安全计算环境-(六)应用系统-2
应用系统
控制点
2.
访问控制
在应用系统中实施访问控制的目的是保证应用系统受控、合法地被使用。用户只能根据自己的权限来访问应用系统,不得越权访问。
a)
安全要求:应对登录的用户分配账户和权限。
要求解读:为应用系统配置访问控制策略的目的是保证应用系统被合法地使用。用户只能根据管理员分配的权限来访问应用系统的相应功能,不得越权访问。必须对登录系统的用户进行账号和权限的分配。
检查方法
1.询问系统管理员,了解系统是否为登录的用户分配了账户和权限。
2.以不同角色的用户身份登录系统,验证用户权限分配情况。
3.尝试以登录用户的身份访问未授权的功能,查看访问控制策略是否已经生效。
期望结果
1.系统为登录的每一个用户分配了账户和权限。
2.系统为不同类别角色的用户分配了不同的功能权限。
3.通过菜单猜测等方式进行测试,登录用户无法访问未授权的功能。
b)
安全要求:应重命名或删除默认账户,修改默认账户的默认口令。
要求解读:应用系统正式上线后,需要对默认账户进行重命名或删除,并对默认账户的默认口令进行修改。默认账户一般指应用系统的公共账户、测试账户或权限不受限制的超级管理账户等。
检查方法
1.询问系统管理员,了解系统中是否存在默认账户。
2.使用默认口令登录默认账户,查看默认账户默认口令是否已经修改。
期望结果
1.系统内不存在默认账户。
2.若系统内存在默认账户,则其默认口令已经修改。
c)
安全要求:应及时删除或停用多余的、过期的账户,避免共享账户的存在。
要求解读:应用系统的管理员要及时将应用系统中多余的、过期的账户删除或停用,同时,要避免多人共用同一账户的情况出现。
检查方法
1.访谈系统管理员,了解系统如何处理多余的、过期的账户。
2.核查数据库的用户表中用户的状态标识。若系统内存在过期的账户,则尝试使用过期的账户登录系统。
3.核查管理员用户与账户之间是否一一对应。
期望结果
1.系统内多余的、过期的账户已经被停用或删除。
2.无法使用已停用的账户登录系统。
3.管理员用户与账户之间一一对应,不存在共享账户的情况。
d)
安全要求:应授予管理用户所需的最小权限,实现管理用户的权限分离。
要求解读:应用系统应仅授予管理账户完成其承担任务所需的最小权限。例如,管理用户仅需具备相关的管理操作权限,无须为其分配业务操作权限。同时,管理用户应实现权限分离。例如,管理员具备系统管理、用户创建与删除、角色创建与删除等功能权限,安全员具备安全参数配置、用户权限分配等功能权限,审计员具备日志查看等功能权限。
检查方法
1.询问系统管理员,了解该系统的所有管理用户是否只拥有完成自己承担任务所需的最小权限,且管理用户权限根据三权分立原则进行授权。
2.抽取一个用户,询问并了解该用户的职责。登录应用系统,查看该用户的实际权限是否与其职责相符,是否为其承担任务所需的最小权限。
3.以不同级别的管理用户身份登录,查看管理用户之间是否具有相互制约的关系,例如管理员不能审计、审计员不能管理、安全员不能审计和管理等。
期望结果
1.系统中的所有管理用户只拥有完成自己承担任务所需的最小权限,所有管理用户均不具备业务操作权限,且管理用户分为管理员、安全员和审计员。
2.所抽取用户的实际权限与其职责相符,为完成其承担任务所需的最小权限。
3.不同管理用户相互之间具有相互制约的关系,例如管理员不能审计、审计员不能管理、安全员不能审计和管理等。
e)
安全要求:应由授权主体配置访问控制策略,访问控制策略规定体对客体的访问规则。
要求解读:应用系统的访问控制策略应由授权主体(例如人员)进行配置,非授权主体不得更改访问控制策略,且访问控制策略的覆盖范围应包括所有主体和客体及它们之间的操作。
检查方法
1.以管理用户身份登录,访问权限管理功能,查看访问控制策略。
2.以非管理用户登录,访问权限管理功能,查看越权访问情形。
期望结果
1.管理用户负责配置访问控制策略。管理用户为账户分配不同的角色,每个角色分配不同的功能权限。当某个账户与角色关联时,该账户具备与角色相关的功能操作。
2.非管理用户不能访问与权限管理相关的功能。
f)
安全要求:访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级。
要求解读:此项明确了应用系统访问控制粒度方面的要求。应用系统的访问控制主体为用户或进程,客体为功能权限所对应的文件、数据库表和表中的记录或字段。
检查方法
核查并测试访问控制策略的控制粒度是否达到主体为用户级或进程级,客体为文件、数据库表、记录或字段级。
期望结果
访问控制策略的控制粒度,主体为登录账户,客体为功能权限及功能权限关联的数据库表。
g)
安全要求:应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
要求解读:安全标记是表示主体/客体安全级别和安全范畴的一组信息。可以通过比较安全标记来控制主体对客体的访问。安全标记不允许其他用户修改,包括资源的拥有者。
应用系统应提供设置安全标记的功能,通过安全标记控制用户对标记信息资源的访问。重要主体指系统中的管理用户,重要客体指系统中的鉴别数据、重要业务数据、个人信息及敏感数据等。
检查方法
1.核查应用系统是否依据安全策略对重要主体和重要客体设置了安全标记。
2.测试验证依据安全标记是否能实现主体对客体的强制访问控制。
期望结果
1.应用系统依据安全策略对重要账户和重要信息设置了安全标记。
2.应用系统依据安全标记控制账户对有安全标记的信息资源的访问。