中国软件评测中心信息系统安全测评报告

信息系统安全测评报告系统名称：中国电信综合办公(网络版)系统委托单位：甘肃万维信息技术有限责任公司中国软件评测中心中国软件评测中心产品名称/版本项目编号测评委托单位单位名称甘肃万维信息技术有限责任公司隶属省部代码名称所在单位代码名称联系人杨小虎独立科研机构通讯地址553号大专院校生产地点553号国有企业☑股份公司电话/传真集体个体邮政编码其它性质测评单位中国软件评测中心测评地点北京市海淀区紫竹院路66号赛迪大厦12层成果有无密级密级项目日期2013-02-18现场测评日期2013-02-18至2013-03-20测评标准·GB/T20984-2007信息安全技术信息安全·GB/T22239-2008信息安全技术信息系统安全·CSTCQBXAJB014信息系统安全测评规范V1.0测评类型□信息系统安全等级保护测评□信息安全风险评估□源代码安全测试☑信息系统安全测评□信息系统渗透测试测试工具测评人员审核人员批准人员报告编号XA111303103共12页第2页1测评目的 2测评依据 2.1依据标准 3测评范围及对象 3.1系统概述 3.3设备及应用软件 4测评工具 5测评内容 5.2数据安全及备份恢复 7安全建设整改建议 8测试环境 8.2测试工具 1测评目的中国软件评测中心(CSTC)受甘肃万维信息技术有限责任公司的委托，于2013年2月18日至2013年3月20日，依据GB/T20984-2007《信息安全技术信息安全风险评估规范》、息系统安全测评规范V1.0》以及用户安全需求，在甘肃万维信息技术有限责任公司的测试环境中采用访谈、安全措施检查及验证方式对甘肃万维信息技术有限责任公司开发的“中国电信综合办公(网络版)系统V2.0"进行了应用安全和数据安全两个方面的安全测评，根据●GB/T20984-2007信息安全技术信息安全风险评估规范●GB/T22239-2008信息安全技术信息系统安全等级保护基本要求OWASPOpenWebApplicationSecurityProje●中国电信综合办公(网络版)产品说明书V1.0本次测评在测试环境中进行，安全测试范围包括应用安全和数●应用软件(中国电信综合办公(网络版)系统V2.0)“中国电信综合办公(网络版)系统V2.0”可在电子公文审批、内部邮件收发、日常办公管理等方面为用户提供一种信息化和现代化的办公方式。该系统包括以下功能模块：短信系统采用JAVA语言开发，基于B/S架构，服务器端采用Linux5.8操作系统和Oracle“中国电信综合办公(网络版)系统V2.0”部署在甘肃万维信息技术有限责任公司机房的测试环境中。本次测评涉及的网络拓扑如下图所示。测试客户端“中国电信综合办公(网络版)系统V2.0”测试环境网络拓扑图设备序号设备编号设备/软件名称说明1提供应用服务和数据库服务2交换机连接测试客户端和测试服务器3中国电信综合办公(网络版)系统V2.0在电子公文审批、内部邮件收发、日常办公管理等方面为用户提供一种信息化和现代化的办公方式4测试客户端测试终端工具类型名称版本号表格工具《安全测评检查表》《安全测评测试表》网络嗅探工具序号工作单元测评内容及说明测评结果身份鉴别·访谈应用系统管理员，询问应用系统是否提供专用的登录控制模块对登录的用户进行身份标识和鉴别，具体措施有哪些；系统采取何种措施防止身份鉴别信息被冒用·访谈应用系统管理员，询问应用系统是否具有登录失败处理功能(ID:ZHBGAQ0002)·访谈应用系统管理员，询问应用系统的用户标识是否具有唯一性(ID:ZHBGAQ0003)·检查关键应用系统，查看其是否配备身份标识和鉴别功能；查看其身份鉴别信息是否具有不易被冒用的特点；其鉴别信息复杂度检查功能是否能保证系统中不存在弱口令等·检查关键应用系统，查看其提供的登录失败处理功能，是否根据安全