应用安全测评指导书
安全测评方案
安全测评方案1. 简介安全测评(Security Assessment)是评估系统、网络或应用程序的安全性,发现其中可能存在的安全漏洞和风险,并提供相应的改进建议和解决方案。
本文档旨在提供一套完整的安全测评方案,以确保系统的安全性和可靠性。
2. 测评目标在制定安全测评方案之前,我们需要明确测评的目标和范围。
以下是几个常见的测评目标:•验证系统的核心功能和安全机制是否正常运作;•发现和修复潜在的安全漏洞和弱点;•评估系统的可用性和容灾能力;•检测系统是否符合合规性要求。
3. 测评方法基于测评目标,我们可以采用以下几种常见的测评方法:3.1 黑盒测试黑盒测试(Black Box Testing)是一种不依赖于内部实现细节的测试方法。
测试人员只关注系统的输入和输出,通过模拟各种情况和攻击场景来测试系统的安全性。
黑盒测试能够发现一些常见的漏洞和薄弱点,如输入验证不充分、权限控制错误等。
3.2 白盒测试白盒测试(White Box Testing)是一种基于内部实现细节的测试方法。
测试人员可以访问系统的源代码、配置文件等敏感信息,以便深入分析和测试系统的各个组件。
白盒测试能够发现一些高级漏洞和安全风险,如代码注入、权限提升等。
3.3 灰盒测试灰盒测试(Gray Box Testing)是黑盒测试和白盒测试的结合。
测试人员具有一定的系统知识和控制权限,但不了解系统的全部细节。
灰盒测试能够发现一些需要特殊权限或特定知识才能利用的漏洞和隐患。
3.4 静态测试静态测试是在系统运行之前对系统的代码、配置文件等静态资源进行分析和检测的过程。
静态测试能够发现一些常见的静态漏洞和安全问题,如未使用的变量、硬编码密码等。
3.5 动态测试动态测试是在系统运行时对系统的行为进行实时监控和测试的过程。
动态测试能够发现一些动态漏洞和安全问题,如跨站脚本攻击(XSS)、SQL注入等。
4. 测评步骤为了保证测评的全面性和有效性,我们建议按以下步骤进行安全测评:4.1 明确测评目标和范围在开始测评之前,明确测评的目标和范围是非常重要的。
网络安全评测指导书
1)Router ospf 100 area 1 authentication message_digest interface FastEthernet0/0
ip ospf message_digest_key 1 md5 xxx
2)Router eigrp 100
Redistribute ospf 100 metric 10000 100 1 255 1500 router-map cisco
1)检查在网络边界处是否对网络攻击进行检测的相关措施
1)在网络边界处部署了IDS(IPS)系统,或UTM启用了入侵检测(保护)功能
b)在检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
1)检查网络攻击检测日志
2)检查采用何种报警方式
1)有网络攻击相关日志记录;
或
Radius-server host 192.168.1.1 sigle-connecting
存在类似如下配置项:
Ip access-list extended 111
Deny ip x.x.x.0 0.0.0.255 any log
Interface f 0/0
Ip access-group 111 in
路由器一些不需要的服务都关闭
c)限制网络最大流量数及网络连接数
询问网络管理员,根据网络现状是否需要限制网络最大流量及网络连接数:
1)有如下类似配置:
Class-ma match-all voice
Match access-group 100
Policy-map voice-policy
Class voice
Bandwidth 60
应用安全测评指导书
1应用安全测评指导书应用系统安全测评序号测评指标测评项检查方法预期结果1身份鉴别a)检查应用系统的身份标识与鉴别功能设置和使用配置情况;检查应用系统对用户登录各种情况的处理,如登录失败处理、登录连接超时等。
访谈: 1)访谈应用系统管理员,询问应用系统的身份标识和鉴别机制采用何种措施实现; 2)登录应用系统,查看是否提示输入用户口令,然后以正确口令登录系统,再以错误口令或空口令重新登录,观察是否成功。
1)应用系统使用口令鉴别机制对用户进行身份标识和鉴别; 2)登录时提示输入用户名和口令;以错误口令或空口令登录时提示登录失败,验证了登录控制功能的有效性;3)应用系统不存在密码为空的用户。
