條款理解可參考:https://wenku.baidu.com/view/26c447385727a5e9856a618a.html
原文鏈接:https://www.cnblogs.com/xiaozi/p/5912009.html
針對等級保護三級系統的防護要求,對於應用安全涉及的“身份鑒別”、“訪問控制”、“安全審計”、“剩余信息保護”、“通信完整性”、“通信保密性”、“抗抵賴”、“軟件容錯”以及“資源控制”等控制點進行評分,具體如下表所示:
| 應用安全 | 身份鑒別 | a) 應提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別; | 1)未提供登錄控制模塊,實施操作前無需進行身份鑒別。 | 1)具有登錄控制模塊對用戶進行身份鑒別。 |
| 應用安全 | 身份鑒別 | b) 應對同一用戶采用兩種或兩種以上組合的鑒別技術實現用戶身份鑒別; | 1)應用程序管理賬戶僅采用單一鑒別方式。 | 1)對同一用戶采用兩種或兩種以上的鑒別技術。 |
| 應用安全 | 身份鑒別 | c) 應提供用戶身份標識唯一和鑒別信息復雜度檢查功能,保證應用系統中不存在重復用戶身份標識,身份鑒別信息不易被冒用; | 1)用戶身份標識不唯一,或存在多人共用賬號; 2)未提供鑒別信息復雜度檢查功能,或未啟用身份鑒別功能,或口令長度低於6位或者存在弱口令,或使用默認用戶和默認口令,或滲透測試發現可繞過身份鑒別進行系統訪問。 |
1)提供用戶身份標識唯一性檢查功能; 2)用戶身份標識具有唯一性。 3)提供鑒別信息復雜度檢查功能,復雜度檢查內容包括長度,字母、數字及特殊符號、定期更換周期等; 4)采用口令進行鑒別的系統,口令由數字、大小寫字母、符號混排,無規律的方式。 5)用戶口令的長度至少為8位。 6)口令每季度更換一次,更新的口令至少5次內不能重復。 |
| 應用安全 | 身份鑒別 | d) 應提供登錄失敗處理功能,可采取結束會話、限制非法登錄次數和自動退出等措施; | 1)無登錄失敗處理功能。 | 1)提供登錄失敗處理功能,可采取結束會話、限制非法登錄次數或自動退出等一種或幾種措施; 2)若采用限制非法登錄次數,則應對用戶登錄失敗次數設置一定門限,超過門限次數時應采取一定行動(如鎖定、報警等措施)。 |
| 應用安全 | 身份鑒別 | e) 應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能,並根據安全策略配置相關參數。 | 1)不提供或未啟用身份鑒別功能。 2)不提供或未啟用用戶身份標識唯一性檢查功能; 3)不提供或未啟用用戶身份鑒別信息復雜度檢查功能,或雖啟用但未根據安全策略配置相關參數。 4)不提供或未啟用用戶登錄失敗處理功能或雖啟用相關功能但未根據安全策略配置相關參數。 |
1)啟用了身份鑒別功能; 2)啟用了用戶身份標識唯一性檢查; 3)啟用了用戶登錄失敗處理功能; 4)啟用了用戶身份鑒別信息復雜度檢查功能; 5)合理配置參數。如:鑒別失敗次數的閾值、處理方法(自動退出或鎖定帳戶)、鎖定時間、解鎖方式等參數的設置恰當或者校驗碼產生方式合理;用戶身份標識唯一性檢查中對用戶名大小寫敏感;用戶鑒別信息復雜度限制參數有強度。 6)滲透測試未發現有可繞過身份鑒別進行系統訪問的情況。 |
| 應用安全 | 訪問控制 | a) 應提供訪問控制功能,依據安全策略控制用戶對文件、數據庫表等客體的訪問; | 1)未提供訪問控制功能,或滲透測試發現可越權訪問。 | 1)提供訪問控制功能,根據訪問控制策略實現訪問控制功能; 2)系統內指定管理用戶對系統用戶進行管理,配置用戶對文件、數據庫表等客體的訪問控制策略; 3)滲透測試未發現有可越權訪問情形。 |
| 應用安全 | 訪問控制 | b) 訪問控制的覆蓋范圍應包括與資源訪問相關的主體、客體及它們之間的操作; | 1)訪問控制的覆蓋范圍未包括與資源訪問相關的主體、客體及它們之間的操作,或滲透測試發現存在訪問控制功能未覆蓋到的客體。 | 1)系統能根據訪問控制規則正確實施對資源的控制; 2)訪問控制的粒度需達到主體為用戶和進程級,客體為文件、數據庫表級; 3)訪問控制功能正常,覆蓋范圍包括與資源訪問相關的主體、客體及它們之間的操作。 4)滲透測試未發現存在訪問控制功能未覆蓋到的客體。 |
