1、o 背景介紹o 應(yīng)用測評的特點和方法o 主 要 測 評 內(nèi) 容o 結(jié)果整理和分析o 開發(fā)商和用戶對應(yīng)用安全重視程度不夠n開發(fā)商安全意識普遍淡薄，開發(fā)中留有安全隱患n用戶普遍對應(yīng)用安全不重視，系統(tǒng)上線前把關(guān)不嚴(yán)o 應(yīng)用系統(tǒng)存在的漏洞較多3NIST的報告顯示，超過90%的安全漏洞是應(yīng)用層漏洞，它已經(jīng)遠(yuǎn)遠(yuǎn)超過網(wǎng)絡(luò)、操作系統(tǒng)和瀏覽器的漏洞數(shù)量，這個比例還有上升的趨勢。o 針對應(yīng)用系統(tǒng)的攻擊手段越來越多，面臨的威脅在不斷增大n針對口令的攻擊，如口令破解等n非授權(quán)獲取敏感信息，如信息竊聽、系統(tǒng)管理員非授權(quán)獲取敏感業(yè)務(wù)數(shù)據(jù)（如用戶的密碼等信息）等n針對WEB應(yīng)用的攻擊，如跨站腳本攻擊、SQL注入、緩沖區(qū)溢出

2、、拒絕服務(wù)攻擊、改變網(wǎng)頁內(nèi)容等4o 在基本要求中的位置數(shù)據(jù)庫安全是主機(jī)安全的一個部分，數(shù)據(jù)庫的測評指標(biāo)是從“主機(jī)安全”和“數(shù)據(jù)安全及備份恢復(fù)”中根據(jù)數(shù)據(jù)庫的特點映射得到的。o 在基本要求中的位置n“應(yīng)用安全”的所有指標(biāo)，對于應(yīng)用平臺軟件等則從中選擇部分指標(biāo)；n“數(shù)據(jù)安全及備份恢復(fù)”中的部分指標(biāo)，對于三級信息系統(tǒng)，在應(yīng)用安全中，主要檢查“數(shù)據(jù)完整性”、“數(shù)據(jù)保密性”和“備份和恢復(fù)”第一和第二項；n應(yīng)結(jié)合管理的要求，如“應(yīng)根據(jù)開發(fā)需求檢測軟件質(zhì)量”、“應(yīng)要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門”，加強(qiáng)應(yīng)用系統(tǒng)的源代碼安全性。6o 背景介紹o 應(yīng)用測評的特點和方法o 主 要 測 評 內(nèi)

3、 容o 結(jié)果整理和分析o 安全功能和配置檢查并重n和數(shù)據(jù)庫、操作系統(tǒng)等成熟產(chǎn)品不同，應(yīng)用系統(tǒng)現(xiàn)場測評除檢查安全配置外，還需驗證相關(guān)安全功能是否正確o 應(yīng)用測評中不確定因素較多n業(yè)務(wù)和數(shù)據(jù)流程不同，需根據(jù)業(yè)務(wù)和數(shù)據(jù)特點確定范圍n應(yīng)用系統(tǒng)安全漏洞發(fā)現(xiàn)困難，很難消除代碼級的安全隱患o(jì) 測評范圍較廣，分析較為困難n應(yīng)用系統(tǒng)測評包括應(yīng)用平臺（如IIS等）的測評，且和其他層面關(guān)聯(lián)較大o 通過訪談，了解安全措施的實施情況9n和其他成熟產(chǎn)品不同，應(yīng)用系統(tǒng)只有在充分了解其部署情況后，才能明確測評的范圍和對象，分析其系統(tǒng)的脆弱性和面臨的主要安全威脅，有針對性的進(jìn)行檢查和測試。-右圖是一個手機(jī)支付系統(tǒng)的流程示意圖，

4、通過網(wǎng)頁和手機(jī)可以完成沖值、查詢等業(yè)務(wù)。o 通過檢查，查看其是否進(jìn)行了正確的配置n有的安全功能（如口令長度限制、錯誤登錄嘗試次數(shù)等）需要在應(yīng)用系統(tǒng)上進(jìn)行配置，則查看其是否進(jìn)行了正確的配置，及安全策略是否一致。n無需進(jìn)行配置的，則應(yīng)查看其部署情況是否及訪談一致。o 如果條件允許，需進(jìn)行測試n可通過測試驗證安全功能是否正確，配置是否生效。n代碼級的安全漏洞在現(xiàn)場查驗比較困難，則可進(jìn)行漏洞掃描和滲透測試。10o 背景介紹o 應(yīng)用測評的特點和方法o 主 要 測 評 內(nèi) 容o 結(jié)果整理和分析o 要求項（一）n應(yīng)提供專用的登錄控制模塊對登錄用戶進(jìn)行身份標(biāo)識和鑒別；n應(yīng)對同一用戶采用兩種或兩種以上組合的鑒別

