MH-T 0067-2018民航Web應用系統(tǒng)安全檢查指南

ICS35.020

V07

MH

中華人民共和國民用航空行業(yè)標準

MH/T0067—2018

民航Web應用系統(tǒng)安全檢查指南

SecuritytestingguideforWebapplicationsystemofcivilaviation

2018-12-14發(fā)布2019-04-01實施

中國民用航空局發(fā)布

MH/T0067—2018

民航Web應用系統(tǒng)安全檢查指南

1范圍

本標準規(guī)定了針對民航Web應用系統(tǒng)檢測的基本原則、工作方式。

本標準適用于指導對Web應用系統(tǒng)進行安全檢測。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T28448信息安全技術信息系統(tǒng)安全等級保護測評要求

GB/T22239信息安全技術信息系統(tǒng)安全等級保護基本要求

GB/T20984信息安全技術信息安全風險評估規(guī)范

GB/T31509信息安全技術信息安全風險評估實施指南

GB/T25058信息安全技術信息系統(tǒng)安全等級保護實施指南術語和定義

3術語和定義

下列術語和定義適用于本文件。

3.1

軟件容錯softwarefault-tolerance

軟件在一定程度上能從錯誤狀態(tài)自動恢復到正常狀態(tài)的功能。

4民航Web應用系統(tǒng)安全檢測基本原則和方式

4.1檢測的基本原則

4.1.1標準性原則

民航Web應用系統(tǒng)安全檢測應符合GB/T31509和GB/T25058中的檢測流程的相關要求。

4.1.2可控性原則

在安全檢測項目實施過程中，應嚴格按照標準的項目管理方法對服務過程、人員和工具等進行控制，

以保證檢測實施過程的可控和安全，具體措施如下：MH

a)人員與信息可控性：參與檢測的人員應該簽署保密協(xié)議，以保證檢測項目信息的安全；對測試

過程中產生的數據應嚴格管理，防止數據泄露；

1

MH/T0067—2018

b)過程可控性：應按照項目管理要求，成立項目實施團隊，項目組長負責制，以便使項目過程可

控；進行安全測試前，測試人員應與被測試方進行充分的溝通，并且在測試前告知被測試方測

試時間和測試策略；

c)工具可控性：檢測過程中應使用經過國家或民航部門檢測認可的相關工具。

4.1.3最小影響原則

對于正在運行的民航Web應用系統(tǒng)，測試前應與被測試方確定合適的測試時間窗口，避開業(yè)務高峰

期，同時做好業(yè)務系統(tǒng)的應急預案。

4.2檢測的工作方式

4.2.1人工訪談

專業(yè)的信息安全人員與Web應用系統(tǒng)管理、運維和使用人員進行溝通、交流，全面地掌握Web應用系

統(tǒng)的業(yè)務流程、數據流程、網絡架構、主機系統(tǒng)、運維情況、管理機構以及管理制度等各個方面的信息，

對Web應用系統(tǒng)的安全現狀進行全面的了解。

4.2.2人工檢查

利用專業(yè)人員的技術和經驗對民航Web應用系統(tǒng)進行安全測試。

4.2.3工具測試

采用自動化Web掃描工具對檢測目標進行安全測試，可以充分了解Web系統(tǒng)當前的安全現狀、具有的

脆弱性、面臨的潛在威脅、可能的影響和風險等信息。

4.2.4滲透測試

模擬黑客的攻擊手段對民航Web應用系統(tǒng)進行安全測試。

5民航Web應用系統(tǒng)安全檢測階段性工作

5.1檢測流程

民航Web應用系統(tǒng)安全檢測應分為四個階段：

——檢測準備階段；

——檢測方案編制階段；

——檢測具體實施階段；

——檢測報告編寫階段。

5.2檢測準備階段

5.2.1檢測準備階段工作

檢測準備階段的主要任務是確定檢測的目標、范圍，成立檢測團隊以及掌握被檢測的民航Web應用

系統(tǒng)的相關信息。

5.2.2確定檢測目的

2

MH/T0067—2018

對民航Web應用系統(tǒng)檢測的目標是了解Web應用系統(tǒng)存在的安全風險，并對發(fā)現的安全風險提出相應

