等级保护测评_应用安全

一．应用系统安全测评指导书1.应用系统安全测评

访谈：

专门的登陆控制模块进行身份鉴别手工检查：

1.查看登陆控制模块

2.验证登陆控制模块功能是否正确。1.认证方式应该为混合认证方式

2.本身操作系统用户也必须输入密码才能登陆。

访谈：

1.是否有专门的模块或选项，是否有相关参数需要配置

2.功能验证。

访谈：

1.登录失败处理的功能(如结束会话、限制非法登陆次数，当连接超时，自动退出等)，查看是否启用配置。

2.应根据应用系统使用的登录失败处理方式，采用如下测试方法之一或全部进行测试：

a.以错误的用户名或密码登录系统查看系统的反应

b.以超过系统规定的非法登录次数登陆系统查看系统的反应

c.当登陆系统连接超时查看系统的反应。

访谈：

1.是否有访问控制策略配置功能，以该授权主体身份登录系统，进行验证

2.以不具有修改访问控制策略权限的用户登录系统，试图修改访问控制策略，查看是否成功

3.系统是否有默认用户，是否限制了默认用户的访问权限

4.测试应用系统是对默认账户合法/非法操作进行限制。

访谈：

1.最小授权、相互制约

2.用户职责分配的权限是否与其职责相符

3.不同账户的权限是否分离并形成制约关系

4.测试越权访问，能否成功。

访谈：

1.功能是否满足并验证。

1.系统管理员是否依据安全策略对目标系统进行了正确的配置

2.进行验证。

访谈：

1.询问安全审计员，审记策略是什么；

2.检查应用系统的审记策略，查看审记策略是否覆盖到每个用户，是否对系统异常等事件进行审计

3.确认审计功能是否全面、详细。

访谈：

1.检查应用系统是否提供专门的审计工具

2.应用系统审计报表功能

访谈：

1.询问应用系统审计方式，测试审计功能健壮性

2.验证审计功能

3.审计记录恢复功能。

2.IIS应用安全测评

访谈：

询问系统管理员，配置文件和网站文件是否有备份策略查看备份文件。

3.Apache应用安全测评

手工检查：1.使用命令查看apache的日志文件

#cat /usr/local/apache/logs/access_log和#cat

/usr/local/apache/logs/error_log，确认日志文件是否包含了措施要求的内

容

访谈：

访谈系统管理员是否对系统错误页面进行了自定义；

手工检查：

执行命令#grep ErrorDocument /usr/local/apache/httpd.conf，确认是否有自定义错误页面的配置。