16 元
下载资源

[企业管理]公安部信息安全等级保护——应用安全测评培训资料

上传人:e****s 文档编号:243386272 上传时间:2024-09-22 格式:PPT 页数:47 大小:1.30MB
返回 下载 相关 举报
[企业管理]公安部信息安全等级保护——应用安全测评培训资料_第1页
第1页 / 共47页
[企业管理]公安部信息安全等级保护——应用安全测评培训资料_第2页
第2页 / 共47页
[企业管理]公安部信息安全等级保护——应用安全测评培训资料_第3页
第3页 / 共47页
点击查看更多>>
资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,信息安全等级测评师培训,应用系统安全测评,1,内容目录,背景介绍,应用测评的特点和方法,主 要 测 评 内 容,结果整理和分析,2,应用安全的形势(一),开发商和用户对应用安全重视程度不够,开发商安全意识普遍淡薄,开发中留有安全隐患,用户普遍对应用安全不重视,系统上线前把关不严,应用系统存在的漏洞较多,3,NIST,的报告显示,超过,90%,的安全漏洞是应用层漏洞,它已经远远超过网络、操作系统和浏览器的漏洞数量,这个比例还有上升的趋势。,3,应用安全的形势(二),针对应用系统的攻击手段越来越多,面临的威胁在不断增大,针对口令的攻击,如口令破解等,非授权获取敏感信息,如信息窃听、系统管理员非授权获取敏感业务数据(如用户的密码等信息)等,针对,WEB,应用的攻击,如跨站脚本攻击、,SQL,注入、缓冲区溢出、,拒绝服务攻击,、改变网页内容等,4,4,指标选取,在,基本要求,中的位置,数据库安全是主机安全的,一个部分,数据库的测评,指标是从“主机安全”和,“数据安全及备份恢复”,中根据数据库的特点映射,得到的。,5,应用系统的指标选取,在,基本要求,中的位置,“应用安全”的所有指标,对于应用平台软件等则从中选择部分指标;,“数据安全及备份恢复”中的部分指标,对于三级信息系统,在应用安全中,主要检查“数据完整性”、“数据保密性”和“备份和恢复”第一和第二项;,应结合管理的要求,如“应根据开发需求检测软件质量”、“应要求开发单位提供软件源代码,并审查软件中可能存在的后门”,加强应用系统的源代码安全性。,6,6,内容目录,背景介绍,应用测评的特点和方法,主 要 测 评 内 容,结果整理和分析,7,应用测评的特点,安全功能和配置检查并重,和数据库、操作系统等成熟产品不同,应用系统现场测评除检查安全配置外,还需验证相关安全功能是否正确,应用测评中不确定因素较多,业务和数据流程不同,需根据业务和数据特点确定范围,应用系统安全漏洞发现困难,很难消除代码级的安全隐患,测评范围较广,分析较为困难,应用系统测评包括应用平台(如,IIS,等)的测评,且和其他层面关联较大,8,应用测评的方法(,1,),通过访谈,了解安全措施的实施情况,9,和其他成熟产品不同,应用系统只有在充分了解其部署情况后,才能明确测评的范围和对象,分析其系统的脆弱性和面临的主要安全威胁,有针对性的进行检查和测试。-右图是一个 支付系统的流程示意图,通过网页和 可以完成冲值、查询等业务。,9,应用测评的方法(,2,),通过检查,查看其是否进行了正确的配置,有的安全功能(如口令长度限制、错误登录尝试次数等)需要在应用系统上进行配置,则查看其是否进行了正确的配置,与安全策略是否一致。,无需进行配置的,则应查看其部署情况是否与访谈一致。,如果条件允许,需进行测试,可通过测试验证安全功能是否正确,配置是否生效。,代码级的安全漏洞在现场查验比较困难,则可进行漏洞扫描和渗透测试。,10,10,内容目录,背景介绍,应用测评的特点和方法,主 要 测 评 内 容,结果整理和分析,11,身份鉴别,要求项(一),应提供专用的登录控制模块对登录用户进行身份标识和鉴别;,应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;,应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;,12,12,身份鉴别,要求项(二),应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;,应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。,13,13,身份鉴别,条款理解,提供专用的登录控制模块对用户身份的合法性进行核实,只有通过验证的用户才能在系统规定的权限内进行操作,这是防止非法入侵最基本的一种保护措施;,三级或三级以上系统要求必须提供两种(两次口令鉴别不属于这种情况)或两种以上组合的鉴别技术进行身份鉴别(,口令,+CA,证书,),在身份鉴别强度上有了更大的提高;,14,14,身份鉴别,条款理解,为每一个登录用户提供唯一的标识,这样应用系统就能对每一个用户的行为进行审计;同时,为了增加非授权用户使用暴力猜测等手段破解用户鉴别信息的难度,应保证用户的鉴别信息具有一定的复杂性,如用户的密码的长度至少为,8,位、密码是字母和数字的组合等,;,应用系统应提供登录失败处理功能,如限制非法登录次数等,登录失败次数应能根据用户根据实际情况进行调整,;,另外,要求应用启用这些功能,并配置不许的参数。,15,15,身份鉴别,检查方法,询问,系统管理员,了解身份鉴别措施的部署和实施情况。,根据了解的情况,,检查,应用系统是否按照策略要求进行了相应的配置,在条件允许的情况下,,验证,功能(包括应用口令暴力破解等测试手段)是否正确。,-,测试应用系统(如首先以正确的密码登录系统,然后再以错误的密码重新登录,查看是否成功),验证其登录控制模块功能是否正确,;,扫描应用系统,检查应用系统是否存在弱口令和空口令用户,;用暴力破解工具对口令进行破解。