的安全加固建議。

5.2.3確定檢測范圍

對民航Web應用系統(tǒng)進行檢測，應掌握系統(tǒng)運行的業(yè)務特點，并根據其特點確定其業(yè)務邏輯邊界。

5.2.4組建檢測團隊

應針對檢測項目組建檢測團隊，由檢測方和被檢測方共同組成項目組，并明確項目組成員的職責。

5.2.5系統(tǒng)調研

應對要檢測的民航Web應用系統(tǒng)進行調研，掌握被檢測目標采用的編寫語言、中間件、調用的第三

方庫文件等信息。

5.2.6確定檢測依據

檢測依據為：

a)GB/T28448

b)GB/T20984

5.2.7確定檢測工具原則

檢測工具的選擇和使用應遵循以下原則：

a)檢測工具應盡可能具備比較全面的漏洞檢測能力；

b)檢測工具使用的檢測策略和檢測方式不應對Web應用系統(tǒng)造成不正常的影響；

c)應盡可能對工具檢測的結果進行人工驗證，盡可能少的出現誤報現象；

d)檢測工具的選擇和使用應符合國家有關規(guī)定。

5.3檢測方案編制階段

應根據檢測準備階段獲取的信息，制訂檢測方案。主要內容包括：

a)檢測的目標、評估范圍和評估依據；

b)檢測團隊成員及職責；

c)檢測工作計劃：項目實施進度安排以及各階段的工作內容、形式和工作成果；

d)風險規(guī)避措施：包括保密協(xié)議、評估工作環(huán)境要求、評估方法、工具選擇以及應急預案等；

e)項目驗收方式：包括驗收方式、依據和結論定義。

5.4檢測具體實施階段

5.4.1通則

檢測具體實施階段的任務是按照檢測方案對被檢測目標，應按照附錄A中的內容進行檢測，并詳細

記錄檢測過程數據。MH

5.4.2檢測實施

5.4.2.1身份鑒別

5.4.2.1.1應訪談Web應用系統(tǒng)管理員，詢問Web應用系統(tǒng)是否采取身份標識和鑒別措施，具體措施

的內容；以及防止身份鑒別信息被冒用的措施種類。

3

MH/T0067—2018

5.4.2.1.2應訪談Web應用系統(tǒng)管理員，詢問Web應用系統(tǒng)是否具有登錄失敗處理功能。

5.4.2.1.3應檢查設計或驗收文檔，查看其是否有系統(tǒng)采用了保證唯一標識的措施的描述。

5.4.2.1.4應檢查操作規(guī)程和操作記錄，查看其是否有添加、刪除用戶和修改用戶權限的操作規(guī)程、

操作記錄和審批記錄。

5.4.2.1.5應檢查主要Web應用系統(tǒng)，查看其是否采用了兩個及兩個以上身份鑒別技術的組合來進行

身份鑒別。

5.4.2.1.6應檢查主要Web應用系統(tǒng)，查看其是否提供身份標識和鑒別功能；查看其身份鑒別信息是

否具有不易被冒用的特點；其鑒別信息復雜度檢查功能是否能保證系統(tǒng)中不存在弱口令等。

5.4.2.1.7應檢查主要Web應用系統(tǒng)，查看其提供的登錄失敗處理功能，是否根據安全策略配置了相

關參數。

5.4.2.1.8應測試主要Web應用系統(tǒng)，可通過試圖以合法和非法用戶分別登錄系統(tǒng)，查看是否成功，

驗證其身份標識和鑒別功能是否有效。

5.4.2.1.9應測試主要Web應用系統(tǒng)，驗證其登錄失敗處理功能是否有效。

5.4.2.1.10應滲透測試主要Web應用系統(tǒng)，驗證Web應用系統(tǒng)身份標識和鑒別功能是否不存在明顯的

弱點。

5.4.2.2訪問控制

5.4.2.2.1應訪談Web應用系統(tǒng)管理員，詢問Web應用系統(tǒng)是否提供訪問控制措施，以及具體措施和

訪問控制策略，訪問控制的粒度。

5.4.2.2.2應檢查主要Web應用系統(tǒng)，查看系統(tǒng)是否提供訪問控制機制；是否依據安全策略控制用戶

對客體的訪問。

5.4.2.2.3應檢查主要Web應用系統(tǒng)，查看其訪問控制的覆蓋范圍是否包括與信息安全直接相關的主

體、客體及它們之間的操作；訪問控制的粒度是否達到主體為用戶級，客體為文件、數據庫表級。

5.4.2.2.4應檢查主要Web應用系統(tǒng)，查看其是否有由授權用戶設置其它用戶訪問系統(tǒng)功能和用戶數

