī)房和辦公場(chǎng)地應(yīng)選擇在具有防震、 防風(fēng)和防雨等能力的建筑內(nèi)。a）應(yīng)訪談物理安全負(fù)責(zé)人，詢(xún)冋現(xiàn)有機(jī)房和放置終端計(jì) 算機(jī)設(shè)備的辦公場(chǎng)地的環(huán)境條件是否能夠滿足信息系統(tǒng)業(yè) 務(wù)需求和安全管理需求，是否具有基本的防震、防風(fēng)和防 雨等能力；b）應(yīng)檢查機(jī)房和辦公場(chǎng)地是否在具有防震、防風(fēng)和防雨 等能力的建筑內(nèi)。物理訪 問(wèn)控制（G）a）機(jī)房出入應(yīng)安排專(zhuān)人負(fù)責(zé)，控 制、鑒別和記錄進(jìn)入的人員a）機(jī)房出入應(yīng)安排專(zhuān)人負(fù)責(zé)，控制、鑒 別和記錄進(jìn)入的人員；b）需進(jìn)入機(jī)房的來(lái)訪人員應(yīng)經(jīng)過(guò)申請(qǐng) 和審批流程，并限制和監(jiān)控其活動(dòng)范圍。a）應(yīng)訪談

2、物理安全負(fù)責(zé)人，了解部署了哪些控制人員進(jìn)出 機(jī)房的保護(hù)措施；b）應(yīng)檢查機(jī)房安全管理制度，查看是否有關(guān)于機(jī)房出入 方面的規(guī)定；c）應(yīng)檢查機(jī)房出入口是否有專(zhuān)人值守，是否有值守記錄及 人員進(jìn)入機(jī)房的登記記錄；檢查機(jī)房是否不存在專(zhuān)人值守 之外的其他出入口；d）應(yīng)檢查是否有來(lái)訪人員進(jìn)入機(jī)房的審批記錄，查看審批記錄是否包括來(lái)訪人員的訪冋范圍 。防盜竊 和防破 壞（G）a）應(yīng)將主要設(shè)備放置在機(jī)房?jī)?nèi)；b）應(yīng)將設(shè)備或主要部件進(jìn)行固 定，并設(shè)置明顯的不易除去的標(biāo)記a）應(yīng)將主要設(shè)備放置在機(jī)房?jī)?nèi)；b）應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè) 置明顯的不易除去的標(biāo)記；c）應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè) 在地下或管道中；d）應(yīng)

3、對(duì)介質(zhì)分類(lèi)標(biāo)識(shí)，存儲(chǔ)在介質(zhì)庫(kù)或 檔案室中；e）主機(jī)房應(yīng)安裝必要的防盜報(bào)警設(shè)施。a）應(yīng)訪談物理安全負(fù)責(zé)人，了解米取了哪些防止設(shè)備、介 質(zhì)等丟失的保護(hù)措施；b）應(yīng)訪談機(jī)房維護(hù)人員，詢(xún)問(wèn)關(guān)鍵設(shè)備放置位置是否做到 安全可控，設(shè)備或主要部件是否進(jìn)行了固定和標(biāo)記，通信 線纜是否鋪設(shè)在隱蔽處；是否對(duì)機(jī)房安裝的防盜報(bào)警設(shè)施 并定期進(jìn)行維護(hù)檢查；c）應(yīng)訪談資產(chǎn)管理員，介質(zhì)是否進(jìn)行了分類(lèi)標(biāo)識(shí)管理，介質(zhì)是否存放在介質(zhì)庫(kù)或檔案室內(nèi)進(jìn)仃管理；d）應(yīng)檢查關(guān)鍵設(shè)備是否放置在機(jī)房?jī)?nèi)或其它不易被盜竊 和破壞的可控范圍內(nèi)；檢查關(guān)鍵設(shè)備或設(shè)備的主要部件的 固定情況，查看其是否不易被移動(dòng)或被搬走，是否設(shè)置明 顯的不易除去的標(biāo)記；e）

4、應(yīng)檢查通信線纜鋪設(shè)是否在隱蔽處；f）應(yīng)檢查機(jī)房防盜報(bào)警設(shè)施是否正常運(yùn)行，并查看是否有 運(yùn)行和報(bào)警記錄；g）應(yīng)檢查介質(zhì)的管理情況，查看介質(zhì)是否有正確的分類(lèi)標(biāo) 識(shí)，是否存放在介質(zhì)庫(kù)或檔案室內(nèi)。防雷擊（G）a）機(jī)房建筑應(yīng)設(shè)置避雷裝置a）機(jī)房建筑應(yīng)設(shè)置避雷裝置；b）機(jī)房應(yīng)設(shè)置交流電源地線。a）應(yīng)訪談物理安全負(fù)責(zé)人，詢(xún)問(wèn)為防止雷擊事件導(dǎo)致重要設(shè)備被破壞采取了哪些防護(hù)措施，機(jī)房建筑是否設(shè)置了 避雷裝置，是否通過(guò)驗(yàn)收或國(guó)家有關(guān)部門(mén)的技術(shù)檢測(cè)；詢(xún)問(wèn)機(jī)房計(jì)算機(jī)供電系統(tǒng)是否有交流電源地線；b）應(yīng)檢查機(jī)房建筑是否有避雷裝置，是否有交流地線。KAa）機(jī)房應(yīng)設(shè)置火火設(shè)備a）機(jī)房應(yīng)設(shè)置滅火設(shè)備和 火災(zāi)自動(dòng)報(bào) 警系統(tǒng)。a）

