IIS 检 查 用 例 表 A2 A3
APACHE 检 测 用例表
Tomcat 检 测 用例表
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表
a) 当应用系统的通信双方 中的一方在一段时间内未 重要 A2
a) 当应用系统的通信双方
中的一方在一段时间内未 作任何响应，另一方应能
S3
IIS 检 查 用 例 表
APACHE 检 测 用例表
Tomcat 检 测 用例表
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表
通信完 整性 （S1、 S2、 S3）
应采用密码技术保证通信 过程中数据的完整性(S3) 应采用校验码技术保证通
B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表
a) 在通信双方建立连接之 前，应用系统应利用密码 技术进行会话初始化验证
IIS 检 查 用 例 表
APACHE 检 测 S2 用例表 S3
Tomcat 检 测 用例表
通信保
Weblogic 检 测用例表
通信保 密性 （S2、 S3）
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表
IIS 检 查 用 例 表
APACHE 检 测 用例表
a) 应提供覆盖到每个用户
的安全审计功能，对应用 系统重要安全事件进行审
重要
G2 G3
计
Tomcat 检 测 用例表
Weblogic 检 测用例表
重要
A2 A3
够自动结束会话
IIS 检 查 用 例 表
APACHE 检 测 用例表
Tomcat 检 测 用例表
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表
b) 应能够对系统的最大并 发会话连接数进行限制
重要
A2 A3
Hale Waihona Puke IIS 检 查 用 例 表
重要
S2 S3
作
Tomcat 检 测 用例表
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表
IIS 检 查 用 例 表
APACHE 检 测 用例表
c) 应由授权主体配置访问
S1
控制策略，并严格限制默 重要 S2
认帐户的访问权限
S3
Tomcat 检 测 用例表
实施过程
预期结果
说明
1）检查网站是否存在登录界面； 1）若无登录界面或登录界 1）若网站只存在管理员用户，则
2）检查登录界面是否允许无密码登 面 无 需 输 入 鉴 别 信 息 （ 密 此登录界面应为后台登录界面，
的数据格式或长度符合系
A3
统设定要求
软件容 错（A1 、A2、 A3）
C/S 客 户 端 通 用检测用例 表
IIS 检 查 用 例 表
APACHE 检 测 用例表
Tomcat 检 测 用例表
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表
b) 应提供自动保护功能， 当故障发生时自动保护当 前所有状态，保证系统能 够进行恢复
信过程中数据的完整性 (S2)
应采用约定通信会话方式 的方法保证通信过程中数
据的完整性(S1)
IIS 检 查 用 例 表
S1 S2
APACHE 检 测 用例表
S3
S2、 S3）
(S2) 应采用约定通信会话方式 的方法保证通信过程中数
据的完整性(S1)
S3
Tomcat 检 测 用例表
Weblogic 检 测用例表
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表
IIS 检 查 用 例 表
APACHE 检 测 用例表
b) 访问控制的覆盖范围应
包括与资源访问相关的主 体、客体及它们之间的操
重要
S2 S3
作
b) 访问控制的覆盖范围应
包括与资源访问相关的主 体、客体及它们之间的操
B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表
IIS 检 查 用 例 表
b) 应对通信过程中的整个 报文或会话过程进行加密
APACHE 检 测 用例表 S2 S3
Tomcat 检 测 用例表
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
a) 应具有在请求的情况下 为数据原发者或接收者提 供数据原发证据的功能
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
d) 应能够对一个时间段内 可能的并发会话连接数进 行限制
C/S 客 户 端 通 用检测用例 表
A3
d) 应能够对一个时间段内 可能的并发会话连接数进 行限制
A3
IIS 检 查 用 例 表
APACHE 检 测 用例表
Tomcat 检 测 用例表
B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表
f) 应能够对系统服务水平 降低到预先规定的最小值 重要 A3 进行检测和报警
f) 应能够对系统服务水平 降低到预先规定的最小值 重要 A3 进行检测和报警
IIS 检 查 用 例 表
APACHE 检 测 用例表 Tomcat 检 测 用例表 Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表
IIS 检 查 用 例 表
a) 应提供访问控制功能，
依据安全策略控制用户对 文件、数据库表等客体的
重要
访问
APACHE 检 测 用例表
S1 S2 S3 （S2 、S3 相 同， 比S1 多出 黑体 字部 分）
Tomcat 检 测 用例表
用例表
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表
IIS 检 查 用 例 表
APACHE 检 测 用例表
e) 应具有对重要信息资源 设置敏感标记的功能
S3
Tomcat 检 测 用例表
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表
IIS 检 查 用 例 表
APACHE 检 测 用例表
b) 应对同一用户采用两种 或两种以上组合的鉴别技 术实现用户身份鉴别
S3
Tomcat 检 测 用例表
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表
APACHE 检 测 用例表
Tomcat 检 测 用例表
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
d) 应提供对审计记录数据 进行统计、查询、分析及 生成审计报表的功能
C/S 客 户 端 通 用检测用例 表
G3 IIS 检 查 用 例 表
APACHE 检 测 用例表
Tomcat 检 测 用例表
IIS 检 查 用 例 表
APACHE 检 测 用例表
c) 应提供用户身份标识唯
一和鉴别信息复杂度检查 功能，保证应用系统中不 存在重复用户身份标识，
重要
S2 S3
身份鉴别信息不易被冒用
Tomcat 检 测 用例表
身份鉴 别(S1、 S2、S3)
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表
b) 应保证无法单独中断审 计进程，无法删除、修改 或覆盖审计记录
G2 G3 （黑 体部 分为 G3独
b) 应保证无法单独中断审 计进程，无法删除、修改 或覆盖审计记录
G2 G3 （黑 体部 分为 G3独 有内 容）
IIS 检 查 用 例 表
抗抵赖 （G3）
C/S 客 户 端 通 用检测用例 表
G3
IIS 检 查 用 例 表
APACHE 检 测 用例表
Tomcat 检 测 用例表
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
b) 应具有在请求的情况下 为数据原发者或接收者提 供数据接收证据的功能
C/S 客 户 端 通 用检测用例 表
层面 控制点 测评项
重要性 级别 系统 B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表 IIS 检 查 用 例 表
APACHE 检 测 用例表
a) 应提供专用的登录控制
S1
模块对登录用户进行身份 重要 S2
标识和鉴别
S3
Tomcat 检 测 用例表
Weblogic 检 测用例表
C/S 客 户 端 通 用检测用例 表 IIS 检 查 用 例 表
f) 应依据安全策略严格控
制用户对有敏感标记重要
S3
信息资源的操作
APACHE 检 测 用例表
f) 应依据安全策略严格控
制用户对有敏感标记重要
S3
信息资源的操作
Tomcat 检 测 用例表
应用 (可 使用 的渗 透工 具为 Doma in、 pang olin )