《信息系统安全等级保护等保测评 应用安全测评.》由会员分享,可在线阅读,更多相关《信息系统安全等级保护等保测评 应用安全测评.(52页珍藏版)》请在金锄头文库上搜索。
1、信息系统安全等级保护 -睿智勤勉和谐 武汉安域信息安全技术有限公司 余少波 博士 地址:湖北武汉东湖开发区武大园路6号 电话:13281151232 电邮:caminopro suansin 车机模式深受手机模式的影响1 内容为王,服务至上2 未来中国TSP,谁主沉浮3 后装市场必然成为主导地位 4 Telematics发展 suansin 应用安全是指对信息系统涉及到的应用系统进 行安全保护。具体关注内容包括应用系统实现 身份鉴别、访问控制、安全审计、剩余信息保 护、通信完整性、通信保密性、抗抵赖、软件 容错和资源控制等功能方面 suansin 序号安全关注点一级二级三级四级 1身份鉴别34
2、55 2安全标记0001 3访问控制2465 4可信路径0002 5安全审计0345 6剩余信息保护0022 7通信完整性11+1+1 8通信保密性022+3 9抗抵赖0022 10软件容错1223 11资源控制0377 合计 7193136 suansin Telematics的产业链(以车厂为主) fee fee fee fee Contents Contents CRM Data Monthly Subscription Mobility Services Wireless Connections Connection Fee Telematics Services 内容采集商内容整合商
3、终端厂商 通信运营商 Telematics 服务提供商 汽车厂商 客户 Telematics发展 suansin 内容目录内容目录 1. 背景介绍 2. 应用测评的特点和方法 3. 主 要 测 评 内 容 4. 结果整理和分析 6 suansin 应用安全的形势(一)应用安全的形势(一) 开发商和用户对应用安全重视程度不够 开发商安全意识普遍淡薄,开发中留有安全隐患 用户普遍对应用安全不重视,系统上线前把关不严 应用系统存在的漏洞较多 7 NIST的报告显示,超过 90%的安全漏洞是应用层 漏洞,它已经远远超过网 络、操作系统和浏览器的 漏洞数量,这个比例还有 上升的趋势。 suansin 应
4、用安全的形势(二)应用安全的形势(二) 针对应用系统的攻击手段越来越多,面临的 威胁在不断增大 针对口令的攻击,如口令破解等 非授权获取敏感信息,如信息窃听、系统管理员非授权获 取敏感业务数据(如用户的密码等信息)等 针对WEB应用的攻击,如跨站脚本攻击、SQL注入、缓冲 区溢出、拒绝服务攻击、改变网页内容等 8 suansin 指标选取指标选取 在基本要求中的位置 数据库安全是主机安全的 一个部分,数据库的测评 指标是从“主机安全”和 “数据安全及备份恢复” 中根据数据库的特点映射 得到的。 9 suansin 应用系统的指标选取应用系统的指标选取 在基本要求中的位置 “应用安全”的所有指标
5、,对于应用平台软件等则从中选择 部分指标; “数据安全及备份恢复”中的部分指标,对于三级信息系统 ,在应用安全中,主要检查“数据完整性”、“数据保密性” 和“备份和恢复”第一和第二项; 应结合管理的要求,如“应根据开发需求检测软件质量”、“ 应要求开发单位提供软件源代码,并审查软件中可能存在 的后门”,加强应用系统的源代码安全性。 10 suansin 内容目录内容目录 1. 背景介绍 2. 应用测评的特点和方法 3. 主 要 测 评 内 容 4. 结果整理和分析 11 suansin 应用测评的特点应用测评的特点 安全功能和配置检查并重 和数据库、操作系统等成熟产品不同,应用系统现场测评 除
