二级04应用安全测评记录V20概要.doc
《二级04应用安全测评记录V20概要.doc》由会员分享,可在线阅读,更多相关《二级04应用安全测评记录V20概要.doc(16页珍藏版)》请在咨信网上搜索。
1、文件编号CDJX-DJCP- -004文件版本V2.0编写钱平校对胥滔审核朱光剑修订次数2打印份数控制状态是否装订归档部门信息系统安全等级保护测评附件4 应用安全测评记录(S2A2G2级)单位名称: 系统名称: 测试时间 年 月 日- 月 日目 录一、应用安全测评记录结果2二、业务系统基本情况2三、业务系统测评记录2应用安全测评记录(三级)一、应用安全测评记录结果类别序号测评项测评实施结果记录符合情况结果情况记录符合不符合身份鉴别(S2)1a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别;1) 应访谈应用系统管理员,询问应用系统是否采取身份标识和鉴别措施,具体措施有哪些;系统采取何种
2、措施防止身份鉴别信息被冒用; 通 过: 不通过: 不适用:*2b) 应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;1) 应检查设计或验收文档,查看其是否有系统采用了保证唯一标识的措施的描述;通 过: 不通过: 不适用:*2) 应检查主要应用系统,查看其是否提供身份标识和鉴别功能;查看其身份鉴别信息是否具有不易被冒用的特点;其鉴别信息复杂度检查功能是否能保证系统中不存在弱口令等;通 过: 不通过: 不适用:3c) 应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;1) 应访谈应用系统管理员,询问应用系统是否具
3、有登录失败处理功能;通 过: 不通过: 不适用:*2) 应检查主要应用系统,查看其提供的登录失败处理功能,是否根据安全策略配置了相关参数;4d) 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数1) 应测试主要应用系统,可通过试图以合法和非法用户分别登录系统,查看是否成功,验证其身份标识和鉴别功能是否有效; 通 过: 不通过: 不适用:*2) 应测试主要应用系统,验证其登录失败处理功能是否有效;通 过: 不通过: 不适用:访问控制(S2)5a) 应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;1) 应检查主
4、要应用系统,查看系统是否提供访问控制机制;是否依据安全策略控制用户对客体的访问; 通 过: 不通过: 不适用:*6b) 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;1) 应检查主要应用系统,查看其访问控制的覆盖范围是否包括与信息安全直接相关的主体、客体及它们之间的操作;访问控制的粒度是否达到主体为用户级,客体为文件、数据库表级;通 过: 不通过: 不适用:*7c) 应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限1) 应检查主要应用系统,查看其是否有由授权用户设置其它用户访问系统功能和用户数据的权限的功能,是否限制默认用户的访问权限;通 过: 不通过: 不适用
5、:*2) 应测试主要应用系统,可通过以默认用户登录系统,并进行一些合法和非法操作,验证系统是否严格限制了默认帐户的访问权限;通 过: 不通过: 不适用:8d) 应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系1) 应检查主要应用系统,查看系统是否授予不同帐户为完成各自承担任务所需的最小权限,特权用户的权限是否分离,权限之间是否相互制约;通 过: 不通过: 不适用:*安全审计(G2)9a) 应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;1) 应检查主要应用系统,查看其当前审计范围是否覆盖到每个用户; 通 过: 不通过: 不适用:*2) 应检查主
6、要应用系统,查看其审计策略是否覆盖系统内重要的安全相关事件,例如,用户标识与鉴别、访问控制的所有操作记录、重要用户行为、系统资源的异常使用、重要系统命令的使用等;通 过: 不通过: 不适用:10b) 应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录;1) 应测试主要应用系统,试图非授权删除、修改或覆盖审计记录,验证安全审计的保护情况是否无法非授权删除、修改或覆盖审计记录。通 过: 不通过: 不适用:*11c) 审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等1) 应检查主要应用系统,查看其审计记录信息是否包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、
7、事件成功或失败、身份鉴别事件中请求的来源、事件的结果等内容;通 过: 不通过: 不适用:*通信完整性(S2)12应采用密码技术保证通信过程中数据的完整性1) 应检查设计或验收文档,查看其是否有关于保护通信完整性的说明,如果有则查看其是否有用密码技术来保证通信过程中数据的完整性的描述; 通 过: 不通过: 不适用:*2) 应测试主要应用系统,可通过获取通信双方的数据包,查看通信报文是否含有加密的验证码。通 过: 不通过: 不适用:通信保密性(S2)13a) 在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;1) 应访谈安全管理员,询问应用系统数据在通信过程中是否采取保密措施,具体
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 二级 04 应用 安全 测评 记录 V20 概要
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【天****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【天****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。