等级保护测评指导书 应用部分
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
IIS 检 查 用 例 表
e) 应启用身份鉴别、用户
身份标识唯一性检查、用
户身份鉴别信息复杂度检 查以及登录失败处理功
重要
能,并根据安全策略配置
相关参数。
S1 S2 S3 (S2 、S3 相 同, 比S1 多出 黑体 字部 分)
APACHE 检 测 用例表
Tomcat 检 测 用例表
Weblogic 检 测用例表
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
e) 应能够对一个访问帐户 或一个请求进程占用的资 源分配最大限额和最小限 额
C/S 客 户 端 通 用检测用例 表
IIS 检 查 用 例 表 A3
APACHE 检 测 用例表 Tomcat 检 测 用例表
Weblogic 检 测用例表
G3 IIS 检 查 用 例 表
APACHE 检 测 用例表
Tomcat 检 测 用例表
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
a) 应提供数据有效性检验
功能,保证通过人机接口
A1
输入或通过通信接口输入 重要 A2
a) 应提供数据有效性检验
功能,保证通过人机接口
A1
输入或通过通信接口输入 重要 A2
B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表
b) 应保证无法单独中断审 计进程,无法删除、修改 或覆盖审计记录
G2 G3 (黑 体部 分为 G3独
b) 应保证无法单独中断审 计进程,无法删除、修改 或覆盖审计记录
G2 G3 (黑 体部 分为 G3独 有内 容)
IIS 检 查 用 例 表
用例表
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表
IIS 检 查 用 例 表
APACHE 检 测 用例表
e) 应具有对重要信息资源 设置敏感标记的功能
S3
Tomcat 检 测 用例表
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
IIS 检 查 用 例 表
APACHE 检 测 用例表
c) 应提供用户身份标识唯
一和鉴别信息复杂度检查 功能,保证应用系统中不 存在重复用户身份标识,
重要
S2 S3
身份鉴别信息不易被冒用
Tomcat 检 测 用例表
身份鉴 别(S1、 S2、S3)
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
安全审 计(G2 、G3)
APACHE 检 测 用例表
Tomcat 检 测 用例表
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表
IIS 检 查 用 例 表
c) 审计记录的内容至少应
包括事件的日期、时间、 发起者信息、类型、描述
重要
G2 G3
和结果等
重要
A2 A3
够自动结束会话
IIS 检 查 用 例 表
APACHE 检 测 用例表
Tomcat 检 测 用例表
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表
b) 应能够对系统的最大并 发会话连接数进行限制
重要
A2 A3
IIS 检 查 用 例 表
B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表
a) 在通信双方建立连接之 前,应用系统应利用密码 技术进行会话初始化验证
IIS 检 查 用 例 表
APACHE 检 测 S2 用例表 S3
Tomcat 检 测 用例表
通信保
Weblogic 检 测用例表
通信保 密性 (S2、 S3)
的数据格式或长度符合系
A3
统设定要求
软件容 错(A1 、A2、 A3)
C/S 客 户 端 通 用检测用例 表
IIS 检 查 用 例 表
APACHE 检 测 用例表
Tomcat 检 测 用例表
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表
b) 应提供自动保护功能, 当故障发生时自动保护当 前所有状态,保证系统能 够进行恢复
实施过程
预期结果
说明
1)检查网站是否存在登录界面; 1)若无登录界面或登录界 1)若网站只存在管理员用户,则
2)检查登录界面是否允许无密码登 面 无 需 输 入 鉴 别 信 息 ( 密 此登录界面应为后台登录界面,
B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表
IIS 检 查 用 例 表
b) 应对通信过程中的整个 报文或会话过程进行加密
APACHE 检 测 用例表 S2 S3
Toຫໍສະໝຸດ Baiducat 检 测 用例表
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
a) 应具有在请求的情况下 为数据原发者或接收者提 供数据原发证据的功能
B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表
IIS 检 查 用 例 表
APACHE 检 测 用例表
b) 应对同一用户采用两种 或两种以上组合的鉴别技 术实现用户身份鉴别
S3
Tomcat 检 测 用例表
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表
C/S 客 户 端 通 用检测用例 表 IIS 检 查 用 例 表
f) 应依据安全策略严格控
制用户对有敏感标记重要
S3
信息资源的操作
APACHE 检 测 用例表
f) 应依据安全策略严格控
制用户对有敏感标记重要
S3
信息资源的操作
Tomcat 检 测 用例表
应用 (可 使用 的渗 透工 具为 Doma in、 pang olin )
B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表
f) 应能够对系统服务水平 降低到预先规定的最小值 重要 A3 进行检测和报警
f) 应能够对系统服务水平 降低到预先规定的最小值 重要 A3 进行检测和报警
IIS 检 查 用 例 表
APACHE 检 测 用例表 Tomcat 检 测 用例表 Weblogic 检 测用例表
S3
IIS 检 查 用 例 表
APACHE 检 测 用例表
Tomcat 检 测 用例表