5、應(yīng)訪談物理安全負(fù)責(zé)人，詢(xún)問(wèn)機(jī)房是否設(shè)置了滅火設(shè) 備，是否設(shè)置了火災(zāi)自動(dòng)報(bào)警系統(tǒng)，是否有人負(fù)責(zé)維護(hù)該 系統(tǒng)的運(yùn)行，是否制定了有關(guān)機(jī)房消防的管理制度和消防 預(yù)案，是否進(jìn)行了消防培訓(xùn)；b）應(yīng)訪談機(jī)房維護(hù)人員，詢(xún)問(wèn)是否對(duì)火災(zāi)自動(dòng)報(bào)警系統(tǒng)定 期進(jìn)行檢查和維護(hù)；c）應(yīng)檢查機(jī)房是否設(shè)置了滅火設(shè)備，滅火設(shè)備擺放位置是 否合理，其有效期是否合格； 應(yīng)檢查機(jī)房火災(zāi)自動(dòng)報(bào)警系 統(tǒng)是否正常工作，查看是否有運(yùn)行記錄、報(bào)警記錄、定期 檢杳和維修記錄。防水和 防潮（G）a）應(yīng)對(duì)穿過(guò)機(jī)房墻壁和樓板的水 管增加必要的保護(hù)措施；b）應(yīng)采取措施防止雨水通過(guò)機(jī)房 窗戶、屋頂和墻壁滲透a）水管安裝，不得穿過(guò)機(jī)房屋頂和活 動(dòng)地板下；b）

6、應(yīng)采取措施防止雨水通過(guò)機(jī)房窗戶、 屋頂和墻壁滲透；c）應(yīng)采取措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露 和地下積水的轉(zhuǎn)移與滲透。a）應(yīng)訪談物理安全負(fù)責(zé)人，詢(xún)問(wèn)機(jī)房是否部署了防水防潮 措施；如果機(jī)房?jī)?nèi)有上/下水管安裝，是否避免穿過(guò)屋頂和 活動(dòng)地板下，穿過(guò)墻壁和樓板的水管是否采取了可靠的保 護(hù)措施；在濕度較咼的地區(qū)或季節(jié)是否有人負(fù)責(zé)機(jī)房防水 防潮事宜，配備除濕裝置；b）應(yīng)訪談機(jī)房維護(hù)人員，詢(xún)問(wèn)機(jī)房是否沒(méi)有出現(xiàn)過(guò)漏水和 返潮事件；如果機(jī)房?jī)?nèi)有上/下水管安裝，是否經(jīng)常檢查其 漏水情況；在濕度較咼地區(qū)或季節(jié)是否有人負(fù)責(zé)機(jī)房防水 防潮事宜，使用除濕裝置除濕；如果出現(xiàn)機(jī)房水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透現(xiàn)象是否及時(shí)米取防范措

7、施；c）應(yīng)檢查穿過(guò)主機(jī)房墻壁或樓板的管道是否配置套管，管 道與套管之間是否米取可靠的密封措施；d）應(yīng)檢查機(jī)房的窗戶、屋頂和墻壁等是否未出現(xiàn)過(guò)漏水、 滲透和返潮現(xiàn)象，機(jī)房及其環(huán)境是否不存在明顯的漏水和返潮的威脅；如果出現(xiàn)漏水、滲透和返潮現(xiàn)象，則查看是否能夠及時(shí)修復(fù)解決；e）對(duì)濕度較高的地區(qū)，應(yīng)檢查機(jī)房是否有濕度記錄，是否 有除濕裝置并能夠正常運(yùn)行，是否有防止出現(xiàn)機(jī)房地下積 水的轉(zhuǎn)移與滲透的措施，是否有防水防潮處理記錄。防靜電（G）/a）關(guān)鍵設(shè)備應(yīng)采用必要的接地防靜電 措施。a）應(yīng)訪談物理安全負(fù)責(zé)人，詢(xún)問(wèn)關(guān)鍵設(shè)備是否米取用必要的防靜電措施，機(jī)房是否不存在靜電問(wèn)題或因靜電引發(fā) 的安全事件；b）應(yīng)檢查

8、關(guān)鍵設(shè)備是否有安全接地，查看機(jī)房是否不存在 明顯的靜電現(xiàn)象。溫濕度 控制（G）機(jī)房應(yīng)設(shè)置必要的溫、濕度控制設(shè) 施，使機(jī)房溫、濕度的變化在設(shè)備 運(yùn)行所允許的范圍之內(nèi)機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，使 機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許 的范圍之內(nèi)。a）應(yīng)訪談物理安全負(fù)責(zé)人，詢(xún)問(wèn)機(jī)房是否配備了，溫濕度自動(dòng)調(diào)節(jié)設(shè)施，保證溫濕度能夠滿足計(jì)算機(jī)設(shè)備運(yùn)行的要 求，是否在機(jī)房管理制度中規(guī)定了溫濕度控制的要求，是否有人負(fù)責(zé)此項(xiàng)工作，是否定期檢查和維護(hù)機(jī)房的溫濕度 自動(dòng)調(diào)節(jié)設(shè)施，詢(xún)問(wèn)是否沒(méi)有出現(xiàn)過(guò)溫濕度影響系統(tǒng)運(yùn)行的事件；b）應(yīng)檢查溫濕度自動(dòng)調(diào)節(jié)設(shè)施是否能夠正常運(yùn)行， 查看是 否有溫濕度記錄、運(yùn)行記錄和維護(hù)記錄

