第六章-应用安全测评课件.ppt

1、 应用系统可大致分为两类：应用系统可大致分为两类： 1）基于网络的应用基于网络的应用：基于网络的应用是形成其：基于网络的应用是形成其他应用的基础，包括消息发送、他应用的基础，包括消息发送、web浏览器等等，浏览器等等，可以说是基本的应用可以说是基本的应用 2）基于业务的应用基于业务的应用：业务应用采纳基本应用的：业务应用采纳基本应用的功能以满足特定业务的要求，如电子商务、电子功能以满足特定业务的要求，如电子商务、电子政务等；政务等； 3）由于各种基本应用最终为业务应用服务的，）由于各种基本应用最终为业务应用服务的，因此对应用系统的安全保护因此对应用系统的安全保护最终就是如何保护系最终就是如何保

2、护系统的各种业务应用程序统的各种业务应用程序安全运行。安全运行。 业务应用安全共有业务应用安全共有11个控制点，三级系统个控制点，三级系统涉及的涉及的控制点有控制点有9个个。 身份鉴别身份鉴别 通信完整性通信完整性 访问控制访问控制 通信保密性通信保密性 安全审计安全审计 抗抵赖抗抵赖 剩余信息保护剩余信息保护 软件容错软件容错 资源控制资源控制 1级应用安全的控制粒度级应用安全的控制粒度 对应用进行基本的防护，要求做到对应用进行基本的防护，要求做到简单的身份鉴简单的身份鉴别，粗粒度的访问控制以及数据有效性检验等别，粗粒度的访问控制以及数据有效性检验等基基本防护。本防护。 2级应用安全的控制粒

3、度级应用安全的控制粒度 在控制点上增加了在控制点上增加了安全审计、通信保密性和资源安全审计、通信保密性和资源控制等控制等。同时，对身份鉴别和访问控制都进一步。同时，对身份鉴别和访问控制都进一步加强，鉴别的标识、信息等都提出了具体的要求。加强，鉴别的标识、信息等都提出了具体的要求。访问控制的粒度进行了细化，对通信过程的完整访问控制的粒度进行了细化，对通信过程的完整性保护提出了特定的校验码技术。应用软件自身性保护提出了特定的校验码技术。应用软件自身的安全要求进一步增强，软件容错能力增强。的安全要求进一步增强，软件容错能力增强。 3级应用安全的控制粒度级应用安全的控制粒度 在控制点上增加了在控制点上

4、增加了剩余信息保护和抗抵赖剩余信息保护和抗抵赖等。同时，等。同时，身份鉴别身份鉴别的力度进一步增强，的力度进一步增强，要求组合鉴别技术，要求组合鉴别技术，访问控制访问控制增加了敏感增加了敏感标记功能，标记功能，安全审计安全审计已不满足于对安全事已不满足于对安全事件的记录，而且要进行分析等。对通件的记录，而且要进行分析等。对通信过信过程的完整性保护程的完整性保护提出了特定的密码技术。提出了特定的密码技术。应用软件自身的安全要求进一步增强，应用软件自身的安全要求进一步增强，软软件容错能力件容错能力增强，增加了自动保护功能。增强，增加了自动保护功能。 应用安全剩余资源保护包含哪些内容？为应用安全剩余

5、资源保护包含哪些内容？为保证存储在保证存储在硬盘、内存或缓冲区中的信息硬盘、内存或缓冲区中的信息不被非授权的访问，应用系统应对这些剩不被非授权的访问，应用系统应对这些剩余信息加以保护。余信息加以保护。用户的鉴别信息、文件、用户的鉴别信息、文件、目录等资源所在的存储空间目录等资源所在的存储空间，应将其完全，应将其完全清除后，才释放或重新分配给其他用户。清除后，才释放或重新分配给其他用户。 1级：无此要求级：无此要求 2级：无此要求级：无此要求 3级：要求对存放鉴别信息、文件、记录等级：要求对存放鉴别信息、文件、记录等存储空间进行重新使用前的清除存储空间进行重新使用前的清除 应用安全通信保密性保护

6、包含哪些内容？应用安全通信保密性保护包含哪些内容？同通信完整性一样，通信保密性也是保证同通信完整性一样，通信保密性也是保证通信安全的重要方面。它主要确保数据处通信安全的重要方面。它主要确保数据处于保密状态，不被窃听。于保密状态，不被窃听。 1级：无此要求级：无此要求 2级：要求对建立连接前初始化验证和通信级：要求对建立连接前初始化验证和通信过程敏感信息加密过程敏感信息加密 3级：在级：在2级要求的基础上，要求对通信过级要求的基础上，要求对通信过程加密的范围扩大为整个报文或会话过程。程加密的范围扩大为整个报文或会话过程。 应用安全抗抵赖包含哪些内容？通信完整应用安全抗抵赖包含哪些内容？通信完整性

