应用安全测评指导书.docVIP

  1. 1、本文档共9页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多

1应用安全测评指导书应用系统安全测评

序号

测评指标

测评项

检查方法

预期结果

1

身份鉴别

a)检查应用系统的身份标识与鉴别功能设置和使用配置情况;检查应用系统对用户登录各种情况的处

理,如登录失败处理、登录连接超时等。

访谈:1)访谈应用系

统管理员,询问应用系

统的身份标识和鉴别

机制采用何种措施实

现;2)登录应用系统,

查看是否提示输入用

户口令,然后以正确口

令登录系统,再以错误

口令或空口令重新登

录,观察是否成功。

1)应用系统使用口令

鉴别机制对用户进行身份标识和鉴别;2)

登录时提示输入用户名和口令;以错误口令

或空口令登录时提示登录失败,验证了登录

控制功能的有效性;

3)应用系统不存在密码为空的用户。

b)检查应用系统的身份标识与鉴别功能设置和使用配置情况;检查应用系统对用户登录各种情况的处

理,如登录失败处理、登录连接超时等。

访谈:1)访谈应用系统管理员,询问应用系

统是否采用了两种及

两种以上身份鉴别技

术的组合来进行身份

鉴别(如采用用户名/口令、挑战应答、动态口令、物理设备、生物

识别技术中的任意两种组合);手工检查:

1)通过注册用户,并

以一种身份鉴别技术登录,验证是否可以登录。

用户的认证方式选择

两种或两种以上组合的鉴别技术,只用一种

技术无法认证成功。

c)检查应用系统的身份标识与鉴别功能设置和使用配置情况;检查应用系统对用户登录各种情况的处

访谈:1)访谈应用系统管理员,询问应用系

统采取何种措施防止

身份鉴别信息被冒用(如复杂性混有大、小写字母、数字和特殊字符,口令周期等);

手工检查:1)以弱口令用户注册,验证其用

1)应用系统配备身份

标识(如建立帐号)和

鉴别(如口令等)功能;

其身份鉴别信息具有不易被冒用的特点,规定字符混有大、小写字母、数字和特殊字符);

2)以不符合复杂度要求和不符合长度要求

理,如登录失败处理、登录连接超时等。

户是否注册成功。

的口令创建用户时均提示失败。

d)检查应用系统的身份标识与鉴别功能设置和使用配置情况;检查应用系统对用户登录各种情况的处

理,如登录失败处理、登录连接超时等。

访谈:1)访谈应用系统管理员,询问应用系

统是否配备并使用登录失败处理功能(如登

录失败次数超过设定值,系统自动退出等),

查看是否启用配置;

手工检查:1)应测试主要应用系统,验证其登录失败处理,非法登

录次数限制等功能是否有效;

1)应用系统已启用登

陆失败处理、结束会

话、限制非法登录次数等措施;2)当超过系

统规定的非法登陆次

数登录操作系统时,系统锁定或自动断开连

接;

e)检查应用系统的身份标识与鉴别功能设置和使用配置情况;检查应用系统对用户登录各种情况的处

理,如登录失败处理、登录连接超时等。

访谈:1)访谈应用系统管理员,询问应用系

统对用户标识在整个

生命周期内是否具有

唯一性(如UID、用户

名或其他信息在系统中是唯一的,用该标识

在整个生命周期内能唯一识别该用户);

手工检查:1)通过删

除一个用户再重新注册相同标识的用户,查看能否成功,验证身份

标识在整个生命周期

内是否具有唯一性;

1)添加测试账户不会成功;2)系统不存在多人共用一个账户的情况。

2

访问控制

a)检查应用系统的访问控制功能设置情况,如访问控制的策略、访问控制粒度

权限设置情况等。

访谈:1)访谈应用系

统管理员,询问应用系

统是否提供访问控制

措施,具体措施有哪

些,自主访问控制的粒

度如何;手工检查:

1)应检查主要应用系

统,查看系统是否提供

访问控制机制;是否依

据安全策略控制用户

应用系统提供访问控

制功能模块,其功能控制用户对文件、数据库表等访问。

对客体(如文件和数据库中的数据)的访问;

b)检查应用系统的访问控制功能设置情况,如访问控制的策略、访问控制粒度、权限设置情况等。

访谈:1)访谈应用系统管理员,询问应用系

统的访问控制功能模

块是否根据实际环境设置安全策略;手工

检查:1)应测试主要应用系统,可通过用不同权限的用户登录,查

看其权限是否受到应用系统的限制。

应用系统的重要文件及目录已根据用户级别设置了访问控制策略。

c)检查应用系统的访问控制功能设置情况,如访问控制的策略、访问控制粒度、权限设置情况等。

访谈:1)访谈应用系统管理员,询问应用系

统是否有对授权主体进行系统功能操作和对数据访问权限进行

设置的功能,是否限制

文档评论(0)

135****6560 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档