信息安全测评实验三
一、实验目的
通过对网站系统进行安全测评和安全加固,掌握应用安全测评方案的设计、安全测评实施及结果分析;掌握安全加固的方法。
二、实验题目
根据《信息系统安全等级保护基本要求》的第三级基本要求,按照实验指导书中的示范,对网站应用进行安全测评,安全等级为三级
选用应用网站网址:
三、实验设计
应用安全涉及人类工作和生活的方方面面,为了考虑计算机应用系统的安全,需要逐一分析各行各业的特点,可是这是难以做到的。因此,我们只能把握计算机应用系统的基础,有什么样的安全测评要求,以便在这条“高速公路”上行驶的“人员”能够“放心驾驶”。至于“他们开什么样的车,开往何方”等,则只好在今后的测评工作中就事论事了。国家标准从管理和技术两个层面,对应用安全测评提出了若干条款。按照三级要求,国家标准中把应用安全的分为身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错和资源控制九个方面。
(1)身份鉴别。
b) 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;
可以通过登陆时是否需要验证以及具体需要验证的种类来查看。
(2)访问控制。
e) 应具有对重要信息资源设置敏感标记的功能;
f) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;
通过访问管理员的方式。
(3)安全审计。
b) 应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录;
查看二进制日志是否有修改编辑的选项。
d) 应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。
查看二进制日志是否有自动分析过滤生成报表的功能。
(4)剩余信息保护。
a) 应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;
b) 应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。
1.询问管理员,具体措施有哪些。
2.检查设计/验收文档。
3.以普通用户身份登录并进行一些操作。
(5)通信完整性。
应采用密码技术保证通信过程中数据的完整性。
访问管理员在通信过程中是否对数据加密。或者查看系统设置,看是否有对信息加密处理的选项设置。
(6)通信保密性。
b) 应对通信过程中的整个报文或会话过程进行加密。
访问管理员在通信过程中是否对信息加密。或者查看系统设置,看是否有对信息加密处理的选项设置。
(7)抗抵赖。
a) 应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能;
b) 应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。
访问管理员,询问系统是否具有抗抵赖性,具体措施有哪些。
(8)软件容错。
b) 应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。采用渗透测试的方法来验证系统中是否存在明显的弱点。
(9)资源控制。
d) 应能够对一个时间段内可能的并发会话连接数进行限制;
e) 应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额;
f) 应能够对系统服务水平降低到预先规定的最小值进行检测和报警;
g) 应提供服务优先级设定功能,并在安装后根据安全策略设定访问帐户或请求进程的优先级,根据优先级分配系统资源。
1.访问管理员,是否有相应措施。
2.查看资源控制列表,是否有相应选项。
四、实验记录
1) 身份鉴别
本项要求包括:
a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别;
(1)访谈应用系统管理员,询问应用系统是否提供专用的登录控制模块对登录的用户进行身份标识和鉴别,采用何种方式对用户进行身份标识和鉴别。
预期结果:在业务需要的情况下应该提供专用的登录控制模块对登录的用户进行身份标识和鉴别。
(2)检查应用系统,查看用户是否必须通过专用的登录控制模块才能登录该系统,查看身份标识和鉴别的方式。
步骤:打开http://目标主机IP 地址/dede/login.php,查看用户是否需要进行身份标识和鉴别。
测试结果:需要进行身份标识和鉴别,用户必须通过专用的登陆控制模块才能登陆系统。(3)以某注册用户身份登录系统,查看登录是否成功。
步骤:打开http://目标主机IP 地址/dede/login.php,然后用注册账户admin,密码admin 登录系统。查看是否能够登录成功;