7、和保密性并不能保证通信抗抵赖行为，性和保密性并不能保证通信抗抵赖行为，即，即，通信双方或不承认已发出的数据，或通信双方或不承认已发出的数据，或不承认已接收到的数据不承认已接收到的数据，从而无法保证应，从而无法保证应用的正常进行。必须采取一定的抗抵赖手用的正常进行。必须采取一定的抗抵赖手段，从而防止双方否认数据所进行的交换。段，从而防止双方否认数据所进行的交换。 1级：无此要求级：无此要求 2级：无此要求级：无此要求 3级：要求具有通信双方提供原发接收或发级：要求具有通信双方提供原发接收或发送数据的功能。送数据的功能。 应用安全身份鉴别包含哪些内容？应用安全身份鉴别包含哪些内容？ 1级：主要强调

8、了该功能的使能性，即，能级：主要强调了该功能的使能性，即，能够进行简单的身份鉴别够进行简单的身份鉴别 2级：在级：在1级要求的基础上，对登录要求进级要求的基础上，对登录要求进一步增强，提出了鉴别标识唯一，鉴别信一步增强，提出了鉴别标识唯一，鉴别信息复杂等要求息复杂等要求 3级：在级：在2级要求的基础上，提出了两种以级要求的基础上，提出了两种以上鉴别技术的组合来实现身份鉴别上鉴别技术的组合来实现身份鉴别 应用安全访问控制包含哪些内容？在应用系统中应用安全访问控制包含哪些内容？在应用系统中实施访问控制是为了保证实施访问控制是为了保证应用系统受控合法的使应用系统受控合法的使用用。用户只能根据自己的权

9、限大小来访问应用系。用户只能根据自己的权限大小来访问应用系统，不得越权访问。统，不得越权访问。 1级：要求根据一定的控制策略来限制用户对系级：要求根据一定的控制策略来限制用户对系统资源的访问，控制粒度较粗统资源的访问，控制粒度较粗 2级：在级：在1级要求的基础上，控制粒度细化，增加级要求的基础上，控制粒度细化，增加覆盖范围要求，并强调了覆盖范围要求，并强调了最小授权原则最小授权原则，使得用，使得用户的权限最小化户的权限最小化 3级：在级：在2级要求的基础上，增加了对级要求的基础上，增加了对重要信息设重要信息设置敏感标记，并控制对其的操作置敏感标记，并控制对其的操作。 应用安全安全审计包含哪些内

10、容？应用系应用安全安全审计包含哪些内容？应用系统安全审计目的是为了统安全审计目的是为了保持对应用系统的保持对应用系统的安全运行情况以及系统用户行为的跟踪安全运行情况以及系统用户行为的跟踪，以便事后追踪分析。应用安全审计主要涉以便事后追踪分析。应用安全审计主要涉及的方面包括：用户登录情况、系统功能及的方面包括：用户登录情况、系统功能执行以及系统资源使用情况等。执行以及系统资源使用情况等。 1级：无此要求级：无此要求 2级：要求对用户行为、安全事件等进行记录级：要求对用户行为、安全事件等进行记录 3级：除级：除2级要求外，要求对形成的记录能够统级要求外，要求对形成的记录能够统计、分析，并生成报表。

11、计、分析，并生成报表。 应用安全软件容错包含哪些内容？容错技应用安全软件容错包含哪些内容？容错技术室提高整个系统可靠性的有效途径，通术室提高整个系统可靠性的有效途径，通常在常在硬件硬件配置上，采用了配置上，采用了冗余备份冗余备份的方法，的方法，以便在资源上保证系统的可靠性。在以便在资源上保证系统的可靠性。在软件软件设计上，则主要考虑应用程序对设计上，则主要考虑应用程序对错误的检错误的检测、处理能力测、处理能力。 1级：要求具有基本的数据校验功能级：要求具有基本的数据校验功能 2级：在级：在1级要求的基础上，要求故障发生级要求的基础上，要求故障发生时能够继续运行部分功能时能够继续运行部分功能 3

12、级：在级：在2级要求的基础上，要求具有自动级要求的基础上，要求具有自动保护功能保护功能 应用安全资源控制包含哪些内容？应用程应用安全资源控制包含哪些内容？应用程序也有相应的资源控制措施，包括序也有相应的资源控制措施，包括限制单限制单个用户对系统资源的最大和最小使用限度、个用户对系统资源的最大和最小使用限度、当登录终端的操作超时或鉴别失败时进行当登录终端的操作超时或鉴别失败时进行锁定、根据服务优先级分配系统资源锁定、根据服务优先级分配系统资源等。等。 1级：无此要求级：无此要求 2级：要求单个用户会话数量。最大并发会级：要求单个用户会话数量。最大并发会话数量限制话数量限制 3级：在级：在2级要求

