一、要求内容 

a)应提供自主访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问； 

b)自主访问控制的覆盖范围应包括与信息安全直接相关的主体、客体及它们之间的操作； 

c)应由授权主体配置访问控制策略，并禁止默认帐户的访问； 

d)应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系； 

e)应通过比较安全标记来确定是授予还是拒绝主体对客体的访问。 

二、实施建议 

建立访问控制策略，依据最小原则授予用户权限，应用系统要分配不同的特权用户，访问策略统一由授权帐号分配，对用户权限分配应当定期检查。 

三、常见问题 

部分公司中发现虽然对不同用户进行了权限划分，但存在多个人共同掌握同一个管理帐号或同一个帐号多人共用的情况。 

四、实施难点 

详细的访问控制手段和权限配置任务将增加管理人员的工作量。 

五、测评方法 

形式 访谈，检查，测试。 对象 应用系统管理员，应用系统。 

实施 

a)应访谈应用系统管理员，询问业务系统是否提供访问控制措施，具体措施有哪些，自主访问控制的粒度如何； 

b)应检查应用系统，查看系统是否提供访问控制机制；是否依据安全策略控制用户对客体（如文件和数据库中的数据）的访问； 

c)应检查应用系统，查看其自主访问控制的覆盖范围是否包括与信息安全直接相关的主体、客体及它们之间的操作；自主访问控制的粒度是否达到主体为用户级，客体为文件、数据库表级（如数据库表、视图、存储过程等）； 

d)应检查应用系统，查看应用系统是否有对授权主体进行系统功能操作和对数据访问权限进行设置的功能； 

e)应检查应用系统，查看其特权用户的权限是否分离（如将应用系统管理员、安全管理员和审计员的权限分离），只授予不同帐户为完成各自承担任务所需的最小权限，权限之间是否相互制约（如应用系统管理员、安全管理员等不能对审计日志进行管理，安全审计员不能管理审计功能的开启、关闭、删除等重要事件的审计日志等）； 

f)应检查应用系统，查看其是否有默认帐户，如果有是否禁止了默认帐户的访问； 

g)应检查应用系统，查看其是否通过比较安全标签来确定是授予还是拒绝主体对客体的访问的功能是否有效； 

h)应测试应用系统，可通过用不同权限的用户登录，查看其权限是否受到应用系统的限制，验证系统权限分离功能是否有效； 

i)应测试应用系统，可通过授权主体设置特定用户对系统功能进行操作和对数据进行访问的权限，然后以该用户登录，验证用户权限管理功能是否有效； 

j)应测试应用系统，可通过用默认用户登录（默认密码），并用该用户进行操作（包括合法、非法操作），验证系统是否禁止默认帐户访问； 

k)应渗透测试应用系统，测试自主访问控制的覆盖范围是否包括与信息安全直接相关的主体、客体及它们之间的操作（如试图绕过系统访问控制机制等操作）； 

l)应渗透测试应用系统，通过试图对系统进行绕过访问控制的操作，查看系统自主访问控制是否不存在缺陷。 

六、参考资料 

IATF 3.1中对系统访问控制做过一些要求建议： 7.1.4.1 访问控制（授权） 访问控制把信息系统资源的访问权限仅授予授权用户、程序、进程和其它系统。对访问进行控制可以基于标识和所充当的角色、单一角色、用户名、组别或者其它建立在系统安全基础之上的其它信息。 一个管理得当的Windows NT 或UNIX 操作系统可提供一定程序上的基本访问控制功能。 访问控制会限制用户对特定资源的访问和用户的特权。控制使用某一程序的人员可以确保应用程序所使用的数据处于独占状态。那么，这样便可制止试图变更相关的信息和添加恶意进程的行为，因为它们没有通过某一路径使用程序和访问数据的权限。其中最重要的在于控制允许激活或禁止（例如打开或关闭）某些安全特性的人员，因为通过禁止安全特性可以嵌入恶意程序或改变用户权限或程序权限。 用于处理数据的安全程序必须了解自己在管理数据访问中所充当的角色。其中包括了解谁在试图访问、按照某种处理规则仲裁访问的权限、审查用户行为和管理何地（在特定的五种访问打印机）和如何（例如SSL 等加密渠道）发送数据。访问控制既可以由应用程序单独进行管理，又可以借助操作系统的相应功能。后一种情况的例子有使用操作系统对文件进行控制（用户/组别/可读/写权限）的数据库，这是通过把不同种类的信息写入拥有不同的访问权限的文件来实现的，并且所有的数据都不能被用户直接进行读写。