據的權限的功能，是否限制默認用戶的訪問權限。

5.4.2.2.5應檢查主要Web應用系統(tǒng)，查看系統(tǒng)是否授予不同帳戶為完成各自承擔任務所需的最小權

限，特權用戶的權限是否分離，權限之間是否相互制約。

5.4.2.2.6應檢查主要Web應用系統(tǒng)，查看是否依據安全策略嚴格控制用戶對限制類型資源的操作。

5.4.2.2.7應測試主要Web應用系統(tǒng)，可通過以不同權限的用戶登錄系統(tǒng)，查看其擁有的權限是否與

系統(tǒng)賦予的權限一致，驗證Web應用系統(tǒng)訪問控制功能是否有效。

5.4.2.2.8應測試主要Web應用系統(tǒng)，可通過默認用戶登錄系統(tǒng)，并進行一些合法和非法操作，用來

驗證系統(tǒng)是否嚴格限制了默認賬戶的訪問權限。

5.4.2.2.9應滲透測試主要Web應用系統(tǒng)，驗證Web應用系統(tǒng)的訪問控制功能是否有效。

5.4.2.3安全審計

5.4.2.3.1應訪談安全審計員，詢問Web應用系統(tǒng)是否有安全審計功能，對事件進行審計的策略，以

及審計日志的保護措施。

5.4.2.3.2應檢查主要Web應用系統(tǒng)，查看是否開啟了日志功能。

5.4.2.3.3應檢查主要Web應用系統(tǒng)，查看其當前審計范圍是否覆蓋到每個用戶。

4

MH/T0067—2018

5.4.2.3.4應檢查主要Web應用系統(tǒng)，查看其審計策略是否覆蓋系統(tǒng)內重要的安全相關事件，包括但

不限于用戶標識與鑒別、訪問控制的所有操作記錄、重要用戶行為、系統(tǒng)資源的異常使用、重要系統(tǒng)命

令的使用等。

5.4.2.3.5應檢查主要Web應用系統(tǒng)，查看其審計記錄信息是否包括事件發(fā)生的日期與時間、觸發(fā)事

件的主體與客體、事件的類型、事件成功或失敗、身份鑒別事件中請求的來源、事件的結果等內容。

5.4.2.3.6應檢查主要Web應用系統(tǒng)，查看其是否為授權用戶瀏覽和分析審計數據提供專門的審計分

析功能，并能根據需要生成審計報表。

5.4.2.3.7應檢查主要Web應用系統(tǒng)，查看其日志保存期是否少于6個月。

5.4.2.3.8應測試主要Web應用系統(tǒng)，在Web應用系統(tǒng)上試圖產生一些重要的安全相關事件，查看Web

應用系統(tǒng)是否對其進行了審計，驗證Web應用系統(tǒng)安全審計的覆蓋情況是否覆蓋到每個用戶；如果進行

了審計則查看審計記錄內容是否包含事件的日期、時間、發(fā)起者信息、類型、描述和結果等。

5.4.2.3.9應測試主要Web應用系統(tǒng)，試圖非授權刪除、修改或覆蓋審計記錄，驗證安全審計的保護

情況是否無法非授權刪除、修改或覆蓋審計記錄。

5.4.2.4系統(tǒng)敏感信息保護（順序調整）

5.4.2.4.1應訪談Web應用系統(tǒng)管理員，詢問Web應用系統(tǒng)是否對敏感信息的存儲和使用采取的安全

措施。

5.4.2.4.2應檢查主要Web應用系統(tǒng)，查看其是否在發(fā)布文件中包含備份、系統(tǒng)配置等敏感文件。

5.4.2.4.3應檢查主要Web應用系統(tǒng)，查看其是否對部署文件進行必要的修改，防止敏感信息泄露。

5.4.2.4.4應檢查主要Web應用系統(tǒng)，查看其是否在停止使用后將所有信息進行清除。

5.4.2.4.5應檢查主要Web應用系統(tǒng)，查看其數據庫中的敏感字段是否進行加密存儲。

5.4.2.4.6應測試主要Web應用系統(tǒng)，是否限制系統(tǒng)配置等敏感文件的下載。

5.4.2.4.7應測試主要Web應用系統(tǒng)，是否有開源組件等信息暴露。

5.4.2.5通信安全性

5.4.2.5.1應訪談安全管理員，詢問Web應用系統(tǒng)是否具有在數據傳輸過程中的保護措施，以及具體

措施的內容。

5.4.2.5.2應檢查設計或驗收文檔，查看其是否有關于保護通信安全性的說明。

5.4.2.5.3應測試主要Web應用系統(tǒng)，通過查看通信雙方數據包的內容，查看系統(tǒng)是否能在通信雙方

建立連接之前，利用密碼技術進行會話初始化驗證；查看系統(tǒng)在通信過程中，對整個報文或會話過程進

行加密的功能是否有效。

5.4.2.6軟件容錯

5.4.2.6.1應訪談Web應用系統(tǒng)管理員，詢問Web應用系統(tǒng)是否具有保證軟件容錯能力的措施，以及

具體措施的內容。

5.4.2.6.2M應檢查主要Web應用系統(tǒng)，查看Web應用系統(tǒng)是否對人機接口輸入或通信接口輸入的數據H

進行有效性和安全性校驗。

5.4.2.6.3應滲透測試主要Web應用系統(tǒng)，驗證Web應用系統(tǒng)對用戶輸入的各類數據進行了有效性和

安全性校驗。

5.4.2.6.4應采用代碼審計手段對主要Web應用系統(tǒng)代碼進行安全審計。

5

MH/T0067—2018

5.4.2.7資源控制

5.4.2.7.1應訪談Web應用系統(tǒng)管理員，詢問Web應用系統(tǒng)是否有資源控制的措施，以及具體措施的

內容。

5.4.2.7.2應檢查主要Web應用系統(tǒng)，查看是否限制單個賬戶的多重并發(fā)會話；是否對一個時間段內

可能的并發(fā)會話連接數進行限制；是否對最短連接時間進行限制。

5.4.2.7.3應檢查主要Web應用系統(tǒng)，查看是否有服務水平最小值的設定，當系統(tǒng)的服務水平降低到

預先設定的最小值時，系統(tǒng)報警。

5.4.2.7.4應測試主要Web應用系統(tǒng)，可通過對系統(tǒng)進行超過規(guī)定的單個賬戶的多重并發(fā)會話數進行

連接，驗證系統(tǒng)是否能夠正確地限制單個賬戶的多重并發(fā)會話數。

5.4.2.7.5應測試主要Web應用系統(tǒng)，可試圖使服務水平降低到預先規(guī)定的最小值，驗證系統(tǒng)是否能

夠正確檢測并報警。

5.4.2.7.6應測試重要Web應用系統(tǒng)，當Web應用系統(tǒng)的通信雙方中的一方在一段時間內未作任何響

應，查看另一方是否能夠自動結束會話。

5.4.2.8數據的備份和恢復

5.4.2.8.1應訪談Web應用系統(tǒng)管理員，詢問應有程序是否有備份功能及備份策略。

5.4.2.8.2應檢查設計或驗收文檔，查看Web應用系統(tǒng)是否有備份功能。

5.4.2.8.3應測試Web應用系統(tǒng)，查看Web應用系統(tǒng)數據備份功能策略以及有效性。

5.4.2.9業(yè)務邏輯安全

5.4.2.9.1應訪談業(yè)務主管人員，詢問Web應用系統(tǒng)的業(yè)務處理流程，分析業(yè)務流程是否合理，并對

系統(tǒng)代碼進行驗證。

5.4.2.9.2應訪談系統(tǒng)開發(fā)人員，詢問Web應用系統(tǒng)身份認證機制以及控制邏輯，并對系統(tǒng)代碼進行

驗證。

5.4.2.10管理制度

5.4.2.10.1應按照信息系統(tǒng)等級保護三級基本要求對Web應用系統(tǒng)開展管理制度檢測。

5.4.2.10.2應訪談系統(tǒng)管理員、安全審計員和用戶，詢問Web應用系統(tǒng)是否有管理制度和使用說明文

件等。

5.4.2.10.3應檢查設計或驗收文檔，是否按照信息系統(tǒng)等級保護三級基本要求進行設計和建設。

5.4.3文檔管理

確保檢測文檔資料的完整性、準確性和安全性，應遵循以下原則：

a)應指派專人負責文檔的整理和保存；

b)文檔應注明項目相關信息：項目名稱、文檔名稱、版本號、審批人、分發(fā)范圍等；

c)未經允許不應將項目信息泄露給無關人員和組織。

5.5檢測報告編寫階段

應對檢測過程和檢測結果進行分析整理，并對被檢測目標的安全狀況進行評價，給出相應的安全加

固建議，形成最終報告。

6

MH/T0067—2018

MH

7

MH/T0067—2018

AA

附錄A

（規(guī)范性附錄）

Web應用系統(tǒng)安全基本要求

A.1身份鑒別

A.1.1應在系統(tǒng)管理和普通用戶管理等模塊提供登錄認證功能，對登錄用戶進行身份標識和鑒別。

