MH-T 0067-2018民航Web應(yīng)用系統(tǒng)安全檢查指南

ICS35.020

V07

MH

中華人民共和國民用航空行業(yè)標(biāo)準(zhǔn)

MH/T0067—2018

民航Web應(yīng)用系統(tǒng)安全檢查指南

SecuritytestingguideforWebapplicationsystemofcivilaviation

2018-12-14發(fā)布2019-04-01實(shí)施

中國民用航空局發(fā)布

MH/T0067—2018

民航Web應(yīng)用系統(tǒng)安全檢查指南

1范圍

本標(biāo)準(zhǔn)規(guī)定了針對民航Web應(yīng)用系統(tǒng)檢測的基本原則、工作方式。

本標(biāo)準(zhǔn)適用于指導(dǎo)對Web應(yīng)用系統(tǒng)進(jìn)行安全檢測。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T28448信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求

GB/T22239信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求

GB/T20984信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范

GB/T31509信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估實(shí)施指南

GB/T25058信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南術(shù)語和定義

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1

軟件容錯softwarefault-tolerance

軟件在一定程度上能從錯誤狀態(tài)自動恢復(fù)到正常狀態(tài)的功能。

4民航Web應(yīng)用系統(tǒng)安全檢測基本原則和方式

4.1檢測的基本原則

4.1.1標(biāo)準(zhǔn)性原則

民航Web應(yīng)用系統(tǒng)安全檢測應(yīng)符合GB/T31509和GB/T25058中的檢測流程的相關(guān)要求。

4.1.2可控性原則

在安全檢測項(xiàng)目實(shí)施過程中，應(yīng)嚴(yán)格按照標(biāo)準(zhǔn)的項(xiàng)目管理方法對服務(wù)過程、人員和工具等進(jìn)行控制，

以保證檢測實(shí)施過程的可控和安全，具體措施如下：MH

a)人員與信息可控性：參與檢測的人員應(yīng)該簽署保密協(xié)議，以保證檢測項(xiàng)目信息的安全；對測試

過程中產(chǎn)生的數(shù)據(jù)應(yīng)嚴(yán)格管理，防止數(shù)據(jù)泄露；

1

MH/T0067—2018

b)過程可控性：應(yīng)按照項(xiàng)目管理要求，成立項(xiàng)目實(shí)施團(tuán)隊(duì)，項(xiàng)目組長負(fù)責(zé)制，以便使項(xiàng)目過程可

控；進(jìn)行安全測試前，測試人員應(yīng)與被測試方進(jìn)行充分的溝通，并且在測試前告知被測試方測

試時(shí)間和測試策略；

c)工具可控性：檢測過程中應(yīng)使用經(jīng)過國家或民航部門檢測認(rèn)可的相關(guān)工具。

4.1.3最小影響原則

對于正在運(yùn)行的民航Web應(yīng)用系統(tǒng)，測試前應(yīng)與被測試方確定合適的測試時(shí)間窗口，避開業(yè)務(wù)高峰

期，同時(shí)做好業(yè)務(wù)系統(tǒng)的應(yīng)急預(yù)案。

4.2檢測的工作方式

4.2.1人工訪談

專業(yè)的信息安全人員與Web應(yīng)用系統(tǒng)管理、運(yùn)維和使用人員進(jìn)行溝通、交流，全面地掌握Web應(yīng)用系

統(tǒng)的業(yè)務(wù)流程、數(shù)據(jù)流程、網(wǎng)絡(luò)架構(gòu)、主機(jī)系統(tǒng)、運(yùn)維情況、管理機(jī)構(gòu)以及管理制度等各個(gè)方面的信息，

對Web應(yīng)用系統(tǒng)的安全現(xiàn)狀進(jìn)行全面的了解。

4.2.2人工檢查

利用專業(yè)人員的技術(shù)和經(jīng)驗(yàn)對民航Web應(yīng)用系統(tǒng)進(jìn)行安全測試。

4.2.3工具測試

采用自動化Web掃描工具對檢測目標(biāo)進(jìn)行安全測試，可以充分了解Web系統(tǒng)當(dāng)前的安全現(xiàn)狀、具有的

脆弱性、面臨的潛在威脅、可能的影響和風(fēng)險(xiǎn)等信息。

4.2.4滲透測試

模擬黑客的攻擊手段對民航Web應(yīng)用系統(tǒng)進(jìn)行安全測試。

5民航Web應(yīng)用系統(tǒng)安全檢測階段性工作

5.1檢測流程

民航Web應(yīng)用系統(tǒng)安全檢測應(yīng)分為四個(gè)階段：

——檢測準(zhǔn)備階段；

——檢測方案編制階段；

——檢測具體實(shí)施階段；

——檢測報(bào)告編寫階段。

5.2檢測準(zhǔn)備階段

5.2.1檢測準(zhǔn)備階段工作

檢測準(zhǔn)備階段的主要任務(wù)是確定檢測的目標(biāo)、范圍，成立檢測團(tuán)隊(duì)以及掌握被檢測的民航Web應(yīng)用

系統(tǒng)的相關(guān)信息。

5.2.2確定檢測目的

2

MH/T0067—2018

對民航Web應(yīng)用系統(tǒng)檢測的目標(biāo)是了解Web應(yīng)用系統(tǒng)存在的安全風(fēng)險(xiǎn)，并對發(fā)現(xiàn)的安全風(fēng)險(xiǎn)提出相應(yīng)