9、；查看機(jī)房溫濕度 是否滿足計(jì)算站場(chǎng)地的技術(shù)條件要求。電力供應(yīng)（A）a）應(yīng)在機(jī)房供電線路上配置穩(wěn)壓 器和過(guò)電壓防護(hù)設(shè)備a）應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和 過(guò)電壓防護(hù)設(shè)備；b）應(yīng)提供短期的備用電力供應(yīng)，至少滿 足關(guān)鍵設(shè)備在斷電情況下的正常運(yùn)行要 求。a）應(yīng)訪談物理安全負(fù)責(zé)人，詢(xún)冋計(jì)算機(jī)系統(tǒng)供電線路上是否設(shè)置了穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備；是否設(shè)置了短期備 用電源設(shè)備，供電時(shí)間是否滿足系統(tǒng)關(guān)鍵設(shè)備最低電力供 應(yīng)需求；b）應(yīng)檢查機(jī)房，查看計(jì)算機(jī)系統(tǒng)供電線路上的穩(wěn)壓器、過(guò)電壓防護(hù)設(shè)備和短期備用電源設(shè)備是否正常運(yùn)行；c）應(yīng)檢查是否有穩(wěn)壓器、過(guò)電壓防護(hù)設(shè)備以及短期備用電 源設(shè)備等的檢查和維護(hù)記錄。電磁防 護(hù)（S）

10、/a）電源線和通信線纜應(yīng)隔離鋪設(shè)，避免 互相干擾。a）應(yīng)訪談物理安全負(fù)責(zé)人，詢(xún)問(wèn)電源線和通信線纜是否隔 離鋪設(shè)，是否沒(méi)有出現(xiàn)過(guò)因電磁干擾等問(wèn)題引發(fā)的故障；b）應(yīng)檢查機(jī)房布線，查看是否做到電源線和通信線纜隔 離。網(wǎng)絡(luò) 安全結(jié)構(gòu)安 全（G）a）應(yīng)保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的 業(yè)務(wù)處理能力滿足基本業(yè)務(wù)需要；b）應(yīng)保證接入網(wǎng)絡(luò)和核心網(wǎng) 絡(luò)的帶寬滿足基本業(yè)務(wù)需要；c）應(yīng)繪制與當(dāng)前運(yùn)行情況相 符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖a）應(yīng)保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能 力具備冗余空間，滿足業(yè)務(wù)高峰期需要；b）應(yīng)保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬 滿足業(yè)務(wù)高峰期需要；c）應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò) 拓?fù)浣Y(jié)構(gòu)圖；d）應(yīng)根據(jù)各部門(mén)的工作職能、重要

11、性和 所涉及信息的重要程度等因素，劃分不 同的子網(wǎng)或網(wǎng)段，并按照方便管理和控 制的原則為各子網(wǎng)、網(wǎng)段分配地址段。a）應(yīng)訪談網(wǎng)絡(luò)管理員，詢(xún)問(wèn)關(guān)鍵網(wǎng)絡(luò)設(shè)備的性能以及目前 業(yè)務(wù)高峰流量情況；b）應(yīng)訪談網(wǎng)絡(luò)管理員，詢(xún)問(wèn)網(wǎng)段劃分情況以及劃分原則； 詢(xún)問(wèn)重要的網(wǎng)段有哪些；c）應(yīng)訪談網(wǎng)絡(luò)管理員，詢(xún)問(wèn)網(wǎng)絡(luò)中帶寬控制情況以及帶寬 分配的原則；d）應(yīng)檢查網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，查看其與當(dāng)前運(yùn)行的實(shí)際網(wǎng)絡(luò) 系統(tǒng)是否一致；e）應(yīng)檢查網(wǎng)絡(luò)設(shè)計(jì)或驗(yàn)收文檔，查看是否有關(guān)鍵網(wǎng)絡(luò)設(shè) 備業(yè)務(wù)處理能力、接入網(wǎng)絡(luò)及核心網(wǎng)絡(luò)的帶寬滿足業(yè)務(wù)高峰期需要的設(shè)計(jì)或說(shuō)明；f）應(yīng)檢查網(wǎng)絡(luò)設(shè)計(jì)或驗(yàn)收文檔，查看是否有根據(jù)各部門(mén)的 工作職能、重要性和所涉及信息

12、的重要程度等因素，劃分 不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子 網(wǎng)和網(wǎng)段分配地址段的設(shè)計(jì)或描述。訪問(wèn)控制（G）a）應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè) 備，啟用訪問(wèn)控制功能；b）應(yīng)根據(jù)訪問(wèn)控制列表對(duì)源地 址、目的地址、源端口、目的端口 和協(xié)議等進(jìn)行檢查，以允許/拒絕 數(shù)據(jù)包出入；c）應(yīng)通過(guò)訪問(wèn)控制列表對(duì)系統(tǒng)資 源實(shí)現(xiàn)允許或拒絕用戶訪冋，控制 粒度至少為用戶組a）應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟 用訪問(wèn)控制功能；b）應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提 供明確的允許/拒絕訪問(wèn)的能力，控制粒 度為網(wǎng)段級(jí)。c）應(yīng)按用戶和系統(tǒng)之間的允許訪冋規(guī) 則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn) 行資源訪問(wèn)，控制粒度為單個(gè)

