二级04应用安全测评记录V20概要.doc

1、文件编号 CDJX-DJCP- -004 文件版本 V2.0 编写 钱平 校对 胥滔 审核 朱光剑 修订次数 2 打印份数 控制状态 是否装订 归档部门 信息系统安全等级保护测评 附件4 应用安全测评记录（S2A2G2级） 单位名称: 系统名称: 测试时间 年 月 日- 月 日 目 录 一、应用安全测评记录结果 2 二、业务系统基本情况 2

2、 三、业务系统测评记录 2 应用安全测评记录（三级） 一、应用安全测评记录结果 类别 序号 测评项 测评实施 结果记录 符合情况 结果 情况记录 符合 不符合 身份鉴别(S2) 1 a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别； 1) 应访谈应用系统管理员，询问应用系统是否采取身份标识和鉴别措施，具体措施有哪些；系统采取何种措施防止身份鉴别信息被冒用； 通 过：□ 不通过：□ 不适用：□ * * 2 b) 应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易

3、被冒用； 1) 应检查设计或验收文档，查看其是否有系统采用了保证唯一标识的措施的描述； 通 过：□ 不通过：□ 不适用：□ * * 2) 应检查主要应用系统，查看其是否提供身份标识和鉴别功能；查看其身份鉴别信息是否具有不易被冒用的特点；其鉴别信息复杂度检查功能是否能保证系统中不存在弱口令等； 通 过：□ 不通过：□ 不适用：□ 3 c) 应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施； 1) 应访谈应用系统管理员，询问应用系统是否具有登录失败处理功能； 通 过：□ 不通过：□ 不适用：□ * * 2)

4、 应检查主要应用系统，查看其提供的登录失败处理功能，是否根据安全策略配置了相关参数； 4 d) 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数 1) 应测试主要应用系统，可通过试图以合法和非法用户分别登录系统，查看是否成功，验证其身份标识和鉴别功能是否有效； 通 过：□ 不通过：□ 不适用：□ * * 2) 应测试主要应用系统，验证其登录失败处理功能是否有效； 通 过：□ 不通过：□ 不适用：□ 访问控制(S2) 5 a) 应提供访问控制功能，依据安全策略控制用户对文件、数据

5、库表等客体的访问； 1) 应检查主要应用系统，查看系统是否提供访问控制机制；是否依据安全策略控制用户对客体的访问； 通 过：□ 不通过：□ 不适用：□ * * 6 b) 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作； 1) 应检查主要应用系统，查看其访问控制的覆盖范围是否包括与信息安全直接相关的主体、客体及它们之间的操作；访问控制的粒度是否达到主体为用户级，客体为文件、数据库表级； 通 过：□ 不通过：□ 不适用：□ * * 7 c) 应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限 1) 应检查主要应用

6、系统，查看其是否有由授权用户设置其它用户访问系统功能和用户数据的权限的功能，是否限制默认用户的访问权限； 通 过：□ 不通过：□ 不适用：□ * * 2) 应测试主要应用系统，可通过以默认用户登录系统，并进行一些合法和非法操作，验证系统是否严格限制了默认帐户的访问权限； 通 过：□ 不通过：□ 不适用：□ 8 d) 应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系 1) 应检查主要应用系统，查看系统是否授予不同帐户为完成各自承担任务所需的最小权限，特权用户的权限是否分离，权限之间是否相互制约； 通 过：□ 不通过

7、□ 不适用：□ * * 安全审计(G2) 9 a) 应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计； 1) 应检查主要应用系统，查看其当前审计范围是否覆盖到每个用户； 通 过：□ 不通过：□ 不适用：□ * * 2) 应检查主要应用系统，查看其审计策略是否覆盖系统内重要的安全相关事件，例如，用户标识与鉴别、访问控制的所有操作记录、重要用户行为、系统资源的异常使用、重要系统命令的使用等； 通 过：□ 不通过：□ 不适用：□ 10 b) 应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录； 1) 应测试主

8、要应用系统，试图非授权删除、修改或覆盖审计记录，验证安全审计的保护情况是否无法非授权删除、修改或覆盖审计记录。 通 过：□ 不通过：□ 不适用：□ * * 11 c) 审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等 1) 应检查主要应用系统，查看其审计记录信息是否包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、事件成功或失败、身份鉴别事件中请求的来源、事件的结果等内容； 通 过：□ 不通过：□ 不适用：□ * * 通信完整性(S2) 12 应采用密码技术保证通信过程中数据的完整性 1) 应检查设计或验收文

9、档，查看其是否有关于保护通信完整性的说明，如果有则查看其是否有用密码技术来保证通信过程中数据的完整性的描述； 通 过：□ 不通过：□ 不适用：□ * * 2) 应测试主要应用系统，可通过获取通信双方的数据包，查看通信报文是否含有加密的验证码。 通 过：□ 不通过：□ 不适用：□ 通信保密性(S2) 13 a) 在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证； 1) 应访谈安全管理员，询问应用系统数据在通信过程中是否采取保密措施，具体措施有哪些； 通 过：□ 不通过：□ 不适用：□ * * 14 b) 应

