网络安全等级保护作业指导之应用
**
网络安全等级保护作业指导之应用
身份鉴别
1.测评项a : 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
测评要求:
- 应核查用户在登录时是否采用了身份鉴别措施(双因素认证等);
- 应核查用户列表,核查用户身份标识是否具有唯一性;
- 应核查用户配置信息或访谈系统管理员,核查是否不存在空口令用户;
- 应核查用户鉴别信息是否具有复杂度要求并定期更换。
建议测评方法:
1、使用浏览器(B/S系统)或客户端(C/S系统 )访问应用系统,查看应用系统是否对登录用户进行身份标识和鉴别;
2、使用管理员账户访问用户管理页面,新建同名测试用户,验证系统是否具有标识唯一性检查功能;
3、通过管理后台和用户界面进行密码修改,测试密码能否设置为空。
4、用户名/密码验证方式中能否使用简单密码,是否能包含用户名,对使用连续的字母或数字有无限制;如为系统自动产生的口令,则查看强度是否满足要求。
**2.测评项b 😗*应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
测评要求: - 应核查是否配置并启用了登录失败处理功能并核查是否配置并启用了限制非法登录达到一定次数后实现账户锁定功能;
- 应核查是否配置并启用了远程登录连接超时并自动退出功能。
建议测评方法
1、尝试使用不存在的用户名及任意口令和存在的用户名及错误口令登录应用系统,查看系统反应(提示是否过于明确),验证是否开启登录失败处理功能,如:结束会话、限制非法登录次数等
2、检查系统是否具有会话超时自动退出功能。
**3.测评项c 😗*当进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
测评要求
应核查是否采用加密等安全方式对系统进行远程管理,防止鉴别信息在网络传输过程中被窃听。
建议测评方法
1、检测应用系统的鉴别信息是否采用加密或其他有效措施实现通信过程的保密性;
2、可结合案例验证,如通过获取网络通信数据包,查看通信报文是否采用加密技术。
4.测评项d: 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
测评要求:
1、应核查是否采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上的组合的鉴别技术对用户身份进行鉴别
2、应核查其中一种鉴别技术使用密码技术来实现
建议测评方法
查看是否采用静态口令、动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别技术对用户身份进行鉴别
访问控制
1.测评项a) 应对登录的用户分配账户和权限;
测评要求
- 核查是否为用户分配了账户和权限及相关设置情况;
- 核查是否已禁用或限制匿名、默认账户的访问权限
建议测评方法 - 核查系统是否存在为用户分配权的功能;
- 核查系统是否存在无法通过应用系统管理的默认用户。
2.测评项b) 应重命名或删除默认账户,修改默认账户的默认口令;
测评要求
1、应核查是否存在已经重命名默认账号或默认账户已被删除
2、应核查是否已修改默认账户的默认口令
建议测评方法 - 应核查应用系统是否存在如admin、administrator等可直接猜测的管理员账号;
- 应核查应用系统管理员是否存在默认口令
3.测评项c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在;
测评要求 - 应核查是否不存在多余或过期账户,管理员用户和账户之间是否一一对应;
- 应测试验证多余的、过期的账户是否被删除和停用。
建议测评方法
1、核查系统是否不存在多余或过期的账户
2、核查实际管理员用户与系统账户之间是否一一对应
3、测试验证多余的、过期的账户是否被删除或停用
4.测评项d) 应进行角色划分,并授予管理用户所需的最小权限,实现管理用户的权限分离;
测评要求 - 应核查是否进行角色划分;
- 应核查管理用户的权限是否已进行分离;
- 应核查管理用户权限是否为其工作任务所需的最小权限。
建议测评方法 - 查看其特权用户的权限是否分离(如将系统管理员、安全员和审计员的权限分离),权限之间是否相互制约(如系统管理员、安全管理员等能不能对审计日志进行管理,安全审计员不能管理审计功能的开启、关闭、删除重要事件的审计日志等);
- 特权用户和普通用户中各角色的权限分配是否合理,是否按照最小授权原则
5.测评项e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
测评要求 - 应核查是由授权主体(如管理用户)负责配置访问控制策略;
- 应核查授权主体是否依据安全策略配置了主体对客体的访问规则;
3)应测试验证用户是否有可越权访问情形
建议测评方法
1)系统中是否有专门的权限管理模块对用户可访问资源进行授权,检查关于允许或限制规定的默认值是否适当。
2)访谈安全管理员是否留有纸质或电子版的访问控制策略,供与实际情况相比对。
3)新建测试用户身份登录系统,验证所有权限是否与分配得到的权限一致。
4)系统是否存在不受控制的默认账户,是否存在越权漏洞
6.测评项f) 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
测评要求
1应核查访问控制策略的控制粒度是否达到主体为用户级或进程级,客体为文件、数据库表、记录或字段级;
建议测评方法
1应核查应用系统访问控制策略的控制粒度是否达到主体为用户级或进程级,客体为文件、数据库表、记录或字段级;
7.测评项g) 应对重要主体和客体设置 安全标记 ,并控制主体对有 安全标记 信 息资源的访问
测评要求 - 应核查是否依据安全策略对主体、客体设置了安全标记机制;
- 应测试是否依据主体、客体安全标记控制主体对客体访问的强制访问控制策略。
建议测评方法
1)查看操作系统功能手册或相关文档,确认操作系统是否具备能对信息资源设置敏感标记功能。
2)询问管理员是否对重要信息资源设置敏感标记。
3)询问或查看目前的敏感标记策略的相关设置,如:如何划分敏感标记分类,如何设定访问权限等。
安全审计
测评项a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
测评要求
- 应核查是否开启了安全审计功能;
- 应核查安全审计范围是否覆盖到每个用户;
- 应核查是否对重要的用户行为和重要安全事件进行审计。
建议测评方法
查看审计记录信息是否包括事件的日期和时间、主体标识、客体标识、事件类型、事件是否成功及其他与审计相关的信息
测评项b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
测评项c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
测评项d) 应对审计进程进行保护,防止未经授权的中断。
未完待续
本文来自互联网用户投稿,文章观点仅代表作者本人,不代表本站立场,不承担相关法律责任。如若转载,请注明出处。 如若内容造成侵权/违法违规/事实不符,请点击【内容举报】进行投诉反馈!