13、用戶；d）應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù) 量a）應(yīng)訪談安全管理員，詢(xún)冋網(wǎng)絡(luò)訪冋控制措施有哪些；詢(xún) 問(wèn)訪問(wèn)控制策略的設(shè)計(jì)原則是什么；詢(xún)問(wèn)網(wǎng)絡(luò)訪問(wèn)控制設(shè)備具備哪些訪問(wèn)控制功能；詢(xún)問(wèn)是否 允許撥號(hào)訪問(wèn)網(wǎng)絡(luò)；b）應(yīng)檢查邊界網(wǎng)絡(luò)設(shè)備，查看其是否根據(jù)會(huì)話狀態(tài)信息 對(duì)數(shù)據(jù)流進(jìn)行控制，控制粒度是否為網(wǎng)段級(jí)；c）應(yīng)檢查邊界網(wǎng)絡(luò)設(shè)備，查看其是否限制具有撥號(hào)訪問(wèn)權(quán) 限的用戶數(shù)量；d）應(yīng)測(cè)試邊界網(wǎng)絡(luò)設(shè)備，可通過(guò)試圖訪問(wèn)未授權(quán)的資源， 驗(yàn)證訪冋控制措施是否能對(duì)未授權(quán)的訪冋行為進(jìn)行控制， 控制粒度是否至少為單個(gè)用戶安全審 計(jì)（G）/a）應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀 況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記 錄；b）審計(jì)記錄應(yīng)

14、包括事件的日期和時(shí)間、 用戶、事件類(lèi)型、事件是否成功及其他a）應(yīng)訪談安全審計(jì)員，詢(xún)問(wèn)邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備是否開(kāi)啟 審計(jì)功能，審計(jì)內(nèi)谷包括哪些項(xiàng)；詢(xún)冋審計(jì)記錄的主要內(nèi) 容有哪些；b）應(yīng)檢查邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備，查看其審計(jì)策略是否包括 網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等；與審計(jì)相關(guān)的信息.c）應(yīng)檢查邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備，查看其事件審計(jì)記錄是否包括：事件的日期和時(shí)間、用戶、事件類(lèi)型、事件成功 情況。邊界完 整性檢 查（S）/a）應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用 戶未通過(guò)準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為 進(jìn)行檢杳。a）應(yīng)訪談安全管理員，詢(xún)問(wèn)是否對(duì)內(nèi)部用戶私自連接到外 部網(wǎng)絡(luò)的行為；b）應(yīng)檢查邊界完整性檢查設(shè)備，

15、查看是否正確設(shè)置了對(duì)網(wǎng) 絡(luò)內(nèi)部用戶私自連接到外部網(wǎng)絡(luò)的行為進(jìn)行有效監(jiān)控的配 置；c）應(yīng)測(cè)試邊界完整性檢查設(shè)備，驗(yàn)證其是否能夠有效發(fā)現(xiàn) “非法外聯(lián)”的行為。入侵防范（G）/a）應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為： 端口掃描、強(qiáng)力攻擊、木馬后門(mén)攻擊、 拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎 片攻擊和網(wǎng)絡(luò)蠕蟲(chóng)攻擊等。a）應(yīng)訪談安全管理員， 詢(xún)問(wèn)網(wǎng)絡(luò)入侵防范措施有哪些； 詢(xún)問(wèn)是否有專(zhuān)門(mén)設(shè)備對(duì)網(wǎng)絡(luò)入侵進(jìn)行防范；b）應(yīng)檢查網(wǎng)絡(luò)入侵防范設(shè)備，查看是否能檢測(cè)以卜攻擊行 為：端口掃描、強(qiáng)力攻擊、木馬后門(mén)攻擊、拒絕服務(wù)攻擊、 緩沖區(qū)溢出攻擊、IP碎片攻擊、網(wǎng)絡(luò)蠕蟲(chóng)攻擊等；c）應(yīng)檢查網(wǎng)絡(luò)入侵防范設(shè)備，查看其規(guī)則庫(kù)是否為最

16、新；d）應(yīng)測(cè)試網(wǎng)絡(luò)入侵防范設(shè)備，驗(yàn)證其檢測(cè)。惡意代 碼防范（G）/網(wǎng)絡(luò)設(shè) 備防護(hù)（G）a）應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行 身份鑒別；b）應(yīng)具有登錄失敗處理功能，可 采取結(jié)束會(huì)話、限制非法登錄次數(shù) 和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出 等措施；f）當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理 時(shí)，應(yīng)采取必要措施防止鑒別信息 在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)a）應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份 鑒別；b）應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行 限制；c）網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；d）身份鑒別信息應(yīng)具有不易被冒用的特 點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；e）應(yīng)具有登錄失敗處理功能，可米取結(jié) 束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登 錄連接超時(shí)自動(dòng)退出等措施

