應(yīng)用安全測評講解課件

第6章應(yīng)用安全測評技術(shù)1/2/2023第6章應(yīng)用安全測評技術(shù)12/18/20221主要內(nèi)容主要內(nèi)容2應(yīng)用安全的控制點應(yīng)用系統(tǒng)可大致分為兩類：1）基于網(wǎng)絡(luò)的應(yīng)用：基于網(wǎng)絡(luò)的應(yīng)用是形成其他應(yīng)用的基礎(chǔ)，包括消息發(fā)送、web瀏覽器等等，可以說是基本的應(yīng)用2）基于業(yè)務(wù)的應(yīng)用：業(yè)務(wù)應(yīng)用采納基本應(yīng)用的功能以滿足特定業(yè)務(wù)的要求，如電子商務(wù)、電子政務(wù)等；3）由于各種基本應(yīng)用最終為業(yè)務(wù)應(yīng)用服務(wù)的，因此對應(yīng)用系統(tǒng)的安全保護(hù)最終就是如何保護(hù)系統(tǒng)的各種業(yè)務(wù)應(yīng)用程序安全運行。應(yīng)用安全的控制點應(yīng)用系統(tǒng)可大致分為兩類：3業(yè)務(wù)應(yīng)用安全共有11個控制點，三級系統(tǒng)涉及的控制點有9個。身份鑒別通信完整性訪問控制通信保密性安全審計抗抵賴剩余信息保護(hù)軟件容錯資源控制業(yè)務(wù)應(yīng)用安全共有11個控制點，三級系統(tǒng)涉及的控制點有9個。4各級應(yīng)用安全控制點的粒度1級應(yīng)用安全的控制粒度對應(yīng)用進(jìn)行基本的防護(hù)，要求做到簡單的身份鑒別，粗粒度的訪問控制以及數(shù)據(jù)有效性檢驗等基本防護(hù)。2級應(yīng)用安全的控制粒度在控制點上增加了安全審計、通信保密性和資源控制等。同時，對身份鑒別和訪問控制都進(jìn)一步加強，鑒別的標(biāo)識、信息等都提出了具體的要求。訪問控制的粒度進(jìn)行了細(xì)化，對通信過程的完整性保護(hù)提出了特定的校驗碼技術(shù)。應(yīng)用軟件自身的安全要求進(jìn)一步增強，軟件容錯能力增強。各級應(yīng)用安全控制點的粒度1級應(yīng)用安全的控制粒度53級應(yīng)用安全的控制粒度在控制點上增加了剩余信息保護(hù)和抗抵賴等。同時，身份鑒別的力度進(jìn)一步增強，要求組合鑒別技術(shù)，訪問控制增加了敏感標(biāo)記功能，安全審計已不滿足于對安全事件的記錄，而且要進(jìn)行分析等。對通信過程的完整性保護(hù)提出了特定的密碼技術(shù)。應(yīng)用軟件自身的安全要求進(jìn)一步增強，軟件容錯能力增強，增加了自動保護(hù)功能。3級應(yīng)用安全的控制粒度6安全體系架構(gòu)--燈塔模型安全體系架構(gòu)--燈塔模型7剩余資源保護(hù)應(yīng)用安全剩余資源保護(hù)包含哪些內(nèi)容？為保證存儲在硬盤、內(nèi)存或緩沖區(qū)中的信息不被非授權(quán)的訪問，應(yīng)用系統(tǒng)應(yīng)對這些剩余信息加以保護(hù)。用戶的鑒別信息、文件、目錄等資源所在的存儲空間，應(yīng)將其完全清除后，才釋放或重新分配給其他用戶。剩余資源保護(hù)應(yīng)用安全剩余資源保護(hù)包含哪些內(nèi)容？為保證存儲在硬81級：無此要求2級：無此要求3級：要求對存放鑒別信息、文件、記錄等存儲空間進(jìn)行重新使用前的清除1級：無此要求9通信保密性應(yīng)用安全通信保密性保護(hù)包含哪些內(nèi)容？同通信完整性一樣，通信保密性也是保證通信安全的重要方面。它主要確保數(shù)據(jù)處于保密狀態(tài)，不被竊聽。1級：無此要求2級：要求對建立連接前初始化驗證和通信過程敏感信息加密3級：在2級要求的基礎(chǔ)上，要求對通信過程加密的范圍擴大為整個報文或會話過程。通信保密性應(yīng)用安全通信保密性保護(hù)包含哪些內(nèi)容？同通信完整性一10抗抵賴應(yīng)用安全抗抵賴包含哪些內(nèi)容？通信完整性和保密性并不能保證通信抗抵賴行為，即，通信雙方或不承認(rèn)已發(fā)出的數(shù)據(jù)，或不承認(rèn)已接收到的數(shù)據(jù)，從而無法保證應(yīng)用的正常進(jìn)行。必須采取一定的抗抵賴手段，從而防止雙方否認(rèn)數(shù)據(jù)所進(jìn)行的交換。1級：無此要求2級：無此要求3級：要求具有通信雙方提供原發(fā)接收或發(fā)送數(shù)據(jù)的功能。抗抵賴應(yīng)用安全抗抵賴包含哪些內(nèi)容？通信完整性和保密性并不能保11身份鑒別應(yīng)用安全身份鑒別包含哪些內(nèi)容？1級：主要強調(diào)了該功能的使能性，即，能夠進(jìn)行簡單的身份鑒別2級：在1級要求的基礎(chǔ)上，對登錄要求進(jìn)一步增強，提出了鑒別標(biāo)識唯一，鑒別信息復(fù)雜等要求3級：在2級要求的基礎(chǔ)上，提出了兩種以上鑒別技術(shù)的組合來實現(xiàn)身份鑒別身份鑒別應(yīng)用安全身份鑒別包含哪些內(nèi)容？12訪問控制應(yīng)用安全訪問控制包含哪些內(nèi)容？在應(yīng)用系統(tǒng)中實施訪問控制是為了保證應(yīng)用系統(tǒng)受控合法的使用。用戶只能根據(jù)自己的權(quán)限大小來訪問應(yīng)用系統(tǒng)，不得越權(quán)訪問。1級：要求根據(jù)一定的控制策略來限制用戶對系統(tǒng)資源的訪問，控制粒度較粗2級：在1級要求的基礎(chǔ)上，控制粒度細(xì)化，增加覆蓋范圍要求，并強調(diào)了最小授權(quán)原則，使得用戶的權(quán)限最小化3級：在2級要求的基礎(chǔ)上，增加了對重要信息設(shè)置敏感標(biāo)記，并控制對其的操作。訪問控制應(yīng)用安全訪問控制包含哪些內(nèi)容？在應(yīng)用系統(tǒng)中實施訪問控13安全審計應(yīng)用安全安全審計包含哪些內(nèi)容？應(yīng)用系統(tǒng)安全審計目的是為了保持對應(yīng)用系統(tǒng)的安全運行情況以及系統(tǒng)用戶行為的跟蹤，以便事后追蹤分析。應(yīng)用安全審計主要涉及的方面包括：用戶登錄情況、系統(tǒng)功能執(zhí)行以及系統(tǒng)資源使用情況等。安全審計應(yīng)用安全安全審計包含哪些內(nèi)容？應(yīng)用系統(tǒng)安全審計目的是141級：無此要求2級：要求對用戶行為、安全事件等進(jìn)行記錄3級：除2級要求外，要求對形成的記錄能夠統(tǒng)計、分析，并生成報表。1級：無此要求15軟件容錯應(yīng)用安全軟件容錯包含哪些內(nèi)容？容錯技術(shù)室提高整個系統(tǒng)可靠性的有效途徑，通常在硬件配置上，采用了冗余備份的方法，以便在資源上保證系統(tǒng)的可靠性。在軟件設(shè)計上，則主要考慮應(yīng)用程序?qū)﹀e誤的檢測、處理能力。軟件容錯應(yīng)用安全軟件容錯包含哪些內(nèi)容？容錯技術(shù)室提高整個系統(tǒng)161級：要求具有基本的數(shù)據(jù)校驗功能2級：在1級要求的基礎(chǔ)上，要求故障發(fā)生時能夠繼續(xù)運行部分功能3級：在2級要求的基礎(chǔ)上，要求具有自動保護(hù)功能1級：要求具有基本的數(shù)據(jù)校驗功能17資源控制應(yīng)用安全資源控制包含哪些內(nèi)容？應(yīng)用程序也有相應(yīng)的資源控制措施，包括限制單個用戶對系統(tǒng)資源的最大和最小使用限度、當(dāng)?shù)卿浗K端的操作超時或鑒別失敗時進(jìn)行鎖定、根據(jù)服務(wù)優(yōu)先級分配系統(tǒng)資源等。資源控制應(yīng)用安全資源控制包含哪些內(nèi)容？應(yīng)用程序也有相應(yīng)的資源181級：無此要求2級：要求單個用戶會話數(shù)量。最大并發(fā)會話數(shù)量限制3級：在2級要求的基礎(chǔ)上，增加了一段時間內(nèi)的并發(fā)會話數(shù)量、單個賬戶或進(jìn)程的資源配額、根據(jù)服務(wù)優(yōu)先級分配資源以及對系統(tǒng)最小服務(wù)進(jìn)行監(jiān)測和報警的要求。1級：無此要求19應(yīng)用安全測評的實施訪談檢查測評應(yīng)用安全測評的實施訪談20應(yīng)用安全訪談?wù){(diào)研與之前進(jìn)行的訪談?wù){(diào)研略有不同的是，這次的訪談對象不僅是系統(tǒng)的各級管理員和技術(shù)人員，還包括應(yīng)用系統(tǒng)的使用人員和開發(fā)商，訪談共9項。應(yīng)用安全訪談?wù){(diào)研與之前進(jìn)行的訪談?wù){(diào)研略有不同的是，這次的訪談211、身份鑒別訪談第3級安全測評要求對應(yīng)用安全的身份鑒別訪談共2項。（1）應(yīng)訪談應(yīng)用系統(tǒng)管理員，詢問應(yīng)用系統(tǒng)是否采取身份標(biāo)識和鑒別措施，具體措施有哪些？系統(tǒng)應(yīng)采取何種措施防止身份鑒別信息被冒用。1、身份鑒別訪談第3級安全測評要求對應(yīng)用安全的身份鑒別訪談共22（2）應(yīng)訪談應(yīng)用系統(tǒng)管理員，詢問應(yīng)用系統(tǒng)是否具有登錄失敗處理的功能，是如何進(jìn)行處理的？（2）應(yīng)訪談應(yīng)用系統(tǒng)管理員，詢問應(yīng)用系統(tǒng)是否具有登錄失敗處理232、訪問控制訪談第3級安全測評要求對應(yīng)用安全的訪問控制訪談只有1項。應(yīng)訪談應(yīng)用系統(tǒng)管理員，詢問業(yè)務(wù)系統(tǒng)是否提供訪問控制措施，具體措施有哪些？自主訪問控制的粒度如何？2、訪問控制訪談第3級安全測評要求對應(yīng)用安全的訪問控制訪談只243、安全審計訪談第3級安全測評要求對應(yīng)用安全的安全審計訪談只有1項。應(yīng)訪談安全審計員，詢問應(yīng)用系統(tǒng)是否有安全審計功能，對事件進(jìn)行審計的選擇要求和策略是什么？對審計日志的保護(hù)措施有哪些？3、安全審計訪談第3級安全測評要求對應(yīng)用安全的安全審計訪談只254、剩余信息保護(hù)訪談第3級安全測評要求對應(yīng)用安全的剩余信息保護(hù)訪談只有1項應(yīng)訪談應(yīng)用系統(tǒng)管理員，詢問系統(tǒng)是否采取措施保障對存儲介質(zhì)中的殘余信息進(jìn)行刪除，具體措施。4、剩余信息保護(hù)訪談第3級安全測評要求對應(yīng)用安全的剩余信息保265、通信完整性訪談第3級安全測評要求對應(yīng)用安全的通信完整性訪談只有1項應(yīng)訪談安全管理員，詢問業(yè)務(wù)系統(tǒng)是否在傳輸過程中有數(shù)據(jù)進(jìn)行完整性保護(hù)的操作，具體措施是？