测试结果:用正确的注册用户身份可以登录系统。
(4)以非法用户身份登录系统,查看登录是否成功。
步骤:在登录栏处,随意输入一个未经注册的非法用户,查看是否能够登录成功。
测试结果:用非注册用户身份或者错误的注册用户身份信息不可以登录系统。
b) 应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;
(1)询问应用系统管理员,应用系统的用户身份标识是否唯一。采取了什么措施防止身份鉴别信息被冒用。
测试结果:用户身份标识唯一,并采取措施防止身份鉴别信息被冒用。
(2)检查总体规划/设计文档,查看其是否有系统采取了唯一标识的说明。查看其身份鉴别信息是否具有不易被冒用的特点。
测试结果:对用户身份唯一标识有文档说明。
(3)检查应用系统是否有专门的设置保证用户身份鉴别信息不易被冒用,如果应用系统采用口令进行身份鉴别,则查看是否有选项或设置强制要求口令长度、复杂度、定期修改等。步骤1:使用正确用户名和密码登录后台,依次点击[系统] -> [系统用户管理],在出现的界面上点击[更改]选项,进入后会看到相应的修改提示。
步骤2:按照修改提示设置新的用户密码,检查系统是否配备了鉴别信息复杂度的检查功能。在检查时,使用简单口令,如“1”,输入安全验证串,然后点击[保存用户],查看系统是否具有口令复杂度检查功能。
预期结果:应有口令长度、复杂度的设置,并可以控制用户口令是否进行定期修改。(4)以已有的用户名重新注册,测试系统是否禁止该操作。
步骤1:依次点击[系统] -> [系统用户管理],在出现的界面上点击[增加管理员]选项。
步骤2:用已注册用户名admin 尝试注册。
测试结果:禁止已有用户名的重新注册,提供了用户身份标识唯一和鉴别信息复杂度检查功能。
(5)扫描应用系统,测试其鉴别信息复杂度检查功能,检查系统是否不允许存在弱口令、空口令等。
步骤1:在添加用户时,在密码处不输入任何字符,查看是否允许存在空口令操作。
步骤2:在添加用户时,在密码处输入简单字符,如“11”,查看是否允许存在弱口令操作。
测试结果:允许存在弱口令、空口令。
c) 应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;(1)询问管理员应用系统是否具有登录失败处理的功能(如结束会话、限制非法登录次数,当登录连接超时,自动退出等),是如何进行处理的。
测试结果:应当限制登录失败次数。当登录连接超时,应当自动退出或提示。
(2)检查应用系统,如果有登录失败处理设置选项或模块,查看系统是否设置或选中了该功能。
步骤:点击系统设置,查看是否有登录失败处理设置或模块,再进行查看。
测试结果:登录失败时没有相应提示或处理选项、模块。
(3)根据应用系统使用的登录失败处理方式,采用如下测试方法之一或全部:
步骤1:以错误的用户名或密码登录系统,查看系统的反应。
步骤2:以系统规定的非法登录次数登录系统,查看系统的反应。
步骤3:登录系统进行连接超时时,查看系统的反应。
测试结果:用错误的用户名或密码无法登录。登录失败次数超出限制时,系统有相应处理。登录系统超时后有相应处理。
d) 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。
步骤1:询问系统管理员应用系统的身份鉴别、身份标识唯一性检查、鉴别信息复杂度检查以及登录失败处理功能是否有专门的模块或选项,是否有相关参数需要配置。
测试结果:对身份鉴别、身份标识唯一性检查、鉴别信息复杂度检查以及登录失败处理功能应有专门的模块、选项或配置参数。
步骤2:如果有参数需要配置,则查看实际配置情况,是否已经启用上述功能。
测试结果:如有相关参数配置,应开启了上述功能。
e) 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;
步骤:打开http://目标主机IP 地址/dede/login.php,然后查看如何才能够登录成功;
方法2:以管理员root的身份登陆,而后查看【系统】---【验证安全设置】选项
测试结果:使用了验证码和用户密码口令两种鉴别技术。
2) 访问控制
本项要求包括:
a) 应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;
(1)询问应用系统管理员,系统是否提供访问控制功能,访问控制策略是什么?自主访问控制的粒度如何?
测试结果:系统应提供访问控制功能,访问控制策略。
(2)检查应用系统,查看系统是否提供访问控制机制。
步骤:浏览器地址栏键入“目标主机IP 地址/phpmyadmin”,用户名键入root,密码为空,选择[数据库]项,检查用户对各个数据库的访问权限。