7.9　訪問控制的實施

7.9.1　一般要求

7.9.1.1　評估內容

詳見GB/T31168－2014中7.9.1的a）和b）。

7.9.1.2　評估方法

7.9.1.2.1 對a）的評估方法為：

——檢查訪問控制策略與規程等相關文檔，查看其是否有對云計算平臺上信息和系統資源的邏輯訪問進行授權的內容；

——檢查云計算平臺上信息和系統資源的邏輯訪問授權記錄，查看其是否對信息和系統資源的邏輯訪問實施授權。

7.9.1.2.2 對b）的評估方法為：

——檢查訪問控制策略與規程等相關文檔，查看其是否定義了職責分離規則；

——檢查職責分離規則，查看其對訪問的授權是否符合所定義的職責分離規則。

7.9.2　增強要求

7.9.2.1　評估內容

詳見GB/T31168－2014中7.9.2的a）、b）和c）。

7.9.2.2　評估方法

7.9.2.2.1 對a）的評估方法為：

——檢查訪問控制策略與規程等相關文檔，查看其是否定義了強制訪問控制策略；

——檢查強制訪問控制策略，查看其是否針對信息系統范圍內所有主體和客體，統一執行策略。

7.9.2.2.2 對b）的評估方法為：

——檢查強制訪問控制策略，查看已獲得信息訪問權的主體是否限制其以下行為：

1）將信息傳遞給非授權的主體和客體；

2）將權限授予給其他主體；

3）變更主體、客體、信息系統或其組件的安全屬性；

4）對新創建或修改后的客體，變更其已經關聯的安全屬性；

5）變更訪問控制管理規則。

7.9.2.2.3 對c）的評估方法為：

——檢查強制訪問控制策略，查看其是否定義了特權主體規則；

——測試特權主體規則，驗證其不被b）條的部分或全部條件所約束。