深圳企业进行等保测评时候遇到登录失败如何处理,深圳等保2.0如何定义和整改系统登录失败的问题,下面给大家讲解以下:

对应要求:

应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。

判例内容:

可通过互联网登录的应用系统未提供任何登录失败处理措施,攻击者可进行口令猜测,可判定为高风险。

适用范围:

3级及以上系统。

满足条件:

1、3级及以上系统;

2、可通过互联网登录,且对帐号安全性要求较高,如帐户涉及金融、个人隐私信息、后台管理等;

3、对连续登录失败无任何处理措施;

4、攻击者可利用登录界面进行口令猜测。

补偿措施:

1、如应用系统采用多种身份鉴别认证技术的,可酌情降低风险等级。

2、仅通过内部网络访问的内部/后台管理系统,如访问人员相对可控,可酌情降低风险等级。

3、如登录页面采用图像验证码等技术可在一定程度上提高自动化手段进行口令暴力破解难度的,可酌情降低风险等级。

4、可根据登录帐户的重要程度、影响程度,可酌情判断风险等级。但如果登录帐户涉及到金融行业、个人隐私信息、信息发布、后台管理等,不宜降低风险等级。

深圳等保2.0整改建议:

建议应用系统提供登录失败处理功能(如帐户锁定、多重认证等),防止攻击者进行口令暴力破解。


  • 免费售后咨询
  • 协助安装指导
  • 服务器环境配置
  • 网站搬家/复制

声明:请谨记木准企服唯一官方电话:18300003210,请勿轻信其他其他联系方式,一对一入口。如遇诈骗请及时联系我们将配合处理!

原文地址:深圳等保测评遇到的问题(系统登录失败在等保2.0的定义和整改)发布于2023-11-15 15:42:26