【文章內(nèi)容簡(jiǎn)介】 份驗(yàn)證，削弱了管理員賬戶(hù)的安全性，無(wú)法避免賬號(hào)的未授權(quán)竊取或違規(guī)使用，可判定為高風(fēng)險(xiǎn)。適用范圍：3級(jí)及以上系統(tǒng)。滿(mǎn)足條件（同時(shí)）：3級(jí)及以上系統(tǒng)；重要核心設(shè)備、操作系統(tǒng)等通過(guò)不可控網(wǎng)絡(luò)環(huán)境遠(yuǎn)程進(jìn)行管理；設(shè)備未啟用兩種或兩種以上鑒別技術(shù)對(duì)用戶(hù)身份進(jìn)行鑒別；4級(jí)系統(tǒng)多種鑒別技術(shù)中未用到密碼技術(shù)或生物技術(shù)。補(bǔ)償措施：如設(shè)備通過(guò)本地登錄方式（非網(wǎng)絡(luò)方式）維護(hù)，本地物理環(huán)境可控，可酌情降低風(fēng)險(xiǎn)等級(jí)。采用兩重用戶(hù)名/口令認(rèn)證措施（兩重口令不同），例如身份認(rèn)證服務(wù)器、堡壘機(jī)等手段，可酌情降低風(fēng)險(xiǎn)等級(jí)。如設(shè)備所在物理環(huán)境、網(wǎng)絡(luò)環(huán)境安全可控，網(wǎng)絡(luò)竊聽(tīng)、違規(guī)接入等隱患較小，口令策略和復(fù)雜度、長(zhǎng)度符合要求的情況下，可酌情降低風(fēng)險(xiǎn)等級(jí)?？筛鶕?jù)被測(cè)對(duì)象的作用以及重要程度，根據(jù)實(shí)際情況，酌情判斷風(fēng)險(xiǎn)等級(jí)。整改建議：建議重要核心設(shè)備、操作系統(tǒng)等增加除用戶(hù)名/口令以外的身份鑒別技術(shù)，如密碼/令牌、生物鑒別方式等，實(shí)現(xiàn)雙因子身份鑒別，增強(qiáng)身份鑒別的安全力度。 訪(fǎng)問(wèn)控制 默認(rèn)口令處理對(duì)應(yīng)要求：應(yīng)重命名或刪除默認(rèn)賬戶(hù)，修改默認(rèn)賬戶(hù)的默認(rèn)口令。判例內(nèi)容：網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)等默認(rèn)賬號(hào)的默認(rèn)口令未修改，使用默認(rèn)口令進(jìn)行登錄設(shè)備，可判定為高風(fēng)險(xiǎn)。適用范圍：所有系統(tǒng)。滿(mǎn)足條件（同時(shí)）：未修改默認(rèn)帳戶(hù)的默認(rèn)口令；可使用該默認(rèn)口令賬號(hào)登錄。補(bǔ)償措施：無(wú)。整改建議：建議網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)等重命名或刪除默認(rèn)管理員賬戶(hù)，修改默認(rèn)密碼，使其具備一定的強(qiáng)度，增強(qiáng)賬戶(hù)安全性。 安全審計(jì) 設(shè)備安全審計(jì)措施對(duì)應(yīng)要求：應(yīng)啟用安全審計(jì)功能，審計(jì)覆蓋到每個(gè)用戶(hù)，對(duì)重要的用戶(hù)行為和重要安全事件進(jìn)行審計(jì)。判例內(nèi)容：重要核心網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)等未開(kāi)啟任何審計(jì)功能，無(wú)法對(duì)重要的用戶(hù)行為和重要安全事件進(jìn)行審計(jì)，也無(wú)法對(duì)事件進(jìn)行溯源，可判定為高風(fēng)險(xiǎn)。適用范圍：3級(jí)及以上系統(tǒng)。