| 應用安全 | 訪問控制 | c) 應由授權主體配置訪問控制策略,並嚴格限制默認帳戶的訪問權限; | 1)非授權人員可以進行用戶權限管理,或實際授權與權限策略不一致,可進行越權操作; | 1)由授權管理員進行用戶權限管理; 2)實際授權與權限策略一致,無法進行越權操作; 3)默認用戶的訪問權限進行了限制或系統不存在默認用戶。 |
| 應用安全 | 訪問控制 | d) 應授予不同帳戶為完成各自承擔任務所需的最小權限,並在它們之間形成相互制約的關系。 | 1)不同管理賬戶之間未形成相互制約關系。 | 1)維護了不同的管理角色; 2)特權用戶權限分離; 3)根據最小原則進行授權,並在各用戶間形成相互制約關系,如錄入與審核分離,操作與監督分離等。 |
| 應用安全 | 訪問控制 | e) 應具有對重要信息資源設置敏感標記的功能; | 1)應用系統未提供設置敏感標記的功能。 | 1)應用系統提供敏感標記設置功能。 |
| 應用安全 | 訪問控制 | f) 應依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操作; | 1)應用系統未提供設置敏感標記的功能或未依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操作。 | 1)依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操作。 |
| 應用安全 | 安全審計 | a) 應提供覆蓋到每個用戶的安全審計功能,對應用系統重要安全事件進行審計; | 1)未啟用安全審計; | 1)提供覆蓋到每個用戶的安全審計功能; 2)安全審計范圍包括應用系統定義的重要安全事件(如至少包括帳戶建立、用戶權限分配、重要業務數據操作、用戶身份鑒別失敗等行為)。 |
| 應用安全 | 安全審計 | b) 應保證無法單獨中斷審計進程,無法刪除、修改或覆蓋審計記錄; | 1)可單獨中斷審計進程; 2)可通過應用系統刪除(清空)、修改審計記錄。 |
1)未授權不能中斷審計或修改審計策略; 2)授權中斷審計的操作應記錄; 3)無法單獨中斷審計進程; 4)通過應用系統無法刪除、修改或覆蓋審計記錄。 |
| 應用安全 | 安全審計 | c) 審計記錄的內容至少應包括事件的日期、時間、發起者信息、類型、描述和結果等; | 1)審計記錄未包括事件的時間、主體標識、客體標識和結果。 | 1)審計記錄包括事件發生的日期和時間、觸發事件的主體與客體、事件的類型、事件成功或失敗、身份鑒別事件中請求的來源、事件的結果等。 |
| 應用安全 | 安全審計 | d) 應提供對審計記錄數據進行統計、查詢、分析及生成審計報表的功能。 | 1)未執行審計分析; 2)未形成審計報表。 |
1)能夠對審計記錄進行統計、查詢等分析; 2)能根據需要生成審計報表。 3)定期對記錄數據進行分析。 |
| 應用安全 | 剩余信息保護 | a) 應保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除,無論這些信息是存放在硬盤上還是在內存中; | 1)未具備清除用戶鑒別信息的功能。 2)應用系統和操作系統臨時文件等存在殘留的用戶鑒別信息。 |
1)具有清除用戶鑒別信息的功能; 2)正常退出和非強制關閉后,應用系統和操作系統臨時文件等均無殘留的用戶鑒別信息。 |
| 應用安全 | 剩余信息保護 | b) 應保證系統內的文件、目錄和數據庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全清除。 | 1)能夠訪問其他用戶已經釋放的文件、目錄和數據庫記錄等資源中的用戶數據。 | 1)系統設計文檔有相關描述; 2)用戶無法訪問其他用戶已經釋放的文件、目錄和數據庫記錄等資源中存儲的其他用戶數據。 |
