信息安全等級測評師培訓之應用系統(tǒng)安全測評

信息安全等級測評師培訓應用系統(tǒng)安全測評1第一頁，共四十八頁。內(nèi)容目錄背景介紹應用測評的特點和方法主要測評內(nèi)容結(jié)果整理和分析2第二頁，共四十八頁。應用安全的形勢（一）開發(fā)商和用戶對應用安全重視程度不夠開發(fā)商安全意識普遍淡薄，開發(fā)中留有安全隱患用戶普遍對應用安全不重視，系統(tǒng)上線前把關(guān)不嚴應用系統(tǒng)存在的漏洞較多3NIST的報告顯示，超過90%的安全漏洞是應用層漏洞，它已經(jīng)遠遠超過網(wǎng)絡、操作系統(tǒng)和瀏覽器的漏洞數(shù)量，這個比例還有上升的趨勢。第三頁，共四十八頁。應用安全的形勢（二）針對應用系統(tǒng)的攻擊手段越來越多，面臨的威脅在不斷增大針對口令的攻擊，如口令破解等非授權(quán)獲取敏感信息，如信息竊聽、系統(tǒng)管理員非授權(quán)獲取敏感業(yè)務數(shù)據(jù)（如用戶的密碼等信息）等針對WEB應用的攻擊，如跨站腳本攻擊、SQL注入、緩沖區(qū)溢出、拒絕服務攻擊、改變網(wǎng)頁內(nèi)容等4第四頁，共四十八頁。指標選取在《基本要求》中的位置數(shù)據(jù)庫安全是主機安全的一個部分，數(shù)據(jù)庫的測評指標是從“主機安全”和“數(shù)據(jù)安全及備份恢復”中根據(jù)數(shù)據(jù)庫的特點映射得到的。5第五頁，共四十八頁。應用系統(tǒng)的指標選取在《基本要求》中的位置“應用安全”的所有指標，對于應用平臺軟件等則從中選擇部分指標；“數(shù)據(jù)安全及備份恢復”中的部分指標，對于三級信息系統(tǒng)，在應用安全中，主要檢查“數(shù)據(jù)完整性”、“數(shù)據(jù)保密性”和“備份和恢復”第一和第二項；應結(jié)合管理的要求，如“應根據(jù)開發(fā)需求檢測軟件質(zhì)量”、“應要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門”，加強應用系統(tǒng)的源代碼安全性。6第六頁，共四十八頁。內(nèi)容目錄背景介紹應用測評的特點和方法主要測評內(nèi)容結(jié)果整理和分析7第七頁，共四十八頁。應用測評的特點安全功能和配置檢查并重和數(shù)據(jù)庫、操作系統(tǒng)等成熟產(chǎn)品不同，應用系統(tǒng)現(xiàn)場測評除檢查安全配置外，還需驗證相關(guān)安全功能是否正確應用測評中不確定因素較多業(yè)務和數(shù)據(jù)流程不同，需根據(jù)業(yè)務和數(shù)據(jù)特點確定范圍應用系統(tǒng)安全漏洞發(fā)現(xiàn)困難，很難消除代碼級的安全隱患測評范圍較廣，分析較為困難應用系統(tǒng)測評包括應用平臺（如IIS等）的測評，且和其他層面關(guān)聯(lián)較大8第八頁，共四十八頁。應用測評的方法（1）通過訪談，了解安全措施的實施情況9和其他成熟產(chǎn)品不同，應用系統(tǒng)只有在充分了解其部署情況后，才能明確測評的范圍和對象，分析其系統(tǒng)的脆弱性和面臨的主要安全威脅，有針對性的進行檢查和測試。--右圖是一個手機支付系統(tǒng)的流程示意圖，通過網(wǎng)頁和手機可以完成沖值、查詢等業(yè)務。第九頁，共四十八頁。應用測評的方法（2）通過檢查，查看其是否進行了正確的配置有的安全功能（如口令長度限制、錯誤登錄嘗試次數(shù)等）需要在應用系統(tǒng)上進行配置，則查看其是否進行了正確的配置，與安全策略是否一致。無需進行配置的，則應查看其部署情況是否與訪談一致。如果條件允許，需進行測試可通過測試驗證安全功能是否正確，配置是否生效。代碼級的安全漏洞在現(xiàn)場查驗比較困難，則可進行漏洞掃描和滲透測試。10第十頁，共四十八頁。內(nèi)容目錄背景介紹應用測評的特點和方法主要測評內(nèi)容結(jié)果整理和分析11第十一頁，共四十八頁。身份鑒別要求項（一）應提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別；應對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別；應提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證應用系統(tǒng)中不存在重復用戶身份標識，身份鑒別信息不易被冒用；12第十二頁，共四十八頁。身份鑒別要求項（二）應提供登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。13第十三頁，共四十八頁。