公安部信息安全等級保護——應(yīng)用安全測評培訓(xùn)資料ppt課件

1、信息平安等級測評師培訓(xùn)運用系統(tǒng)平安測評1內(nèi)容目錄 背景引見 運用測評的特點和方法 主 要 測 評 內(nèi) 容 結(jié)果整理和分析2運用平安的情勢一開發(fā)商和用戶對運用平安注重程度不夠開發(fā)商平安認識普遍淡薄，開發(fā)中留有平安隱患用戶普遍對運用平安不注重，系統(tǒng)上線前把關(guān)不嚴運用系統(tǒng)存在的破綻較多3NIST的報告顯示，超越90%的平安破綻是運用層破綻，它曾經(jīng)遠遠超越網(wǎng)絡(luò)、操作系統(tǒng)和閱讀器的破綻數(shù)量，這個比例還有上升的趨勢。運用平安的情勢二針對運用系統(tǒng)的攻擊手段越來越多，面臨的要挾在不斷增大針對口令的攻擊，如口令破解等非授權(quán)獲取敏感信息，如信息竊聽、系統(tǒng)管理員非授權(quán)獲取敏感業(yè)務(wù)數(shù)據(jù)如用戶的密碼等信息等針對WEB運

2、用的攻擊，如跨站腳本攻擊、SQL注入、緩沖區(qū)溢出、回絕效力攻擊、改動網(wǎng)頁內(nèi)容等4目的選取在中的位置數(shù)據(jù)庫平安是主機平安的一個部分，數(shù)據(jù)庫的測評目的是從“主機平安和“數(shù)據(jù)平安及備份恢復(fù)中根據(jù)數(shù)據(jù)庫的特點映射得到的。5運用系統(tǒng)的目的選取在中的位置“運用平安的一切目的，對于運用平臺軟件等那么從中選擇部分目的；“數(shù)據(jù)平安及備份恢復(fù)中的部分目的，對于三級信息系統(tǒng)，在運用平安中，主要檢查“數(shù)據(jù)完好性、“數(shù)據(jù)嚴密性和“備份和恢復(fù)第一和第二項；應(yīng)結(jié)合管理的要求，如“應(yīng)根據(jù)開發(fā)需求檢測軟件質(zhì)量、“應(yīng)要求開發(fā)單位提供軟件源代碼，并審查軟件中能夠存在的后門，加強運用系統(tǒng)的源代碼平安性。6內(nèi)容目錄 背景引見 運用測評

3、的特點和方法 主 要 測 評 內(nèi) 容 結(jié)果整理和分析7運用測評的特點平安功能和配置檢查并重和數(shù)據(jù)庫、操作系統(tǒng)等成熟產(chǎn)品不同，運用系統(tǒng)現(xiàn)場測評除檢查平安配置外，還需驗證相關(guān)平安功能能否正確運用測評中不確定要素較多業(yè)務(wù)和數(shù)據(jù)流程不同，需根據(jù)業(yè)務(wù)和數(shù)據(jù)特點確定范圍運用系統(tǒng)平安破綻發(fā)現(xiàn)困難，很難消除代碼級的平安隱患測評范圍較廣，分析較為困難運用系統(tǒng)測評包括運用平臺如IIS等的測評，且和其他層面關(guān)聯(lián)較大8運用測評的方法1經(jīng)過訪談，了解平安措施的實施情況9和其他成熟產(chǎn)品不同，運用系統(tǒng)只需在充分了解其部署情況后，才干明確測評的范圍和對象，分析其系統(tǒng)的脆弱性和面臨的主要平安要挾，有針對性的進展檢查和測試。-右

