金融行業(yè)三級信息系統(tǒng)應(yīng)用安全測評指導(dǎo)書

1、密級：機(jī)密信息安全等級保護(hù)測評指導(dǎo)書應(yīng)用安全測評指導(dǎo)書XXX限公司2013.05保密申明本安全方案包含了來自XXX可靠、權(quán)威的信息，此信息僅供XXX的信息安 全等級保護(hù)測評項(xiàng)目使用，接受本指導(dǎo)書即表示同意對其內(nèi)容保密，并且未經(jīng) XXX書面請求和書面認(rèn)可，不得向外界復(fù)制，泄露或散布此方案。如果你不是 有意接受者，請注意對本方案內(nèi)容的任何形式的泄露、復(fù)制或散布都是被禁止 的。控制點(diǎn)要求項(xiàng)身份鑒 別a)等保要求應(yīng)提供專用的登錄控制模塊對登錄用戶進(jìn)行身份標(biāo)識和鑒別。測評方法1）詢問系統(tǒng)管理員，該系統(tǒng)是否提供專用的登錄控制模塊對登錄的用戶進(jìn)行身份標(biāo)識和鑒別， 采用何種方式對用戶進(jìn)行身份標(biāo)識和鑒別？2）檢

2、查應(yīng)用系統(tǒng)，身份標(biāo)識和鑒別的方式是否與管理員回答的一致。3）以某注冊用戶身份登錄系統(tǒng)，查看登錄是否成功；以非法用戶身份登錄系統(tǒng)，查看登錄是否 成功。序號軟件名稱測評結(jié)果符合情況123b)等保要求應(yīng)對同一用戶的關(guān)鍵操作采胞種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別；如使用磁卡、 IC卡、動態(tài)密碼卡、動態(tài)口令設(shè)備、手機(jī)短信動態(tài)密碼、指紋識別等方式加強(qiáng)鑒別。測評方法1）詢問系統(tǒng)管理員，該系統(tǒng)是否采用了兩個及兩個以上身份鑒別技術(shù)的組合來進(jìn)行身份鑒別2）如果是，查看身份鑒別技術(shù)是什么？是否與回答一致序號軟件名稱測評結(jié)果符合情況123c)等保要求應(yīng)提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)

3、中不存在重復(fù)用戶身份標(biāo) 識，身份鑒別信息不易被冒用。測評方法1）詢問系統(tǒng)管理員，該系統(tǒng)的用戶身份標(biāo)識是否唯一。米取了什么措施防止身份鑒別信息被冒 用。2）檢查總體規(guī)劃/設(shè)計文檔，查看其是否有系統(tǒng)采取了唯一標(biāo)識的說明。查看其身份鑒別信息 是否具有不易被冒用的特點(diǎn)。3）詢問系統(tǒng)管理員，該系統(tǒng)是否有專門的設(shè)置保證用戶身份鑒別信息不易被冒用，如果應(yīng)用系 統(tǒng)采用口令進(jìn)行身份鑒別，則查看是否有選項(xiàng)或設(shè)置強(qiáng)制要求口令長度、復(fù)雜度、定期修改等。4）如果應(yīng)用系統(tǒng)式以用戶名來保證用戶身份標(biāo)識的唯一性，則以已有的用戶名重新注冊，測試 系統(tǒng)是否禁止該操作。5）掃描應(yīng)用系統(tǒng)，測試其鑒別信息復(fù)雜度檢查功能，檢查系統(tǒng)是否不

4、允許存在弱口令、空口令 等。序號軟件名稱測評結(jié)果符合情況123d)等保要求應(yīng)提供登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施。測評方法1）詢問系統(tǒng)管理員，該系統(tǒng)是否具有登錄失敗處理的功能（如結(jié)束會話、限制非法登錄次數(shù)， 當(dāng)?shù)卿涍B接超時，自動退出等），是如何進(jìn)行處理的？2）如果有登錄失敗處理設(shè)置選項(xiàng)或模塊，查看系統(tǒng)是否設(shè)置或選中了該功能。序號軟件名稱測評結(jié)果符合情況123e)等保要求應(yīng)啟用身份鑒別、用戶身份標(biāo)識唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理 功能，并根據(jù)安全策略配置相關(guān)參數(shù)。測評方法1）詢問系統(tǒng)管理員，該系統(tǒng)的身份鑒別、身份標(biāo)識唯一性檢查、鑒別信息復(fù)