的安全加固建議。

5.2.3確定檢測范圍

對民航Web應(yīng)用系統(tǒng)進(jìn)行檢測，應(yīng)掌握系統(tǒng)運(yùn)行的業(yè)務(wù)特點(diǎn)，并根據(jù)其特點(diǎn)確定其業(yè)務(wù)邏輯邊界。

5.2.4組建檢測團(tuán)隊(duì)

應(yīng)針對檢測項(xiàng)目組建檢測團(tuán)隊(duì)，由檢測方和被檢測方共同組成項(xiàng)目組，并明確項(xiàng)目組成員的職責(zé)。

5.2.5系統(tǒng)調(diào)研

應(yīng)對要檢測的民航Web應(yīng)用系統(tǒng)進(jìn)行調(diào)研，掌握被檢測目標(biāo)采用的編寫語言、中間件、調(diào)用的第三

方庫文件等信息。

5.2.6確定檢測依據(jù)

檢測依據(jù)為：

a)GB/T28448

b)GB/T20984

5.2.7確定檢測工具原則

檢測工具的選擇和使用應(yīng)遵循以下原則：

a)檢測工具應(yīng)盡可能具備比較全面的漏洞檢測能力；

b)檢測工具使用的檢測策略和檢測方式不應(yīng)對Web應(yīng)用系統(tǒng)造成不正常的影響；

c)應(yīng)盡可能對工具檢測的結(jié)果進(jìn)行人工驗(yàn)證，盡可能少的出現(xiàn)誤報(bào)現(xiàn)象；

d)檢測工具的選擇和使用應(yīng)符合國家有關(guān)規(guī)定。

5.3檢測方案編制階段

應(yīng)根據(jù)檢測準(zhǔn)備階段獲取的信息，制訂檢測方案。主要內(nèi)容包括：

a)檢測的目標(biāo)、評估范圍和評估依據(jù)；

b)檢測團(tuán)隊(duì)成員及職責(zé)；

c)檢測工作計(jì)劃：項(xiàng)目實(shí)施進(jìn)度安排以及各階段的工作內(nèi)容、形式和工作成果；

d)風(fēng)險(xiǎn)規(guī)避措施：包括保密協(xié)議、評估工作環(huán)境要求、評估方法、工具選擇以及應(yīng)急預(yù)案等；

e)項(xiàng)目驗(yàn)收方式：包括驗(yàn)收方式、依據(jù)和結(jié)論定義。

5.4檢測具體實(shí)施階段

5.4.1通則

檢測具體實(shí)施階段的任務(wù)是按照檢測方案對被檢測目標(biāo)，應(yīng)按照附錄A中的內(nèi)容進(jìn)行檢測，并詳細(xì)

記錄檢測過程數(shù)據(jù)。MH

5.4.2檢測實(shí)施

5.4.2.1身份鑒別

5.4.2.1.1應(yīng)訪談Web應(yīng)用系統(tǒng)管理員，詢問Web應(yīng)用系統(tǒng)是否采取身份標(biāo)識和鑒別措施，具體措施

的內(nèi)容；以及防止身份鑒別信息被冒用的措施種類。

3

MH/T0067—2018

5.4.2.1.2應(yīng)訪談Web應(yīng)用系統(tǒng)管理員，詢問Web應(yīng)用系統(tǒng)是否具有登錄失敗處理功能。

5.4.2.1.3應(yīng)檢查設(shè)計(jì)或驗(yàn)收文檔，查看其是否有系統(tǒng)采用了保證唯一標(biāo)識的措施的描述。

5.4.2.1.4應(yīng)檢查操作規(guī)程和操作記錄，查看其是否有添加、刪除用戶和修改用戶權(quán)限的操作規(guī)程、

操作記錄和審批記錄。

5.4.2.1.5應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看其是否采用了兩個(gè)及兩個(gè)以上身份鑒別技術(shù)的組合來進(jìn)行

身份鑒別。

5.4.2.1.6應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看其是否提供身份標(biāo)識和鑒別功能；查看其身份鑒別信息是

否具有不易被冒用的特點(diǎn)；其鑒別信息復(fù)雜度檢查功能是否能保證系統(tǒng)中不存在弱口令等。

5.4.2.1.7應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看其提供的登錄失敗處理功能，是否根據(jù)安全策略配置了相

關(guān)參數(shù)。

5.4.2.1.8應(yīng)測試主要Web應(yīng)用系統(tǒng)，可通過試圖以合法和非法用戶分別登錄系統(tǒng)，查看是否成功，

驗(yàn)證其身份標(biāo)識和鑒別功能是否有效。

5.4.2.1.9應(yīng)測試主要Web應(yīng)用系統(tǒng)，驗(yàn)證其登錄失敗處理功能是否有效。

5.4.2.1.10應(yīng)滲透測試主要Web應(yīng)用系統(tǒng)，驗(yàn)證Web應(yīng)用系統(tǒng)身份標(biāo)識和鑒別功能是否不存在明顯的

弱點(diǎn)。

5.4.2.2訪問控制

5.4.2.2.1應(yīng)訪談Web應(yīng)用系統(tǒng)管理員，詢問Web應(yīng)用系統(tǒng)是否提供訪問控制措施，以及具體措施和

訪問控制策略，訪問控制的粒度。

5.4.2.2.2應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看系統(tǒng)是否提供訪問控制機(jī)制；是否依據(jù)安全策略控制用戶

對客體的訪問。

5.4.2.2.3應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看其訪問控制的覆蓋范圍是否包括與信息安全直接相關(guān)的主

體、客體及它們之間的操作；訪問控制的粒度是否達(dá)到主體為用戶級，客體為文件、數(shù)據(jù)庫表級。

5.4.2.2.4應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看其是否有由授權(quán)用戶設(shè)置其它用戶訪問系統(tǒng)功能和用戶數(shù)