5、通信完整性訪談第3級安全測評要求對應(yīng)用安全的通信完整性訪276、數(shù)據(jù)保密性訪談第3級安全測評要求對應(yīng)用安全的數(shù)據(jù)保密性訪談只有1項應(yīng)訪談安全管理員，詢問業(yè)務(wù)系統(tǒng)數(shù)據(jù)在通信過程中是否采取保密措施（如在通信雙方建立連接之前利用密碼技術(shù)進(jìn)行會話初始化驗證，在通信過程中對整個報文或會話過程進(jìn)行加密等），具體措施？6、數(shù)據(jù)保密性訪談第3級安全測評要求對應(yīng)用安全的數(shù)據(jù)保密性訪287.抗抵賴訪談第3級安全測評要求對應(yīng)用安全的抗抵賴訪談只有1項應(yīng)訪談安全管理員，詢問系統(tǒng)是否具有抗抵賴的措施，具體措施有？電子簽章7.抗抵賴訪談第3級安全測評要求對應(yīng)用安全的抗抵賴訪談只有1298、軟件容錯訪談第3級安全測評要求對應(yīng)用安全的軟件容錯訪談只有1項應(yīng)訪談應(yīng)用系統(tǒng)管理員，詢問業(yè)務(wù)系統(tǒng)是否有保證軟件具有容錯能力的措施（如對通過人-機接口輸入或通過通信接口輸入的數(shù)據(jù)進(jìn)行有效性檢驗等），具體措施有？“回退”處理、數(shù)據(jù)恢復(fù)8、軟件容錯訪談第3級安全測評要求對應(yīng)用安全的軟件容錯訪談只309、資源控制訪談第3級安全測評要求對應(yīng)用安全的資源控制訪談只有1項。應(yīng)訪談應(yīng)用系統(tǒng)管理員，詢問業(yè)務(wù)系統(tǒng)是否有資源控制的措施（如對應(yīng)系統(tǒng)的最大并發(fā)會話連接數(shù)進(jìn)行限制，對一個時間段內(nèi)可能的并發(fā)會話連接數(shù)進(jìn)行了限制，對一個訪問用戶或一個請求進(jìn)程占用的資源分配最大限額和最小限額等），具體措施？9、資源控制訪談第3級安全測評要求對應(yīng)用安全的資源控制訪談只31應(yīng)用安全現(xiàn)場檢查應(yīng)用安全現(xiàn)場檢查過程主要是測評工程師對各種應(yīng)用系統(tǒng)（主要是軟件系統(tǒng)）及其相關(guān)文檔資料進(jìn)行檢查。一個復(fù)雜的信息系統(tǒng)上面運行了多種應(yīng)用軟件，國家標(biāo)準(zhǔn)在這方面強調(diào)的是對“主要的應(yīng)用系統(tǒng)”進(jìn)行檢查?！疤炀W(wǎng)”系統(tǒng)內(nèi)部辦公郵件系統(tǒng)Exchangeserver2003為例應(yīng)用安全現(xiàn)場檢查應(yīng)用安全現(xiàn)場檢查過程主要是測評工程師對各種應(yīng)321、身份鑒別現(xiàn)場檢查第3級安全測評要求對應(yīng)用安全的身份鑒別檢查共有5項。（1）檢查設(shè)計和驗收文檔，查看文檔中是否有系統(tǒng)采取了唯一標(biāo)識（如用戶名、UID或其他屬性）的說明。1、身份鑒別現(xiàn)場檢查第3級安全測評要求對應(yīng)用安全的身份鑒別檢33（2）檢查操作規(guī)程和操作記錄，查看是否有身份標(biāo)識和鑒別的操作規(guī)程、審批記錄和操作記錄。（2）檢查操作規(guī)程和操作記錄，查看是否有身份標(biāo)識和鑒別的操作34（3）檢查主要應(yīng)用系統(tǒng)，查看其是否采用了兩個及兩個以上身份鑒別技術(shù)的組合來進(jìn)行身份鑒別。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機房檢查環(huán)境：ExchangeServer2003（3）檢查主要應(yīng)用系統(tǒng)，查看其是否采用了兩個及兩個以上身份鑒35技術(shù)路線：用戶名/口令、智能卡、動態(tài)口令、數(shù)字證書和生物識別技術(shù)中的任意兩個組合、本實驗假設(shè)為口令和智能卡的組合。技術(shù)路線：36檢查步驟：查看除用戶口令登錄的方式外，是否還需要其他的用戶登錄身份鑒別機制。圖6.2（P175）檢查結(jié)論：由于除口令之外，還需智能卡才能登錄，所以該郵件系統(tǒng)用戶身份鑒別項符合檢查要求。檢查步驟：37（4）檢查主要應(yīng)用系統(tǒng)，查看其是否配備了身份標(biāo)識和鑒別功能；查看其身份鑒別信息是否具有不易被冒用的特點，是否配備鑒別信息復(fù)雜度檢查功能，以保證系統(tǒng)中不存在弱口令。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機房檢查環(huán)境：ExchangeServer2003（4）檢查主要應(yīng)用系統(tǒng)，查看其是否配備了身份標(biāo)識和鑒別功能；38檢查步驟：查看是否可以建立新賬戶。查看系統(tǒng)對新用戶是否具備最基本的身份鑒別功能，即新建用戶密碼的時候需要密碼確認(rèn)。檢查是否配備了鑒別信息復(fù)雜度的檢查功能?？诹钣谩?23”等，查看是否有口令復(fù)雜度檢驗。檢查結(jié)論：該郵件系統(tǒng)用戶身份標(biāo)識和鑒別功能符合檢查要求，但鑒別信息復(fù)雜度檢查項不符合要求。檢查步驟：39（5）檢查主要應(yīng)用系統(tǒng)，查看其是否使用并配置了登錄失敗處理功能。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機房檢查環(huán)境：ExchangeServer2003（5）檢查主要應(yīng)用系統(tǒng)，查看其是否使用并配置了登錄失敗處理功40檢查方案：第一種方法：同第5章，如登錄失敗次數(shù)超過設(shè)定值。第二種方法：查看ExchangeServer2003是否對每一個用戶登錄的時間段進(jìn)行設(shè)置，從而使得對這一項檢查條款的檢查粒度更細(xì)。檢查方案：41檢查步驟：檢查郵件服務(wù)器ExchangeServer2003對用戶“xiang”登錄時間段的設(shè)置情況。淺色代表“拒絕登錄”的時間段，深色代表“允許登錄”的時間段。圖6.6（P178）檢查結(jié)論：該郵件系統(tǒng)登錄失敗處理符合檢查要求。檢查步驟：422、訪問控制現(xiàn)場檢查第3級安全測評要求對應(yīng)用安全的訪問控制檢查共5項。（1）檢查主要應(yīng)用系統(tǒng)，查看系統(tǒng)是否提供訪問控制機制；是否依據(jù)安全策略控制用戶對客體的訪問。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機房檢查環(huán)境：ExchangeServer20032、訪問控制現(xiàn)場檢查第3級安全測評要求對應(yīng)用安全的訪問控制檢43檢查方案：一是查看郵件服務(wù)器是否可以限制每個用戶發(fā)送/接收郵件的大?。ㄩg接證明控制了用戶對文件或數(shù)據(jù)的訪問）；二是查看能否對郵件來源進(jìn)行控制。檢查方案：44檢查步驟：檢查郵件服務(wù)器ExchangeServer2003對用戶傳遞郵件大小是否進(jìn)行了設(shè)置，同時也查看是否能對郵件來源進(jìn)行控制。圖6.7（P179）檢查結(jié)論：該郵件系統(tǒng)對數(shù)據(jù)訪問權(quán)限進(jìn)行了限定，符合檢查要求。檢查步驟：45（2）檢查主要應(yīng)用系統(tǒng)，查看其自主訪問控制的覆蓋范圍是否包括與信息安全直接相關(guān)的主體、客體和他們之間的操作。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機房檢查環(huán)境：ExchangeServer2003（2）檢查主要應(yīng)用系統(tǒng)，查看其自主訪問控制的覆蓋范圍是否包括46檢查方案：這個檢查涉及方案是要查看ExchangeServer2003是否可以對每個授權(quán)用戶（主體）設(shè)置用戶傳遞（發(fā)送和接受）郵件（客體）的大小。檢查方案：這個檢查涉及方案是要查看ExchangeServ47檢查步驟：檢查郵件服務(wù)器ExchangeServer2003是否能對用戶“xiang”傳遞郵件的大小進(jìn)行設(shè)置。圖6.8（P180）檢查結(jié)論：該郵件系統(tǒng)自主訪問控制的覆蓋范圍符合要求。檢查步驟：48（3）檢查主要應(yīng)用系統(tǒng)，查看該系統(tǒng)是否有對授權(quán)主體進(jìn)行系統(tǒng)功能操作和對數(shù)據(jù)訪問權(quán)限進(jìn)行設(shè)置的功能。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機房檢查環(huán)境：ExchangeServer2003（3）檢查主要應(yīng)用系統(tǒng)，查看該系統(tǒng)是否有對授權(quán)主體進(jìn)行系統(tǒng)功49檢查方案：查看ExchangeServer2003是否對某一具體用戶的操作權(quán)限進(jìn)行了設(shè)置，如創(chuàng)建其他用戶、傳遞郵件的大小，如果能對每個授權(quán)主體設(shè)置操作權(quán)限，則郵件應(yīng)用系統(tǒng)被檢查項滿足要求。檢查方案：50檢查步驟：檢查郵件服務(wù)器ExchangeServer2003是否能對用戶傳遞郵件大小進(jìn)行設(shè)置，即對用戶的操作權(quán)限進(jìn)行設(shè)置。圖6.9（181）檢查結(jié)論：該郵件系統(tǒng)能對授權(quán)主體進(jìn)行系統(tǒng)功能操作和對訪問權(quán)限進(jìn)行設(shè)置，符合檢查要求。檢查步驟：51（4）檢查主要應(yīng)用系統(tǒng)，查看其特權(quán)用戶的權(quán)限是否分離，是否按用戶承擔(dān)任務(wù)情況，只授予他們所需要的最小權(quán)限，且權(quán)限之間是否相互制約。檢查目標(biāo)：檢查其特權(quán)用戶的權(quán)限是否分離檢查對象：“天網(wǎng)”系統(tǒng)中心機房檢查環(huán)境：ExchangeServer2003（4）檢查主要應(yīng)用系統(tǒng)，查看其特權(quán)用戶的權(quán)限是否分離，是否按52檢查方案：設(shè)計的方案是查看ExchangeServer2003是否可以創(chuàng)建新用戶，這是最首要的條件，因為不同權(quán)限的用戶不能是同一用戶。在此基礎(chǔ)上，再查看是否有Administrator和一般用戶，查看管理員用戶和普通用戶權(quán)限設(shè)置的區(qū)別。如果根據(jù)不同角色對不同用戶可以設(shè)置相應(yīng)符合要求的權(quán)限，則郵件子系統(tǒng)被檢查項符合要求。