公司信息系统应用安全测评方案

公司信息系统应用安全测评方案

应用安全控制测评

域测评项测评测评对象测评实施

方式

a）应用系统提供专

用的登录控制模块

对登录的用户进行

身份标识和鉴别：a）应访谈应用系统管理员，询问应用系统是否采取

b）应用系统登录控身份标识和鉴别措施，具体措施有哪些；系统采取

制模块对同一用户何种措施防止身份鉴别信息被冒用（如复杂性混有

采用两种或两种以大、小写字母、数字和特殊字符，口令周期等）：

上组合的鉴别技术b）应访谈应用系统管理员，询问应用系统是否具有

实现用户身份鉴别：登录失败处理的功能，是如何进行处理的：

c）应用系统提供重c）应检查设计/验收文档，查看文档中是否有系统

复用户身份标识检采取了唯一标识（如用户名、UID或其他属生）的

查和鉴别信息夏杂说明；

度检查功能，保证应d）应检查操作规程和操作记录，查看其处否有身份

用系统中不存在重标识和鉴别的操作规程、审批记录和操作记录；

复用户身份标识，身a）应用系统管e）应检查主要应用系统，查看其是否采用了两个及

份鉴别信息不易被理员两个以上身份鉴别技术的组合来进行身份鉴别（如

身冒用，例如采用口令b）主要应用系采用用户名/口令、挑战应答、动态口令、物理设备、

访谈

份作为鉴别信息的系统生物识别技术中的任意两个组合）：

检查

鉴统，其鉴别信息复杂c）设计/验收文f）应检查主要应用系统，查看其是否配备了身份标

测试

别度检杳功能保讦系档识（如建立账号）和鉴别（如口令等）功能：杳看

统中不存在弱口令d）操作规程和其身份鉴别信息是否具有不易被冒用的特点，例如

等：操作记录复杂性（如规定字符应混有大、小写字母、数字和

d）应用系统提供登特殊字符》或为了便于记忆使用了令牌，是否配备

录失败处理功能，鉴别信息复杂度检查功能，保证系统中不存在弱口

如：结束会话、限制令；

非法登录次数，当登g）应检查主要应用系统，查看其是否使用并配置了

录连接超时，自动退登录失败处理功能（如登录失败次数超过设定值，

出等：系统自动退出等）；

c）应用软件安装后h）应测试主要应用系统，可通过以某注册用尸身份

应启用身份鉴别、市登录系统，筐看登录是否成功，验证其身份标识和

复用户身份标识检鉴别功能是否有效；

查、用户身份鉴别信i）应测试主要应用系统，验证其登录失败处理功能

息复杂度检查以及是否有效，

登录失败处理功能，

并根据安全策略配

置相关参数。

访a）应用系统提供自访谈a）应用系统管a）应访谈应用系统管理员，询问业务系统是否提供

问上访问控制功能，能检查理员访问控制措施，具体措施有哪些，自上访问拦制的

控够依据安全策略控测试b）主要应用系粒度如何；

制制用户对文件、数据统b）应检查主要应用系统，查看系统是否提供访问控

库表等客体的访问：制机制；歪否依据安全策略控制用户对客体（如文

b）自主访问控制的件和数据库中的数据）的访问：

覆盖范围包括与信c）应检查主要应用系统，查看其自主访问控制的覆

息安全直接相关的盖范围是否包括与信息安全直接相关的主体、客体

主体、客体及它们之及它们之间的操作；

间的操作；d）应检查主要应用系统，查看应用系统是否有对授

C）应用系统的访问权主休进行系统功能操作和对数据访问权限进行设

控制策略配置为由置的功能：

授权主体设置用户e）应检/主要应用系统，查看其特权用户的权限是

对系统功能操作和否分离（如将应用系统管理员、安全管理员和审计

对数据访问的权限，员的权限分离），是否只授予不同帐户为完成各自

并严格限制默认帐承担任务所需的最小权限，权限之间是否相互制约

户的访问权限：（如应用系统管理员、安全管理员等不能对审计日

d）应用系统的访问志进行管理，安全审计员不能管理审计功能的开启、

控制策略配置为只关闭、删除等重要事件的审计口志等）：

授予不同帐户为完f）应检方主耍应用系统，龙看其是否有限制默认用

成各自承担任务所户访问权限的功能，并已配置使用；

