二級(jí)等保應(yīng)用檢查項(xiàng).doc

二級(jí)等保應(yīng)用安全現(xiàn)場檢查項(xiàng)整理說明文檔基于財(cái)政信息化項(xiàng)目管理系統(tǒng)現(xiàn)場檢查內(nèi)容進(jìn)行整理，不能代表其他系統(tǒng)的現(xiàn)場檢查。檢查過程檢查組一人到現(xiàn)場基于二級(jí)等保檢查項(xiàng)模板對(duì)建設(shè)方進(jìn)行提問，提問內(nèi)容基本不會(huì)偏離模板內(nèi)容。注意：對(duì)于容易展現(xiàn)的檢查項(xiàng)，檢查組可能會(huì)要求建設(shè)方進(jìn)行現(xiàn)場操作演示，因此對(duì)于一些容易重現(xiàn)的問題應(yīng)盡量不要以欺瞞的方式回答。舉例說明：“用戶密碼是否以加密方式存儲(chǔ)”，可以通過查詢數(shù)據(jù)直觀的體現(xiàn)出來，屬于容易重現(xiàn)的檢查項(xiàng)；而“系統(tǒng)傳輸過程中是否對(duì)數(shù)據(jù)進(jìn)行加密”，驗(yàn)證這個(gè)問題則需要通過開發(fā)環(huán)境進(jìn)行體現(xiàn)，屬于不易重現(xiàn)的檢查項(xiàng)，對(duì)于此類檢查項(xiàng)，檢查組人員一般不會(huì)要求通過系統(tǒng)進(jìn)行重現(xiàn)。身份鑒別應(yīng)提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別；檢查系統(tǒng)是否有登錄環(huán)節(jié)。（一般系統(tǒng)都會(huì)有登錄環(huán)節(jié)，不需關(guān)心）應(yīng)提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)，身份鑒別信息不易被冒用；檢查登錄時(shí)信息是否能夠唯一標(biāo)示一個(gè)用戶。（一般系統(tǒng)都有此限制，不需關(guān)心）檢查密碼的復(fù)雜度。（二級(jí)等保要求密碼長度為8位，并以數(shù)字+字母組合）應(yīng)提供登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；檢查是否有多次登錄失敗的處理機(jī)制。（一般都是通過增加登錄失敗計(jì)數(shù)器機(jī)制實(shí)現(xiàn)登錄失敗處理（每次登錄失敗后計(jì)數(shù)器+1，當(dāng)計(jì)數(shù)器達(dá)到一定數(shù)值時(shí)進(jìn)行失敗處理，當(dāng)用戶登錄成功后計(jì)數(shù)器清零），目前主流的處理方式有兩種：一是鎖定用戶，需要管理員進(jìn)行解鎖后才可再次使用；二是限制登錄時(shí)間，比如10分鐘后才可再次嘗試登錄）應(yīng)啟用身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。檢查是否可以繞過登錄模塊進(jìn)入系統(tǒng)（直接在URL中錄入某功能的頁面URL）。（一般情況下業(yè)務(wù)系統(tǒng)都會(huì)以登錄人的信息來取得相應(yīng)的業(yè)務(wù)功能和業(yè)務(wù)數(shù)據(jù)，因此大多數(shù)情況下不登錄是無法正常使用系統(tǒng)功能的。當(dāng)然，有一個(gè)統(tǒng)一的檢查邏輯是最好的，常見的處理手段為檢查session中是否有用戶登錄信息，如無則跳轉(zhuǎn)到錯(cuò)誤處理邏輯）訪問控制應(yīng)提供訪問控制功能，依據(jù)安全策略控制用戶對(duì)文件、數(shù)據(jù)庫表等客體的訪問；檢查是否有可越權(quán)訪問情形；（本次檢查時(shí)檢查人員僅提問了登錄后用戶能不能訪問不該其使用的功能，我們回復(fù)每個(gè)用戶都有功能權(quán)限，在登錄后會(huì)根據(jù)功能權(quán)限僅展示用戶有權(quán)限使用的功能。）個(gè)人理解：該項(xiàng)應(yīng)該是檢查用戶是否能夠在系統(tǒng)中通過非常規(guī)手段獲取到用戶受權(quán)以外的信息。訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作；檢查系統(tǒng)能否根據(jù)訪問控制規(guī)則正確實(shí)施對(duì)資源的控制；（未提問，個(gè)人理解為系統(tǒng)功能、數(shù)據(jù)權(quán)限是否能夠正常工作）檢查訪問控制主體、客體；（未提問，個(gè)人理解，控制主體應(yīng)為具體操作者，本系統(tǒng)中控制主體為用戶；客體為主體能夠操控的內(nèi)容，本系統(tǒng)中客體對(duì)應(yīng)系統(tǒng)功能、業(yè)務(wù)數(shù)據(jù)）檢查訪問控制功能是否能夠覆蓋范圍包括與資源訪問相關(guān)的主體、客體及它們之間的操作；（個(gè)人理解，與之前的檢查項(xiàng)相同，是對(duì)系統(tǒng)權(quán)限的嚴(yán)謹(jǐn)性進(jìn)行檢查，比如能否通過URL的方式直接訪問無權(quán)限的功能）應(yīng)由授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限；檢查實(shí)際授權(quán)與權(quán)限策略是否一致，無法進(jìn)行越權(quán)操作；（個(gè)人理解，同樣是對(duì)權(quán)限模板的正確性進(jìn)行檢查）檢查系統(tǒng)是否存在權(quán)限不受限制的超級(jí)管理員，系統(tǒng)不應(yīng)該存在不受限的超管；（個(gè)人理解，該超級(jí)管理員與我們所理解的管理員不太一樣，該超級(jí)管理員應(yīng)指的是不受功能、數(shù)據(jù)權(quán)限約束的賬號(hào)；而目前大多系統(tǒng)中管理員都是受到功能、數(shù)據(jù)權(quán)限約束，除了配給的功能和數(shù)據(jù)權(quán)限較大之外，其本質(zhì)與一般用戶并無差別）應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系。檢查系統(tǒng)管理模式是否符合三員管理；（三員管理指將系統(tǒng)管理員的日常管理功能進(jìn)行拆分；其中：系統(tǒng)管理員主要負(fù)責(zé)系統(tǒng)的日常運(yùn)維工作，配給功能包含在系統(tǒng)運(yùn)行情況監(jiān)控、用戶管理、系統(tǒng)備份恢復(fù)等功能；安全管理員：主要負(fù)責(zé)系統(tǒng)的日常安全管理工作，配給功能包含在資源分配、權(quán)限管理等功能；審計(jì)員：主要負(fù)責(zé)根據(jù)日志對(duì)管理員的操作行為進(jìn)行審訂跟蹤、分配和監(jiān)督檢查，配給功能包含在日志查詢、分析等功能。）安全審計(jì)應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)；檢查系統(tǒng)日志管理功能是否涵蓋了系統(tǒng)重要業(yè)務(wù)；（要求日志應(yīng)記錄在數(shù)據(jù)庫中，且除重要業(yè)務(wù)操作外，對(duì)于登錄、用戶的調(diào)整、授權(quán)的變更也需要記錄）應(yīng)保證無法刪除、修改或覆蓋審計(jì)記錄；檢查操作記錄是否數(shù)據(jù)庫存儲(chǔ)，并且是否不能通過應(yīng)用系統(tǒng)刪除、修改和覆蓋操作日志；（要求日志應(yīng)記錄在數(shù)據(jù)庫中，且不能通過系統(tǒng)功能對(duì)日志進(jìn)行篡改）審計(jì)記錄的內(nèi)容至少應(yīng)包括事件日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等；檢查日志記錄內(nèi)容是否包括事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果。（要求日志的內(nèi)容應(yīng)包含操作時(shí)間、操作人、操作事件說明、操作結(jié)果等要素）通信完整性應(yīng)采用校驗(yàn)碼技術(shù)保證通信過程中數(shù)據(jù)的完整性；未檢查，個(gè)人理解為應(yīng)通過一定技術(shù)手段來防止數(shù)據(jù)在傳輸過程丟失或被篡改。技術(shù)實(shí)現(xiàn)：如使用https協(xié)議；或利用MD5碼機(jī)制，在數(shù)據(jù)傳輸前利用傳輸數(shù)據(jù)生成MD5碼并與數(shù)據(jù)一同傳輸?shù)浇邮斩耍邮斩私邮盏綌?shù)據(jù)后再次利用數(shù)據(jù)生成MD5碼，并與傳輸前MD5碼進(jìn)行比較，相同則未丟失或被篡改。（通信不僅是指多個(gè)系統(tǒng)間的交互，同一系統(tǒng)間前臺(tái)訪問后臺(tái)的過程也是一次通信。）通信保密性在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證；個(gè)人理解為在與其他系統(tǒng)進(jìn)行交互前應(yīng)通過密碼或其他安全手段對(duì)通信雙方身份進(jìn)行鑒別。