1、第1页,共121页。第2页,共121页。应用系统可大致分为两类:应用系统可大致分为两类:1)基于网络的应用基于网络的应用:基于网络的应用是形成其他应:基于网络的应用是形成其他应用的基础,包括消息发送、用的基础,包括消息发送、web浏览器等等,可以浏览器等等,可以说是基本的应用说是基本的应用 2)基于业务的应用基于业务的应用:业务应用采纳基本应用的功能以:业务应用采纳基本应用的功能以满足特定业务的要求,如电子商务、电子政务等;满足特定业务的要求,如电子商务、电子政务等;3)由于各种基本应用最终为业务应用服务的,因此对应)由于各种基本应用最终为业务应用服务的,因此对应用系统的安全保护用系统的安全保
2、护最终就是如何保护系统的各种业务最终就是如何保护系统的各种业务应用程序应用程序安全运行。安全运行。第3页,共121页。业务应用安全共有业务应用安全共有11个控制点,三级系统个控制点,三级系统涉及的涉及的控制点有控制点有9个个。身份鉴别身份鉴别 通信完整性通信完整性 访问控制访问控制 通信保密性通信保密性 安全审计安全审计 抗抵赖抗抵赖 剩余信息保护剩余信息保护 软件容错软件容错 资源控制资源控制第4页,共121页。1级应用安全的控制粒度级应用安全的控制粒度 对应用进行基本的防护,要求做到对应用进行基本的防护,要求做到简单的身份鉴别,简单的身份鉴别,粗粒度的访问控制以及数据有效性检验等粗粒度的访
3、问控制以及数据有效性检验等基本防护。基本防护。2级应用安全的控制粒度级应用安全的控制粒度 在控制点上增加了在控制点上增加了安全审计、通信保密性和资源控制等安全审计、通信保密性和资源控制等。同时,对身份鉴别和访问控制都进一步加强,鉴别的标同时,对身份鉴别和访问控制都进一步加强,鉴别的标识、信息等都提出了具体的要求。访问控制的粒度进行识、信息等都提出了具体的要求。访问控制的粒度进行了细化,对通信过程的完整性保护提出了特定的校验码了细化,对通信过程的完整性保护提出了特定的校验码技术。应用软件自身的安全要求进一步增强,软件容错技术。应用软件自身的安全要求进一步增强,软件容错能力增强。能力增强。第5页,
4、共121页。3级应用安全的控制粒度级应用安全的控制粒度 在控制点上增加了在控制点上增加了剩余信息保护和抗抵赖剩余信息保护和抗抵赖等。同时,等。同时,身份鉴别身份鉴别的力度进一步增强,的力度进一步增强,要求组合鉴别技术,要求组合鉴别技术,访问控制访问控制增加了敏感增加了敏感标记功能,标记功能,安全审计安全审计已不满足于对安全事已不满足于对安全事件的记录,而且要进行分析等。对通件的记录,而且要进行分析等。对通信过信过程的完整性保护程的完整性保护提出了特定的密码技术。提出了特定的密码技术。应用软件自身的安全要求进一步增强,应用软件自身的安全要求进一步增强,软软件容错能力件容错能力增强,增加了自动保护
5、功能。增强,增加了自动保护功能。第6页,共121页。第7页,共121页。应用安全剩余资源保护包含哪些内容?为应用安全剩余资源保护包含哪些内容?为保证存储在保证存储在硬盘、内存或缓冲区中的信息硬盘、内存或缓冲区中的信息不被非授权的访问,应用系统应对这些剩不被非授权的访问,应用系统应对这些剩余信息加以保护。余信息加以保护。用户的鉴别信息、文件、用户的鉴别信息、文件、目录等资源所在的存储空间目录等资源所在的存储空间,应将其完全,应将其完全清除后,才释放或重新分配给其他用户。清除后,才释放或重新分配给其他用户。第8页,共121页。1级:无此要求级:无此要求 2级:无此要求级:无此要求 3级:要求对存放
6、鉴别信息、文件、记录等级:要求对存放鉴别信息、文件、记录等存储空间进行重新使用前的清除存储空间进行重新使用前的清除第9页,共121页。应用安全通信保密性保护包含哪些内容?应用安全通信保密性保护包含哪些内容?同通信完整性一样,通信保密性也是保证同通信完整性一样,通信保密性也是保证通信安全的重要方面。它主要确保数据处通信安全的重要方面。它主要确保数据处于保密状态,不被窃听。于保密状态,不被窃听。1级:无此要求级:无此要求 2级:要求对建立连接前初始化验证和通信级:要求对建立连接前初始化验证和通信过程敏感信息加密过程敏感信息加密 3级:在级:在2级要求的基础上,要求对通信过级要求的基础上,要求对通信