需的最小权限，并在g）应测试主要应用系统，nJ■通过用不同权限的用户

它们之间形成相互登录，查看其权限是否受到应用系统的限制，验证

制约的关系。系统权限分离功能是否有效；

h）应测试主要应用系统，可通过授权主体设置特定

用户对系统功能进行操作和对数据进行访问的权

限，然后以该用户登录，验证用户权限管理功能是

否有效；

i）应测试主要应用系统，叮通过用默认用户（默认

密码）登录，并用该用户进行操作（包括合法、非

法操作），验证系统对默认用户访问权限的限制是

否有效；

j）应渗透测试主要应用系统，测试自主访问控制的

覆盖范围是否包括与信息安全直接相关的主体、客

体及它们之间的操作（如试图绕过系统访问拦制机

制等操作）。

a）应用系统提供覆a）应访谈安全审计员，询问应用系统是否有女全审

盖到每个用户的安计功能，对事件进行审计的选择要求和策略是什么，

全审计功能，对应用对审计日志的保护措施有哪些；

安系统重要的安全相b）应检查主要应用系统，查看其当前审计范围是否

访谈a）安全审计员

全关事件进行审计，包覆盖到每个用户：

检作b）主要应用系

审括重要用户行为、系c）应检查主要应用系统，查看其审计策略是否没盖

.r.iX统

计统资源的异常使用系统内重要的安全相美事件，例如，用户标识与鉴

和重要系统功能的别、自主访问控制的所有操作记录、重要用户行为、

执行等；系统资源的异常使用、.重要系统命令的使用等；

b）应用系统保证无d）应检查主要应用系统，查看其审计记录信息是否

法单独中断审计进包括事件发生的日期与时间、触发事件的主体与客

程，无法删除、修改体、事件的类型、事件成功或失败、身份鉴别事件

或覆盖审计记录。中请求的来源（如末端标识符）、事件的结果等内

C）应用系统保证审容：

计记录的内容至少e）应检查主要应用系统，查看其是否为授权月户浏

包括事件的日期、时览和分析审计数据提供专门的审计分析功能［如对

间、发起者信息、类审计记录进行查询、统计和分析等），并能根据需

型、描述和结果等：要生成审计报表；

d）应用系统具冬对f）应检查主要应用系统，查看其能否对特定事件指

特定事件提供指定定实时报警方式（如声音、EMAIL、短信等）；

方式的实时报警，对g）应测试主要应用系统，可通过非法终止审计功能

审计记录数据进行或修改其配置，验证审计进程是否受到保护；

统计、查询、分析及h）应测试主要应用系统，在系统上以某个用尸试图

生成审计报表的功产生一些重要的安全相关事件（如鉴别失败等），

能。测试安全审计的覆盖情况和记录情况与要求是否一

致：

i）应测试主要应用系统，在系统上以某个系统用户

试图删除，修改或覆盖审计记录,验证女全审计的

保护情况与要求是否•致。

a）应访谈应用系统管理员，询问系统是否采取措施

保证对存储介质中的残余信息进行删除（无论这些

a）应用系统保证用

信息是存放在硬盘上还是在内存中），具体措施有

户的鉴别信息所在

哪些；

的存储空间，被释放

b）应检查设计/验收文档，查看其是否有关于系统

或再分配给其他用

在释放或再分配鉴别信息所在存储空间给其他用户

户前不会存留剩余

剩a）应用系统管前如何将其进行完全清除（无论这些信息是存放在

信息，无论这些信息

余理员硬盘上坯是在内存中）的描述；

是存放在硬盘上还访谈

信b）设计/验收文c）应检查设计/验收文档，查看其是否有关于释放

是在内存中：检查

息档或重新分配系统内文件、目录和数据库记录等资源

b）应用系统保证系测试

保c）主要应用系所在存储空间给其他用户前进行完全清除的描述；

统内的文件、目录和

护统d）应测试主要应用系统，用某用户登录系统弁进行

数据库记录等资源

操作后，在该用户退出后用另一用户登录，试图操

所在的存储空间，被

作（读取.修改或删除等）其他用户产生的文件、

释放或重新分配给

目录和数据库记录等资源，查看是否成功，验证系

其他用户前不会存

统提供的剩余信息保护功能是否正确（确保系统内

留剩余信息.