b)检查应用系统的身份标识与鉴别功能设置和使用配置情况;检查应用系统对用户登录各种情况的处理,如登录失败处理、登录连接超时等。
访谈: 1)访谈应用系统管理员,询问应用系统是否采用了两种及两种以上身份鉴别技术的组合来进行身份鉴别(如采用用户名/口令、挑战应答、动态口令、物理设备、生物识别技术中的任意两种组合);手工检查:1)通过注册用户,并以一种身份鉴别技术登录,验证是否可以登录。
用户的认证方式选择两种或两种以上组合的鉴别技术,只用一种技术无法认证成功。
c)检查应用系统的身份标识与鉴别功能设置和使用配置情况;检查应用系统对用户登录各种情况的处访谈: 1)访谈应用系统管理员,询问应用系统采取何种措施防止身份鉴别信息被冒用(如复杂性混有大、小写字母、数字和特殊字符,口令周期等);手工检查: 1)以弱口令用户注册,验证其用1)应用系统配备身份标识(如建立帐号)和鉴别(如口令等)功能;其身份鉴别信息具有不易被冒用的特点,规定字符混有大、小写字母、数字和特殊字符);2)以不符合复杂度要求和不符合长度要求理,如登录失败处理、登录连接超时等。
户是否注册成功。
的口令创建用户时均提示失败。
d)检查应用系统的身份标识与鉴别功能设置和使用配置情况;检查应用系统对用户登录各种情况的处理,如登录失败处理、登录连接超时等。
公安部信息安全等级保护——应用安全测评培训资料
6
内容目录
1. 背景介绍 2. 应用测评的特点和方法 3. 主 要 测 评 内 容 4. 结果整理和分析
7
应用测评的特点
安全功能和配置检查并重
和数据库、操作系统等成熟产品不同,应用系统现场测评 除检查安全配置外,还需验证相关安全功能是否正确
36%
Source: NIST
Encryption Module Network Protocol Stack Other Communication Protocol Hardware Operating System Non-Server Applications Server Applications
NIST的报告显示,超过90% 92% of reported vulnerabilities are in
的安全漏洞是应用层漏洞 ,它已经远远超过网络、
applications, not networks
0% 1% 2% 2% 3% 15%
操作系统和浏览器的漏洞 41%
数量,这个比例还有上升
的趋势。
16
访问控制
要求项(一)
应提供访问控制功能,依据安全策略控制用户对文件、数 据库表等客体的访问;
访问控制的覆盖范围应包括与资源访问相关的主体、客体 及它们之间的操作;
应由授权主体配置访问控制策略,并严格限制默认帐户的 访问权限;
应用测评中不确定因素较多
业务和数据流程不同,需根据业务和数据特点确定范围 应用系统安全漏洞发现困难,很难消除代码级的安全隐患
测评范围较广,分析较为困难
软件产品测评作业指导书
软件产品测评作业指导书一、作业概述本次作业将围绕着软件产品测评展开,旨在让学生对软件产品的质量控制和测评方法有一定的了解,并能从用户的角度出发,评估软件产品的可用性、可靠性、易用性等方面。
本次作业的要求包括调研、评估、撰写报告。
二、作业要求1、选定一款软件产品进行调查研究,可选对象为自己使用过的一款软件产品或在市场上比较知名的一款软件产品。
2、对所选软件产品进行全面的测评,包括以下方面:(1)软件产品的特点和优劣势,从用户的角度出发评价软件的可用性、可靠性、易用性等方面;(2)用户界面和操作流程的评估,挑选关键功能单项测试;(3)软件性能的评估,包括系统资源占用情况、响应速度、处理能力等;(4)安全性的评估,包括隐私保密、安全漏洞等方面;(5)兼容性的评估,包括不同操作系统、不同浏览器、不同分辨率等方面。
3、根据实际情况确定测评的方式和方法,可以通过问卷调查、访谈、实际使用、数据分析等方式进行测评。
4、根据测评结果撰写测评报告,包括以下内容:(1)软件产品介绍,包括软件的基本信息、发布时间和版本信息等;(2)测评步骤和方法,简述测评的过程和使用的方法;(3)测评结果和分析,针对软件的特点、功能和性能,对其进行评价和分析;(4)问题和建议,从用户的角度出发,提出软件在使用过程中的问题和可能的改进建议;(5)总结和结论,总结本次测评的过程和结果,给出结论和建议。
