GA/T 1726-2020 信息安全技術 負載均衡產品安全技術要求7.8 自身安全
7.8.1 鑒別失敗處理
檢測并記錄任何鑒別驗證相關的剩余鑒別嘗試的操作及次數(用戶名及鑒別信息):
a)當鑒別嘗試次數還有2次時,產品應采取提示用戶確認該鑒別操作(提示應遵循最小反饋原則);
b)當鑒別數據驗證或用戶失敗次數達到上限時(不超過10次),產品應采取有效措施防止用戶進一步嘗試操作。
7.8.2 單一鑒別、管理機制的使用
同一管理員賬號同一時間不得同時進行產品管理操作,不同用戶同一時間不得同時修改產品的同一屬性。
7.8.3 日志
記錄以下日志信息:
a)應記錄用戶通過HTTP協議訪問服務器時的基本信息(如URL等) ;
b)應通過Syslog協議將日志傳輸至遠程日志服務器;
c)應內置日志管理系統,可跟蹤管理員的操作信息,提高產品安全性。
7.8.4 安全功能數據的管理
具備以下管理功能:
a)應僅限管理員能夠對鑒別信息、失敗次數進行重置操作;
b)應僅限管理員能夠對要求存儲的安全數據進行修改操作;
c)應以安全方式存儲敏感信息數據(用戶鑒別信息、用戶身份信息等)。
推薦文章: