等保测评应用系统加固
|
控制点 |
安全要求 |
要求解读 |
测评方法 |
预期结果或主要证据 |
|
身份鉴别 |
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 |
对用户进行身份鉴别是防止非法入侵最基本的一种保护措施,本条款要求应用系统必须对登录系统的用户进行身份的合法性进行核实,并为每一个登录用户提供身份标识,且身份标具有唯-性,以便系统对用户操作行为进行审计。同时,为了增加非授权用户使用暴力猜测等手段破解用户鉴别信息的难度,应保证用户的鉴别信息具有一定的复杂性,从而使身份鉴别信息不易被冒用和破解,如用户登录口令的长度至少为8位、需要强制由字母、数字和符号混合组成,且提供口令更换周期等限制 |
1)询问系统管理员,用户在登录时是否采用了身份鉴别措施 2)在未登录状态下直接访问任一操作页面或操作功能 3)核查用户身份标识的设置策略 4)核查鉴别信息复杂度和更换周期的设置策略。(可通过查看修改口令等功能模块验证口令复杂度生效情况) 5)扫描应用系统,检查应用系统是否存在弱口令和空口令用户 |
1)用户在登录时,系统提供了身份鉴别措施 2)在未登录的状态下,用户不可访问任何页面或操作功能,身份鉴别措施不能被绕 3)记录用户在系统中的唯一性息份标识,如用户在数据库用户表中的唯一ID等 4)用户口令具有长度、组成复杂度限制和更换周期限制。(如口令长度8位以上,需要包含数字、牢母和符号,并强制3本月更换一次等) 5)应用系统不存在弱口令和空口令用户 |
|
|
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施 |
非法用户能够通过反复输入密码,达到猜测用户密码的目的,因此应该限制用户登录过程中连续输入错误密码的次数。 当用户多次输入错误密码后,操作系统应自动锁定该用户或一段时间内禁止该用户登录,从而增加猜测密码难度的目的。 Windows操作系统具备登录失败处理功能,可以通过适当的配置“账户锁定策略”来对用户的登录进行限制 |
1)询问系统管理员,该系统是否具有登录失败处理功能以及登录失败处理策略 2)以正确的用户名,错误的口令连续多次登录系统,查看系统的反应自动断开的等待时间 3询问统管理员用户登录过程中,系统进行身份鉴别时,设置了合理的连接超时自动断开等待时间 4)询问系统管理员,用户登录后,长时间无操作,系统端束会话时间 |
1)系统提供了登录失败处理功能 2)以正确的用户名、错误的口令连续多次登录系统,超过预定错误次数时,系统锁定该用户,由管理员解锁或过-段时间后自动解锁 3)用户登录过程中,系统进行身份鉴别时,设置了合理的连接超时自动断开的等待时间。 4)用户登最后,长时间无操作,系统设置了符合业务需求的结束会话时间 |
|
|
c)当进行远程管理时,应采取必要措施、防止鉴别信息在网络传输过程中被窃听 |
为方便管理员进行管理操作,众多服务器采用网络登录的方式进行远程管理操作,Windows一般使用“远程桌面 (Remote Desktop)”进行远程管理,《基本要求》中规定了这些传输的数据需要进行加密处理,目的是为了保障账户和口令的安全, Windows Server 2003 SP1中针对远程桌面提供了SSL加密功能,它可以基于SSL来实现以下两个功能:对RDP客户端提供终端服务器的服务器身份验证、加密和RDP客户端的通信。要使用远程桌面的SSL.加密功能,远程桌面必须使用RDP的版本是5.2或以上,即所远行的操作累统必须是Windows Server 2003 SPI或其后版本。 |
1)如果是本地管理成KVM等硬件管理方式,此要求默认满足, 2)如果采用远程管理,则需采用带加密管理的远程管理方式。在命令行输入”pgedit.msc“弹出“本地组策略编辑器”窗口,查着“本地计算机策略一》计算机配置一>管理模板一>Windows组件一选程桌面服务>远程桌面会话主机-安全”中的相关项目 |
1)本地或VM,默认符合 2)远程运维,采取加密的RDP协议 |
|
|
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现 |