滿(mǎn)足條件（同時(shí)）：3級(jí)及以上系統(tǒng)重要核心網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)等未開(kāi)啟任何審計(jì)功能，無(wú)法對(duì)重要的用戶(hù)行為和重要安全事件進(jìn)行審計(jì)；無(wú)其他技術(shù)手段對(duì)重要的用戶(hù)行為和重要安全事件進(jìn)行溯源。補(bǔ)償措施：如使用堡壘機(jī)或其他第三方審計(jì)工具進(jìn)行日志審計(jì)，能有效記錄用戶(hù)行為和重要安全事件，可視為等效措施，判符合。如通過(guò)其他技術(shù)或管理手段能對(duì)事件進(jìn)行溯源的，可酌情降低風(fēng)險(xiǎn)等級(jí)。如核查對(duì)象非重要核心設(shè)備，對(duì)整個(gè)信息系統(tǒng)影響有限的情況下，可酌情降低風(fēng)險(xiǎn)等級(jí)。整改建議：建議在重要核心設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)性能允許的前提下，開(kāi)啟用戶(hù)操作類(lèi)和安全事件類(lèi)審計(jì)策略或使用第三方日志審計(jì)工具，實(shí)現(xiàn)對(duì)相關(guān)設(shè)備操作與安全行為的全面審計(jì)記錄，保證發(fā)生安全問(wèn)題時(shí)能夠及時(shí)溯源。 入侵防范 不必要服務(wù)處置對(duì)應(yīng)要求：應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口。判例內(nèi)容：網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)等存在多余系統(tǒng)服務(wù)/默認(rèn)共享/高危端口存在，且存在可被利用的高危漏洞或重大安全隱患，可判定為高風(fēng)險(xiǎn)。適用范圍：所有系統(tǒng)。滿(mǎn)足條件：操作系統(tǒng)上的多余系統(tǒng)服務(wù)/默認(rèn)共享/高危端口存在可被利用的高風(fēng)險(xiǎn)漏洞或重大安全隱患。補(bǔ)償措施：如通過(guò)其他技術(shù)手段能降低漏洞影響，可酌情降低風(fēng)險(xiǎn)等級(jí)。整改建議：建議網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)等關(guān)閉不必要的服務(wù)和端口，減少后門(mén)等安全漏洞；根據(jù)自身應(yīng)用需求，需要開(kāi)啟共享服務(wù)的，應(yīng)合理設(shè)置相關(guān)配置，如設(shè)置賬戶(hù)權(quán)限等。 管理終端管控措施對(duì)應(yīng)要求：應(yīng)通過(guò)設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對(duì)通過(guò)網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制。判例內(nèi)容：通過(guò)不可控網(wǎng)絡(luò)環(huán)境遠(yuǎn)程管理的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)等，未采取技術(shù)手段對(duì)管理終端進(jìn)行限制，可判定為高風(fēng)險(xiǎn)。適用范圍：3級(jí)及以上系統(tǒng)。滿(mǎn)足條件（同時(shí)）：3級(jí)及以上系統(tǒng)；可通過(guò)不可控網(wǎng)絡(luò)環(huán)境遠(yuǎn)程進(jìn)行管理；未采取技術(shù)手段對(duì)管理終端進(jìn)行管控（管控措施包括但不限于終端接入管控、網(wǎng)絡(luò)地址范圍限制、堡壘機(jī)等）。