,16,16,访问控制,要求项(一),应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;,访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;,应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限;,17,17,访问控制,要求项(二),应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系;,应具有对重要信息资源设置敏感标记的功能;,应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。,18,18,访问控制,条款理解,三级系统要求访问控制的粒度达到文件、数据库表级,权限之间具有制约关系(如三权分离),并利用敏感标记控制用户对重要信息资源的操作;,在应用系统中应严格限制默认用户的访问权限,默认用户一般指应用系统的公共帐户或测试帐户,;,应用系统授予帐户所承担任务所需的最小权限,如领导只需进行查询操作,则无需为其分配业务操作权限;同时,该项要求明确规定应在不同帐户之间形成相互制约关系,;,19,19,访问控制,条款理解,敏感标记表示主体,/,客体安全级别和安全范畴的一组信息,通过比较标记来控制是否允许主体对客体的访问,标记不允许其他用户进行修改,包括资源的拥有者,在可信计算基中把敏感标记作为强制访问控制决策的依据,;在三级系统中,要求,应用系统应提供设置敏感标记的功能,通过敏感标记控制用户对重要信息资源的访问。,20,20,访问控制,检查方法,询问,系统管理员,了解访问控制措施的部署和实施情况。,根据了解的情况,,检查,应用系统是否按照策略要求进行了相应的配置,在条件允许的情况下,,验证,功能是否正确。,-,以管理员身份进行审计操作,查看是否成功,;,以审计员身份进行删除,/,增加用户、设定用户权限的操作(也可进行一些其他管理员进行的操作),查看是否成功,。,21,21,安全审计,要求项,应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;,应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录;,审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等;,应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。,22,22,安全审计,条款理解,三级系统强调对每个用户的重要操作进行审计,重要操作一般包括登录,/,退出、改变访问控制策略、增加,/,删除用户、改变用户权限和增加,/,删除,/,查询数据等;,应用系统应对审计进程或功能进行保护,如果处理审计的事务是一个单独的进程,那么应用系统应对审计进程进行保护,不允许非授权用户对进城进行中断;如果审计是一个独立的功能,则应用系统应防止非授权用户关闭审计功能,;,另外,应用系统应对审计记录进行保护。,23,23,安全审计,检查方法,询问,系统管理员,了解安全审计措施的部署和实施情况。,重点检查应用系统是否对每个用户的重要操作进行了审计,同时可通过进行一些操作,(如用户登录,/,退出、改变访问控制策略、增加,/,删除用户、改变用户权限和增加,/,删除,/,查询数据等),,查看应用系统是否进行了正确的审计。,24,24,剩余信息保护,要求项,应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;,应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。,25,25,剩余信息保护,条款理解,该项要求是为了防止某个用户非授权获取其他用户的鉴别信息、文件、目录和数据库记录等资源,应用系统应加强内存和其他资源管理。,检查方法,询问,系统管理员,了解剩余信息保护方面采取的措施。,根据了解的情况,,测试,其采取的措施是否有效,如以某个用户进行操作,操作完成退出系统后系统是否保留有未被删除的文件等。,26,26,通信完整性,要求项,应采用密码技术保证通信过程中数据的完整性。,27,27,通信完整性,条款理解,该项要求强调采取密码技术来保证通信过程中的数据完整性,普通加密技术无法保证密件在传输过程中不被替换,还需利用,Hash,函数(如,MD5,、,SHA,和,MAC,)用于完整性校验,但不能利用,CRC,生成的校验码来进行完整性校验。,检查方法,询问系统管理员,了解通信完整性方面采取的措施。,可通过查看文档或源代码等方法来验证措施是否落实;,如果条件允许,则可设计测试用例,进行测试。,28,28,通信保密性,要求项,在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;,应对通信过程中的,整个报文或会话过程,进行加密。,29,29,通信保密性,条款理解,该项要求强调,整个报文,或,会话,过程进行加密,同时,如果在加密隧道建立之前需要传递密码等信息,则应采取密码技术来保证这些信息的安全。,检查方法,询问,系统管理员,了解通信保密性方面采取的措施。,可通过抓包工具(如,Sniffer pro,)获取通信双方的内容,查看系统是否对通信双方的内容进行了加密。,30,30,抗抵赖,要求项,应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能;,应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。