A.1.2對于重要的系統(tǒng)模塊應采取兩種及以上的鑒別技術對用戶進行身份鑒別。

A.1.3應對用戶錄入的帳戶及口令進行唯一性和復雜度的驗證，確保不被冒用。

A.1.4應提供驗證碼、限制非法次數、自動退出、結束會話等措施，防止暴力破解等。

A.2訪問控制

A.2.1應在配置文件中限定用戶訪問及下載的文件類型。（測試中要有具體的方式）

A.2.2應在配置文件中限定用戶對各個目錄及文件的操作權限。

A.2.3應對不同的賬戶設定不同的權限：一方面根據職能劃分，另一方面根據管理權限劃分，并在它

們之間形成制約關系。

A.2.4應在代碼中限定上傳的文件類型或訪問的文件路徑及類型。

A.2.5應在后臺登陸的模塊代碼中對用戶的權限進行限制，防止縱向越權和橫向越權訪問。

A.2.6訪問控制還要參考等級保護基本要求中主機安全訪問控制等要求。

A.3安全審計（放在備份之后）

A.3.1應在Web應用系統(tǒng)中設計操作日志審計模塊。

A.3.2操作日志的內容應覆蓋到每個用戶。

A.3.3操作日志內容應包括操作類型、時間、賬戶、操作結果等。

A.3.4應具有操作日志進行統(tǒng)計、查詢、分析及生成報表的功能。

A.3.5日志保存期不少于6個月。

A.4系統(tǒng)信息保護

A.4.1應對報錯文件進行配置，防止暴露敏感信息。

A.4.2不應在系統(tǒng)中存放敏感信息，如系統(tǒng)備份文件、系統(tǒng)配置信息等。

A.4.3應對配置文件進行設置，盡量不暴露系統(tǒng)的信息，如操作系統(tǒng)，web容器等。

A.4.4如采用開源組件應進行必要的修改，防止相關信息暴露。

A.4.5系統(tǒng)在停止使用后，應將所有信息進行完全清除。

A.4.6數據庫中的敏感信息加密存儲。

A.5通信的安全性

A.5.1對于重要模塊，建議采用加密方式進行信息交互。

8

MH/T0067—2018

A.5.2應對數據的原發(fā)者和接收者提供數據接收和發(fā)送的抗抵賴功能。

A.6軟件容錯

應對用戶輸入的數據進行有效的校驗，包括內容的有效性和攻擊代碼的檢測。

A.7資源控制

A.7.1應在Web容器中限定最大連接時間。

A.7.2應在Web容器中限定系統(tǒng)的最大并發(fā)連接數。

A.7.3應在系統(tǒng)代碼設計時對單個用戶的多重會話進行限制。

A.7.4對重要的Web應用系統(tǒng)，應部署運行狀況監(jiān)測系統(tǒng)對系統(tǒng)資源的狀態(tài)進行檢測和報警。

A.8數據的備份恢復

A.8.1系統(tǒng)應提供數據備份功能，可以手工或自動對數據進行備份。

A.8.2對于重要Web應用系統(tǒng)應采取冗余的方式。

A.8.3特別重要Web應用系統(tǒng)數據備份應采用異地備份方式。

A.9業(yè)務邏輯安全

A.9.1應對民航Web應用系統(tǒng)的業(yè)務處理流程進行審計，防止業(yè)務流程漏洞。

A.9.2應對民航Web應用系統(tǒng)的身份認證流程進行安全審計，防止非授權進入系統(tǒng)。

A.10管理制度

A.10.1應用戶操作管理制度，防止人為原因造成安全隱患。

A.10.2應根據GB/T22239對系統(tǒng)進行設計、建設和運維。

M_________________________________H

9

MH/T0067—2018

前言

本標準按照GB/T1.1-2009給出的規(guī)則起草。

本標準由中國民用航空局人事科教司提出。

本標準由中國民航科學技術研究院歸口。

本標準起草單位：中國民航大學。

本標準主要起草人：馬勇、顧兆軍、劉春波、周景賢、王雙、張禮哲、鐘友兵。

MH

I

MH/T0067—2018

民航Web應用系統(tǒng)安全檢查指南

1范圍

本標準規(guī)定了針對民航Web應用系統(tǒng)檢測的基本原則、工作方式。

本標準適用于指導對Web應用系統(tǒng)進行安全檢測。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T28448信息安全技術信息系統(tǒng)安全等級保護測評要求