補(bǔ)償措施：如管理終端部署在運(yùn)維區(qū)、可控網(wǎng)絡(luò)或采用多種身份鑒別方式等技術(shù)措施，可降低終端管控不善所帶來(lái)的安全風(fēng)險(xiǎn)的，可酌情降低風(fēng)險(xiǎn)等級(jí)。整改建議：建議通過(guò)技術(shù)手段，對(duì)管理終端進(jìn)行限制。 已知重大漏洞修補(bǔ)對(duì)應(yīng)要求：應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過(guò)充分測(cè)試評(píng)估后，及時(shí)修補(bǔ)漏洞。判例內(nèi)容：對(duì)于一些互聯(lián)網(wǎng)直接能夠訪(fǎng)問(wèn)到的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)等，如存在外界披露的重大漏洞，未及時(shí)修補(bǔ)更新，無(wú)需考慮是否有POC攻擊代碼，可判定為高風(fēng)險(xiǎn)。適用范圍：所有系統(tǒng)。滿(mǎn)足條件（同時(shí)）：該設(shè)備可通過(guò)互聯(lián)網(wǎng)訪(fǎng)問(wèn)；該設(shè)備型號(hào)、版本存在外界披露的重大安全漏洞；未及時(shí)采取修補(bǔ)或其他有效防范措施。補(bǔ)償措施：如相關(guān)漏洞暴露在可控的網(wǎng)絡(luò)環(huán)境，可酌情降低風(fēng)險(xiǎn)等級(jí)。如某網(wǎng)絡(luò)設(shè)備的WEB管理界面存在高風(fēng)險(xiǎn)漏洞，而該WEB管理界面只能通過(guò)特定IP或特定可控環(huán)境下才可訪(fǎng)問(wèn)，可酌情降低風(fēng)險(xiǎn)等級(jí)。整改建議：建議訂閱安全廠商漏洞推送或本地安裝安全軟件，及時(shí)了解漏洞動(dòng)態(tài)，在充分測(cè)試評(píng)估的基礎(chǔ)上，彌補(bǔ)嚴(yán)重安全漏洞。 測(cè)試發(fā)現(xiàn)漏洞修補(bǔ)對(duì)應(yīng)要求：應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過(guò)充分測(cè)試評(píng)估后，及時(shí)修補(bǔ)漏洞。判例內(nèi)容：通過(guò)驗(yàn)證測(cè)試或滲透測(cè)試能夠確認(rèn)并利用的，可對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)等造成重大安全隱患的漏洞（包括但不限于緩沖區(qū)溢出、提權(quán)漏洞、遠(yuǎn)程代碼執(zhí)行、嚴(yán)重邏輯缺陷、敏感數(shù)據(jù)泄露等），可判定為高風(fēng)險(xiǎn)。適用范圍：所有系統(tǒng)。滿(mǎn)足條件（同時(shí)）：存在可被利用的高風(fēng)險(xiǎn)漏洞；通過(guò)驗(yàn)證測(cè)試或滲透測(cè)試確認(rèn)該高風(fēng)險(xiǎn)漏洞可能對(duì)該設(shè)備造成重大安全隱患。補(bǔ)償措施：只有在相關(guān)設(shè)備所在的物理、網(wǎng)絡(luò)、管理環(huán)境嚴(yán)格受控，發(fā)生攻擊行為可能性較小的情況下，方可酌情降低風(fēng)險(xiǎn)等級(jí)；對(duì)于互聯(lián)網(wǎng)可訪(fǎng)問(wèn)到的設(shè)備，原則上不宜降低其風(fēng)險(xiǎn)等級(jí)。