安全生產(chǎn)_信息安全等級測評師培訓(xùn)之應(yīng)用系統(tǒng)安全測評

信息安全等級測評師培訓(xùn) 應(yīng)用系統(tǒng)安全測評 內(nèi)容目錄 背景介紹應(yīng)用測評的特點(diǎn)和方法主要測評內(nèi)容結(jié)果整理和分析 應(yīng)用安全的形勢 一 開發(fā)商和用戶對應(yīng)用安全重視程度不夠開發(fā)商安全意識普遍淡薄 開發(fā)中留有安全隱患用戶普遍對應(yīng)用安全不重視 系統(tǒng)上線前把關(guān)不嚴(yán)應(yīng)用系統(tǒng)存在的漏洞較多 3 NIST的報告顯示 超過90 的安全漏洞是應(yīng)用層漏洞 它已經(jīng)遠(yuǎn)遠(yuǎn)超過網(wǎng)絡(luò) 操作系統(tǒng)和瀏覽器的漏洞數(shù)量 這個比例還有上升的趨勢 應(yīng)用安全的形勢 二 針對應(yīng)用系統(tǒng)的攻擊手段越來越多 面臨的威脅在不斷增大針對口令的攻擊 如口令破解等非授權(quán)獲取敏感信息 如信息竊聽 系統(tǒng)管理員非授權(quán)獲取敏感業(yè)務(wù)數(shù)據(jù) 如用戶的密碼等信息 等針對WEB應(yīng)用的攻擊 如跨站腳本攻擊 SQL注入 緩沖區(qū)溢出 拒絕服務(wù)攻擊 改變網(wǎng)頁內(nèi)容等 4 指標(biāo)選取 在 基本要求 中的位置數(shù)據(jù)庫安全是主機(jī)安全的一個部分 數(shù)據(jù)庫的測評指標(biāo)是從 主機(jī)安全 和 數(shù)據(jù)安全及備份恢復(fù) 中根據(jù)數(shù)據(jù)庫的特點(diǎn)映射得到的 應(yīng)用系統(tǒng)的指標(biāo)選取 在 基本要求 中的位置 應(yīng)用安全 的所有指標(biāo) 對于應(yīng)用平臺軟件等則從中選擇部分指標(biāo) 數(shù)據(jù)安全及備份恢復(fù) 中的部分指標(biāo) 對于三級信息系統(tǒng) 在應(yīng)用安全中 主要檢查 數(shù)據(jù)完整性 數(shù)據(jù)保密性 和 備份和恢復(fù) 第一和第二項(xiàng) 應(yīng)結(jié)合管理的要求 如 應(yīng)根據(jù)開發(fā)需求檢測軟件質(zhì)量 應(yīng)要求開發(fā)單位提供軟件源代碼 并審查軟件中可能存在的后門 加強(qiáng)應(yīng)用系統(tǒng)的源代碼安全性 6 內(nèi)容目錄 背景介紹應(yīng)用測評的特點(diǎn)和方法主要測評內(nèi)容結(jié)果整理和分析 應(yīng)用測評的特點(diǎn) 安全功能和配置檢查并重和數(shù)據(jù)庫 操作系統(tǒng)等成熟產(chǎn)品不同 應(yīng)用系統(tǒng)現(xiàn)場測評除檢查安全配置外 還需驗(yàn)證相關(guān)安全功能是否正確應(yīng)用測評中不確定因素較多業(yè)務(wù)和數(shù)據(jù)流程不同 需根據(jù)業(yè)務(wù)和數(shù)據(jù)特點(diǎn)確定范圍應(yīng)用系統(tǒng)安全漏洞發(fā)現(xiàn)困難 很難消除代碼級的安全隱患測評范圍較廣 分析較為困難應(yīng)用系統(tǒng)測評包括應(yīng)用平臺 如IIS等 的測評 且和其他層面關(guān)聯(lián)較大 應(yīng)用測評的方法 1 通過訪談 了解安全措施的實(shí)施情況 9 和其他成熟產(chǎn)品不同 應(yīng)用系統(tǒng)只有在充分了解其部署情況后 才能明確測評的范圍和對象 分析其系統(tǒng)的脆弱性和面臨的主要安全威脅 有針對性的進(jìn)行檢查和測試 右圖是一個手機(jī)支付系統(tǒng)的流程示意圖 通過網(wǎng)頁和手機(jī)可以完成沖值 查詢等業(yè)務(wù) 應(yīng)用測評的方法 2 通過檢查 查看其是否進(jìn)行了正確的配置有的安全功能 如口令長度限制 錯誤登錄嘗試次數(shù)等 需要在應(yīng)用系統(tǒng)上進(jìn)行配置 則查看其是否進(jìn)行了正確的配置 與安全策略是否一致 無需進(jìn)行配置的 則應(yīng)查看其部署情況是否與訪談一致 如果條件允許 需進(jìn)行測試可通過測試驗(yàn)證安全功能是否正確 配置是否生效 代碼級的安全漏洞在現(xiàn)場查驗(yàn)比較困難 