5、文献资料要求:请采用规范的文献引用标准,包括正文自引、直接引用和间接引用等。
6、参考要求:请在文献资料中至少引用5篇外部参考文献。
三、参考资料1、软件测试和评估:从理论到实践(刘杰,张英华)2、软件测试:原理、方法和工具(周峻红,王明明)3、软件测试:测试流程和方法(江汉龙)4、软件质量:原理、实践和管理(Dominic Schmitz)5、基于质量的软件测试与评价(中国科学院软件研究所)。
软件测试现场测评作业指导书
软件测试现场测评作业指导书全文共四篇示例,供读者参考第一篇示例:软件测试现场测评作业指导书一、概述软件测试是软件开发生命周期中非常重要的一个环节,通过测试可以发现和修复软件中的bug,提高软件的质量和稳定性。
软件测试现场测评是一种常用的测试方法,它通过模拟用户的实际使用场景对软件进行全面测试,以验证软件的功能性、性能和稳定性。
本文将指导您如何进行软件测试现场测评作业,帮助您更好地掌握测试的方法和技巧。
二、准备工作在进行软件测试现场测评作业之前,需要进行一些准备工作,以确保测试的顺利进行。
具体的准备工作包括:1. 确定测试的目标和范围:在进行测试之前,需要明确测试的目标和范围,以便有针对性地开展测试工作。
2. 确定测试的时间和地点:确定测试的时间和地点,确保测试人员能够按时参加测试,并提供必要的测试环境和设备。
3. 准备测试用例:根据测试的目标和范围编写测试用例,包括功能测试用例、性能测试用例和稳定性测试用例等。
4. 招募测试人员:根据测试的需求招募合适的测试人员,确保每个测试人员都具有一定的测试经验和技能。
5. 准备测试工具:根据测试的需求准备相应的测试工具,包括自动化测试工具、性能测试工具和缺陷管理工具等。
6. 进行培训和演练:在测试正式开始之前,进行相关培训和演练,帮助测试人员熟悉测试流程和工具,提高测试效率和质量。
三、测试流程软件测试现场测评作业的测试流程通常包括以下几个步骤:1. 测试准备阶段:在测试准备阶段,测试人员需要对测试环境和设备进行检查和调试,确保测试的正常进行。
2. 功能测试阶段:在功能测试阶段,测试人员将根据测试用例对软件的功能进行测试,验证软件是否满足需求规范。
3. 性能测试阶段:在性能测试阶段,测试人员将对软件的性能进行测试,包括响应速度、稳定性和负载能力等。
5. 缺陷整理和反馈:在测试完成后,测试人员需要整理测试结果,将发现的bug和建议反馈给开发人员,以便及时修复和改进。
测评指导书(二级)
XXXXXX公司XXXXXX等级测评项目测评指导书XXXXXX信息安全测评技术中心2009年10月Document Control第 2 页共110 页目录第1章安全管理测评指导书 (5)1.1安全管理机构测评 (5)1.2安全管理制度测评 (8)1.3人员安全管理测评 (10)1.4系统建设管理测评 (12)1.5系统运维管理测评 (17)第2章物理安全测评指导书 (26)2.1物理安全测评 (26)第3章网络安全测评指导书 (34)3.1网络全局安全测评 (34)3.2路由器安全测评 (36)3.2.1思科路由器安全测评 (36)3.3交换机安全测评 (40)3.3.1华为交换机安全测评 (40)3.3.2思科交换机安全测评 (43)3.4防火墙安全测评 (46)3.4.1PIX防火墙安全测评 (46)3.4.2天融信防火墙安全测评 (48)3.4.3华为防火墙安全测评 (51)3.5远程拨号服务器安全测评 (53)3.6入侵检测/防御系统安全测评 (54)第4章操作系统安全测评指导书 (57)4.1W INDOWS操作系统安全测评 (57)4.2T RU64操作系统安全测评 (61)4.3L INUX操作系统安全测评 (69)4.4S OLARIS操作系统安全测评 (74)4.5A IX操作系统安全测评 (78)第 3 页共110 页第5章应用系统安全测评指导书 (82)5.1应用系统安全测评 (82)5.2IIS应用安全测评 (87)5.3A PACHE应用安全测评 (89)第6章数据库安全测评指导书 (93)6.1SQL S ERVER数据库安全测评 (93)6.2O RACLE数据库安全测评 (98)6.3S YBASE数据库安全测评 (103)第 4 页共110 页第1章安全管理测评指导书1.1安全管理机构测评第 5 页共110 页第 6 页共110 页第7 页共110 页1.2安全管理制度测评第8 页共110 页第9 