17、；f）當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采a）應(yīng)訪談網(wǎng)絡(luò)管理員，詢(xún)問(wèn)邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備的防護(hù)措 施有哪些；詢(xún)問(wèn)邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備的登錄和驗(yàn)證方式做 過(guò)何種配置；詢(xún)問(wèn)遠(yuǎn)程管理的設(shè)備是否采取措施防止鑒別 信息被竊聽(tīng)；b）應(yīng)訪談網(wǎng)絡(luò)管理員，詢(xún)問(wèn)網(wǎng)絡(luò)設(shè)備的口令策略是什么；c）應(yīng)檢查邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備，查看是否配置了對(duì)登錄用 戶進(jìn)行身份鑒別的功能，口令設(shè)置是否有復(fù)雜度和定期修 改要求；d）應(yīng)檢查邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備，查看是否配置了鑒別失敗 處理功能；e）應(yīng)檢查邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備，查看是否配置了對(duì)設(shè)備遠(yuǎn)取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò) 程中被竊聽(tīng)。程管理所產(chǎn)生的鑒別信息進(jìn)行保護(hù)的功能；f）應(yīng)檢查邊界和關(guān)鍵網(wǎng)絡(luò)

18、設(shè)備，查看是否對(duì)網(wǎng)絡(luò)設(shè)備管理 員登錄地址進(jìn)行限制；g）應(yīng)對(duì)邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備進(jìn)行滲透測(cè)試，通過(guò)使用各種 滲透測(cè)試技術(shù)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行滲透測(cè)試，驗(yàn)證網(wǎng)絡(luò)設(shè)備防護(hù)能力是否符合要求。主機(jī) 安全身份鑒 別（S）a）應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系 統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別a）應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的 用戶進(jìn)行身份標(biāo)識(shí)和鑒別；b）操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身 份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令 應(yīng)有復(fù)雜度要求并定期更換；c）應(yīng)啟用登錄失敗處理功能，可米取結(jié) 束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出 等措施；d）當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取 必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò) 程中被竊聽(tīng)；e）應(yīng)為操作系統(tǒng)

19、和數(shù)據(jù)庫(kù)系統(tǒng)的不同 用戶分配不同的用戶名，確保用戶名具 有唯一性。a）應(yīng)訪談系統(tǒng)管理員和數(shù)據(jù)庫(kù)管理員，詢(xún)問(wèn)操作系統(tǒng)和數(shù) 據(jù)庫(kù)管理系統(tǒng)的身份標(biāo)識(shí)與鑒別機(jī)制采取何種措施實(shí)現(xiàn)；b）應(yīng)訪談系統(tǒng)管理員和數(shù)據(jù)庫(kù)管理員，詢(xún)問(wèn)對(duì)操作系統(tǒng)和 數(shù)據(jù)庫(kù)管理系統(tǒng) 是否采用了遠(yuǎn)程管理，如果采用了遠(yuǎn)程管 理，查看是否采用了防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊 聽(tīng)的措施；c）應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng)帳戶列表，查看管理員用戶名分配是否唯一；d）應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng)，查 看是否提供了身份鑒別措施，其身份鑒別信息是否具有不 易 被冒用的特點(diǎn)，如對(duì)用戶登錄口令的最小長(zhǎng)度、復(fù)雜度 和更換周期進(jìn)

20、行要求和限制；e）應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng)，查 看是否已配置了鑒別失敗處理功能，設(shè)置了非法登錄次數(shù) 的限制值；查看是否設(shè)置登錄連接超時(shí)處理功能，如自動(dòng) 退出。安全標(biāo) 記（S）/訪問(wèn)控制（S）a）應(yīng)啟用訪問(wèn)控制功能，依據(jù)安 全策略控制用戶對(duì)資源的訪問(wèn)；c）應(yīng)限制默認(rèn)帳戶的訪問(wèn)權(quán)限， 重命名系統(tǒng)默認(rèn)帳戶，修改這些帳 戶的默認(rèn)口令；d）應(yīng)及時(shí)刪除多余的、過(guò)期的帳 戶，避免共享帳戶的存在a）應(yīng)啟用訪冋控制功能，依據(jù)安全策略 控制用戶對(duì)資源的訪問(wèn)；b）應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán) 用戶的權(quán)限分離；c）應(yīng)限制默認(rèn)帳戶的訪問(wèn)權(quán)限，重命名 系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口 令;a）應(yīng)檢

21、查關(guān)鍵服務(wù)器操作系統(tǒng)的安全策略，查看是否對(duì)重 要文件的訪問(wèn)權(quán)限進(jìn)行了限制，對(duì)系統(tǒng)不需要的服務(wù)、共享路徑等進(jìn)行了禁用或刪除；b）應(yīng)檢查關(guān)鍵數(shù)據(jù)庫(kù)服務(wù)器的數(shù)據(jù)庫(kù)管理員與操作系統(tǒng) 管理員是否由不同管理員擔(dān)任 ；c）應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng)，查 看匿名/默認(rèn)用戶的訪問(wèn)權(quán)限是否已被禁用或者嚴(yán)格限制，d）應(yīng)及時(shí)刪除多余的、過(guò)期的帳戶，避 免共享帳戶的存在。是否刪除了系統(tǒng)中多余的、過(guò)期的以及共享的帳戶； d）應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng)的 權(quán)限設(shè)置情況，查看是否依據(jù)安全策略對(duì)用戶權(quán)限進(jìn)行了 限制?？尚怕?徑（S）/安全審計(jì)（G）/a）審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個(gè) 操作系

