天融信信息安全等保中心
编号:
测 评 指 导 书
《信息系统安全等级保护基本要求》
基础网络安全-应用安全-第三级
V1.0
天融信信息安全等保中心
天融信信息安全等保中心
1、测评对象 对象名称及IP地址 备注(测评地点及环境等)
2、入场确认 序号 1 2 开始时间
确认内容 测评对象中的关键数据已备份。如果没有备份则不进行测评 测评对象工作正常。如工作异常则不进行测评。 确认签字 3、离场确认 序号 1 结束时间 确认内容 测评工作未对测评对象造成不良影响,测评对象工作正常。 确认签字 天融信信息安全等保中心
序号 类别 测评项 测评实施 访谈: 1)访谈应用系统管理员,询问应用系统的身份标识和鉴别机制采用何种措施实现; 2)登录应用系统,查看是否提示输入用户口令,然后以正确口令登录系统,再以错误口令或空口令重新登录,观察是否成功。 预期结果 1)应用系统使用口令鉴别机制对用户进行身份标识和鉴别; 2)登录时提示输入用户名和口令;以错误口令或空口令登录时提示登录失败,验证了登录控制功能的有效性; 3)应用系统不存在密码为空的用户。 符合情况 a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别; 1 访谈: 1)访谈应用系统管理员,询问应用系统是否采用了两种及两种以上身份鉴别技术的组合来进行身份鉴别(如采用用户名/口令、b) 应对同一用户采用两种或两种以上组合的鉴挑战应答、动态口令、物理设备、生物识别别技术实现用户身份鉴别; 技术中的任意两种组合); 手工检查: 1)通过注册用户,并以一种身份鉴别技术身份鉴别 登录,验证是否可以登录。 访谈: 1)访谈应用系统管理员,询问应用系统采取何种措施防止身份鉴别信息被冒用(如复c) 应提供用户身份标识唯一和鉴别信息复杂度杂性混有大、小写字母、数字和特殊字符,检查功能,保证应用系统中不存在重复用户身口令周期等); 份标识,身份鉴别信息不易被冒用; 手工检查: 1)以弱口令用户注册,验证其用户是否注册成功。 访谈: 1)访谈应用系统管理员,询问应用系统是d) 应提供登录失败处理功能,可采取结束会话、否配备并使用登录失败处理功能(如登录失限制非法登录次数和自动退出等措施; 败次数超过设定值,系统自动退出等),查看是否启用配置; 用户的认证方式选择两种或两种以上组合的鉴别技术,只用一种技术无法认证成功。 1)应用系统配备身份标识(如建立帐号)和鉴别(如口令等)功能;其身份鉴别信息具有不易被冒用的特点,规定字符混有大、小写字母、数字和特殊字符); 2)以不符合复杂度要求和不符合长度要求的口令创建用户时均提示失败。 1)应用系统已启用登陆失败处理、结束会话、限制非法登录次数等措施; 2)当超过系统规定的非法登陆次数登录操作系统时,系统锁定或自动断开连接; 天融信信息安全等保中心
序号 类别 测评项 测评实施 预期结果 符合情况 2 手工检查: 1)应测试主要应用系统,验证其登录失败处理,非法登录次数限制等功能是否有效; 访谈: 1)访谈应用系统管理员,询问应用系统对用户标识在整个生命周期内是否具有唯一性(如UID、用户名或其他信息在系统中是e) 应启用身份鉴别、用户身份标识唯一性检查、1)添加测试账户不会成功; 唯一的,用该标识在整个生命周期内能唯一用户身份鉴别信息复杂度检查以及登录失败处2)系统不存在多人共用一个账户的识别该用户); 理功能,并根据安全策略配置相关参数。 情况。 手工检查: 1)通过删除一个用户再重新注册相同标识的用户,查看能否成功,验证身份标识在整个生命周期内是否具有唯一性; 访谈: 1)访谈应用系统管理员,询问应用系统是否提供访问控制措施,具体措施有哪些,自主访问控制的粒度如何; 应用系统提供访问控制功能模块,其a) 应提供访问控制功能,依据安全策略控制用手工检查: 功能控制用户对文件、数据库表等访户对文件、数据库表等客体的访问; 1)应检查主要应用系统,查看系统是否提问。 供访问控制机制;是否依据安全策略控制用户对客体(如文件和数据库中的数据)的访问; 访问控制 访谈: 1)访谈应用系统管理员,询问应用系统的访问控制功能模块是否根据实际环境设置b) 访问控制的覆盖范围应包括与资源访问相关安全策略; 应用系统的重要文件及目录已根据的主体、客体及它们之间的操作; 手工检查: 用户级别设置了访问控制策略。 1)应测试主要应用系统,可通过用不同权限的用户登录,查看其权限是否受到应用系统的限制。