常見有以雙方約定口令的方式進(jìn)行驗(yàn)證，更安全的可以利用非對(duì)稱加密手段進(jìn)行校驗(yàn)。本系統(tǒng)中因沒有與其他系統(tǒng)交互的業(yè)務(wù)，因此在檢查時(shí)僅提問了使用了哪種網(wǎng)絡(luò)協(xié)議（http協(xié)議），以及使用系統(tǒng)前用戶是否需要登錄。應(yīng)對(duì)通信過程中的敏感信息字段進(jìn)行加密；個(gè)人理解為在通信過程（通信不僅是指多個(gè)系統(tǒng)間的交互，同一系統(tǒng)間前臺(tái)訪問后臺(tái)的過程也是一次通信。）中是否對(duì)敏感數(shù)據(jù)進(jìn)行了加密。由于部署網(wǎng)絡(luò)、業(yè)務(wù)范疇、安全定級(jí)(二級(jí))等因素的綜合考慮，本系統(tǒng)中只有用戶密碼為敏感信息。軟件容錯(cuò)應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求；檢查系統(tǒng)是否對(duì)錄入項(xiàng)進(jìn)行了控制，比如字段類型、長度等限制；（舉例說明：比如某項(xiàng)數(shù)據(jù)應(yīng)為數(shù)值型，那么在錄入時(shí)就應(yīng)控制其只可錄入數(shù)值；又如數(shù)據(jù)庫某字段長度為10，那么在錄入時(shí)應(yīng)控制其數(shù)據(jù)長度不應(yīng)超過10）檢查系統(tǒng)是否對(duì)SQL注入攻擊進(jìn)行了必要的安全處理；（本系統(tǒng)所有SQL語句都使用預(yù)編譯(PreparedStatement)的方式進(jìn)行處理，最大程度上保證系統(tǒng)不會(huì)被SQL注入攻擊影響）在故障發(fā)生時(shí)，應(yīng)用系統(tǒng)應(yīng)能夠繼續(xù)提供一部分功能，確保能夠?qū)嵤┍匾拇胧?；二?jí)等保應(yīng)采用雙機(jī)熱備的方式保障某臺(tái)機(jī)器發(fā)生故障時(shí)應(yīng)有備用機(jī)可以使用。（需要甲方提供硬件支持）資源控制當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話；檢查系統(tǒng)是否有session超時(shí)處理。（中間件都可以配置session超時(shí)時(shí)間）應(yīng)能夠?qū)?yīng)用系統(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制；檢查系統(tǒng)是否有最大連接數(shù)限制。（中間件都可以配置最大并發(fā)數(shù)，而JDBC配置可以限制數(shù)據(jù)庫的最大連接數(shù)）應(yīng)能夠?qū)蝹€(gè)帳戶的多重并發(fā)會(huì)話進(jìn)行限制；檢查系統(tǒng)是否限制了單用戶同時(shí)多處登錄的情況。（分為拒絕登錄和強(qiáng)制頂替兩種實(shí)現(xiàn)方式，兩種方式都是基于在登錄時(shí)將登錄信息記錄到application中，之后再通過信息進(jìn)行判重。但拒絕登錄無法及時(shí)獲取用戶退出信息，因此建議使用強(qiáng)制頂替方式實(shí)現(xiàn)）數(shù)據(jù)完整性應(yīng)能夠檢測到鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞；同通信完整性數(shù)據(jù)保密性應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)鑒別信息的存儲(chǔ)保密性；同通信保密性備份和恢復(fù)應(yīng)能夠?qū)χ匾畔⑦M(jìn)行備份和恢復(fù)；檢查是否定期對(duì)數(shù)據(jù)庫進(jìn)行備份，備份周期是什么。應(yīng)提供關(guān)鍵網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的可用性；未提問，個(gè)人理解是應(yīng)有備用的硬件設(shè)備，當(dāng)系統(tǒng)硬件出現(xiàn)問題時(shí)有備用件可及時(shí)更換。（需要甲方儲(chǔ)備）總結(jié)根據(jù)本項(xiàng)目現(xiàn)場檢查結(jié)果，符合二級(jí)等保的系統(tǒng)應(yīng)具備如下條件：1. 系統(tǒng)具體通過用戶名和密碼登錄系統(tǒng)的功能，用戶的密碼要具備一定強(qiáng)度并且要加密傳輸、存儲(chǔ)，連續(xù)多次登錄失敗后應(yīng)進(jìn)行必要的處理以防惡意登錄。2. 系