據(jù)的權(quán)限的功能，是否限制默認(rèn)用戶的訪問權(quán)限。

5.4.2.2.5應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看系統(tǒng)是否授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)

限，特權(quán)用戶的權(quán)限是否分離，權(quán)限之間是否相互制約。

5.4.2.2.6應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看是否依據(jù)安全策略嚴(yán)格控制用戶對限制類型資源的操作。

5.4.2.2.7應(yīng)測試主要Web應(yīng)用系統(tǒng)，可通過以不同權(quán)限的用戶登錄系統(tǒng)，查看其擁有的權(quán)限是否與

系統(tǒng)賦予的權(quán)限一致，驗(yàn)證Web應(yīng)用系統(tǒng)訪問控制功能是否有效。

5.4.2.2.8應(yīng)測試主要Web應(yīng)用系統(tǒng)，可通過默認(rèn)用戶登錄系統(tǒng)，并進(jìn)行一些合法和非法操作，用來

驗(yàn)證系統(tǒng)是否嚴(yán)格限制了默認(rèn)賬戶的訪問權(quán)限。

5.4.2.2.9應(yīng)滲透測試主要Web應(yīng)用系統(tǒng)，驗(yàn)證Web應(yīng)用系統(tǒng)的訪問控制功能是否有效。

5.4.2.3安全審計(jì)

5.4.2.3.1應(yīng)訪談安全審計(jì)員，詢問Web應(yīng)用系統(tǒng)是否有安全審計(jì)功能，對事件進(jìn)行審計(jì)的策略，以

及審計(jì)日志的保護(hù)措施。

5.4.2.3.2應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看是否開啟了日志功能。

5.4.2.3.3應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看其當(dāng)前審計(jì)范圍是否覆蓋到每個(gè)用戶。

4

MH/T0067—2018

5.4.2.3.4應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看其審計(jì)策略是否覆蓋系統(tǒng)內(nèi)重要的安全相關(guān)事件，包括但

不限于用戶標(biāo)識與鑒別、訪問控制的所有操作記錄、重要用戶行為、系統(tǒng)資源的異常使用、重要系統(tǒng)命

令的使用等。

5.4.2.3.5應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看其審計(jì)記錄信息是否包括事件發(fā)生的日期與時(shí)間、觸發(fā)事

件的主體與客體、事件的類型、事件成功或失敗、身份鑒別事件中請求的來源、事件的結(jié)果等內(nèi)容。

5.4.2.3.6應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看其是否為授權(quán)用戶瀏覽和分析審計(jì)數(shù)據(jù)提供專門的審計(jì)分

析功能，并能根據(jù)需要生成審計(jì)報(bào)表。

5.4.2.3.7應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看其日志保存期是否少于6個(gè)月。

5.4.2.3.8應(yīng)測試主要Web應(yīng)用系統(tǒng)，在Web應(yīng)用系統(tǒng)上試圖產(chǎn)生一些重要的安全相關(guān)事件，查看Web

應(yīng)用系統(tǒng)是否對其進(jìn)行了審計(jì)，驗(yàn)證Web應(yīng)用系統(tǒng)安全審計(jì)的覆蓋情況是否覆蓋到每個(gè)用戶；如果進(jìn)行

了審計(jì)則查看審計(jì)記錄內(nèi)容是否包含事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等。

5.4.2.3.9應(yīng)測試主要Web應(yīng)用系統(tǒng)，試圖非授權(quán)刪除、修改或覆蓋審計(jì)記錄，驗(yàn)證安全審計(jì)的保護(hù)

情況是否無法非授權(quán)刪除、修改或覆蓋審計(jì)記錄。

5.4.2.4系統(tǒng)敏感信息保護(hù)（順序調(diào)整）

5.4.2.4.1應(yīng)訪談Web應(yīng)用系統(tǒng)管理員，詢問Web應(yīng)用系統(tǒng)是否對敏感信息的存儲和使用采取的安全

措施。

5.4.2.4.2應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看其是否在發(fā)布文件中包含備份、系統(tǒng)配置等敏感文件。

5.4.2.4.3應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看其是否對部署文件進(jìn)行必要的修改，防止敏感信息泄露。

5.4.2.4.4應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看其是否在停止使用后將所有信息進(jìn)行清除。

5.4.2.4.5應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看其數(shù)據(jù)庫中的敏感字段是否進(jìn)行加密存儲。

5.4.2.4.6應(yīng)測試主要Web應(yīng)用系統(tǒng)，是否限制系統(tǒng)配置等敏感文件的下載。

5.4.2.4.7應(yīng)測試主要Web應(yīng)用系統(tǒng)，是否有開源組件等信息暴露。

5.4.2.5通信安全性

5.4.2.5.1應(yīng)訪談安全管理員，詢問Web應(yīng)用系統(tǒng)是否具有在數(shù)據(jù)傳輸過程中的保護(hù)措施，以及具體

措施的內(nèi)容。

5.4.2.5.2應(yīng)檢查設(shè)計(jì)或驗(yàn)收文檔，查看其是否有關(guān)于保護(hù)通信安全性的說明。

5.4.2.5.3應(yīng)測試主要Web應(yīng)用系統(tǒng)，通過查看通信雙方數(shù)據(jù)包的內(nèi)容，查看系統(tǒng)是否能在通信雙方

建立連接之前，利用密碼技術(shù)進(jìn)行會話初始化驗(yàn)證；查看系統(tǒng)在通信過程中，對整個(gè)報(bào)文或會話過程進(jìn)

