10.7　錯誤處理

10.7.1　一般要求

10.7.1.1　評估內容

詳見GB/T31168－2014中10.7.1的a）、b）和c）。

10.7.1.2　評估方法

10.7.1.2.1 對a）的評估方法為：

——檢查應急響應與災備策略與規程、系統設計說明書等相關文檔，查看其是否有標識出信息系統各類安全相關錯誤的狀態的機制，例如使用日志、消息、郵件等方式標識錯誤；

——訪談安全管理員或維護人員等相關人員，詢問其是否能標識出信息系統各類安全相關錯誤的狀態；

——檢查錯誤標識記錄，查看其是否按要求標識出信息系統各類安全相關錯誤的狀態。

10.7.1.2.2 對b）的評估方法為：

——檢查錯誤日志和管理員消息中產生的出錯消息，查看是否提供了必要信息用于更正活動；

——檢查錯誤日志和管理員消息中產生的出錯消息，查看其是否泄露了以下信息：

    1）用戶名和口令的組合。

    2）用來驗證口令重設請求的屬性值（如安全提問）。

    3）可標識到個人的信息。

    4）用于鑒別身份的生物數據或人員特征。

    5）與內部安全功能有關的內容（如私鑰、白名單或黑名單規則）。

6）其他重要或敏感數據。

10.7.1.2.3 對c）的評估方法為：

——檢查應急響應與災備策略與規程、系統設計說明書等相關文檔，查看其是否有只向授權人員展現出錯消息的機制；

——檢查該機制，查看其是否只向授權人員展現出錯消息。

10.7.2　增強要求

無。