二級等保應(yīng)用檢查項.doc

二級等保應(yīng)用安全現(xiàn)場檢查項整理說明文檔基于財政信息化項目管理系統(tǒng)現(xiàn)場檢查內(nèi)容進(jìn)行整理，不能代表其他系統(tǒng)的現(xiàn)場檢查。檢查過程檢查組一人到現(xiàn)場基于二級等保檢查項模板對建設(shè)方進(jìn)行提問，提問內(nèi)容基本不會偏離模板內(nèi)容。注意：對于容易展現(xiàn)的檢查項，檢查組可能會要求建設(shè)方進(jìn)行現(xiàn)場操作演示，因此對于一些容易重現(xiàn)的問題應(yīng)盡量不要以欺瞞的方式回答。舉例說明：“用戶密碼是否以加密方式存儲”，可以通過查詢數(shù)據(jù)直觀的體現(xiàn)出來，屬于容易重現(xiàn)的檢查項；而“系統(tǒng)傳輸過程中是否對數(shù)據(jù)進(jìn)行加密”，驗證這個問題則需要通過開發(fā)環(huán)境進(jìn)行體現(xiàn)，屬于不易重現(xiàn)的檢查項，對于此類檢查項，檢查組人員一般不會要求通過系統(tǒng)進(jìn)行重現(xiàn)。身份鑒別應(yīng)提供專用的登錄控制模塊對登錄用戶進(jìn)行身份標(biāo)識和鑒別；檢查系統(tǒng)是否有登錄環(huán)節(jié)。（一般系統(tǒng)都會有登錄環(huán)節(jié)，不需關(guān)心）應(yīng)提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識，身份鑒別信息不易被冒用；檢查登錄時信息是否能夠唯一標(biāo)示一個用戶。（一般系統(tǒng)都有此限制，不需關(guān)心）檢查密碼的復(fù)雜度。（二級等保要求密碼長度為8位，并以數(shù)字+字母組合）應(yīng)提供登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；檢查是否有多次登錄失敗的處理機(jī)制。（一般都是通過增加登錄失敗計數(shù)器機(jī)制實現(xiàn)登錄失敗處理（每次登錄失敗后計數(shù)器+1，當(dāng)計數(shù)器達(dá)到一定數(shù)值時進(jìn)行失敗處理，當(dāng)用戶登錄成功后計數(shù)器清零），目前主流的處理方式有兩種：一是鎖定用戶，需要管理員進(jìn)行解鎖后才可再次使用；二是限制登錄時間，比如10分鐘后才可再次嘗試登錄）應(yīng)啟用身份鑒別、用戶身份標(biāo)識唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。檢查是否可以繞過登錄模塊進(jìn)入系統(tǒng)（直接在URL中錄入某功能的頁面URL）。（一般情況下業(yè)務(wù)系統(tǒng)都會以登錄人的信息來取得相應(yīng)的業(yè)務(wù)功能和業(yè)務(wù)數(shù)據(jù)，因此大多數(shù)情況下不登錄是無法正常使用系統(tǒng)功能的。當(dāng)然，有一個統(tǒng)一的檢查邏輯是最好的，常見的處理手段為檢查session中是否有用戶登錄信息，如無則跳轉(zhuǎn)到錯誤處理邏輯）訪問控制應(yīng)提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問；檢查是否有可越權(quán)訪問情形；（本次檢查時檢查人員僅提問了登錄后用戶能不能訪問不該其使用的功能，我們回復(fù)每個用戶都有功能權(quán)限，在登錄后會根據(jù)功能權(quán)限僅展示用戶有權(quán)限使用的功能。）個人理解：該項應(yīng)該是檢查用戶是否能夠在系統(tǒng)中通過非常規(guī)手段獲取到用戶受權(quán)以外的信息。訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作；檢查系統(tǒng)能否根據(jù)訪問控制規(guī)則正確實施對資源的控制；（未提問，個人理解為系統(tǒng)功能、數(shù)據(jù)權(quán)限是否能夠正常工作）檢查訪問控制主體、客體；（未提問，個人理解，控制主體應(yīng)為具體操作者，本系統(tǒng)中控制主體為用戶；客體為主體能夠操控的內(nèi)容，本系統(tǒng)中客體對應(yīng)系統(tǒng)功能、業(yè)務(wù)數(shù)據(jù)）檢查訪問控制功能是否能夠覆蓋范圍包括與資源訪問相關(guān)的主體、客體及它們之間的操作；（個人理解，與之前的檢查項相同，是對系統(tǒng)權(quán)限的嚴(yán)謹(jǐn)性進(jìn)行檢查，比如能否通過URL的方式直接訪問無權(quán)限的功能）應(yīng)由授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限；檢查實際授權(quán)與權(quán)限策略是否一致，無法進(jìn)行越權(quán)操作；（個人理解，同樣是對權(quán)限模板的正確性進(jìn)行檢查）檢查系統(tǒng)是否存在權(quán)限不受限制的超級管理員，系統(tǒng)不應(yīng)該存在不受限的超管；（個人理解，該超級管理員與我們所理解的管理員不太一樣，該超級管理員應(yīng)指的是不受功能、數(shù)據(jù)權(quán)限約束的賬號；而目前大多系統(tǒng)中管理員都是受到功能、數(shù)據(jù)權(quán)限約束，除了配給的功能和數(shù)據(jù)權(quán)限較大之外，其本質(zhì)與一般用戶并無差別）應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系。檢查系統(tǒng)管理模式是否符合三員管理；（三員管理指將系統(tǒng)管理員的日常管理功能進(jìn)行拆分；其中：系統(tǒng)管理員主要負(fù)責(zé)系統(tǒng)的日常運(yùn)維工作，配給功能包含在系統(tǒng)運(yùn)行情況監(jiān)控、用戶管理、系統(tǒng)備份恢復(fù)等功能；安全管理員：主要負(fù)責(zé)系統(tǒng)的日常安全管理工作，配給功能包含在資源分配、權(quán)限管理等功能；審計員：主要負(fù)責(zé)根據(jù)日志對管理員的操作行為進(jìn)行審訂跟蹤、分配和監(jiān)督檢查，配給功能包含在日志查詢、分析等功能。）安全審計應(yīng)提供覆蓋到每個用戶的安全審計功能，對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計；檢查系統(tǒng)日志管理功能是否涵蓋了系統(tǒng)重要業(yè)務(wù)；（要求日志應(yīng)記錄在數(shù)據(jù)庫中，且除重要業(yè)務(wù)操作外，對于登錄、用戶的調(diào)整、授權(quán)的變更也需要記錄）應(yīng)保證無法刪除、修改或覆蓋審計記錄；檢查操作記錄是否數(shù)據(jù)庫存儲，并且是否不能通過應(yīng)用系統(tǒng)刪除、修改和覆蓋操作日志；（要求日志應(yīng)記錄在數(shù)據(jù)庫中，且不能通過系統(tǒng)功能對日志進(jìn)行篡改）審計記錄的內(nèi)容至少應(yīng)包括事件日期、時間、發(fā)起者信息、類型、描述和結(jié)果等；檢查日志記錄內(nèi)容是否包括事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果。（要求日志的內(nèi)容應(yīng)包含操作時間、操作人、操作事件說明、操作結(jié)果等要素）通信完整性應(yīng)采用校驗碼技術(shù)保證通信過程中數(shù)據(jù)的完整性；未檢查，個人理解為應(yīng)通過一定技術(shù)手段來防止數(shù)據(jù)在傳輸過程丟失或被篡改。技術(shù)實現(xiàn)：如使用https協(xié)議；或利用MD5碼機(jī)制，在數(shù)據(jù)傳輸前利用傳輸數(shù)據(jù)生成MD5碼并與數(shù)據(jù)一同傳輸?shù)浇邮斩耍邮斩私邮盏綌?shù)據(jù)后再次利用數(shù)據(jù)生成MD5碼，并與傳輸前MD5碼進(jìn)行比較，相同則未丟失或被篡改。（通信不僅是指多個系統(tǒng)間的交互，同一系統(tǒng)間前臺訪問后臺的過程也是一次通信。）通信保密性在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會話初始化驗證；個人理解為在與其他系統(tǒng)進(jìn)行交互前應(yīng)通過密碼或其他安全手段對通信雙方身份進(jìn)行鑒別。