4、圖是一個手機支付系統(tǒng)的流程表示圖，經(jīng)過網(wǎng)頁和手機可以完成沖值、查詢等業(yè)務(wù)。運用測評的方法2經(jīng)過檢查，查看其能否進展了正確的配置有的平安功能如口令長度限制、錯誤登錄嘗試次數(shù)等需求在運用系統(tǒng)上進展配置，那么查看其能否進展了正確的配置，與平安戰(zhàn)略能否一致。無需進展配置的，那么應(yīng)查看其部署情況能否與訪談一致。假設(shè)條件允許，需進展測試可經(jīng)過測實驗證平安功能能否正確，配置能否生效。代碼級的平安破綻在現(xiàn)場查驗比較困難，那么可進展破綻掃描和浸透測試。10內(nèi)容目錄 背景引見 運用測評的特點和方法 主 要 測 評 內(nèi) 容 結(jié)果整理和分析11身份鑒別要求項一應(yīng)提供公用的登錄控制模塊對登錄用戶進展身份標識和鑒別；應(yīng)對

5、同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別；應(yīng)提供用戶身份標識獨一和鑒別信息復(fù)雜度檢查功能，保證運用系統(tǒng)中不存在反復(fù)用戶身份標識，身份鑒別信息不易被冒用；12身份鑒別要求項二應(yīng)提供登錄失敗處置功能，可采取終了會話、限制非法登錄次數(shù)和自動退出等措施；應(yīng)啟用身份鑒別、用戶身份標識獨一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處置功能，并根據(jù)平安戰(zhàn)略配置相關(guān)參數(shù)。13身份鑒別條款了解提供公用的登錄控制模塊對用戶身份的合法性進展核實，只需經(jīng)過驗證的用戶才干在系統(tǒng)規(guī)定的權(quán)限內(nèi)進展操作，這是防止非法入侵最根本的一種維護措施；三級或三級以上系統(tǒng)要求必需提供兩種兩次口令鑒別不屬于這種情況或兩

6、種以上組合的鑒別技術(shù)進展身份鑒別口令+CA證書，在身份鑒別強度上有了更大的提高；14身份鑒別條款了解為每一個登錄用戶提供獨一的標識，這樣運用系統(tǒng)就能對每一個用戶的行為進展審計；同時，為了添加非授權(quán)用戶運用暴力猜測等手段破解用戶鑒別信息的難度，應(yīng)保證用戶的鑒別信息具有一定的復(fù)雜性，如用戶的密碼的長度至少為8位、密碼是字母和數(shù)字的組合等；運用系統(tǒng)應(yīng)提供登錄失敗處置功能，如限制非法登錄次數(shù)等，登錄失敗次數(shù)應(yīng)能根據(jù)用戶根據(jù)實踐情況進展調(diào)整；另外，要求運用啟用這些功能，并配置不許的參數(shù)。15身份鑒別檢查方法訊問系統(tǒng)管理員，了解身份鑒別措施的部署和實施情況。根據(jù)了解的情況，檢查運用系統(tǒng)能否按照戰(zhàn)略要求進展

7、了相應(yīng)的配置，在條件允許的情況下，驗證功能包括運用口令暴力破解等測試手段能否正確。-測試運用系統(tǒng)如首先以正確的密碼登錄系統(tǒng)，然后再以錯誤的密碼重新登錄，查看能否勝利，驗證其登錄控制模塊功能能否正確；掃描運用系統(tǒng)，檢查運用系統(tǒng)能否存在弱口令和空口令用戶；用暴力破解工具對口令進展破解。16訪問控制要求項一應(yīng)提供訪問控制功能，根據(jù)平安戰(zhàn)略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問；訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作；應(yīng)由授權(quán)主體配置訪問控制戰(zhàn)略，并嚴厲限制默賴帳戶的訪問權(quán)限；17訪問控制要求項二應(yīng)授予不同帳戶為完成各自承當義務(wù)所需的最小權(quán)限，并在它們之間構(gòu)成相互制約的關(guān)系；