則可進(jìn)行漏洞掃描和滲透測試 10 內(nèi)容目錄 背景介紹應(yīng)用測評的特點(diǎn)和方法主要測評內(nèi)容結(jié)果整理和分析 身份鑒別 要求項(xiàng) 一 應(yīng)提供專用的登錄控制模塊對登錄用戶進(jìn)行身份標(biāo)識和鑒別 應(yīng)對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別 應(yīng)提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能 保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識 身份鑒別信息不易被冒用 12 身份鑒別 要求項(xiàng) 二 應(yīng)提供登錄失敗處理功能 可采取結(jié)束會話 限制非法登錄次數(shù)和自動退出等措施 應(yīng)啟用身份鑒別 用戶身份標(biāo)識唯一性檢查 用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能 并根據(jù)安全策略配置相關(guān)參數(shù) 13 身份鑒別 條款理解提供專用的登錄控制模塊對用戶身份的合法性進(jìn)行核實(shí) 只有通過驗(yàn)證的用戶才能在系統(tǒng)規(guī)定的權(quán)限內(nèi)進(jìn)行操作 這是防止非法入侵最基本的一種保護(hù)措施 三級或三級以上系統(tǒng)要求必須提供兩種 兩次口令鑒別不屬于這種情況 或兩種以上組合的鑒別技術(shù)進(jìn)行身份鑒別 口令 CA證書 在身份鑒別強(qiáng)度上有了更大的提高 14 身份鑒別 條款理解為每一個登錄用戶提供唯一的標(biāo)識 這樣應(yīng)用系統(tǒng)就能對每一個用戶的行為進(jìn)行審計(jì) 同時 為了增加非授權(quán)用戶使用暴力猜測等手段破解用戶鑒別信息的難度 應(yīng)保證用戶的鑒別信息具有一定的復(fù)雜性 如用戶的密碼的長度至少為8位 密碼是字母和數(shù)字的組合等 應(yīng)用系統(tǒng)應(yīng)提供登錄失敗處理功能 如限制非法登錄次數(shù)等 登錄失敗次數(shù)應(yīng)能根據(jù)用戶根據(jù)實(shí)際情況進(jìn)行調(diào)整 另外 要求應(yīng)用啟用這些功能 并配置不許的參數(shù) 15 身份鑒別 檢查方法詢問系統(tǒng)管理員 了解身份鑒別措施的部署和實(shí)施情況 根據(jù)了解的情況 檢查應(yīng)用系統(tǒng)是否按照策略要求進(jìn)行了相應(yīng)的配置 在條件允許的情況下 驗(yàn)證功能 包括應(yīng)用口令暴力破解等測試手段 是否正確 測試應(yīng)用系統(tǒng) 如首先以正確的密碼登錄系統(tǒng) 然后再以錯誤的密碼重新登錄 查看是否成功 驗(yàn)證其登錄控制模塊功能是否正確 掃描應(yīng)用系統(tǒng) 檢查應(yīng)用系統(tǒng)是否存在弱口令和空口令用戶 用暴力破解工具對口令進(jìn)行破解 16 訪問控制 要求項(xiàng) 一 應(yīng)提供訪問控制功能 依據(jù)安全策略控制用戶對文件 數(shù)據(jù)庫表等客體的訪問 訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體 客體及它們之間的操作 應(yīng)由授權(quán)主體配置訪問控制策略 并嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限 17 訪問控制 要求項(xiàng) 二 應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限 并在它們之間形成相互制約的關(guān)系 應(yīng)具有對重要信息資源設(shè)置敏感標(biāo)記的功能 應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作 18 訪問控制 條款理解三級系統(tǒng)要求訪問控制的粒度達(dá)到文件 數(shù)據(jù)庫表級 權(quán)限之間具有制約關(guān)系 如三權(quán)分離 并利用敏感標(biāo)記控制用戶對重要信息資源的操作 在應(yīng)用系統(tǒng)中應(yīng)嚴(yán)格限制默認(rèn)用戶的訪問權(quán)限 