等保测评2.0：应用身份鉴别（下）技术文档 1. 说明 本文档针对网络安全等级保护2.0标准中应用系统的身份鉴别控制点（测评项b、c、d）进行技术解析，涵盖功能实现、高风险判定及补偿措施，适用于B/S架构应用系统。 2. 测评项概述 b项 ：登录失败处理功能（会话终止、登录限制、超时退出）。 c项 ：远程管理时鉴别信息防窃听（传输加密）。 d项 ：双因素认证（至少一种为密码技术）。 3. 测评项b：登录失败处理 3.1 登录失败锁定策略 实现方式 ： 连续登录失败N次后锁定账户（永久/临时锁定）。 前端提示（如“账户已锁定，请联系管理员”）。 取证方法 ： 检查系统配置页面（如锁定阈值、锁定时间）。 实际测试（需获得授权，避免影响生产环境）。 3.2 会话超时退出 验证方法 ： 检查配置文件（如 web.config 中的 sessionTimeout ）。 实操测试：登录后静置超时时间，验证是否自动注销。 4. 测评项c：鉴别信息防窃听 4.1 高风险场景 判定条件 ：3级及以上系统未加密传输口令或等效鉴别信息。 4.2 技术实现 HTTPS协议 ： 全站强制HTTPS，禁用HTTP访问（防止降级攻击）。 前端加密传输 ： MD5哈希 ：传输口令哈希值（需结合盐值防重放）。 加盐哈希 ：如 MD5(MD5(password) + salt) ，后端同步计算验证。 其他方案 ： 时间戳（timestamp）或一次性令牌（nonce）防重放。 4.3 注意事项 仅传输哈希值且数据库存哈希时，仍视为泄露鉴别信息（哈希等效口令）。 5. 测评项d：双因素认证 5.1 合规组合 密码技术+其他 ： 口令 + 动态令牌（如Google Authenticator）。 口令 + 数字证书/加密狗。 生物识别+密码技术 ：指纹/人脸 + 短信验证码（需后端密码技术支撑）。 5.2 高风险判定 3级系统 ：互联网访问且无双因素 → 高风险。 例外修正 ： 内网系统或IP白名单限制。 强口令策略（如长度≥12位，含特殊字符）。 5.3 常见方案示例 Google Authenticator ：基于时间同步的OTP（30秒刷新）。 加密狗/USB Key ：硬件存储密钥，不可复制。 6. 高风险判定与报告撰写 6.1 判定逻辑 直接降级 ：满足补偿条件（如物理可控）→ 中风险。 需说明的修正 ：涉及层面间关联（如网络+物理）→ 在整体测评中描述。 6.2 报告示例 测评项记录 ： “未限制非法登录次数，但系统部署于物理隔离环境，判定为中风险。” 整体测评 ： “通过物理访问控制补偿了网络层身份鉴别缺陷。” 7. 附录：关键证据链 配置截图 ：登录失败锁定、超时设置。 抓包数据 ：HTTPS或加密字段传输证明。 双因素界面 ：如OTP输入框、生物识别选项。 注 ：实际测评需结合系统架构和授权范围，避免未授权测试引发风险。