8、應(yīng)具有對重要信息資源設(shè)置敏感標志的功能；應(yīng)根據(jù)平安戰(zhàn)略嚴厲控制用戶對有敏感標志重要信息資源的操作。18訪問控制條款了解三級系統(tǒng)要求訪問控制的粒度到達文件、數(shù)據(jù)庫表級，權(quán)限之間具有制約關(guān)系如三權(quán)分別，并利用敏感標志控制用戶對重要信息資源的操作；在運用系統(tǒng)中應(yīng)嚴厲限制默許用戶的訪問權(quán)限，默許用戶普通指運用系統(tǒng)的公共帳戶或測試帳戶；運用系統(tǒng)授予帳戶所承當義務(wù)所需的最小權(quán)限，如指點只需進展查詢操作，那么無需為其分配業(yè)務(wù)操作權(quán)限；同時，該項要求明確規(guī)定應(yīng)在不同帳戶之間構(gòu)成相互制約關(guān)系；19訪問控制條款了解敏感標志表示主體/客體平安級別和平安范疇的一組信息，經(jīng)過比較標志來控制能否允許主體對客體的訪問，標志

9、不允許其他用戶進展修正，包括資源的擁有者，在可信計算基中把敏感標志作為強迫訪問控制決策的根據(jù)；在三級系統(tǒng)中，要求運用系統(tǒng)應(yīng)提供設(shè)置敏感標志的功能，經(jīng)過敏感標志控制用戶對重要信息資源的訪問。20訪問控制檢查方法訊問系統(tǒng)管理員，了解訪問控制措施的部署和實施情況。根據(jù)了解的情況，檢查運用系統(tǒng)能否按照戰(zhàn)略要求進展了相應(yīng)的配置，在條件允許的情況下，驗證功能能否正確。-以管理員身份進展審計操作，查看能否勝利；以審計員身份進展刪除/添加用戶、設(shè)定用戶權(quán)限的操作也可進展一些其他管理員進展的操作，查看能否勝利。21平安審計要求項應(yīng)提供覆蓋到每個用戶的平安審計功能，對運用系統(tǒng)重要平安事件進展審計；應(yīng)保證無法單獨中

10、斷審計進程，無法刪除、修正或覆蓋審計記錄；審計記錄的內(nèi)容至少應(yīng)包括事件的日期、時間、發(fā)起者信息、類型、描畫和結(jié)果等；應(yīng)提供對審計記錄數(shù)據(jù)進展統(tǒng)計、查詢、分析及生成審計報表的功能。22平安審計條款了解三級系統(tǒng)強調(diào)對每個用戶的重要操作進展審計，重要操作普通包括登錄/退出、改動訪問控制戰(zhàn)略、添加/刪除用戶、改動用戶權(quán)限和添加/刪除/查詢數(shù)據(jù)等；運用系統(tǒng)應(yīng)對審計進程或功能進展維護，假設(shè)處置審計的事務(wù)是一個單獨的進程，那么運用系統(tǒng)應(yīng)對審計進程進展維護，不允許非授權(quán)用戶對進城進展中斷；假設(shè)審計是一個獨立的功能，那么運用系統(tǒng)應(yīng)防止非授權(quán)用戶封鎖審計功能；另外，運用系統(tǒng)應(yīng)對審計記錄進展維護。 23平安審計檢查

11、方法訊問系統(tǒng)管理員，了解平安審計措施的部署和實施情況。重點檢查運用系統(tǒng)能否對每個用戶的重要操作進展了審計，同時可經(jīng)過進展一些操作如用戶登錄/退出、改動訪問控制戰(zhàn)略、添加/刪除用戶、改動用戶權(quán)限和添加/刪除/查詢數(shù)據(jù)等，查看運用系統(tǒng)能否進展了正確的審計。24剩余信息維護要求項應(yīng)保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全去除，無論這些信息是存放在硬盤上還是在內(nèi)存中；應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全去除。25剩余信息維護條款了解該項要求是為了防止某個用戶非授權(quán)獲取其他用戶的鑒別信息、文件、目錄和數(shù)據(jù)庫記錄等資源，運用系