页共110 页1.3人员安全管理测评第10 页共110 页第11 页共110 页1.4系统建设管理测评第12 页共110 页第13 页共110 页第14 页共110 页第15 页共110 页第16 页共110 页1.5系统运维管理测评第17 页共110 页第18 页共110 页第19 页共110 页第20 页共110 页第21 页共110 页第22 页共110 页第23 页共110 页第24 页共110 页第25 页共110 页第2章物理安全测评指导书2.1物理安全测评第26 页共110 页第27 页共110 页第28 页共110 页第29 页共110 页第30 页共110 页第31 页共110 页第32 页共110 页第33 页共110 页第3章网络安全测评指导书3.1网络全局安全测评第34 页共110 页第35 页共110 页3.2路由器安全测评3.2.1思科路由器安全测评第36 页共110 页第37 页共110 页第38 页共110 页第39 页共110 页3.3交换机安全测评3.3.1华为交换机安全测评第40 页共110 页第41 页共110 页第42 页共110 页3.3.2思科交换机安全测评第43 页共110 页第44 页共110 页第45 页共110 页3.4防火墙安全测评3.4.1PIX防火墙安全测评第46 页共110 页第47 页共110 页3.4.2天融信防火墙安全测评第48 页共110 页第49 页共110 页第50 页共110 页。
安全评估作业指导书
编制: 日期:
审核: 日期:
批准: 日期:
作业指导书
XX 公司
AD-WR-560-175X 编号: 版号:01
新工艺、新技术、新材料、 新工艺、新技术、新材料、新设备 页码:2/3 安全评估作业指引
3.3.2 实施评估阶段 a. 需从外部引进(或采购)的新工艺、新 技术、新材料、新设备,采购部应会同 公司生产部、PIE 部、品管部等相关部 门对供应商进行审查评估并确定合格的 供应商, 对供应商的审查评估应包括供应商的资质审查 (是否具备相应 的资格)和产品的质量及服务保证审查; b. 经审查评估合格的供应商, 采购部应要求其提供相关资料作好备份并建 立供应商档案, 相关资料应包括供应商的生产或经营许可证、 产品的出 厂证明、使用说明书、合格证等; c. 选定供应商后,采购部应会同 PIE 部及公司相关部门与其签订相关协 议,协议的内容应包括引入(或运输)方式、安装、调试、维护保养、 培训、技术指导及其他要求、损失责任及违约责任等; d. 协议签订后,采购部应将产品相关资料(出厂证明、使用说明书、产品 合格证等)及协议备份件提交品管部、PIE 部、安全部等相关部门; e. 由外部引入(或采购)或自行研发(或自制、自行改装)的新工艺、新 技术、新材料、新设备到位后,PIE 部应召集生产、品管、采购、安监 等相关部门进行现场调试并进行综合评估,并及时拟定作业规程提交安 全部审核;需要新增多工序、多岗位的,PIE 部还应制定各生产工序或 岗位的标准作业规范; f. 安全部应认真评估,及时提出评估意见和建议,拟定安全评估报告,并 对 PIE 部提交的作业规程进行认真审核。 3.3.3 评估总结阶段 a. 实施评估阶段结束后,PIE 部应及时召集生产使用部门、品管部、安全 部(及采购部)等相关部门召开评估总结会议; b. 评估总结会议主要议程包括: ※ 审议安全评估报告司
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1应用安全测评指导书应用系统安全测评序号测评指标测评项检查方法预期结果1身份鉴别a)检查应用系统的身份标识与鉴别功能设置和使用配置情况;检查应用系统对用户登录各种情况的处理,如登录失败处理、登录连接超时等。
访谈: 1)访谈应用系统管理员,询问应用系统的身份标识和鉴别机制采用何种措施实现; 2)登录应用系统,查看是否提示输入用户口令,然后以正确口令登录系统,再以错误口令或空口令重新登录,观察是否成功。
1)应用系统使用口令鉴别机制对用户进行身份标识和鉴别; 2)登录时提示输入用户名和口令;以错误口令或空口令登录时提示登录失败,验证了登录控制功能的有效性;3)应用系统不存在密码为空的用户。
b)检查应用系统的身份标识与鉴别功能设置和使用配置情况;检查应用系统对用户登录各种情况的处理,如登录失败处理、登录连接超时等。