行加密的功能是否有效。

5.4.2.6軟件容錯

5.4.2.6.1應(yīng)訪談Web應(yīng)用系統(tǒng)管理員，詢問Web應(yīng)用系統(tǒng)是否具有保證軟件容錯能力的措施，以及

具體措施的內(nèi)容。

5.4.2.6.2M應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看Web應(yīng)用系統(tǒng)是否對人機(jī)接口輸入或通信接口輸入的數(shù)據(jù)H

進(jìn)行有效性和安全性校驗(yàn)。

5.4.2.6.3應(yīng)滲透測試主要Web應(yīng)用系統(tǒng)，驗(yàn)證Web應(yīng)用系統(tǒng)對用戶輸入的各類數(shù)據(jù)進(jìn)行了有效性和

安全性校驗(yàn)。

5.4.2.6.4應(yīng)采用代碼審計(jì)手段對主要Web應(yīng)用系統(tǒng)代碼進(jìn)行安全審計(jì)。

5

MH/T0067—2018

5.4.2.7資源控制

5.4.2.7.1應(yīng)訪談Web應(yīng)用系統(tǒng)管理員，詢問Web應(yīng)用系統(tǒng)是否有資源控制的措施，以及具體措施的

內(nèi)容。

5.4.2.7.2應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看是否限制單個(gè)賬戶的多重并發(fā)會話；是否對一個(gè)時(shí)間段內(nèi)

可能的并發(fā)會話連接數(shù)進(jìn)行限制；是否對最短連接時(shí)間進(jìn)行限制。

5.4.2.7.3應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看是否有服務(wù)水平最小值的設(shè)定，當(dāng)系統(tǒng)的服務(wù)水平降低到

預(yù)先設(shè)定的最小值時(shí)，系統(tǒng)報(bào)警。

5.4.2.7.4應(yīng)測試主要Web應(yīng)用系統(tǒng)，可通過對系統(tǒng)進(jìn)行超過規(guī)定的單個(gè)賬戶的多重并發(fā)會話數(shù)進(jìn)行

連接，驗(yàn)證系統(tǒng)是否能夠正確地限制單個(gè)賬戶的多重并發(fā)會話數(shù)。

5.4.2.7.5應(yīng)測試主要Web應(yīng)用系統(tǒng)，可試圖使服務(wù)水平降低到預(yù)先規(guī)定的最小值，驗(yàn)證系統(tǒng)是否能

夠正確檢測并報(bào)警。

5.4.2.7.6應(yīng)測試重要Web應(yīng)用系統(tǒng)，當(dāng)Web應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響

應(yīng)，查看另一方是否能夠自動結(jié)束會話。

5.4.2.8數(shù)據(jù)的備份和恢復(fù)

5.4.2.8.1應(yīng)訪談Web應(yīng)用系統(tǒng)管理員，詢問應(yīng)有程序是否有備份功能及備份策略。

5.4.2.8.2應(yīng)檢查設(shè)計(jì)或驗(yàn)收文檔，查看Web應(yīng)用系統(tǒng)是否有備份功能。

5.4.2.8.3應(yīng)測試Web應(yīng)用系統(tǒng)，查看Web應(yīng)用系統(tǒng)數(shù)據(jù)備份功能策略以及有效性。

5.4.2.9業(yè)務(wù)邏輯安全

5.4.2.9.1應(yīng)訪談業(yè)務(wù)主管人員，詢問Web應(yīng)用系統(tǒng)的業(yè)務(wù)處理流程，分析業(yè)務(wù)流程是否合理，并對

系統(tǒng)代碼進(jìn)行驗(yàn)證。

5.4.2.9.2應(yīng)訪談系統(tǒng)開發(fā)人員，詢問Web應(yīng)用系統(tǒng)身份認(rèn)證機(jī)制以及控制邏輯，并對系統(tǒng)代碼進(jìn)行

驗(yàn)證。

5.4.2.10管理制度

5.4.2.10.1應(yīng)按照信息系統(tǒng)等級保護(hù)三級基本要求對Web應(yīng)用系統(tǒng)開展管理制度檢測。

5.4.2.10.2應(yīng)訪談系統(tǒng)管理員、安全審計(jì)員和用戶，詢問Web應(yīng)用系統(tǒng)是否有管理制度和使用說明文

件等。

5.4.2.10.3應(yīng)檢查設(shè)計(jì)或驗(yàn)收文檔，是否按照信息系統(tǒng)等級保護(hù)三級基本要求進(jìn)行設(shè)計(jì)和建設(shè)。

5.4.3文檔管理

確保檢測文檔資料的完整性、準(zhǔn)確性和安全性，應(yīng)遵循以下原則：

a)應(yīng)指派專人負(fù)責(zé)文檔的整理和保存；

b)文檔應(yīng)注明項(xiàng)目相關(guān)信息：項(xiàng)目名稱、文檔名稱、版本號、審批人、分發(fā)范圍等；

c)未經(jīng)允許不應(yīng)將項(xiàng)目信息泄露給無關(guān)人員和組織。

5.5檢測報(bào)告編寫階段

應(yīng)對檢測過程和檢測結(jié)果進(jìn)行分析整理，并對被檢測目標(biāo)的安全狀況進(jìn)行評價(jià)，給出相應(yīng)的安全加