12、統(tǒng)應(yīng)加強內(nèi)存和其他資源管理。檢查方法訊問系統(tǒng)管理員，了解剩余信息維護方面采取的措施。根據(jù)了解的情況，測試其采取的措施能否有效，如以某個用戶進展操作，操作完成退出系統(tǒng)后系統(tǒng)能否保管有未被刪除的文件等。26通訊完好性要求項應(yīng)采用密碼技術(shù)保證通訊過程中數(shù)據(jù)的完好性。27通訊完好性條款了解該項要求強調(diào)采取密碼技術(shù)來保證通訊過程中的數(shù)據(jù)完好性，普通加密技術(shù)無法保證密件在傳輸過程中不被交換，還需利用Hash函數(shù)如MD5、SHA和MAC用于完好性校驗，但不能利用CRC生成的校驗碼來進展完好性校驗。檢查方法訊問系統(tǒng)管理員，了解通訊完好性方面采取的措施?？山?jīng)過查看文檔或源代碼等方法來驗證措施能否落實；假設(shè)條件允

13、許，那么可設(shè)計測試用例進展測試。28通訊嚴密性要求項在通訊雙方建立銜接之前，運用系統(tǒng)應(yīng)利用密碼技術(shù)進展會話初始化驗證；應(yīng)對通訊過程中的整個報文或會話過程進展加密。29通訊嚴密性條款了解該項要求強調(diào)整個報文或會話過程進展加密，同時，假設(shè)在加密隧道建立之前需求傳送密碼等信息，那么應(yīng)采取密碼技術(shù)來保證這些信息的平安。檢查方法訊問系統(tǒng)管理員，了解通訊嚴密性方面采取的措施?？山?jīng)過抓包工具如Sniffer pro獲取通訊雙方的內(nèi)容，查看系統(tǒng)能否對通訊雙方的內(nèi)容進展了加密。30抗抵賴要求項應(yīng)具有在懇求的情況下為數(shù)據(jù)原發(fā)者或接納者提供數(shù)據(jù)原發(fā)證據(jù)的功能；應(yīng)具有在懇求的情況下為數(shù)據(jù)原發(fā)者或接納者提供數(shù)據(jù)接納證據(jù)

14、的功能。31抗抵賴條款了解該項要求強調(diào)運用系統(tǒng)提供抗抵賴措施如數(shù)字簽名、流水記錄、日志等，從而保證發(fā)送和接納方都是真實存在的用戶。檢查方法訊問系統(tǒng)管理員，了解抗抵賴方面采取的措施?？山?jīng)過查看文檔或源代碼等方法來驗證措施能否落實。條件允許，可進展測試，如經(jīng)過雙方進展通訊，查看系統(tǒng)能否能提供在懇求的情況下為數(shù)據(jù)原發(fā)者提供原發(fā)證據(jù)。32軟件容錯要求項應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證經(jīng)過人機接口輸入或經(jīng)過通訊接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求；應(yīng)提供自動維護功能，當缺點發(fā)生時自動維護當前一切形狀，保證系統(tǒng)可以進展恢復(fù)。33軟件容錯條款了解為了防止SQL注入等攻擊，軟件應(yīng)對用戶輸入數(shù)據(jù)的長度和格式等

15、進展限制。檢查方法訊問系統(tǒng)管理員，了解軟件容錯方面采取的措施。可經(jīng)過查看文檔或源代碼等方法來驗證措施能否落實，并在界面上輸入超越長度或不符合要求格式如hi or 1=1-的數(shù)據(jù)，驗證其功能能否正確。34資源控制要求項一當運用系統(tǒng)的通訊雙方中的一方在一段時間內(nèi)未作任何呼應(yīng)，另一方應(yīng)可以自動終了會話；應(yīng)可以對系統(tǒng)的最大并發(fā)會話銜接數(shù)進展限制；應(yīng)可以對單個帳戶的多重并發(fā)會話進展限制；應(yīng)可以對一個時間段內(nèi)能夠的并發(fā)會話銜接數(shù)進展限制；35資源控制要求項二應(yīng)可以對一個訪問帳戶或一個懇求進程占用的資源分配最大限額和最小限額；應(yīng)可以對系統(tǒng)效力程度降低到預(yù)先規(guī)定的最小值進展檢測和報警；應(yīng)提供效力優(yōu)先級設(shè)定功能

