四、 应用安全测评

和数据库、操作系统等成熟产品不同，应用系统现场测评除检查安全配置外，还需验证其安全功能是否正确。应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用。应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问。应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计。应提供服务优先级设定功能,并在安装后根据安全策略设定访问账户或请求进程的优先级，根据优先级分配系统资源。应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备 ......