二级等保应用检查项.docxVIP

二级等保应用安全现场检查项整理 说明 文档基于《财政信息化项目管理系统》现场检查内容进行整理，不能代表其他系统的现场检查。 检查过程 检查组一人到现场基于《二级等保检查项》模板对建设方进行提问，提问内容基本不会偏离模板内容。 注意：对于容易展现的检查项，检查组可能会要求建设方进行现场操作演示，因此对于一些容易重现的问题应尽量不要以欺瞒的方式回答。举例说明：“用户密码是否以加密方式存储”，可以通过查询数据直观的体现出来，属于容易重现的检查项；而“系统传输过程中是否对数据进行加密”，验证这个问题则需要通过开发环境进行体现，属于不易重现的检查项，对于此类检查项，检查组人员一般不会要求通过系统进行重现。 身份鉴别 应提供专用的登录控制模块对登录用户进行身份标识和鉴别； 检查系统是否有登录环节。（一般系统都会有登录环节，不需关心） 应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用； 检查登录时信息是否能够唯一标示一个用户。（一般系统都有此限制，不需关心） 检查密码的复杂度。（二级等保要求密码长度为8位，并以数字+字母组合） 应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施； 检查是否有多次登录失败的处理机制。（一般都是通过增加登录失败计数器机制实现登录失败处理（每次登录失败后计数器+1，当计数器达到一定数值时进行失败处理，当用户登录成功后计数器清零），目前主流的处理方式有两种：一是锁定用户，需要管理员进行解锁后才可再次使用；二是限制登录时间，比如10分钟后才可再次尝试登录） 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数。 检查是否可以绕过登录模块进入系统（直接在URL中录入某功能的页面URL）。（一般情况下业务系统都会以登录人的信息来取得相应的业务功能和业务数据，因此大多数情况下不登录是无法正常使用系统功能的。当然，有一个统一的检查逻辑是最好的，常见的处理手段为检查session中是否有用户登录信息，如无则跳转到错误处理逻辑） 访问控制 应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问； 检查是否有可越权访问情形；（本次检查时检查人员仅提问了登录后用户能不能访问不该其使用的功能，我们回复每个用户都有功能权限，在登录后会根据功能权限仅展示用户有权限使用的功能。） 个人理解：该项应该是检查用户是否能够在系统中通过非常规手段获取到用户受权以外的信息。 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作； 检查系统能否根据访问控制规则正确实施对资源的控制；（未提问，个人理解为系统功能、数据权限是否能够正常工作） 检查访问控制主体、客体；（未提问，个人理解，控制主体应为具体操作者，本系统中控制主体为用户；客体为主体能够操控的内容，本系统中客体对应系统功能、业务数据） 检查访问控制功能是否能够覆盖范围包括与资源访问相关的主体、客体及它们之间的操作；（个人理解，与之前的检查项相同，是对系统权限的严谨性进行检查，比如能否通过URL的方式直接访问无权限的功能） 应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限； 检查实际授权与权限策略是否一致，无法进行越权操作；（个人理解，同样是对权限模板的正确性进行检查） 检查系统是否存在权限不受限制的超级管理员，系统不应该存在不受限的超管；（个人理解，该超级管理员与我们所理解的管理员不太一样，该超级管理员应指的是不受功能、数据权限约束的账号；而目前大多系统中管理员都是受到功能、数据权限约束，除了配给的功能和数据权限较大之外，其本质与一般用户并无差别） 应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。 检查系统管理模式是否符合三员管理；（三员管理指将系统管理员的日常管理功能进行拆分；其中：系统管理员主要负责系统的日常运维工作，配给功能包含在系统运行情况监控、用户管理、系统备份恢复等功能；安全管理员：主要负责系统的日常安全管理工作，配给功能包含在资源分配、权限管理等功能；审计员：主要负责根据日志对管理员的操作行为进行审订跟踪、分配和监督检查，配给功能包含在日志查询、分析等功能。） 安全审计 应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计； 检查系统日志管理功能是否涵盖了系统重要业务；（要求日志应记录在数据库中，且除重要业务操作外，对于登录、用户的调整、授权的变更也需要记录） 应保证无法删除、修改或覆盖审计记录； 检查操作记录是否数据库存储，并且是否不能通过应用系统删除、修改和覆盖操作日志；（要求日志应记录在数据库中，且不能通过系统功能对日志进行