5、技術(shù)實現(xiàn)用戶身份鑒別；n應(yīng)提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識，身份鑒別信息不易被冒用；12o 要求項（二）n應(yīng)提供登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；n應(yīng)啟用身份鑒別、用戶身份標(biāo)識唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。13o 條款理解n提供專用的登錄控制模塊對用戶身份的合法性進(jìn)行核實，只有通過驗證的用戶才能在系統(tǒng)規(guī)定的權(quán)限內(nèi)進(jìn)行操作，這是防止非法入侵最基本的一種保護(hù)措施；n三級或三級以上系統(tǒng)要求必須提供兩種（兩次口令鑒別不屬于這種情況）或兩種以上組合的鑒別技術(shù)進(jìn)行身

6、份鑒別（口令+CA證書），在身份鑒別強(qiáng)度上有了更大的提高；14o 條款理解n為每一個登錄用戶提供唯一的標(biāo)識，這樣應(yīng)用系統(tǒng)就能對每一個用戶的行為進(jìn)行審計；同時，為了增加非授權(quán)用戶使用暴力猜測等手段破解用戶鑒別信息的難度，應(yīng)保證用戶的鑒別信息具有一定的復(fù)雜性，如用戶的密碼的長度至少為8位、密碼是字母和數(shù)字的組合等；n應(yīng)用系統(tǒng)應(yīng)提供登錄失敗處理功能，如限制非法登錄次數(shù)等，登錄失敗次數(shù)應(yīng)能根據(jù)用戶根據(jù)實際情況進(jìn)行調(diào)整；n另外，要求應(yīng)用啟用這些功能，并配置不許的參數(shù)。15o 檢查方法n詢問系統(tǒng)管理員，了解身份鑒別措施的部署和實施情況。n根據(jù)了解的情況，檢查應(yīng)用系統(tǒng)是否按照策略要求進(jìn)行了相應(yīng)的配置，在條件

7、允許的情況下，驗證功能（包括應(yīng)用口令暴力破解等測試手段）是否正確。-測試應(yīng)用系統(tǒng)（如首先以正確的密碼登錄系統(tǒng)，然后再以錯誤的密碼重新登錄，查看是否成功），驗證其登錄控制模塊功能是否正確；掃描應(yīng)用系統(tǒng)，檢查應(yīng)用系統(tǒng)是否存在弱口令和空口令用戶；用暴力破解工具對口令進(jìn)行破解。16o 要求項（一）n應(yīng)提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問；n訪問控制的覆蓋范圍應(yīng)包括及資源訪問相關(guān)的主體、客體及它們之間的操作；n應(yīng)由授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限；17o 要求項（二）n應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系；n應(yīng)

8、具有對重要信息資源設(shè)置敏感標(biāo)記的功能；n應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作。18o 條款理解n三級系統(tǒng)要求訪問控制的粒度達(dá)到文件、數(shù)據(jù)庫表級，權(quán)限之間具有制約關(guān)系（如三權(quán)分離），并利用敏感標(biāo)記控制用戶對重要信息資源的操作；n在應(yīng)用系統(tǒng)中應(yīng)嚴(yán)格限制默認(rèn)用戶的訪問權(quán)限，默認(rèn)用戶一般指應(yīng)用系統(tǒng)的公共帳戶或測試帳戶；n應(yīng)用系統(tǒng)授予帳戶所承擔(dān)任務(wù)所需的最小權(quán)限，如領(lǐng)導(dǎo)只需進(jìn)行查詢操作，則無需為其分配業(yè)務(wù)操作權(quán)限；同時，該項要求明確規(guī)定應(yīng)在不同帳戶之間形成相互制約關(guān)系；19o 條款理解n敏感標(biāo)記表示主體/客體安全級別和安全范疇的一組信息，通過比較標(biāo)記來控制是否允許主體對客體的訪問，標(biāo)

9、記不允許其他用戶進(jìn)行修改，包括資源的擁有者，在可信計算基中把敏感標(biāo)記作為強(qiáng)制訪問控制決策的依據(jù)；在三級系統(tǒng)中，要求應(yīng)用系統(tǒng)應(yīng)提供設(shè)置敏感標(biāo)記的功能，通過敏感標(biāo)記控制用戶對重要信息資源的訪問。20o 檢查方法n詢問系統(tǒng)管理員，了解訪問控制措施的部署和實施情況。n根據(jù)了解的情況，檢查應(yīng)用系統(tǒng)是否按照策略要求進(jìn)行了相應(yīng)的配置，在條件允許的情況下，驗證功能是否正確。-以管理員身份進(jìn)行審計操作，查看是否成功；以審計員身份進(jìn)行刪除/增加用戶、設(shè)定用戶權(quán)限的操作（也可進(jìn)行一些其他管理員進(jìn)行的操作），查看是否成功。21o 要求項n應(yīng)提供覆蓋到每個用戶的安全審計功能，對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計；n應(yīng)保證無法