整改建議：建議在充分測(cè)試的情況下，及時(shí)對(duì)設(shè)備進(jìn)行補(bǔ)丁更新，修補(bǔ)已知的高風(fēng)險(xiǎn)安全漏洞；此外，還應(yīng)定期對(duì)設(shè)備進(jìn)行漏掃，及時(shí)處理發(fā)現(xiàn)的風(fēng)險(xiǎn)漏洞，提高設(shè)備穩(wěn)定性與安全性。 惡意代碼防范 操作系統(tǒng)惡意代碼防范對(duì)應(yīng)要求：應(yīng)采用主動(dòng)免疫可信驗(yàn)證機(jī)制及時(shí)識(shí)別入侵和病毒行為，并將其有效阻斷。判例內(nèi)容：Windows操作系統(tǒng)未安裝防惡意代碼軟件，并進(jìn)行統(tǒng)一管理，無(wú)法防止來(lái)自外部的惡意攻擊或系統(tǒng)漏洞帶來(lái)的危害，可判定為高風(fēng)險(xiǎn)。適用范圍：所有系統(tǒng)。滿(mǎn)足條件（任意條件）：Windows操作系統(tǒng)未安裝殺毒軟件。Windows操作系統(tǒng)安裝的殺毒軟件病毒庫(kù)一月以上未更新。（可根據(jù)服務(wù)器部署環(huán)境、行業(yè)或系統(tǒng)特性縮短或延長(zhǎng)病毒庫(kù)更新周期）補(bǔ)償措施：如一個(gè)月以上未更新，但有完備的補(bǔ)丁更新/測(cè)試計(jì)劃，且有歷史計(jì)劃執(zhí)行記錄的，可根據(jù)服務(wù)器部署環(huán)境、行業(yè)或系統(tǒng)特性酌情降低風(fēng)險(xiǎn)等級(jí)。可與網(wǎng)絡(luò)安全部分中的入侵防范和訪(fǎng)問(wèn)控制措施相結(jié)合來(lái)綜合評(píng)定風(fēng)險(xiǎn)，如網(wǎng)絡(luò)層部署了惡意代碼防范設(shè)備，可酌情降低風(fēng)險(xiǎn)等級(jí)。對(duì)與外網(wǎng)完全物理隔離的系統(tǒng)，其網(wǎng)絡(luò)環(huán)境、USB介質(zhì)等管控措施較好，可酌情降低風(fēng)險(xiǎn)等級(jí)。整改建議：建議操作系統(tǒng)統(tǒng)一部署防病毒軟件，或采用集成性質(zhì)防病毒服務(wù)器或虛擬化底層防病毒措施，并及時(shí)更新病毒庫(kù)，抵擋外部惡意代碼攻擊。 應(yīng)用系統(tǒng) 身份鑒別 口令策略對(duì)應(yīng)要求：應(yīng)對(duì)登錄的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期更換。判例內(nèi)容：應(yīng)用系統(tǒng)無(wú)任何用戶(hù)口令復(fù)雜度校驗(yàn)機(jī)制，校驗(yàn)機(jī)制包括口令的長(zhǎng)度、復(fù)雜度等，可判定為高風(fēng)險(xiǎn)。適用范圍：所有系統(tǒng)。滿(mǎn)足條件（同時(shí)）：應(yīng)用系統(tǒng)無(wú)口令長(zhǎng)度、復(fù)雜度校驗(yàn)機(jī)制；可設(shè)置6位以下，單個(gè)數(shù)字或連續(xù)數(shù)字或相同數(shù)字等易猜測(cè)的口令。補(bǔ)償措施：如應(yīng)用系統(tǒng)采用多種身份鑒別認(rèn)證技術(shù)的，即使有口令也無(wú)法直接登錄應(yīng)用系統(tǒng)的，可酌情降低風(fēng)險(xiǎn)等級(jí)。如應(yīng)用系統(tǒng)僅為內(nèi)部管理系統(tǒng)，只能內(nèi)網(wǎng)訪(fǎng)問(wèn)，且訪(fǎng)問(wèn)人員相對(duì)可控，可酌情降低風(fēng)險(xiǎn)等級(jí)。