13、的基础上，增加了一段时级要求的基础上，增加了一段时间内的并发会话数量、单个账户或进程的间内的并发会话数量、单个账户或进程的资源配额、根据服务优先级分配资源以及资源配额、根据服务优先级分配资源以及对系统最小服务进行监测和报警的要求。对系统最小服务进行监测和报警的要求。 访谈访谈 检查检查 测评测评 与之前进行的访谈调研略有不同的是，这与之前进行的访谈调研略有不同的是，这次的访谈对象不仅是系统的次的访谈对象不仅是系统的各级管理员和各级管理员和技术人员技术人员，还包括，还包括应用系统的使用人员和应用系统的使用人员和开发开发商，访谈共商，访谈共9项。项。 第第3级安全测评要求对应用安全的身份鉴别级安全

14、测评要求对应用安全的身份鉴别访谈共访谈共2项。项。 （1）应访谈应用系统管理员，询问应用系）应访谈应用系统管理员，询问应用系统是否采取统是否采取身份标识和鉴别措施身份标识和鉴别措施，具体措，具体措施有哪些？系统应采取何种措施防止身份施有哪些？系统应采取何种措施防止身份鉴别信息被冒用。鉴别信息被冒用。 （2）应访谈应用系统管理员，询问应用系）应访谈应用系统管理员，询问应用系统是否具有统是否具有登录失败处理登录失败处理的功能，是如何的功能，是如何进行处理的？进行处理的？ 第第3级安全测评要求对应用安全的访问控制级安全测评要求对应用安全的访问控制访谈只有访谈只有1项。项。 应访谈应用系统管理员，询问

15、业务系统是应访谈应用系统管理员，询问业务系统是否提供否提供访问控制措施访问控制措施，具体措施有哪些？，具体措施有哪些？自主访问控制的粒度如何？自主访问控制的粒度如何？ 第第3级安全测评要求对应用安全的安全审计级安全测评要求对应用安全的安全审计访谈只有访谈只有1项。项。 应访谈安全审计员，询问应用系统是否有应访谈安全审计员，询问应用系统是否有安全审计功能安全审计功能，对事件进行审计的选择要，对事件进行审计的选择要求和策略是什么？对审计日志的保护措施求和策略是什么？对审计日志的保护措施有哪些？有哪些？ 第第3级安全测评要求对应用安全的剩余信息级安全测评要求对应用安全的剩余信息保护访谈只有保护访谈只

16、有1项项 应访谈应用系统管理员，询问系统是否采应访谈应用系统管理员，询问系统是否采取措施保障对取措施保障对存储介质中的残余信息存储介质中的残余信息进行进行删除，具体措施。删除，具体措施。 第第3级安全测评要求对应用安全的通信完整级安全测评要求对应用安全的通信完整性访谈只有性访谈只有1项项 应访谈安全管理员，询问业务系统是否在应访谈安全管理员，询问业务系统是否在传输过程中有数据进行传输过程中有数据进行完整性保护完整性保护的操作，的操作，具体措施是？具体措施是？ 第第3级安全测评要求对应用安全的数据保密级安全测评要求对应用安全的数据保密性访谈只有性访谈只有1项项 应访谈安全管理员，询问业务系统数据

17、在应访谈安全管理员，询问业务系统数据在通信过程中是否采取通信过程中是否采取保密措施保密措施（如在通信（如在通信双方建立连接之前利用密码技术进行会话双方建立连接之前利用密码技术进行会话初始化验证，在通信过程中对整个报文或初始化验证，在通信过程中对整个报文或会话过程进行加密等），具体措施？会话过程进行加密等），具体措施？ 第第3级安全测评要求对应用安全的抗抵赖访级安全测评要求对应用安全的抗抵赖访谈只有谈只有1项项 应访谈安全管理员，询问系统是否具有抗应访谈安全管理员，询问系统是否具有抗抵赖的措施，具体措施有？抵赖的措施，具体措施有？电子签章电子签章 第第3级安全测评要求对应用安全的软件容错级安全测

18、评要求对应用安全的软件容错访谈只有访谈只有1项项 应访谈应用系统管理员，询问业务系统是应访谈应用系统管理员，询问业务系统是否有保证否有保证软件具有容错能力的措施软件具有容错能力的措施（如对（如对通过人通过人-机接口输入或通过通信接口输入的机接口输入或通过通信接口输入的数据进行有效性检验等），具体措施有？数据进行有效性检验等），具体措施有？“回退回退”处理、数据恢复处理、数据恢复 第第3级安全测评要求对应用安全的资源控制访级安全测评要求对应用安全的资源控制访谈只有谈只有1项。项。 应访谈应用系统管理员，询问业务系统是否应访谈应用系统管理员，询问业务系统是否有有资源控制的措施资源控制的措施（如对应

