應(yīng)用安全應(yīng)用測(cè)評(píng)指導(dǎo)書(shū)三級(jí)10版模板

1、天融信信息安全等保中心編號(hào)： 測(cè) 評(píng) 指 導(dǎo) 書(shū)信息系統(tǒng)安全等級(jí)保護(hù)基本要求基礎(chǔ)網(wǎng)絡(luò)安全-應(yīng)用安全-第三級(jí)V1.0天融信信息安全等保中心1、測(cè)評(píng)對(duì)象對(duì)象名稱及IP地址備注（測(cè)評(píng)地點(diǎn)及環(huán)境等）2、入場(chǎng)確認(rèn)序號(hào)確認(rèn)內(nèi)容1測(cè)評(píng)對(duì)象中的關(guān)鍵數(shù)據(jù)已備份。如果沒(méi)有備份則不進(jìn)行測(cè)評(píng)2測(cè)評(píng)對(duì)象工作正常。如工作異常則不進(jìn)行測(cè)評(píng)。開(kāi)始時(shí)間確認(rèn)簽字3、離場(chǎng)確認(rèn)序號(hào)確認(rèn)內(nèi)容1測(cè)評(píng)工作未對(duì)測(cè)評(píng)對(duì)象造成不良影響，測(cè)評(píng)對(duì)象工作正常。結(jié)束時(shí)間確認(rèn)簽字序號(hào)類別測(cè)評(píng)項(xiàng)測(cè)評(píng)實(shí)施預(yù)期結(jié)果符合情況1身份鑒別a) 應(yīng)提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別；訪談:1)訪談應(yīng)用系統(tǒng)管理員，詢問(wèn)應(yīng)用系統(tǒng)的身份標(biāo)識(shí)和鑒別機(jī)制采用何種

2、措施實(shí)現(xiàn)；2)登錄應(yīng)用系統(tǒng)，查看是否提示輸入用戶口令，然后以正確口令登錄系統(tǒng)，再以錯(cuò)誤口令或空口令重新登錄，觀察是否成功。1)應(yīng)用系統(tǒng)使用口令鑒別機(jī)制對(duì)用戶進(jìn)行身份標(biāo)識(shí)和鑒別；2)登錄時(shí)提示輸入用戶名和口令；以錯(cuò)誤口令或空口令登錄時(shí)提示登錄失敗，驗(yàn)證了登錄控制功能的有效性；3)應(yīng)用系統(tǒng)不存在密碼為空的用戶。b) 應(yīng)對(duì)同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別；訪談:1）訪談應(yīng)用系統(tǒng)管理員，詢問(wèn)應(yīng)用系統(tǒng)是否采用了兩種及兩種以上身份鑒別技術(shù)的組合來(lái)進(jìn)行身份鑒別（如采用用戶名/口令、挑戰(zhàn)應(yīng)答、動(dòng)態(tài)口令、物理設(shè)備、生物識(shí)別技術(shù)中的任意兩種組合）；手工檢查：1）通過(guò)注冊(cè)用戶，并以一種身份鑒

3、別技術(shù)登錄，驗(yàn)證是否可以登錄。用戶的認(rèn)證方式選擇兩種或兩種以上組合的鑒別技術(shù)，只用一種技術(shù)無(wú)法認(rèn)證成功。c) 應(yīng)提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)，身份鑒別信息不易被冒用；訪談：1）訪談應(yīng)用系統(tǒng)管理員，詢問(wèn)應(yīng)用系統(tǒng)采取何種措施防止身份鑒別信息被冒用（如復(fù)雜性混有大、小寫(xiě)字母、數(shù)字和特殊字符，口令周期等）；手工檢查：1）以弱口令用戶注冊(cè)，驗(yàn)證其用戶是否注冊(cè)成功。1)應(yīng)用系統(tǒng)配備身份標(biāo)識(shí)（如建立帳號(hào)）和鑒別（如口令等）功能；其身份鑒別信息具有不易被冒用的特點(diǎn)，規(guī)定字符混有大、小寫(xiě)字母、數(shù)字和特殊字符）；2)以不符合復(fù)雜度要求和不符合長(zhǎng)度要求的口令創(chuàng)建