6、检查安全配置外,还需验证相关安全功能是否正确 应用测评中不确定因素较多 业务和数据流程不同,需根据业务和数据特点确定范围 应用系统安全漏洞发现困难,很难消除代码级的安全隐患 测评范围较广,分析较为困难 应用系统测评包括应用平台(如IIS等)的测评,且和其他 层面关联较大 12 suansin 应用测评的方法(应用测评的方法(1 1) 通过访谈,了解安全措施的实施情况 13 n和其他成熟产品不同,应用系统只有在 充分了解其部署情况后,才能明确测评 的范围和对象,分析其系统的脆弱性和 面临的主要安全威胁,有针对性的进行 检查和测试。-右图是一个手机支付系 统的流程示意图,通过网页和手机可以 完成冲
7、值、查询等业务。 suansin 应用测评的方法(应用测评的方法(2 2) 通过检查,查看其是否进行了正确的配置 有的安全功能(如口令长度限制、错误登录尝试次数等)需要 在应用系统上进行配置,则查看其是否进行了正确的配置,与 安全策略是否一致。 无需进行配置的,则应查看其部署情况是否与访谈一致。 如果条件允许,需进行测试 可通过测试验证安全功能是否正确,配置是否生效。 代码级的安全漏洞在现场查验比较困难,则可进行漏洞扫描和 渗透测试。 14 suansin 内容目录内容目录 1. 背景介绍 2. 应用测评的特点和方法 3. 主 要 测 评 内 容 4. 结果整理和分析 15 suansin 身
8、份鉴别身份鉴别 要求项(一) 应提供专用的登录控制模块对登录用户进行身份标识和鉴 别; 应对同一用户采用两种或两种以上组合的鉴别技术实现用 户身份鉴别; 应提供用户身份标识唯一和鉴别信息复杂度检查功能,保 证应用系统中不存在重复用户身份标识,身份鉴别信息不 易被冒用; 16 suansin 身份鉴别身份鉴别 要求项(二) 应提供登录失败处理功能,可采取结束会话、限制非法登 录次数和自动退出等措施; 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴 别信息复杂度检查以及登录失败处理功能,并根据安全策 略配置相关参数。 17 suansin 身份鉴别身份鉴别 条款理解 提供专用的登录控制模块对用
9、户身份的合法性进行核实, 只有通过验证的用户才能在系统规定的权限内进行操作, 这是防止非法入侵最基本的一种保护措施; 三级或三级以上系统要求必须提供两种(两次口令鉴别不 属于这种情况)或两种以上组合的鉴别技术进行身份鉴别 (口令+CA证书),在身份鉴别强度上有了更大的提高; 18 suansin 身份鉴别身份鉴别 条款理解 为每一个登录用户提供唯一的标识,这样应用系统就能对 每一个用户的行为进行审计;同时,为了增加非授权用户 使用暴力猜测等手段破解用户鉴别信息的难度,应保证用 户的鉴别信息具有一定的复杂性,如用户的密码的长度至 少为8位、密码是字母和数字的组合等; 应用系统应提供登录失败处理功
10、能,如限制非法登录次数 等,登录失败次数应能根据用户根据实际情况进行调整; 另外,要求应用启用这些功能,并配置不许的参数。 19 suansin 身份鉴别身份鉴别 检查方法 询问系统管理员,了解身份鉴别措施的部署和实施情况。 根据了解的情况,检查应用系统是否按照策略要求进行了 相应的配置,在条件允许的情况下,验证功能(包括应用 口令暴力破解等测试手段)是否正确。-测试应用系统(如 首先以正确的密码登录系统,然后再以错误的密码重新登 录,查看是否成功),验证其登录控制模块功能是否正确 ;扫描应用系统,检查应用系统是否存在弱口令和空口令 用户;用暴力破解工具对口令进行破解。 20 suansin
11、访问控制访问控制 要求项(一) 应提供访问控制功能,依据安全策略控制用户对文件、数 据库表等客体的访问; 访问控制的覆盖范围应包括与资源访问相关的主体、客体 及它们之间的操作; 应由授权主体配置访问控制策略,并严格限制默认帐户的 访问权限; 21 suansin 访问控制访问控制 要求项(二) 应授予不同帐户为完成各自承担任务所需的最小权限,并 在它们之间形成相互制约的关系; 应具有对重要信息资源设置敏感标记的功能; 应依据安全策略严格控制用户对有敏感标记重要信息资源 的操作。 22 suansin 访问控制访问控制 条款理解 三级系统要求访问控制的粒度达到文件、数据库表级,权 限之间具有制约
