《测评师培训-应用及数据层面测评.pptx》由会员分享,可在线阅读,更多相关《测评师培训-应用及数据层面测评.pptx(51页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、应应用安全用安全数据安全与数据安全与备备份恢复份恢复测评测评应用安全的背景与趋势应用安全测评的特点和方法 主要测评内容及正确理解 应用安全测评整体分析验证测试应用安全的背景与趋势系统开发编码阶段不重视代码安全,导致代码不规范甚至产生安全漏洞;系统开发方安全意识不高,忽视安全功 能实现,导致安全功能缺失;信息化手段的多样性进一步推高了系统的复杂度,而业务复杂度的上升则导致对 系统的依赖性越来越强;随着各行业信息化的发展,业务应用及业 务数据已经成为核心防护对象,应用系统自身 的安全性也成为系统的核心防护能力。应用系统安全仍处于初级阶段随着业务的复杂化,应用系统将暴露出越来 越多的漏洞实施网络攻击
2、的门槛越来越低,攻击工具随处可以下载;业务/用户数据价值越来越高,恶意攻击者以此牟利;随着大数据产业的发展,数据的综合利用不仅对生产、生活起到了正面作用,攻击者也在恶意利用个人隐私数据(社工库等);除传统的S Q L注入、XSS跨站、越权外,近年针对中间件和业务逻辑的攻击越来越多;网络攻击门槛降低业务/用户数据已经成为主要攻击目的漏洞暴露的数量和种类都有所上升,漏洞的利用方式增多应用安全的背景与趋势应用安全测评的特点和方法 主要测评内容及正确理解 应用安全测评整体分析验证测试应用安全测评的特点与方法和数据库、操作系统等成熟产品不同,应用系统现场测评除检查安全功能和配置外,还需验证相关安全功能能
3、否实现业务和数据流程不同,需根据业务和数据特点确定范围应用系统安全漏洞发现困难,很难消除代码级的安全隐患应用安全测评包括中间件等业务平台(如Weblogic、Apache、IIS等)的测评,部分安全功能可能要依靠业务平台实现(如:最大并发会话数限制)应用安全测评与其他层面测评关联较多,综合分析时应充分考虑安全防护能力的补充安全功能、配置检查与安全验证相结合应用测评中个性化较强,不确定因素较多测评分析时涉及的范围较广,综合分析较为复杂应用安全测评方法应用系统的个性化需求较强,与其他标准化产品(操作系统、网络设备)的测评不同,只有 在充分了解其业务流程、业务目 的、部署情况后,才能明确测评 范围、
4、对象和具体测评项,进而有针对性的进行测评(一)通过访谈,了解业务系统需求,摸清业务系统基本情况和基本安全措施应用安全测评方法查看应用是否具备有关的安全功能模块检查应用相应的安全配置情况(二)通过检查,确认其是否具备相应安全功能和配置(三)验证安全功能及安全配置的有效性对于具备验证测试条件的系统,通过验证测试判断安全防范能力默认开放、无需配置的可通过验证的方式判断其是否具备防护能力对于在前序检查中结果不一致的项目,可通过验证的方式判断其真实状态应用安全的背景与趋势应用安全测评的特点和方法 主要测评内容及正确理解 应用安全测评整体分析验证测试讲解思路要求项(?)条款理解检查方法应应用安全用安全要求
5、项A.应提供专用的登录控制模块对登录用户进行身份标识和鉴别;B.应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;C)应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;身份鉴别要求项(5)要求项D.应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;E.应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查 以及登录失败处理功能,并根据安全策略配置相关参数。身份鉴别要求项(5)条款理解提供专用的登录控制模块对用户身份的合法性进行核实,只有通过验证的用户才能在系统规定的权限内进行操作,这是防
6、止非法入侵最基本的一种保护措施;三级或三级以上系统要求必须提供两种(两次口令鉴别不属于这种情况)或两种以上 组合的鉴别技术进行身份鉴别(口令+C A 证书),在身份鉴别强度上有了更大的提 高;条款理解条款理解为每一个登录用户提供唯一的标识,这样应用系统就能对每一个用户的行为进行审计;同时,为了增加非授权用户使用暴力猜测等手段破解用户鉴别信息的难度,应保证用户的鉴别信息具有一定的复杂性,如用户的密码的长度至少为8位、密 码是字母和数字的组合等;应用系统应提供登录失败处理功能,如限制非法登录次数等,登录失败次数应能 根据用户根据实际情况进行调整;另外,要求应用启用这些功能,并根据安全策 略配置参数
7、。条款理解检查方法询问系统管理员,了解身份鉴别措施的部署和实施情况。根据了解的情况,检查应用系统是否按照策略要求进行了相应的配置;在条件允许的情况下,验证功能是否正确。如:测试系统,验证其登录控制模块 功能是否生效(如分别使用正确密码和错误密码登录系统,查看是否成功);漏 洞扫描,检查应用系统是否存在弱口令和空口令用户;用密码破解工具测试口令 是否具备一定复杂性。检查方法要求项A.应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;B.访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;C)应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限;访问控制要