檢查方案：53檢查步驟：先檢查ExchangeServer2003是否能創(chuàng)建多個用戶，然后查看針對administrator設(shè)置不同權(quán)限的情況，如刪除、讀取、更改以及是否取得完全權(quán)限等。檢查天網(wǎng)郵件服務(wù)器ExchangeServer2003是否為普通用戶“xiang”設(shè)置不同的權(quán)限，如刪除、讀取、更改及是否取得完全權(quán)限等。檢查結(jié)論：該郵件特權(quán)用戶的權(quán)限分離設(shè)置符合檢查要求。檢查步驟：54（5）檢查主要應(yīng)用系統(tǒng)，查看其是否有限制默認(rèn)用戶訪問權(quán)限的功能，并已配置使用。檢查目標(biāo)：檢查應(yīng)用系統(tǒng)是否有限制默認(rèn)用戶訪問權(quán)限的功能檢查對象：“天網(wǎng)”系統(tǒng)中心機房檢查環(huán)境：ExchangeServer2003（5）檢查主要應(yīng)用系統(tǒng)，查看其是否有限制默認(rèn)用戶訪問權(quán)限的功55技術(shù)路線：客戶端查看是否可以將一個用戶設(shè)置為默認(rèn)登錄用戶來進(jìn)行檢查。檢查步驟：檢查天網(wǎng)郵件子系統(tǒng)內(nèi)各個客戶端軟件outlook，是否可以將一個用戶設(shè)置成為默認(rèn)登錄用戶。檢查結(jié)論：該郵件系統(tǒng)不能限制默認(rèn)用戶訪問權(quán)限，因此郵件系統(tǒng)的功能設(shè)置不符合檢查要求。技術(shù)路線：客戶端查看是否可以將一個用戶設(shè)置為默認(rèn)登錄用戶來進(jìn)563、安全審計現(xiàn)場檢查第3級安全測評要求對應(yīng)用安全的安全審計檢查共5項。（1）檢查主要應(yīng)用系統(tǒng)，查看其當(dāng)前審計范圍是否覆蓋到每個用戶。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機房檢查環(huán)境：ExchangeServer20033、安全審計現(xiàn)場檢查第3級安全測評要求對應(yīng)用安全的安全審計檢57檢查方案：查看郵件服務(wù)器是否可以啟用每一個用戶的安全審計日志，如果可以，則說明審計日志記錄了當(dāng)前所有用戶的行為，郵件應(yīng)用系統(tǒng)的此項檢查滿足要求，否則不滿足。檢查方案：查看郵件服務(wù)器是否可以啟用每一個用戶的安全審計日志58檢查步驟：檢查該郵件子系統(tǒng)是否能開啟系統(tǒng)審計功能。如圖6.13（P184）所示，“啟用主體日志記錄和顯示”及“啟用郵件跟蹤”功能已經(jīng)啟用。檢查結(jié)論：該郵件系統(tǒng)審計范圍設(shè)置符合檢查要求。檢查步驟：檢查該郵件子系統(tǒng)是否能開啟系統(tǒng)審計功能。如圖6.159（2）檢查主要應(yīng)用系統(tǒng)，查看其審計策略是否覆蓋了系統(tǒng)內(nèi)重要的安全相關(guān)事件，如用戶標(biāo)識與鑒別、自主訪問控制的所有操作記錄、重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用。檢查目標(biāo)：檢查審計策略是否覆蓋了系統(tǒng)內(nèi)重要的安全相關(guān)事件檢查對象：“天網(wǎng)”系統(tǒng)中心機房檢查環(huán)境：ExchangeServer2003（2）檢查主要應(yīng)用系統(tǒng)，查看其審計策略是否覆蓋了系統(tǒng)內(nèi)重要的60檢查步驟：進(jìn)入“診斷日志記錄”，查看該郵件子系統(tǒng)中日志記錄所包含的內(nèi)容，對pop3協(xié)議是否審計進(jìn)行檢查。檢查結(jié)論：該郵件系統(tǒng)審計策略事件覆蓋設(shè)置項符合檢查要求。檢查步驟：進(jìn)入“診斷日志記錄”，查看該郵件子系統(tǒng)中日志記錄所61（3）檢查主要應(yīng)用系統(tǒng)，查看其審計記錄信息是否包括事件發(fā)生的日期與時間、觸發(fā)事件的主體與客體、事件的類型、事件成功或失敗、失敗鑒別事件中請求的來源以及事件的結(jié)果等內(nèi)容。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機房檢查環(huán)境：ExchangeServer2003（3）檢查主要應(yīng)用系統(tǒng)，查看其審計記錄信息是否包括事件發(fā)生的62檢查方案：打開歷史審計日志記錄，先制造一個事件，然后查看日志是否包含了事件發(fā)生的主體與課題，如果包含，則郵件應(yīng)用系統(tǒng)此項滿足檢查要求，否則不滿足檢查要求。檢查方案：打開歷史審計日志記錄，先制造一個事件，然后查看日志63檢查步驟：檢查天網(wǎng)郵件子系統(tǒng)服務(wù)器的歷史日志記錄事件，其中包含發(fā)送/接受郵件的ＩＰ地址，郵件地址及發(fā)送事件等。檢查結(jié)論：該郵件系統(tǒng)審計記錄中包含的內(nèi)容符合檢查要求。檢查步驟：檢查天網(wǎng)郵件子系統(tǒng)服務(wù)器的歷史日志記錄事件，其中包64（４）檢查主要應(yīng)用系統(tǒng)，查看其是否為授權(quán)用戶瀏覽和分析審計數(shù)據(jù)提供了專門的審計分析功能，并能根據(jù)需要生成審計報表。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機房檢查環(huán)境：ExchangeServer2003（４）檢查主要應(yīng)用系統(tǒng)，查看其是否為授權(quán)用戶瀏覽和分析審計數(shù)65檢查步驟：檢查天網(wǎng)郵件子系統(tǒng)服務(wù)器日志記錄項是否可以劃分重要性等級。檢查結(jié)論：該郵件系統(tǒng)審計記錄重要性等級項功能設(shè)置符合檢查要求。檢查步驟：66（５）檢查主要應(yīng)用系統(tǒng)，查看其能否對特定事件值得實時報警檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機房檢查環(huán)境：ExchangeServer2003（５）檢查主要應(yīng)用系統(tǒng)，查看其能否對特定事件值得實時報警67檢查步驟：檢查天網(wǎng)郵件子系統(tǒng)服務(wù)器是否可以設(shè)置對郵箱存儲或郵件傳遞的限制，以及當(dāng)郵件存儲達(dá)到限度時的報警功能。檢查結(jié)論：該郵件系統(tǒng)對重要安全事件報警項符合檢查要求。檢查步驟：檢查天網(wǎng)郵件子系統(tǒng)服務(wù)器是否可以設(shè)置對郵箱存儲或郵68４、剩余信息保護(hù)現(xiàn)場檢查第３級安全測評要求對應(yīng)用安全的剩余信息保護(hù)檢查共２項。（１）檢查設(shè)計／驗收文檔，查看其是否有系統(tǒng)在釋放或再分配鑒別信息所在存儲空間給其他用戶前將其進(jìn)行清（硬盤和內(nèi)存）除的描述。４、剩余信息保護(hù)現(xiàn)場檢查第３級安全測評要求對應(yīng)用安全的剩余信69（２）檢查設(shè)計／驗收文檔，查看是否有關(guān)于釋放或重新分配系統(tǒng)內(nèi)文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間給其他用戶前進(jìn)行清除的描述。（２）檢查設(shè)計／驗收文檔，查看是否有關(guān)于釋放或重新分配系統(tǒng)內(nèi)70５、通信完整性現(xiàn)場檢查第３級安全測評要求對應(yīng)用安全的通信完整性檢查只有１項。檢查設(shè)計／驗收文檔，查看是否有通信完整性的說明，如果有，則查看其是否有根據(jù)校驗碼判斷對方數(shù)據(jù)有效性的描述，以及用散列密碼計算報文驗證碼的描述。５、通信完整性現(xiàn)場檢查第３級安全測評要求對應(yīng)用安全的通信完整71６、軟件容錯現(xiàn)場檢查第３級安全測評要求對應(yīng)用安全的軟件容錯檢查只有一項。檢查主要應(yīng)用系統(tǒng)，查看業(yè)務(wù)系統(tǒng)是否對通過人－機接口輸入（如用戶界面的數(shù)據(jù)輸入）或通過通信接口輸入的數(shù)據(jù)進(jìn)行了有效性驗證；是否在故障發(fā)生時能自動保護(hù)當(dāng)前所有狀態(tài)信息。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機房檢查環(huán)境：ExchangeServer2003６、軟件容錯現(xiàn)場檢查第３級安全測評要求對應(yīng)用安全的軟件容錯檢72檢查方案：為了對郵件應(yīng)用系統(tǒng)進(jìn)行軟件容錯檢查，設(shè)計了兩個實驗：一是在郵件子系統(tǒng)客戶端創(chuàng)建新的郵件賬戶，同時輸入不合法的郵件地址，查看系統(tǒng)是否能自動檢測出不合法信息；二是通過寫郵件過程中的強制關(guān)閉系統(tǒng)和重新啟動系統(tǒng)，來檢查系統(tǒng)是否能保護(hù)中斷前的狀態(tài)信息。檢查方案：為了對郵件應(yīng)用系統(tǒng)進(jìn)行軟件容錯檢查，設(shè)計了兩個實驗73檢查步驟：檢查該郵件子系統(tǒng)服務(wù)器客戶端是否對不合法的郵件地址進(jìn)行檢查。（沒有＠符號）驗證系統(tǒng)能否在故障發(fā)生時自動保護(hù)當(dāng)前所有狀態(tài)信息。編寫電子郵件，非法關(guān)機，開機后，郵件丟失。檢查結(jié)論：該郵件系統(tǒng)通過人－機接口輸入數(shù)據(jù)的有效性檢驗符合檢查要求；但系統(tǒng)不能在故障發(fā)生時自動保護(hù)當(dāng)前所有狀態(tài)信息，不滿足檢查要求。檢查步驟：74７資源控制現(xiàn)場檢查第３級安全測評要求對應(yīng)用安全的資源控制檢查共３項（１）檢查主要應(yīng)用系統(tǒng)，查看是否限制了單個賬戶的多重并發(fā)會話功能；系統(tǒng)是否有最大并發(fā)會話連接數(shù)的限制，是否對一個時間段內(nèi)可能的并發(fā)會話連接數(shù)進(jìn)行了限制；是否能根據(jù)安全策略設(shè)定主體的服務(wù)優(yōu)先級，根據(jù)優(yōu)先級分配系統(tǒng)資源。７資源控制現(xiàn)場檢查第３級安全測評要求對應(yīng)用安全的資源控制檢查75檢查目標(biāo)：檢查系統(tǒng)是否有最大并發(fā)會話連接數(shù)的限制，是否對一個時間段內(nèi)可能的并發(fā)會話連接數(shù)進(jìn)行了限制。檢查對象：“天網(wǎng)”系統(tǒng)中心機房檢查環(huán)境：ExchangeServer2003檢查目標(biāo)：檢查系統(tǒng)是否有最大并發(fā)會話連接數(shù)的限制，是否對一個76檢查步驟：檢查天網(wǎng)郵件子系統(tǒng)服務(wù)器，是否設(shè)置了在同一時間內(nèi)同時連接到郵件服務(wù)器的客戶端數(shù)量。