您的位置:360文档中心› 驾驶人考试系统安全测评工作交流-20180727(1)

驾驶人考试系统安全测评工作交流-20180727(1)

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

机动车驾驶人考试系统安全测试工作汇报

目录CONTENS 01工作开展情况02检测工作问题汇总03考试系统安全建议04下步工作安排

01

工作开展情况

驾考系统安全测试工作开展情况

第1阶段第2阶段第3阶段第4阶段

起始阶段:结合安徽、河

南、陕西等地考场检查工作,完成驾驶人考试系统信息安全调研工作。

2017年2月-4月

探索阶段:我部申请基科费项目,确定测评指标,制定测评方法,公布测评要求。

2017年4月-9月

测试阶段:驾驶人考试系统安全测试工作向全国铺开,要求2018年1月前通过测试,取得安全报告。

2017年10月-至今

监管、通报阶段:协助公安部交通

管理局指导、监督、检查各地系统建设应用和安全管理,对考试系统进行监管、通报。

2019年起

工作历程

机动车驾驶人考试系统安全测试工作开始于2017年初,先后经历起始、探索、测试、监管通报等阶段,并争取至2020年实现公安交通管理信息系统全覆盖。

2017-2018年驾考系统安全检测工作情况

01全国范围内72家机动车驾驶人考试系统生产厂家

送检的140个系统开展安全测试及整改

02 03考试系统生产厂家较2015-2016年对比:

未送检单位共计15家;新增送检单位共计10家

工作

成效

04科目二已完成检测的系统有73个(占比为52.1%)科目三已完成检测的系统有67个(占比为47.9%)

采用B/S架构的系统有36个(占比为25.7%)

采用C/S架构的系统有104个(占比为74.3%)

截至2018.7.25

02

检测工作问题汇总

实验室检测发现问题汇总

用户注册

安全日志及审计

软件容错用户登录

数据完整性

和保密性

资源控制

访问控制

*抗抵赖性

软件代码

安全

接口测试

漏洞扫描

驾考安全测试项目

身份鉴别的作用是判别用户的身份:

●由计算机的访问监视器根据用户的身份和授权决定用户能够访问的资源

●保障信息系统安全的第一道关卡

身份鉴别系统一旦被攻破:

●系统的所有安全措施将形同虚设

●黑客攻击的首要目标往往就是身份鉴别系统

01

02

凡需进入外挂软件应用程序的用户,应当先进行

注册登记

外挂软件用程序的用户标识应当包含用户名

用户标识符(

UID )

、身

份证明号码、警员编号或者员工编号、姓名等信息,对警员和非警员

身份进行明确标识,并提供和启用用户身份唯一性检查功能,在外挂软件应用程序的整个生存周期实现用户标识符的唯一性,以及用户标识符、用户名、身份证明号码、警员编号或者员工编号、姓名之间的一致性。

0304

应当提供

用户密码校验

功能,以确保用户密码长度

不小于8

且必须包含

英文字符、

数字

及特殊符号

鉴别信息应当是不可见的,并在传输时用加密方法或者具有

相同安全强度的其他方法进行安全保护。

05

用户密码不允许在数据库中明文存储,应当以用户标识符、

用户密码、姓名等鉴别信息组合后,用加密方法存储。

06

07应当

预先定义鉴别失败次数的

阀值

,当用户鉴别失败次数达到阀值时,

外挂软件应用程序应当退出登录过程并终止与用户的交互

,并将信息

入安全日志。

对重复鉴别行为的限制应当提供基于访问终端和基于用户两种方式,当某一访问终端鉴别失败次数达到阀值时,应当将该访问终端信息写入黑名单,在一定时间段内限制其再次登录;当某一用户鉴别失败次数达到

阀值时,应当锁定该用户,限制其再次登录。对提供访问终端黑名单和用户解锁功能的,解锁操作应当写入安全日志。

0809

外挂软件应用程序应能通过设定

用户有效期

、密码有效期

IP/MAC

址或者登录地点

、登录时间段

等手段对用户登录行为进行限制。

超过用户有效期的用户只有经系统管理员

激活并延长有效期后方可登录外挂软件应用程序;该用户激活后,应当强制其修改密码,成功后方可

登录,并延长密码有效期。

11

09具备对

同一用户多地

同时登录外挂软件应用程序的异常情况进行

检测和限制

的功能。

用户登录成功后,外挂软件应用程序应当记录并向用户显示日期、时间、

来源和

上次成功登录的日期、时间、来源,以及上次成功访问之后用户

身份鉴别失败的情况、用户和密码距离到期的天数。

授权信息

Log

身份认证

访问控制

审计

授权(authorization)

主体客体

访问控制

允许资源所有者自主

决定谁可以访问、如

何访问其资源

系统中的每一个用户、资源

都被赋予一个级别标签,通

过比对主、客体标签来决定

是否允许访问

系统定义各种角色,每

种角色可以完成一定的

职能,不同的用户根据

其职能和责任被赋予相

应的角色

相关文档
最新文档