第六章 应用安全测评

通信保密性
• 应用安全通信保密性保护包含哪些内容？ 同通信完整性一样，通信保密性也是保证 通信安全的重要方面。它主要确保数据处 于保密状态，不被窃听。 • 1级：无此要求 • 2级：要求对建立连接前初始化验证和通信 过程敏感信息加密 • 3级：在2级要求的基础上，要求对通信过 程加密的范围扩大为整个报文或会话过程。
6、数据保密性访谈
• 第3级安全测评要求对应用安全的数据保密 性访谈只有1项 • 应访谈安全管理员，询问业务系统数据在 通信过程中是否采取保密措施（如在通信 双方建立连接之前利用密码技术进行会话 初始化验证，在通信过程中对整个报文或 会话过程进行加密等），具体措施？
7.抗抵赖访谈
• 第3级安全测评要求对应用安全的抗抵赖访 谈只有1项 • 应访谈安全管理员，询问系统是否具有抗 抵赖的措施，具体措施有？
身份鉴别
• 应用安全身份鉴别包含哪些内容？ • 1级：主要强调了该功能的使能性，即，能 够进行简单的身份鉴别 • 2级：在1级要求的基础上，对登录要求进 一步增强，提出了鉴别标识唯一，鉴别信 息复杂等要求 • 3级：在2级要求的基础上，提出了两种以 上鉴别技术的组合来实现身份鉴别
访问控制
• 应用安全访问控制包含哪些内容？在应用系统中 实施访问控制是为了保证应用系统受控合法的使 用。用户只能根据自己的权限大小来访问应用系 统，不得越权访问。 • 1级：要求根据一定的控制策略来限制用户对系统 资源的访问，控制粒度较粗 • 2级：在1级要求的基础上，控制粒度细化，增加 覆盖范围要求，并强调了最小授权原则，使得用 户的权限最小化 • 3级：在2级要求的基础上，增加了对重要信息设 置敏感标记，并控制对其的操作。
• （4）检查主要应用系统，查看其是否配备 了身份标识和鉴别功能；查看其身份鉴别 信息是否具有不易被冒用的特点，是否配 备鉴别信息复杂度检查功能，以保证系统 中不存在弱口令。 • 检查目标：如上 • 检查对象：“天网”系统中心机房 • 检查环境：Exchange Server 2003
• 检查步骤： ①查看是否可以建立新账户。 ②查看系统对新用户是否具备最基本的身份鉴别功能， 即新建用户密码的时候需要密码确认。 ③检查是否配备了鉴别信息复杂度的检查功能。口令 用“123”等，查看是否有口令复杂度检验。 检查结论：该邮件系统用户身份标识和鉴别功能符 合检查要求，但鉴别信息复杂度检查项不符合要求。
安全体系架构--灯塔模型
剩余资源保护
• 应用安全剩余资源保护包含哪些内容？为 保证存储在硬盘、内存或缓冲区中的信息 不被非授权的访问，应用系统应对这些剩 余信息加以保护。用户的鉴别信息、文件、 目录等资源所在的存储空间，应将其完全 清除后，才释放或重新分配给其他用户。
• 1级：无此要求 • 2级：无此要求 • 3级：要求对存放鉴别信息、文件、记录等 存储空间进行重新使用前的清除
软件容错
• 应用安全软件容错包含哪些内容？容错技 术室提高整个系统可靠性的有效途径，通 常在硬件配置上，采用了冗余备份的方法， 以便在资源上保证系统的可靠性。在软件 设计上，则主要考虑应用程序对错误的检 测、处理能力。
• 1级：要求具有基本的数据校验功能 • 2级：在1级要求的基础上，要求故障发生 时能够继续运行部分功能 • 3级：在2级要求的基础上，要求具有自动 保护功能
4、剩余信息保护访谈
• 第3级安全测评要求对应用安全的剩余信息 保护访谈只有1项 • 应访谈应用系统管理员，询问系统是否采 取措施保障对存储介质中的残余信息进行 删除，具体措施。
5、通信完整性访谈
• 第3级安全测评要求对应用安全的通信完整 性访谈只有1项 • 应访谈安全管理员，询问业务系统是否在 传输过程中有数据进行完整性保护的操作， 具体措施是？
• 技术路线： • 用户名/口令、智能卡、动态口令、数字证 书和生物识别技术中的任意两个组合、本 实验假设为口令和智能卡的组合。
