公安部信息安全等级保护——应用安全测评培训资料ppt课件

1、信息平安等级测评师培训运用系统平安测评1内容目录 背景引见 运用测评的特点和方法 主 要 测 评 内 容 结果整理和分析2运用平安的情势一开发商和用户对运用平安注重程度不够开发商平安认识普遍淡薄，开发中留有平安隐患用户普遍对运用平安不注重，系统上线前把关不严运用系统存在的破绽较多3NIST的报告显示，超越90%的平安破绽是运用层破绽，它曾经远远超越网络、操作系统和阅读器的破绽数量，这个比例还有上升的趋势。运用平安的情势二针对运用系统的攻击手段越来越多，面临的要挟在不断增大针对口令的攻击，如口令破解等非授权获取敏感信息，如信息窃听、系统管理员非授权获取敏感业务数据如用户的密码等信息等针对WEB运

2、用的攻击，如跨站脚本攻击、SQL注入、缓冲区溢出、回绝效力攻击、改动网页内容等4目的选取在中的位置数据库平安是主机平安的一个部分，数据库的测评目的是从“主机平安和“数据平安及备份恢复中根据数据库的特点映射得到的。5运用系统的目的选取在中的位置“运用平安的一切目的，对于运用平台软件等那么从中选择部分目的；“数据平安及备份恢复中的部分目的，对于三级信息系统，在运用平安中，主要检查“数据完好性、“数据严密性和“备份和恢复第一和第二项；应结合管理的要求，如“应根据开发需求检测软件质量、“应要求开发单位提供软件源代码，并审查软件中能够存在的后门，加强运用系统的源代码平安性。6内容目录 背景引见 运用测评

3、的特点和方法 主 要 测 评 内 容 结果整理和分析7运用测评的特点平安功能和配置检查并重和数据库、操作系统等成熟产品不同，运用系统现场测评除检查平安配置外，还需验证相关平安功能能否正确运用测评中不确定要素较多业务和数据流程不同，需根据业务和数据特点确定范围运用系统平安破绽发现困难，很难消除代码级的平安隐患测评范围较广，分析较为困难运用系统测评包括运用平台如IIS等的测评，且和其他层面关联较大8运用测评的方法1经过访谈，了解平安措施的实施情况9和其他成熟产品不同，运用系统只需在充分了解其部署情况后，才干明确测评的范围和对象，分析其系统的脆弱性和面临的主要平安要挟，有针对性的进展检查和测试。-右

4、图是一个手机支付系统的流程表示图，经过网页和手机可以完成冲值、查询等业务。运用测评的方法2经过检查，查看其能否进展了正确的配置有的平安功能如口令长度限制、错误登录尝试次数等需求在运用系统上进展配置，那么查看其能否进展了正确的配置，与平安战略能否一致。无需进展配置的，那么应查看其部署情况能否与访谈一致。假设条件允许，需进展测试可经过测实验证平安功能能否正确，配置能否生效。代码级的平安破绽在现场查验比较困难，那么可进展破绽扫描和浸透测试。10内容目录 背景引见 运用测评的特点和方法 主 要 测 评 内 容 结果整理和分析11身份鉴别要求项一应提供公用的登录控制模块对登录用户进展身份标识和鉴别；应对

5、同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别；应提供用户身份标识独一和鉴别信息复杂度检查功能，保证运用系统中不存在反复用户身份标识，身份鉴别信息不易被冒用；12身份鉴别要求项二应提供登录失败处置功能，可采取终了会话、限制非法登录次数和自动退出等措施；应启用身份鉴别、用户身份标识独一性检查、用户身份鉴别信息复杂度检查以及登录失败处置功能，并根据平安战略配置相关参数。13身份鉴别条款了解提供公用的登录控制模块对用户身份的合法性进展核实，只需经过验证的用户才干在系统规定的权限内进展操作，这是防止非法入侵最根本的一种维护措施；三级或三级以上系统要求必需提供两种两次口令鉴别不属于这种情况或两

6、种以上组合的鉴别技术进展身份鉴别口令+CA证书，在身份鉴别强度上有了更大的提高；14身份鉴别条款了解为每一个登录用户提供独一的标识，这样运用系统就能对每一个用户的行为进展审计；同时，为了添加非授权用户运用暴力猜测等手段破解用户鉴别信息的难度，应保证用户的鉴别信息具有一定的复杂性，如用户的密码的长度至少为8位、密码是字母和数字的组合等；运用系统应提供登录失败处置功能，如限制非法登录次数等，登录失败次数应能根据用户根据实践情况进展调整；另外，要求运用启用这些功能，并配置不许的参数。15身份鉴别检查方法讯问系统管理员，了解身份鉴别措施的部署和实施情况。根据了解的情况，检查运用系统能否按照战略要求进展