身份鑒別條款理解提供專用的登錄控制模塊對用戶身份的合法性進行核實，只有通過驗證的用戶才能在系統(tǒng)規(guī)定的權(quán)限內(nèi)進行操作，這是防止非法入侵最基本的一種保護措施；三級或三級以上系統(tǒng)要求必須提供兩種（兩次口令鑒別不屬于這種情況）或兩種以上組合的鑒別技術(shù)進行身份鑒別（口令+CA證書），在身份鑒別強度上有了更大的提高；14第十四頁，共四十八頁。身份鑒別條款理解為每一個登錄用戶提供唯一的標識，這樣應用系統(tǒng)就能對每一個用戶的行為進行審計；同時，為了增加非授權(quán)用戶使用暴力猜測等手段破解用戶鑒別信息的難度，應保證用戶的鑒別信息具有一定的復雜性，如用戶的密碼的長度至少為8位、密碼是字母和數(shù)字的組合等；應用系統(tǒng)應提供登錄失敗處理功能，如限制非法登錄次數(shù)等，登錄失敗次數(shù)應能根據(jù)用戶根據(jù)實際情況進行調(diào)整；另外，要求應用啟用這些功能，并配置不許的參數(shù)。15第十五頁，共四十八頁。身份鑒別檢查方法詢問系統(tǒng)管理員，了解身份鑒別措施的部署和實施情況。根據(jù)了解的情況，檢查應用系統(tǒng)是否按照策略要求進行了相應的配置，在條件允許的情況下，驗證功能（包括應用口令暴力破解等測試手段）是否正確。--測試應用系統(tǒng)（如首先以正確的密碼登錄系統(tǒng)，然后再以錯誤的密碼重新登錄，查看是否成功），驗證其登錄控制模塊功能是否正確；掃描應用系統(tǒng)，檢查應用系統(tǒng)是否存在弱口令和空口令用戶；用暴力破解工具對口令進行破解。16第十六頁，共四十八頁。訪問控制要求項（一）應提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問；訪問控制的覆蓋范圍應包括與資源訪問相關(guān)的主體、客體及它們之間的操作；應由授權(quán)主體配置訪問控制策略，并嚴格限制默認帳戶的訪問權(quán)限；17第十七頁，共四十八頁。訪問控制要求項（二）應授予不同帳戶為完成各自承擔任務所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系；應具有對重要信息資源設(shè)置敏感標記的功能；應依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作。18第十八頁，共四十八頁。訪問控制條款理解三級系統(tǒng)要求訪問控制的粒度達到文件、數(shù)據(jù)庫表級，權(quán)限之間具有制約關(guān)系（如三權(quán)分離），并利用敏感標記控制用戶對重要信息資源的操作；在應用系統(tǒng)中應嚴格限制默認用戶的訪問權(quán)限，默認用戶一般指應用系統(tǒng)的公共帳戶或測試帳戶；應用系統(tǒng)授予帳戶所承擔任務所需的最小權(quán)限，如領(lǐng)導只需進行查詢操作，則無需為其分配業(yè)務操作權(quán)限；同時，該項要求明確規(guī)定應在不同帳戶之間形成相互制約關(guān)系；19第十九頁，共四十八頁。訪問控制條款理解敏感標記表示主體/客體安全級別和安全范疇的一組信息，通過比較標記來控制是否允許主體對客體的訪問，標記不允許其他用戶進行修改，包括資源的擁有者，在可信計算基中把敏感標記作為強制訪問控制決策的依據(jù)；在三級系統(tǒng)中，要求應用系統(tǒng)應提供設(shè)置敏感標記的功能，通過敏感標記控制用戶對重要信息資源的訪問。20第二十頁，共四十八頁。訪問控制檢查方法詢問系統(tǒng)管理員，了解訪問控制措施的部署和實施情況。根據(jù)了解的情況，檢查應用系統(tǒng)是否按照策略要求進行了相應的配置，在條件允許的情況下，驗證功能是否正確。--以管理員身份進行審計操作，查看是否成功；以審計員身份進行刪除/增加用戶、設(shè)定用戶權(quán)限的操作（也可進行一些其他管理員進行的操作），查看是否成功。21第二十一頁，共四十八頁。安全審計要求項應提供覆蓋到每個用戶的安全審計功能，對應用系統(tǒng)重要安全事件進行審計；應保證無法單獨中斷審計進程，無法刪除、修改或覆蓋審計記錄；審計記錄的內(nèi)容至少應包括事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等；應提供對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表的功能。22第二十二頁，共四十八頁。安全審計條款理解三級系統(tǒng)強調(diào)對每個用戶的重要操作進行審計，重要操作一般包括登錄/退出、改變訪問控制策略、增加/刪除用戶、改變用戶權(quán)限和增加/刪除/查詢數(shù)據(jù)等；應用系統(tǒng)應對審計進程或功能進行保護，如果處理審計的事務是一個單獨的進程，那么應用系統(tǒng)應對審計進程進行保護，不允許非授權(quán)用戶對進城進行中斷；如果審計是一個獨立的功能，則應用系統(tǒng)應防止非授權(quán)用戶關(guān)閉審計功能；另外，應用系統(tǒng)應對審計記錄進行保護。