策略配置了相关参数·系统提供了专用的登录控制模块对登录的用户进行身份标识和鉴别，采用用户名+口令的方式进行身份鉴别·修改后系统提供验证码模块·修改后系统配置登录失败处理功能，用户连续3次输入错误口令后账户被锁定，30分钟以后才可解锁·应用系统用户标识具有唯一性·修改后系统具有用户口令复杂度限制，用户口令需由字母、数字和特殊字符中的两种组成，长度至少6位(ZHBGWT0003)·修改后系统配置登录失败处理功能，用户连续3次输入错误口令后账户被锁定，30分钟以后才可解锁中国软件评测中心中国软件评测中心序号工作单元测评内容及说明测评结果身份鉴别·测试关键应用系统，通过试图以合法和非法用户分别登录系统，查看是否成功，验证其身份标识和鉴别功能是否有效·测试关键应用系统，验证其登录失败处理功能是否有效系统身份标识和鉴别功能有效，非法用户不能登录系统·修改后系统配置登录失败处理功能，用户连续3次输入错误口令后账户被锁定，30分钟以后才可解锁访问控制·访谈应用系统管理员，询问应用系统是否提供访问控制措施，具体措施和访问控制策略有哪些，·检查关键的应用系统，查看系统是否提供访问控制机制；是否依据安全策略控制用户对客体的访问(ID:ZHBGAQ0009)·检查关键应用系统，查看其访问控制的覆盖范围是否包括与信息安全直接相关的主体、客体及它们之间的操作；访问控制的粒度是否达到主体为用户级，客体为文件、数据库表级·检查关键应用系统，查看其是否有由授权用户设置其它用户访问系统功能和用户数据的权限的功能，是否限制默认用户的访问权限(ID:ZHBGAQ0011)·系统提供访问控制措施，系统根据用户角色对用户授予权限，访问控制粒度主体为用户级，客体为页面级系统提供访问控制措施，系统根据用户角色对用户授予权限系统访问控制的覆盖范围包括所有用户及页面，自主访问控制的粒度达到主体为用户级，客体为页面级系统有由授权用户设置其它用户访问系统功能和用户数据的权限的功能*系统初始化后存在默认超级管理员用户，且其口令为默认口令 中国软件评测中心中国软件评测中心序号工作单元测评内容及说明测评结果访问控制·测试关键应用系统，以默认用广登录系统进行合法和非法操作，验证系统是否严格地限制了默认用户的访问权限(ID:ZHBGAQ0012)系统初始化后存在默认超级管理员用户，且其口令为默认口令安全审计·访谈安全审计员，询问应用系统是否有安全审计功能；对事件进行审计的选择要求和策略是什么；对审计日志的处理方式有哪些(ID:ZHBGAQ0013)·检查关键应用系统，查看其当前审计范围是否覆盖到每个用户·检查关键应用系统，查看其审计策略是否覆盖系统内重要的安全相关事件，例如，用户标识与鉴别、访问控制的所有操作记录、重要用户行为、重要系统命令的使用等·检查关键应用系统，查看其审计记录内容是否包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、事件成功或失败、身份鉴别事件中请求的来源、事件的结果等内容覆盖用户登入登出、用户操作等事件；日志存储在服务器的数据库中系统审计范围覆盖到每个用户·系统审计策略覆盖了系统内重要的安全相关事件，如用户登入登出、用户操作记录、重要用户行为等·修改后系统记录失败的用户登录事件(ZHBGWT0005)·系统审计记录信息包括事件发生的日期与时间、操作用户、用户的IP地址、操作等内容中国软件评测中心中国软件评测中心序号工作单元测评内容及说明测评结果安全审计·测试关键应用系统，在应用系统上试图产生一些重要的安全相关事件(如用户登录、修改用户权限等),查看应用系统是否对其进行了审计，验证应用系统安全审计的覆盖情况是否覆盖到每个用户；如果进行了审计则查看审计记录内容是否包含事件的日期、时间、发起者信息、类型、描述和结果等·测试关键应用系统，试图非授权删除、修改或覆盖审计