10、对通信过程中的整个报文或会话过程进行加密 1) 应测试主要应用系统，通过查看通信双方数据包的内容，查看系统是否能在通信双方建立连接之前，利用密码技术进行会话初始化验证；查看系统在通信过程中，对整个报文或会话过程进行加密的功能是否有效； 通 过：□ 不通过：□ 不适用：□ * * 软件容错(A2) 15 a) 应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求 1) 应检查主要应用系统，查看应用系统是否对人机接口输入或通信接口输入的数据进行有效性检验； 通 过：□ 不通过：□ 不适用：□ * *

11、 2) 应测试主要应用系统，可通过对人机接口输入的不同长度或格式的数据，查看系统的反应，验证系统人机接口有效性检验功能是否正确； 通 过：□ 不通过：□ 不适用：□ 16 b) 应提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复 1) 应测试主要应用系统，验证其是否提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复。 通 过：□ 不通过：□ 不适用：□ * * 资源控制(A2) 17 a) 当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话； 1) 应测试重要应用系统，当

12、应用系统的通信双方中的一方在一段时间内未作任何响应，查看另一方是否能够自动结束会话； 通 过：□ 不通过：□ 不适用：□ * * 18 b) 应能够对应用系统的最大并发会话连接数进行限制； 1）系统是否有最大并发会话连接数的限制； 通 过：□ 不通过：□ 不适用：□ * * 19 c) 应能够对单个帐户的多重并发会话进行限制 1) 应检查主要应用系统，查看是否限制单个帐户的多重并发会话； 通 过：□ 不通过：□ 不适用：□ * * 2）应测试主要应用系统，可通过对系统进行超过规定的单个帐户的多重并发会话数进行连接，验证

13、系统是否能够正确地限制单个帐户的多重并发会话数； 通 过：□ 不通过：□ 不适用：□ 测评人员（签字）： 结果确认（签字）： 测评日期： 第14页 共19页 二、业务系统基本情况 序号 业务系统名称 所在网络区域 系统架构 承载的业务范围 所属系统 数据库类型 重要程度 1 　 2 　 3 　 三、业务系统测评

14、记录 业务系统名称 　 业务系统版本 　 功能 　 数据库版本 　 身份鉴别 系统用户身份标识是否具有唯一性： 重建同名账户是否成功： 管理层账户情况： 管理账户是否权限分离： 登录系统是否需要身份鉴别： 登录口令长度策略： 复杂度策略： 口令更新周期策略： 登录失败是否结束会话： 限制非法登录次数： 连接超时时间： 连接超时后是否自动退

15、出： 输入错误账户或密码是否有警示： 超出阀值是否锁定账户： 访问控制 是否具有访问控制策略及具体措施： 粒度是否达到文件、数据库表单等的控制： 访问控制策略验证，以某一用户身份登录系统，依据安全策略对客体进行访问，测试访问控制策略是否有效： 访问控制覆盖范围是否包括信息安全直接相关的主体、客体及他们之间的操作： 检验结果： 是否有由授权用户设置其它用户访问系统功能和用户数据的权限的功能，是否限制默认用户的访问权限： 通过以默认用户登录系统，并进行一些合法和非法操作，验证系统是

16、否严格限制了默认账户的访问权限： 查看系统是否授予不同账户为完成各自承担任务所需的最小权限，特权用户的权限是否分离，权限之间是否相互制约： 安全审计 是否具有安全审计功能： 对事件审计策略： 对审计日志的保护措施： 审计范围包括： 是否覆盖到每一个用户： 审计策略是否覆盖系统内重要的安全相关事件（例如，用户标识与鉴别、访问控制的所有操作记录、重要用户行为、系统资源的异常使用、重要系统命令的使用等）： 审计记录是否包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、事件成功或

17、失败、身份鉴别事件中请求的来源、事件的结果等内容： 在系统上试图产生一些重要的安全相关事件（如用户登录、修改用户权限等），查看应用系统是否对其进行了审计，验证应用系统安全审计的覆盖情况是否覆盖到了每个用户，是否包含必要的审计信息： 通信完整性 访谈安全管理员，询问应用系统是否具有在数据传输过程中保护其完整性的措施，具体措施是什么： 检查设计或验收文档，查看其是否有关于保护通信完整性的说明，如果有则查看其是否有用密码技术来保证通信过程中数据的完整性的描述，具体措施： 测试应用系统，可通过获取通信双方的数据包，查看通信报文是否含有加密的验证码： 通信保密性 访谈安全管

18、理员，询问应用系统数据在通信过程中是否采取保密措施，具体措施有哪些： 　 测试应用系统，通过查看通信双方数据包的内容，查看系统是否能在通信双方建立连接之前，利用密码技术进行会话初始化验证；查看系统在通信过程中，对整个报文或会话过程进行加密的功能是否有效（测试情况）： 软件容错 访谈应用系统管理员，询问应用系统是否具有保证软件容错能力的措施，具体措施有哪些： 检查应用系统，查看应用系统是否对人机接口输入或通信接口输入的数据进行有效性检验，具体措施： 测试应用系统，可通过对人机接口输入的不同长度或格式的数据，查看系统的反应，验证系统人机接口有效性检验功能是否正确： 测试主要应用系统，验证其是否提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复： 资源控制 访谈应用系统管理员，询问应用系统是否有资源控制的措施，具体措施有哪些： 连接超时限制： 系统同时最多支持多少个并发会话连接： 应用系统限制了最大并发连接数为： 是否限制单个账户的多重并发会话： 应用系统对访问用户或请求进程占用的资源分配最大和最小限额： 测评人员（签字）： 结果确认（签字）： 测评日期：