4、用戶時(shí)均提示失敗。d) 應(yīng)提供登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；訪談：1）訪談應(yīng)用系統(tǒng)管理員，詢問(wèn)應(yīng)用系統(tǒng)是否配備并使用登錄失敗處理功能（如登錄失敗次數(shù)超過(guò)設(shè)定值，系統(tǒng)自動(dòng)退出等），查看是否啟用配置；手工檢查：1）應(yīng)測(cè)試主要應(yīng)用系統(tǒng)，驗(yàn)證其登錄失敗處理，非法登錄次數(shù)限制等功能是否有效； 1)應(yīng)用系統(tǒng)已啟用登陸失敗處理、結(jié)束會(huì)話、限制非法登錄次數(shù)等措施；2)當(dāng)超過(guò)系統(tǒng)規(guī)定的非法登陸次數(shù)登錄操作系統(tǒng)時(shí)，系統(tǒng)鎖定或自動(dòng)斷開(kāi)連接；e) 應(yīng)啟用身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。訪談:1）訪談應(yīng)用

5、系統(tǒng)管理員，詢問(wèn)應(yīng)用系統(tǒng)對(duì)用戶標(biāo)識(shí)在整個(gè)生命周期內(nèi)是否具有唯一性（如UID、用戶名或其他信息在系統(tǒng)中是唯一的，用該標(biāo)識(shí)在整個(gè)生命周期內(nèi)能唯一識(shí)別該用戶）；手工檢查：1）通過(guò)刪除一個(gè)用戶再重新注冊(cè)相同標(biāo)識(shí)的用戶，查看能否成功，驗(yàn)證身份標(biāo)識(shí)在整個(gè)生命周期內(nèi)是否具有唯一性；1)添加測(cè)試賬戶不會(huì)成功；2)系統(tǒng)不存在多人共用一個(gè)賬戶的情況。2訪問(wèn)控制a) 應(yīng)提供訪問(wèn)控制功能，依據(jù)安全策略控制用戶對(duì)文件、數(shù)據(jù)庫(kù)表等客體的訪問(wèn)；訪談：1）訪談應(yīng)用系統(tǒng)管理員，詢問(wèn)應(yīng)用系統(tǒng)是否提供訪問(wèn)控制措施，具體措施有哪些，自主訪問(wèn)控制的粒度如何；手工檢查：1）應(yīng)檢查主要應(yīng)用系統(tǒng)，查看系統(tǒng)是否提供訪問(wèn)控制機(jī)制；是否依據(jù)安全策

6、略控制用戶對(duì)客體（如文件和數(shù)據(jù)庫(kù)中的數(shù)據(jù)）的訪問(wèn)；應(yīng)用系統(tǒng)提供訪問(wèn)控制功能模塊，其功能控制用戶對(duì)文件、數(shù)據(jù)庫(kù)表等訪問(wèn)。b) 訪問(wèn)控制的覆蓋范圍應(yīng)包括與資源訪問(wèn)相關(guān)的主體、客體及它們之間的操作；訪談：1）訪談應(yīng)用系統(tǒng)管理員，詢問(wèn)應(yīng)用系統(tǒng)的訪問(wèn)控制功能模塊是否根據(jù)實(shí)際環(huán)境設(shè)置安全策略；手工檢查：1）應(yīng)測(cè)試主要應(yīng)用系統(tǒng)，可通過(guò)用不同權(quán)限的用戶登錄，查看其權(quán)限是否受到應(yīng)用系統(tǒng)的限制。應(yīng)用系統(tǒng)的重要文件及目錄已根據(jù)用戶級(jí)別設(shè)置了訪問(wèn)控制策略。c) 應(yīng)由授權(quán)主體配置訪問(wèn)控制策略，并嚴(yán)格限制默認(rèn)帳戶的訪問(wèn)權(quán)限；訪談：1）訪談應(yīng)用系統(tǒng)管理員，詢問(wèn)應(yīng)用系統(tǒng)是否有對(duì)授權(quán)主體進(jìn)行系統(tǒng)功能操作和對(duì)數(shù)據(jù)訪問(wèn)權(quán)限進(jìn)行設(shè)置

