安全计算环境-（六）应用系统-1

应用系统

在对应用系统进行测评时，一般先对系统管理员进行访谈，了解应用系统的状况，然后对应用系统和文档等进行检查，查看其内容是否和管理员访谈的结果一致，最后对主要的应用系统进行抽查和测试，验证系统提供的功能，并可配合渗透测试检查系统提供的安全功能是否被旁路。

 

控制点

1.

身份鉴别

应用系统需对登录的用户进行身份鉴别，以防止非授权用户访问。

a)

安全要求：应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。

要求解读：对用户进行身份鉴别是防止非法入侵的一种基本措施。应用系统必须对登录系统的用户进行身份核实，并为每个登录用户提供具有唯一性的身份标识，以便对用户的操作行为进行审计。同时，为了提高非授权用户使用暴力猜测等手段破解用户鉴别信息的难度，用户鉴别信息应具有一定的复杂性，使用户身份鉴别信息不易被冒用和破解。例如，用户登录口令的长度至少为8位，必须由字母、数字和符号组成，以及必须设置口令更换周期等。

检查方法

1.询问系统管理员，了解是否对用户登录采取了身份鉴别措施。

2．在未登录状态下尝试直接访问任一操作页面或功能。

3．核查用户身份标识的设置策略是否合理。

4．核查鉴别信息复杂度和更换周期的设置策略是否合理（可通过查看修改口令等功能模块验证口令复杂度是否已经生效）。

5．扫描应用系统，检查应用系统中是否存在弱口令和空口令用户（应为不存在）。

期望结果

1．用户在登录时，系统为其提供了身份鉴别措施。

2．用户在未登录状态下不能访问任何操作页面或功能，身份鉴别措施无法被绕过。

3．已记录用户在系统中的唯一性身份标识。例如，用户在数据库用户表中的唯一ID等。

4．对用户口令有长度、复杂度、更换周期方面的限制。例如，口令长度为8位及以上，需要包含数字、字母和符号，强制3个月更换一次等。

5．应用系统中不存在弱口令和空口令用户。

b)

安全要求：应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。

要求解读：为了防止非授权用户对应用系统用户的身份鉴别信息进行暴力猜测，应用系统应提供登录失败处理功能（例如限制非法登录次数等），登录失败次数应能根据用户的实际情况进行调整。同时，应用系统应配置并启用登录连接超时自动退出的功能。

检查方法

1．询问系统管理员，了解应用系统是否提供登录失败处理功能及登录失败处理策略。

2．使用正确的用户名、错误的口令连续多次登录系统，查看系统的反应。

3．询问系统管理员，了解在用户登录过程中系统进行身份鉴别时连接超时自动断开的等待时间。

4．询问系统管理员，了解用户登录后长时间没有进行操作时系统结束会话的结束时间。

期望结果

1．系统提供了登录失败处理功能。

2．使用正确的用户名、错误的口令连续多次登录系统，当超过预定错误次数时，系统锁定该用户，且需由管理员解锁或在一段时间后自动解锁。

3．在用户登录过程中，当系统进行身份鉴别时，有合理的连接超时自动断开的等待时间。

4．若用户登录后长时间没有进行操作，系统能提供符合业务需求的结束会话时间。

c)

安全要求：当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。

要求解读：在对应用系统进行远程管理时，为避免口令传输过程中被窃取，不应当使用明文传送的HTTP服务，而应当采用HTTPS加密协议等进行交互式管理。

检查方法

1.询问系统管理员，了解应用系统进行远程管理的方式。

2.核查远程管理是否采用了HTTPS加密协议等进行交互式管理。

期望结果

采用了HTTPS加密协议等对应用系统进行远程管理。

d)

安全要求：应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

要求解读：采用组合的鉴别技术对用户进行身份鉴定是防止欺骗的有效方法。在这里，两种或两种以上组合的鉴别技术是指同时使用不同种类的（至少两种）鉴别技术，且其中一种鉴别技术至少应使用密码技术来实现。

检查方法

询问系统管理员，了解系统是否采用由口令、数字证书、生物技术等中的两种或两种以上组合的鉴别技术对用户身份进行鉴别，并核查其中一种鉴别技术是否使用密码技术来实现。

期望结果

至少采用了两种鉴别技术，其中之一为口令或生物技术，另外一种为基于密码技术的鉴别技术（例如使用基于国密算法的数字证书或数字令牌）。