22、統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶；b）審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng) 資源的異常使用和重要系統(tǒng)命令的使用 等系統(tǒng)內(nèi)重要的安全相關(guān)事件；c）審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、 類(lèi)型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；d）應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的 刪除、修改或覆蓋等。a）應(yīng)訪談安全審計(jì)貝，詢(xún)冋主機(jī)系統(tǒng)的安全審計(jì)策略是否包括系統(tǒng)內(nèi)重要用戶行為、系統(tǒng)資源的異常和重要系統(tǒng) 命令的使用等重要的安全相關(guān)事件；b）應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng)，查看安全審計(jì)配置是否符合安全審計(jì)策略的要求；c）應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng)，查 看審計(jì)記錄信息是否包括事件發(fā)生的日期與時(shí)間、觸發(fā)事 件的主體與客體

23、、事件的類(lèi)型、事件成 功或失敗、事件的 結(jié)果等內(nèi)容；d）應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng)， 查看是否對(duì)審計(jì)記錄實(shí)施了保護(hù)措施，使其避免受到未預(yù) 期的刪除、修改或覆蓋等；剩余信 息保護(hù)（S）/入侵防 范（G）a）操作系統(tǒng)應(yīng)遵循最小安裝的原 則，僅安裝需要的組件和應(yīng)用程 序，并保持系統(tǒng)補(bǔ)丁及時(shí)得到更新a）操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅 安裝需要的組件和應(yīng)用程序，并通過(guò)設(shè) 置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí) 得到更新。a）應(yīng)訪談系統(tǒng)管理員，詢(xún)問(wèn)操作系統(tǒng)中所安裝的系統(tǒng)組件 和應(yīng)用程序是否都是必須的，詢(xún)問(wèn)操作系統(tǒng)補(bǔ)丁更新的方 式和周期；b）應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)中所安裝的系統(tǒng)組件和應(yīng) 用

24、程序是否都是必須的；c）應(yīng)檢查是否設(shè)置了專(zhuān)門(mén)的升級(jí)服務(wù)器實(shí)現(xiàn)對(duì)關(guān)鍵服務(wù) 器操作系統(tǒng)補(bǔ)丁的升級(jí)；d）應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng)的 補(bǔ)丁是否得到了及時(shí)安裝。惡意代a）應(yīng)安裝防惡意代碼軟件，并及a）應(yīng)安裝防惡意代碼軟件，并及時(shí)更新a）應(yīng)訪談系統(tǒng)安全管理員，詢(xún)問(wèn)主機(jī)系統(tǒng)是否米取惡意代碼防范（G）時(shí)更新防惡意代碼軟件版本和惡 意代碼庫(kù)防惡意代碼軟件版本和惡意代碼庫(kù)； b）應(yīng)支持防惡意代碼軟件的統(tǒng)一管理。碼實(shí)時(shí)檢測(cè)與查殺措施，惡意代碼實(shí)時(shí)檢測(cè)與查殺措施的 部署覆蓋范圍如何；b）應(yīng)檢查關(guān)鍵服務(wù)器，查看是否安裝了實(shí)時(shí)檢測(cè)與查殺惡 意代碼的軟件產(chǎn)品并進(jìn)行及時(shí)更新；c）應(yīng)檢查防惡意代碼產(chǎn)品是否實(shí)

25、現(xiàn)了統(tǒng)一管理。資源控 制（A）/a）應(yīng)通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址 范圍等條件限制終端登錄；b）應(yīng)根據(jù)安全策略設(shè)置登錄終端的操 作超時(shí)鎖定；c）應(yīng)限制單個(gè)用戶對(duì)系統(tǒng)資源的最大 或最小使用限度。a）應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)，查看是否設(shè)定終端接入方 式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；b）應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)，查看是否設(shè)置了單個(gè)用戶 對(duì)系統(tǒng)資源的最大或最小使用限度；c）應(yīng)檢查能夠訪問(wèn)關(guān)鍵服務(wù)器的終端是否設(shè)置了操作超 時(shí)鎖定的配置。應(yīng)用 安全身份鑒 別（S）a）應(yīng)提供專(zhuān)用的登錄控制模塊對(duì) 登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別；c）應(yīng)提供登錄失敗處理功能，可 采取結(jié)束會(huì)話、限制非法登錄次數(shù) 和自動(dòng)退出等措

26、施；d）應(yīng)啟用身份鑒別和登錄失敗處 理功能，并根據(jù)安全策略配置相關(guān) 參數(shù)a）應(yīng)提供專(zhuān)用的登錄控制模塊對(duì)登錄 用戶進(jìn)行身份標(biāo)識(shí)和鑒別；b）應(yīng)提供用戶身份標(biāo)識(shí)唯一和鑒別信 息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不 存在重復(fù)用戶身份標(biāo)識(shí)，身份鑒別信息 不易被冒用；c）應(yīng)提供登錄失敗處理功能，可采取結(jié) 束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出 等措施；d）應(yīng)啟用身份鑒別、用戶身份標(biāo)識(shí)唯一 性檢查、用戶身份鑒別信息復(fù)雜度檢查 以及登錄失敗處理功能，并根據(jù)安全策 略配置相關(guān)參數(shù)。a）應(yīng)訪談應(yīng)用系統(tǒng)管理員，詢(xún)問(wèn)應(yīng)用系統(tǒng)是否提供專(zhuān)用的登錄控制模塊對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，具體措 施有哪些；系統(tǒng)采取何種措施防止身份鑒

