1.1.1.
应用安全
1.1.1.1.
身
份鉴别(
S3
)
本项要求包括:
a)
应提供专用的登录控制模块对登录用户进行身份标识和鉴别;
1
)
应用系统应具有专用的登录控制模块对登录用户的用户名
/
密码进行核实。
答:支持。
b)
应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;
1
)
应用系统应采用除用户名
/
密码以外的第二种鉴别技术来实现身份鉴别,如烟
草数字证书、生物特征识别等;
2
)
两种鉴别技术应组合使用。
答:支持用户名
/
密码、
CA
证书、混合验证三种。
c)
应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重
复用户身份标识,身份鉴别信息不易被冒用;
1
)
应用系统口令应符合以下条件:
长度至少为
8
位,
且为数字、
字母、
符号混排,
无规律的方式;
2
)
口令至少每个月更换
1
次,更新的口令至少
5
次内不能重复;
3
)
应为应用系统中的不同用户分配不同的用户标识即用户名或用户
ID
号,确保
身份鉴别信息不被冒用。