GB/T22239信息安全技術信息系統(tǒng)安全等級保護基本要求

GB/T20984信息安全技術信息安全風險評估規(guī)范

GB/T31509信息安全技術信息安全風險評估實施指南

GB/T25058信息安全技術信息系統(tǒng)安全等級保護實施指南術語和定義

3術語和定義

下列術語和定義適用于本文件。

3.1

軟件容錯softwarefault-tolerance

軟件在一定程度上能從錯誤狀態(tài)自動恢復到正常狀態(tài)的功能。

4民航Web應用系統(tǒng)安全檢測基本原則和方式

4.1檢測的基本原則

4.1.1標準性原則

民航Web應用系統(tǒng)安全檢測應符合GB/T31509和GB/T25058中的檢測流程的相關要求。

4.1.2可控性原則

在安全檢測項目實施過程中，應嚴格按照標準的項目管理方法對服務過程、人員和工具等進行控制，

以保證檢測實施過程的可控和安全，具體措施如下：MH

a)人員與信息可控性：參與檢測的人員應該簽署保密協(xié)議，以保證檢測項目信息的安全；對測試

過程中產生的數據應嚴格管理，防止數據泄露；

1

MH/T0067—2018

b)過程可控性：應按照項目管理要求，成立項目實施團隊，項目組長負責制，以便使項目過程可

控；進行安全測試前，測試人員應與被測試方進行充分的溝通，并且在測試前告知被測試方測

試時間和測試策略；

c)工具可控性：檢測過程中應使用經過國家或民航部門檢測認可的相關工具。

4.1.3最小影響原則

對于正在運行的民航Web應用系統(tǒng)，測試前應與被測試方確定合適的測試時間窗口，避開業(yè)務高峰

期，同時做好業(yè)務系統(tǒng)的應急預案。

4.2檢測的工作方式

4.2.1人工訪談

專業(yè)的信息安全人員與Web應用系統(tǒng)管理、運維和使用人員進行溝通、交流，全面地掌握Web應用系

統(tǒng)的業(yè)務流程、數據流程、網絡架構、主機系統(tǒng)、運維情況、管理機構以及管理制度等各個方面的信息，

對Web應用系統(tǒng)的安全現狀進行全面的了解。

4.2.2人工檢查

利用專業(yè)人員的技術和經驗對民航Web應用系統(tǒng)進行安全測試。

4.2.3工具測試

采用自動化Web掃描工具對檢測目標進行安全測試，可以充分了解Web系統(tǒng)當前的安全現狀、具有的

脆弱性、面臨的潛在威脅、可能的影響和風險等信息。

4.2.4滲透測試

模擬黑客的攻擊手段對民航Web應用系統(tǒng)進行安全測試。

5民航Web應用系統(tǒng)安全檢測階段性工作

5.1檢測流程

民航Web應用系統(tǒng)安全檢測應分為四個階段：

——檢測準備階段；

——檢測方案編制階段；

——檢測具體實施階段；

——檢測報告編寫階段。

5.2檢測準備階段

5.2.1檢測準備階段工作

檢測準備階段的主要任務是確定檢測的目標、范圍，成立檢測團隊以及掌握被檢測的民航Web應用

系統(tǒng)的相關信息。

5.2.2確定檢測目的

2

MH/T0067—2018

對民航Web應用系統(tǒng)檢測的目標是了解Web應用系統(tǒng)存在的安全風險，并對發(fā)現的安全風險提出相應

的安全加固建議。

5.2.3確定檢測范圍

對民航Web應用系統(tǒng)進行檢測，應掌握系統(tǒng)運行的業(yè)務特點，并根據其特點確定其業(yè)務邏輯邊界。

5.2.4組建檢測團隊

應針對檢測項目組建檢測團隊，由檢測方和被檢測方共同組成項目組，并明確項目組成員的職責。

5.2.5系統(tǒng)調研

應對要檢測的民航Web應用系統(tǒng)進行調研，掌握被檢測目標采用的編寫語言、中間件、調用的第三

方庫文件等信息。

5.2.6確定檢測依據

檢測依據為：

a)GB/T28448

b)GB/T20984

5.2.7確定檢測工具原則

檢測工具的選擇和使用應遵循以下原則：

