7.11　最小特權

7.11.1　一般要求

7.11.1.1　評估內容

詳見GB/T31168－2014的7.11.1。

7.11.1.2　評估方法

7.11.1.2.1 評估方法如下：

——檢查訪問控制策略與規程等相關文檔，查看其是否有最小特權策略；

——檢查最小特權策略，查看其為用戶提供的訪問權限是否滿足其最小業務需求；

——訪談賬號管理員等相關人員，詢問其賬號訪問權限分配情況，確認其是否滿足其最小業務需求。

7.11.2　增強要求

7.11.2.1　評估內容

詳見GB/T31168－2014中7.11.2的a）、b）、c）、d）和e）。

7.11.2.2　評估方法

7.11.2.2.1 對a）的評估方法為：

——檢查訪問控制策略與規程等相關文檔，查看其是否定義了需要明確授權的安全功能和安全相關信息；

——檢查授權記錄，查看其是否可以涵蓋云服務商定義的安全功能和安全相關信息。

7.11.2.2.2 對b）的評估方法為：

——檢查訪問控制策略，查看其是否對特權功能的執行進行審計；

——檢查特權功能執行過程的審計記錄，查看其是否可以涵蓋所有特權功能的執行。

7.11.2.2.3 對c）的評估方法為：

——檢查賬戶管理機制，查看其是否有特權賬號或角色用戶訪問非安全功能時，需要使用非特權賬號或角色的要求；

——檢查非安全功能訪問記錄，查看其是否均使用非特權賬號或角色；

——訪談具有訪問系統安全功能或安全相關信息特權的賬號或角色用戶，詢問其訪問非安全功能時所使用的賬號或角色。

7.11.2.2.4 對d）的評估方法為：

——檢查訪問控制策略，查看其是否定義了具有特權賬號的人員或角色；

——檢查具有特權賬號的人員或角色清單，查其特權賬號是否只由指定的人或角色擁有。

7.11.2.2.5 對e）的評估方法為：

——檢查訪問控制策略與規程等相關文檔，查看其是否能夠阻止非特權用戶執行特權功能；

——測試非特權賬號，驗證非特權用戶不能執行特權功能。