7.16　會話鎖定

7.16.1　一般要求

無。

7.16.2　增強要求

7.16.2.1　評估內容

詳見GB/T31168－2014中7.16.2的a）、b）和c）。

7.16.2.2　評估方法

7.16.2.2.1 對a）的評估方法為：

——檢查訪問控制策略與規程等相關文檔，查看其是否定義了實施會話鎖定時未活動的最大時間段；

——檢查會話管理配置文件，查看其是否按照要求進行了配置；

——測試會話鎖定機制，驗證在云服務商定義的時間之內會話未活動是否會被鎖定，驗證用戶主動發起鎖定指令時是否能夠實施會話鎖定。

7.16.2.2.2 對b）的評估方法為：

——檢查訪問控制策略，查看其是否包含會話恢復機制；

——測試會話恢復機制，會話鎖定后再次建立連接時，驗證其是否有標識或鑒別過程。

7.16.2.2.3 對c）的評估方法為：

——檢查訪問控制策略，查看其是否有信息系統應隱藏鎖定前可見的信息，并顯示公開可見圖像的要求；

——測試會話鎖定過程，驗證其是否可以隱藏鎖定前可見的信息，是否顯示公開可見的圖像。