等保三级中用系统弱口令应该如何整改?广东等保2.0测评对弱口令长度和复杂度有哪些要求?

对应要求:

应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。

判例内容:

网络设备、安全设备、操作系统、数据库等存在空口令或弱口令帐户,并可通过该弱口令帐户登录,可判定为高风险。

适用范围:

所有系统。

满足条件(同时):

1、存在空口令或弱口令帐户;

2、可使用该弱口令帐户登录。

补偿措施:

1、如采用双因素认证等管控手段,恶意用户使用该空/弱口令帐号无法直接登录相关设备,可酌情降低风险等级。

2、如测评对象重要性较低,不会对整个信息系统安全性产生任何影响,可酌情降低风险等级。

整改建议:

建议删除或修改账户口令,制定相关管理制度,规范口令的最小长度、复杂度与生命周期,并根据管理制度要求,合理配置账户口令策略,提高口令质量。


  • 免费售后咨询
  • 协助安装指导
  • 服务器环境配置
  • 网站搬家/复制

声明:请谨记木准企服唯一官方电话:18300003210,请勿轻信其他其他联系方式,一对一入口。如遇诈骗请及时联系我们将配合处理!

原文地址:广东等保测评中系统弱口令的说明和整改(广东等保2.0)发布于2023-11-15 15:38:03