本条款要求应用系统采取两种或两种以上组合的鉴别技术来实现身份鉴别。在这里,两种或两种以上组合签别技术是指同时使用不同种关=类的鉴别技术对应用系统的用户进行身粉鉴别,且其中二种鉴别技术至少应使用密码技术来实现,这样在很大程度上增加了非授权用户对身份鉴别信意进行攻击的难度,更有效的防止非法入侵。对应用系统测评时,双因素登录重点针对开系统内的管理用户 |
1)询问系统管理员,系统是否采用动态口念,数字证书和生物技术等两种或两种以上组合的鉴别技术对管理用户身份进行登别 2)询间系统管理员,其中一种鉴别技术是否使用密码技术来实现 3)使用系统内管理用户登录系统,验证其登录方式是否与询问结果一致 |
除口令之外,采用了另外一种鉴别机制,此机制采用了密码技术,如调用了密码机或采取SM1-SM4等算法 |
|
访问控制 |
a)应对登录的用户分配账户和权限 |
应用系统的访问控制功能是为了保证应用系统被合法地使用,用户只能根据管理员分配的权限来访问应用系统相应的功能,不得越权访问。本项条款要求必须须对登录系统的用户进行账号和权限的分配 |
1)询问系统管理员,系统是否为登录的用户分配了账户和权限 2)以不同角色的用户登录系统,验证用户权限分配情况 3)尝试使用登录用户访问未授权的功能,查看访问控制策略生效情况 |
1)系统为登录的每一个用户分配了账户和权限 2)系统为不同类别角色的用户分配了不同的功能权限 3)通过菜单猜测等验证方式,登录用户不可访问未授权的功能权限 |
|
|
b)应重命名或删除默认账户,修改默认账户的默认口令 |
应用系统正式上线后需要对默认账户进行重命名或删除,并对默认账户默认口令进行修改,默认用户一般指应用系统的公共账户,测试账户或权限不受限制的超级管理账户等 |
1)访谈系统管理员,系统如何处理多余的、过期的账户 2)核查数据库的用户表中用户状态标识,若系统内存在计=过期账户,则尝试使用过期账户登录系统 3)核查管理员用户与账户之间是否一一对应 |
1)系统内多余的、过期的账户已经被停用或删除 2无法使用被停用的账户登录系统 3)管理员用户与账户之间一一对应,不存在共享账户 |
|
|
c)应及时删除或停用多余的、过期的账户,避免共享账户的存在 |
应用系统的管理员要及时将应用系统中多余的、过期的账户删除或停用,用时要避免多人共用同一账户的情况出现 |
在命令行输入“lusmrgr.msc",弹出“本地用户和组”窗口,查看“本地用户和组一>用户”中的相关项目,查看右侧用户列表中的用户,询问各账户的用途,确认账户是否属于多余的、 过期的账户或共享账户名 |
不存在多余账户、测试过期账户。不存在多部门、多人共享账户情况 |
|
|
d)应授予管理用户所需的最小权限,实现管理用户的权限分离 |
本项条款要求应用系统授予管理用户为完成承担任务所需的最小权限,如管理用户仅需具备相关的管理操作,而无需为其分配业务操作的权限,同时,管理用户应实现权限分离,如管理员具备系统管理、用户创建与移除、角色创建与删除等功能权限,安全员具备安全参数配置、用户权限分配等功能权限,审计员具备日志查看等功能权限 |
1)询问系统管理员,该系统的所有管理账户是否只拥有完成承担任务所需的最小权限,且管理用户根据三权分立原则进行授权 2)抽取某一用户,询问该用户的职责,登录应用系统,查看该用户实际权限分配情况是否与工作职责相符,是否是其承担任务所需的最小权限 3)登录不同级别的管理用户,查看管理用户相互之间是否具有相互制约的关系。(如管理员不能审计、审计员不能管理、安全员不能审计和管理等) |
1)系统所有管理账户只拥有完成自己承担任务所需的最小权限,所有管理账户均不具备业务操作权限,且管理账户分为管理员、安全员和审计员 2)抽取的用户实际权限分配情况与工作职责相符,为其承担任务所需的最小权限 3)不同管理用户相互之间具有相互制约的关系。(如管理员不能审计,审计员不能管理、安全员不能审计和管理等) |
|
|
d)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则 |
本条款要求应用系统的访问控制策略应由授权主体(如安全管理员)进行配置,非授权主体不得更改访问控制策略,且访控问制策略的覆盖范围应包括所有主体和客体以及它们之同的操作 |
1)以管理用户登录,访问权限管理功能,查看访问控制策略 2)以非管理用户登录,访问权限管理功能,查看越权访问情形 |
1)管理用户负责配置访问控制策略,管理用户为账户分配不同的角色,每个角色分配不同的功能权限,当账户与角色关联时,该账户就具备与角色相关联的功能操作 2)非管理用户不能访问权限管理相关的功能 |