5、雜度檢查以及登錄 失敗處理功能是否有專門的模塊或選項(xiàng)，是否有相關(guān)參數(shù)需要配置。2）如果有參數(shù)需要配置，則查看實(shí)際配置情況，是否已經(jīng)啟用上述功能。序號軟件名稱測評結(jié)果符合情況123f)等保要求應(yīng)用軟件應(yīng)能在指定的閑置時間間隔到期后，自動鎖定客戶端的使用。（F3）測評方法檢測應(yīng)用軟件客戶端在指定閑置時間到期后是否自動鎖定。序號軟件名稱測評結(jié)果符合情況123g)等保要求對于系統(tǒng)自動分配或者預(yù)設(shè)的強(qiáng)度較弱的初始密碼，系統(tǒng)應(yīng)強(qiáng)制用戶首次登錄時修改初始密碼。 （F3）測評方法應(yīng)測評系統(tǒng)初始密碼是否在首次登錄時被要求強(qiáng)制修改。序號軟件名稱測評結(jié)果符合情況123h)等保要求修改密碼時，不允許新設(shè)定的密碼與舊密

6、碼相同。（F3）測評方法1）詢問系統(tǒng)管理員，該系統(tǒng)是否提供訪問控制功能，訪問控制策略是什么？訪問控制的粒度是 否達(dá)到文件、數(shù)據(jù)庫表？2）檢查應(yīng)用系統(tǒng)的訪問控制功能和策略配置是否與管理員回答的一致。3）以某一用戶身份登錄系統(tǒng)，依據(jù)安全策略對客體進(jìn)行訪問，測試是否成功。該用戶不依據(jù)安 全策略對客體進(jìn)行訪問，測試是否成功。序號軟件名稱測評結(jié)果符合情況123訪問控 制a)等保要求應(yīng)提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問。測評方法1）詢問系統(tǒng)管理員，該系統(tǒng)是否提供訪問控制功能，訪問控制策略是什么？訪問控制的粒度是 否達(dá)到文件、數(shù)據(jù)庫表？2）檢查應(yīng)用系統(tǒng)的訪問控制功能和策略配置

7、是否與管理員回答的一致。3）以某一用戶身份登錄系統(tǒng)，依據(jù)安全策略對客體進(jìn)行訪問，測試是否成功。該用戶不依據(jù)安 全策略對客體進(jìn)行訪問，測試是否成功。序號軟件名稱測評結(jié)果符合情況123b)等保要求訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作。測評方法1）訪談系統(tǒng)管理員，詢問系統(tǒng)訪問控制策略是否覆蓋到與信息安全直接相關(guān)的主體、客體及它 們之間的操作？2）檢查應(yīng)用系統(tǒng)的訪問控制策略是否覆蓋到與信息安全直接相關(guān)的所有主體、客體及它們之間 的操作。序號軟件名稱測評結(jié)果符合情況123c)等保要求應(yīng)由授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限。測評方法1）詢問系統(tǒng)管理員，該系

8、統(tǒng)是否有由授權(quán)主體配置訪問控制策略的功能。2）如果系統(tǒng)有由授權(quán)主體配置訪問控制策略的功能，則以該授權(quán)主體用戶登錄系統(tǒng)，查看某特 定用戶的權(quán)限。以該用戶身份登錄系統(tǒng)，進(jìn)行在權(quán)限范圍內(nèi)和權(quán)限范圍外的一些操作，查看是 否成功。3）以該授權(quán)主體用戶登錄系統(tǒng)，修改上述特定用戶的權(quán)限。以該用戶身份登錄系統(tǒng)，查看該用 戶的權(quán)限是否與剛修改過的權(quán)限保持一致，驗(yàn)證用戶權(quán)限管理功能是否有效。4）詢問系統(tǒng)管理員，該系統(tǒng)是否有默認(rèn)用戶，如果有，是否限制了默認(rèn)用戶的訪問權(quán)限。5）如果有默認(rèn)帳戶，以默認(rèn)帳戶（默認(rèn)密碼）登錄系統(tǒng)，并進(jìn)行合法及非法操作，測試系統(tǒng)是 否對默認(rèn)帳戶訪問權(quán)限進(jìn)行了限制。序號軟件名稱測評結(jié)果符合情況