• 检查步骤： • 查看除用户口令登录的方式外，是否还需 要其他的用户登录身份鉴别机制。 • 图6.2（P175） • 检查结论：由于除口令之外，还需智能卡 才能登录，所以该邮件系统用户身份鉴别 项符合检查要求。
应用安全现场检查
• 应用安全现场检查过程主要是测评工程师 对各种应用系统（主要是软件系统）及其 相关文档资料进行检查。 • 一个复杂的信息系统上面运行了多种应用 软件，国家标准在这方面强调的是对“主 要的应用系统”进行检查。 • “天网”系统内部办公邮件系统Exchange server 2003为例
• 检查方案： • 一是查看邮件服务器是否可以限制每个用 户发送/接收邮件的大小（间接证明控制了 用户对文件或数据的访问）；二是查看能 否对邮件来源进行控制。
• 检查步骤： • 检查邮件服务器Exchange Server 2003 • 对用户传递邮件大小是否进行了设置，同 时也查看是否能对邮件来源进行控制。 • 图6.7（P179） • 检查结论：该邮件系统对数据访问权限进 行了限定，符合检查要求。
应用安全测评的实施
• 访谈 • 检查 • 测评
Hale Waihona Puke Baidu用安全访谈调研
• 与之前进行的访谈调研略有不同的是，这 次的访谈对象不仅是系统的各级管理员和 技术人员，还包括应用系统的使用人员和 开发商，访谈共9项。
1、身份鉴别访谈
• 第3级安全测评要求对应用安全的身份鉴别 访谈共2项。 • （1）应访谈应用系统管理员，询问应用系 统是否采取身份标识和鉴别措施，具体措 施有哪些？系统应采取何种措施防止身份 鉴别信息被冒用。
• 3级应用安全的控制粒度 • 在控制点上增加了剩余信息保护和抗抵赖 等。同时，身份鉴别的力度进一步增强， 要求组合鉴别技术，访问控制增加了敏感 标记功能，安全审计已不满足于对安全事 件的记录，而且要进行分析等。对通信过 程的完整性保护提出了特定的密码技术。 应用软件自身的安全要求进一步增强，软 件容错能力增强，增加了自动保护功能。
• （5）检查主要应用系统，查看其是否使用 并配置了登录失败处理功能。 • 检查目标：如上 • 检查对象：“天网”系统中心机房 • 检查环境：Exchange Server 2003
• 检查方案： 第一种方法：同第5章，如登录失败次数超 过设定值。 第二种方法：查看Exchange Server 2003 是否对每一个用户登录的时间段进行设置， 从而使得对这一项检查条款的检查粒度更 细。
抗抵赖
• 应用安全抗抵赖包含哪些内容？通信完整 性和保密性并不能保证通信抗抵赖行为， 即，通信双方或不承认已发出的数据，或 不承认已接收到的数据，从而无法保证应 用的正常进行。必须采取一定的抗抵赖手 段，从而防止双方否认数据所进行的交换。 • 1级：无此要求 • 2级：无此要求 • 3级：要求具有通信双方提供原发接收或发 送数据的功能。
• 检查步骤： • 检查邮件服务器Exchange Server 2003 • 对用户“xiang”登录时间段的设置情况。 浅色代表“拒绝登录”的时间段，深色代 表“允许登录”的时间段。图6.6（P178） • 检查结论：该邮件系统登录失败处理符合 检查要求。
2、访问控制现场检查
• 第3级安全测评要求对应用安全的访问控制 检查共5项。 • （1）检查主要应用系统，查看系统是否提 供访问控制机制；是否依据安全策略控制 用户对客体的访问。 • 检查目标：如上 • 检查对象：“天网”系统中心机房 • 检查环境：Exchange Server 2003
• （2）检查主要应用系统，查看其自主访问 控制的覆盖范围是否包括与信息安全直接 相关的主体、客体和他们之间的操作。 • 检查目标：如上 • 检查对象：“天网”系统中心机房 • 检查环境：Exchange Server 2003
• 检查方案：这个检查涉及方案是要查看 Exchange Server 2003是否可以对每个授 权用户（主体）设置用户传递（发送和接 受）邮件（客体）的大小。
安全审计
