金融行业三级信息系统应用安全测评指导书文档格式.docx
《金融行业三级信息系统应用安全测评指导书文档格式.docx》由会员分享,可在线阅读,更多相关《金融行业三级信息系统应用安全测评指导书文档格式.docx(19页珍藏版)》请在冰豆网上搜索。
要求项
身份鉴别
a)
等保要求
应提供专用的登录控制模块对登录用户进行身份标识和鉴别。
测评方法
1)询问系统管理员,该系统是否提供专用的登录控制模块对登录的用户进行身份标识和鉴别,采用何种方式对用户进行身份标识和鉴别?
2)检查应用系统,身份标识和鉴别的方式是否与管理员回答的一致。
3)以某注册用户身份登录系统,查看登录是否成功;
以非法用户身份登录系统,查看登录是否成功。
序号
软件名称
测评结果
符合情况
1
2
3
b)
应对同一用户的关键操作采用两种或两种以上组合的鉴别技术实现用户身份鉴别;
如使用磁卡、IC卡、动态密码卡、动态口令设备、手机短信动态密码、指纹识别等方式加强鉴别。
1)询问系统管理员,该系统是否采用了两个及两个以上身份鉴别技术的组合来进行身份鉴别
2)如果是,查看身份鉴别技术是什么?
是否与回答一致
c)
应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用。
1)询问系统管理员,该系统的用户身份标识是否唯一。
采取了什么措施防止身份鉴别信息被冒用。
2)检查总体规划/设计文档,查看其是否有系统采取了唯一标识的说明。
查看其身份鉴别信息是否具有不易被冒用的特点。
3)询问系统管理员,该系统是否有专门的设置保证用户身份鉴别信息不易被冒用,如果应用系统采用口令进行身份鉴别,则查看是否有选项或设置强制要求口令长度、复杂度、定期修改等。
4)如果应用系统式以用户名来保证用户身份标识的唯一性,则以已有的用户名重新注册,测试系统是否禁止该操作。
5)扫描应用系统,测试其鉴别信息复杂度检查功能,检查系统是否不允许存在弱口令、空口令等。
d)
应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。
1)询问系统管理员,该系统是否具有登录失败处理的功能(如结束会话、限制非法登录次数,当登录连接超时,自动退出等),是如何进行处理的?
2)如果有登录失败处理设置选项或模块,查看系统是否设置或选中了该功能。
e)
应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。
1)询问系统管理员,该系统的身份鉴别、身份标识唯一性检查、鉴别信息复杂度检查以及登录失败处理功能是否有专门的模块或选项,是否有相关参数需要配置。
2)如果有参数需要配置,则查看实际配置情况,是否已经启用上述功能。
f)
应用软件应能在指定的闲置时间间隔到期后,自动锁定客户端的使用。
(F3)
检测应用软件客户端在指定闲置时间到期后是否自动锁定。
g)
对于系统自动分配或者预设的强度较弱的初始密码,系统应强制用户首次登录时修改初始密码。
应测评系统初始密码是否在首次登录时被要求强制修改。
h)
修改密码时,不允许新设定的密码与旧密码相同。
1)询问系统管理员,该系统是否提供访问控制功能,访问控制策略是什么?
访问控制的粒度是否达到文件、数据库表?
2)检查应用系统的访问控制功能和策略配置是否与管理员回答的一致。
3)以某一用户身份登录系统,依据安全策略对客体进行访问,测试是否成功。
该用户不依据安全策略对客体进行访问,测试是否成功。
访问控制
应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问。
访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作。
1)访谈系统管理员,询问系统访问控制策略是否覆盖到与信息安全直接相关的主体、客体及它们之间的操作?
2)检查应用系统的访问控制策略是否覆盖到与信息安全直接相关的所有主体、客体及它们之间的操作。
应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限。
1)询问系统管理员,该系统是否有由授权主体配置访问控制策略的功能。
2)如果系统有由授权主体配置访问控制策略的功能,则以该授权主体用户登录系统,查看某特定用户的权限。
以该用户身份登录系统,进行在权限范围内和权限范围外的一些操作,查看是否成功。
3)以该授权主体用户登录系统,修改上述特定用户的权限。
以该用户身份登录系统,查看该用户的权限是否与刚修改过的权限保持一致,验证用户权限管理功能是否有效。
4)询问系统管理员,该系统是否有默认用户,如果有,是否限制了默认用户的访问权限。
5)如果有默认帐户,以默认帐户(默认密码)登录系统,并进行合法及非法操作,测试系统是否对默认帐户访问权限进行了限制。
应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。
1)访谈系统管理员,询问系统所有帐户是否只拥有完成自己承担任务所需的最小权限,相互之间是否形成相互制约关系。
2)以拥有其他权限的用户身份登录,查看其权限是否受到限制
应有生产系统关键账户与权限的关系表。
检查是否建立账户权限关系表,是否明确说明账户类别以及其具有的权限范围。
宜具有对重要信息资源设置敏感标记的功能。
检查目标系统,查看系统是否具有对重要信息资源设置敏感标记的功能?
如果有,则验证该功能是否有效。
宜依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
检查目标系统,如果具有对重要信息资源设置敏感标记的功能,则查看系统是否依据安全策略控制用户对有敏感标记重要信息资源的操作。
安全审计
应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计。
1)访谈安全审计员,询问是否有安全审计功能,对事件进行审计的选择要求和策略是什么。
2)检查应用系统的审计策略(审计记录),查看审计策略(或记录)是否覆盖到每个用户。
都对哪些安全事件进行审计。
3)多次以任意用户身份登录系统,进行一些操作,包括重要的安全相关操作或事件(如用户标识与鉴别、自主访问控制的所有操作记录(如用系统管理员身份改变用户权限,增加或删除用户),用户的行为(如删除数据、多次登录失败等)。
4)用审计人员的身份登录系统,查看系统对上述用户的重要操作或事件是否进行审计。
应保证无法单独中断审计进程,不提供删除、修改或覆盖审计记录的功能。
1)访谈安全审计员,询问应用系统对审计日志的处理方式有哪些。
2)以普通用户身份试图删除、修改或覆盖自身的审计记录,查看能否成功。
试图删除、修改其他人的审计记录,查看能否成功。
3)如果审计记录能够导入,则导出审计记录并进行修改后导入系统,查看能否覆盖以前的审计记录。
审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等,并定期备份审计记录,保存时间不少于半年。
以审计员身份登录系统,检查审计记录内容是否包括事件发生的日期、时间、发起者信息、事件类型、事件相关描述信息、事件的结果等。
应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。
1)检查应用系统,查看其是否为授权用户浏览和分析审计数据提供专门的审计工具(如对审计记录进行分类、排序、查询、统计、分析和组合查询等)。
2)检查应用系统是否能够生成审计报表。
对于从互联网客户端登陆的应用系统,应在每次用户登录时提供用户上一次成功登录的日期、时间、方法、位置等信息,以便用户及时发现可能的问题。
检查客户端登录时是否可以提供户上一次成功登录的日期、时间、方法、位置、错误登录等信息。
剩余信息保护
应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中。
访谈系统管理员,询问系统是否采取措施
升级会员 