8、求项(6)要求项D.应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系;E.应具有对重要信息资源设置敏感标记的功能;F.应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。访问控制要求项(6)条款理解三级系统要求访问控制的粒度达到文件、数据库表级,权限之间具有制约关系(如:操作、管理、审计权限的三权分离),并利用敏感标记控制用户对重要信息 资源的操作;在应用系统中应严格限制默认用户的访问权限,默认用户一般指应用系统的公共 帐户或测试帐户;应用系统授予帐户所承担任务所需的最小权限,如某岗位只需进行查询操作,则 无需为其分配操作权限;同时,该项要求明确规定应在不同
9、帐户之间形成相互制 约关系;条款理解条款理解敏感标记是表示主体/客体安全级别关系的一组信息,通过比较标记来控制是否允许主体对客体的访问,标记不允许其他用户进行修改,包括资源的拥有者,在可信计算中把敏感标记作为强制访问控制决策的依据;在三级系统中,要求 应用系统应提供设置敏感标记的功能,通过敏感标记控制用户对重要信息资源 的访问。条款理解检查方法询问系统管理员,了解访问控制措施的部署和实施情况。根据了解的情况,检查应用系统是否按照策略要求进行了相应的配置在条件允许的情况下,验证功能是否正确。如:以管理员身份进行审计操作,查 看是否成功;以审计员身份添加用户、修改或分配权限(根据业务类型测试其他
10、管理权限),查看是否成功;测试访问控制是否覆盖到主体对客体的操作。检查方法要求项A.应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;B.应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录;C.审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结 果等;D.应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。安全审计要求项(4)条款理解三级系统强调对每个用户的重要操作进行审计,重要操作一般包括登录/退出、改变访问控制策略、增加/删除用户、改变用户权限和增加/删除/查询数据等;应用系统应对审计进程或功能进行保护,如果处理审计的事务是一个单独的进程
11、,那么应用系统应对审计进程进行保护,不允许非授权用户对进程进行中断;如果审 计是一个独立的功能,则应用系统应防止非授权用户关闭审计功能;另外,应用系 统应对审计记录进行保护。条款理解检查方法询问系统管理员,了解安全审计措施的部署和实施情况。重点检查应用系统是否对每个用户的重要操作进行了审计,同时可通过进行一些 操作来测试审计记录的准确性(如用户登录/退出、改变访问控制策略、增加/删除 用户、改变用户权限和增加/删除/查询数据等,测试应用系统是否进行了正确的审 计);测试系统是否对于审计记录进行了保护。检查方法要求项A.应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除,无论
12、这些信息是存放在硬盘上还是在内存中;B.应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或 重新分配给其他用户前得到完全清除。剩余信息保护要求项(2)条款理解该项要求是为了防止某个用户非授权获取其他用户的鉴别信息、文件、目录和数据库记录等资源,应用系统应加强内存和其他资源管理。检查方法询问系统管理员,了解剩余信息保护方面采取的措施。根据了解的情况,测试其采取的措施是否有效,如以某个用户进行操作,操作完 成退出系统后系统是否保留有未被删除的文件等。条款理解检查方法A)应采用密码技术保证通信过程中数据的完整性。通信完整性要求项(1)条款理解该项要求强调采取密码技术来保证通信过程中的数
13、据完整性,普通加密技术无法保证密件在传输过程中不被替换,还需利用Hash函数(如M D 5、S H A 1 和 M A C)用于完整性校验,但不能利用C R C 生成的校验码来进行完整性校验。检查方法询问系统管理员,了解通信完整性方面采取的措施。可通过查看文档或源代码等方法来验证措施是否落实;如果条件允许,则可设计 测试用例进行测试。条款理解检查方法要求项A.在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;B.应对通信过程中的整个报文或会话过程进行加密。通信保密性要求项(2)条款理解该项要求强调整个报文或会话过程进行加密,同时,如果在加密隧道建立之前需要传递密码等信息,则应采
14、取密码技术来保证这些信息的安全。检查方法询问系统管理员,了解通信保密性方面采取的措施,分析其会话初始化过程是否安全。可通过抓包工具进行测试(如S n i ffer pro)获取通信双方的内容,查看系统是 否对通信双方的内容进行了加密。条款理解检查方法要求项A.应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能;B.应具有在请求的情况下为数据原发者或接收者提供数据接收证 据的功能。抗抵赖要求项(2)条款理解该项要求强调应用系统应提供抗抵赖措施(如数字签名等),从而保证发送和接收方都是真实存在的用户。检查方法询问系统管理员,了解抗抵赖方面采取的措施。可通过查看文档或源代码等方法来验证措
15、施是否落实。如条件允许,可进行测试,如通过双方进行通信,查看系统是否能提供在请求的 情况下提供原发证据和接收证据。条款理解检查方法要求项A.应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;B.应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能 够进行恢复。软件容错要求项(2)条款理解为了防止S Q L注入等攻击,软件应对用户输入数据的长度和格式等进行限制。当时系统发生故障时能够保护业务状态及配置信息,便于故障恢复。检查方法询问系统管理员,了解软件容错方面采取的措施。可通过查看文档或源代码等方法来验证措施是否落实,并在界面上输入超过