7、过程加密的范围扩大为整个报文或会话过程。程加密的范围扩大为整个报文或会话过程。第10页,共121页。应用安全抗抵赖包含哪些内容?通信完整应用安全抗抵赖包含哪些内容?通信完整性和保密性并不能保证通信抗抵赖行为,性和保密性并不能保证通信抗抵赖行为,即,即,通信双方或不承认已发出的数据,或通信双方或不承认已发出的数据,或不承认已接收到的数据不承认已接收到的数据,从而无法保证应,从而无法保证应用的正常进行。必须采取一定的抗抵赖手用的正常进行。必须采取一定的抗抵赖手段,从而防止双方否认数据所进行的交换。段,从而防止双方否认数据所进行的交换。1级:无此要求级:无此要求 2级:无此要求级:无此要求 3级:要
8、求具有通信双方提供原发接收或发级:要求具有通信双方提供原发接收或发送数据的功能。送数据的功能。第11页,共121页。应用安全身份鉴别包含哪些内容?应用安全身份鉴别包含哪些内容?1级:主要强调了该功能的使能性,即,能级:主要强调了该功能的使能性,即,能够进行简单的身份鉴别够进行简单的身份鉴别 2级:在级:在1级要求的基础上,对登录要求进级要求的基础上,对登录要求进一步增强,提出了鉴别标识唯一,鉴别信一步增强,提出了鉴别标识唯一,鉴别信息复杂等要求息复杂等要求 3级:在级:在2级要求的基础上,提出了两种以级要求的基础上,提出了两种以上鉴别技术的组合来实现身份鉴别上鉴别技术的组合来实现身份鉴别第12
9、页,共121页。应用安全访问控制包含哪些内容?在应用系统中实施应用安全访问控制包含哪些内容?在应用系统中实施访问控制是为了保证访问控制是为了保证应用系统受控合法的使用应用系统受控合法的使用。用户。用户只能根据自己的权限大小来访问应用系统,不得越只能根据自己的权限大小来访问应用系统,不得越权访问。权访问。1级:要求根据一定的控制策略来限制用户对系统资源级:要求根据一定的控制策略来限制用户对系统资源的访问,控制粒度较粗的访问,控制粒度较粗 2级:在级:在1级要求的基础上,控制粒度细化,增加覆级要求的基础上,控制粒度细化,增加覆盖范围要求,并强调了盖范围要求,并强调了最小授权原则最小授权原则,使得用
10、户的权,使得用户的权限最小化限最小化 3级:在级:在2级要求的基础上,增加了对级要求的基础上,增加了对重要信息设置重要信息设置敏感标记,并控制对其的操作敏感标记,并控制对其的操作。第13页,共121页。应用安全安全审计包含哪些内容?应用系应用安全安全审计包含哪些内容?应用系统安全审计目的是为了统安全审计目的是为了保持对应用系统的保持对应用系统的安全运行情况以及系统用户行为的跟踪安全运行情况以及系统用户行为的跟踪,以便事后追踪分析。应用安全审计主要涉以便事后追踪分析。应用安全审计主要涉及的方面包括:用户登录情况、系统功能及的方面包括:用户登录情况、系统功能执行以及系统资源使用情况等。执行以及系统
11、资源使用情况等。第14页,共121页。1级:无此要求级:无此要求 2级:要求对用户行为、安全事件等进行记录级:要求对用户行为、安全事件等进行记录 3级:除级:除2级要求外,要求对形成的记录能够统级要求外,要求对形成的记录能够统计、分析,并生成报表。计、分析,并生成报表。第15页,共121页。应用安全软件容错包含哪些内容?容错技应用安全软件容错包含哪些内容?容错技术室提高整个系统可靠性的有效途径,通术室提高整个系统可靠性的有效途径,通常在常在硬件硬件配置上,采用了配置上,采用了冗余备份冗余备份的方法,的方法,以便在资源上保证系统的可靠性。在以便在资源上保证系统的可靠性。在软件软件设计上,则主要考
12、虑应用程序对设计上,则主要考虑应用程序对错误的检错误的检测、处理能力测、处理能力。第16页,共121页。1级:要求具有基本的数据校验功能级:要求具有基本的数据校验功能 2级:在级:在1级要求的基础上,要求故障发生级要求的基础上,要求故障发生时能够继续运行部分功能时能够继续运行部分功能 3级:在级:在2级要求的基础上,要求具有自动级要求的基础上,要求具有自动保护功能保护功能第17页,共121页。应用安全资源控制包含哪些内容?应用程应用安全资源控制包含哪些内容?应用程序也有相应的资源控制措施,包括序也有相应的资源控制措施,包括限制单限制单个用户对系统资源的最大和最小使用限度、个用户对系统资源的最大