记录，验证安全审计的保护情况，是否无法非授权删除、修改或覆盖审计记录(ID:ZHBGAO0018)·系统对安全相关事件进行了审计，审计覆盖到每个用户，审计记录内容包含事件的日期、事·系统安全审计的保护情况与要求一致，无法非授权删除、修改或覆盖审计记录通信完整性·访谈安全管理员，询问应用系统是否具有数据在传输过程中保证其完整性的措施，具体措施是什么(ID:ZHBGAQ0019)有关于保护通信完整性的说明，如果有则查看文档中描述的保护措施是否与依据验证码判断对方数据包的有效性的措施相一致(ID:ZHBGAQ0020)·测试关键应用系统，通过获取通信双方数据包，查看其是否有验证码(ID:ZHBGAQ0021)·修改后系统采用Https协议保证通信完整性(ZHBGWT0006)·修改后系统采用Https协议保证通信完整性(ZHBGWT0006)·修改后系统采用Https协议保证通信完整性(ZHBGWT0006)软件容错·访谈应用系统管理员，询问应用系统是否具有保证软件容错能力的措施，具体措施有哪些·系统对用户输入的长度进行了限制，最多可以输入100个字符中国软件评测中心中国软件评测中心序号工作单元测评内容及说明测评结果软件容错·测试关键应用系统，验证其在故障发生时是否继续提供一部分功能，确保能够实施必要的措施(ID:ZHBGA00023)系统能按照操作的序列进行正确的回退，能在故障发生时继续提供一部分功能资源控制·检查关键应用系统，查看系统是否对单个账户的多重并发会话进行限制(ID:ZHBGAQ0024)·检查关键应用系统，当应用系统的通信双方中的一方在一段时间内未作任何响应，查看另一方能否自动结束会话登录进行限制*系统未配置超时自动退出功能5.2数据安全及备份恢复序号工作单元测评内容及说明测评结果数据完整性·访谈安全管理员，询问应用系统是否具有鉴别信息和重要业务数据在传输过程中保证其完整性的措施，具体措施是什么(ID:ZHBGAQ0026)·修改后系统采用Https协议保证通信完整性(ZHBGWT009)数据保密性·访谈安全管理员，询问应用系统数据是否采用加密或其他保护措施实现鉴别信息的存储保密性(ID:ZHBGAQ0027)·应用系统将用户鉴别信息的MD5值存储于数据库中以实现鉴别信息的存储保密性备份和恢复·访谈系统管理员，询问系统是否能够对重要信息进行备份和恢复(ID:ZHBGAQ0028)·每天对数据库中的数据进行全中国软件评测中心二〇一三年三月二十日中国软件评测中心二〇一三年三月二十日报告编号XA₁报告编号XA₁11303103共12页第10页6测评结论中国软件评测中心(CSTC)受甘肃万维信息技术有限责任公司的委托，于2013年2月18日至2013年3月20日，依据GB/T20984-2007《信息安全技术信息安全风险评估规范》、证方式对甘肃万维信息技术有限责任公司开发的“中国电信综合办公(网络版)系统V2.0”系统总体说明。“中国电信综合办公(网络版)系统V2.0”可在电子公文审批、内部邮对用户口令有复杂度要求，有登录失败处理功能；系统访问控制功能有效，限制了非法用户的访问权限，可根据用户角色控制用户访问的页面；系统有安全审计功能，审计策略覆盖用通过在测试环境中对“中国电信综合办公(网络版)系统V2.0”进行应用安全和数据安全测试，得出如下结论：修改后“中国电信综合办公(网络版)系统V2.0”应用安全防护措中国软件评测中心报告编号XA111303103共12页第11页中国软件评测中心针对“中国电信综合办公(网络版)系统V2.0”的安全测评发现的问题，建议根据实际情况从以下几个方面对系统进行普查和整改，采取积极的防范措施，进一步提高系统信息安序号问题说明风险修复建议应用安全1系统初始化后存在默认超级管理员用户，且其口令为默认口令中建议投入生产运行前删除默认用户，且在手册或其