返回
公安部信息安全等级保护--应用安全测评培训资料

公安部信息安全等级保护--应用安全测评培训资料

ID:42298797

大小:1.84 MB

页数:48页

时间:2019-09-12

公安部信息安全等级保护--应用安全测评培训资料_第1页
公安部信息安全等级保护--应用安全测评培训资料_第2页
公安部信息安全等级保护--应用安全测评培训资料_第3页
公安部信息安全等级保护--应用安全测评培训资料_第4页
公安部信息安全等级保护--应用安全测评培训资料_第5页
资源描述:

《公安部信息安全等级保护--应用安全测评培训资料》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全等级测评师培训应用系统安全测评1内容目录背景介绍应用测评的特点和方法主要测评内容结果整理和分析2应用安全的形势(一)开发商和用户对应用安全重视程度不够开发商安全意识普遍淡薄,开发中留有安全隐患用户普遍对应用安全不重视,系统上线前把关不严应用系统存在的漏洞较多3NIST的报告显示,超过90%的安全漏洞是应用层漏洞,它已经远远超过网络、操作系统和浏览器的漏洞数量,这个比例还有上升的趋势。应用安全的形势(二)针对应用系统的攻击手段越来越多,面临的威胁在不断增大针对口令的攻击,如口令破解等非授权获取

2、敏感信息,如信息窃听、系统管理员非授权获取敏感业务数据(如用户的密码等信息)等针对WEB应用的攻击,如跨站脚本攻击、SQL注入、缓冲区溢出、拒绝服务攻击、改变网页内容等4指标选取在《基本要求》中的位置数据库安全是主机安全的一个部分,数据库的测评指标是从“主机安全”和“数据安全及备份恢复”中根据数据库的特点映射得到的。5应用系统的指标选取在《基本要求》中的位置“应用安全”的所有指标,对于应用平台软件等则从中选择部分指标;“数据安全及备份恢复”中的部分指标,对于三级信息系统,在应用安全中,主要检查“数据

3、完整性”、“数据保密性”和“备份和恢复”第一和第二项;应结合管理的要求,如“应根据开发需求检测软件质量”、“应要求开发单位提供软件源代码,并审查软件中可能存在的后门”,加强应用系统的源代码安全性。6内容目录背景介绍应用测评的特点和方法主要测评内容结果整理和分析7应用测评的特点安全功能和配置检查并重和数据库、操作系统等成熟产品不同,应用系统现场测评除检查安全配置外,还需验证相关安全功能是否正确应用测评中不确定因素较多业务和数据流程不同,需根据业务和数据特点确定范围应用系统安全漏洞发现困难,很难消除代码

4、级的安全隐患测评范围较广,分析较为困难应用系统测评包括应用平台(如IIS等)的测评,且和其他层面关联较大8应用测评的方法(1)通过访谈,了解安全措施的实施情况9和其他成熟产品不同,应用系统只有在充分了解其部署情况后,才能明确测评的范围和对象,分析其系统的脆弱性和面临的主要安全威胁,有针对性的进行检查和测试。--右图是一个手机支付系统的流程示意图,通过网页和手机可以完成冲值、查询等业务。应用测评的方法(2)通过检查,查看其是否进行了正确的配置有的安全功能(如口令长度限制、错误登录尝试次数等)需要在应用

5、系统上进行配置,则查看其是否进行了正确的配置,与安全策略是否一致。无需进行配置的,则应查看其部署情况是否与访谈一致。如果条件允许,需进行测试可通过测试验证安全功能是否正确,配置是否生效。代码级的安全漏洞在现场查验比较困难,则可进行漏洞扫描和渗透测试。10内容目录背景介绍应用测评的特点和方法主要测评内容结果整理和分析11身份鉴别要求项(一)应提供专用的登录控制模块对登录用户进行身份标识和鉴别;应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;应提供用户身份标识唯一和鉴别信息复杂度检查功能,

6、保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;12身份鉴别要求项(二)应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。13身份鉴别条款理解提供专用的登录控制模块对用户身份的合法性进行核实,只有通过验证的用户才能在系统规定的权限内进行操作,这是防止非法入侵最基本的一种保护措施;三级或三级以上系统要求必须提供两种(两次口令鉴别不属于这种情况)或两种

7、以上组合的鉴别技术进行身份鉴别(口令+CA证书),在身份鉴别强度上有了更大的提高;14身份鉴别条款理解为每一个登录用户提供唯一的标识,这样应用系统就能对每一个用户的行为进行审计;同时,为了增加非授权用户使用暴力猜测等手段破解用户鉴别信息的难度,应保证用户的鉴别信息具有一定的复杂性,如用户的密码的长度至少为8位、密码是字母和数字的组合等;应用系统应提供登录失败处理功能,如限制非法登录次数等,登录失败次数应能根据用户根据实际情况进行调整;另外,要求应用启用这些功能,并配置不许的参数。15身份鉴别检查方法

8、询问系统管理员,了解身份鉴别措施的部署和实施情况。根据了解的情况,检查应用系统是否按照策略要求进行了相应的配置,在条件允许的情况下,验证功能(包括应用口令暴力破解等测试手段)是否正确。--测试应用系统(如首先以正确的密码登录系统,然后再以错误的密码重新登录,查看是否成功),验证其登录控制模块功能是否正确;扫描应用系统,检查应用系统是否存在弱口令和空口令用户;用暴力破解工具对口令进行破解。16访问控制要求项(一)应提供访问控制功能,依据安全策略控制用户对文件、数据库表等

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。