19、系统的最大并发（如对应系统的最大并发会话连接数进行限制，对一个时间段内可能会话连接数进行限制，对一个时间段内可能的并发会话连接数进行了限制，对一个访问的并发会话连接数进行了限制，对一个访问用户或一个请求进程占用的资源分配最大限用户或一个请求进程占用的资源分配最大限额和最小限额等），具体措施？额和最小限额等），具体措施？ 应用安全现场检查过程主要是测评工程师应用安全现场检查过程主要是测评工程师对各种应用系统（主要是软件系统）及其对各种应用系统（主要是软件系统）及其相关文档资料进行检查。相关文档资料进行检查。 一个复杂的信息系统上面运行了多种应用一个复杂的信息系统上面运行了多种应用软件，国家标准在

20、这方面强调的是对软件，国家标准在这方面强调的是对“主主要的应用系统要的应用系统”进行检查。进行检查。 “天网天网”系统内部办公邮件系统系统内部办公邮件系统Exchange server 2003为例为例 第第3级安全测评要求对应用安全的身份鉴别级安全测评要求对应用安全的身份鉴别检查共有检查共有5项。项。 （1）检查设计和验收文档，查看文档中是）检查设计和验收文档，查看文档中是否有系统采取了唯一标识（如用户名、否有系统采取了唯一标识（如用户名、UID或其他属性）的说明。或其他属性）的说明。 （2）检查操作规程和操作记录，查看是否）检查操作规程和操作记录，查看是否有有身份标识和鉴别身份标识和鉴别的

21、操作规程、审批记录的操作规程、审批记录和操作记录。和操作记录。 （3）检查主要应用系统，查看其是否采用）检查主要应用系统，查看其是否采用了两个及两个以上身份鉴别技术的组合来了两个及两个以上身份鉴别技术的组合来进行身份鉴别。进行身份鉴别。 检查目标：如上检查目标：如上 检查对象：检查对象：“天网天网”系统中心机房系统中心机房 检查环境：检查环境：Exchange Server 2003 技术路线：技术路线： 用户名用户名/口令、智能卡、动态口令、数字证口令、智能卡、动态口令、数字证书和生物识别技术中的任意两个组合、本书和生物识别技术中的任意两个组合、本实验假设为口令和智能卡的组合。实验假设为口令

22、和智能卡的组合。 检查步骤：检查步骤： 查看除用户口令登录的方式外，是否还需查看除用户口令登录的方式外，是否还需要其他的用户登录身份鉴别机制。要其他的用户登录身份鉴别机制。 图图6.2（P175） 检查结论：由于除口令之外，还需智能卡检查结论：由于除口令之外，还需智能卡才能登录，所以该邮件系统用户身份鉴别才能登录，所以该邮件系统用户身份鉴别项符合检查要求。项符合检查要求。 （4）检查主要应用系统，查看其是否配备）检查主要应用系统，查看其是否配备了身份标识和鉴别功能；查看其身份鉴别了身份标识和鉴别功能；查看其身份鉴别信息是否具有信息是否具有不易被冒用不易被冒用的特点，是否配的特点，是否配备鉴别信

23、息备鉴别信息复杂度复杂度检查功能，以保证系统检查功能，以保证系统中不存在中不存在弱口令弱口令。 检查目标：如上检查目标：如上 检查对象：检查对象：“天网天网”系统中心机房系统中心机房 检查环境：检查环境：Exchange Server 2003 检查步骤：检查步骤：查看是否可以建立新账户。查看是否可以建立新账户。查看系统对新用户是否具备最基本的身份鉴别功能，查看系统对新用户是否具备最基本的身份鉴别功能，即新建用户密码的时候需要密码确认。即新建用户密码的时候需要密码确认。检查是否配备了鉴别信息复杂度的检查功能。口令检查是否配备了鉴别信息复杂度的检查功能。口令用用“123”等，查看是否有口令复杂度

24、检验。等，查看是否有口令复杂度检验。 检查结论：该邮件系统用户身份标识和鉴别功能符检查结论：该邮件系统用户身份标识和鉴别功能符合检查要求，但鉴别信息复杂度检查项不符合要求。合检查要求，但鉴别信息复杂度检查项不符合要求。 （5）检查主要应用系统，查看其是否使用）检查主要应用系统，查看其是否使用并配置了并配置了登录失败处理登录失败处理功能。功能。 检查目标：如上检查目标：如上 检查对象：检查对象：“天网天网”系统中心机房系统中心机房 检查环境：检查环境：Exchange Server 2003 检查方案： 第一种方法：同第5章，如登录失败次数超过设定值。 第二种方法：查看Exchange Serv