固建議，形成最終報(bào)告。

6

MH/T0067—2018

MH

7

MH/T0067—2018

AA

附錄A

（規(guī)范性附錄）

Web應(yīng)用系統(tǒng)安全基本要求

A.1身份鑒別

A.1.1應(yīng)在系統(tǒng)管理和普通用戶管理等模塊提供登錄認(rèn)證功能，對登錄用戶進(jìn)行身份標(biāo)識和鑒別。

A.1.2對于重要的系統(tǒng)模塊應(yīng)采取兩種及以上的鑒別技術(shù)對用戶進(jìn)行身份鑒別。

A.1.3應(yīng)對用戶錄入的帳戶及口令進(jìn)行唯一性和復(fù)雜度的驗(yàn)證，確保不被冒用。

A.1.4應(yīng)提供驗(yàn)證碼、限制非法次數(shù)、自動退出、結(jié)束會話等措施，防止暴力破解等。

A.2訪問控制

A.2.1應(yīng)在配置文件中限定用戶訪問及下載的文件類型。（測試中要有具體的方式）

A.2.2應(yīng)在配置文件中限定用戶對各個(gè)目錄及文件的操作權(quán)限。

A.2.3應(yīng)對不同的賬戶設(shè)定不同的權(quán)限：一方面根據(jù)職能劃分，另一方面根據(jù)管理權(quán)限劃分，并在它

們之間形成制約關(guān)系。

A.2.4應(yīng)在代碼中限定上傳的文件類型或訪問的文件路徑及類型。

A.2.5應(yīng)在后臺登陸的模塊代碼中對用戶的權(quán)限進(jìn)行限制，防止縱向越權(quán)和橫向越權(quán)訪問。

A.2.6訪問控制還要參考等級保護(hù)基本要求中主機(jī)安全訪問控制等要求。

A.3安全審計(jì)（放在備份之后）

A.3.1應(yīng)在Web應(yīng)用系統(tǒng)中設(shè)計(jì)操作日志審計(jì)模塊。

A.3.2操作日志的內(nèi)容應(yīng)覆蓋到每個(gè)用戶。

A.3.3操作日志內(nèi)容應(yīng)包括操作類型、時(shí)間、賬戶、操作結(jié)果等。

A.3.4應(yīng)具有操作日志進(jìn)行統(tǒng)計(jì)、查詢、分析及生成報(bào)表的功能。

A.3.5日志保存期不少于6個(gè)月。

A.4系統(tǒng)信息保護(hù)

A.4.1應(yīng)對報(bào)錯文件進(jìn)行配置，防止暴露敏感信息。

A.4.2不應(yīng)在系統(tǒng)中存放敏感信息，如系統(tǒng)備份文件、系統(tǒng)配置信息等。

A.4.3應(yīng)對配置文件進(jìn)行設(shè)置，盡量不暴露系統(tǒng)的信息，如操作系統(tǒng)，web容器等。

A.4.4如采用開源組件應(yīng)進(jìn)行必要的修改，防止相關(guān)信息暴露。

A.4.5系統(tǒng)在停止使用后，應(yīng)將所有信息進(jìn)行完全清除。

A.4.6數(shù)據(jù)庫中的敏感信息加密存儲。

A.5通信的安全性

A.5.1對于重要模塊，建議采用加密方式進(jìn)行信息交互。

8

MH/T0067—2018

A.5.2應(yīng)對數(shù)據(jù)的原發(fā)者和接收者提供數(shù)據(jù)接收和發(fā)送的抗抵賴功能。

A.6軟件容錯

應(yīng)對用戶輸入的數(shù)據(jù)進(jìn)行有效的校驗(yàn)，包括內(nèi)容的有效性和攻擊代碼的檢測。

A.7資源控制

A.7.1應(yīng)在Web容器中限定最大連接時(shí)間。

A.7.2應(yīng)在Web容器中限定系統(tǒng)的最大并發(fā)連接數(shù)。

A.7.3應(yīng)在系統(tǒng)代碼設(shè)計(jì)時(shí)對單個(gè)用戶的多重會話進(jìn)行限制。

A.7.4對重要的Web應(yīng)用系統(tǒng)，應(yīng)部署運(yùn)行狀況監(jiān)測系統(tǒng)對系統(tǒng)資源的狀態(tài)進(jìn)行檢測和報(bào)警。

A.8數(shù)據(jù)的備份恢復(fù)

A.8.1系統(tǒng)應(yīng)提供數(shù)據(jù)備份功能，可以手工或自動對數(shù)據(jù)進(jìn)行備份。

A.8.2對于重要Web應(yīng)用系統(tǒng)應(yīng)采取冗余的方式。

A.8.3特別重要Web應(yīng)用系統(tǒng)數(shù)據(jù)備份應(yīng)采用異地備份方式。

A.9業(yè)務(wù)邏輯安全

A.9.1應(yīng)對民航Web應(yīng)用系統(tǒng)的業(yè)務(wù)處理流程進(jìn)行審計(jì)，防止業(yè)務(wù)流程漏洞。

A.9.2應(yīng)對民航Web應(yīng)用系統(tǒng)的身份認(rèn)證流程進(jìn)行安全審計(jì)，防止非授權(quán)進(jìn)入系統(tǒng)。

A.10管理制度

A.10.1應(yīng)用戶操作管理制度，防止人為原因造成安全隱患。

A.10.2應(yīng)根據(jù)GB/T22239對系統(tǒng)進(jìn)行設(shè)計(jì)、建設(shè)和運(yùn)維。

M_________________________________H

9

MH/T0067—2018

前言

本標(biāo)準(zhǔn)按照GB/T1.1-2009給出的規(guī)則起草。

本標(biāo)準(zhǔn)由中國民用航空局人事科教司提出。

本標(biāo)準(zhǔn)由中國民航科學(xué)技術(shù)研究院歸口。

本標(biāo)準(zhǔn)起草單位：中國民航大學(xué)。

本標(biāo)準(zhǔn)主要起草人：馬勇、顧兆軍、劉春波、周景賢、王雙、張禮哲、鐘友兵。

MH

I

MH/T0067—2018

民航Web應(yīng)用系統(tǒng)安全檢查指南

1范圍

本標(biāo)準(zhǔn)規(guī)定了針對民航Web應(yīng)用系統(tǒng)檢測的基本原則、工作方式。

本標(biāo)準(zhǔn)適用于指導(dǎo)對Web應(yīng)用系統(tǒng)進(jìn)行安全檢測。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T28448信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求