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表
通信完 整性 (S1、 S2、 S3)
应采用密码技术保证通信 过程中数据的完整性(S3) 应采用校验码技术保证通
重要
S2 S3
作
Tomcat 检 测 用例表
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表
IIS 检 查 用 例 表
APACHE 检 测 用例表
c) 应由授权主体配置访问
S1
控制策略,并严格限制默 重要 S2
认帐户的访问权限
S3
Tomcat 检 测 用例表
B/S 网 站 通 用 检测用例表
g) 应提供服务优先级设定 功能,并在安装后根据安 全策略设定访问帐户或请 求进程的优先级,根据优 先级分配系统资源
C/S 客 户 端 通 用检测用例 表
IIS 检 查 用 例 表 A3
APACHE 检 测 用例表 Tomcat 检 测 用例表 Weblogic 检 测用例表
C/S 客 户 端 通 用检测用例 表
IIS 检 查 用 例 表
d) 应提供登录失败处理功 能,可采取结束会话、限 制非法登录次数和自动退 出等措施
APACHE 检 测 用例表
S1 S2 S3
Tomcat 检 测 用例表
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表
IIS 检 查 用 例 表 A2 A3
APACHE 检 测 用例表
Tomcat 检 测 用例表
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表
a) 当应用系统的通信双方 中的一方在一段时间内未 重要 A2
a) 当应用系统的通信双方
中的一方在一段时间内未 作任何响应,另一方应能
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
d) 应能够对一个时间段内 可能的并发会话连接数进 行限制
C/S 客 户 端 通 用检测用例 表
A3
d) 应能够对一个时间段内 可能的并发会话连接数进 行限制
A3
IIS 检 查 用 例 表
APACHE 检 测 用例表
Tomcat 检 测 用例表
信过程中数据的完整性 (S2)
应采用约定通信会话方式 的方法保证通信过程中数
据的完整性(S1)
IIS 检 查 用 例 表
S1 S2
APACHE 检 测 用例表
S3
S2、 S3)
(S2) 应采用约定通信会话方式 的方法保证通信过程中数
据的完整性(S1)
S3
Tomcat 检 测 用例表
Weblogic 检 测用例表
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表
IIS 检 查 用 例 表
APACHE 检 测 用例表
a) 应提供覆盖到每个用户
的安全审计功能,对应用 系统重要安全事件进行审
重要
G2 G3
计
Tomcat 检 测 用例表
Weblogic 检 测用例表
APACHE 检 测 用例表
Tomcat 检 测 用例表
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表
c) 应能够对单个帐户的多 重并发会话进行限制
A2 A3
IIS 检 查 用 例 表
APACHE 检 测 用例表
资源控 制(A2、 A3)
Tomcat 检 测 用例表
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表
IIS 检 查 用 例 表
APACHE 检 测 用例表
b) 访问控制的覆盖范围应
包括与资源访问相关的主 体、客体及它们之间的操
重要
S2 S3
作
b) 访问控制的覆盖范围应
包括与资源访问相关的主 体、客体及它们之间的操
抗抵赖 (G3)
C/S 客 户 端 通 用检测用例 表
G3
IIS 检 查 用 例 表
APACHE 检 测 用例表
Tomcat 检 测 用例表
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
b) 应具有在请求的情况下 为数据原发者或接收者提 供数据接收证据的功能
C/S 客 户 端 通 用检测用例 表
全清除,无论这些信息是 存放在硬盘上还是在内存 中
剩余信 息保护 (S3)
b) 应保证系统内的文件、 目录和数据库记录等资源 所在的存储空间被释放或 重新分配给其他用户前得
到完全清除
Tomcat 检 测 用例表
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表
访问控 制(S1 、S2、 S3)
Weblogic 检 测用例表
S3)
B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表
IIS 检 查 用 例 表
APACHE 检 测 用例表
d) 应授予不同帐户为完成 各自承担任务所需的最小 权限,并在它们之间形成 相互制约的关系
S2 S3 Tomcat 检 测
层面 控制点 测评项
重要性 级别 系统 B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表 IIS 检 查 用 例 表
APACHE 检 测 用例表
a) 应提供专用的登录控制
S1
模块对登录用户进行身份 重要 S2
标识和鉴别
S3
Tomcat 检 测 用例表
Weblogic 检 测用例表
APACHE 检 测 用例表
Tomcat 检 测 用例表
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
d) 应提供对审计记录数据 进行统计、查询、分析及 生成审计报表的功能
C/S 客 户 端 通 用检测用例 表
G3 IIS 检 查 用 例 表
APACHE 检 测 用例表
Tomcat 检 测 用例表
B/S 网 站 通 用 检测用例表
C/S 客 户 端 通 用检测用例 表
IIS 检 查 用 例 表
a) 应提供访问控制功能,
依据安全策略控制用户对 文件、数据库表等客体的
重要
访问
APACHE 检 测 用例表
S1 S2 S3 (S2 、S3 相 同, 比S1 多出 黑体 字部 分)
Tomcat 检 测 用例表
Weblogic 检 测用例表
B/S 网 站 通 用 检测用例表
a) 应保证用户鉴别信息所 在的存储空间被释放或再 分配给其他用户前得到完 全清除,无论这些信息是 存放在硬盘上还是在内存 中
C/S 客 户 端 通 用检测用例 表
S3
IIS 检 查 用 例 表
APACHE 检 测 用例表
剩余信 息保护