7、的功能，是否限制了默認(rèn)用戶的訪問(wèn)權(quán)限；手工檢查：1）應(yīng)測(cè)試主要應(yīng)用系統(tǒng)，可通過(guò)用默認(rèn)用戶（默認(rèn)密碼）登錄，并用該用戶進(jìn)行操作（包括合法、非法操作），驗(yàn)證系統(tǒng)對(duì)默認(rèn)用戶訪問(wèn)權(quán)限的限制是否有效；應(yīng)用系統(tǒng)限制授權(quán)用戶對(duì)系統(tǒng)功能的操作和數(shù)據(jù)訪問(wèn)權(quán)限設(shè)置，并嚴(yán)格限制默認(rèn)帳戶的訪問(wèn)權(quán)限。d) 應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系。訪談：訪談應(yīng)用系統(tǒng)管理員，詢問(wèn)應(yīng)用系統(tǒng)特權(quán)用戶的權(quán)限是否分離（如將系統(tǒng)管理員、安全員和審計(jì)員的權(quán)限分離），權(quán)限之間是否相互制約（如系統(tǒng)管理員、安全管理員等不能對(duì)審計(jì)日志進(jìn)行管理，安全審計(jì)員不能管理審計(jì)功能的開(kāi)啟、關(guān)閉、刪除等重要事件的審計(jì)

8、日志等）；系統(tǒng)管理員、安全管理員、安全審計(jì)員由不同的人員和用戶擔(dān)當(dāng)。至少應(yīng)該有系統(tǒng)管理員和安全管理員，安全審計(jì)員在有第三方審計(jì)工具時(shí)可以不要求。e) 應(yīng)具有對(duì)重要信息資源設(shè)置敏感標(biāo)記的功能；訪談：訪談應(yīng)用系統(tǒng)管理員，詢問(wèn)應(yīng)用系統(tǒng)是否能對(duì)重要信息資源和訪問(wèn)重要信息資源的所有主體設(shè)置敏感標(biāo)記，這些敏感標(biāo)記是否構(gòu)成多級(jí)安全模型的屬性庫(kù)，主體和客體的敏感標(biāo)記是否以默認(rèn)方式生成或由安全員建立、維護(hù)和管理；查看操作系統(tǒng)功能手冊(cè)或相關(guān)文檔，確認(rèn)應(yīng)用系統(tǒng)是否具備能對(duì)信息資源設(shè)置敏感標(biāo)記功能；應(yīng)用系統(tǒng)對(duì)重要信息資源已設(shè)置敏感標(biāo)記。f) 應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息資源的操作。訪談：訪談應(yīng)用系統(tǒng)

9、管理員，詢問(wèn)應(yīng)用系統(tǒng)的強(qiáng)制訪問(wèn)控制是否與用戶身份鑒別、標(biāo)識(shí)等安全功能密切配合，并且控制粒度達(dá)到主體為用戶級(jí)，客體為文件和數(shù)據(jù)庫(kù)表級(jí)；通過(guò)敏感標(biāo)記設(shè)定用戶對(duì)重要信息資源的訪問(wèn)。3安全審計(jì)a) 應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)；訪談：訪談安全審計(jì)員，詢問(wèn)應(yīng)用系統(tǒng)是否有安全審計(jì)功能，對(duì)事件進(jìn)行審計(jì)的選擇要求和策略是什么，對(duì)審計(jì)日志的保護(hù)措施有哪些；查看其當(dāng)前審計(jì)范圍是否覆蓋到每個(gè)用戶；系統(tǒng)開(kāi)啟了安全審計(jì)功能或部署了第三方安全審計(jì)設(shè)備。b) 應(yīng)保證無(wú)法單獨(dú)中斷審計(jì)進(jìn)程，無(wú)法刪除、修改或覆蓋審計(jì)記錄；訪談:訪談安全審計(jì)員，審計(jì)記錄監(jiān)控和保護(hù)采取的措施。例如：通過(guò)專用日志