常見有以雙方約定口令的方式進(jìn)行驗證，更安全的可以利用非對稱加密手段進(jìn)行校驗。本系統(tǒng)中因沒有與其他系統(tǒng)交互的業(yè)務(wù)，因此在檢查時僅提問了使用了哪種網(wǎng)絡(luò)協(xié)議（http協(xié)議），以及使用系統(tǒng)前用戶是否需要登錄。應(yīng)對通信過程中的敏感信息字段進(jìn)行加密；個人理解為在通信過程（通信不僅是指多個系統(tǒng)間的交互，同一系統(tǒng)間前臺訪問后臺的過程也是一次通信。）中是否對敏感數(shù)據(jù)進(jìn)行了加密。由于部署網(wǎng)絡(luò)、業(yè)務(wù)范疇、安全定級(二級)等因素的綜合考慮，本系統(tǒng)中只有用戶密碼為敏感信息。軟件容錯應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求；檢查系統(tǒng)是否對錄入項進(jìn)行了控制，比如字段類型、長度等限制；（舉例說明：比如某項數(shù)據(jù)應(yīng)為數(shù)值型，那么在錄入時就應(yīng)控制其只可錄入數(shù)值；又如數(shù)據(jù)庫某字段長度為10，那么在錄入時應(yīng)控制其數(shù)據(jù)長度不應(yīng)超過10）檢查系統(tǒng)是否對SQL注入攻擊進(jìn)行了必要的安全處理；（本系統(tǒng)所有SQL語句都使用預(yù)編譯(PreparedStatement)的方式進(jìn)行處理，最大程度上保證系統(tǒng)不會被SQL注入攻擊影響）在故障發(fā)生時，應(yīng)用系統(tǒng)應(yīng)能夠繼續(xù)提供一部分功能，確保能夠?qū)嵤┍匾拇胧?；二級等保?yīng)采用雙機(jī)熱備的方式保障某臺機(jī)器發(fā)生故障時應(yīng)有備用機(jī)可以使用。（需要甲方提供硬件支持）資源控制當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動結(jié)束會話；檢查系統(tǒng)是否有session超時處理。（中間件都可以配置session超時時間）應(yīng)能夠?qū)?yīng)用系統(tǒng)的最大并發(fā)會話連接數(shù)進(jìn)行限制；檢查系統(tǒng)是否有最大連接數(shù)限制。（中間件都可以配置最大并發(fā)數(shù)，而JDBC配置可以限制數(shù)據(jù)庫的最大連接數(shù)）應(yīng)能夠?qū)蝹€帳戶的多重并發(fā)會話進(jìn)行限制；檢查系統(tǒng)是否限制了單用戶同時多處登錄的情況。（分為拒絕登錄和強(qiáng)制頂替兩種實現(xiàn)方式，兩種方式都是基于在登錄時將登錄信息記錄到application中，之后再通過信息進(jìn)行判重。但拒絕登錄無法及時獲取用戶退出信息，因此建議使用強(qiáng)制頂替方式實現(xiàn)）數(shù)據(jù)完整性應(yīng)能夠檢測到鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞；同通信完整性數(shù)據(jù)保密性應(yīng)采用加密或其他保護(hù)措施實現(xiàn)鑒別信息的存儲保密性；同通信保密性備份和恢復(fù)應(yīng)能夠?qū)χ匾畔⑦M(jìn)行備份和恢復(fù)；檢查是否定期對數(shù)據(jù)庫進(jìn)行備份，備份周期是什么。應(yīng)提供關(guān)鍵網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的可用性；未提問，個人理解是應(yīng)有備用的硬件設(shè)備，當(dāng)系統(tǒng)硬件出現(xiàn)問題時有備用件可及時更換。（需要甲方儲備）總結(jié)根據(jù)本項目現(xiàn)場檢查結(jié)果，符合二級等保的系統(tǒng)應(yīng)具備如下條件：1. 系統(tǒng)具體通過用戶名和密碼登錄系統(tǒng)的功能，用戶的密碼要具備一定強(qiáng)度并且要加密傳輸、存儲，連續(xù)多次登錄失敗后應(yīng)進(jìn)行必要的處理以防惡意登錄。2. 系