圖６.２０（Ｐ１９０）檢查結(jié)論：該郵件系統(tǒng)最大并發(fā)會話連接數(shù)的限制符合檢查要求。檢查步驟：檢查天網(wǎng)郵件子系統(tǒng)服務(wù)器，是否設(shè)置了在同一時間內(nèi)同77（２）檢查主要應(yīng)用系統(tǒng)，查看是否對一個訪問賬戶或一個請求進(jìn)程占用的資源分配了最大和最小限額。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機房檢查環(huán)境：ExchangeServer2003（２）檢查主要應(yīng)用系統(tǒng)，查看是否對一個訪問賬戶或一個請求進(jìn)程78檢查步驟：檢查天網(wǎng)郵件子系統(tǒng)服務(wù)器，是否可以設(shè)置用戶郵箱存儲、發(fā)送和接收郵件的大小，同時是否可以對每封郵件發(fā)送人數(shù)進(jìn)行設(shè)置。檢查結(jié)論：該郵件系統(tǒng)的一個訪問賬戶或一個請求進(jìn)程占用的資源分配最大限額和最小限額項符合應(yīng)用檢查要求。檢查步驟：檢查天網(wǎng)郵件子系統(tǒng)服務(wù)器，是否可以設(shè)置用戶郵箱存儲79（３）檢查主要應(yīng)用系統(tǒng)，查看是否有服務(wù)水平最小值的設(shè)定，當(dāng)系統(tǒng)的服務(wù)水平下價格到預(yù)先設(shè)定的最小值時，系統(tǒng)報警。檢查目標(biāo)：檢查是否有服務(wù)水平最小值得設(shè)定檢查對象：“天網(wǎng)”系統(tǒng)中心機房檢查環(huán)境：ExchangeServer2003（３）檢查主要應(yīng)用系統(tǒng)，查看是否有服務(wù)水平最小值的設(shè)定，當(dāng)系80檢查步驟：檢查天網(wǎng)郵件子系統(tǒng)服務(wù)器，是否可以設(shè)置用戶郵箱存儲、發(fā)送和接收郵件的大小，是否對超過上限值的情況進(jìn)行了報警。檢查結(jié)論：該郵件系統(tǒng)服務(wù)最低水平值項符合應(yīng)用安全測評資源控制檢查要求。檢查步驟：檢查天網(wǎng)郵件子系統(tǒng)服務(wù)器，是否可以設(shè)置用戶郵箱存儲81應(yīng)用安全測試應(yīng)用安全測試82１、身份鑒別測試第３級安全測評要求對應(yīng)用安全的身份鑒別測試共有２項（１）測試主要應(yīng)用系統(tǒng)，通過以某注冊用戶身份登錄系統(tǒng)，查看登錄是否成功，驗證其身份標(biāo)識和鑒別功能是否有效。測試目標(biāo)：測試身份標(biāo)識和鑒別功能是否有效測試對象：“天網(wǎng)”郵件服務(wù)器測試環(huán)境：“天網(wǎng)”系統(tǒng)中心機房１、身份鑒別測試第３級安全測評要求對應(yīng)用安全的身份鑒別測試共83測試步驟：創(chuàng)建一個ｘｉａｎｇ用戶對該用戶分配用戶口令使用該用戶名和口令登錄測試結(jié)論：該郵件系統(tǒng)身份標(biāo)識和鑒別功能項符合測試要求。測試步驟：84（２）測試主要應(yīng)用系統(tǒng)，驗證其登錄失敗處理功能是否有效。測試目標(biāo)：如上測試對象：“天網(wǎng)”郵件服務(wù)器測試環(huán)境：“天網(wǎng)”系統(tǒng)中心機房（２）測試主要應(yīng)用系統(tǒng)，驗證其登錄失敗處理功能是否有效。85測試方案：在郵件系統(tǒng)服務(wù)器上限制某客戶端登錄服務(wù)器時間，如果登錄不成功說明郵件應(yīng)用系統(tǒng)此項符合測評要求。測試步驟：根據(jù)服務(wù)器上設(shè)置的一個限制登錄時間（不允許登錄時間），通過客戶端在此時間段內(nèi)登錄，查看是否成功。測試方案：在郵件系統(tǒng)服務(wù)器上限制某客戶端登錄服務(wù)器時間，如果86２、訪問控制測試第３級安全測評要求對應(yīng)用安全的訪問控制測試共有４項（１）測試主要應(yīng)用系統(tǒng)，通過不同權(quán)限的用戶登錄，查看其權(quán)限是否受到應(yīng)用系統(tǒng)的限制，驗證系統(tǒng)權(quán)限分離功能是否有效。測試環(huán)境：測試用戶權(quán)限是否受到應(yīng)用系統(tǒng)的限制測試對象：“天網(wǎng)”郵件服務(wù)器測試環(huán)境：“天網(wǎng)”系統(tǒng)中心機房２、訪問控制測試第３級安全測評要求對應(yīng)用安全的訪問控制測試共87測試步驟：在客戶端找服務(wù)器上設(shè)置的一個禁止登陸時間段登陸服務(wù)器，然后檢查普通用戶ｘｉａｎｇ是否能登陸成功。測試結(jié)論：該郵件應(yīng)用系統(tǒng)限制用戶權(quán)限項符合測試要求。測試步驟：在客戶端找服務(wù)器上設(shè)置的一個禁止登陸時間段登陸服務(wù)88（２）測試主要應(yīng)用系統(tǒng)，通過授權(quán)主體設(shè)置特定用戶對系統(tǒng)功能進(jìn)行操作和對數(shù)據(jù)進(jìn)行訪問的權(quán)限，然后以該用戶登錄，驗證用戶權(quán)限管理功能是否有效。測試目標(biāo)：測試用戶對系統(tǒng)功能進(jìn)行操作和數(shù)據(jù)訪問權(quán)限是否有效測試對象：“天網(wǎng)”郵件服務(wù)器測試環(huán)境：“天網(wǎng)”系統(tǒng)中心機房（２）測試主要應(yīng)用系統(tǒng)，通過授權(quán)主體設(shè)置特定用戶對系統(tǒng)功能進(jìn)89測試方案：在郵件子系統(tǒng)客戶端，設(shè)定一個用戶發(fā)送郵件的大小上限為１ＫＢ，在客戶端上以此用戶名義向另一個用戶發(fā)送大小超過１ＫＢ的郵件，查看該用戶能否收到郵件。測試方案：在郵件子系統(tǒng)客戶端，設(shè)定一個用戶發(fā)送郵件的大小上限90測試步驟：設(shè)置用戶ｌｉ發(fā)送郵件大小最大為１ＫＢ通過ｌｉ向ｘｉａｏｙｕ發(fā)送超過１ＫＢ的郵件查看ｘｉａｏｙｕ能否收到郵件。測試結(jié)論：該郵件應(yīng)用系統(tǒng)用戶對系統(tǒng)功能進(jìn)行操作和數(shù)據(jù)訪問的權(quán)限有效，此項符合測評要求。測試步驟：91（３）測試主要應(yīng)用系統(tǒng)，驗證系統(tǒng)對默認(rèn)用戶訪問權(quán)限的限制是否有效。測試目標(biāo)：測試是否可以通過默認(rèn)用戶進(jìn)行操作測試對象：“天網(wǎng)”郵件服務(wù)器測試環(huán)境：“天網(wǎng)”系統(tǒng)中心機房（３）測試主要應(yīng)用系統(tǒng)，驗證系統(tǒng)對默認(rèn)用戶訪問權(quán)限的限制是否92測試步驟：設(shè)置ｘｉａｎｇ為默認(rèn)用戶，通過該默認(rèn)用戶登錄后，可以進(jìn)行各項操作。測試結(jié)論：該郵件系統(tǒng)默認(rèn)用戶的操作超出限制，不符合應(yīng)用安全測評訪問控制測試的要求。測試步驟：設(shè)置ｘｉａｎｇ為默認(rèn)用戶，通過該默認(rèn)用戶登錄后，可93（４）滲透測試主要應(yīng)用系統(tǒng)，測自主訪問控制的覆蓋范圍是否包括與信息安全直接相關(guān)的主體、客體以及它們之間的操作。測試目標(biāo)：如上測試對象：“天網(wǎng)”郵件服務(wù)器測試環(huán)境：“天網(wǎng)”系統(tǒng)中心機房（４）滲透測試主要應(yīng)用系統(tǒng)，測自主訪問控制的覆蓋范圍是否包括94測試步驟：設(shè)定用戶ｘｉａｎｇ不能接收用戶ｑｉｎｇ發(fā)送的郵件。由用戶ｑｉｎｇ向ｘｉａｎｇ發(fā)送郵件查看ｘｉａｇｎ的郵箱測試結(jié)論：該郵件系統(tǒng)自主訪問控制的覆蓋范圍項符合應(yīng)用安全測評訪問控制測試要求。測試步驟：95３、安全審計測試第３級安全測評要求對應(yīng)用安全的安全審計測試共３項（１）測試主要應(yīng)用系統(tǒng)，驗證審計進(jìn)程是否受到保護(hù)測試目標(biāo)：如上測試對象：“天網(wǎng)”郵件服務(wù)器測試環(huán)境：“天網(wǎng)”系統(tǒng)中心機房３、安全審計測試第３級安全測評要求對應(yīng)用安全的安全審計測試共96測試步驟：修改日志記錄配置，停用日志記錄?？梢酝Ｓ茫次词鼙Ｗo(hù)。測試結(jié)論：該郵件系統(tǒng)審計進(jìn)程不符合應(yīng)用安全測評安全審計測試要求。測試步驟：修改日志記錄配置，停用日志記錄。可以停用，即未受保97（２）測試主要應(yīng)用系統(tǒng)，在系統(tǒng)上以某個用戶名義進(jìn)行操作，并試圖產(chǎn)生一些重要的安全相關(guān)事件，以此測試安全審計的覆蓋情況和記錄情況與安全測評要求是否一致。測試目標(biāo)：測試安全審計的覆蓋情況和記錄情況與安全測評要求是否一致測試對象：“天網(wǎng)”郵件服務(wù)器測試環(huán)境：“天網(wǎng)”系統(tǒng)中心機房（２）測試主要應(yīng)用系統(tǒng)，在系統(tǒng)上以某個用戶名義進(jìn)行操作，并試98測試步驟：用戶從郵箱ｑｉｎｇ向ｘｉａｎｇ發(fā)送一封郵件立即查看發(fā)送郵件系統(tǒng)中的日志文件。從日志中可以看到上面記載了剛剛完成操作的全部記錄，如郵件的發(fā)送／接收方地址和時間測試結(jié)論：該郵件系統(tǒng)安全審計的覆蓋情況和記錄情況與要求一致，符合應(yīng)用安全測評要求。測試步驟：99（３）測試主要應(yīng)用系統(tǒng)，驗證安全審計的保護(hù)情況與安全測評要求是否一致。測試目標(biāo)：如上測試對象：“天網(wǎng)”郵件服務(wù)器測試環(huán)境：“天網(wǎng)”系統(tǒng)中心機房（３）測試主要應(yīng)用系統(tǒng)，驗證安全審計的保護(hù)情況與安全測評要求100測試步驟：首先調(diào)出一個日志文件，修改已有日志記錄，并以同樣的文件名保存，覆蓋原有記錄。立即發(fā)現(xiàn)不能保存該文件。測試結(jié)論：該郵件系統(tǒng)安全審計的保護(hù)情況與安全測評要求一致，符合應(yīng)用安全測評安全審計的測試要求。測試步驟：101４、剩余信息保護(hù)測試第３級安全測評要求對應(yīng)用安全的剩余信息保護(hù)測試只有１項測試主要應(yīng)用系統(tǒng)，驗證系統(tǒng)提供的剩余信息保護(hù)功能是否正確（確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，在被釋放或重新分配給其他用戶前得到完全清除）。