10、服務(wù)器或存儲(chǔ)設(shè)備對(duì)審計(jì)記錄進(jìn)行備份，并避免對(duì)審計(jì)記錄的修改、刪除或覆蓋。通過(guò)專用日志服務(wù)器或存儲(chǔ)設(shè)備對(duì)審計(jì)記錄進(jìn)行備份，并避免對(duì)審計(jì)記錄的修改、刪除或覆蓋。c) 審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等；訪談:訪談安全審計(jì)員，審計(jì)記錄信息是否包括事件發(fā)生的日期與時(shí)間、觸發(fā)事件的主體與客體、事件的類型、事件成功或失敗、身份鑒別事件中請(qǐng)求的來(lái)源（如末端標(biāo)識(shí)符）、事件的結(jié)果等內(nèi)容；審計(jì)記錄包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等內(nèi)容。d) 應(yīng)提供對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表的功能。訪談：訪談安全審計(jì)員，是否為授權(quán)用戶瀏覽和分析審計(jì)數(shù)據(jù)

11、提供專門的審計(jì)工具（如對(duì)審計(jì)記錄進(jìn)行分類、排序、查詢、統(tǒng)計(jì)、分析和組合查詢等），并能根據(jù)需要生成審計(jì)報(bào)表；能定期生成審計(jì)報(bào)表并包含必要審計(jì)要素。4剩余信息保護(hù)a) 應(yīng)保證用戶鑒別信息所在的存儲(chǔ)空間被釋放或再分配給其他用戶前得到完全清除，無(wú)論這些信息是存放在硬盤上還是在內(nèi)存中；訪談：1）檢查產(chǎn)品的測(cè)試報(bào)告、用戶手冊(cè)或管理手冊(cè)，確認(rèn)其是否具有相關(guān)功能；或由第三方工具提供了相應(yīng)功能。1)如果測(cè)試報(bào)告、用戶手冊(cè)或管理手冊(cè)中沒(méi)有相關(guān)描述，且沒(méi)有提供第三方工具增強(qiáng)該功能，則該項(xiàng)要求為不符合。b) 應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間被釋放或重新分配給其他用戶前得到完全清除。訪談：1）檢

12、查產(chǎn)品的測(cè)試報(bào)告、用戶手冊(cè)或管理手冊(cè)，確認(rèn)其是否具有相關(guān)功能；或由第三方工具提供了相應(yīng)功能。1)如果測(cè)試報(bào)告、用戶手冊(cè)或管理手冊(cè)中沒(méi)有相關(guān)描述，且沒(méi)有提供第三方工具增強(qiáng)該功能，則該項(xiàng)要求為不符合。5通信完整性應(yīng)采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性。訪談:1）訪談安全員，詢問(wèn)應(yīng)用系統(tǒng)是否有數(shù)據(jù)在傳輸過(guò)程中進(jìn)行完整性保證的操作，具體措施是什么；手工檢查：1）檢查產(chǎn)品的測(cè)試報(bào)告，查看其是否有通信完整性的說(shuō)明，如果有則查看其是否有系統(tǒng)是根據(jù)校驗(yàn)碼判斷對(duì)方數(shù)據(jù)包的有效性的，用密碼計(jì)算通信數(shù)據(jù)報(bào)文的報(bào)文驗(yàn)證碼的描述；可通過(guò)Hash函數(shù)（如MD5、SHA和MAC）對(duì)完整性進(jìn)行校驗(yàn)，但不能使用CRC。通過(guò)獲

13、取通信雙方的數(shù)據(jù)包，查看通信報(bào)文含有驗(yàn)證碼。6通信保密性a) 在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證；訪談:訪談安全員，應(yīng)用系統(tǒng)是否能在通信雙方建立會(huì)話之前，利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證（如SSL建立加密通道前是否利用密碼技術(shù)進(jìn)行會(huì)話初始驗(yàn)證）；在通信雙方建立連接之前利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證。b) 應(yīng)對(duì)通信過(guò)程中的整個(gè)報(bào)文或會(huì)話過(guò)程進(jìn)行加密。訪談:訪談安全員，詢問(wèn)應(yīng)用系統(tǒng)數(shù)據(jù)在存儲(chǔ)和傳輸過(guò)程中是否采取保密措施（如在通信過(guò)程中對(duì)敏感信息字段進(jìn)行加密等），具體措施有哪些；通過(guò)查看通信雙方數(shù)據(jù)包的內(nèi)容，查看系統(tǒng)在通信過(guò)程中，對(duì)整個(gè)報(bào)文或會(huì)話過(guò)程進(jìn)行加密的功能。7抗抵