10、單獨中斷審計進(jìn)程，無法刪除、修改或覆蓋審計記錄；n審計記錄的內(nèi)容至少應(yīng)包括事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等；n應(yīng)提供對審計記錄數(shù)據(jù)進(jìn)行統(tǒng)計、查詢、分析及生成審計報表的功能。22o 條款理解n三級系統(tǒng)強(qiáng)調(diào)對每個用戶的重要操作進(jìn)行審計，重要操作一般包括登錄/退出、改變訪問控制策略、增加/刪除用戶、改變用戶權(quán)限和增加/刪除/查詢數(shù)據(jù)等；n應(yīng)用系統(tǒng)應(yīng)對審計進(jìn)程或功能進(jìn)行保護(hù)，如果處理審計的事務(wù)是一個單獨的進(jìn)程，那么應(yīng)用系統(tǒng)應(yīng)對審計進(jìn)程進(jìn)行保護(hù)，不允許非授權(quán)用戶對進(jìn)城進(jìn)行中斷；如果審計是一個獨立的功能，則應(yīng)用系統(tǒng)應(yīng)防止非授權(quán)用戶關(guān)閉審計功能；另外，應(yīng)用系統(tǒng)應(yīng)對審計記錄進(jìn)行保護(hù)。 23o

11、檢查方法n詢問系統(tǒng)管理員，了解安全審計措施的部署和實施情況。n重點檢查應(yīng)用系統(tǒng)是否對每個用戶的重要操作進(jìn)行了審計，同時可通過進(jìn)行一些操作（如用戶登錄/退出、改變訪問控制策略、增加/刪除用戶、改變用戶權(quán)限和增加/刪除/查詢數(shù)據(jù)等），查看應(yīng)用系統(tǒng)是否進(jìn)行了正確的審計。24o 要求項n應(yīng)保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；n應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全清除。25o 條款理解n該項要求是為了防止某個用戶非授權(quán)獲取其他用戶的鑒別信息、文件、目錄和數(shù)據(jù)庫記錄等資源，應(yīng)用

12、系統(tǒng)應(yīng)加強(qiáng)內(nèi)存和其他資源管理。o 檢查方法n詢問系統(tǒng)管理員，了解剩余信息保護(hù)方面采取的措施。n根據(jù)了解的情況，測試其采取的措施是否有效，如以某個用戶進(jìn)行操作，操作完成退出系統(tǒng)后系統(tǒng)是否保留有未被刪除的文件等。26o 要求項n應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。27o 條款理解n該項要求強(qiáng)調(diào)采取密碼技術(shù)來保證通信過程中的數(shù)據(jù)完整性，普通加密技術(shù)無法保證密件在傳輸過程中不被替換，還需利用Hash函數(shù)（如MD5、SHA和MAC）用于完整性校驗，但不能利用CRC生成的校驗碼來進(jìn)行完整性校驗。o 檢查方法n詢問系統(tǒng)管理員，了解通信完整性方面采取的措施。n可通過查看文檔或源代碼等方法來驗證措施是否落

13、實；如果條件允許，則可設(shè)計測試用例進(jìn)行測試。28o 要求項n在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會話初始化驗證；n應(yīng)對通信過程中的整個報文或會話過程進(jìn)行加密。29o 條款理解n該項要求強(qiáng)調(diào)整個報文或會話過程進(jìn)行加密，同時，如果在加密隧道建立之前需要傳遞密碼等信息，則應(yīng)采取密碼技術(shù)來保證這些信息的安全。o 檢查方法n詢問系統(tǒng)管理員，了解通信保密性方面采取的措施。n可通過抓包工具（如Sniffer pro）獲取通信雙方的內(nèi)容，查看系統(tǒng)是否對通信雙方的內(nèi)容進(jìn)行了加密。30o 要求項n應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；n應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收

14、者提供數(shù)據(jù)接收證據(jù)的功能。31o 條款理解n該項要求強(qiáng)調(diào)應(yīng)用系統(tǒng)提供抗抵賴措施（如數(shù)字簽名、流水記錄、日志等），從而保證發(fā)送和接收方都是真實存在的用戶。o 檢查方法n詢問系統(tǒng)管理員，了解抗抵賴方面采取的措施。n可通過查看文檔或源代碼等方法來驗證措施是否落實。n條件允許，可進(jìn)行測試，如通過雙方進(jìn)行通信，查看系統(tǒng)是否能提供在請求的情況下為數(shù)據(jù)原發(fā)者提供原發(fā)證據(jù)。32o 要求項n應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求；n應(yīng)提供自動保護(hù)功能，當(dāng)故障發(fā)生時自動保護(hù)當(dāng)前所有狀態(tài)，保證系統(tǒng)能夠進(jìn)行恢復(fù)。33o 條款理解n為了防止SQL注入等攻擊，軟件