9、123d)等保要求應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系。測評方法1）訪談系統(tǒng)管理員，詢問系統(tǒng)所有帳戶是否只擁有完成自己承擔(dān)任務(wù)所需的最小權(quán)限，相互之 間是否形成相互制約關(guān)系。2）以擁有其他權(quán)限的用戶身份登錄，查看其權(quán)限是否受到限制序號軟件名稱測評結(jié)果符合情況123e)等保要求應(yīng)有生產(chǎn)系統(tǒng)關(guān)鍵賬戶與權(quán)限的關(guān)系表。（F3）測評方法檢查是否建立賬戶權(quán)限關(guān)系表，是否明確說明賬戶類別以及其具有的權(quán)限范圍。序號軟件名稱測評結(jié)果符合情況123f)等保要求宜具有對重要信息資源設(shè)置敏感標(biāo)記的功能。測評方法檢查目標(biāo)系統(tǒng)，查看系統(tǒng)是否具有對重要信息資源設(shè)置敏感標(biāo)記的功能？如

10、果有，則驗(yàn)證該功 能是否有效。序號軟件名稱測評結(jié)果符合情況123g)等保要求宜依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作。測評方法檢查目標(biāo)系統(tǒng)，如果具有對重要信息資源設(shè)置敏感標(biāo)記的功能，則查看系統(tǒng)是否依據(jù)安全策略 控制用戶對有敏感標(biāo)記重要信息資源的操作。序號軟件名稱測評結(jié)果符合情況123安全審 計a)等保要求應(yīng)提供覆蓋到每個用戶的安全審計功能，對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計。測評方法1）訪談安全審計員，詢問是否有安全審計功能，對事件進(jìn)行審計的選擇要求和策略是什么。2）檢查應(yīng)用系統(tǒng)的審計策略（審計記錄），查看審計策略（或記錄）是否覆蓋到每個用戶。都 對哪些安全事件進(jìn)行審計。3）多次以

11、任意用戶身份登錄系統(tǒng)，進(jìn)行一些操作，包括重要的安全相關(guān)操作或事件（如用戶標(biāo) 識與鑒別、自主訪問控制的所有操作記錄（如用系統(tǒng)管理員身份改變用戶權(quán)限，增加或刪除用 戶），用戶的行為（如刪除數(shù)據(jù)、多次登錄失敗等）。4）用審計人員的身份登錄系統(tǒng)，查看系統(tǒng)對上述用戶的重要操作或事件是否進(jìn)行審計。序號軟件名稱測評結(jié)果符合情況123b)等保要求應(yīng)保證無法單獨(dú)中斷審計進(jìn)程，不提供刪除、修改或覆蓋審計記錄的功能。測評方法1）訪談安全審計員，詢問應(yīng)用系統(tǒng)對審計日志的處理方式有哪些。2）以普通用戶身份試圖刪除、修改或覆蓋自身的審計記錄，查看能否成功。試圖刪除、修改其 他人的審計記錄，查看能否成功。3）如果審計記錄能

12、夠?qū)?，則導(dǎo)出審計記錄并進(jìn)行修改后導(dǎo)入系統(tǒng)，查看能否覆蓋以前的審計 記錄。序號軟件名稱測評結(jié)果符合情況123c)等保要求審計記錄的內(nèi)容至少應(yīng)包括事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等，并定期備 份申計記錄，保存時間不少于半年。測評方法以審計員身份登錄系統(tǒng)，檢查審計記錄內(nèi)容是否包括事件發(fā)生的日期、時間、發(fā)起者信息、事 件類型、事件相關(guān)描述信息、事件的結(jié)果等。序號軟件名稱測評結(jié)果符合情況123d)等保要求應(yīng)提供對審計記錄數(shù)據(jù)進(jìn)行統(tǒng)計、查詢、分析及生成審計報表的功能。測評方法1）檢查應(yīng)用系統(tǒng)，查看其是否為授權(quán)用戶瀏覽和分析審計數(shù)據(jù)提供專門的審計工具（如對審計 記錄進(jìn)行分類、排序、查詢、統(tǒng)計