16、，并在安裝后根據(jù)平安戰(zhàn)略設(shè)定訪問帳戶或懇求進程的優(yōu)先級，根據(jù)優(yōu)先級分配系統(tǒng)資源。36資源控制條款了解資源控制是為了保證大多數(shù)用戶可以正常的運用資源，防止效力中斷，運用系統(tǒng)應(yīng)采取限制最大并發(fā)銜接數(shù)、懇求帳戶的最大資源限制等措施。檢查方法訊問系統(tǒng)管理員，了解資源控制措施的部署和實施情況。根據(jù)了解的情況，檢查運用系統(tǒng)能否配備了相應(yīng)的功能，在條件允許的情況下，驗證功能能否正確。37數(shù)據(jù)完好性要求項應(yīng)可以檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完好性遭到破壞，并在檢測到完好性錯誤時采取必要的恢復(fù)措施；應(yīng)可以檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲過程中完好性遭到破壞，并在檢測到完好

17、性錯誤時采取必要的恢復(fù)措施。38數(shù)據(jù)完好性條款了解該項要求強調(diào)不僅要保證管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸數(shù)據(jù)的完好性，而且要保證存儲過程中的完好性并且在檢測到完好性遭到破壞時采取恢復(fù)措施。檢查方法訊問系統(tǒng)管理員，了解數(shù)據(jù)完好性措施部署和實施情況。根據(jù)了解的情況，檢查運用系統(tǒng)能否配備了相應(yīng)的功能，在條件允許的情況下，驗證功能能否正確。39數(shù)據(jù)嚴密性要求項應(yīng)采用加密或其他有效措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸嚴密性；應(yīng)采用加密或其他維護措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲嚴密性。40數(shù)據(jù)嚴密性條款了解該項要求強調(diào)不僅要保證管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸數(shù)據(jù)的嚴密

18、性，而且要保證存儲過程中的嚴密性并且在檢測到完好性遭到破壞時采取恢復(fù)措施。檢查方法訊問系統(tǒng)管理員，了解數(shù)據(jù)嚴密性措施部署和實施情況。根據(jù)了解的情況，檢查運用系統(tǒng)能否配備了相應(yīng)的功能，在條件允許的情況下，驗證功能能否正確。41備份和恢復(fù)要求項應(yīng)提供本地數(shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場外存放；應(yīng)提供異地數(shù)據(jù)備份功能，利用通訊網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地。42備份和恢復(fù)條款了解該項要求對備份戰(zhàn)略進展了明確的要求，即“完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場外存放 ，并且強調(diào)應(yīng)提供異地數(shù)據(jù)備份功能。這部分主要檢查文件型數(shù)據(jù)的備份和恢復(fù)方式。檢查方法訊問系統(tǒng)管理員，了解備份和恢復(fù)方面采取的措施。根據(jù)了解的情況，檢查相應(yīng)措施能否落實，假設(shè)條件允許，那么驗證其能否有效。43內(nèi)容目錄 背景引見 運用測評的特點和方法 主 要 測 評 內(nèi) 容 結(jié)果整理和分析44結(jié)果整理和分析結(jié)果整理經(jīng)過對測評結(jié)果的整理，并與預(yù)期結(jié)果進展比較，初步斷定各個運用系統(tǒng)的單項符合情況，在斷定時需結(jié)合業(yè)務(wù)和數(shù)據(jù)流程進展分析，不能從單點結(jié)果進展判別。綜合分析在單項斷定后，需求結(jié)果其他層面的測評結(jié)果進展綜合分析，從整體上分析其他層面的平安措施能否彌補運用層面的平安弱點，如