|
|
e)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级 |
明确提出访问控制的粒度要求,主体为用户或进程,客体为功能权限对应的文件和数据库表以及表中的记录或字段 |
核查并测试访问控制策略的控制粒度是否达到主体为用户级或进程,客体为文件、数据库表、记录或字段级 |
访问控制策略的控制粒度主体为登录账户,客体为功能权限以及功能权限关联的数据库表 |
|
|
f)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问 |
安全标记表示主体/客体安全级别和安全范畴的一组信息,通过比较标记来控制是否允许主体对客体的访问,标记不允许其他用户进行修改,包括资源的拥有者。本项条款要求应用系统应提供设置安全标记的功能,通过安全标记控制用户对标记信息资源的访问。重要主体指系统中的管理账户,重要客体指系统中鉴别数据、重要业务数据、个人信息以及敏感数据等 |
1)核查应用系统是否依据安全策略对重要主体和客体设置了安全标记 2)测试依据安全标记是否实现主体对客体的强制访问控制功能 |
1)应用系统依据安全策略对重要账户和重要信息设置了安全标记 2)系统依据安全标记控制了账户对有安全标记信息资源的访问 |
|
安全审计 |
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计 |
本条款要求应用系统必须对应用系统所有用户重要操作(如用户登录和重要业务操作等)进行审计,并且对系统异常等事件进行审计 |
1)核查是否提供并启用了安全审计功能 2)核查审计范围是否覆盖到每个用户 3)核查并测试是否对重要的用户行为和重要安全事件进行审计 |
1)系统提供并启用了安全审计功能 2)安全审计范围覆盖到系统中的每个用户 3)系统对重要的用户行为和重要安全事件提供了审计 |
|
|
b)审计记录应包括事件的日期和时间,用户、事件类型,事件是否成功及其他与审计相关的信息 |
本条款要求审计记录至少包括事件日期,时间,发起者信息(如用户名、IP地址等)、类型、描述和结果(是否成功等)等内容 |
核查审计记录的内容构成。(查看数据库具体字段或日志展示信息) |
审计记录至少包括事件日期,时间,发起者信息(如用户名、IP地址等)、类型、描述和结果(是否成功等)等内容 |
|
|
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等 |
本条款要求应用系统对审计系统进行保护,定期做好数据备份。另外,应用系统应防止非授权删除、修改或覆盖审计记录 |
1)核查审计记录的保护措施和备份策略 2)核查应用系统功能权限,系统是否具备对审计记录的删除、修改或覆盖等功能,如果具备对审计记录的删除、修改或覆盖等功能,则查看日志记录删除、修改或覆盖的时间范围是否进行了限制 |
1)日志本地存储,可查看存储目录,周期和相关策略等 2)若部署有日志服务器,可查看存储路径等 |
|
|
d)应对审计进程进行保护,防止未经授权的中断 |
本条款要求应用系统应对审计进程或功能进行保护,如果处理审计的事务是一个单独的进程,那么应用系统应对审计进程进行保护,不允许非授权用户子对进程进行中断:如果审计是一个独立的功能,则应用系统应防止非授权用户关闭审计功能 |
测试应用系统, 如果审计模块是独立的进程,则试图非授权中断审计进程,查看是否成功,如果审计模块是一个独立的功能,则试图非授权关闭审计功能,查看是否成功 |
非授权不能中断审计进程或关闭审计功能 |
|
入侵防范 |
a)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求 |
本条款要求应用系统应对数据的有效性进行验证,主要验证那些通过人机接口(如程序的界面)输入或通过通信接口输人的数据格式或长度是否符合系统设定要求,防止个别用户输入畸形数据而导致系统出錯(如SQL注入攻击等),从而影响系统的正常使用甚至危害系统的安全 |
1)询问系统管理员,该系统是否具备软件容错的能力,具体的措施是什么 2)在浏览器或客户端输入不同(如数据格式或长度等符合、不符合软件设定的要求,并可模仿特定的攻击模式)的数据,查看系统的反应 |