13、、分析和組合查詢等）。2）檢查應(yīng)用系統(tǒng)是否能夠生成審計報表。序號軟件名稱測評結(jié)果符合情況123e)等保要求對于從互聯(lián)網(wǎng)客戶端登陸的應(yīng)用系統(tǒng)，應(yīng)在每次用戶登錄時提供用戶上一次成功登錄的日期、 時間、方法、位置等信息，以便用戶及時發(fā)現(xiàn)可能的問題。（F3）測評方法檢查客戶端登錄時是否可以提供戶上一次成功登錄的日期、時間、方法、位置、錯誤登錄等信 息。序號軟件名稱測評結(jié)果符合情況123剩余信 息保護(hù)a)等保要求應(yīng)保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除，無論這些信 息是存放在硬盤上還是在內(nèi)存中。測評方法訪談系統(tǒng)管理員，詢問系統(tǒng)是否采取措施保證對存儲介質(zhì)中的殘余信息進(jìn)行刪除，

14、采取什么具 體措施。序號軟件名稱測評結(jié)果符合情況123b)等保要求應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶 前得到完全清除。測評方法如果鑒別信息存放在文件中，則用另一個用戶登錄查看能否讀取用戶信息。如果用戶的鑒別信 息存放在數(shù)據(jù)庫中，則通過用戶界面或其他方式能否獲取系統(tǒng)鑒別信息。序號軟件名稱測評結(jié)果符合情況123通信完 整性a)等保要求應(yīng)采用密碼技術(shù)保證通信過程中關(guān)鍵數(shù)據(jù)的完整性。測評方法1）詢問安全管理員應(yīng)用系統(tǒng)是否有數(shù)據(jù)在傳輸過程中進(jìn)行完整性保證的操作，具體采取什么措 施。2）應(yīng)檢查設(shè)計/驗(yàn)收文檔，查看其是否有通信完整性的說明，如果有則查看是否采用

15、校驗(yàn)碼技 術(shù)保證通信完整性。序號軟件名稱測評結(jié)果符合情況123通信保 密性a)等保要求在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會話初始化驗(yàn)證。測評方法1）詢問安全管理員系統(tǒng)在通信雙方建立連接之前米用什么技術(shù)進(jìn)行會話初始化驗(yàn)證。2）應(yīng)檢查設(shè)計/驗(yàn)收文檔，查看其是否有通信保密性的說明，如果有則查看是否有利用密碼技 術(shù)進(jìn)行通信會話初始化驗(yàn)證的說明。序號軟件名稱測評結(jié)果符合情況123b)等保要求對于通過互聯(lián)網(wǎng)對外提供服務(wù)的系統(tǒng)，在通信過程中的整個報文或會話過程，應(yīng)通過專用的通 信協(xié)議或加密的方式保證通信過程的機(jī)密性進(jìn)行加密。對于通過互聯(lián)網(wǎng)對外提供服務(wù)的系統(tǒng)， 在通信過程中的整個報文或會話過程

16、，應(yīng)通過專用的通信協(xié)議或加密的方式保證通信過程的機(jī) 密性進(jìn)行加密。測評方法1）詢問安全管理員應(yīng)用系統(tǒng)的敏感信息字段在通信過程中是否采取保密措施，具體采取什么措 施。2）應(yīng)檢查設(shè)計/驗(yàn)收文檔，查看其是否有通信保密性的說明，如果有則查看是否有對通信過程 中的敏感信息字段進(jìn)行加密的說明。序號軟件名稱設(shè)備作用測評結(jié)果符合情況123抗抵賴a)等保要求應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能，原發(fā)證據(jù)包括應(yīng)用系 統(tǒng)操作與管理記錄，至少應(yīng)包括操作時間、操作人員及操作類型、操作內(nèi)容等記錄，交易系統(tǒng) 還應(yīng)能夠詳細(xì)記錄用戶合規(guī)交易數(shù)據(jù)，如業(yè)務(wù)流水號、賬戶名、IP地址、交易指令等信息以供 審計

