二級等保應用檢查項.doc

二級等保應用安全現(xiàn)場檢查項整理說明文檔基于財政信息化項目管理系統(tǒng)現(xiàn)場檢查內(nèi)容進行整理，不能代表其他系統(tǒng)的現(xiàn)場檢查。檢查過程檢查組一人到現(xiàn)場基于二級等保檢查項模板對建設方進行提問，提問內(nèi)容基本不會偏離模板內(nèi)容。注意：對于容易展現(xiàn)的檢查項，檢查組可能會要求建設方進行現(xiàn)場操作演示，因此對于一些容易重現(xiàn)的問題應盡量不要以欺瞞的方式回答。舉例說明：“用戶密碼是否以加密方式存儲”，可以通過查詢數(shù)據(jù)直觀的體現(xiàn)出來，屬于容易重現(xiàn)的檢查項；而“系統(tǒng)傳輸過程中是否對數(shù)據(jù)進行加密”，驗證這個問題則需要通過開發(fā)環(huán)境進行體現(xiàn)，屬于不易重現(xiàn)的檢查項，對于此類檢查項，檢查組人員一般不會要求通過系統(tǒng)進行重現(xiàn)。身份鑒別應提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別；檢查系統(tǒng)是否有登錄環(huán)節(jié)。（一般系統(tǒng)都會有登錄環(huán)節(jié)，不需關心）應提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證應用系統(tǒng)中不存在重復用戶身份標識，身份鑒別信息不易被冒用；檢查登錄時信息是否能夠唯一標示一個用戶。（一般系統(tǒng)都有此限制，不需關心）檢查密碼的復雜度。（二級等保要求密碼長度為8位，并以數(shù)字+字母組合）應提供登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和自動退出等措施；檢查是否有多次登錄失敗的處理機制。（一般都是通過增加登錄失敗計數(shù)器機制實現(xiàn)登錄失敗處理（每次登錄失敗后計數(shù)器+1，當計數(shù)器達到一定數(shù)值時進行失敗處理，當用戶登錄成功后計數(shù)器清零），目前主流的處理方式有兩種：一是鎖定用戶，需要管理員進行解鎖后才可再次使用；二是限制登錄時間，比如10分鐘后才可再次嘗試登錄）應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關參數(shù)。檢查是否可以繞過登錄模塊進入系統(tǒng)（直接在URL中錄入某功能的頁面URL）。（一般情況下業(yè)務系統(tǒng)都會以登錄人的信息來取得相應的業(yè)務功能和業(yè)務數(shù)據(jù)，因此大多數(shù)情況下不登錄是無法正常使用系統(tǒng)功能的。當然，有一個統(tǒng)一的檢查邏輯是最好的，常見的處理手段為檢查session中是否有用戶登錄信息，如無則跳轉到錯誤處理邏輯）訪問控制應提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問；檢查是否有可越權訪問情形；（本次檢查時檢查人員僅提問了登錄后用戶能不能訪問不該其使用的功能，我們回復每個用戶都有功能權限，在登錄后會根據(jù)功能權限僅展示用戶有權限使用的功能。）個人理解：該項應該是檢查用戶是否能夠在系統(tǒng)中通過非常規(guī)手段獲取到用戶受權以外的信息。訪問控制的覆蓋范圍應包括與資源訪問相關的主體、客體及它們之間的操作；檢查系統(tǒng)能否根據(jù)訪問控制規(guī)則正確實施對資源的控制；（未提問，個人理解為系統(tǒng)功能、數(shù)據(jù)權限是否能夠正常工作）檢查訪問控制主體、客體；（未提問，個人理解，控制主體應為具體操作者，本系統(tǒng)中控制主體為用戶；客體為主體能夠操控的內(nèi)容，本系統(tǒng)中客體對應系統(tǒng)功能、業(yè)務數(shù)據(jù)）檢查訪問控制功能是否能夠覆蓋范圍包括與資源訪問相關的主體、客體及它們之間的操作；（個人理解，與之前的檢查項相同，是對系統(tǒng)權限的嚴謹性進行檢查，比如能否通過URL的方式直接訪問無權限的功能）應由授權主體配置訪問控制策略，并嚴格限制默認帳戶的訪問權限；檢查實際授權與權限策略是否一致，無法進行越權操作；（個人理解，同樣是對權限模板的正確性進行檢查）檢查系統(tǒng)是否存在權限不受限制的超級管理員，系統(tǒng)不應該存在不受限的超管；（個人理解，該超級管理員與我們所理解的管理員不太一樣，該超級管理員應指的是不受功能、數(shù)據(jù)權限約束的賬號；而目前大多系統(tǒng)中管理員都是受到功能、數(shù)據(jù)權限約束，除了配給的功能和數(shù)據(jù)權限較大之外，其本質(zhì)與一般用戶并無差別）應授予不同帳戶為完成各自承擔任務所需的最小權限，并在它們之間形成相互制約的關系。檢查系統(tǒng)管理模式是否符合三員管理；（三員管理指將系統(tǒng)管理員的日常管理功能進行拆分；其中：系統(tǒng)管理員主要負責系統(tǒng)的日常運維工作，配給功能包含在系統(tǒng)運行情況監(jiān)控、用戶管理、系統(tǒng)備份恢復等功能；安全管理員：主要負責系統(tǒng)的日常安全管理工作，配給功能包含在資源分配、權限管理等功能；審計員：主要負責根據(jù)日志對管理員的操作行為進行審訂跟蹤、分配和監(jiān)督檢查，配給功能包含在日志查詢、分析等功能。）