25、er 2003 是否对每一个用户登录的时间段进行设置，是否对每一个用户登录的时间段进行设置，从而使得对这一项检查条款的检查粒度更从而使得对这一项检查条款的检查粒度更细。细。 检查步骤： 检查邮件服务器Exchange Server 2003 对用户对用户“xiang”登录时间段的设置情况。登录时间段的设置情况。浅色代表浅色代表“拒绝登录拒绝登录”的时间段，深色代的时间段，深色代表表“允许登录允许登录”的时间段。图的时间段。图6.6（P178） 检查结论：该邮件系统登录失败处理符合检查结论：该邮件系统登录失败处理符合检查要求。检查要求。 第第3级安全测评要求对应用安全的访问控制级安全测评要求对应

26、用安全的访问控制检查共检查共5项。项。 （1）检查主要应用系统，查看系统是否提）检查主要应用系统，查看系统是否提供供访问控制机制访问控制机制；是否依据安；是否依据安全策略控制全策略控制用户对客体的访问用户对客体的访问。 检查目标：如上检查目标：如上 检查对象：检查对象：“天网天网”系统中心机房系统中心机房 检查环境：检查环境：Exchange Server 2003 检查方案： 一是查看邮件服务器是否可以限制每个用户发送/接收邮件的大小（间接证明控制了用户对文件或数据的访问）；二是查看能否对邮件来源进行控制。 检查步骤： 检查邮件服务器Exchange Server 2003 对用户传递邮件大

27、小是否进行了设置，同对用户传递邮件大小是否进行了设置，同时也查看是否能对邮件来源进行控制。时也查看是否能对邮件来源进行控制。 图图6.7（P179） 检查结论：该邮件系统对数据访问权限进检查结论：该邮件系统对数据访问权限进行了限定，符合检查要求。行了限定，符合检查要求。 （2）检查主要应用系统，查看其）检查主要应用系统，查看其自主访问自主访问控制的覆盖范围是否包括与信息安全直接控制的覆盖范围是否包括与信息安全直接相关的主体、客体相关的主体、客体和他们之间的和他们之间的操作操作。 检查目标：如上检查目标：如上 检查对象：检查对象：“天网天网”系统中心机房系统中心机房 检查环境：检查环境：Exch

28、ange Server 2003 检查方案：这个检查涉及方案是要查看Exchange Server 2003是否可以对每个授是否可以对每个授权用户（主体）设置用户传递（发送和接权用户（主体）设置用户传递（发送和接受）邮件（客体）的大小。受）邮件（客体）的大小。 检查步骤： 检查邮件服务器Exchange Server 2003是是否能对用户否能对用户“xiang”传递邮件的大小进行传递邮件的大小进行设置。设置。 图图6.8（P180） 检查结论：该邮件系统自主访问控制的覆检查结论：该邮件系统自主访问控制的覆盖范围符合要求。盖范围符合要求。 （3）检查主要应用系统，查看该系统是否）检查主要应用系

29、统，查看该系统是否有对有对授权主体进行系统功能操作和对数据授权主体进行系统功能操作和对数据访问权限进行设置访问权限进行设置的功能。的功能。 检查目标：如上检查目标：如上 检查对象：检查对象：“天网天网”系统中心机房系统中心机房 检查环境：检查环境：Exchange Server 2003 检查方案： 查看Exchange Server 2003是否对某一具是否对某一具体用户的操作权限进行了设置，如创建其体用户的操作权限进行了设置，如创建其他用户、传递邮件的大小，如果能对每个他用户、传递邮件的大小，如果能对每个授权主体设置操作权限，则邮件应用系统授权主体设置操作权限，则邮件应用系统被检查项满足要

30、求。被检查项满足要求。 检查步骤： 检查邮件服务器Exchange Server 2003是是否能对用户传递邮件大小进行设置，即对否能对用户传递邮件大小进行设置，即对用户的操作权限进行设置。用户的操作权限进行设置。 图图6.9（181） 检查结论：该邮件系统能对授权主体进行检查结论：该邮件系统能对授权主体进行系统功能操作和对访问权限进行设置，符系统功能操作和对访问权限进行设置，符合检查要求。合检查要求。 （4）检查主要应用系统，查看其特权用户的）检查主要应用系统，查看其特权用户的权限是否分离权限是否分离，是否按用户承担任务情况，是否按用户承担任务情况，只授予他们所需要的只授予他们所需要的最小权

31、限最小权限，且，且权限之间权限之间是否相互制约是否相互制约。 检查目标：检查其特权用户的权限是否分离检查目标：检查其特权用户的权限是否分离 检查对象：检查对象：“天网天网”系统中心机房系统中心机房 检查环境：检查环境：Exchange Server 2003 检查方案：检查方案： 设计的方案是查看设计的方案是查看Exchange Server 2003是否可以是否可以创建新用户创建新用户，这是最首要的条件，这是最首要的条件，因为不同权限的用户不能是同一用户。在因为不同权限的用户不能是同一用户。在此基础上，再查看是否有此基础上，再查看是否有Administrator和和一般用户一般用户，查看管理