13、和最小使用限度、当登录终端的操作超时或鉴别失败时进行当登录终端的操作超时或鉴别失败时进行锁定、根据服务优先级分配系统资源锁定、根据服务优先级分配系统资源等。等。第18页,共121页。1级:无此要求级:无此要求 2级:要求单个用户会话数量。最大并发会级:要求单个用户会话数量。最大并发会话数量限制话数量限制 3级:在级:在2级要求的基础上,增加了一段时级要求的基础上,增加了一段时间内的并发会话数量、单个账户或进程的间内的并发会话数量、单个账户或进程的资源配额、根据服务优先级分配资源以及资源配额、根据服务优先级分配资源以及对系统最小服务进行监测和报警的要求。对系统最小服务进行监测和报警的要求。第19
14、页,共121页。访谈访谈 检查检查 测评测评第20页,共121页。与之前进行的访谈调研略有不同的是,这与之前进行的访谈调研略有不同的是,这次的访谈对象不仅是系统的次的访谈对象不仅是系统的各级管理员和各级管理员和技术人员技术人员,还包括,还包括应用系统的使用人员和应用系统的使用人员和开发开发商,访谈共商,访谈共9项。项。第21页,共121页。第第3级安全测评要求对应用安全的身份鉴别级安全测评要求对应用安全的身份鉴别访谈共访谈共2项。项。(1)应访谈应用系统管理员,询问应用系)应访谈应用系统管理员,询问应用系统是否采取统是否采取身份标识和鉴别措施身份标识和鉴别措施,具体措,具体措施有哪些?系统应采
15、取何种措施防止身份施有哪些?系统应采取何种措施防止身份鉴别信息被冒用。鉴别信息被冒用。第22页,共121页。(2)应访谈应用系统管理员,询问应用系)应访谈应用系统管理员,询问应用系统是否具有统是否具有登录失败处理登录失败处理的功能,是如何的功能,是如何进行处理的?进行处理的?第23页,共121页。第第3级安全测评要求对应用安全的访问控制级安全测评要求对应用安全的访问控制访谈只有访谈只有1项。项。应访谈应用系统管理员,询问业务系统是应访谈应用系统管理员,询问业务系统是否提供否提供访问控制措施访问控制措施,具体措施有哪些?,具体措施有哪些?自主访问控制的粒度如何?自主访问控制的粒度如何?第24页,
16、共121页。第第3级安全测评要求对应用安全的安全审计级安全测评要求对应用安全的安全审计访谈只有访谈只有1项。项。应访谈安全审计员,询问应用系统是否有应访谈安全审计员,询问应用系统是否有安全审计功能安全审计功能,对事件进行审计的选择要,对事件进行审计的选择要求和策略是什么?对审计日志的保护措施求和策略是什么?对审计日志的保护措施有哪些?有哪些?第25页,共121页。第第3级安全测评要求对应用安全的剩余信息级安全测评要求对应用安全的剩余信息保护访谈只有保护访谈只有1项项 应访谈应用系统管理员,询问系统是否采应访谈应用系统管理员,询问系统是否采取措施保障对取措施保障对存储介质中的残余信息存储介质中的
17、残余信息进行进行删除,具体措施。删除,具体措施。第26页,共121页。第第3级安全测评要求对应用安全的通信完整级安全测评要求对应用安全的通信完整性访谈只有性访谈只有1项项 应访谈安全管理员,询问业务系统是否在应访谈安全管理员,询问业务系统是否在传输过程中有数据进行传输过程中有数据进行完整性保护完整性保护的操作,的操作,具体措施是?具体措施是?第27页,共121页。第第3级安全测评要求对应用安全的数据保密级安全测评要求对应用安全的数据保密性访谈只有性访谈只有1项项 应访谈安全管理员,询问业务系统数据在应访谈安全管理员,询问业务系统数据在通信过程中是否采取通信过程中是否采取保密措施保密措施(如在通
18、信(如在通信双方建立连接之前利用密码技术进行会话双方建立连接之前利用密码技术进行会话初始化验证,在通信过程中对整个报文或初始化验证,在通信过程中对整个报文或会话过程进行加密等),具体措施?会话过程进行加密等),具体措施?第28页,共121页。第第3级安全测评要求对应用安全的抗抵赖访级安全测评要求对应用安全的抗抵赖访谈只有谈只有1项项 应访谈安全管理员,询问系统是否具有抗应访谈安全管理员,询问系统是否具有抗抵赖的措施,具体措施有?抵赖的措施,具体措施有?电子签章电子签章第29页,共121页。第第3级安全测评要求对应用安全的软件容错级安全测评要求对应用安全的软件容错访谈只有访谈只有1项项 应访谈应
