发布时间 : 星期一 文章应用安全 - 应用测评指导书 - 三级 - 1.0版 - 模板更新完毕开始阅读acdf312f846a561252d380eb6294dd88d1d23dee
天融信信息安全等保中心
序号 类别 测评项 手工检查: 测评实施 1)以弱口令用户注册,验证其用户是否注册成功。 访谈: 1)访谈应用系统管理员,询问应用系统是否配备并使用登录失败处理功能(如登录失预期结果 2)以不符合复杂度要求和不符合长度要求的口令创建用户时均提示失败。 符合情况 1)应用系统已启用登陆失败处理、结束会话、限制非法登录次数等措施; 2)当超过系统规定的非法登陆次数登录操作系统时,系统锁定或自动断开连接; d) 应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施; 败次数超过设定值,系统自动退出等),查看是否启用配置; 手工检查: 1)应测试主要应用系统,验证其登录失败访谈: 1)访谈应用系统管理员,询问应用系统对用户标识在整个生命周期内是否具有唯一性(如UID、用户名或其他信息在系统中是唯一的,用该标识在整个生命周期内能唯一识别该用户); 手工检查: 1)通过删除一个用户再重新注册相同标识的用户,查看能否成功,验证身份标识在整个生命周期内是否具有唯一性; 处理,非法登录次数限制等功能是否有效; e) 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。 1)添加测试账户不会成功; 2)系统不存在多人共用一个账户的情况。 天融信信息安全等保中心
序号 类别 测评项 访谈: 测评实施 1)访谈应用系统管理员,询问应用系统是否提供访问控制措施,具体措施有哪些,自主访问控制的粒度如何; 手工检查: 1)应检查主要应用系统,查看系统是否提供访问控制机制;是否依据安全策略控制用户对客体(如文件和数据库中的数据)的访问; 访谈: 预期结果 符合情况 a) 应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问; 应用系统提供访问控制功能模块,其功能控制用户对文件、数据库表等访问。 2 访问控制 b) 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作; 1)访谈应用系统管理员,询问应用系统的访问控制功能模块是否根据实际环境设置安全策略; 手工检查: 1)应测试主要应用系统,可通过用不同权限的用户登录,查看其权限是否受到应用系统的限制。 访谈: 1)访谈应用系统管理员,询问应用系统是c) 应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限; 否有对授权主体进行系统功能操作和对数据访问权限进行设置的功能,是否限制了默认用户的访问权限; 手工检查: 应用系统限制授权用户对系统功能的操作和数据访问权限设置,并严格限制默认帐户的访问权限。 应用系统的重要文件及目录已根据用户级别设置了访问控制策略。 天融信信息安全等保中心
序号 类别 测评项 测评实施 1)应测试主要应用系统,可通过用默认用户(默认密码)登录,并用该用户进行操作(包括合法、非法操作),验证系统对默认用户访问权限的限制是否有效; 访谈: 访谈应用系统管理员,询问应用系统特权用户的权限是否分离(如将系统管理员、安全员和审计员的权限分离),权限之间是否相互制约(如系统管理员、安全管理员等不能对审计日志进行管理,安全审计员不能管理审计功能的开启、关闭、删除等重要事件的审计日志等); 访谈: 访谈应用系统管理员,询问应用系统是否能对重要信息资源和访问重要信息资源的所有主体设置敏感标记,这些敏感标记是否构成多级安全模型的属性库,主体和客体的敏感标记是否以默认方式生成或由安全员建立、维护和管理;查看操作系统功能手册或相关文档,确认应用系统是否具备能对信息资源设置敏感标记功能; 预期结果 符合情况 系统管理员、安全管理员、安全审计员由不同的人员和用户担当。至少应该有系统管理员和安全管理员,安全审计员在有第三方审计工具时可以不要求。 d) 应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。 e) 应具有对重要信息资源设置敏感标记的功能; 应用系统对重要信息资源已设置敏感标记。 天融信信息安全等保中心
序号 类别 测评项 访谈: f) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。 测评实施 访谈应用系统管理员,询问应用系统的强制访问控制是否与用户身份鉴别、标识等安全功能密切配合,并且控制粒度达到主体为用户级,客体为文件和数据库表级; 访谈: 访谈安全审计员,询问应用系统是否有安全审计功能,对事件进行审计的选择要求和策略是什么,对审计日志的保护措施有哪些;查看其当前审计范围是否覆盖到每个用户; 访谈: 预期结果 通过敏感标记设定用户对重要信息资源的访问。 符合情况 a) 应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计; 系统开启了安全审计功能或部署了第三方安全审计设备。 3 安全审计 b) 应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录; 访谈安全审计员,审计记录监控和保护采取的措施。例如:通过专用日志服务器或存储设备对审计记录进行备份,并避免对审计记录的修改、删除或覆盖。 访谈: 访谈安全审计员,审计记录信息是否包括事通过专用日志服务器或存储设备对审计记录进行备份,并避免对审计记录的修改、删除或覆盖。 c) 审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等; 件发生的日期与时间、触发事件的主体与客体、事件的类型、事件成功或失败、身份鉴别事件中请求的来源(如末端标识符)、事件的结果等内容; 审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等内容。