A9 访问控制（识别，验证，授权，审计）

  9.1 访问控制的业务要求

      9.1.1 访问控制策略

      9.1.2 网络和网络服务的访问

  9.2 用户访问管理

     9.2.1 用户注册及注销

     9.2.2 用户访问开通

           xx员，领导（数据加密，日志审核）

     9.2.3 特殊访问权限管理

     9.2.4 用户秘密鉴别信息管理（即身份的验证）

           通过密码（口令策略->应用技术手段去控制）、一次性口令等

     9.2.5 用户访问权限的复查

     9.2.6 撤销或调整访问权限

  9.3 用户职责

     9.3.1 使用安全的鉴别信息

  9.4 系统和应用访问控制

     9.4.1 信息访问限制

     9.4.2 安全登录规程

              验证码防止暴力破解

     9.4.3 口令管理系统

     9.4.4 特殊权限实用工具软件的使用

     9.4.5 对程序源代码的访问控制

            （哈希）

10 密码学

10.1 密码控制

     10.1.1 使用密码控制的策略

     10.1.2 密钥管理

字幕“预登录”应为域登录

访问控制：识别-认证-授权-审计