概述
越来越多的企业用户已将核心业务系统转移到网络上,Web浏览器成为业 务系统的窗口,应用系统面临更多的安全威胁;并且由于各种原因使得其 存在较多的安全漏洞。
在此背景下,如何保障企业的应用安全,尤其是Web应用安全成为新形势下信息安全保障的关键所在。目前,应用层漏洞 也是层出不穷,已经远远超过网络、操作系统和浏览器的漏洞数量,且这 个比例还有上升的趋势。
针对应用系统的攻击手段越来越多
常见攻击手段,如口令破解、信息窃听、绕过访问控制、后门攻击等针对WEB应用的攻击,如跨站脚本攻击、 SQL注入、缓冲区溢出、拒绝 服务攻击等
测评方法********通过访谈,了解安全措施的实施情况
和其他成熟产品不同,应用系统只有在充分了解其部署情况和业务流程后, 才能明确测评的范围和对象,分析其系统的脆弱性和面临的主要安全威胁, 有针对性的进行测评。
测评方法
通过检查,查看其是否进行了正确的配置
有的安全功能(如口令长度限制、错误登录尝试次数等) 需要在应用系统上进行 配置,则查看其是否进行了正确的配置,与安全策略是否一致。
无需进行配置的,则应查看其部署情况是否与访谈一致。
如果条件允许, 需进行测试
可通过测试验证安全功能是否正确,配置是否生效。
代码级的安全漏洞在现场查验比较困难,则可进行漏洞扫描和渗透测试 ,如果条件允许,则可进行代码白盒测试。
安全计算环境-应用系统
身份鉴别
a )应对登录的用户进行身份标识和鉴别,身份标识具有唯一性, 身份 鉴别信息具有复杂度要求并定期更换。
对用户进行身份鉴别是防止非法入侵最基本的一种保护措施, 本条款要 求应用系统必须对登录系统的用户进行身份的合法性进行核实, 并为每一个 登录用户提供身份标识,且身份标识具有唯一性, 以便系统对用户操作行为 进行审计;同时,为了增加非授权用户使用暴力猜测等手段破解用户鉴别信 息的难度,应保证用户的鉴别信息具有一定的复杂性,从而使身份鉴别信息 不易被冒用和破解,如用户登录口令的长度至少为8位、需要强制由字母、
数字和符号混合组成,且提供口令更换周期等限制(90天或者三个月) 。
为了防止非授权用户对应用系统用户的身份鉴别信息进行暴力猜测, 本项条款要求应用系统应提供登录失败处理功能, 如限制非法登录次数 等,登录失败次数应能根据用户实际情况进行调整;并且要求应用系统 配置并启用登录连接超时及自动退出功能。
b )应具有登录失败处理功能,应配置并启用结束会话、限制非法登录 次数和当登录连接超时自动退出等相关措施。
c )当进行远程管理时,应采取必要措施防止鉴别信息 在网络传输过程 中被窃昕。
为了防止非授权用户获取鉴别信息,应核查是否采用加密等安全方 式对系统进行远程管理,防止鉴别信息在网络传输过程中被窃听。
d )应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术 对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
本条款要求应用系统采取两种或两种以上组合的鉴别技术来实现身份 鉴别。在这里,两种或两种以上组合鉴别技术是指同时使用不同种类的鉴 别技术对应用系统的用户进行身份鉴别,且其中一种鉴别技术至少应使用 密码技术来实现,这样在很大程度上增加了非授权用户对身份鉴别信息进 行攻击的难度,更有效的防止非法入侵。对应用系统测评时,双因素登录 重点针对于系统内的管理用户。
访问控制
a )应对登录的用户分配账户和权限。
应用系统的访问控制功能是为了保证应用系统被合法地使用,用 户只能根据管理员分配的权限来访问应用系统相应的功能,不得越 权访问。本项条款要求必须对登录系统的用户进行账号和权限的分配。
b )应重命名或删除默认账户,修改默认账户的默认口令。
应用系统正式上线后,需要对默认账户进行重命名或删除,并对默 认账户的默认口令进行修改,默认用户一般指应用系统的公共账户、测 试账户或权限不受限制的超级管理账户等。
c )应及时删除或停用多余的、过期的账户, 避免共享账户的存在。
应用系统的管理员要及时将应用系统中多余的、过期的账户删除或停 用;同时要避免多人共用同一账户的情况出现。
d) 应授予管理用户所需的最小权限,实现管理用户的权限分离。
本项条款要求应用系统授予管理账户为完成承担任务所需的最小权限, 如管理用户仅需具备相关的管理操作,则无需为其分配业务操作的权限; 同时,管理用户应实现权限分离,如管理员具备系统管理、用户创建与 删除、角色创建与删除等功能权限; 安全员具备安全参数配置、用户权 限分配等功能权限;审计员具备日志查看等功能权限。
e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访 问规则。
本项条款要求应用系统的访问控制策略应由授权主体(如人员)进行 配置,非授权主体不得更改访问控制策略, 且访问控制策略的覆盖范围 应包括所有主体和客体以及它们之间的操作。
f) 访问控制的粒度应达到主体为用户级或进程级, 客体为文件、数据库 表级。
本项条款明确了应用系统的访问控制粒度,主体为用户或进程,客体 为功能权限对应的文件和数据库表以及表中的记录或字段。
g) 应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源 的访问。
安全标记表示主体/客体安全级别和安全范畴的一组信息, 通过比较标 记来控制是否允许主体对客体的访问,标记不允许其他用户进行修改, 包 括资源的拥有者。本项条款要求应用系统应提供设置安全标记的功能, 通 过安全标记控制用户对标记信息资源的访问。重要主体指系统中的管理账 户,重要客体指系统中鉴别数据、重要业务数据、个人信息以及敏感数据 等。
安全审计
a) 应启用安全审计功能,审计覆盖到每个用户, 对重要的用户行 为和重要 安全事件进行审计。
本条款要求应用系统必须对应用系统所有用户的重要操作(如用户登录 和重要业务操作等)进行审计,并且对系统异常等事件进行审计。
b) 审计记录应包括事件的日期和时间、用户、事件类 型、事件是否成功及 其他与审计相关的信息。
本条款要求审计记录至少包括事件日期、时间、发起者信息(如用户名、 IP地址等)、类型、描述和结果(是否成功等)等内容。
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆 盖等。
本条款要求应用系统应对审计记录进行保护, 定期做好数据备份。另 外,应用系统应防止非授权删除、修改或覆盖审计记录。
d) 应对审计进程进行保护,防止未经授权的中断。
本条款要求应用系统应对审计进程或功能进行保护,如果处理审计 的事务是一个单独的进程,那么应用系统应对审计进程进行保护,不允 许非授权用户对进程进行中断;如果审计是一个独立的功能,则应用系 统应防止非授权用户关闭审计功能。