• 应用安全安全审计包含哪些内容？应用系 统安全审计目的是为了保持对应用系统的 安全运行情况以及系统用户行为的跟踪， 以便事后追踪分析。应用安全审计主要涉 及的方面包括：用户登录情况、系统功能 执行以及系统资源使用情况等。
• 1级：无此要求 • 2级：要求对用户行为、安全事件等进行记录 • 3级：除2级要求外，要求对形成的记录能够统 计、分析，并生成报表。
电子签章
8、软件容错访谈
• 第3级安全测评要求对应用安全的软件容错 访谈只有1项 • 应访谈应用系统管理员，询问业务系统是 否有保证软件具有容错能力的措施（如对 通过人-机接口输入或通过通信接口输入的 数据进行有效性检验等），具体措施有？
“回退”处理、数据恢复
9、资源控制访谈
• 第3级安全测评要求对应用安全的资源控制访 谈只有1项。 • 应访谈应用系统管理员，询问业务系统是否 有资源控制的措施（如对应系统的最大并发 会话连接数进行限制，对一个时间段内可能 的并发会话连接数进行了限制，对一个访问 用户或一个请求进程占用的资源分配最大限 额和最小限额等），具体措施？
资源控制
• 应用安全资源控制包含哪些内容？应用程 序也有相应的资源控制措施，包括限制单 个用户对系统资源的最大和最小使用限度、 当登录终端的操作超时或鉴别失败时进行 锁定、根据服务优先级分配系统资源等。
• 1级：无此要求 • 2级：要求单个用户会话数量。最大并发会 话数量限制 • 3级：在2级要求的基础上，增加了一段时 间内的并发会话数量、单个账户或进程的 资源配额、根据服务优先级分配资源以及 对系统最小服务进行监测和报警的要求。
1、身份鉴别现场检查
• 第3级安全测评要求对应用安全的身份鉴别 检查共有5项。 • （1）检查设计和验收文档，查看文档中是 否有系统采取了唯一标识（如用户名、UID 或其他属性）的说明。
• （2）检查操作规程和操作记录，查看是否 有身份标识和鉴别的操作规程、审批记录 和操作记录。
• （3）检查主要应用系统，查看其是否采用 了两个及两个以上身份鉴别技术的组合来 进行身份鉴别。 • 检查目标：如上 • 检查对象：“天网”系统中心机房 • 检查环境：Exchange Server 2003
• （2）应访谈应用系统管理员，询问应用系 统是否具有登录失败处理的功能，是如何 进行处理的？
2、访问控制访谈
• 第3级安全测评要求对应用安全的访问控制 访谈只有1项。 • 应访谈应用系统管理员，询问业务系统是 否提供访问控制措施，具体措施有哪些？ 自主访问控制的粒度如何？
3、安全审计访谈
• 第3级安全测评要求对应用安全的安全审计 访谈只有1项。 • 应访谈安全审计员，询问应用系统是否有 安全审计功能，对事件进行审计的选择要 求和策略是什么？对审计日志的保护措施 有哪些？
• 业务应用安全共有11个控制点，三级系统 涉及的控制点有9个。 • 身份鉴别 通信完整性 • 访问控制 通信保密性 • 安全审计 抗抵赖 • 剩余信息保护 软件容错 资源控制
各级应用安全控制点的粒度
• 1级应用安全的控制粒度 • 对应用进行基本的防护，要求做到简单的身份鉴 别，粗粒度的访问控制以及数据有效性检验等基 本防护。 • 2级应用安全的控制粒度 • 在控制点上增加了安全审计、通信保密性和资源 控制等。同时，对身份鉴别和访问控制都进一步 加强，鉴别的标识、信息等都提出了具体的要求。 访问控制的粒度进行了细化，对通信过程的完整 性保护提出了特定的校验码技术。应用软件自身 的安全要求进一步增强，软件容错能力增强。
第6章 应用安全测评技术
2014年10月8日星期三
主要内容
应用安全的控制点
• 应用系统可大致分为两类： • 1）基于网络的应用：基于网络的应用是形成其他 应用的基础，包括消息发送、web浏览器等等， 可以说是基本的应用 • 2）基于业务的应用：业务应用采纳基本应用的功 能以满足特定业务的要求，如电子商务、电子政 务等； • 3）由于各种基本应用最终为业务应用服务的，因 此对应用系统的安全保护最终就是如何保护系统 的各种业务应用程序安全运行。