17、，并能夠追溯到用戶。測評方法1）訪談安全員，詢問系統(tǒng)是否具有抗抵賴的措施，具體措施有哪些。2）測試應(yīng)用系統(tǒng)，通過雙方進(jìn)行通信，查看系統(tǒng)是否提供在請求的情況下為數(shù)據(jù)原發(fā)者提供數(shù) 據(jù)原發(fā)證據(jù)的功能。序號軟件名稱測評結(jié)果符合情況123b)等保要求應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能，接受證據(jù)應(yīng)用系統(tǒng)操 作與管理記錄至少應(yīng)包括應(yīng)用系統(tǒng)操作與管理記錄，至少應(yīng)包括操作時間、操作人員及操作類 型、操作內(nèi)容等記錄，交易系統(tǒng)還應(yīng)能夠詳細(xì)記錄用戶合規(guī)交易數(shù)據(jù)，如業(yè)務(wù)流水號、賬戶名、 IP地址、交易指令等信息以供審計，并能夠追溯到用戶。測評方法1）訪談安全員，詢問系統(tǒng)是否具有抗抵賴的措施，

18、具體措施有哪些。2）測試應(yīng)用系統(tǒng)，通過雙方進(jìn)行通信，查看系統(tǒng)是否提供在請求的情況下為數(shù)據(jù)接收者提供數(shù) 據(jù)原發(fā)證據(jù)的功能。序號軟件名稱測評結(jié)果符合情況123軟件容 錯a)等保要求應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符 合系統(tǒng)設(shè)定要求。測評方法1）訪談管理員，詢問是否有保證軟件具有容錯能力的措施，具體米取哪些措施。2）在應(yīng)用終端輸入不同（如數(shù)據(jù)格式或長度等符合、不符合軟件設(shè)定的要求）的數(shù)據(jù)，包括登 錄標(biāo)識與鑒別數(shù)據(jù)、其他操作數(shù)據(jù)等，查看系統(tǒng)的反應(yīng)。序號軟件名稱測評結(jié)果符合情況123b)等保要求應(yīng)提供自動保護(hù)功能，當(dāng)故障發(fā)生時自動保護(hù)當(dāng)前所有狀態(tài)，保證系統(tǒng)

19、能夠進(jìn)行恢復(fù)。測評方法詢問管理員應(yīng)用系統(tǒng)是否發(fā)生過故障，故障發(fā)生時是否能夠繼續(xù)提供一部分功能保證實(shí)施必要 的措施。序號軟件名稱測評結(jié)果符合情況123c)等保要求應(yīng)能夠有效屏蔽系統(tǒng)技術(shù)錯誤信息，不將系統(tǒng)產(chǎn)生的錯誤信息直接反饋給客戶。（F3）測評方法檢查是否能夠有效屏蔽系統(tǒng)技術(shù)錯誤信息，不將系統(tǒng)產(chǎn)生的錯誤信息直接反饋給客戶。序號軟件名稱測評結(jié)果符合情況123資源控 制a)等保要求對于有會話或短連接的應(yīng)用系統(tǒng)，當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)， 另一方應(yīng)能夠自動結(jié)束會話。測評方法1）詢問業(yè)務(wù)系統(tǒng)是否有資源控制的措施，具體措施有哪些。2）登錄應(yīng)用系統(tǒng)服務(wù)器，查看應(yīng)用系統(tǒng)屬性是否設(shè)置了連接超時限制。序號軟件名稱測評結(jié)果符合情況123b)等保要求應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會話連接數(shù)進(jìn)行限制。測評方法1）詢問管理員應(yīng)用系統(tǒng)同時最多支持多少個并發(fā)會話連接？是否有限制？2）登錄應(yīng)用系統(tǒng)服務(wù)器，查看系統(tǒng)是否設(shè)置了參數(shù)限制最大并發(fā)會話連接數(shù)。序號軟件名稱測評結(jié)果符合情況123c)等保要求對于有會話的應(yīng)用系統(tǒng)，應(yīng)能夠?qū)蝹€帳戶的多重并發(fā)會話進(jìn)行限制。測評方法1）詢問管理員單