４、剩余信息保護(hù)測試第３級安全測評要求對應(yīng)用安全的剩余信息保102測試目標(biāo)：如上測試對象：“天網(wǎng)”郵件服務(wù)器測試環(huán)境：“天網(wǎng)”系統(tǒng)中心機房測試目標(biāo)：如上103測試目標(biāo)：以某用戶名義登錄系統(tǒng)并進(jìn)行操作，在該用戶退出系統(tǒng)后再用另一用戶登錄，然后讀取、修改或刪除前一個用戶產(chǎn)生的文件、目錄和數(shù)據(jù)庫記錄等資源，查看操作是否成功。測試步驟：用ｋｅｋｅ用戶登錄，退出后，重新登錄，查看殘余信息是否存在。測試目標(biāo)：以某用戶名義登錄系統(tǒng)并進(jìn)行操作，在該用戶退出系統(tǒng)后104測試結(jié)論：該郵件系統(tǒng)剩余信息保護(hù)功能項符合應(yīng)用安全測評剩余信息保護(hù)測試的要求。測試結(jié)論：該郵件系統(tǒng)剩余信息保護(hù)功能項符合應(yīng)用安全測評剩余信105５、通信完整性測試第３級安全測評要對應(yīng)用安全的通信完整性測試只有一項。測試主要應(yīng)用系統(tǒng)，通過獲取通信雙方的數(shù)據(jù)包，查看通信報文是否含有加密的驗證碼。測試目標(biāo)：如上測試對象：“天網(wǎng)”郵件服務(wù)器測試環(huán)境：“天網(wǎng)”系統(tǒng)中心機房５、通信完整性測試第３級安全測評要對應(yīng)用安全的通信完整性測試106測試步驟：打開Ｅｔｈｅｒｅａｌ軟件的操作界面，對其網(wǎng)卡進(jìn)行設(shè)置使用ｅｔｈｅｒｅａｌ捕獲通信數(shù)據(jù)包，單擊ｓｔａｒｔ按鈕查看通信數(shù)據(jù)包，查找驗證碼測試結(jié)論：該郵件應(yīng)用系統(tǒng)通信報文沒有對驗證碼進(jìn)行加密處理，不符合應(yīng)用安全測評通信完整性測試的要求。測試步驟：107６、通信保密性測試第３級安全測評要求對應(yīng)用安全的通信保密性測試只有１項。測試主要應(yīng)用系統(tǒng)，通過通信雙方數(shù)據(jù)包的內(nèi)容，查看系統(tǒng)是否能在通信雙方建立連接之前，利用密碼技術(shù)進(jìn)行了會話初始化的嚴(yán)重；查看系統(tǒng)在通信過程中，非整個報文或會話過程進(jìn)行加密的功能是否有效。６、通信保密性測試第３級安全測評要求對應(yīng)用安全的通信保密性測108測試目標(biāo)：測試主要應(yīng)用系統(tǒng)，通過通信雙方數(shù)據(jù)包的內(nèi)容，查看系統(tǒng)的通信過程中，對整個報文或會話過程進(jìn)行加密的功能是否有效。測試對象：“天網(wǎng)”郵件服務(wù)器測試環(huán)境：“天網(wǎng)”系統(tǒng)中心機房測試目標(biāo)：測試主要應(yīng)用系統(tǒng)，通過通信雙方數(shù)據(jù)包的內(nèi)容，查看系109測試步驟：打開Ｅｔｈｅｒｅａｌ軟件的操作界面，對其網(wǎng)卡進(jìn)行設(shè)置。捕獲通信數(shù)據(jù)包，單擊ｓｔａｒｔ通過通信數(shù)據(jù)包，查看對用戶密碼有無加密設(shè)置測試結(jié)論：在該郵箱系統(tǒng)通信過程中，整個報文或會話過程未采用加密功能，不符合安全測試要求。測試步驟：110７、抗抵賴測試第３級安全測評要求對應(yīng)用安全的抗抵賴只有１項。測試主要應(yīng)用系統(tǒng)，通過雙方進(jìn)行通信，查看系統(tǒng)是否在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供了數(shù)據(jù)接收證據(jù)的功能。測試目標(biāo)：如上測試對象：“天網(wǎng)”郵件服務(wù)器測試環(huán)境：“天網(wǎng)”系統(tǒng)中心機房７、抗抵賴測試第３級安全測評要求對應(yīng)用安全的抗抵賴只有１項。111技術(shù)路線：在客戶端之間發(fā)送一封郵件，查看日志記錄中是否存在發(fā)送郵件的詳細(xì)信息，如日期、原發(fā)者和接收者，如果存在，說明郵件應(yīng)用系統(tǒng)此項符合安全測評要求，否則不滿足安全測評要求。技術(shù)路線：在客戶端之間發(fā)送一封郵件，查看日志記錄中是否存在發(fā)112測試步驟：發(fā)送郵件，通過查看系統(tǒng)日志來驗證是否存在該行為的詳細(xì)信息。測試步驟：發(fā)送郵件，通過查看系統(tǒng)日志來驗證是否存在該行為的詳1138、軟件容錯性測試第3級安全測評要求對應(yīng)用安全的軟件容錯性測試只有1項。測試主要應(yīng)用系統(tǒng)，驗證系統(tǒng)人-機接口有效性檢驗功能是否正確。測試目標(biāo)：如上測試對象：“天網(wǎng)”郵件服務(wù)器測試環(huán)境：“天網(wǎng)”系統(tǒng)中心機房8、軟件容錯性測試第3級安全測評要求對應(yīng)用安全的軟件容錯性測114技術(shù)路線：在客戶端新建一個用戶，輸入不合法的郵件地址，以此驗證系統(tǒng)能否檢測出不合法信息，同時查看系統(tǒng)在新建用戶時能否進(jìn)行回置操作。測試結(jié)論：該郵件系統(tǒng)人-機接口有效性檢驗功能符合應(yīng)用安全測評軟件容錯測試的要求。技術(shù)路線：在客戶端新建一個用戶，輸入不合法的郵件地址，以此驗1159、資源控制測試第3級安全測評要求對應(yīng)用安全的剩余信息保護(hù)測試共2項。（1）測試主要應(yīng)用系統(tǒng)，驗證系統(tǒng)能否正確地限制單個賬戶的多重并發(fā)會話數(shù)。測試目標(biāo)：如上測試對象：“天網(wǎng)”郵件服務(wù)器測試環(huán)境：“天網(wǎng)”系統(tǒng)中心機房9、資源控制測試第3級安全測評要求對應(yīng)用安全的剩余信息保護(hù)測116技術(shù)路線：以一個賬戶同時在多個客戶端登陸，查看是否登陸成功。測試結(jié)論：技術(shù)路線：以一個賬戶同時在多個客戶端登陸，查看是否登陸成功。117（2）測試主要應(yīng)用系統(tǒng)，使服務(wù)水平降到預(yù)先規(guī)定的限制值，以驗證系統(tǒng)能否正確檢測并報警。測試對象：如上測試對象：“天網(wǎng)”郵件服務(wù)器測試環(huán)境：“天網(wǎng)”系統(tǒng)中心機房（2）測試主要應(yīng)用系統(tǒng)，使服務(wù)水平降到預(yù)先規(guī)定的限制值，以驗118技術(shù)路線：在客戶端設(shè)置一用戶郵箱的存儲限制值，然后用一用戶身份向此用戶發(fā)送大小超過此限制值的郵件。查看發(fā)送方能否收到警告郵件。測試結(jié)論技術(shù)路線：在客戶端設(shè)置一用戶郵箱的存儲限制值，然后用一用戶身119本章小結(jié)應(yīng)用安全測評的三種方法身份鑒別測評訪問控制測評安全審計測評剩余信息保護(hù)測評通信完整性測評抗抵賴測評軟件容錯測評資源控制測評本章小結(jié)應(yīng)用安全測評的三種方法120Allfortoday！！Allfortoday?。?21第6章應(yīng)用安全測評技術(shù)1/2/2023第6章應(yīng)用安全測評技術(shù)12/18/2022122主要內(nèi)容主要內(nèi)容123應(yīng)用安全的控制點應(yīng)用系統(tǒng)可大致分為兩類：1）基于網(wǎng)絡(luò)的應(yīng)用：基于網(wǎng)絡(luò)的應(yīng)用是形成其他應(yīng)用的基礎(chǔ)，包括消息發(fā)送、web瀏覽器等等，可以說是基本的應(yīng)用2）基于業(yè)務(wù)的應(yīng)用：業(yè)務(wù)應(yīng)用采納基本應(yīng)用的功能以滿足特定業(yè)務(wù)的要求，如電子商務(wù)、電子政務(wù)等；3）由于各種基本應(yīng)用最終為業(yè)務(wù)應(yīng)用服務(wù)的，因此對應(yīng)用系統(tǒng)的安全保護(hù)最終就是如何保護(hù)系統(tǒng)的各種業(yè)務(wù)應(yīng)用程序安全運行。應(yīng)用安全的控制點應(yīng)用系統(tǒng)可大致分為兩類：124業(yè)務(wù)應(yīng)用安全共有11個控制點，三級系統(tǒng)涉及的控制點有9個。身份鑒別通信完整性訪問控制通信保密性安全審計抗抵賴剩余信息保護(hù)軟件容錯資源控制業(yè)務(wù)應(yīng)用安全共有11個控制點，三級系統(tǒng)涉及的控制點有9個。125各級應(yīng)用安全控制點的粒度1級應(yīng)用安全的控制粒度對應(yīng)用進(jìn)行基本的防護(hù)，要求做到簡單的身份鑒別，粗粒度的訪問控制以及數(shù)據(jù)有效性檢驗等基本防護(hù)。2級應(yīng)用安全的控制粒度在控制點上增加了安全審計、通信保密性和資源控制等。同時，對身份鑒別和訪問控制都進(jìn)一步加強，鑒別的標(biāo)識、信息等都提出了具體的要求。訪問控制的粒度進(jìn)行了細(xì)化，對通信過程的完整性保護(hù)提出了特定的校驗碼技術(shù)。應(yīng)用軟件自身的安全要求進(jìn)一步增強，軟件容錯能力增強。各級應(yīng)用安全控制點的粒度1級應(yīng)用安全的控制粒度1263級應(yīng)用安全的控制粒度在控制點上增加了剩余信息保護(hù)和抗抵賴等。同時，身份鑒別的力度進(jìn)一步增強，要求組合鑒別技術(shù)，訪問控制增加了敏感標(biāo)記功能，安全審計已不滿足于對安全事件的記錄，而且要進(jìn)行分析等。對通信過程的完整性保護(hù)提出了特定的密碼技術(shù)。應(yīng)用軟件自身的安全要求進(jìn)一步增強，軟件容錯能力增強，增加了自動保護(hù)功能。3級應(yīng)用安全的控制粒度127安全體系架構(gòu)--燈塔模型安全體系架構(gòu)--燈塔模型128剩余資源保護(hù)應(yīng)用安全剩余資源保護(hù)包含哪些內(nèi)容？為保證存儲在硬盤、內(nèi)存或緩沖區(qū)中的信息不被非授權(quán)的訪問，應(yīng)用系統(tǒng)應(yīng)對這些剩余信息加以保護(hù)。用戶的鑒別信息、文件、目錄等資源所在的存儲空間，應(yīng)將其完全清除后，才釋放或重新分配給其他用戶。剩余資源保護(hù)應(yīng)用安全剩余資源保護(hù)包含哪些內(nèi)容？為保證存儲在硬1291級：無此要求2級：無此要求3級：要求對存放鑒別信息、文件、記錄等存儲空間進(jìn)行重新使用前的清除1級：無此要求130通信保密性應(yīng)用安全通信保密性保護(hù)包含哪些內(nèi)容？同通信完整性一樣，通信保密性也是保證通信安全的重要方面。它主要確保數(shù)據(jù)處于保密狀態(tài)，不被竊聽。1級：無此要求2級：要求對建立連接前初始化驗證和通信過程敏感信息加密3級：在2級要求的基礎(chǔ)上，要求對通信過程加密的范圍擴大為整個報文或會話過程。通信保密性應(yīng)用安全通信保密性保護(hù)包含哪些內(nèi)容？