a)檢測工具應盡可能具備比較全面的漏洞檢測能力；

b)檢測工具使用的檢測策略和檢測方式不應對Web應用系統(tǒng)造成不正常的影響；

c)應盡可能對工具檢測的結果進行人工驗證，盡可能少的出現誤報現象；

d)檢測工具的選擇和使用應符合國家有關規(guī)定。

5.3檢測方案編制階段

應根據檢測準備階段獲取的信息，制訂檢測方案。主要內容包括：

a)檢測的目標、評估范圍和評估依據；

b)檢測團隊成員及職責；

c)檢測工作計劃：項目實施進度安排以及各階段的工作內容、形式和工作成果；

d)風險規(guī)避措施：包括保密協(xié)議、評估工作環(huán)境要求、評估方法、工具選擇以及應急預案等；

e)項目驗收方式：包括驗收方式、依據和結論定義。

5.4檢測具體實施階段

5.4.1通則

檢測具體實施階段的任務是按照檢測方案對被檢測目標，應按照附錄A中的內容進行檢測，并詳細

記錄檢測過程數據。MH

5.4.2檢測實施

5.4.2.1身份鑒別

5.4.2.1.1應訪談Web應用系統(tǒng)管理員，詢問Web應用系統(tǒng)是否采取身份標識和鑒別措施，具體措施

的內容；以及防止身份鑒別信息被冒用的措施種類。

3

MH/T0067—2018

5.4.2.1.2應訪談Web應用系統(tǒng)管理員，詢問Web應用系統(tǒng)是否具有登錄失敗處理功能。

5.4.2.1.3應檢查設計或驗收文檔，查看其是否有系統(tǒng)采用了保證唯一標識的措施的描述。

5.4.2.1.4應檢查操作規(guī)程和操作記錄，查看其是否有添加、刪除用戶和修改用戶權限的操作規(guī)程、

操作記錄和審批記錄。

5.4.2.1.5應檢查主要Web應用系統(tǒng)，查看其是否采用了兩個及兩個以上身份鑒別技術的組合來進行

身份鑒別。

5.4.2.1.6應檢查主要Web應用系統(tǒng)，查看其是否提供身份標識和鑒別功能；查看其身份鑒別信息是

否具有不易被冒用的特點；其鑒別信息復雜度檢查功能是否能保證系統(tǒng)中不存在弱口令等。

5.4.2.1.7應檢查主要Web應用系統(tǒng)，查看其提供的登錄失敗處理功能，是否根據安全策略配置了相

關參數。

5.4.2.1.8應測試主要Web應用系統(tǒng)，可通過試圖以合法和非法用戶分別登錄系統(tǒng)，查看是否成功，

驗證其身份標識和鑒別功能是否有效。

5.4.2.1.9應測試主要Web應用系統(tǒng)，驗證其登錄失敗處理功能是否有效。

5.4.2.1.10應滲透測試主要Web應用系統(tǒng)，驗證Web應用系統(tǒng)身份標識和鑒別功能是否不存在明顯的

弱點。

5.4.2.2訪問控制

5.4.2.2.1應訪談Web應用系統(tǒng)管理員，詢問Web應用系統(tǒng)是否提供訪問控制措施，以及具體措施和

訪問控制策略，訪問控制的粒度。

5.4.2.2.2應檢查主要Web應用系統(tǒng)，查看系統(tǒng)是否提供訪問控制機制；是否依據安全策略控制用戶

對客體的訪問。

5.4.2.2.3應檢查主要Web應用系統(tǒng)，查看其訪問控制的覆蓋范圍是否包括與信息安全直接相關的主

體、客體及它們之間的操作；訪問控制的粒度是否達到主體為用戶級，客體為文件、數據庫表級。

5.4.2.2.4應檢查主要Web應用系統(tǒng)，查看其是否有由授權用戶設置其它用戶訪問系統(tǒng)功能和用戶數

據的權限的功能，是否限制默認用戶的訪問權限。

5.4.2.2.5應檢查主要Web應用系統(tǒng)，查看系統(tǒng)是否授予不同帳戶為完成各自承擔任務所需的最小權

限，特權用戶的權限是否分離，權限之間是否相互制約。

5.4.2.2.6應檢查主要Web應用系統(tǒng)，查看是否依據安全策略嚴格控制用戶對限制類型資源的操作。

5.4.2.2.7應測試主要Web應用系統(tǒng)，可通過以不同權限的用戶登錄系統(tǒng)，查看其擁有的權限是否與