23第二十三頁，共四十八頁。安全審計檢查方法詢問系統(tǒng)管理員，了解安全審計措施的部署和實施情況。重點檢查應用系統(tǒng)是否對每個用戶的重要操作進行了審計，同時可通過進行一些操作（如用戶登錄/退出、改變訪問控制策略、增加/刪除用戶、改變用戶權(quán)限和增加/刪除/查詢數(shù)據(jù)等），查看應用系統(tǒng)是否進行了正確的審計。24第二十四頁，共四十八頁。剩余信息保護要求項應保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；應保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全清除。25第二十五頁，共四十八頁。剩余信息保護條款理解該項要求是為了防止某個用戶非授權(quán)獲取其他用戶的鑒別信息、文件、目錄和數(shù)據(jù)庫記錄等資源，應用系統(tǒng)應加強內(nèi)存和其他資源管理。檢查方法詢問系統(tǒng)管理員，了解剩余信息保護方面采取的措施。根據(jù)了解的情況，測試其采取的措施是否有效，如以某個用戶進行操作，操作完成退出系統(tǒng)后系統(tǒng)是否保留有未被刪除的文件等。26第二十六頁，共四十八頁。通信完整性要求項應采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。27第二十七頁，共四十八頁。通信完整性條款理解該項要求強調(diào)采取密碼技術(shù)來保證通信過程中的數(shù)據(jù)完整性，普通加密技術(shù)無法保證密件在傳輸過程中不被替換，還需利用Hash函數(shù)（如MD5、SHA和MAC）用于完整性校驗，但不能利用CRC生成的校驗碼來進行完整性校驗。檢查方法詢問系統(tǒng)管理員，了解通信完整性方面采取的措施?？赏ㄟ^查看文檔或源代碼等方法來驗證措施是否落實；如果條件允許，則可設(shè)計測試用例進行測試。28第二十八頁，共四十八頁。通信保密性要求項在通信雙方建立連接之前，應用系統(tǒng)應利用密碼技術(shù)進行會話初始化驗證；應對通信過程中的整個報文或會話過程進行加密。29第二十九頁，共四十八頁。通信保密性條款理解該項要求強調(diào)整個報文或會話過程進行加密，同時，如果在加密隧道建立之前需要傳遞密碼等信息，則應采取密碼技術(shù)來保證這些信息的安全。檢查方法詢問系統(tǒng)管理員，了解通信保密性方面采取的措施?？赏ㄟ^抓包工具（如Snifferpro）獲取通信雙方的內(nèi)容，查看系統(tǒng)是否對通信雙方的內(nèi)容進行了加密。30第三十頁，共四十八頁?？沟仲囈箜棏哂性谡埱蟮那闆r下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；應具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。31第三十一頁，共四十八頁?？沟仲嚄l款理解該項要求強調(diào)應用系統(tǒng)提供抗抵賴措施（如數(shù)字簽名、流水記錄、日志等），從而保證發(fā)送和接收方都是真實存在的用戶。檢查方法詢問系統(tǒng)管理員，了解抗抵賴方面采取的措施?？赏ㄟ^查看文檔或源代碼等方法來驗證措施是否落實。條件允許，可進行測試，如通過雙方進行通信，查看系統(tǒng)是否能提供在請求的情況下為數(shù)據(jù)原發(fā)者提供原發(fā)證據(jù)。32第三十二頁，共四十八頁。軟件容錯要求項應提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求；應提供自動保護功能，當故障發(fā)生時自動保護當前所有狀態(tài)，保證系統(tǒng)能夠進行恢復。33第三十三頁，共四十八頁。軟件容錯條款理解為了防止SQL注入等攻擊，軟件應對用戶輸入數(shù)據(jù)的長度和格式等進行限制。檢查方法詢問系統(tǒng)管理員，了解軟件容錯方面采取的措施?？赏ㄟ^查看文檔或源代碼等方法來驗證措施是否落實，并在界面上輸入超過長度或不符合要求格式（如hi’or1=1--）的數(shù)據(jù)，驗證其功能是否正確。34第三十四頁，共四十八頁。資源控制要求項（一）當應用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應，另一方應能夠自動結(jié)束會話；應能夠?qū)ο到y(tǒng)的最大并發(fā)會話連接數(shù)進行限制；應能夠?qū)蝹€帳戶的多重并發(fā)會話進行限制；應能夠?qū)σ粋€時間段內(nèi)可能的并發(fā)會話連接數(shù)進行限制；35第三十五頁，共四十八頁。