同通信完整性一131抗抵賴應(yīng)用安全抗抵賴包含哪些內(nèi)容？通信完整性和保密性并不能保證通信抗抵賴行為，即，通信雙方或不承認(rèn)已發(fā)出的數(shù)據(jù)，或不承認(rèn)已接收到的數(shù)據(jù)，從而無法保證應(yīng)用的正常進(jìn)行。必須采取一定的抗抵賴手段，從而防止雙方否認(rèn)數(shù)據(jù)所進(jìn)行的交換。1級：無此要求2級：無此要求3級：要求具有通信雙方提供原發(fā)接收或發(fā)送數(shù)據(jù)的功能?？沟仲噾?yīng)用安全抗抵賴包含哪些內(nèi)容？通信完整性和保密性并不能保132身份鑒別應(yīng)用安全身份鑒別包含哪些內(nèi)容？1級：主要強調(diào)了該功能的使能性，即，能夠進(jìn)行簡單的身份鑒別2級：在1級要求的基礎(chǔ)上，對登錄要求進(jìn)一步增強，提出了鑒別標(biāo)識唯一，鑒別信息復(fù)雜等要求3級：在2級要求的基礎(chǔ)上，提出了兩種以上鑒別技術(shù)的組合來實現(xiàn)身份鑒別身份鑒別應(yīng)用安全身份鑒別包含哪些內(nèi)容？133訪問控制應(yīng)用安全訪問控制包含哪些內(nèi)容？在應(yīng)用系統(tǒng)中實施訪問控制是為了保證應(yīng)用系統(tǒng)受控合法的使用。用戶只能根據(jù)自己的權(quán)限大小來訪問應(yīng)用系統(tǒng)，不得越權(quán)訪問。1級：要求根據(jù)一定的控制策略來限制用戶對系統(tǒng)資源的訪問，控制粒度較粗2級：在1級要求的基礎(chǔ)上，控制粒度細(xì)化，增加覆蓋范圍要求，并強調(diào)了最小授權(quán)原則，使得用戶的權(quán)限最小化3級：在2級要求的基礎(chǔ)上，增加了對重要信息設(shè)置敏感標(biāo)記，并控制對其的操作。訪問控制應(yīng)用安全訪問控制包含哪些內(nèi)容？在應(yīng)用系統(tǒng)中實施訪問控134安全審計應(yīng)用安全安全審計包含哪些內(nèi)容？應(yīng)用系統(tǒng)安全審計目的是為了保持對應(yīng)用系統(tǒng)的安全運行情況以及系統(tǒng)用戶行為的跟蹤，以便事后追蹤分析。應(yīng)用安全審計主要涉及的方面包括：用戶登錄情況、系統(tǒng)功能執(zhí)行以及系統(tǒng)資源使用情況等。安全審計應(yīng)用安全安全審計包含哪些內(nèi)容？應(yīng)用系統(tǒng)安全審計目的是1351級：無此要求2級：要求對用戶行為、安全事件等進(jìn)行記錄3級：除2級要求外，要求對形成的記錄能夠統(tǒng)計、分析，并生成報表。1級：無此要求136軟件容錯應(yīng)用安全軟件容錯包含哪些內(nèi)容？容錯技術(shù)室提高整個系統(tǒng)可靠性的有效途徑，通常在硬件配置上，采用了冗余備份的方法，以便在資源上保證系統(tǒng)的可靠性。在軟件設(shè)計上，則主要考慮應(yīng)用程序?qū)﹀e誤的檢測、處理能力。軟件容錯應(yīng)用安全軟件容錯包含哪些內(nèi)容？容錯技術(shù)室提高整個系統(tǒng)1371級：要求具有基本的數(shù)據(jù)校驗功能2級：在1級要求的基礎(chǔ)上，要求故障發(fā)生時能夠繼續(xù)運行部分功能3級：在2級要求的基礎(chǔ)上，要求具有自動保護(hù)功能1級：要求具有基本的數(shù)據(jù)校驗功能138資源控制應(yīng)用安全資源控制包含哪些內(nèi)容？應(yīng)用程序也有相應(yīng)的資源控制措施，包括限制單個用戶對系統(tǒng)資源的最大和最小使用限度、當(dāng)?shù)卿浗K端的操作超時或鑒別失敗時進(jìn)行鎖定、根據(jù)服務(wù)優(yōu)先級分配系統(tǒng)資源等。資源控制應(yīng)用安全資源控制包含哪些內(nèi)容？應(yīng)用程序也有相應(yīng)的資源1391級：無此要求2級：要求單個用戶會話數(shù)量。最大并發(fā)會話數(shù)量限制3級：在2級要求的基礎(chǔ)上，增加了一段時間內(nèi)的并發(fā)會話數(shù)量、單個賬戶或進(jìn)程的資源配額、根據(jù)服務(wù)優(yōu)先級分配資源以及對系統(tǒng)最小服務(wù)進(jìn)行監(jiān)測和報警的要求。1級：無此要求140應(yīng)用安全測評的實施訪談檢查測評應(yīng)用安全測評的實施訪談141應(yīng)用安全訪談?wù){(diào)研與之前進(jìn)行的訪談?wù){(diào)研略有不同的是，這次的訪談對象不僅是系統(tǒng)的各級管理員和技術(shù)人員，還包括應(yīng)用系統(tǒng)的使用人員和開發(fā)商，訪談共9項。應(yīng)用安全訪談?wù){(diào)研與之前進(jìn)行的訪談?wù){(diào)研略有不同的是，這次的訪談1421、身份鑒別訪談第3級安全測評要求對應(yīng)用安全的身份鑒別訪談共2項。（1）應(yīng)訪談應(yīng)用系統(tǒng)管理員，詢問應(yīng)用系統(tǒng)是否采取身份標(biāo)識和鑒別措施，具體措施有哪些？系統(tǒng)應(yīng)采取何種措施防止身份鑒別信息被冒用。1、身份鑒別訪談第3級安全測評要求對應(yīng)用安全的身份鑒別訪談共143（2）應(yīng)訪談應(yīng)用系統(tǒng)管理員，詢問應(yīng)用系統(tǒng)是否具有登錄失敗處理的功能，是如何進(jìn)行處理的？（2）應(yīng)訪談應(yīng)用系統(tǒng)管理員，詢問應(yīng)用系統(tǒng)是否具有登錄失敗處理1442、訪問控制訪談第3級安全測評要求對應(yīng)用安全的訪問控制訪談只有1項。應(yīng)訪談應(yīng)用系統(tǒng)管理員，詢問業(yè)務(wù)系統(tǒng)是否提供訪問控制措施，具體措施有哪些？自主訪問控制的粒度如何？2、訪問控制訪談第3級安全測評要求對應(yīng)用安全的訪問控制訪談只1453、安全審計訪談第3級安全測評要求對應(yīng)用安全的安全審計訪談只有1項。應(yīng)訪談安全審計員，詢問應(yīng)用系統(tǒng)是否有安全審計功能，對事件進(jìn)行審計的選擇要求和策略是什么？對審計日志的保護(hù)措施有哪些？3、安全審計訪談第3級安全測評要求對應(yīng)用安全的安全審計訪談只1464、剩余信息保護(hù)訪談第3級安全測評要求對應(yīng)用安全的剩余信息保護(hù)訪談只有1項應(yīng)訪談應(yīng)用系統(tǒng)管理員，詢問系統(tǒng)是否采取措施保障對存儲介質(zhì)中的殘余信息進(jìn)行刪除，具體措施。4、剩余信息保護(hù)訪談第3級安全測評要求對應(yīng)用安全的剩余信息保1475、通信完整性訪談第3級安全測評要求對應(yīng)用安全的通信完整性訪談只有1項應(yīng)訪談安全管理員，詢問業(yè)務(wù)系統(tǒng)是否在傳輸過程中有數(shù)據(jù)進(jìn)行完整性保護(hù)的操作，具體措施是？5、通信完整性訪談第3級安全測評要求對應(yīng)用安全的通信完整性訪1486、數(shù)據(jù)保密性訪談第3級安全測評要求對應(yīng)用安全的數(shù)據(jù)保密性訪談只有1項應(yīng)訪談安全管理員，詢問業(yè)務(wù)系統(tǒng)數(shù)據(jù)在通信過程中是否采取保密措施（如在通信雙方建立連接之前利用密碼技術(shù)進(jìn)行會話初始化驗證，在通信過程中對整個報文或會話過程進(jìn)行加密等），具體措施？6、數(shù)據(jù)保密性訪談第3級安全測評要求對應(yīng)用安全的數(shù)據(jù)保密性訪1497.抗抵賴訪談第3級安全測評要求對應(yīng)用安全的抗抵賴訪談只有1項應(yīng)訪談安全管理員，詢問系統(tǒng)是否具有抗抵賴的措施，具體措施有？電子簽章7.抗抵賴訪談第3級安全測評要求對應(yīng)用安全的抗抵賴訪談只有11508、軟件容錯訪談第3級安全測評要求對應(yīng)用安全的軟件容錯訪談只有1項應(yīng)訪談應(yīng)用系統(tǒng)管理員，詢問業(yè)務(wù)系統(tǒng)是否有保證軟件具有容錯能力的措施（如對通過人-機接口輸入或通過通信接口輸入的數(shù)據(jù)進(jìn)行有效性檢驗等），具體措施有？“回退”處理、數(shù)據(jù)恢復(fù)8、軟件容錯訪談第3級安全測評要求對應(yīng)用安全的軟件容錯訪談只1519、資源控制訪談第3級安全測評要求對應(yīng)用安全的資源控制訪談只有1項。應(yīng)訪談應(yīng)用系統(tǒng)管理員，詢問業(yè)務(wù)系統(tǒng)是否有資源控制的措施（如對應(yīng)系統(tǒng)的最大并發(fā)會話連接數(shù)進(jìn)行限制，對一個時間段內(nèi)可能的并發(fā)會話連接數(shù)進(jìn)行了限制，對一個訪問用戶或一個請求進(jìn)程占用的資源分配最大限額和最小限額等），具體措施？9、資源控制訪談第3級安全測評要求對應(yīng)用安全的資源控制訪談只152應(yīng)用安全現(xiàn)場檢查應(yīng)用安全現(xiàn)場檢查過程主要是測評工程師對各種應(yīng)用系統(tǒng)（主要是軟件系統(tǒng)）及其相關(guān)文檔資料進(jìn)行檢查。一個復(fù)雜的信息系統(tǒng)上面運行了多種應(yīng)用軟件，國家標(biāo)準(zhǔn)在這方面強調(diào)的是對“主要的應(yīng)用系統(tǒng)”進(jìn)行檢查?！疤炀W(wǎng)”系統(tǒng)內(nèi)部辦公郵件系統(tǒng)Exchangeserver2003為例應(yīng)用安全現(xiàn)場檢查應(yīng)用安全現(xiàn)場檢查過程主要是測評工程師對各種應(yīng)1531、身份鑒別現(xiàn)場檢查第3級安全測評要求對應(yīng)用安全的身份鑒別檢查共有5項。（1）檢查設(shè)計和驗收文檔，查看文檔中是否有系統(tǒng)采取了唯一標(biāo)識（如用戶名、UID或其他屬性）的說明。1、身份鑒別現(xiàn)場檢查第3級安全測評要求對應(yīng)用安全的身份鑒別檢154（2）檢查操作規(guī)程和操作記錄，查看是否有身份標(biāo)識和鑒別的操作規(guī)程、審批記錄和操作記錄。（2）檢查操作規(guī)程和操作記錄，查看是否有身份標(biāo)識和鑒別的操作155（3）檢查主要應(yīng)用系統(tǒng)，查看其是否采用了兩個及兩個以上身份鑒別技術(shù)的組合來進(jìn)行身份鑒別。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機房檢查環(huán)境：ExchangeServer2003（3）檢查主要應(yīng)用系統(tǒng)，查看其是否采用了兩個及兩個以上身份鑒156技術(shù)路線：用戶名/口令、智能卡、動態(tài)口令、數(shù)字證書和生物識別技術(shù)中的任意兩個組合、本實驗假設(shè)為口令和智能卡的組合。