系統(tǒng)賦予的權限一致，驗證Web應用系統(tǒng)訪問控制功能是否有效。

5.4.2.2.8應測試主要Web應用系統(tǒng)，可通過默認用戶登錄系統(tǒng)，并進行一些合法和非法操作，用來

驗證系統(tǒng)是否嚴格限制了默認賬戶的訪問權限。

5.4.2.2.9應滲透測試主要Web應用系統(tǒng)，驗證Web應用系統(tǒng)的訪問控制功能是否有效。

5.4.2.3安全審計

5.4.2.3.1應訪談安全審計員，詢問Web應用系統(tǒng)是否有安全審計功能，對事件進行審計的策略，以

及審計日志的保護措施。

5.4.2.3.2應檢查主要Web應用系統(tǒng)，查看是否開啟了日志功能。

5.4.2.3.3應檢查主要Web應用系統(tǒng)，查看其當前審計范圍是否覆蓋到每個用戶。

4

MH/T0067—2018

5.4.2.3.4應檢查主要Web應用系統(tǒng)，查看其審計策略是否覆蓋系統(tǒng)內重要的安全相關事件，包括但

不限于用戶標識與鑒別、訪問控制的所有操作記錄、重要用戶行為、系統(tǒng)資源的異常使用、重要系統(tǒng)命

令的使用等。

5.4.2.3.5應檢查主要Web應用系統(tǒng)，查看其審計記錄信息是否包括事件發(fā)生的日期與時間、觸發(fā)事

件的主體與客體、事件的類型、事件成功或失敗、身份鑒別事件中請求的來源、事件的結果等內容。

5.4.2.3.6應檢查主要Web應用系統(tǒng)，查看其是否為授權用戶瀏覽和分析審計數據提供專門的審計分

析功能，并能根據需要生成審計報表。

5.4.2.3.7應檢查主要Web應用系統(tǒng)，查看其日志保存期是否少于6個月。

5.4.2.3.8應測試主要Web應用系統(tǒng)，在Web應用系統(tǒng)上試圖產生一些重要的安全相關事件，查看Web

應用系統(tǒng)是否對其進行了審計，驗證Web應用系統(tǒng)安全審計的覆蓋情況是否覆蓋到每個用戶；如果進行

了審計則查看審計記錄內容是否包含事件的日期、時間、發(fā)起者信息、類型、描述和結果等。

5.4.2.3.9應測試主要Web應用系統(tǒng)，試圖非授權刪除、修改或覆蓋審計記錄，驗證安全審計的保護

情況是否無法非授權刪除、修改或覆蓋審計記錄。

5.4.2.4系統(tǒng)敏感信息保護（順序調整）

5.4.2.4.1應訪談Web應用系統(tǒng)管理員，詢問Web應用系統(tǒng)是否對敏感信息的存儲和使用采取的安全

措施。

5.4.2.4.2應檢查主要Web應用系統(tǒng)，查看其是否在發(fā)布文件中包含備份、系統(tǒng)配置等敏感文件。

5.4.2.4.3應檢查主要Web應用系統(tǒng)，查看其是否對部署文件進行必要的修改，防止敏感信息泄露。

5.4.2.4.4應檢查主要Web應用系統(tǒng)，查看其是否在停止使用后將所有信息進行清除。

5.4.2.4.5應檢查主要Web應用系統(tǒng)，查看其數據庫中的敏感字段是否進行加密存儲。

5.4.2.4.6應測試主要Web應用系統(tǒng)，是否限制系統(tǒng)配置等敏感文件的下載。

5.4.2.4.7應測試主要Web應用系統(tǒng)，是否有開源組件等信息暴露。

5.4.2.5通信安全性

5.4.2.5.1應訪談安全管理員，詢問Web應用系統(tǒng)是否具有在數據傳輸過程中的保護措施，以及具體

措施的內容。

5.4.2.5.2應檢查設計或驗收文檔，查看其是否有關于保護通信安全性的說明。

5.4.2.5.3應測試主要Web應用系統(tǒng)，通過查看通信雙方數據包的內容，查看系統(tǒng)是否能在通信雙方

建立連接之前，利用密碼技術進行會話初始化驗證；查看系統(tǒng)在通信過程中，對整個報文或會話過程進

行加密的功能是否有效。

5.4.2.6軟件容錯

5.4.2.6.1應訪談Web應用系統(tǒng)管理員，