27、別信息被冒用；b）應(yīng)訪談應(yīng)用系統(tǒng)管理員，詢(xún)問(wèn)應(yīng)用系統(tǒng)是否具有登錄失 敗處理功能；c）應(yīng)訪談應(yīng)用系統(tǒng)管理員，詢(xún)問(wèn)應(yīng)用系統(tǒng)對(duì)用戶標(biāo)識(shí)是否 具有唯一性；d）應(yīng)檢查設(shè)計(jì)或驗(yàn)收文檔，查看其是否有系統(tǒng)米用了保證 唯一標(biāo)識(shí)的措施的描述；e）應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng)，查看其是否提供身份標(biāo)識(shí)和鑒別 功能；查看 其身份鑒別信息是否具有不易被冒用的特點(diǎn)； 其鑒別信息復(fù)雜度檢查功能是否能保證系統(tǒng)中不存在弱口 令等；f）應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng)，查看其提供的登錄失敗處理功冃匕，疋否根據(jù)安全策略配置了相關(guān)參數(shù)；g）應(yīng)測(cè)試關(guān)鍵應(yīng)用系統(tǒng)，可通過(guò)試圖以合法和非法用戶分 別登錄系統(tǒng)，查看是否成功，驗(yàn)證其身份標(biāo)識(shí)和鑒別功能 是否有效；h）應(yīng)測(cè)

28、試關(guān)鍵應(yīng)用系統(tǒng)，驗(yàn)證其登錄失敗處理功能是否有 效。安全標(biāo)記（S）/訪問(wèn)控 制（S）a）應(yīng)提供訪問(wèn)控制功能控制用戶 組/用戶對(duì)系統(tǒng)功能和用戶數(shù)據(jù)的 訪問(wèn)；c）應(yīng)由授權(quán)主體配置訪問(wèn)控制策 略，并嚴(yán)格限制默認(rèn)用戶的訪問(wèn)權(quán) 限a）應(yīng)提供訪冋控制功能，依據(jù)安全策略 控制用戶對(duì)文件、數(shù)據(jù)庫(kù)表等客體的訪 問(wèn)；b）訪問(wèn)控制的覆蓋范圍應(yīng)包括與資源 訪問(wèn)相關(guān)的主體、客體及它們之間的操 作；c）應(yīng)由授權(quán)主體配置訪問(wèn)控制策略，并 嚴(yán)格限制默認(rèn)用戶的訪問(wèn)權(quán)限；d）應(yīng)授予不同帳戶為完成各自承擔(dān)任 務(wù)所需的最小權(quán)限，并在它們之間形成 相互制約的關(guān)系。a）應(yīng)訪談應(yīng)用系統(tǒng)管理員，詢(xún)問(wèn)應(yīng)用系統(tǒng)是否提供訪問(wèn)控 制措施，以及具體措施

29、和訪問(wèn)控制策略有哪些，訪問(wèn)控制 的粒度如何；b）應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng)，查看系統(tǒng)是否提供訪問(wèn)控制機(jī) 制；是否依據(jù)安全策略控制用戶對(duì)客體的訪問(wèn)；c）應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng)，查看其訪問(wèn)控制的覆蓋范圍是否 包括與信息安全直接相關(guān)的主體、客體及它們之間的操作； 訪問(wèn)控制的粒度是否達(dá)到主體為用戶級(jí)，客體為文件、數(shù) 據(jù)庫(kù)表級(jí)；d）應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng)，查看其是否有由授權(quán)用戶設(shè)置其 它用戶訪問(wèn)系統(tǒng)功能和用戶數(shù)據(jù)的權(quán)限的功能，是否限制 默認(rèn)用戶的訪問(wèn)權(quán)限；e）應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng)，查看系統(tǒng)是否授予不同帳戶為 完成各自承擔(dān)任務(wù)所需的最小權(quán)限，特權(quán)用戶的權(quán) 限是否 分離，權(quán)限之間是否相互制約；f）應(yīng)測(cè)試關(guān)鍵應(yīng)用系統(tǒng)，可通過(guò)以

30、不同權(quán)限的用戶登錄系 統(tǒng)，查看其擁有的權(quán)限是否與系統(tǒng)賦予的權(quán)限一致，驗(yàn)證 應(yīng)用系統(tǒng)訪問(wèn)控制功能是否有效；g）應(yīng)測(cè)試關(guān)鍵應(yīng)用系統(tǒng)，可通過(guò)以默認(rèn)用戶登錄系統(tǒng)，并 進(jìn)行一些合法和非法操作，驗(yàn)證系統(tǒng)是否嚴(yán)格限制了默認(rèn) 帳戶的訪問(wèn)權(quán)限?？尚怕窂剑⊿）/安全審 計(jì)（G）/a）應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì) 功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審 計(jì)；b）應(yīng)保證無(wú)法刪除、修改或覆蓋審計(jì)記 錄；c）審計(jì)記錄的內(nèi)容至少應(yīng)包括事件日a）應(yīng)訪談安全審計(jì)員，詢(xún)冋應(yīng)用系統(tǒng)是否有安全審計(jì)功 能；對(duì)事件進(jìn)行審計(jì)的選擇要求和策略是什么；對(duì)審計(jì)日 志的處理方式有哪些；b）應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng)，查看其當(dāng)前審計(jì)范圍是否覆蓋到 每個(gè)用戶；