技術(shù)路線：157檢查步驟：查看除用戶口令登錄的方式外，是否還需要其他的用戶登錄身份鑒別機制。圖6.2（P175）檢查結(jié)論：由于除口令之外，還需智能卡才能登錄，所以該郵件系統(tǒng)用戶身份鑒別項符合檢查要求。檢查步驟：158（4）檢查主要應(yīng)用系統(tǒng)，查看其是否配備了身份標(biāo)識和鑒別功能；查看其身份鑒別信息是否具有不易被冒用的特點，是否配備鑒別信息復(fù)雜度檢查功能，以保證系統(tǒng)中不存在弱口令。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機房檢查環(huán)境：ExchangeServer2003（4）檢查主要應(yīng)用系統(tǒng)，查看其是否配備了身份標(biāo)識和鑒別功能；159檢查步驟：查看是否可以建立新賬戶。查看系統(tǒng)對新用戶是否具備最基本的身份鑒別功能，即新建用戶密碼的時候需要密碼確認(rèn)。檢查是否配備了鑒別信息復(fù)雜度的檢查功能?？诹钣谩?23”等，查看是否有口令復(fù)雜度檢驗。檢查結(jié)論：該郵件系統(tǒng)用戶身份標(biāo)識和鑒別功能符合檢查要求，但鑒別信息復(fù)雜度檢查項不符合要求。檢查步驟：160（5）檢查主要應(yīng)用系統(tǒng)，查看其是否使用并配置了登錄失敗處理功能。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機房檢查環(huán)境：ExchangeServer2003（5）檢查主要應(yīng)用系統(tǒng)，查看其是否使用并配置了登錄失敗處理功161檢查方案：第一種方法：同第5章，如登錄失敗次數(shù)超過設(shè)定值。第二種方法：查看ExchangeServer2003是否對每一個用戶登錄的時間段進(jìn)行設(shè)置，從而使得對這一項檢查條款的檢查粒度更細(xì)。檢查方案：162檢查步驟：檢查郵件服務(wù)器ExchangeServer2003對用戶“xiang”登錄時間段的設(shè)置情況。淺色代表“拒絕登錄”的時間段，深色代表“允許登錄”的時間段。圖6.6（P178）檢查結(jié)論：該郵件系統(tǒng)登錄失敗處理符合檢查要求。檢查步驟：1632、訪問控制現(xiàn)場檢查第3級安全測評要求對應(yīng)用安全的訪問控制檢查共5項。（1）檢查主要應(yīng)用系統(tǒng)，查看系統(tǒng)是否提供訪問控制機制；是否依據(jù)安全策略控制用戶對客體的訪問。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機房檢查環(huán)境：ExchangeServer20032、訪問控制現(xiàn)場檢查第3級安全測評要求對應(yīng)用安全的訪問控制檢164檢查方案：一是查看郵件服務(wù)器是否可以限制每個用戶發(fā)送/接收郵件的大?。ㄩg接證明控制了用戶對文件或數(shù)據(jù)的訪問）；二是查看能否對郵件來源進(jìn)行控制。檢查方案：165檢查步驟：檢查郵件服務(wù)器ExchangeServer2003對用戶傳遞郵件大小是否進(jìn)行了設(shè)置，同時也查看是否能對郵件來源進(jìn)行控制。圖6.7（P179）檢查結(jié)論：該郵件系統(tǒng)對數(shù)據(jù)訪問權(quán)限進(jìn)行了限定，符合檢查要求。檢查步驟：166（2）檢查主要應(yīng)用系統(tǒng)，查看其自主訪問控制的覆蓋范圍是否包括與信息安全直接相關(guān)的主體、客體和他們之間的操作。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機房檢查環(huán)境：ExchangeServer2003（2）檢查主要應(yīng)用系統(tǒng)，查看其自主訪問控制的覆蓋范圍是否包括167檢查方案：這個檢查涉及方案是要查看ExchangeServer2003是否可以對每個授權(quán)用戶（主體）設(shè)置用戶傳遞（發(fā)送和接受）郵件（客體）的大小。檢查方案：這個檢查涉及方案是要查看ExchangeServ168檢查步驟：檢查郵件服務(wù)器ExchangeServer2003是否能對用戶“xiang”傳遞郵件的大小進(jìn)行設(shè)置。圖6.8（P180）檢查結(jié)論：該郵件系統(tǒng)自主訪問控制的覆蓋范圍符合要求。檢查步驟：169（3）檢查主要應(yīng)用系統(tǒng)，查看該系統(tǒng)是否有對授權(quán)主體進(jìn)行系統(tǒng)功能操作和對數(shù)據(jù)訪問權(quán)限進(jìn)行設(shè)置的功能。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機房檢查環(huán)境：ExchangeServer2003（3）檢查主要應(yīng)用系統(tǒng)，查看該系統(tǒng)是否有對授權(quán)主體進(jìn)行系統(tǒng)功170檢查方案：查看ExchangeServer2003是否對某一具體用戶的操作權(quán)限進(jìn)行了設(shè)置，如創(chuàng)建其他用戶、傳遞郵件的大小，如果能對每個授權(quán)主體設(shè)置操作權(quán)限，則郵件應(yīng)用系統(tǒng)被檢查項滿足要求。檢查方案：171檢查步驟：檢查郵件服務(wù)器ExchangeServer2003是否能對用戶傳遞郵件大小進(jìn)行設(shè)置，即對用戶的操作權(quán)限進(jìn)行設(shè)置。圖6.9（181）檢查結(jié)論：該郵件系統(tǒng)能對授權(quán)主體進(jìn)行系統(tǒng)功能操作和對訪問權(quán)限進(jìn)行設(shè)置，符合檢查要求。檢查步驟：172（4）檢查主要應(yīng)用系統(tǒng)，查看其特權(quán)用戶的權(quán)限是否分離，是否按用戶承擔(dān)任務(wù)情況，只授予他們所需要的最小權(quán)限，且權(quán)限之間是否相互制約。檢查目標(biāo)：檢查其特權(quán)用戶的權(quán)限是否分離檢查對象：“天網(wǎng)”系統(tǒng)中心機房檢查環(huán)境：ExchangeServer2003（4）檢查主要應(yīng)用系統(tǒng)，查看其特權(quán)用戶的權(quán)限是否分離，是否按173檢查方案：設(shè)計的方案是查看ExchangeServer2003是否可以創(chuàng)建新用戶，這是最首要的條件，因為不同權(quán)限的用戶不能是同一用戶。在此基礎(chǔ)上，再查看是否有Administrator和一般用戶，查看管理員用戶和普通用戶權(quán)限設(shè)置的區(qū)別。如果根據(jù)不同角色對不同用戶可以設(shè)置相應(yīng)符合要求的權(quán)限，則郵件子系統(tǒng)被檢查項符合要求。檢查方案：174檢查步驟：先檢查ExchangeServer2003是否能創(chuàng)建多個用戶，然后查看針對administrator設(shè)置不同權(quán)限的情況，如刪除、讀取、更改以及是否取得完全權(quán)限等。檢查天網(wǎng)郵件服務(wù)器ExchangeServer2003是否為普通用戶“xiang”設(shè)置不同的權(quán)限，如刪除、讀取、更改及是否取得完全權(quán)限等。檢查結(jié)論：該郵件特權(quán)用戶的權(quán)限分離設(shè)置符合檢查要求。檢查步驟：175（5）檢查主要應(yīng)用系統(tǒng)，查看其是否有限制默認(rèn)用戶訪問權(quán)限的功能，并已配置使用。檢查目標(biāo)：檢查應(yīng)用系統(tǒng)是否有限制默認(rèn)用戶訪問權(quán)限的功能檢查對象：“天網(wǎng)”系統(tǒng)中心機房檢查環(huán)境：ExchangeServer2003（5）檢查主要應(yīng)用系統(tǒng)，查看其是否有限制默認(rèn)用戶訪問權(quán)限的功176技術(shù)路線：客戶端查看是否可以將一個用戶設(shè)置為默認(rèn)登錄用戶來進(jìn)行檢查。檢查步驟：檢查天網(wǎng)郵件子系統(tǒng)內(nèi)各個客戶端軟件outlook，是否可以將一個用戶設(shè)置成為默認(rèn)登錄用戶。檢查結(jié)論：該郵件系統(tǒng)不能限制默認(rèn)用戶訪問權(quán)限，因此郵件系統(tǒng)的功能設(shè)置不符合檢查要求。技術(shù)路線：客戶端查看是否可以將一個用戶設(shè)置為默認(rèn)登錄用戶來進(jìn)1773、安全審計現(xiàn)場檢查第3級安全測評要求對應(yīng)用安全的安全審計檢查共5項。（1）檢查主要應(yīng)用系統(tǒng)，查看其當(dāng)前審計范圍是否覆蓋到每個用戶。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機房檢查環(huán)境：ExchangeServer20033、安全審計現(xiàn)場檢查第3級安全測評要求對應(yīng)用安全的安全審計檢178檢查方案：查看郵件服務(wù)器是否可以啟用每一個用戶的安全審計日志，如果可以，則說明審計日志記錄了當(dāng)前所有用戶的行為，郵件應(yīng)用系統(tǒng)的此項檢查滿足要求，否則不滿足。檢查方案：查看郵件服務(wù)器是否可以啟用每一個用戶的安全審計日志179檢查步驟：檢查該郵件子系統(tǒng)是否能開啟系統(tǒng)審計功能。如圖6.13（P184）所示，“啟用主體日志記錄和顯示”及“啟用郵件跟蹤”功能已經(jīng)啟用。檢查結(jié)論：該郵件系統(tǒng)審計范圍設(shè)置符合檢查要求。檢查步驟：檢查該郵件子系統(tǒng)是否能開啟系統(tǒng)審計功能。如圖6.1180（2）檢查主要應(yīng)用系統(tǒng)，查看其審計策略是否覆蓋了系統(tǒng)內(nèi)重要的安全相關(guān)事件，如用戶標(biāo)識與鑒別、自主訪問控制的所有操作記錄、重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用。檢查目標(biāo)：檢查審計策略是否覆蓋了系統(tǒng)內(nèi)重要的安全相關(guān)事件檢查對象：“天網(wǎng)”系統(tǒng)中心機房檢查環(huán)境：ExchangeServer2003（2）檢查主要應(yīng)用系統(tǒng)，查看其審計策略是否覆蓋了系統(tǒng)內(nèi)重要的181檢查步驟：進(jìn)入“診斷日志記錄”，查看該郵件子系統(tǒng)中日志記錄所包含的內(nèi)容，對pop3協(xié)議是否審計進(jìn)行檢查。檢查結(jié)論：該郵件系統(tǒng)審計策略事件覆蓋設(shè)置項符合檢查要求。