15、應(yīng)對用戶輸入數(shù)據(jù)的長度和格式等進(jìn)行限制。o 檢查方法n詢問系統(tǒng)管理員，了解軟件容錯方面采取的措施。n可通過查看文檔或源代碼等方法來驗證措施是否落實，并在界面上輸入超過長度或不符合要求格式（如hi or 1=1-）的數(shù)據(jù)，驗證其功能是否正確。34o 要求項（一）n當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動結(jié)束會話；n應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會話連接數(shù)進(jìn)行限制；n應(yīng)能夠?qū)蝹€帳戶的多重并發(fā)會話進(jìn)行限制；n應(yīng)能夠?qū)σ粋€時間段內(nèi)可能的并發(fā)會話連接數(shù)進(jìn)行限制；35o 要求項（二）n應(yīng)能夠?qū)σ粋€訪問帳戶或一個請求進(jìn)程占用的資源分配最大限額和最小限額；n應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)

16、先規(guī)定的最小值進(jìn)行檢測和報警；n應(yīng)提供服務(wù)優(yōu)先級設(shè)定功能，并在安裝后根據(jù)安全策略設(shè)定訪問帳戶或請求進(jìn)程的優(yōu)先級，根據(jù)優(yōu)先級分配系統(tǒng)資源。36o 條款理解n資源控制是為了保證大多數(shù)用戶能夠正常的使用資源，防止服務(wù)中斷，應(yīng)用系統(tǒng)應(yīng)采取限制最大并發(fā)連接數(shù)、請求帳戶的最大資源限制等措施。o 檢查方法n詢問系統(tǒng)管理員，了解資源控制措施的部署和實施情況。n根據(jù)了解的情況，檢查應(yīng)用系統(tǒng)是否配備了相應(yīng)的功能，在條件允許的情況下，驗證功能是否正確。37o 要求項n應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復(fù)措施；n應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別

17、信息和重要業(yè)務(wù)數(shù)據(jù)在存儲過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復(fù)措施。38o 條款理解n該項要求強(qiáng)調(diào)不僅要保證管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸數(shù)據(jù)的完整性，而且要保證存儲過程中的完整性并且在檢測到完整性受到破壞時采取恢復(fù)措施。o 檢查方法n詢問系統(tǒng)管理員，了解數(shù)據(jù)完整性措施部署和實施情況。n根據(jù)了解的情況，檢查應(yīng)用系統(tǒng)是否配備了相應(yīng)的功能，在條件允許的情況下，驗證功能是否正確。39o 要求項n應(yīng)采用加密或其他有效措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性；n應(yīng)采用加密或其他保護(hù)措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲保密性。40o 條款理解n該項要求強(qiáng)

18、調(diào)不僅要保證管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸數(shù)據(jù)的保密性，而且要保證存儲過程中的保密性并且在檢測到完整性受到破壞時采取恢復(fù)措施。o 檢查方法n詢問系統(tǒng)管理員，了解數(shù)據(jù)保密性措施部署和實施情況。n根據(jù)了解的情況，檢查應(yīng)用系統(tǒng)是否配備了相應(yīng)的功能，在條件允許的情況下，驗證功能是否正確。41o 要求項n應(yīng)提供本地數(shù)據(jù)備份及恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場外存放；n應(yīng)提供異地數(shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地。42o 條款理解n該項要求對備份策略進(jìn)行了明確的要求，即“完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場外存放 ”，并且強(qiáng)調(diào)應(yīng)提供異地數(shù)據(jù)備份功能。n這部分主要檢查文件型數(shù)據(jù)的備份和恢復(fù)方式。o 檢查方法n詢問系統(tǒng)管理員，了解備份和恢復(fù)方面采取的措施。n根據(jù)了解的情況，檢查相應(yīng)措施是否落實，如果條件允許，則驗證其是否有效。43o 背景介紹o 應(yīng)用測評的特點和方法o 主 要 測 評 內(nèi) 容o 結(jié)果整理和分析o 結(jié)果整理n通過對測評結(jié)果的整理，并及預(yù)期結(jié)果進(jìn)行比較，初步判定各個應(yīng)用系統(tǒng)的單項符合情況，在判定時需結(jié)合業(yè)務(wù)和數(shù)據(jù)流程進(jìn)行分析，不能從單點結(jié)果進(jìn)行判斷。o 綜合分析n在單項判定后，需要結(jié)果其他層面的測評結(jié)果進(jìn)行綜合分析，從整體上分析其他層面的安全措施能否彌補應(yīng)用