【正文】 在的用戶。檢查方法n 詢問系統(tǒng)管理員，了解抗抵賴方面采取的措施。n 可通過查看文檔或源代碼等方法來驗證措施是否落實。g軟件容錯要求項n 應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求；n 應(yīng)提供自動保護(hù)功能，當(dāng)故障發(fā)生時自動保護(hù)當(dāng)前所有狀態(tài)，保證系統(tǒng)能夠進(jìn)行恢復(fù)。條款理解n 為了防止SQL注入等攻擊，軟件應(yīng)對用戶輸入數(shù)據(jù)的長度和格式等進(jìn)行限制。檢查方法n 詢問系統(tǒng)管理員，了解軟件容錯方面采取的措施。n 可通過查看文檔或源代碼等方法來驗證措施是否落實，并在界面上輸入超過長度或不符合要求格式（如hi’ or 1=1）的數(shù)據(jù)，驗證其功能是否正確。h資源控制要求項n 當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動結(jié)束會話；n 應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會話連接數(shù)進(jìn)行限制；n 應(yīng)能夠?qū)蝹€帳戶的多重并發(fā)會話進(jìn)行限制； 應(yīng)能夠?qū)σ粋€訪問帳戶或一個請求進(jìn)程占用的資源分配最大限額和最小限額；n 應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報警；n 應(yīng)提供服務(wù)優(yōu)先級設(shè)定功能，并在安裝后根據(jù)安全策略設(shè)定訪問帳戶或請求進(jìn)程的優(yōu)先級，根據(jù)優(yōu)先級分配系統(tǒng)資源。條款理解n 資源控制是為了保證大多數(shù)用戶能夠正常的使用資源，防止服務(wù)中斷，應(yīng)用系統(tǒng)應(yīng)采取限制最大并發(fā)連接數(shù)、請求帳戶的最大資源限制等措施。檢查方法n 詢問系統(tǒng)管理員，了解資源控制措施的部署和實施情況。n 根據(jù)了解的情況，檢查應(yīng)用系統(tǒng)是否配備了相應(yīng)的功能，在條件允許的情況下，驗證功能是否正確i數(shù)據(jù)完整性要求項n 應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復(fù)措施；n 應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復(fù)措施。條款理解n 該項要求強(qiáng)調(diào)不僅要保證管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸數(shù)據(jù)的完整性，而且要保證存儲過程中的完整性并且在檢測到完整性受到破壞時采取恢復(fù)措施。檢查方法n 詢問系統(tǒng)管理員，了解數(shù)據(jù)完整性措施部署和實施情況。n 根據(jù)了解的情況，檢查應(yīng)用系統(tǒng)是否配備了相應(yīng)的功能，在條件允許的情況下，驗證功能是否正確。j數(shù)據(jù)保密性要求項n 應(yīng)采用加密或其他有效措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性；n 應(yīng)采用加密或其他保護(hù)措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲保密性。條款理解n 該項要求強(qiáng)調(diào)不僅要保證管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸數(shù)據(jù)的保密性，而且要保證存儲過程中的保密性并且在檢測到完整性受到破壞時采取恢復(fù)措施。檢查方法n 詢問系統(tǒng)管理員，了解數(shù)據(jù)保密性措施部署和實施情況。n 根據(jù)了解的情況，檢查應(yīng)用系統(tǒng)是否配備了相應(yīng)的功能，在條件允許的情況下，驗證功能是否正確。k備份和恢復(fù)要求項n 應(yīng)提供本地數(shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場外存放；n 應(yīng)提供異地數(shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地。條款理解n 該項要求對備份策略進(jìn)行了明確的要求，即“完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場外存放”，并且強(qiáng)調(diào)應(yīng)提供異地數(shù)據(jù)備份功能。n 這部分主要檢查文件型數(shù)據(jù)的備份和恢復(fù)方式。檢查方法n 詢問系統(tǒng)管理員，了解備份和恢復(fù)方面采取的措施。n 根據(jù)了解的情況，檢查相應(yīng)措施是否落實，如果條件允許，則驗證其是否有效。 數(shù)據(jù)完整性 通行完整性工具測試什么是工具測試工具測試是利用各種測試工具，通過對目標(biāo)系統(tǒng)的掃描、探測等操作、使其產(chǎn)生特定的響應(yīng)等活動，通過查看、分析響應(yīng)結(jié)果，獲取證據(jù)以證明信息系統(tǒng)安全措施是否得以有效實施的一種方法。工具測試的目的利用測試工具，我們不僅可以直接獲取到目標(biāo)系統(tǒng)本身存在的系統(tǒng)、應(yīng)用等方面的漏洞，同時，也可以通過在不同的區(qū)域接入測試工具所得到的測試結(jié)果，判斷不同區(qū)域之間的訪問控制情況。利用工具測試，結(jié)合其他核查手段，可以為測試結(jié)果的客觀和準(zhǔn)確提供保證。工具測試的作用PPT 7工具測試做為一種高靈活性的輔助測試手段，在相關(guān)的一些標(biāo)準(zhǔn)文件中，無法直接制定工具測試基本要求 測評要求工具測試的流程 重要！《工具測試作業(yè)指導(dǎo)書》收集目標(biāo)系統(tǒng)信息網(wǎng)絡(luò)設(shè)備安全設(shè)備主機(jī)各設(shè)備的類型目標(biāo)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等相關(guān)信息規(guī)劃工具測試接入點的基本、共性原則 重點！～(包括網(wǎng)絡(luò)設(shè)備和安全設(shè)備)要分段探測作業(yè)指導(dǎo)書包含如下內(nèi)容工具測試注意事項 重要的！～，首先要有被測系統(tǒng)人員確定測試條件是否具備。測試條件包括被測網(wǎng)絡(luò)設(shè)備、主機(jī)、安全設(shè)備等是否都在正常運(yùn)行，測試時間段是否為可測試時間段等等、工具的IP地址等配置要經(jīng)過被測試系統(tǒng)相關(guān)人員確認(rèn)(例如口令探測可能會造成的帳號鎖定等情況)，要事先告知被測系統(tǒng)相關(guān)人員、重要證據(jù)，要及時利用抓圖等取證工具取證(服務(wù)器出現(xiàn)故障、網(wǎng)絡(luò)中斷等待)要及時記錄，需要被測方人員確認(rèn)被測系統(tǒng)狀態(tài)正常并簽字后離場