資源控制要求項（二）應能夠?qū)σ粋€訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額；應能夠?qū)ο到y(tǒng)服務水平降低到預先規(guī)定的最小值進行檢測和報警；應提供服務優(yōu)先級設(shè)定功能，并在安裝后根據(jù)安全策略設(shè)定訪問帳戶或請求進程的優(yōu)先級，根據(jù)優(yōu)先級分配系統(tǒng)資源。36第三十六頁，共四十八頁。資源控制條款理解資源控制是為了保證大多數(shù)用戶能夠正常的使用資源，防止服務中斷，應用系統(tǒng)應采取限制最大并發(fā)連接數(shù)、請求帳戶的最大資源限制等措施。檢查方法詢問系統(tǒng)管理員，了解資源控制措施的部署和實施情況。根據(jù)了解的情況，檢查應用系統(tǒng)是否配備了相應的功能，在條件允許的情況下，驗證功能是否正確。37第三十七頁，共四十八頁。數(shù)據(jù)完整性要求項應能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)在傳輸過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施；應能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)在存儲過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施。38第三十八頁，共四十八頁。數(shù)據(jù)完整性條款理解該項要求強調(diào)不僅要保證管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)傳輸數(shù)據(jù)的完整性，而且要保證存儲過程中的完整性并且在檢測到完整性受到破壞時采取恢復措施。檢查方法詢問系統(tǒng)管理員，了解數(shù)據(jù)完整性措施部署和實施情況。根據(jù)了解的情況，檢查應用系統(tǒng)是否配備了相應的功能，在條件允許的情況下，驗證功能是否正確。39第三十九頁，共四十八頁。數(shù)據(jù)保密性要求項應采用加密或其他有效措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)傳輸保密性；應采用加密或其他保護措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)存儲保密性。40第四十頁，共四十八頁。數(shù)據(jù)保密性條款理解該項要求強調(diào)不僅要保證管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)傳輸數(shù)據(jù)的保密性，而且要保證存儲過程中的保密性并且在檢測到完整性受到破壞時采取恢復措施。檢查方法詢問系統(tǒng)管理員，了解數(shù)據(jù)保密性措施部署和實施情況。根據(jù)了解的情況，檢查應用系統(tǒng)是否配備了相應的功能，在條件允許的情況下，驗證功能是否正確。41第四十一頁，共四十八頁。備份和恢復要求項應提供本地數(shù)據(jù)備份與恢復功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場外存放；應提供異地數(shù)據(jù)備份功能，利用通信網(wǎng)絡將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地。42第四十二頁，共四十八頁。備份和恢復條款理解該項要求對備份策略進行了明確的要求，即“完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場外存放”，并且強調(diào)應提供異地數(shù)據(jù)備份功能。這部分主要檢查文件型數(shù)據(jù)的備份和恢復方式。檢查方法詢問系統(tǒng)管理員，了解備份和恢復方面采取的措施。根據(jù)了解的情況，檢查相應措施是否落實，如果條件允許，則驗證其是否有效。43第四十三頁，共四十八頁。內(nèi)容目錄背景介紹應用測評的特點和方法主要測評內(nèi)容結(jié)果整理和分析44第四十四頁，共四十八頁。結(jié)果整理和分析結(jié)果整理通過對測評結(jié)果的整理，并與預期結(jié)果進行比較，初步判定各個應用系統(tǒng)的單項符合情況，在判定時需結(jié)合業(yè)務和數(shù)據(jù)流程進行分析，不能從單點結(jié)果進行判斷。綜合分析在單項判定后，需要結(jié)果其