GB/T22239信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求

GB/T20984信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范

GB/T31509信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估實(shí)施指南

GB/T25058信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南術(shù)語和定義

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1

軟件容錯softwarefault-tolerance

軟件在一定程度上能從錯誤狀態(tài)自動恢復(fù)到正常狀態(tài)的功能。

4民航Web應(yīng)用系統(tǒng)安全檢測基本原則和方式

4.1檢測的基本原則

4.1.1標(biāo)準(zhǔn)性原則

民航Web應(yīng)用系統(tǒng)安全檢測應(yīng)符合GB/T31509和GB/T25058中的檢測流程的相關(guān)要求。

4.1.2可控性原則

在安全檢測項(xiàng)目實(shí)施過程中，應(yīng)嚴(yán)格按照標(biāo)準(zhǔn)的項(xiàng)目管理方法對服務(wù)過程、人員和工具等進(jìn)行控制，

以保證檢測實(shí)施過程的可控和安全，具體措施如下：MH

a)人員與信息可控性：參與檢測的人員應(yīng)該簽署保密協(xié)議，以保證檢測項(xiàng)目信息的安全；對測試

過程中產(chǎn)生的數(shù)據(jù)應(yīng)嚴(yán)格管理，防止數(shù)據(jù)泄露；

1

MH/T0067—2018

b)過程可控性：應(yīng)按照項(xiàng)目管理要求，成立項(xiàng)目實(shí)施團(tuán)隊(duì)，項(xiàng)目組長負(fù)責(zé)制，以便使項(xiàng)目過程可

控；進(jìn)行安全測試前，測試人員應(yīng)與被測試方進(jìn)行充分的溝通，并且在測試前告知被測試方測

試時(shí)間和測試策略；

c)工具可控性：檢測過程中應(yīng)使用經(jīng)過國家或民航部門檢測認(rèn)可的相關(guān)工具。

4.1.3最小影響原則

對于正在運(yùn)行的民航Web應(yīng)用系統(tǒng)，測試前應(yīng)與被測試方確定合適的測試時(shí)間窗口，避開業(yè)務(wù)高峰

期，同時(shí)做好業(yè)務(wù)系統(tǒng)的應(yīng)急預(yù)案。

4.2檢測的工作方式

4.2.1人工訪談

專業(yè)的信息安全人員與Web應(yīng)用系統(tǒng)管理、運(yùn)維和使用人員進(jìn)行溝通、交流，全面地掌握Web應(yīng)用系

統(tǒng)的業(yè)務(wù)流程、數(shù)據(jù)流程、網(wǎng)絡(luò)架構(gòu)、主機(jī)系統(tǒng)、運(yùn)維情況、管理機(jī)構(gòu)以及管理制度等各個(gè)方面的信息，

對Web應(yīng)用系統(tǒng)的安全現(xiàn)狀進(jìn)行全面的了解。

4.2.2人工檢查

利用專業(yè)人員的技術(shù)和經(jīng)驗(yàn)對民航Web應(yīng)用系統(tǒng)進(jìn)行安全測試。

4.2.3工具測試

采用自動化Web掃描工具對檢測目標(biāo)進(jìn)行安全測試，可以充分了解Web系統(tǒng)當(dāng)前的安全現(xiàn)狀、具有的

脆弱性、面臨的潛在威脅、可能的影響和風(fēng)險(xiǎn)等信息。

4.2.4滲透測試

模擬黑客的攻擊手段對民航Web應(yīng)用系統(tǒng)進(jìn)行安全測試。

5民航Web應(yīng)用系統(tǒng)安全檢測階段性工作

5.1檢測流程

民航Web應(yīng)用系統(tǒng)安全檢測應(yīng)分為四個(gè)階段：

——檢測準(zhǔn)備階段；

——檢測方案編制階段；

——檢測具體實(shí)施階段；

——檢測報(bào)告編寫階段。

5.2檢測準(zhǔn)備階段

5.2.1檢測準(zhǔn)備階段工作

檢測準(zhǔn)備階段的主要任務(wù)是確定檢測的目標(biāo)、范圍，成立檢測團(tuán)隊(duì)以及掌握被檢測的民航Web應(yīng)用

系統(tǒng)的相關(guān)信息。

5.2.2確定檢測目的

2

MH/T0067—2018

對民航Web應(yīng)用系統(tǒng)檢測的目標(biāo)是了解Web應(yīng)用系統(tǒng)存在的安全風(fēng)險(xiǎn)，并對發(fā)現(xiàn)的安全風(fēng)險(xiǎn)提出相應(yīng)

的安全加固建議。

5.2.3確定檢測范圍

對民航Web應(yīng)用系統(tǒng)進(jìn)行檢測，應(yīng)掌握系統(tǒng)運(yùn)行的業(yè)務(wù)特點(diǎn)，并根據(jù)其特點(diǎn)確定其業(yè)務(wù)邏輯邊界。

5.2.4組建檢測團(tuán)隊(duì)

