8.6　最小功能原則

8.6.1　一般要求

8.6.1.1　評估內容

詳見GB/T31168－2014中8.6.1的a）和b）。

8.6.1.2　評估方法

8.6.1.2.1 對a）的評估方法為：

——檢查配置項參數設置規程、配置管理計劃等相關文檔，查看其是否規定對云計算平臺按照僅提供必需功能進行配置，以減少系統面臨的風險；

——檢查云計算平臺當前配置參數設置，查看其是否按照必需功能進行配置。

8.6.1.2.2 對b）的評估方法為：

——檢查配置項參數設置規程、配置管理計劃等相關文檔，查看其是否定義了禁止或限制使用的功能、端口、協議或服務；

——測試定義的功能、端口、協議或服務，驗證是否已被禁止或限制使用。

8.6.2　增強要求

8.6.2.1　評估內容

詳見GB/T31168－2014中8.6.2的a）、b）、c）和d）。

8.6.2.2　評估方法

8.6.2.2.1 對a）的評估方法為：

——檢查配置項參數設置規程、配置管理計劃等相關文檔，查看其是否定義了對信息系統進行審查的頻率；

——檢查審查記錄和標識結果記錄，查看其是否按照定義的頻率對信息系統進行審查，并標識出不必要或不安全的功能、端口、協議或服務。

8.6.2.2.2 對b）的評估方法為：

——檢查配置項參數設置規程、配置管理計劃等相關文檔，查看其是否定義了不必要或不安全的功能、端口、協議和服務；

——訪談系統管理員或配置管理人員等相關人員，詢問其是否關閉了定義的不必要或不安全的功能、端口、協議和服務；

——測試定義的不必要或不安全的功能、端口、協議和服務，驗證其是否已被關閉。

8.6.2.2.3 對c）的評估方法為：

——檢查軟件使用與限制策略等相關文檔，查看其是否定義了軟件使用和限制策略以及軟件使用的授權規則；

——檢查信息系統實際運行環境，查看其是否按照已定義的策略和授權規則，禁止了相關程序的運行。

8.6.2.2.4 對d）的評估方法為：

——檢查軟件使用與限制策略等相關文檔，查看其是否按照白名單策略定義了允許在云計算平臺上運行的軟件并建立授權軟件列表，查看其是否定義了授權軟件列表審查和更新的頻率；

——檢查審查和更新記錄，查看其是否按照已定義的頻率對授權軟件列表進行審查和更新；

——測試禁止非授權軟件運行的機制，查看其是否禁止了非授權軟件的運行。