如應(yīng)用系統(tǒng)口令校驗(yàn)機(jī)制不完善，如只有部分校驗(yàn)機(jī)制，可根據(jù)實(shí)際情況，酌情降低風(fēng)險(xiǎn)等級(jí)。特定應(yīng)用場(chǎng)景中的口令（如PIN碼）可根據(jù)相關(guān)要求，酌情判斷風(fēng)險(xiǎn)等級(jí)。整改建議：建議應(yīng)用系統(tǒng)對(duì)用戶(hù)的賬戶(hù)口令長(zhǎng)度、復(fù)雜度進(jìn)行校驗(yàn)，如要求系統(tǒng)賬戶(hù)口令至少8位，由數(shù)字、字母或特殊字符中2種方式組成；對(duì)于如PIN碼等特殊用途的口令，應(yīng)設(shè)置弱口令庫(kù)，通過(guò)對(duì)比方式，提高用戶(hù)口令質(zhì)量。 弱口令對(duì)應(yīng)要求：應(yīng)對(duì)登錄的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期更換。判例內(nèi)容：應(yīng)用系統(tǒng)存在易被猜測(cè)的常用/弱口令帳戶(hù)，可判定為高風(fēng)險(xiǎn)。適用范圍：所有系統(tǒng)。滿(mǎn)足條件：通過(guò)滲透測(cè)試或常用/弱口令嘗試，發(fā)現(xiàn)應(yīng)用系統(tǒng)中存在可被登錄弱口令帳戶(hù)。補(bǔ)償措施：如該弱口令帳號(hào)為前臺(tái)自行注冊(cè)，自行修改的普通用戶(hù)帳戶(hù)，被猜測(cè)登錄后只會(huì)影響單個(gè)用戶(hù)，而不會(huì)對(duì)整個(gè)應(yīng)用系統(tǒng)造成安全影響的，可酌情降低風(fēng)險(xiǎn)等級(jí)。整改建議：建議應(yīng)用系統(tǒng)通過(guò)口令長(zhǎng)度、復(fù)雜度校驗(yàn)、常用/弱口令庫(kù)比對(duì)等方式，提高應(yīng)用系統(tǒng)口令質(zhì)量。 登錄失敗處理對(duì)應(yīng)要求：應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會(huì)話(huà)、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出等相關(guān)措施。判例內(nèi)容：可通過(guò)互聯(lián)網(wǎng)登錄的應(yīng)用系統(tǒng)未提供任何登錄失敗處理措施，攻擊者可進(jìn)行口令猜測(cè)，可判定為高風(fēng)險(xiǎn)。適用范圍：3級(jí)及以上系統(tǒng)。滿(mǎn)足條件：3級(jí)及以上系統(tǒng)；可通過(guò)互聯(lián)網(wǎng)登錄，且對(duì)帳號(hào)安全性要求較高，如帳戶(hù)涉及金融、個(gè)人隱私信息、后臺(tái)管理等；對(duì)連續(xù)登錄失敗無(wú)任何處理措施；攻擊者可利用登錄界面進(jìn)行口令猜測(cè)。補(bǔ)償措施：如應(yīng)用系統(tǒng)采用多種身份鑒別認(rèn)證技術(shù)的，可酌情降低風(fēng)險(xiǎn)等級(jí)。僅通過(guò)內(nèi)部網(wǎng)絡(luò)訪(fǎng)問(wèn)的內(nèi)部/后臺(tái)管理系統(tǒng)，如訪(fǎng)問(wèn)人員相對(duì)可控，可酌情降低風(fēng)險(xiǎn)等級(jí)。如登錄頁(yè)面采用圖像驗(yàn)證碼等技術(shù)可在一定程度上提高自動(dòng)化手段進(jìn)行口令暴力破解難度的，可酌情降低風(fēng)險(xiǎn)等級(jí)?？筛鶕?jù)登錄帳戶(hù)的重要程度、影響程度，可酌情判斷風(fēng)險(xiǎn)等級(jí)。