應(yīng)針對檢測項(xiàng)目組建檢測團(tuán)隊(duì)，由檢測方和被檢測方共同組成項(xiàng)目組，并明確項(xiàng)目組成員的職責(zé)。

5.2.5系統(tǒng)調(diào)研

應(yīng)對要檢測的民航Web應(yīng)用系統(tǒng)進(jìn)行調(diào)研，掌握被檢測目標(biāo)采用的編寫語言、中間件、調(diào)用的第三

方庫文件等信息。

5.2.6確定檢測依據(jù)

檢測依據(jù)為：

a)GB/T28448

b)GB/T20984

5.2.7確定檢測工具原則

檢測工具的選擇和使用應(yīng)遵循以下原則：

a)檢測工具應(yīng)盡可能具備比較全面的漏洞檢測能力；

b)檢測工具使用的檢測策略和檢測方式不應(yīng)對Web應(yīng)用系統(tǒng)造成不正常的影響；

c)應(yīng)盡可能對工具檢測的結(jié)果進(jìn)行人工驗(yàn)證，盡可能少的出現(xiàn)誤報(bào)現(xiàn)象；

d)檢測工具的選擇和使用應(yīng)符合國家有關(guān)規(guī)定。

5.3檢測方案編制階段

應(yīng)根據(jù)檢測準(zhǔn)備階段獲取的信息，制訂檢測方案。主要內(nèi)容包括：

a)檢測的目標(biāo)、評估范圍和評估依據(jù)；

b)檢測團(tuán)隊(duì)成員及職責(zé)；

c)檢測工作計(jì)劃：項(xiàng)目實(shí)施進(jìn)度安排以及各階段的工作內(nèi)容、形式和工作成果；

d)風(fēng)險(xiǎn)規(guī)避措施：包括保密協(xié)議、評估工作環(huán)境要求、評估方法、工具選擇以及應(yīng)急預(yù)案等；

e)項(xiàng)目驗(yàn)收方式：包括驗(yàn)收方式、依據(jù)和結(jié)論定義。

5.4檢測具體實(shí)施階段

5.4.1通則

檢測具體實(shí)施階段的任務(wù)是按照檢測方案對被檢測目標(biāo)，應(yīng)按照附錄A中的內(nèi)容進(jìn)行檢測，并詳細(xì)

記錄檢測過程數(shù)據(jù)。MH

5.4.2檢測實(shí)施

5.4.2.1身份鑒別

5.4.2.1.1應(yīng)訪談Web應(yīng)用系統(tǒng)管理員，詢問Web應(yīng)用系統(tǒng)是否采取身份標(biāo)識和鑒別措施，具體措施

的內(nèi)容；以及防止身份鑒別信息被冒用的措施種類。

3

MH/T0067—2018

5.4.2.1.2應(yīng)訪談Web應(yīng)用系統(tǒng)管理員，詢問Web應(yīng)用系統(tǒng)是否具有登錄失敗處理功能。

5.4.2.1.3應(yīng)檢查設(shè)計(jì)或驗(yàn)收文檔，查看其是否有系統(tǒng)采用了保證唯一標(biāo)識的措施的描述。

5.4.2.1.4應(yīng)檢查操作規(guī)程和操作記錄，查看其是否有添加、刪除用戶和修改用戶權(quán)限的操作規(guī)程、

操作記錄和審批記錄。

5.4.2.1.5應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看其是否采用了兩個(gè)及兩個(gè)以上身份鑒別技術(shù)的組合來進(jìn)行

身份鑒別。

5.4.2.1.6應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看其是否提供身份標(biāo)識和鑒別功能；查看其身份鑒別信息是

否具有不易被冒用的特點(diǎn)；其鑒別信息復(fù)雜度檢查功能是否能保證系統(tǒng)中不存在弱口令等。

5.4.2.1.7應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看其提供的登錄失敗處理功能，是否根據(jù)安全策略配置了相

關(guān)參數(shù)。

5.4.2.1.8應(yīng)測試主要Web應(yīng)用系統(tǒng)，可通過試圖以合法和非法用戶分別登錄系統(tǒng)，查看是否成功，

驗(yàn)證其身份標(biāo)識和鑒別功能是否有效。

5.4.2.1.9應(yīng)測試主要Web應(yīng)用系統(tǒng)，驗(yàn)證其登錄失敗處理功能是否有效。

5.4.2.1.10應(yīng)滲透測試主要Web應(yīng)用系統(tǒng)，驗(yàn)證Web應(yīng)用系統(tǒng)身份標(biāo)識和鑒別功能是否不存在明顯的

弱點(diǎn)。

5.4.2.2訪問控制

5.4.2.2.1應(yīng)訪談Web應(yīng)用系統(tǒng)管理員，詢問Web應(yīng)用系統(tǒng)是否提供訪問控制措施，以及具體措施和

訪問控制策略，訪問控制的粒度。

5.4.2.2.2應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看系統(tǒng)是否提供訪問控制機(jī)制；是否依據(jù)安全策略控制用戶

對客體的訪問。

5.4.2.2.3應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看其訪問控制的覆蓋范圍是否包括與信息安全直接相關(guān)的主

體、客體及它們之間的操作；訪問控制的粒度是否達(dá)到主體為用戶級，客體為文件、數(shù)據(jù)庫表級。

5.4.2.2.4應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看其是否有由授權(quán)用戶設(shè)置其它用戶訪問系統(tǒng)功能和用戶數(shù)

據(jù)的權(quán)限的功能，是否限制默認(rèn)用戶的訪問權(quán)限。

5.4.2.2.5應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看系統(tǒng)是否授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)