访谈: 1)访谈应用系统管理员,询问应用系统是否采用了两种及两种以上身份鉴别技术的组合来进行身份鉴别(如采用用户名/口令、挑战应答、动态口令、物理设备、生物识别技术中的任意两种组合);手工检查:1)通过注册用户,并以一种身份鉴别技术登录,验证是否可以登录。
用户的认证方式选择两种或两种以上组合的鉴别技术,只用一种技术无法认证成功。
c)检查应用系统的身份标识与鉴别功能设置和使用配置情况;检查应用系统对用户登录各种情况的处访谈: 1)访谈应用系统管理员,询问应用系统采取何种措施防止身份鉴别信息被冒用(如复杂性混有大、小写字母、数字和特殊字符,口令周期等);手工检查: 1)以弱口令用户注册,验证其用1)应用系统配备身份标识(如建立帐号)和鉴别(如口令等)功能;其身份鉴别信息具有不易被冒用的特点,规定字符混有大、小写字母、数字和特殊字符);2)以不符合复杂度要求和不符合长度要求理,如登录失败处理、登录连接超时等。
户是否注册成功。
的口令创建用户时均提示失败。
d)检查应用系统的身份标识与鉴别功能设置和使用配置情况;检查应用系统对用户登录各种情况的处理,如登录失败处理、登录连接超时等。
访谈: 1)访谈应用系统管理员,询问应用系统是否配备并使用登录失败处理功能(如登录失败次数超过设定值,系统自动退出等),查看是否启用配置;手工检查: 1)应测试主要应用系统,验证其登录失败处理,非法登录次数限制等功能是否有效;1)应用系统已启用登陆失败处理、结束会话、限制非法登录次数等措施; 2)当超过系统规定的非法登陆次数登录操作系统时,系统锁定或自动断开连接;e)检查应用系统的身份标识与鉴别功能设置和使用配置情况;检查应用系统对用户登录各种情况的处理,如登录失败处理、登录连接超时等。
访谈: 1)访谈应用系统管理员,询问应用系统对用户标识在整个生命周期内是否具有唯一性(如UID、用户名或其他信息在系统中是唯一的,用该标识在整个生命周期内能唯一识别该用户);手工检查: 1)通过删除一个用户再重新注册相同标识的用户,查看能否成功,验证身份标识在整个生命周期内是否具有唯一性;1)添加测试账户不会成功; 2)系统不存在多人共用一个账户的情况。
2访问控制a)检查应用系统的访问控制功能设置情况,如访问控制的策略、访问控制粒度、权限设置情况等。
访谈: 1)访谈应用系统管理员,询问应用系统是否提供访问控制措施,具体措施有哪些,自主访问控制的粒度如何;手工检查:1)应检查主要应用系统,查看系统是否提供访问控制机制;是否依据安全策略控制用户应用系统提供访问控制功能模块,其功能控制用户对文件、数据库表等访问。
对客体(如文件和数据库中的数据)的访问;b)检查应用系统的访问控制功能设置情况,如访问控制的策略、访问控制粒度、权限设置情况等。
访谈: 1)访谈应用系统管理员,询问应用系统的访问控制功能模块是否根据实际环境设置安全策略;手工检查: 1)应测试主要应用系统,可通过用不同权限的用户登录,查看其权限是否受到应用系统的限制。
应用系统的重要文件及目录已根据用户级别设置了访问控制策略。
c)检查应用系统的访问控制功能设置情况,如访问控制的策略、访问控制粒度、权限设置情况等。
访谈: 1)访谈应用系统管理员,询问应用系统是否有对授权主体进行系统功能操作和对数据访问权限进行设置的功能,是否限制了默认用户的访问权限;手工检查: 1)应测试主要应用系统,可通过用默认用户(默认密码)登录,并用该用户进行操作(包括合法、非法操作),验证系统对默认用户访问权限的限制是否有效;应用系统限制授权用户对系统功能的操作和数据访问权限设置,并严格限制默认帐户的访问权限。
d)检查应用系统的访问控制功能设置情况,如访问控制的策略、访问控制粒度、权限设置情况等。
访谈:访谈应用系统管理员,询问应用系统特权用户的权限是否分离(如将系统管理员、安全员和审计员的权限分离),权限之间是否相互制约(如系统管理员、安全管理员等不能对审计日志进行管理,安全审计员不能管理审计功能的开启、关闭、删除等重要事件的审计日志等);系统管理员、安全管理员、安全审计员由不同的人员和用户担当。
至少应该有系统管理员和安全管理员,安全审计员在有第三方审计工具时可以不要求。
e)检查应用系统的访问访谈:访谈应用系统管理员,询问应用系统应用系统对重要信息控制功能设置情况,如访问控制的策略、访问控制粒度、权限设置情况等。