31、c）應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng)，查看其審計(jì)策略是否覆蓋系統(tǒng)內(nèi)期、時(shí)間、發(fā)起者信息、類(lèi)型、描述和 鄉(xiāng)士甲等結(jié)果等。重要的安全相關(guān)事件，例如，用戶標(biāo)識(shí)與鑒別、訪問(wèn)控制 的所有操作記錄、重要用戶行為、系統(tǒng)資源的異常使用、 重要系統(tǒng)命令的使用等；d）應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng)，查看其審計(jì)記錄信息是否包括事 件發(fā)生的日期與時(shí)間、觸發(fā)事件的主體與客體、事件的類(lèi) 型、事件成功或失敗、身份鑒別事件中請(qǐng)求的來(lái)源、事件 的結(jié)果等內(nèi)容；e）應(yīng)測(cè)試重要應(yīng)用系統(tǒng)，在應(yīng)用系統(tǒng)上試圖產(chǎn)生一些重要 的安全相關(guān)事件（如用戶登錄、修改用戶權(quán)限等），查看 應(yīng)用系統(tǒng)是否對(duì)其進(jìn)行了審計(jì)，驗(yàn)證應(yīng)用系統(tǒng)安全審計(jì)的 覆蓋情況是否覆蓋到每個(gè)用戶；如果進(jìn)行了審

32、計(jì)則查看審 計(jì)記錄內(nèi)容是否包含事件的日期、時(shí)間、發(fā)起者信息、類(lèi) 型、描述和結(jié)果等；f）應(yīng)測(cè)試重要應(yīng)用系統(tǒng)，試圖非授權(quán)刪除、修改或覆蓋審 計(jì)記錄，驗(yàn)證安全審計(jì)的保護(hù)情況是否無(wú)法非授權(quán)刪除、修改或覆蓋審計(jì)記錄。剩余信 息保護(hù)（S）/通信元 整性（S）應(yīng)米用約定通信會(huì)話方式的方法 保證通信過(guò)程中數(shù)據(jù)的完整性應(yīng)米用校驗(yàn)碼技術(shù)保證通信過(guò)程中數(shù)據(jù) 的完整性。a）應(yīng)訪談安全管理員，詢(xún)問(wèn)應(yīng)用系統(tǒng)是否具有在數(shù)據(jù)傳 輸過(guò)程中保護(hù)其完整性的措施，具體措施是什么；b）應(yīng)檢查設(shè)計(jì)或驗(yàn)收文檔，查看其是否有關(guān)于保護(hù)通信元 整性的說(shuō)明，如果有則查看文檔中描述的保護(hù)措施是否與 依據(jù)驗(yàn)證碼判斷對(duì)方數(shù)據(jù)包的有效性的 措施相一致；c

33、）應(yīng)測(cè)試關(guān)鍵應(yīng)用系統(tǒng)，可通過(guò)獲取通信雙方的數(shù)據(jù)包， 查看其是否有驗(yàn)證碼。通信保 密性（S）/a）在通信雙方建立連接之前，應(yīng)用系統(tǒng) 應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證；b）應(yīng)對(duì)通信過(guò)程中的敏感信息字段進(jìn) 行加密。a）應(yīng)訪談安全管理員，詢(xún)問(wèn)應(yīng)用系統(tǒng)數(shù)據(jù)在通信過(guò)程中是 否采取保密措施，具體措施有哪些，關(guān)鍵應(yīng)用系統(tǒng)的通信 是否都采取了上述措施；b）應(yīng)測(cè)試關(guān)鍵應(yīng)用系統(tǒng)，通過(guò)查看通信雙方數(shù)據(jù)包的內(nèi) 容，查看系統(tǒng)是否能在通信雙方建立連接之前，利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證；系統(tǒng)在通信過(guò)程中，對(duì)敏感信 息字段進(jìn)行加密的功能是否有效。抗抵賴(lài)（G）/軟件容錯(cuò)（A）a）應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能， 保證通過(guò)人機(jī)接口輸入

34、或通過(guò)通 信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符 合系統(tǒng)設(shè)定要求a）應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通 過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的 數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求；b）在故障發(fā)生時(shí)，應(yīng)用系統(tǒng)應(yīng)能夠繼續(xù) 提供一部分功能，確保能夠?qū)嵤┍匾?措施。a）應(yīng)訪談應(yīng)用系統(tǒng)管理員，詢(xún)問(wèn)應(yīng)用系統(tǒng)是否具有保證軟 件容錯(cuò)能力的措施，具體措施有哪些；b）應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng)，查看應(yīng)用系統(tǒng)是否對(duì)人機(jī)接口輸 入或通信接口輸入的數(shù)據(jù)進(jìn)行有效性檢驗(yàn)；c）應(yīng)測(cè)試關(guān)鍵應(yīng)用系統(tǒng)，可通過(guò)對(duì)人機(jī)接口輸入的不同長(zhǎng) 度或格式的數(shù)據(jù)，查看系統(tǒng)的反應(yīng)，驗(yàn)證系統(tǒng)人機(jī)接口有 效性檢驗(yàn)功能是否正確；d）應(yīng)測(cè)試關(guān)鍵應(yīng)用系統(tǒng)，驗(yàn)證其在故障發(fā)生時(shí)是否繼續(xù)提 供一部分功能，確保能夠?qū)嵤┍匾拇胧?。資源控 制（A）/a）當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在 一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能 夠自動(dòng)結(jié)束會(huì)話；b）應(yīng)能夠?qū)?yīng)用系統(tǒng)的最大并發(fā)會(huì)話 連接數(shù)進(jìn)行限制；c）應(yīng)能夠?qū)蝹€(gè)帳戶的多重并發(fā)會(huì)話 進(jìn)行限制。a）應(yīng)訪