| 應用安全 | 通信完整性 | a) 應采用密碼技術保證通信過程中數據的完整性。 | 1)無完整性保護措施。 | 1)系統設計文檔有相關描述; 2)采用MD5、SHA-1等密碼算法進行完整性保護或采用SSL等加密通信方式; 3)測試應用系統,驗證其能夠檢測到數據在通信過程中的完整性受到破壞。 |
| 應用安全 | 通信保密性 | a) 在通信雙方建立連接之前,應用系統應利用密碼技術進行會話初始化驗證; | 1)未利用密碼技術進行會話初始化驗證。 | 1)利用密碼技術進行會話初始化驗證(SSL、SSH等)。 |
| 應用安全 | 通信保密性 | b) 應對通信過程中的整個報文或會話過程進行加密。 | 1)未對通信過程中的整個報文或會話過程進行加密。 | 1)對通信過程中的整個報文或會話過程進行加密。 |
| 應用安全 | 抗抵賴 | a) 應具有在請求的情況下為數據原發者或接收者提供數據原發證據的功能; | 1)無原發抗抵賴措施。 | 1)采取數字簽名等密碼技術實現抗抵賴功能。 |
| 應用安全 | 抗抵賴 | b) 應具有在請求的情況下為數據原發者或接收者提供數據接收證據的功能。 | 1)無接收抗抵賴措施。 | 1)采取數字簽名等密碼技術實現抗抵賴功能。 |
| 應用安全 | 軟件容錯 | a) 應提供數據有效性檢驗功能,保證通過人機接口輸入或通過通信接口輸入的數據格式或長度符合系統設定要求; | 1)未提供數據有效性檢驗功能,或滲透測試發現存在輸入數據存在有效性驗證問題。 | 1)系統在數據輸入界面提供數據有效性檢驗功能; 2)滲透測試未發現存在輸入數據有效性驗證問題。 |
| 應用安全 | 軟件容錯 | b) 應提供自動保護功能,當故障發生時自動保護當前所有狀態,保證系統能夠進行恢復。 | 1)應用系統未提供自動保護功能。 | 1)應用系統提供自動保護功能(如守護進程重啟故障中斷的服務進程等),確保能夠自動保護當前所有狀態,保證系統能夠進行恢復。 |
| 應用安全 | 資源控制 | a) 當應用系統的通信雙方中的一方在一段時間內未作任何響應,另一方應能夠自動結束會話; | 1)未能在合理時間內結束超時的空閑會話。 | 1)系統有超時響應檢驗功能,能夠自動結束無響應的通信連接。 2)能夠在合理時間內結束超時的空閑會話。 |
| 應用安全 | 資源控制 | b) 應能夠對系統的最大並發會話連接數進行限制; | 1)未設置最大並發會話連接數。 | 1)設置了應用系統的最大並發會話連接數(在中間件或web服務器對最大連接數進行限制)。 |
| 應用安全 | 資源控制 | c) 應能夠對單個帳戶的多重並發會話進行限制; | 1)未對單個帳戶的多重並發會話進行限制,允許同一用戶同時多次登錄進行操作。 | 1)對單個帳戶的多重並發會話進行限制,禁止同一用戶同時登錄系統。 |
| 應用安全 | 資源控制 | d) 應能夠對一個時間段內可能的並發會話連接數進行限制; | 1)未提供對一個時間段內可能的並發會話連接數進行限制。 | 1)應用系統對一個時間段內可能的並發會話連接數進行限制(在中間件或web服務器進行限制)。 |
| 應用安全 | 資源控制 | e) 應能夠對一個訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額; | 1)未提供資源限額設置功能。 | 1)提供資源限額設置功能,並能夠對一個訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額(如一個用戶可使用的磁盤空間,一個請求進程占用的CPU或內存等資源)。 |
| 應用安全 | 資源控制 | f) 應能夠對系統服務水平降低到預先規定的最小值進行檢測和報警; | 1)未提供系統服務水平檢測功能。 | 1)能夠對系統服務水平進行檢測; 2)達到設置閾值時能夠進行報警。 |
| 應用安全 | 資源控制 | g) 應提供服務優先級設定功能,並在安裝后根據安全策略設定訪問帳戶或請求進程的優先級,根據優先級分配系統資源。 | 1)系統未提供設置服務優先級設置功能,無法根據優先級分配系統資源。 | 1)系統能夠設置服務優先級,並根據優先級分配系統資源。 |