系统具备软件容错能力,提供对输入数据的长度、格式等进行检查和验证的功能,通过限制特定关键字的输入等防护措施防止SQL注入等攻击 |
|
|
b)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞 |
应用管理员定期对操作系统进行漏洞扫描,-旦发现漏洞应及时进行测试评估后并及时修补漏洞 |
1)通过漏洞扫描、渗透测试等方式核査应用软件、数据库管理系统和中间件存在高风险漏洞 2)访谈系统管理员是否在经过充分测试评估后及时修补漏洞 |
应用软件、 数据库管理系统和中间件不存在高风险漏洞,若存在,则经过充分测试评估后及时修补漏洞 |
|
数据完整性 |
a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等 |
为了保证各种重要数据在存储和传输过程中免受未授权的破坏,应对数据的完整性进行检测,当检测到数据的完整性遭到破坏时应采取恢复措施对数据进行恢复。本条款要求对鉴别数据、 重要业务数据、重要审计数据、重要配置数据.重要视频数据和重要个人信息在传输过程中的完整性进行检测, 并在检测到完整性受到破坏时采取恢复措施,如重传或其它方式 |
1)询问系统管理员,该系统的鉴别数据、重要业务数据、重要审计数据,重要配置数据,重要视频数据和重要个人信息等在传输过程中是否采用了校验技术或密码技术保证完整性 2)使用工具对通信报文中的鉴别数据、重要业务数据、重要审计数据,重要配置数据、重要视频数据和重要个人信息等进行篡改,查看是否能够检测到未知据在传输过程中的完整性受到破坏并能够及时恢复 |
1)系统提供对鉴别数据、重要业务数据、重要审计数据、重要配置数据、视频数据和重要个人信息等在传输过程中的完整性保护措施 2)系统检测到鉴别数据、重要业务数据、重要审计数据、重要配置数据、视频数据和重要个人信息等在传输过程中的完整性受到被坏后采取了技术措施进行处理,如重传或其他方式 |
|
|
b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等 |
本条款要求对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息在存储过程中的完整性进行检测,并在检测到完整性受到破坏时采取恢复措施 |
1)询问系统管理员,是否采用校验技术或密码技术保证鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等在存储过程中的完整性 2)尝试修改存储在数据库中的鉴别数据,重要业务效据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等,查看系统反应 |
1)系统采用校验技术或密码技术保证了鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等在存储过程中的完整性 2)系统可检测到存储在数据库中的鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等被修改的行为,并具备恢复措施 |
|
数据保密性 |
a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据、和重要个人信息等 |
本条款要求对鉴别数据、重要业务数据、和重要个人信息在传输过程中采取保密措施,如对这些数据加密等 |
1)询问系统管理员,是否采用密码技术保证鉴别数据、重要业务数据和重要个人信息等在传输过程中的保密性 2)通过嗅探等方式抓取传输过程中的数据,查看鉴别数据、重要业务数据和重要个人信息等在传输过程中是否进行了加密处理 |
1)系统管理员采用密码技术对鉴别数据、重要业务数据和重要个人信息进行了保密性处理 2)通过嗅探等方式抓取传输过程中的数据,未发现鉴别数据、重要业务数据和重要个人信息 |
|
|
b)应采用密码技术来保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要人信息等 |
本条款要求对鉴别数据、重要业务数据和重要个人信息在存储过程中采取保密措施,如对这些数据进行加密等 |
1)询间系统管理员,是否采用密码技术保证鉴别数据、重要业务数据和重要个人信息等在存储过程中的保密性 2) 核查数据库中的相关字段,查看鉴别数据、重要业务数据和重要个人信息等是否加密存储 |