檢查步驟：進(jìn)入“診斷日志記錄”，查看該郵件子系統(tǒng)中日志記錄所182（3）檢查主要應(yīng)用系統(tǒng)，查看其審計記錄信息是否包括事件發(fā)生的日期與時間、觸發(fā)事件的主體與客體、事件的類型、事件成功或失敗、失敗鑒別事件中請求的來源以及事件的結(jié)果等內(nèi)容。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機房檢查環(huán)境：ExchangeServer2003（3）檢查主要應(yīng)用系統(tǒng)，查看其審計記錄信息是否包括事件發(fā)生的183檢查方案：打開歷史審計日志記錄，先制造一個事件，然后查看日志是否包含了事件發(fā)生的主體與課題，如果包含，則郵件應(yīng)用系統(tǒng)此項滿足檢查要求，否則不滿足檢查要求。檢查方案：打開歷史審計日志記錄，先制造一個事件，然后查看日志184檢查步驟：檢查天網(wǎng)郵件子系統(tǒng)服務(wù)器的歷史日志記錄事件，其中包含發(fā)送/接受郵件的ＩＰ地址，郵件地址及發(fā)送事件等。檢查結(jié)論：該郵件系統(tǒng)審計記錄中包含的內(nèi)容符合檢查要求。檢查步驟：檢查天網(wǎng)郵件子系統(tǒng)服務(wù)器的歷史日志記錄事件，其中包185（４）檢查主要應(yīng)用系統(tǒng)，查看其是否為授權(quán)用戶瀏覽和分析審計數(shù)據(jù)提供了專門的審計分析功能，并能根據(jù)需要生成審計報表。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機房檢查環(huán)境：ExchangeServer2003（４）檢查主要應(yīng)用系統(tǒng)，查看其是否為授權(quán)用戶瀏覽和分析審計數(shù)186檢查步驟：檢查天網(wǎng)郵件子系統(tǒng)服務(wù)器日志記錄項是否可以劃分重要性等級。檢查結(jié)論：該郵件系統(tǒng)審計記錄重要性等級項功能設(shè)置符合檢查要求。檢查步驟：187（５）檢查主要應(yīng)用系統(tǒng)，查看其能否對特定事件值得實時報警檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機房檢查環(huán)境：ExchangeServer2003（５）檢查主要應(yīng)用系統(tǒng)，查看其能否對特定事件值得實時報警188檢查步驟：檢查天網(wǎng)郵件子系統(tǒng)服務(wù)器是否可以設(shè)置對郵箱存儲或郵件傳遞的限制，以及當(dāng)郵件存儲達(dá)到限度時的報警功能。檢查結(jié)論：該郵件系統(tǒng)對重要安全事件報警項符合檢查要求。檢查步驟：檢查天網(wǎng)郵件子系統(tǒng)服務(wù)器是否可以設(shè)置對郵箱存儲或郵189４、剩余信息保護(hù)現(xiàn)場檢查第３級安全測評要求對應(yīng)用安全的剩余信息保護(hù)檢查共２項。（１）檢查設(shè)計／驗收文檔，查看其是否有系統(tǒng)在釋放或再分配鑒別信息所在存儲空間給其他用戶前將其進(jìn)行清（硬盤和內(nèi)存）除的描述。４、剩余信息保護(hù)現(xiàn)場檢查第３級安全測評要求對應(yīng)用安全的剩余信190（２）檢查設(shè)計／驗收文檔，查看是否有關(guān)于釋放或重新分配系統(tǒng)內(nèi)文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間給其他用戶前進(jìn)行清除的描述。（２）檢查設(shè)計／驗收文檔，查看是否有關(guān)于釋放或重新分配系統(tǒng)內(nèi)191５、通信完整性現(xiàn)場檢查第３級安全測評要求對應(yīng)用安全的通信完整性檢查只有１項。檢查設(shè)計／驗收文檔，查看是否有通信完整性的說明，如果有，則查看其是否有根據(jù)校驗碼判斷對方數(shù)據(jù)有效性的描述，以及用散列密碼計算報文驗證碼的描述。５、通信完整性現(xiàn)場檢查第３級安全測評要求對應(yīng)用安全的通信完整192６、軟件容錯現(xiàn)場檢查第３級安全測評要求對應(yīng)用安全的軟件容錯檢查只有一項。檢查主要應(yīng)用系統(tǒng)，查看業(yè)務(wù)系統(tǒng)是否對通過人－機接口輸入（如用戶界面的數(shù)據(jù)輸入）或通過通信接口輸入的數(shù)據(jù)進(jìn)行了有效性驗證；是否在故障發(fā)生時能自動保護(hù)當(dāng)前所有狀態(tài)信息。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機房檢查環(huán)境：ExchangeServer2003６、軟件容錯現(xiàn)場檢查第３級安全測評要求對應(yīng)用安全的軟件容錯檢193檢查方案：為了對郵件應(yīng)用系統(tǒng)進(jìn)行軟件容錯檢查，設(shè)計了兩個實驗：一是在郵件子系統(tǒng)客戶端創(chuàng)建新的郵件賬戶，同時輸入不合法的郵件地址，查看系統(tǒng)是否能自動檢測出不合法信息；二是通過寫郵件過程中的強制關(guān)閉系統(tǒng)和重新啟動系統(tǒng)，來檢查系統(tǒng)是否能保護(hù)中斷前的狀態(tài)信息。檢查方案：為了對郵件應(yīng)用系統(tǒng)進(jìn)行軟件容錯檢查，設(shè)計了兩個實驗194檢查步驟：檢查該郵件子系統(tǒng)服務(wù)器客戶端是否對不合法的郵件地址進(jìn)行檢查。（沒有＠符號）驗證系統(tǒng)能否在故障發(fā)生時自動保護(hù)當(dāng)前所有狀態(tài)信息。編寫電子郵件，非法關(guān)機，開機后，郵件丟失。檢查結(jié)論：該郵件系統(tǒng)通過人－機接口輸入數(shù)據(jù)的有效性檢驗符合檢查要求；但系統(tǒng)不能在故障發(fā)生時自動保護(hù)當(dāng)前所有狀態(tài)信息，不滿足檢查要求。檢查步驟：195７資源控制現(xiàn)場檢查第３級安全測評要求對應(yīng)用安全的資源控制檢查共３項（１）檢查主要應(yīng)用系統(tǒng)，查看是否限制了單個賬戶的多重并發(fā)會話功能；系統(tǒng)是否有最大并發(fā)會話連接數(shù)的限制，是否對一個時間段內(nèi)可能的并發(fā)會話連接數(shù)進(jìn)行了限制；是否能根據(jù)安全策略設(shè)定主體的服務(wù)優(yōu)先級，根據(jù)優(yōu)先級分配系統(tǒng)資源。７資源控制現(xiàn)場檢查第３級安全測評要求對應(yīng)用安全的資源控制檢查196檢查目標(biāo)：檢查系統(tǒng)是否有最大并發(fā)會話連接數(shù)的限制，是否對一個時間段內(nèi)可能的并發(fā)會話連接數(shù)進(jìn)行了限制。檢查對象：“天網(wǎng)”系統(tǒng)中心機房檢查環(huán)境：ExchangeServer2003檢查目標(biāo)：檢查系統(tǒng)是否有最大并發(fā)會話連接數(shù)的限制，是否對一個197檢查步驟：檢查天網(wǎng)郵件子系統(tǒng)服務(wù)器，是否設(shè)置了在同一時間內(nèi)同時連接到郵件服務(wù)器的客戶端數(shù)量。圖６.２０（Ｐ１９０）檢查結(jié)論：該郵件系統(tǒng)最大并發(fā)會話連接數(shù)的限制符合檢查要求。檢查步驟：檢查天網(wǎng)郵件子系統(tǒng)服務(wù)器，是否設(shè)置了在同一時間內(nèi)同198（２）檢查主要應(yīng)用系統(tǒng)，查看是否對一個訪問賬戶或一個請求進(jìn)程占用的資源分配了最大和最小限額。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機房檢查環(huán)境：ExchangeServer2003（２）檢查主要應(yīng)用系統(tǒng)，查看是否對一個訪問賬戶或一個請求進(jìn)程199檢查步驟：檢查天網(wǎng)郵件子系統(tǒng)服務(wù)器，是否可以設(shè)置用戶郵箱存儲、發(fā)送和接收郵件的大小，同時是否可以對每封郵件發(fā)送人數(shù)進(jìn)行設(shè)置。檢查結(jié)論：該郵件系統(tǒng)的一個訪問賬戶或一個請求進(jìn)程占用的資源分配最大限額和最小限額項符合應(yīng)用檢查要求。檢查步驟：檢查天網(wǎng)郵件子系統(tǒng)服務(wù)器，是否可以設(shè)置用戶郵箱存儲200（３）檢查主要應(yīng)用系統(tǒng)，查看是否有服務(wù)水平最小值的設(shè)定，當(dāng)系統(tǒng)的服務(wù)水平下價格到預(yù)先設(shè)定的最小值時，系統(tǒng)報警。檢查目標(biāo)：檢查是否有服務(wù)水平最小值得設(shè)定檢查對象：“天網(wǎng)”系統(tǒng)中心機房檢查環(huán)境：ExchangeServer2003（３）檢查主要應(yīng)用系統(tǒng)，查看是否有服務(wù)水平最小值的設(shè)定，當(dāng)系201檢查步驟：檢查天網(wǎng)郵件子系統(tǒng)服務(wù)器，是否可以設(shè)置用戶郵箱存儲、發(fā)送和接收郵件的大小，是否對超過上限值的情況進(jìn)行了報警。檢查結(jié)論：該郵件系統(tǒng)服務(wù)最低水平值項符合應(yīng)用安全測評資源控制檢查要求。檢查步驟：檢查天網(wǎng)郵件子系統(tǒng)服務(wù)器，是否可以設(shè)置用戶郵箱存儲202應(yīng)用安全測試應(yīng)用安全測試203１、身份鑒別測試第３級安全測評要求對應(yīng)用安全的身份鑒別測試共有２項（１）測試主要應(yīng)用系統(tǒng)，通過以某注冊用戶身份登錄系統(tǒng)，查看登錄是否成功，驗證其身份標(biāo)識和鑒別功能是否有效。測試目標(biāo)：測試身份標(biāo)識和鑒別功能是否有效測試對象：“天網(wǎng)”郵件服務(wù)器測試環(huán)境：“天網(wǎng)”系統(tǒng)中心機房１、身份鑒別測試第３級安全測評要求對應(yīng)用安全的身份鑒別測試共204測試步驟：創(chuàng)建一個ｘｉａｎｇ用戶對該用戶分配用戶口令使用該用戶名和口令登錄測試結(jié)論：該郵件系統(tǒng)身份標(biāo)識和鑒別功能項符合測試要求。測試步驟：205（２）測試主要應(yīng)用系統(tǒng)，驗證其登錄失敗處理功能是否有效。測試目標(biāo)：如上測試對象：“天網(wǎng)”郵件服務(wù)器測試環(huán)境：“天網(wǎng)”系統(tǒng)中心機房（２）測試主要應(yīng)用系統(tǒng)，驗證其登錄失敗處理功能是否有效。206測試方案：在郵件系統(tǒng)服務(wù)器上限制某客戶端登錄服務(wù)器時間，如果登錄不成功說明郵件應(yīng)用系統(tǒng)此項符合測評要求。測試步驟：根據(jù)服務(wù)