16、长度或 格式不符合要求(如、and 1=1、-)的数据,验证其功能是否正确。条款理解检查方法要求项A.当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;B.应能够对系统的最大并发会话连接数进行限制;C)应能够对单个帐户的多重并发会话进行限制;D)应能够对一个时间段内可能的并发会话连接数进行限制;资源控制要求项(7)要求项E.应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额;F.应能够对系统服务水平降低到预先规定的最小值进行检测和报警;G)应提供服务优先级设定功能,并在安装后根据安全策略设定访问帐户或请求进程的优先级,根据优先级分配系统资源。资源控
17、制要求项条款理解资源控制是为了保证大多数用户能够正常的使用资源,防止服务中断,应用系统应采取限制最大并发连接数、请求帐户的最大资源限制等措施。检查方法询问系统管理员,了解资源控制措施的部署和实施情况。根据了解的情况,检查应用系统是否配备了相应的功能,在条件允许的情况下,验证功能是否正确(如测试是否限制了单个账户的多重并发,资源降低到最 小值时是否告警等)。条款理解检查方法数据安全与数据安全与备备份恢复份恢复要求项A.应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;B.应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程
18、中完整 性受到破坏,并在检测到完整性错误时采取必要的恢复措施。数据完整性要求项(2)条款理解该项要求强调不仅要保证管理数据、鉴别信息和重要业务数据传输中的完整性,而且要保证存储过程中的完整性并且在检测到完整性受到破坏时采取恢复措施。检查方法询问系统管理员,了解数据完整性措施部署和实施情况。根据了解的情况,检查应用系统是否配备了相应的功能,在条件允许的情况下,验 证功能是否正确(如采用抓包工具-BP,截取并修改数据包进行测试等)。条款理解检查方法要求项A.应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性;B.应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数
19、据 存储保密性。数据保密性要求项(2)条款理解该项要求强调不仅要保证管理数据、鉴别信息和重要业务数据传输数据的保密性,而且要保证存储过程中的保密性。检查方法询问系统管理员,了解数据保密性措施部署和实施情况。根据了解的情况,检查应用系统是否配备了相应的功能(秘文传输及存储),在条件允许的情况下,验证功能是否正确(可验证传输及存储的秘文信息 是否可被以其他方式还原)。条款理解检查方法要求项A.应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放;B.应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场 地;C.应采用冗余技术设计网络拓扑结构,避免关键节点存在单点故
20、障;D)应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性;备份和恢复要求项(4)条款理解该项要求对备份策略进行了明确的要求,即“完全数据备份至少每天一次,备份介质场外存放”,并且强调应提供异地数据备份功能。这部分主要检查文件型数据的备份和恢复方式。检查方法询问系统管理员,了解备份和恢复方面采取的措施。根据了解的情况,实地查看并检查相应措施是否落实,如果条件允许,则验证其 是否有效(备份数据是否能够恢复,保证安全的情况下是否做过测试)。条款理解检查方法应用安全的背景与趋势应用安全测评的特点和方法 主要测评内容及正确理解 应用安全测评整体分析验证测试通过对测评结果的整理,并
21、与预期结果进行比较,初步判定各个应用系统的单项符合情况,在判定时需结合业务和数据流程进行分析,不能从单点结果进行判断;在单项判定后,需要结果其他层面的测评结果进行综合分析,从整体上分析其他 层面的安全措施能否弥补应用层面的安全弱点,如并发连接数的限制,在应用系统上 很难实现,往往在应用平台(如IIS等)上进行配置。应用安全测评整体分析结果整理综合分析序号类型描述1安全控制间如果代码安全没有做好,很可能会使应用系统的访问控制被绕过、被旁路。2层面间对于通过网络访问控制、隔离等措施限定在特定区域(物理和网络)范围内才能访问 的应用程序,可以适当降低身份鉴别等安全控制的要求【网络安全与应用安全】。对
22、只能通过特定主机才能访问的应用程序,可以通过主机系统的身份鉴别等增强其身 份鉴别功能【主机安全与应用安全】。3区域间主要考虑不同区域间存在的安全功能增强、补充和削弱等关系。4系统结构主要考虑信息系统整体结构的安全性和整体安全防范的合理性。应用安全的背景与趋势应用安全测评的特点和方法 主要测评内容及正确理解 应用安全测评整体分析验证测试验证测试漏洞扫描在实际的工作中常作为安全弱点(漏洞)发现 的主要手段之一,存在安全漏洞不代表一定存在风险,安全控制措施是对安全弱点的补充,渗透测试的主要目 的就是结合实际环境验证系统的安全防范能力。验证测试在等级测评中不是独立存在的,验证测试的结 果需要与其他测评方法相结合,综合判断测评项的符合 性,进而较为真实的反应被测系统的安全防范能力。新旧版本标准的对比等级测评工作要求依据标准 恰当选取 规范行为遵循原则 保证强度 规避风险