但如果登錄帳戶(hù)涉及到金融行業(yè)、個(gè)人隱私信息、信息發(fā)布、后臺(tái)管理等，不宜降低風(fēng)險(xiǎn)等級(jí)。整改建議：建議應(yīng)用系統(tǒng)提供登錄失敗處理功能（如帳戶(hù)鎖定、多重認(rèn)證等），防止攻擊者進(jìn)行口令暴力破解。 雙因素認(rèn)證對(duì)應(yīng)要求：應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶(hù)進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來(lái)實(shí)現(xiàn)。判例內(nèi)容：通過(guò)互聯(lián)網(wǎng)方式訪(fǎng)問(wèn)，且涉及大額資金交易、核心業(yè)務(wù)等操作的系統(tǒng)，在進(jìn)行重要操作前應(yīng)采用兩種或兩種以上方式進(jìn)行身份鑒別，如只采用一種驗(yàn)證方式進(jìn)行鑒別，可判定為高風(fēng)險(xiǎn)。適用范圍：3級(jí)及以上系統(tǒng)。滿(mǎn)足條件（同時(shí)）：3級(jí)及以上系統(tǒng)；通過(guò)互聯(lián)網(wǎng)方式訪(fǎng)問(wèn)的系統(tǒng)，在進(jìn)行涉及大額資金交易、核心業(yè)務(wù)等重要操作前未啟用兩種或兩種以上鑒別技術(shù)對(duì)用戶(hù)身份進(jìn)行鑒別；4級(jí)系統(tǒng)多種鑒別技術(shù)中未用到密碼技術(shù)或生物技術(shù)。補(bǔ)償措施：采用兩重用戶(hù)名/口令認(rèn)證措施，且兩重口令不可相同等情況，可酌情降低風(fēng)險(xiǎn)等級(jí)。如應(yīng)用服務(wù)訪(fǎng)問(wèn)的網(wǎng)絡(luò)環(huán)境安全可控，網(wǎng)絡(luò)竊聽(tīng)、違規(guī)接入等隱患較小，口令策略和復(fù)雜度、長(zhǎng)度符合要求的情況下，可酌情降低風(fēng)險(xiǎn)等級(jí)。在完成重要操作前的不同階段兩次或兩次以上使用不同的方式進(jìn)行身份鑒別，可根據(jù)實(shí)際情況，酌情降低風(fēng)險(xiǎn)等級(jí)。涉及到主管部門(mén)認(rèn)可的業(yè)務(wù)形態(tài)，例如快捷支付、小額免密支付等，可酌情降低風(fēng)險(xiǎn)等級(jí)?？筛鶕?jù)被測(cè)對(duì)象中用戶(hù)的作用以及重要程度，在口令策略和復(fù)雜度、長(zhǎng)度符合要求的情況下，可根據(jù)實(shí)際情況，酌情判斷風(fēng)險(xiǎn)等級(jí)。系統(tǒng)用戶(hù)群體為互聯(lián)網(wǎng)用戶(hù)，且冒名登錄、操作不會(huì)對(duì)系統(tǒng)或個(gè)人造成重大惡劣影響或經(jīng)濟(jì)損失的，可酌情判斷風(fēng)險(xiǎn)等級(jí)。整改建議：建議應(yīng)用系統(tǒng)增加除用戶(hù)名/口令以外的身份鑒別技術(shù)，如密碼/令牌、生物鑒別方式等，實(shí)現(xiàn)雙因子身份鑒別，增強(qiáng)身份鑒別的安全力度。 訪(fǎng)問(wèn)控制 登錄用戶(hù)權(quán)限控制對(duì)應(yīng)要求：應(yīng)對(duì)登錄的用戶(hù)分配賬戶(hù)和權(quán)限。判例內(nèi)容：應(yīng)用系統(tǒng)訪(fǎng)問(wèn)控制功能存在缺失，無(wú)法按照設(shè)計(jì)策略控制用戶(hù)對(duì)系統(tǒng)功能、數(shù)據(jù)的訪(fǎng)問(wèn)；可通過(guò)直接訪(fǎng)問(wèn)URL等方式，在不登錄系統(tǒng)的情況下，非授權(quán)訪(fǎng)問(wèn)系統(tǒng)功能模塊，可判定為高風(fēng)險(xiǎn)。