7、了相应的配置，在条件允许的情况下，验证功能包括运用口令暴力破解等测试手段能否正确。-测试运用系统如首先以正确的密码登录系统，然后再以错误的密码重新登录，查看能否胜利，验证其登录控制模块功能能否正确；扫描运用系统，检查运用系统能否存在弱口令和空口令用户；用暴力破解工具对口令进展破解。16访问控制要求项一应提供访问控制功能，根据平安战略控制用户对文件、数据库表等客体的访问；访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作；应由授权主体配置访问控制战略，并严厉限制默赖帐户的访问权限；17访问控制要求项二应授予不同帐户为完成各自承当义务所需的最小权限，并在它们之间构成相互制约的关系；

8、应具有对重要信息资源设置敏感标志的功能；应根据平安战略严厉控制用户对有敏感标志重要信息资源的操作。18访问控制条款了解三级系统要求访问控制的粒度到达文件、数据库表级，权限之间具有制约关系如三权分别，并利用敏感标志控制用户对重要信息资源的操作；在运用系统中应严厉限制默许用户的访问权限，默许用户普通指运用系统的公共帐户或测试帐户；运用系统授予帐户所承当义务所需的最小权限，如指点只需进展查询操作，那么无需为其分配业务操作权限；同时，该项要求明确规定应在不同帐户之间构成相互制约关系；19访问控制条款了解敏感标志表示主体/客体平安级别和平安范畴的一组信息，经过比较标志来控制能否允许主体对客体的访问，标志

9、不允许其他用户进展修正，包括资源的拥有者，在可信计算基中把敏感标志作为强迫访问控制决策的根据；在三级系统中，要求运用系统应提供设置敏感标志的功能，经过敏感标志控制用户对重要信息资源的访问。20访问控制检查方法讯问系统管理员，了解访问控制措施的部署和实施情况。根据了解的情况，检查运用系统能否按照战略要求进展了相应的配置，在条件允许的情况下，验证功能能否正确。-以管理员身份进展审计操作，查看能否胜利；以审计员身份进展删除/添加用户、设定用户权限的操作也可进展一些其他管理员进展的操作，查看能否胜利。21平安审计要求项应提供覆盖到每个用户的平安审计功能，对运用系统重要平安事件进展审计；应保证无法单独中

10、断审计进程，无法删除、修正或覆盖审计记录；审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描画和结果等；应提供对审计记录数据进展统计、查询、分析及生成审计报表的功能。22平安审计条款了解三级系统强调对每个用户的重要操作进展审计，重要操作普通包括登录/退出、改动访问控制战略、添加/删除用户、改动用户权限和添加/删除/查询数据等；运用系统应对审计进程或功能进展维护，假设处置审计的事务是一个单独的进程，那么运用系统应对审计进程进展维护，不允许非授权用户对进城进展中断；假设审计是一个独立的功能，那么运用系统应防止非授权用户封锁审计功能；另外，运用系统应对审计记录进展维护。 23平安审计检查

11、方法讯问系统管理员，了解平安审计措施的部署和实施情况。重点检查运用系统能否对每个用户的重要操作进展了审计，同时可经过进展一些操作如用户登录/退出、改动访问控制战略、添加/删除用户、改动用户权限和添加/删除/查询数据等，查看运用系统能否进展了正确的审计。24剩余信息维护要求项应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全去除，无论这些信息是存放在硬盘上还是在内存中；应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全去除。25剩余信息维护条款了解该项要求是为了防止某个用户非授权获取其他用户的鉴别信息、文件、目录和数据库记录等资源，运用系

12、统应加强内存和其他资源管理。检查方法讯问系统管理员，了解剩余信息维护方面采取的措施。根据了解的情况，测试其采取的措施能否有效，如以某个用户进展操作，操作完成退出系统后系统能否保管有未被删除的文件等。26通讯完好性要求项应采用密码技术保证通讯过程中数据的完好性。27通讯完好性条款了解该项要求强调采取密码技术来保证通讯过程中的数据完好性，普通加密技术无法保证密件在传输过程中不被交换，还需利用Hash函数如MD5、SHA和MAC用于完好性校验，但不能利用CRC生成的校验码来进展完好性校验。检查方法讯问系统管理员，了解通讯完好性方面采取的措施。可经过查看文档或源代码等方法来验证措施能否落实；假设条件允