默認(rèn)用戶一般指應(yīng)用系統(tǒng)的公共帳戶或測試帳戶 應(yīng)用系統(tǒng)授予帳戶所承擔(dān)任務(wù)所需的最小權(quán)限 如領(lǐng)導(dǎo)只需進(jìn)行查詢操作 則無需為其分配業(yè)務(wù)操作權(quán)限 同時 該項(xiàng)要求明確規(guī)定應(yīng)在不同帳戶之間形成相互制約關(guān)系 19 訪問控制 條款理解敏感標(biāo)記表示主體 客體安全級別和安全范疇的一組信息 通過比較標(biāo)記來控制是否允許主體對客體的訪問 標(biāo)記不允許其他用戶進(jìn)行修改 包括資源的擁有者 在可信計(jì)算基中把敏感標(biāo)記作為強(qiáng)制訪問控制決策的依據(jù) 在三級系統(tǒng)中 要求應(yīng)用系統(tǒng)應(yīng)提供設(shè)置敏感標(biāo)記的功能 通過敏感標(biāo)記控制用戶對重要信息資源的訪問 20 訪問控制 檢查方法詢問系統(tǒng)管理員 了解訪問控制措施的部署和實(shí)施情況 根據(jù)了解的情況 檢查應(yīng)用系統(tǒng)是否按照策略要求進(jìn)行了相應(yīng)的配置 在條件允許的情況下 驗(yàn)證功能是否正確 以管理員身份進(jìn)行審計(jì)操作 查看是否成功 以審計(jì)員身份進(jìn)行刪除 增加用戶 設(shè)定用戶權(quán)限的操作 也可進(jìn)行一些其他管理員進(jìn)行的操作 查看是否成功 21 安全審計(jì) 要求項(xiàng)應(yīng)提供覆蓋到每個用戶的安全審計(jì)功能 對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì) 應(yīng)保證無法單獨(dú)中斷審計(jì)進(jìn)程 無法刪除 修改或覆蓋審計(jì)記錄 審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日期 時間 發(fā)起者信息 類型 描述和結(jié)果等 應(yīng)提供對審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì) 查詢 分析及生成審計(jì)報表的功能 22 安全審計(jì) 條款理解三級系統(tǒng)強(qiáng)調(diào)對每個用戶的重要操作進(jìn)行審計(jì) 重要操作一般包括登錄 退出 改變訪問控制策略 增加 刪除用戶 改變用戶權(quán)限和增加 刪除 查詢數(shù)據(jù)等 應(yīng)用系統(tǒng)應(yīng)對審計(jì)進(jìn)程或功能進(jìn)行保護(hù) 如果處理審計(jì)的事務(wù)是一個單獨(dú)的進(jìn)程 那么應(yīng)用系統(tǒng)應(yīng)對審計(jì)進(jìn)程進(jìn)行保護(hù) 不允許非授權(quán)用戶對進(jìn)城進(jìn)行中斷 如果審計(jì)是一個獨(dú)立的功能 則應(yīng)用系統(tǒng)應(yīng)防止非授權(quán)用戶關(guān)閉審計(jì)功能 另外 應(yīng)用系統(tǒng)應(yīng)對審計(jì)記錄進(jìn)行保護(hù) 23 安全審計(jì) 檢查方法詢問系統(tǒng)管理員 了解安全審計(jì)措施的部署和實(shí)施情況 重點(diǎn)檢查應(yīng)用系統(tǒng)是否對每個用戶的重要操作進(jìn)行了審計(jì) 同時可通過進(jìn)行一些操作 如用戶登錄 退出 改變訪問控制策略 增加 刪除用戶 改變用戶權(quán)限和增加 刪除 查詢數(shù)據(jù)等 查看應(yīng)用系統(tǒng)是否進(jìn)行了正確的審計(jì) 24 剩余信息保護(hù) 要求項(xiàng)應(yīng)保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除 無論這些信息是存放在硬盤上還是在內(nèi)存中 應(yīng)保證系統(tǒng)內(nèi)的文件 目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全清除 25 剩余信息保護(hù) 條款理解該項(xiàng)要求是為了防止某個用戶非授權(quán)獲取其他用戶的鑒別信息 文件 目錄和數(shù)據(jù)庫記錄等資源 