1)系统采用了密码技术对存储在数据库中的鉴别数据、重要业务数据和重要 2)数据库中存储的鉴别数据、重要业务数据和重要个人信息等均加密存储 |
|
数据备份和恢复 |
a)应提供重要数据的本地数据备份与恢复功能 |
对数据进行备份,是防止数据遭到破坏后无法使用的最好方法。通过对数据采取不同的备份方式和形式等,保证系统重要数据在发生破坏后能够恢复。本条款要求对应用系统的重要数据提供本地数据备份与恢复功能 |
1)询问数据库管理员,数据库的备份和恢复策略是什么 2)核查备份策略设置是否合理,配置是否则正确 3)核查备份结果是否与备份策略一致 4)核查近期恢复测试记录,查看是否能够进行正常的数据恢复 |
1)提供数据的每天全量备份《(或每天增量备份,定期全量备份) 2)近期数据库的恢复测试记录显示,能够使用备份文件进行数据恢复 |
|
|
b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地 |
应提供灾备中心, 对重要的数据提供异地数据级备份,保证当本地系统发生灾难性后果(如火灾)不可恢复时,利用异地保存的数据对系统数据能进行恢复 |
询问数据库管理员,是否提供异地实时备份功能,并通过网络将重要配置数据,重要业务数据实时备份至备份场地 |
提供异地实时备份功能,并通过网络将重要配置数据、重要业务数据实时备份至备份场地 |
|
剩余信息保护 |
a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除 |
本条款要求应用系统将用户的鉴别信息所在的存储空间(如硬盘清除后才能分配给其他用户),例如:有的应用系统将用户的鉴别借息放在内存中进行处理,处理完成后没有及时清除等,这样其他的用户通过一些非正常手段就有可能获取该用户的鉴别信息 |
询问系统管理员,应用系统是否采取措施保证对存储介质(如硬盘或内存)防止其他用户非授权获取该用户的鉴别信息 |
应用系统采取措施保证对存储介质(如硬盘或内存)中的用户鉴别信息进行及时清除。如系统会对存储或调用过鉴别信息的函数或变量及时写零或置空,及时清除B/S系统中的Session和Cookie信息,以及对存有用户鉴别信息的临时文件进行删除或内容清除等 |
|
|
b)应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除 |
本条款要求应用系统应将敏感数据所在的存储空间(如硬盘或内存)清除后才能分配给其他用户,例如:有的应用系统在使用过程中可能会产生-些临时文件,这些临时文件中可能会记录一些敏感信息,当将这些资源分配给其他用户时,其他用户就有可能获取这些敏感信息 |
询问系统管理员,应用系统是否采取措施保证对存储介质(如硬盘或内存)中的敏感数据进行及时清除,防止其他用户非授权获取敏感数据 |
应用系统采取了措施保证对存储介质(如硬盘或内存入中的敏感数据进行及时清除,如系统会对存储或调用过鉴别信息的函数或变量及时写零或置空,及时清除B/S系统中的Session和Cookie信息,以及对存有用户鉴别信息的临时文件进行删除或内容清除等 |
|
个人信息保护 |
a)应仅采集和保存业务必需的用户个人信息 |
条款是为保护个人信息,不采集业务不需要的个人数据 |
1)询问系统管理员,该系统采集了用户的哪些个人信息 2)询问系统管理员,系统中采集的用户个人信息是否是业务应用必需的 |
1)记录系统所采集的个人信息。如系统采集了用户身份证号、电话等个人 信息 2)记录应用系统哪个功能模块使用哪些用户个人信息,以及所使用个人信息的必要性 |
|
|
b)应禁止未授权访问和非法使用用户个人信息 |
本条款要求应用系统应采取措施, 禁止未授权访问和非法使用个人信息,从而保护个人信息 |
1)询问系统管理员,哪些系统账户可以访问个人信息,且系统采取了什么措施控制可访问个人信息的系统账户对个人信息的访问 2)核查相关措施是否有效的限制了相关账户对个人信息的访问和使用 |
1)系统采取了措施控制了系统账户对个人信息的访问,如权限控制等 2)未授权无法访问和使用用户的个人信息 |
本文来自博客园,作者:爱薇仔,转载请注明原文链接:https://www.cnblogs.com/zh2000/p/15219026.html