13、许，那么可设计测试用例进展测试。28通讯严密性要求项在通讯双方建立衔接之前，运用系统应利用密码技术进展会话初始化验证；应对通讯过程中的整个报文或会话过程进展加密。29通讯严密性条款了解该项要求强调整个报文或会话过程进展加密，同时，假设在加密隧道建立之前需求传送密码等信息，那么应采取密码技术来保证这些信息的平安。检查方法讯问系统管理员，了解通讯严密性方面采取的措施。可经过抓包工具如Sniffer pro获取通讯双方的内容，查看系统能否对通讯双方的内容进展了加密。30抗抵赖要求项应具有在恳求的情况下为数据原发者或接纳者提供数据原发证据的功能；应具有在恳求的情况下为数据原发者或接纳者提供数据接纳证据

14、的功能。31抗抵赖条款了解该项要求强调运用系统提供抗抵赖措施如数字签名、流水记录、日志等，从而保证发送和接纳方都是真实存在的用户。检查方法讯问系统管理员，了解抗抵赖方面采取的措施。可经过查看文档或源代码等方法来验证措施能否落实。条件允许，可进展测试，如经过双方进展通讯，查看系统能否能提供在恳求的情况下为数据原发者提供原发证据。32软件容错要求项应提供数据有效性检验功能，保证经过人机接口输入或经过通讯接口输入的数据格式或长度符合系统设定要求；应提供自动维护功能，当缺点发生时自动维护当前一切形状，保证系统可以进展恢复。33软件容错条款了解为了防止SQL注入等攻击，软件应对用户输入数据的长度和格式等

15、进展限制。检查方法讯问系统管理员，了解软件容错方面采取的措施。可经过查看文档或源代码等方法来验证措施能否落实，并在界面上输入超越长度或不符合要求格式如hi or 1=1-的数据，验证其功能能否正确。34资源控制要求项一当运用系统的通讯双方中的一方在一段时间内未作任何呼应，另一方应可以自动终了会话；应可以对系统的最大并发会话衔接数进展限制；应可以对单个帐户的多重并发会话进展限制；应可以对一个时间段内能够的并发会话衔接数进展限制；35资源控制要求项二应可以对一个访问帐户或一个恳求进程占用的资源分配最大限额和最小限额；应可以对系统效力程度降低到预先规定的最小值进展检测和报警；应提供效力优先级设定功能

16、，并在安装后根据平安战略设定访问帐户或恳求进程的优先级，根据优先级分配系统资源。36资源控制条款了解资源控制是为了保证大多数用户可以正常的运用资源，防止效力中断，运用系统应采取限制最大并发衔接数、恳求帐户的最大资源限制等措施。检查方法讯问系统管理员，了解资源控制措施的部署和实施情况。根据了解的情况，检查运用系统能否配备了相应的功能，在条件允许的情况下，验证功能能否正确。37数据完好性要求项应可以检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完好性遭到破坏，并在检测到完好性错误时采取必要的恢复措施；应可以检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完好性遭到破坏，并在检测到完好

17、性错误时采取必要的恢复措施。38数据完好性条款了解该项要求强调不仅要保证管理数据、鉴别信息和重要业务数据传输数据的完好性，而且要保证存储过程中的完好性并且在检测到完好性遭到破坏时采取恢复措施。检查方法讯问系统管理员，了解数据完好性措施部署和实施情况。根据了解的情况，检查运用系统能否配备了相应的功能，在条件允许的情况下，验证功能能否正确。39数据严密性要求项应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输严密性；应采用加密或其他维护措施实现系统管理数据、鉴别信息和重要业务数据存储严密性。40数据严密性条款了解该项要求强调不仅要保证管理数据、鉴别信息和重要业务数据传输数据的严密

18、性，而且要保证存储过程中的严密性并且在检测到完好性遭到破坏时采取恢复措施。检查方法讯问系统管理员，了解数据严密性措施部署和实施情况。根据了解的情况，检查运用系统能否配备了相应的功能，在条件允许的情况下，验证功能能否正确。41备份和恢复要求项应提供本地数据备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放；应提供异地数据备份功能，利用通讯网络将关键数据定时批量传送至备用场地。42备份和恢复条款了解该项要求对备份战略进展了明确的要求，即“完全数据备份至少每天一次，备份介质场外存放 ，并且强调应提供异地数据备份功能。这部分主要检查文件型数据的备份和恢复方式。检查方法讯问系统管理员，了解备份和恢复方面采取的措施。根据了解的情况，检查相应措施能否落实，假设条件允许，那么验证其能否有效。43内容目录 背景引见 运用测评的特点和方法 主 要 测 评 内 容 结果整理和分析44结果整理和分析结果整理经过对测评结果的整理，并与预期结果进展比较，初步断定各个运用系统的单项符合情况，在断定时需结合业务和数据流程进展分析，不能从单点结果进展判别。综合分析在单项断定后，需求结果其他层面的测评结果进展综合分析，从整体上分析其他层面的平安措施能否弥补运用层面的平安弱点，如