12、关系(如三权分离),并利用敏感标记控 制用户对重要信息资源的操作; 在应用系统中应严格限制默认用户的访问权限,默认用户 一般指应用系统的公共帐户或测试帐户; 应用系统授予帐户所承担任务所需的最小权限,如领导只 需进行查询操作,则无需为其分配业务操作权限;同时, 该项要求明确规定应在不同帐户之间形成相互制约关系; 23 suansin 访问控制访问控制 条款理解 敏感标记表示主体/客体安全级别和安全范畴的一组信息, 通过比较标记来控制是否允许主体对客体的访问,标记不 允许其他用户进行修改,包括资源的拥有者,在可信计算 基中把敏感标记作为强制访问控制决策的依据;在三级系 统中,要求应用系统应提供设
13、置敏感标记的功能,通过敏 感标记控制用户对重要信息资源的访问。 24 suansin 访问控制访问控制 检查方法 询问系统管理员,了解访问控制措施的部署和实施情况。 根据了解的情况,检查应用系统是否按照策略要求进行了 相应的配置,在条件允许的情况下,验证功能是否正确。- 以管理员身份进行审计操作,查看是否成功;以审计员身 份进行删除/增加用户、设定用户权限的操作(也可进行一 些其他管理员进行的操作),查看是否成功。 25 suansin 安全审计安全审计 要求项 应提供覆盖到每个用户的安全审计功能,对应用系统重要 安全事件进行审计; 应保证无法单独中断审计进程,无法删除、修改或覆盖审 计记录;
14、 审计记录的内容至少应包括事件的日期、时间、发起者信 息、类型、描述和结果等; 应提供对审计记录数据进行统计、查询、分析及生成审计 报表的功能。 26 suansin 安全审计安全审计 条款理解 三级系统强调对每个用户的重要操作进行审计,重要操作 一般包括登录/退出、改变访问控制策略、增加/删除用户、 改变用户权限和增加/删除/查询数据等; 应用系统应对审计进程或功能进行保护,如果处理审计的 事务是一个单独的进程,那么应用系统应对审计进程进行 保护,不允许非授权用户对进城进行中断;如果审计是一 个独立的功能,则应用系统应防止非授权用户关闭审计功 能;另外,应用系统应对审计记录进行保护。 27
15、suansin 安全审计安全审计 检查方法 询问系统管理员,了解安全审计措施的部署和实施情况。 重点检查应用系统是否对每个用户的重要操作进行了审计 ,同时可通过进行一些操作(如用户登录/退出、改变访问 控制策略、增加/删除用户、改变用户权限和增加/删除/查 询数据等),查看应用系统是否进行了正确的审计。 28 suansin 剩余信息保护剩余信息保护 要求项 应保证用户鉴别信息所在的存储空间被释放或再分配给其 他用户前得到完全清除,无论这些信息是存放在硬盘上还 是在内存中; 应保证系统内的文件、目录和数据库记录等资源所在的存 储空间被释放或重新分配给其他用户前得到完全清除。 29 suansi
16、n 剩余信息保护剩余信息保护 条款理解 该项要求是为了防止某个用户非授权获取其他用户的鉴别 信息、文件、目录和数据库记录等资源,应用系统应加强 内存和其他资源管理。 检查方法 询问系统管理员,了解剩余信息保护方面采取的措施。 根据了解的情况,测试其采取的措施是否有效,如以某个 用户进行操作,操作完成退出系统后系统是否保留有未被 删除的文件等。 30 suansin 通信完整性通信完整性 要求项 应采用密码技术保证通信过程中数据的完整性。 31 suansin 通信完整性通信完整性 条款理解 该项要求强调采取密码技术来保证通信过程中的数据完整 性,普通加密技术无法保证密件在传输过程中不被替换, 还需利用Hash函数(如MD5、SHA和MAC)