14、賴a) 應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；訪談：訪談安全員，系統(tǒng)是否具有抗抵賴的措施，具體措施有哪些，查看其是否采用數(shù)字證書(shū)方式的身份鑒別技術(shù)；應(yīng)用系統(tǒng)提供在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。b) 應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。8軟件容錯(cuò)a) 應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求；訪談:訪談應(yīng)用系統(tǒng)管理員，詢問(wèn)應(yīng)用系統(tǒng)是否對(duì)人機(jī)接口輸入（如用戶界面的數(shù)據(jù)輸入）或通信接口輸入的數(shù)據(jù)進(jìn)行有效性檢驗(yàn)；應(yīng)用系統(tǒng)對(duì)用戶輸入的信息進(jìn)行校驗(yàn)。b) 應(yīng)提供自動(dòng)保護(hù)功

15、能，當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前所有狀態(tài)，保證系統(tǒng)能夠進(jìn)行恢復(fù)。訪談:訪談應(yīng)用系統(tǒng)管理員，詢問(wèn)應(yīng)用系統(tǒng)是否在故障發(fā)生時(shí)繼續(xù)提供一部分功能，確保能夠?qū)嵤┍匾拇胧ㄈ鐚?duì)重要數(shù)據(jù)的保存）；應(yīng)用服務(wù)器架構(gòu)負(fù)載均衡實(shí)現(xiàn)自動(dòng)保護(hù)功能。9資源控制a) 當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話；訪談:訪談應(yīng)用系統(tǒng)管理員，是否根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定和鑒別失敗鎖定，并規(guī)定解鎖或終止方式；應(yīng)用系統(tǒng)提供登錄終端的操作超時(shí)鎖定和鑒別失敗鎖定功能模塊，并規(guī)定解鎖或終止方式。b) 應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制；訪談:訪談應(yīng)用系統(tǒng)管理員，詢問(wèn)業(yè)務(wù)系統(tǒng)是否有資源控

16、制的措施（如對(duì)應(yīng)用系統(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制）；已限制訪問(wèn)系統(tǒng)的最大并發(fā)會(huì)話連接數(shù)。c) 應(yīng)能夠?qū)蝹€(gè)帳戶的多重并發(fā)會(huì)話進(jìn)行限制；訪談:訪談應(yīng)用系統(tǒng)管理員，是否有限制單個(gè)用戶的多重并發(fā)會(huì)話；已限制單個(gè)用戶多重會(huì)話連接數(shù)。d) 應(yīng)能夠?qū)σ粋€(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)進(jìn)行限制；訪談：訪談應(yīng)用系統(tǒng)管理員，詢問(wèn)應(yīng)用系統(tǒng)是否禁止同一用戶賬號(hào)在同一時(shí)間內(nèi)并發(fā)登錄，是否能夠?qū)σ粋€(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)進(jìn)行限制；應(yīng)用系統(tǒng)根據(jù)不同時(shí)間設(shè)置不同連接數(shù)。e) 應(yīng)能夠?qū)σ粋€(gè)訪問(wèn)帳戶或一個(gè)請(qǐng)求進(jìn)程占用的資源分配最大限額和最小限額；訪談：訪談應(yīng)用系統(tǒng)管理員，是否能夠?qū)σ粋€(gè)訪問(wèn)用戶或一個(gè)請(qǐng)求進(jìn)程占用的資源分配最大限額和最小限額等），具體措施有哪些；1)已針對(duì)系統(tǒng)資源控制的管理措施，對(duì)單個(gè)用戶系統(tǒng)資源（CPU、內(nèi)存、硬盤等）的最大或最小使用限度。2)已設(shè)定對(duì)單個(gè)用戶系統(tǒng)資源的最大最小使用限度的配置參數(shù)。f) 應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小