,31,31,抗抵赖,条款理解,该项要求强调应用系统提供抗抵赖措施(如数字签名、流水记录、日志等),从而保证发送和接收方都是真实存在的用户。,检查方法,询问,系统管理员,了解抗抵赖方面采取的措施。,可通过查看文档或源代码等方法来验证措施是否落实。,条件允许,可进行测试,如,通过双方进行通信,查看系统是否,能,提供在请求的情况下为数据原发者提供原发证据,。,32,32,软件容错,要求项,应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;,应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。,33,33,软件容错,条款理解,为了防止,SQL,注入等攻击,软件应对用户输入数据的长度和格式等进行限制。,检查方法,询问系统管理员,了解软件容错方面采取的措施。,可通过查看文档或源代码等方法来验证措施是否落实,并在界面上输入超过长度或不符合要求格式(如,hi or 1=1-,)的数据,验证其功能是否正确。,34,34,资源控制,要求项(一),当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;,应能够对系统的最大并发会话连接数进行限制;,应能够对单个帐户的多重并发会话进行限制;,应能够对一个时间段内可能的并发会话连接数进行限制;,35,35,资源控制,要求项(二),应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额;,应能够对系统服务水平降低到预先规定的最小值进行检测和报警;,应提供服务优先级设定功能,并在安装后根据安全策略设定访问帐户或请求进程的优先级,根据优先级分配系统资源。,36,36,资源控制,条款理解,资源控制是为了保证大多数用户能够正常的使用资源,防止服务中断,应用系统应采取限制最大并发连接数、请求帐户的最大资源限制等措施。,检查方法,询问,系统管理员,了解资源控制措施的部署和实施情况。,根据了解的情况,,检查,应用系统是否配备了相应的功能,在条件允许的情况下,,验证,功能是否正确。,37,37,数据完整性,要求项,应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;,应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施。,38,38,数据完整性,条款理解,该项要求强调不仅要保证,管理数据、鉴别信息和重要业务数据,传输数据的完整性,而且要保证存储过程中的完整性并且在检测到完整性受到破坏时采取恢复措施。,检查方法,询问,系统管理员,了解数据完整性措施部署和实施情况。,根据了解的情况,,检查,应用系统是否配备了相应的功能,在条件允许的情况下,,验证,功能是否正确。,39,39,数据保密性,要求项,应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性;,应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。,40,40,数据保密性,条款理解,该项要求强调不仅要保证,管理数据、鉴别信息和重要业务数据,传输数据的保密性,而且要保证存储过程中的保密性并且在检测到完整性受到破坏时采取恢复措施。,检查方法,询问,系统管理员,了解数据保密性措施部署和实施情况。,根据了解的情况,,检查,应用系统是否配备了相应的功能,在条件允许的情况下,,验证,功能是否正确。,41,41,备份和恢复,要求项,应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放;,应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地。,42,42,备份和恢复,条款理解,该项要求对备份策略进行了明确的要求,即“完全数据备份至少每天一次,备份介质场外存放 ”,并且强调应提供,异地数据备份,功能。,这部分主要检查,文件型,数据的备份和恢复方式。,检查方法,询问,系统管理员,了解备份和恢复方面采取的措施。,根据了解的情况,,检查,相应措施是否落实,如果条件允许,则,验证,其是否有效。,43,43,内容目录,背景介绍,应用测评的特点和方法,主 要 测 评 内 容,结果整理和分析,44,结果整理和分析,结果整理,通过对测评结果的整理,并与预期结果进行比较,初步判定各个应用系统的单项符合情况,在判定时需结合业务和数据流程进行分析,不能从单点结果进行判断。,综合分析,在单项判定后,需要结果其他层面的测评结果进行综合分析,从整体上分析其他层面的安全措施能否弥补应用层面的安全弱点,如并发连接数的限制,在应用系统上很难实现,往往在应用平台(如,IIS,等)上进行配置。,45,45,结果整理和分析,46,序号,类型,描述,1,安全控制间,如果代码安全没有做好,很可能会使应用系统的访问控制被绕过、被旁路。,2,层面间,对于通过网络访问控制、隔离等措施限定在特定区域(物理和网络)范围内才能访问的应用程序,可以适当降低身份鉴别等安全控制的要求,【,网络安全与应用安全,】,。,对只能通过特定主机才能访问的应用程序,可以通过主机系统的身份鉴别等增强其身份鉴别功能,【,主机安全与应用安全,】,。,3,区域间,主要考虑不同区域间存在的安全功能增强、补充和削弱等关系。,4,系统结构,主要考虑信息系统整体结构的安全性和整体安全防范的合理性。,46,谢谢!,47,
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 图纸专区 > 幼儿教育


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!