應(yīng)用系統(tǒng)應(yīng)加強(qiáng)內(nèi)存和其他資源管理 檢查方法詢問系統(tǒng)管理員 了解剩余信息保護(hù)方面采取的措施 根據(jù)了解的情況 測試其采取的措施是否有效 如以某個用戶進(jìn)行操作 操作完成退出系統(tǒng)后系統(tǒng)是否保留有未被刪除的文件等 26 通信完整性 要求項(xiàng)應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性 27 通信完整性 條款理解該項(xiàng)要求強(qiáng)調(diào)采取密碼技術(shù)來保證通信過程中的數(shù)據(jù)完整性 普通加密技術(shù)無法保證密件在傳輸過程中不被替換 還需利用Hash函數(shù) 如MD5 SHA和MAC 用于完整性校驗(yàn) 但不能利用CRC生成的校驗(yàn)碼來進(jìn)行完整性校驗(yàn) 檢查方法詢問系統(tǒng)管理員 了解通信完整性方面采取的措施 可通過查看文檔或源代碼等方法來驗(yàn)證措施是否落實(shí) 如果條件允許 則可設(shè)計(jì)測試用例進(jìn)行測試 28 通信保密性 要求項(xiàng)在通信雙方建立連接之前 應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會話初始化驗(yàn)證 應(yīng)對通信過程中的整個報文或會話過程進(jìn)行加密 29 通信保密性 條款理解該項(xiàng)要求強(qiáng)調(diào)整個報文或會話過程進(jìn)行加密 同時 如果在加密隧道建立之前需要傳遞密碼等信息 則應(yīng)采取密碼技術(shù)來保證這些信息的安全 檢查方法詢問系統(tǒng)管理員 了解通信保密性方面采取的措施 可通過抓包工具 如Snifferpro 獲取通信雙方的內(nèi)容 查看系統(tǒng)是否對通信雙方的內(nèi)容進(jìn)行了加密 30 抗抵賴 要求項(xiàng)應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能 應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能 31 抗抵賴 條款理解該項(xiàng)要求強(qiáng)調(diào)應(yīng)用系統(tǒng)提供抗抵賴措施 如數(shù)字簽名 流水記錄 日志等 從而保證發(fā)送和接收方都是真實(shí)存在的用戶 檢查方法詢問系統(tǒng)管理員 了解抗抵賴方面采取的措施 可通過查看文檔或源代碼等方法來驗(yàn)證措施是否落實(shí) 條件允許 可進(jìn)行測試 如通過雙方進(jìn)行通信 查看系統(tǒng)是否能提供在請求的情況下為數(shù)據(jù)原發(fā)者提供原發(fā)證據(jù) 32 軟件容錯 要求項(xiàng)應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能 保證通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求 應(yīng)提供自動保護(hù)功能 當(dāng)故障發(fā)生時自動保護(hù)當(dāng)前所有狀態(tài) 保證系統(tǒng)能夠進(jìn)行恢復(fù) 33 軟件容錯 條款理解為了防止SQL注入等攻擊 軟件應(yīng)對用戶輸入數(shù)據(jù)的長度和格式等進(jìn)行限制 檢查方法詢問系統(tǒng)管理員 了解軟件容錯方面采取的措施 可通過查看文檔或源代碼等方法來驗(yàn)證措施是否落實(shí) 并在界面上輸入超過長度或不符合要求格式 如hi or1 1 的數(shù)據(jù) 驗(yàn)證其功能是否正確 34 資源控制 要求項(xiàng) 一 當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng) 另一方應(yīng)能夠自動結(jié)束會話 應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會話連接數(shù)進(jìn)行限制 應(yīng)能夠?qū)蝹€帳戶的多重并發(fā)會話進(jìn)行限制 應(yīng)能夠?qū)σ粋€時間段內(nèi)可能的并發(fā)會話連接數(shù)進(jìn)行限制 35 資源控制 要求項(xiàng) 二 應(yīng)能夠?qū)σ粋€訪問帳戶或一個請求進(jìn)程占用的資源分配最大限額和最小限額 