的文件、目录和数据库记录等资源所在的存储空间，

被释放或重新分配给其他用户前得到完全清除）。

a）应用系统采用密a）应访谈安全管理员，询问业务系统是否有数据在

通码算法保证通信过a）安全管理员传输过程中进行完整性保护的操作，具体措施是什

信程中数据的完整性,访谈b）设计/验收文么：

完在进行通信时，双方检查档b）应检宜设计/验收文档，查看其是否有通信完整

整根据计算出的通信式c）主要应用系性的说明，如果有则查看其是否有系统是根据校验

性数据报文的报文验统码判断对■方数据包的有效性的描述，用密码/算通

证码判断对方报文信数据报文的报文验证码的描述：

的有效性。c）应测试主要应用系统，可通过获取通信双方的数

据包，查看通信报文是否含有加密的验证码。

a）应访谈安全管理员，询问业务系统数据在通信过

程中是否采取保密措施（如在通信双方建立连接之

a）在通信双方建立

前利用密码技术进行会话初始化验证，在通信过程

连接之前，应用系统

通a）安全管理员中对整个报文或会话过程进行加密等），具体措施

利用密码技术进行

信b）主要应用系有哪些：

会话初始化验证；访谈

保统b）应测试主要应用系统，通过杏看通信双方数据包

b）应用系统对通信测试

密C）相关证明材的内容，查看系统是否能在通信双方建立连接之前，

过程中的整个报文

性料（证书）利用密码技术进行会话初始化验证（如SSL建立加

或会话过程进行加

密通道前是否利用密码技术进行会话初始验正）;

密。

查看系统在通信过程中，对整个报文或会话过程进

行加密的功能是否有效。

a）应用系统具有在

请求的情况下为数

a）应访谈安全员，询问系统是否具有抗抵赖的措

据原发者或接收者

施，具体措施有哪些；

提供数据原发证据

抗a）安全管理员b）应测试主要应用系统，通过双方进行通信，查看

的功能；访谈

抵b）主要应用系系统是否提供在请求的情况下为数据原发者或接收

b）应用系统具有在工」式

赖统者提供数据原发证据的功能：是否提供在请求的情

请求的情况下为数

况下为数据原发者或接收者提供数据接收证据的功

据原发者或接收者

能。

提供数据接收证据

的功能。

a）应用系统提供数

a）应访谈应用系统管理员，询问业务系统是否有保

据有效性检验功能，

证软件具有容错能力的措施（如对人机接口输入或

保证通过人机接口

通过通信接口输入的数据进行有效性检验等），具

输入或通过通信接

体措施有哪些；

软口输入的数据格式a）应用系统管

访谈b）应检查主要应用系统，查看业务系统是否对人机

件或长度符合系统设理员

价”接口输入（如用户界面的数据输入）或通信接口输

容定要求；b）主要应用系

入的数据进行有效性检验：是否在故障发生时能自

错b）应用系统提供自统

动保护当前所有状态；

动保护功能，当故障

c）应测试主要应用系统，可通过输入的不同（如数

发生时，自动保护当

据格式或长度等符合、不符合软件设定的要求），

前所有状态，保证系

验证系统人机接口有效性检验功能是否正确。

统能够进行恢复。

a）当应用系统的通a）应访谈应用系统管理员，询问业务系统是否有资

信双方中的一方在源控制的措施（如对应用系统的最大并发会话连接

一段时间内未作任数进行限制，是否对一个时间段内可能的并发会话

资a）应用系统管

何响应，另一方能够访谈连接数进行限制，对一个访问用户或一个请