限，特權(quán)用戶的權(quán)限是否分離，權(quán)限之間是否相互制約。

5.4.2.2.6應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看是否依據(jù)安全策略嚴(yán)格控制用戶對限制類型資源的操作。

5.4.2.2.7應(yīng)測試主要Web應(yīng)用系統(tǒng)，可通過以不同權(quán)限的用戶登錄系統(tǒng)，查看其擁有的權(quán)限是否與

系統(tǒng)賦予的權(quán)限一致，驗(yàn)證Web應(yīng)用系統(tǒng)訪問控制功能是否有效。

5.4.2.2.8應(yīng)測試主要Web應(yīng)用系統(tǒng)，可通過默認(rèn)用戶登錄系統(tǒng)，并進(jìn)行一些合法和非法操作，用來

驗(yàn)證系統(tǒng)是否嚴(yán)格限制了默認(rèn)賬戶的訪問權(quán)限。

5.4.2.2.9應(yīng)滲透測試主要Web應(yīng)用系統(tǒng)，驗(yàn)證Web應(yīng)用系統(tǒng)的訪問控制功能是否有效。

5.4.2.3安全審計(jì)

5.4.2.3.1應(yīng)訪談安全審計(jì)員，詢問Web應(yīng)用系統(tǒng)是否有安全審計(jì)功能，對事件進(jìn)行審計(jì)的策略，以

及審計(jì)日志的保護(hù)措施。

5.4.2.3.2應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看是否開啟了日志功能。

5.4.2.3.3應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看其當(dāng)前審計(jì)范圍是否覆蓋到每個(gè)用戶。

4

MH/T0067—2018

5.4.2.3.4應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看其審計(jì)策略是否覆蓋系統(tǒng)內(nèi)重要的安全相關(guān)事件，包括但

不限于用戶標(biāo)識與鑒別、訪問控制的所有操作記錄、重要用戶行為、系統(tǒng)資源的異常使用、重要系統(tǒng)命

令的使用等。

5.4.2.3.5應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看其審計(jì)記錄信息是否包括事件發(fā)生的日期與時(shí)間、觸發(fā)事

件的主體與客體、事件的類型、事件成功或失敗、身份鑒別事件中請求的來源、事件的結(jié)果等內(nèi)容。

5.4.2.3.6應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看其是否為授權(quán)用戶瀏覽和分析審計(jì)數(shù)據(jù)提供專門的審計(jì)分

析功能，并能根據(jù)需要生成審計(jì)報(bào)表。

5.4.2.3.7應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看其日志保存期是否少于6個(gè)月。

5.4.2.3.8應(yīng)測試主要Web應(yīng)用系統(tǒng)，在Web應(yīng)用系統(tǒng)上試圖產(chǎn)生一些重要的安全相關(guān)事件，查看Web

應(yīng)用系統(tǒng)是否對其進(jìn)行了審計(jì)，驗(yàn)證Web應(yīng)用系統(tǒng)安全審計(jì)的覆蓋情況是否覆蓋到每個(gè)用戶；如果進(jìn)行

了審計(jì)則查看審計(jì)記錄內(nèi)容是否包含事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等。

5.4.2.3.9應(yīng)測試主要Web應(yīng)用系統(tǒng)，試圖非授權(quán)刪除、修改或覆蓋審計(jì)記錄，驗(yàn)證安全審計(jì)的保護(hù)

情況是否無法非授權(quán)刪除、修改或覆蓋審計(jì)記錄。

5.4.2.4系統(tǒng)敏感信息保護(hù)（順序調(diào)整）

5.4.2.4.1應(yīng)訪談Web應(yīng)用系統(tǒng)管理員，詢問Web應(yīng)用系統(tǒng)是否對敏感信息的存儲和使用采取的安全

措施。

5.4.2.4.2應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看其是否在發(fā)布文件中包含備份、系統(tǒng)配置等敏感文件。

5.4.2.4.3應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看其是否對部署文件進(jìn)行必要的修改，防止敏感信息泄露。

5.4.2.4.4應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看其是否在停止使用后將所有信息進(jìn)行清除。

5.4.2.4.5應(yīng)檢查主要Web應(yīng)用系統(tǒng)，查看其數(shù)據(jù)庫中的敏感字段是否進(jìn)行加密存儲。

5.4.2.4.6應(yīng)測試主要Web應(yīng)用系統(tǒng)，是否限制系統(tǒng)配置等敏感文件的下載。

5.4.2.4.7應(yīng)測試主要Web應(yīng)用系統(tǒng)，是否有開源組件等信息暴露。

5.4.2.5通信安全性

5.4.2.5.1應(yīng)訪談安全管理員，詢問Web應(yīng)用系統(tǒng)是否具有在數(shù)據(jù)傳輸過程中的保護(hù)措施，以及具體

措施的內(nèi)容。

5.4.2.5.2應(yīng)檢查設(shè)計(jì)或驗(yàn)收文檔，查看其是否有關(guān)于保護(hù)通信安全性的說明。

5.4.2.5.3應(yīng)測試主要Web應(yīng)用系統(tǒng)，通過查看通信雙方數(shù)據(jù)包的內(nèi)容，查看系統(tǒng)是否能在通信雙方

建立連接之前，利用密碼技術(shù)進(jìn)行會話初始化驗(yàn)證；查看系統(tǒng)在通信過程中，對整個(gè)報(bào)文或會話過程進(jìn)

行加密的功能是否有效。

5.4.2.6軟件容錯

5.4.2.6.1應(yīng)訪談Web應(yīng)用系統(tǒng)管理員，