安全審計應提供覆蓋到每個用戶的安全審計功能，對應用系統(tǒng)重要安全事件進行審計；檢查系統(tǒng)日志管理功能是否涵蓋了系統(tǒng)重要業(yè)務；（要求日志應記錄在數(shù)據(jù)庫中，且除重要業(yè)務操作外，對于登錄、用戶的調(diào)整、授權的變更也需要記錄）應保證無法刪除、修改或覆蓋審計記錄；檢查操作記錄是否數(shù)據(jù)庫存儲，并且是否不能通過應用系統(tǒng)刪除、修改和覆蓋操作日志；（要求日志應記錄在數(shù)據(jù)庫中，且不能通過系統(tǒng)功能對日志進行篡改）審計記錄的內(nèi)容至少應包括事件日期、時間、發(fā)起者信息、類型、描述和結果等；檢查日志記錄內(nèi)容是否包括事件的日期、時間、發(fā)起者信息、類型、描述和結果。（要求日志的內(nèi)容應包含操作時間、操作人、操作事件說明、操作結果等要素）通信完整性應采用校驗碼技術保證通信過程中數(shù)據(jù)的完整性；未檢查，個人理解為應通過一定技術手段來防止數(shù)據(jù)在傳輸過程丟失或被篡改。技術實現(xiàn)：如使用https協(xié)議；或利用MD5碼機制，在數(shù)據(jù)傳輸前利用傳輸數(shù)據(jù)生成MD5碼并與數(shù)據(jù)一同傳輸?shù)浇邮斩耍邮斩私邮盏綌?shù)據(jù)后再次利用數(shù)據(jù)生成MD5碼，并與傳輸前MD5碼進行比較，相同則未丟失或被篡改。（通信不僅是指多個系統(tǒng)間的交互，同一系統(tǒng)間前臺訪問后臺的過程也是一次通信。）通信保密性在通信雙方建立連接之前，應用系統(tǒng)應利用密碼技術進行會話初始化驗證；個人理解為在與其他系統(tǒng)進行交互前應通過密碼或其他安全手段對通信雙方身份進行鑒別。常見有以雙方約定口令的方式進行驗證，更安全的可以利用非對稱加密手段進行校驗。本系統(tǒng)中因沒有與其他系統(tǒng)交互的業(yè)務，因此在檢查時僅提問了使用了哪種網(wǎng)絡協(xié)議（http協(xié)議），以及使用系統(tǒng)前用戶是否需要登錄。應對通信過程中的敏感信息字段進行加密；個人理解為在通信過程（通信不僅是指多個系統(tǒng)間的交互，同一系統(tǒng)間前臺訪問后臺的過程也是一次通信。）中是否對敏感數(shù)據(jù)進行了加密。由于部署網(wǎng)絡、業(yè)務范疇、安全定級(二級)等因素的綜合考慮，本系統(tǒng)中只有用戶密碼為敏感信息。軟件容錯應提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設定要求；檢查系統(tǒng)是否對錄入項進行了控制，比如字段類型、長度等限制；（舉例說明：比如某項數(shù)據(jù)應為數(shù)值型，那么在錄入時就應控制其只可錄入數(shù)值；又如數(shù)據(jù)庫某字段長度為10，那么在錄入時應控制其數(shù)據(jù)長度不應超過10）檢查系統(tǒng)是否對SQL注入攻擊進行了必要的安全處理；（本系統(tǒng)所有SQL語句都使用預編譯(PreparedStatement)的方式進行處理，最大程度上保證系統(tǒng)不會被SQL注入攻擊影響）在故障發(fā)生時，應用系統(tǒng)應能夠繼續(xù)提供一部分功能，確保能夠?qū)嵤┍匾拇胧欢壍缺捎秒p機熱備的方式保障某臺機器發(fā)生故障時應有備用機可以使用。（需要甲方提供硬件支持）資源控制當應用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應，另一方應能夠自動結束會話；檢查系統(tǒng)是否有session超時處理。（中間件都可以配置session超時時間）應能夠?qū)孟到y(tǒng)的最大并發(fā)會話連接數(shù)進行限制；檢查系統(tǒng)是否有最大連接數(shù)限制。（中間件都可以配置最大并發(fā)數(shù)，而JDBC配置可以限制數(shù)據(jù)庫的最大連接數(shù)）應能夠?qū)蝹€帳戶的多重并發(fā)會話進行限制；檢查系統(tǒng)是否限制了單用戶同時多處登錄的情況。（分為拒絕登錄和強制頂替兩種實現(xiàn)方式，兩種方式都是基于在登錄時將登錄信息記錄到application中，之后再通過信息進行判重。但拒絕登錄無法及時獲取用戶退出信息，因此建議使用強制頂替方式實現(xiàn)）數(shù)據(jù)完整性應能夠檢測到鑒別信息和重要業(yè)務數(shù)據(jù)在傳輸過程中完整性受到破壞；同通信完整性數(shù)據(jù)保密性應采用加密或其他保護措施實現(xiàn)鑒別信息的存儲保密性；同通信保密性備份和恢復應能夠?qū)χ匾畔⑦M行備份和恢復；檢查是否定期對數(shù)據(jù)庫進行備份，備份周期是什么。應提供關鍵網(wǎng)絡設備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的可用性；未提問，個人理解是應有備用的硬件設備，當系統(tǒng)硬件出現(xiàn)問題時有備用件可及時更換。（需要甲方儲備）總結根據(jù)本項目現(xiàn)場檢查結果，符合二級等保的系統(tǒng)應具備如下條件：1. 系統(tǒng)具體通過用戶名和密碼登錄系統(tǒng)的功能，用戶的密碼要具備一定強度并且要加密傳輸、存儲，連續(xù)多次登錄失敗后應進行必要的處理以防惡意登錄。2. 系