應用系統
控制點
2.
訪問控制
在應用系統中實施訪問控制的目的是保證應用系統受控、合法地被使用。用戶只能根據自己的權限來訪問應用系統,不得越權訪問。
a)
安全要求:應對登錄的用戶分配賬戶和權限。
要求解讀:為應用系統配置訪問控制策略的目的是保證應用系統被合法地使用。用戶只能根據管理員分配的權限來訪問應用系統的相應功能,不得越權訪問。必須對登錄系統的用戶進行賬號和權限的分配。
檢查方法
1.詢問系統管理員,了解系統是否為登錄的用戶分配了賬戶和權限。
2.以不同角色的用戶身份登錄系統,驗證用戶權限分配情況。
3.嘗試以登錄用戶的身份訪問未授權的功能,查看訪問控制策略是否已經生效。
期望結果
1.系統為登錄的每一個用戶分配了賬戶和權限。
2.系統為不同類別角色的用戶分配了不同的功能權限。
3.通過菜單猜測等方式進行測試,登錄用戶無法訪問未授權的功能。
b)
安全要求:應重命名或刪除默認賬戶,修改默認賬戶的默認口令。
要求解讀:應用系統正式上線后,需要對默認賬戶進行重命名或刪除,並對默認賬戶的默認口令進行修改。默認賬戶一般指應用系統的公共賬戶、測試賬戶或權限不受限制的超級管理賬戶等。
檢查方法
1.詢問系統管理員,了解系統中是否存在默認賬戶。
2.使用默認口令登錄默認賬戶,查看默認賬戶默認口令是否已經修改。
期望結果
1.系統內不存在默認賬戶。
2.若系統內存在默認賬戶,則其默認口令已經修改。
c)
安全要求:應及時刪除或停用多余的、過期的賬戶,避免共享賬戶的存在。
要求解讀:應用系統的管理員要及時將應用系統中多余的、過期的賬戶刪除或停用,同時,要避免多人共用同一賬戶的情況出現。
檢查方法
1.訪談系統管理員,了解系統如何處理多余的、過期的賬戶。
2.核查數據庫的用戶表中用戶的狀態標識。若系統內存在過期的賬戶,則嘗試使用過期的賬戶登錄系統。
3.核查管理員用戶與賬戶之間是否一一對應。
期望結果
1.系統內多余的、過期的賬戶已經被停用或刪除。
2.無法使用已停用的賬戶登錄系統。
3.管理員用戶與賬戶之間一一對應,不存在共享賬戶的情況。
d)
安全要求:應授予管理用戶所需的最小權限,實現管理用戶的權限分離。
要求解讀:應用系統應僅授予管理賬戶完成其承擔任務所需的最小權限。例如,管理用戶僅需具備相關的管理操作權限,無須為其分配業務操作權限。同時,管理用戶應實現權限分離。例如,管理員具備系統管理、用戶創建與刪除、角色創建與刪除等功能權限,安全員具備安全參數配置、用戶權限分配等功能權限,審計員具備日志查看等功能權限。
檢查方法
1.詢問系統管理員,了解該系統的所有管理用戶是否只擁有完成自己承擔任務所需的最小權限,且管理用戶權限根據三權分立原則進行授權。
2.抽取一個用戶,詢問並了解該用戶的職責。登錄應用系統,查看該用戶的實際權限是否與其職責相符,是否為其承擔任務所需的最小權限。
3.以不同級別的管理用戶身份登錄,查看管理用戶之間是否具有相互制約的關系,例如管理員不能審計、審計員不能管理、安全員不能審計和管理等。
期望結果
1.系統中的所有管理用戶只擁有完成自己承擔任務所需的最小權限,所有管理用戶均不具備業務操作權限,且管理用戶分為管理員、安全員和審計員。
2.所抽取用戶的實際權限與其職責相符,為完成其承擔任務所需的最小權限。
3.不同管理用戶相互之間具有相互制約的關系,例如管理員不能審計、審計員不能管理、安全員不能審計和管理等。
e)
安全要求:應由授權主體配置訪問控制策略,訪問控制策略規定體對客體的訪問規則。
要求解讀:應用系統的訪問控制策略應由授權主體(例如人員)進行配置,非授權主體不得更改訪問控制策略,且訪問控制策略的覆蓋范圍應包括所有主體和客體及它們之間的操作。
檢查方法
1.以管理用戶身份登錄,訪問權限管理功能,查看訪問控制策略。
2.以非管理用戶登錄,訪問權限管理功能,查看越權訪問情形。
期望結果
1.管理用戶負責配置訪問控制策略。管理用戶為賬戶分配不同的角色,每個角色分配不同的功能權限。當某個賬戶與角色關聯時,該賬戶具備與角色相關的功能操作。
2.非管理用戶不能訪問與權限管理相關的功能。
f)
安全要求:訪問控制的粒度應達到主體為用戶級或進程級,客體為文件、數據庫表級。
要求解讀:此項明確了應用系統訪問控制粒度方面的要求。應用系統的訪問控制主體為用戶或進程,客體為功能權限所對應的文件、數據庫表和表中的記錄或字段。
檢查方法
核查並測試訪問控制策略的控制粒度是否達到主體為用戶級或進程級,客體為文件、數據庫表、記錄或字段級。
期望結果
訪問控制策略的控制粒度,主體為登錄賬戶,客體為功能權限及功能權限關聯的數據庫表。
g)
安全要求:應對重要主體和客體設置安全標記,並控制主體對有安全標記信息資源的訪問。
要求解讀:安全標記是表示主體/客體安全級別和安全范疇的一組信息。可以通過比較安全標記來控制主體對客體的訪問。安全標記不允許其他用戶修改,包括資源的擁有者。
應用系統應提供設置安全標記的功能,通過安全標記控制用戶對標記信息資源的訪問。重要主體指系統中的管理用戶,重要客體指系統中的鑒別數據、重要業務數據、個人信息及敏感數據等。
檢查方法
1.核查應用系統是否依據安全策略對重要主體和重要客體設置了安全標記。
2.測試驗證依據安全標記是否能實現主體對客體的強制訪問控制。
期望結果
1.應用系統依據安全策略對重要賬戶和重要信息設置了安全標記。
2.應用系統依據安全標記控制賬戶對有安全標記的信息資源的訪問。