32、员用户和普通用户权，查看管理员用户和普通用户权限设置的区别。如果根据不同角色对不同限设置的区别。如果根据不同角色对不同用户可以设置用户可以设置相应符合要求的权限相应符合要求的权限，则邮，则邮件子系统被检查项符合要求。件子系统被检查项符合要求。 检查步骤：检查步骤：先检查先检查Exchange Server 2003是否能创建多个是否能创建多个用户，然后查看针对用户，然后查看针对administrator设置不同权限设置不同权限的情况，如删除、读取、更改以及是否取得完全的情况，如删除、读取、更改以及是否取得完全权限等。权限等。检查天网邮件服务器检查天网邮件服务器Exchange Server 2

33、003是是否为普通用户否为普通用户“xiang”设置不同的权限，如删设置不同的权限，如删除、读取、更改及是否取得完全权限等。除、读取、更改及是否取得完全权限等。检查结论：该邮件特权用户的权限分离设置符合检检查结论：该邮件特权用户的权限分离设置符合检查要求。查要求。 （5）检查主要应用系统，查看其是否有）检查主要应用系统，查看其是否有限制限制默认用户访问权限默认用户访问权限的功能，并已配置使用。的功能，并已配置使用。 检查目标：检查应用系统是否有限制默认用检查目标：检查应用系统是否有限制默认用户访问权限的功能户访问权限的功能 检查对象：检查对象：“天网天网”系统中心机房系统中心机房 检查环境：检

34、查环境：Exchange Server 2003 技术路线：客户端查看是否可以将一个用技术路线：客户端查看是否可以将一个用户设置为默认登录用户来进行检查。户设置为默认登录用户来进行检查。 检查步骤：检查天网邮件子系统内各个客检查步骤：检查天网邮件子系统内各个客户端软件户端软件outlook，是否可以将一个用户设，是否可以将一个用户设置成为默认登录用户。置成为默认登录用户。 检查结论：该邮件系统不能限制默认用户检查结论：该邮件系统不能限制默认用户访问权限，因此邮件系统的功能设置不符访问权限，因此邮件系统的功能设置不符合检查要求。合检查要求。 第第3级安全测评要求对应用安全的安全审计级安全测评要求

35、对应用安全的安全审计检查共检查共5项。项。 （1）检查主要应用系统，查看其当前）检查主要应用系统，查看其当前审计审计范围是否覆盖到每个用户范围是否覆盖到每个用户。 检查目标：如上检查目标：如上 检查对象：检查对象：“天网天网”系统中心机房系统中心机房 检查环境：检查环境：Exchange Server 2003 检查方案：查看邮件服务器是否可以启用检查方案：查看邮件服务器是否可以启用每一个用户的安全审计日志，如果可以，每一个用户的安全审计日志，如果可以，则说明审计日志记录了当前所有用户的行则说明审计日志记录了当前所有用户的行为，邮件应用系统的此项检查满足要求，为，邮件应用系统的此项检查满足要求

36、，否则不满足。否则不满足。 检查步骤：检查该邮件子系统是否能开启检查步骤：检查该邮件子系统是否能开启系统审计功能。如图系统审计功能。如图6.13（P184）所示，）所示，“启用主体日志记录和显示启用主体日志记录和显示”及及“启用邮启用邮件跟踪件跟踪”功能已经启用。功能已经启用。 检查结论：该邮件系统审计范围设置符合检查结论：该邮件系统审计范围设置符合检查要求。检查要求。 （2）检查主要应用系统，查看其审计策略）检查主要应用系统，查看其审计策略是否覆盖了系统内是否覆盖了系统内重要的安全相关事件重要的安全相关事件，如用户标识与鉴别、自主访问控制的所有如用户标识与鉴别、自主访问控制的所有操作记录、重

37、要用户行为、系统资源的异操作记录、重要用户行为、系统资源的异常使用和重要系统命令的使用。常使用和重要系统命令的使用。 检查目标：检查审计策略是否覆盖了系统检查目标：检查审计策略是否覆盖了系统内重要的安全相关事件内重要的安全相关事件 检查对象：检查对象：“天网天网”系统中心机房系统中心机房 检查环境：检查环境：Exchange Server 2003 检查步骤：进入检查步骤：进入“诊断日志记录诊断日志记录”，查看，查看该邮件子系统中日志记录所包含的内容，该邮件子系统中日志记录所包含的内容，对对pop3协议是否审计进行检查。协议是否审计进行检查。 检查结论：该邮件系统审计策略事件覆盖检查结论：该邮

