等级保护测评-应用安全.docxVIP

应用系统安全测评指导书 应用系统安全测评 序号 测评指标 测评项 检测方法 预期结果 备注说明 1 身份鉴别 身份标识唯一性 访谈： 功能是否满足、检查设计文档、口令安全要求、功能验证、系统扫描 用户名不存在共用 身份标识和鉴别 访谈： 专门的登陆控制模块进行身份鉴别 手工检查： 1.查看登陆控制模块 2.验证登陆控制模块功能是否正确。 1.认证方式应该为混合认证方式 2.本身操作系统用户也必须输入密码才能登陆。 身份鉴别信息不易被冒用 访谈： 1.是否有专门的模块或选项，是否有相关参数需要配置 2.功能验证。 口令的长度、复杂度、更新周期等做了相关要求 组合身份鉴别技术 访谈 1.功能是否满足，实际验证。 采用了其他身份鉴别方式，并能现场演示。 登录失败处理功能 访谈： 1.登录失败处理的功能(如结束会话、限制非法登陆次数，当连接超时，自动退出等)，查看是否启用配置。 2.应根据应用系统使用的登录失败处理方式，采用如下测试方法之一或全部进行测试： a.以错误的用户名或密码登录系统查看系统的反应 b.以超过系统规定的非法登录次数登陆系统查看系统的反应 c.当登陆系统连接超时查看系统的反应。 数据库采用了失败鉴别和超时设置。 2 访问控制 功能开启 访谈： 1.是否有访问控制功能，访问控制策略是什么，访问控制的粒度是否达到文件、数据库表； 2.验证； 3.依据和不依据安全策略分别对客体进行访问，测试是否成功。 启用访问控制功能 覆盖范围：主体、客体、操作 访谈： 控制策略是否满足 不同角色的权限定义清晰 授权的主体 访谈： 1.是否有访问控制策略配置功能，以该授权主体身份登录系统，进行验证 2.以不具有修改访问控制策略权限的用户登录系统，试图修改访问控制策略，查看是否成功 3.系统是否有默认用户，是否限制了默认用户的访问权限 4.测试应用系统是对默认账户合法/非法操作进行限制。 不同角色的权限定义清晰 特权用户权限分离 访谈： 1.功能是否满足，系统是否有配置，并测试。 特权用户对应于不同的管理员。 最小授权原则，且相互制约 访谈： 1.最小授权、相互制约 2.用户职责分配的权限是否与其职责相符 3.不同账户的权限是否分离并形成制约关系 4.测试越权访问，能否成功。 每个登陆用户的权限未超出该管理员的职责范围。 限制默认用户访问权限 访谈： 1.功能是否满足，系统是否有配置，并测试。 默认用户无访问权限 重要主体设置敏感标记 访谈： 1.功能是否满足并验证。 设置敏感标记 控制对有敏感标记的资源操作 访谈： 1.系统管理员是否依据安全策略对目标系统进行了正确的配置 2.进行验证。 符合权限分配要求 3 安全审计 覆盖范围：每一个用户 访谈： 1.询问安全审计员，审记策略是什么； 2.检查应用系统的审记策略，查看审记策略是否覆盖到每个用户，是否对系统异常等事件进行审计 3.确认审计功能是否全面、详细。 1.审计功能已开启，且每个注册的“审核级别”为“全部”； 2.审计功能的日志记录功能正常； 3.如有第三方措施增强审计功能，进行记录。 审计记录：重要用户行为、系统资源的异常使用和重要系统命令的使用 访谈： 1.功能是否满足，系统是否有配置，并测试。 安全事件记录：日期和时间、类型、主体标识、客体标识、事件的结果等 访谈 1.以审计员身份登录系统，检查审计记录内容是否包括事件发生的日期、时间、发起者信息、事件类型、事件相关描述信息、事件的结果等内容。 具有审计记录 审计报表 访谈： 1.检查应用系统是否提供专门的审计工具 2.应用系统审计报表功能 具有审计报表 特定事件，实时报警 访谈： 1.功能是否满足，系统是否有配置，并测试。 具有报警功能 审计记录保护 访谈： 1.询问应用系统审计方式，测试审计功能健壮性 2.验证审计功能 3.审计记录恢复功能。 4 剩余信息 保护 彻底清除用户鉴别信息 访谈：措施是否具备 彻底清除系统敏感信息 访谈：1.措施是否具备，并测试 5 通信完整性 采用校验码技术 访谈 1.可通过Hash函数（如MD5、SHA和MAC）对完整性进行校验，但不能使用CRC。 2.功能是否满足，查看设计文档，设计测试用例并测试。 具有完整性校验 6 通信保密性 自动结束会话 访谈 1.询问系统管理员，了解通信保密性方面采取的措施。 2.可通过抓包工具（如Sniffer pro）获取通信双方的内容，查看系统是否对通信双方的内容进行了加密。 设置通信保密性 会话初始化验证 整个报文、会话过程加密 密码算法合规 访谈 1.功能是否满足，查看设计文档。 符合规定