应用安全测评指导书.doc

应用安全测评指导书 应用系统安全测评 序号 测评指标 测评项 检查方法 预期结果 1 身份鉴别 a)检查应用系统的身份标识与鉴别功能设置和使用配置情况； 检查应用系统对用户登录各种情况的处理，如登录失败处理、登录连接超时等。 访谈: 1)访谈应用系统管理员，询问应用系统的身份标识和鉴别机制采用何种措施实现； 2)登录应用系统，查看是否提示输入用户口令，然后以正确口令登录系统，再以错误口令或空口令重新登录，观察是否成功。 1)应用系统使用口令鉴别机制对用户进行身份标识和鉴别； 2)登录时提示输入用户名和口令；以错误口令或空口令登录时提示登录失败，验证了登录控制功能的有效性； 3)应用系统不存在密码为空的用户。 b)检查应用系统的身份标识与鉴别功能设置和使用配置情况； 检查应用系统对用户登录各种情况的处理，如登录失败处理、登录连接超时等。 访谈: 1）访谈应用系统管理员，询问应用系统是否采用了两种及两种以上身份鉴别技术的组合来进行身份鉴别（如采用用户名/口令、挑战应答、动态口令、物理设备、生物识别技术中的任意两种组合）； 手工检查： 1）通过注册用户，并以一种身份鉴别技术登录，验证是否可以登录。 用户的认证方式选择两种或两种以上组合的鉴别技术，只用一种技术无法认证成功。 c)检查应用系统的身份标识与鉴别功能设置和使用配置情况； 检查应用系统对用户登录各种情况的处理，如登录失败处理、登录连接超时等。 访谈： 1）访谈应用系统管理员，询问应用系统采取何种措施防止身份鉴别信息被冒用（如复杂性混有大、小写字母、数字和特殊字符，口令周期等）； 手工检查： 1）以弱口令用户注册，验证其用户是否注册成功。 1)应用系统配备身份标识（如建立帐号）和鉴别（如口令等）功能；其身份鉴别信息具有不易被冒用的特点，规定字符混有大、小写字母、数字和特殊字符）； 2)以不符合复杂度要求和不符合长度要求的口令创建用户时均提示失败。 d)检查应用系统的身份标识与鉴别功能设置和使用配置情况； 检查应用系统对用户登录各种情况的处理，如登录失败处理、登录连接超时等。 访谈： 1）访谈应用系统管理员，询问应用系统是否配备并使用登录失败处理功能（如登录失败次数超过设定值，系统自动退出等），查看是否启用配置； 手工检查： 1）应测试主要应用系统，验证其登录失败处理，非法登录次数限制等功能是否有效； 1)应用系统已启用登陆失败处理、结束会话、限制非法登录次数等措施； 2)当超过系统规定的非法登陆次数登录操作系统时，系统锁定或自动断开连接； e)检查应用系统的身份标识与鉴别功能设置和使用配置情况； 检查应用系统对用户登录各种情况的处理，如登录失败处理、登录连接超时等。 访谈: 1）访谈应用系统管理员，询问应用系统对用户标识在整个生命周期内是否具有唯一性（如UID、用户名或其他信息在系统中是唯一的，用该标识在整个生命周期内能唯一识别该用户）； 手工检查： 1）通过删除一个用户再重新注册相同标识的用户，查看能否成功，验证身份标识在整个生命周期内是否具有唯一性； 1)添加测试账户不会成功； 2)系统不存在多人共用一个账户的情况。 2 访问控制 a)检查应用系统的访问控制功能设置情况，如访问控制的策略、访问控制粒度、权限设置情况等。 访谈： 1）访谈应用系统管理员，询问应用系统是否提供访问控制措施，具体措施有哪些，自主访问控制的粒度如何； 手工检查： 1）应检查主要应用系统，查看系统是否提供访问控制机制；是否依据安全策略控制用户对客体（如文件和数据库中的数据）的访问； 应用系统提供访问控制功能模块，其功能控制用户对文件、数据库表等访问。 b)检查应用系统的访问控制功能设置情况，如访问控制的策略、访问控制粒度、权限设置情况等。 访谈： 1）访谈应用系统管理员，询问应用系统的访问控制功能模块是否根据实际环境设置安全策略； 手工检查： 1）应测试主要应用系统，可通过用不同权限的用户登录，查看其权限是否受到应用系统的限制。 应用系统的重要文件及目录已根据用户级别设置了访问控制策略。 c)检查应用系统的访问控制功能设置情况，如访问控制的策略、访问控制粒度、权限设置情况等。 访谈： 1）访谈应用系统管理员，询问应用系统是否有对授权主体进行系统功能操作和对数据访问权限进行设置的功能，是否限制了默认用户的访问权限； 手工检查： 1）应测试主要应用系统，可通过用默认用户（默认密码）登录，并用该用户进行操作（包括合法、非法操作），验证系统对默认用户访问权限的限制是否有效； 应用系统限制授权用户对系统功能的操作和数据访问权限设置，并严格限制默认帐户的访问权限。 d)检查应用系统的访问控制功能设置情况，如访问控制的策略、访问控制粒度、权限设置情况等。 访谈： 访谈应用系统管理员，询问应用系统特权用户的权限是否分