38、件系统审计策略事件覆盖设置项符合检查要求。设置项符合检查要求。 （3）检查主要应用系统，）检查主要应用系统，查看其审计记录查看其审计记录信息是否包括事件发生的日期与时间、触信息是否包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、事件发事件的主体与客体、事件的类型、事件成功或失败、失败鉴别事件中请求的来源成功或失败、失败鉴别事件中请求的来源以及事件的结果等内容。以及事件的结果等内容。 检查目标：如上检查目标：如上 检查对象：检查对象：“天网天网”系统中心机房系统中心机房 检查环境：检查环境：Exchange Server 2003 检查方案：打开历史审计日志记录，先制检查方案：打开历

39、史审计日志记录，先制造一个事件，然后查看日志是否包含了事造一个事件，然后查看日志是否包含了事件发生的主体与课题，如果包含，则邮件件发生的主体与课题，如果包含，则邮件应用系统此项满足检查要求，否则不满足应用系统此项满足检查要求，否则不满足检查要求。检查要求。 检查步骤：检查天网邮件子系统服务器的检查步骤：检查天网邮件子系统服务器的历史日志记录事件，其中包含发送历史日志记录事件，其中包含发送/接受邮接受邮件的地址，邮件地址及发送事件等。件的地址，邮件地址及发送事件等。 检查结论：该邮件系统审计记录中包含的检查结论：该邮件系统审计记录中包含的内容符合检查要求。内容符合检查要求。 （）检查主要应用系统

40、，查看其是否为（）检查主要应用系统，查看其是否为授权用户授权用户浏览和分析审计数据提供了浏览和分析审计数据提供了专门专门的审计分析功能的审计分析功能，并能根据需要生成，并能根据需要生成审计审计报表报表。 检查目标：如上检查目标：如上 检查对象：检查对象：“天网天网”系统中心机房系统中心机房 检查环境：检查环境：Exchange Server 2003 检查步骤：检查步骤： 检查天网邮件子系统服务器日志记录项是检查天网邮件子系统服务器日志记录项是否可以划分重要性等级。否可以划分重要性等级。 检查结论：该邮件系统审计记录重要性等检查结论：该邮件系统审计记录重要性等级项功能设置符合检查要求。级项功能

41、设置符合检查要求。 （）检查主要应用系统，查看其能否对（）检查主要应用系统，查看其能否对特定事件值得特定事件值得实时报警实时报警 检查目标：如上检查目标：如上 检查对象：检查对象：“天网天网”系统中心机房系统中心机房 检查环境：检查环境：Exchange Server 2003 检查步骤：检查天网邮件子系统服务器是检查步骤：检查天网邮件子系统服务器是否可以设置对邮箱存储或邮件传递的限制，否可以设置对邮箱存储或邮件传递的限制，以及当邮件存储达到限度时的报警功能。以及当邮件存储达到限度时的报警功能。 检查结论：该邮件系统对重要安全事件报检查结论：该邮件系统对重要安全事件报警项符合检查要求。警项符合

42、检查要求。 第级安全测评要求对应用安全的剩余信第级安全测评要求对应用安全的剩余信息保护检查共项。息保护检查共项。 （）检查设计验收文档，查看其是否（）检查设计验收文档，查看其是否有系统在释放或再分配鉴别信息所在存储有系统在释放或再分配鉴别信息所在存储空间给其他用户前将其进行清（硬盘和内空间给其他用户前将其进行清（硬盘和内存）除的描述。存）除的描述。 （）检查设计验收文档，查看是否有（）检查设计验收文档，查看是否有关于释放或重新分配系统内文件、目录和关于释放或重新分配系统内文件、目录和数据库记录等资源所在的存储空间给其他数据库记录等资源所在的存储空间给其他用户前进行清除的描述。用户前进行清除的描

43、述。 第级安全测评要求对应用安全的通信完第级安全测评要求对应用安全的通信完整性检查只有项。整性检查只有项。 检查设计验收文档，查看是否有通信完检查设计验收文档，查看是否有通信完整性的说明，如果有，则查看其是否有根整性的说明，如果有，则查看其是否有根据校验码判断对方数据有效性的描述，以据校验码判断对方数据有效性的描述，以及用散列密码计算报文验证码的描述。及用散列密码计算报文验证码的描述。 第级安全测评要求对应用安全的软件容第级安全测评要求对应用安全的软件容错检查只有一项。错检查只有一项。 检查主要应用系统，查看业务系统是否对检查主要应用系统，查看业务系统是否对通过人机接口输入（如用户界面的数据通

44、过人机接口输入（如用户界面的数据输入）或通过通信接口输入的数据进行了输入）或通过通信接口输入的数据进行了有效性验证有效性验证；是否在故障发生时能；是否在故障发生时能自动保自动保护护当前所有状态信息。当前所有状态信息。 检查目标：如上检查目标：如上 检查对象：检查对象：“天网天网”系统中心机房系统中心机房 检查环境：检查环境：Exchange Server 2003 检查方案：为了对邮件应用系统进行软件检查方案：为了对邮件应用系统进行软件容错检查，设计了两个实验：一是在邮件容错检查，设计了两个实验：一是在邮件子系统客户端创建新的邮件账户，同时输子系统客户端创建新的邮件账户，同时输入不合法的邮件地