適用范圍：所有系統(tǒng)。滿(mǎn)足條件：可通過(guò)直接訪(fǎng)問(wèn)URL等方式，在不登錄系統(tǒng)的情況下，非授權(quán)訪(fǎng)問(wèn)系統(tǒng)重要功能模塊。補(bǔ)償措施：如應(yīng)用系統(tǒng)部署在可控網(wǎng)絡(luò)，有其他防護(hù)措施能限制、監(jiān)控用戶(hù)行為的，可酌情降低風(fēng)險(xiǎn)等級(jí)?？筛鶕?jù)非授權(quán)訪(fǎng)問(wèn)模塊的重要程度、越權(quán)訪(fǎng)問(wèn)的難度，酌情提高/減低風(fēng)險(xiǎn)等級(jí)。整改建議：建議完善訪(fǎng)問(wèn)控制措施，對(duì)系統(tǒng)重要頁(yè)面、功能模塊進(jìn)行訪(fǎng)問(wèn)控制，確保應(yīng)用系統(tǒng)不存在訪(fǎng)問(wèn)控制失效情況。 默認(rèn)口令處理對(duì)應(yīng)要求：應(yīng)重命名或刪除默認(rèn)賬戶(hù)，修改默認(rèn)賬戶(hù)的默認(rèn)口令。判例內(nèi)容：應(yīng)用系統(tǒng)默認(rèn)賬號(hào)的默認(rèn)口令未修改，可利用該默認(rèn)口令登錄系統(tǒng)，可判定為高風(fēng)險(xiǎn)。適用范圍：所有系統(tǒng)。滿(mǎn)足條件（同時(shí)）：未修改默認(rèn)帳戶(hù)的默認(rèn)口令；可使用該默認(rèn)口令賬號(hào)登錄。補(bǔ)償措施：無(wú)。整改建議：建議應(yīng)用系統(tǒng)重命名或刪除默認(rèn)管理員賬戶(hù)，修改默認(rèn)密碼，使其具備一定的強(qiáng)度，增強(qiáng)賬戶(hù)安全性。 訪(fǎng)問(wèn)控制策略對(duì)應(yīng)要求：應(yīng)由授權(quán)主體配置訪(fǎng)問(wèn)控制策略，訪(fǎng)問(wèn)控制策略規(guī)定主體對(duì)客體的訪(fǎng)問(wèn)規(guī)則。判例內(nèi)容：應(yīng)用系統(tǒng)訪(fǎng)問(wèn)控制策略存在缺陷，可越權(quán)訪(fǎng)問(wèn)系統(tǒng)功能模塊或查看、操作其他用戶(hù)的數(shù)據(jù)。如存在平行權(quán)限漏洞，低權(quán)限用戶(hù)越權(quán)訪(fǎng)問(wèn)高權(quán)限功能模塊等，可判定為高風(fēng)險(xiǎn)。適用范圍：所有系統(tǒng)。滿(mǎn)足條件：系統(tǒng)訪(fǎng)問(wèn)控制策略存在缺陷，可越權(quán)訪(fǎng)問(wèn)系統(tǒng)功能模塊或查看、操作其他用戶(hù)的數(shù)據(jù)。如存在平行權(quán)限漏洞，低權(quán)限用戶(hù)越權(quán)訪(fǎng)問(wèn)高權(quán)限功能模塊等。補(bǔ)償措施：如應(yīng)用系統(tǒng)部署在可控網(wǎng)絡(luò)，有其他防護(hù)措施能限制、監(jiān)控用戶(hù)行為的，可酌情降低風(fēng)險(xiǎn)等級(jí)。可根據(jù)非授權(quán)訪(fǎng)問(wèn)模塊的重要程度、越權(quán)訪(fǎng)問(wèn)的難度，酌情提高/減低風(fēng)險(xiǎn)等級(jí)。整改建議：建議完善訪(fǎng)問(wèn)控制措施，對(duì)系統(tǒng)重要頁(yè)面、功能模塊進(jìn)行重新進(jìn)行身份、權(quán)限鑒別，確保應(yīng)用系統(tǒng)不存在訪(fǎng)問(wèn)