應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報警 應(yīng)提供服務(wù)優(yōu)先級設(shè)定功能 并在安裝后根據(jù)安全策略設(shè)定訪問帳戶或請求進(jìn)程的優(yōu)先級 根據(jù)優(yōu)先級分配系統(tǒng)資源 36 資源控制 條款理解資源控制是為了保證大多數(shù)用戶能夠正常的使用資源 防止服務(wù)中斷 應(yīng)用系統(tǒng)應(yīng)采取限制最大并發(fā)連接數(shù) 請求帳戶的最大資源限制等措施 檢查方法詢問系統(tǒng)管理員 了解資源控制措施的部署和實(shí)施情況 根據(jù)了解的情況 檢查應(yīng)用系統(tǒng)是否配備了相應(yīng)的功能 在條件允許的情況下 驗(yàn)證功能是否正確 37 數(shù)據(jù)完整性 要求項(xiàng)應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù) 鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞 并在檢測到完整性錯誤時采取必要的恢復(fù)措施 應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù) 鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲過程中完整性受到破壞 并在檢測到完整性錯誤時采取必要的恢復(fù)措施 38 數(shù)據(jù)完整性 條款理解該項(xiàng)要求強(qiáng)調(diào)不僅要保證管理數(shù)據(jù) 鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸數(shù)據(jù)的完整性 而且要保證存儲過程中的完整性并且在檢測到完整性受到破壞時采取恢復(fù)措施 檢查方法詢問系統(tǒng)管理員 了解數(shù)據(jù)完整性措施部署和實(shí)施情況 根據(jù)了解的情況 檢查應(yīng)用系統(tǒng)是否配備了相應(yīng)的功能 在條件允許的情況下 驗(yàn)證功能是否正確 39 數(shù)據(jù)保密性 要求項(xiàng)應(yīng)采用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù) 鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性 應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù) 鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲保密性 40 數(shù)據(jù)保密性 條款理解該項(xiàng)要求強(qiáng)調(diào)不僅要保證管理數(shù)據(jù) 鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸數(shù)據(jù)的保密性 而且要保證存儲過程中的保密性并且在檢測到完整性受到破壞時采取恢復(fù)措施 檢查方法詢問系統(tǒng)管理員 了解數(shù)據(jù)保密性措施部署和實(shí)施情況 根據(jù)了解的情況 檢查應(yīng)用系統(tǒng)是否配備了相應(yīng)的功能 在條件允許的情況下 驗(yàn)證功能是否正確 41 備份和恢復(fù) 要求項(xiàng)應(yīng)提供本地數(shù)據(jù)備份與恢復(fù)功能 完全數(shù)據(jù)備份至少每天一次 備份介質(zhì)場外存放 應(yīng)提供異地數(shù)據(jù)備份功能 利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地 42 備份和恢復(fù) 條款理解該項(xiàng)要求對備份策略進(jìn)行了明確的要求 即 完全數(shù)據(jù)備份至少每天一次 備份介質(zhì)場外存放 并且強(qiáng)調(diào)應(yīng)提供異地數(shù)據(jù)備份功能 這部分主要檢查文件型數(shù)據(jù)的備份和恢復(fù)方式 檢查方法詢問系統(tǒng)管理員 了解備份和恢復(fù)方面采取的措施 根據(jù)