45、址，查看系统是否能自入不合法的邮件地址，查看系统是否能自动检测出不合法信息；二是通过写邮件过动检测出不合法信息；二是通过写邮件过程中的强制关闭系统和重新启动系统，来程中的强制关闭系统和重新启动系统，来检查系统是否能保护中断前的状态信息。检查系统是否能保护中断前的状态信息。 检查步骤：检查步骤：检查该邮件子系统服务器客户端是否对不检查该邮件子系统服务器客户端是否对不合法的邮件地址进行检查。（没有符号）合法的邮件地址进行检查。（没有符号）验证系统能否在故障发生时自动保护当前验证系统能否在故障发生时自动保护当前所有状态信息。编写电子邮件，非法关机，所有状态信息。编写电子邮件，非法关机，开机后，邮件丢

46、失。开机后，邮件丢失。检查结论：该邮件系统通过人机接口输入检查结论：该邮件系统通过人机接口输入数据的有效性检验符合检查要求；但系统数据的有效性检验符合检查要求；但系统不能在故障发生时自动保护当前所有状态不能在故障发生时自动保护当前所有状态信息，不满足检查要求。信息，不满足检查要求。 第级安全测评要求对应用安全的资源控第级安全测评要求对应用安全的资源控制检查共项制检查共项 （）检查主要应用系统，查看是否限制（）检查主要应用系统，查看是否限制了单个账户的了单个账户的多重并发会话多重并发会话功能；系统是功能；系统是否有否有最大并发会话连接数最大并发会话连接数的限制，是否对的限制，是否对一个时间段内可

47、能的并发会话连接数进行一个时间段内可能的并发会话连接数进行了限制；是否能根据安全策略设定主体的了限制；是否能根据安全策略设定主体的服务优先级服务优先级，根据优先级分配系统资源。，根据优先级分配系统资源。 检查目标：检查系统是否有最大并发会话检查目标：检查系统是否有最大并发会话连接数的限制，是否对一个时间段内可能连接数的限制，是否对一个时间段内可能的并发会话连接数进行了限制。的并发会话连接数进行了限制。 检查对象：检查对象：“天网天网”系统中心机房系统中心机房 检查环境：检查环境：Exchange Server 2003 检查步骤：检查天网邮件子系统服务器，是检查步骤：检查天网邮件子系统服务器，

48、是否设置了在同一时间内同时连接到邮件服务否设置了在同一时间内同时连接到邮件服务器的客户端数量。图器的客户端数量。图.（）（） 检查结论：该邮件系统最大并发会话连接数检查结论：该邮件系统最大并发会话连接数的限制符合检查要求。的限制符合检查要求。 （）检查主要应用系统，查看是否对一个访问账户或一个请求进程占用的资源分配了最大和最小限额。 检查目标：如上检查目标：如上 检查对象：检查对象：“天网天网”系统中心机房系统中心机房 检查环境：检查环境：Exchange Server 2003 检查步骤：检查天网邮件子系统服务器，检查步骤：检查天网邮件子系统服务器，是否可以设置用户邮箱存储、发送和接收是否可

49、以设置用户邮箱存储、发送和接收邮件的大小，同时是否可以对每封邮件发邮件的大小，同时是否可以对每封邮件发送人数进行设置。送人数进行设置。 检查结论：该邮件系统的一个访问账户或检查结论：该邮件系统的一个访问账户或一个请求进程占用的资源分配最大限额和一个请求进程占用的资源分配最大限额和最小限额项符合应用检查要求。最小限额项符合应用检查要求。 （）检查主要应用系统，查看是否有服（）检查主要应用系统，查看是否有服务水平最小值的设定，当系统的服务水平务水平最小值的设定，当系统的服务水平下价格到预先设定的最小值时，系统报警。下价格到预先设定的最小值时，系统报警。 检查目标：检查是否有服务水平最小值得检查目标

50、：检查是否有服务水平最小值得设定设定 检查对象：检查对象：“天网天网”系统中心机房系统中心机房 检查环境：检查环境：Exchange Server 2003 检查步骤：检查天网邮件子系统服务器，检查步骤：检查天网邮件子系统服务器，是否可以设置用户邮箱存储、发送和接收是否可以设置用户邮箱存储、发送和接收邮件的大小，是否对超过上限值的情况进邮件的大小，是否对超过上限值的情况进行了报警。行了报警。 检查结论：该邮件系统服务最低水平值项检查结论：该邮件系统服务最低水平值项符合应用安全测评资源控制检查要求。符合应用安全测评资源控制检查要求。 第级安全测评要求对应用安全的身份鉴第级安全测评要求对应用安全的