一、要求内容 

a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别； 

b)应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别，其中一种是不可伪造的； 

c)应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用； 

d)应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施； 

e)应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数。 

二、实施建议 

建立应用系统登录管理和身份识别的规定，严格要求密码设置的方式等信息。 使用更加严格的身份鉴别，如采用智能IC 卡、人体生物特征（指纹、视网膜）等特殊信息进行身份鉴别，对与多次尝试性登录进行控制。 

三、常见问题 

部分公司中发现虽然建立了不同用户的验证机制，但存在多个人共同掌握同一个管理帐号的情况。 

四、实施难点 

设立众多的帐户并分配合适的权限，管理人员需要记忆大量的帐号信息，会增加维护工作的工作量；采用多种身份识别设备会增加系统建设的成本。 

五、测评方法 

形式 访谈，检查，测试。 对象 应用系统管理员，应用系统，设计/验收文档，操作规程。 

实施 

a)应访谈应用系统管理员，询问应用系统是否提供专用的登录控制模块对用户进行身份标识和鉴别，具体措施有哪些；系统采取何种措施防止身份鉴别信息被冒用（如复杂性混有大、小写字母、数字和特殊字符，口令周期等）； 

b)应访谈应用系统管理员，询问应用系统是否具有登录失败处理的功能，是如何进行处理的；询问应用系统对用户标识在整个生命周期内是否具有唯一性（如UID、用户名或其他信息在系统中是唯一的）； 

c)应检查设计/验收文档，查看文档中是否有系统采取了唯一标识（如用户名、UID或其他属性）的说明； 

d)应检查操作规程和操作记录，查看其是否有管理身份标识和鉴别的操作规程、审批记录和操作记录； 

e)应检查应用系统，查看其是否采用了两个及两个以上身份鉴别技术的组合来进行身份鉴别（如采用用户名/口令、挑战应答、动态口令、物理设备、生物识别技术中的任意两个组合），并且保证至少有一种是不可伪造的，例如以口令和公私钥对或口令和生物特征等作为身份鉴别信息； 

f)应检查应用系统，查看其是否配备身份标识（如建立账号）和鉴别（如口令等）功能；查看其身份鉴别信息是否具有不易被冒用的特点，例如复杂性（如规定字符应混有大、小写字母、数字和特殊字符）或为了便于记忆使用了令牌； 

g)应检查应用系统，查看其是否使用并配置了登录失败处理功能（如登录失败次数超过设定值，系统自动退出等）； 

h)应测试应用系统，可通过以某注册用户身份登录系统，查看登录是否成功，验证其身份标识和鉴别功能是否有效；

i)应测试应用系统，验证其登录失败处理功能是否有效； 

j)应渗透测试主要应用系统，测试身份鉴别信息是否不易被冒用（如通过暴力破解或其他手段进入系统，对WEB系统可采用SQL注入等绕过身份鉴别的方法）。 

六、参考资料 

IATF 3.1中对应用的身份识别和认证有相关的建议： 7.1.4.2 识别与认证（I&A） I&A 是确定试图访问系统的用户的合法性和认证用户身份的过程，它们相互结合以提供相应的责任。在使用有效的访问控制时，用户认证方法越唯一，就越能确保用户的身份正确，系统也就越安全。 可能通过要求用户使用所具有的特征（例如标识徽章和硬件特征）来认证自己来确保用户身份。认证用户的身份可通过要求用户提供自己所知道的独一无二特征来进行，例如口令和个人标识号（PIN）或诸如指纹、视网膜扫描结果或其它生物特征等用户的特有特征进行。 电子签名或数字签名可确保用户的身份的真实性。认证可以发布者签署的公钥证书和电子证书为基础。这提供了证书拥有者具有的独一无二的数字标识。确认证书链是认证身份过程的一部分。证书发布者提供了基于所发布证书的拥有者的身份证明依据。