是否能对重要信息资源和访问重要信息资源的所有主体设置敏感标记,这些敏感标记是否构成多级安全模型的属性库,主体和客体的敏感标记是否以默认方式生成或由安全员建立、维护和管理;查看操作系统功能手册或相关文档,确认应用系统是否具备能对信息资源设置敏感标记功能;资源已设置敏感标记。
f)检查应用系统的访问控制功能设置情况,如访问控制的策略、访问控制粒度、权限设置情况等。
访谈:访谈应用系统管理员,询问应用系统的强制访问控制是否与用户身份鉴别、标识等安全功能密切配合,并且控制粒度达到主体为用户级,客体为文件和数据库表级;通过敏感标记设定用户对重要信息资源的访问。
3安全审计a)检查应用系统的安全审计配置情况,如覆盖范围、记录的项目和内容等;检查应用系统安全审计进程和记录的保护情况。
访谈:访谈安全审计员,询问应用系统是否有安全审计功能,对事件进行审计的选择要求和策略是什么,对审计日志的保护措施有哪些;查看其当前审计范围是否覆盖到每个用户。
系统开启了安全审计功能或部署了第三方安全审计设备。
b)检查应用系统的安全审计配置情况,如覆盖范围、记录的项目和内容等;检查应用系统安访谈: 访谈安全审计员,审计记录监控和保护采取的措施。
例如:通过专用日志服务器或存储设备对审计记录进行备份,并避免对审计记录的修改、删除或覆盖。
通过专用日志服务器或存储设备对审计记录进行备份,并避免对审计记录的修改、删除或覆盖。
全审计进程和记录的保护情况。
c)检查应用系统的安全审计配置情况,如覆盖范围、记录的项目和内容等;检查应用系统安全审计进程和记录的保护情况。
访谈: 访谈安全审计员,审计记录信息是否包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、事件成功或失败、身份鉴别事件中请求的来源(如末端标识符)、事件的结果等内容。
审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等内容。
d)检查应用系统的安全审计配置情况,如覆盖范围、记录的项目和内容等;检查应用系统安全审计进程和记录的保护情况。
访谈:访谈安全审计员,是否为授权用户浏览和分析审计数据提供专门的审计工具(如对审计记录进行分类、排序、查询、统计、分析和组合查询等),并能根据需要生成审计报表;能定期生成审计报表并包含必要审计要素。
4剩余信息保护a)检查应用系统的剩余信息保护情况,如将用户鉴别信息以及文件、目录和数据库记录等资源所在的存储空间再分配时的处理情况。
访谈: 1)检查产品的测试报告、用户手册或管理手册,确认其是否具有相关功能;或由第三方工具提供了相应功能。
1)如果测试报告、用户手册或管理手册中没有相关描述,且没有提供第三方工具增强该功能,则该项要求为不符合。
b)检查应用系统的剩余信息保护情况,如将用户鉴别信息访谈: 1)检查产品的测试报告、用户手册或管理手册,确认其是否具有相关功能;或由第三方工具提供了相应1)如果测试报告、用户手册或管理手册中没有相关描述,且没有提供第三方工具增强该功能,则该项要求为不以及文件、目录和数据库记录等资源所在的存储空间再分配时的处理情况。
功能。
符合。
5通信完整性应采检查应用系统客户端和服务器端之间的通信完整性保护情况。
访谈: 1)访谈安全员,询问应用系统是否有数据在传输过程中进行完整性保证的操作,具体措施是什么;手工检查: 1)检查产品的测试报告,查看其是否有通信完整性的说明,如果有则查看其是否有系统是根据校验码判断对方数据包的有效性的,用密码计算通信数据报文的报文验证码的描述;可通过Hash函数(如MD5、SHA和MAC)对完整性进行校验,但不能使用CRC。
通过获取通信双方的数据包,查看通信报文含有验证码。
6通信保密性a)检查应用系统客户端和服务器端之间的通信保密性保护情况。
访谈: 访谈安全员,应用系统是否能在通信双方建立会话之前,利用密码技术进行会话初始化验证(如SSL建立加密通道前是否利用密码技术进行会话初始验证);在通信双方建立连接之前利用密码技术进行会话初始化验证。
b)检查应用系统客户端和服务器端之间的通信保密性保护情况。
访谈: 访谈安全员,询问应用系统数据在存储和传输过程中是否采取保密措施(如在通信过程中对敏感信息字段进行加密等),具体措施有哪些;通过查看通信双方数据包的内容,查看系统在通信过程中,对整个报文或会话过程进行加密的功能。
7抗抵赖a)检查应用系统对原发方和接收方访谈:访谈安全员,系统是否具有抗抵赖的措施,具体措施有哪应用系统提供在请求的情况下为数据原发者或接收者提供数据。