19、用系统管理员,询问业务系统是应访谈应用系统管理员,询问业务系统是否有保证否有保证软件具有容错能力的措施软件具有容错能力的措施(如对(如对通过人通过人-机接口输入或通过通信接口输入的机接口输入或通过通信接口输入的数据进行有效性检验等),具体措施有?数据进行有效性检验等),具体措施有?“回退回退”处理、数据恢复处理、数据恢复第30页,共121页。第第3级安全测评要求对应用安全的资源控制访级安全测评要求对应用安全的资源控制访谈只有谈只有1项。项。应访谈应用系统管理员,询问业务系统是否应访谈应用系统管理员,询问业务系统是否有有资源控制的措施资源控制的措施(如对应系统的最大并发(如对应系统的最大并发会话
20、连接数进行限制,对一个时间段内可能会话连接数进行限制,对一个时间段内可能的并发会话连接数进行了限制,对一个访问的并发会话连接数进行了限制,对一个访问用户或一个请求进程占用的资源分配最大限用户或一个请求进程占用的资源分配最大限额和最小限额等),具体措施?额和最小限额等),具体措施?第31页,共121页。应用安全现场检查过程主要是测评工程师应用安全现场检查过程主要是测评工程师对各种应用系统(主要是软件系统)及其对各种应用系统(主要是软件系统)及其相关文档资料进行检查。相关文档资料进行检查。一个复杂的信息系统上面运行了多种应用一个复杂的信息系统上面运行了多种应用软件,国家标准在这方面强调的是对软件,
21、国家标准在这方面强调的是对“主主要的应用系统要的应用系统”进行检查。进行检查。“天网天网”系统内部办公邮件系统系统内部办公邮件系统Exchange server 2003为例为例第32页,共121页。第第3级安全测评要求对应用安全的身份鉴别级安全测评要求对应用安全的身份鉴别检查共有检查共有5项。项。(1)检查设计和验收文档,查看文档中是)检查设计和验收文档,查看文档中是否有系统采取了唯一标识(如用户名、否有系统采取了唯一标识(如用户名、UID或其他属性)的说明。或其他属性)的说明。第33页,共121页。(2)检查操作规程和操作记录,查看是否)检查操作规程和操作记录,查看是否有有身份标识和鉴别身
22、份标识和鉴别的操作规程、审批记录的操作规程、审批记录和操作记录。和操作记录。第34页,共121页。(3)检查主要应用系统,查看其是否采用)检查主要应用系统,查看其是否采用了两个及两个以上身份鉴别技术的组合来了两个及两个以上身份鉴别技术的组合来进行身份鉴别。进行身份鉴别。检查目标:如上检查目标:如上 检查对象:检查对象:“天网天网”系统中心机房系统中心机房 检查环境:检查环境:Exchange Server 2003第35页,共121页。技术路线:技术路线:用户名用户名/口令、智能卡、动态口令、数字证口令、智能卡、动态口令、数字证书和生物识别技术中的任意两个组合、本书和生物识别技术中的任意两个组
23、合、本实验假设为口令和智能卡的组合。实验假设为口令和智能卡的组合。第36页,共121页。检查步骤:检查步骤:查看除用户口令登录的方式外,是否还需查看除用户口令登录的方式外,是否还需要其他的用户登录身份鉴别机制。要其他的用户登录身份鉴别机制。图图6.2(P175)检查结论:由于除口令之外,还需智能卡检查结论:由于除口令之外,还需智能卡才能登录,所以该邮件系统用户身份鉴别才能登录,所以该邮件系统用户身份鉴别项符合检查要求。项符合检查要求。第37页,共121页。(4)检查主要应用系统,查看其是否配备)检查主要应用系统,查看其是否配备了身份标识和鉴别功能;查看其身份鉴别了身份标识和鉴别功能;查看其身份
24、鉴别信息是否具有信息是否具有不易被冒用不易被冒用的特点,是否配的特点,是否配备鉴别信息备鉴别信息复杂度复杂度检查功能,以保证系统检查功能,以保证系统中不存在中不存在弱口令弱口令。检查目标:如上检查目标:如上 检查对象:检查对象:“天网天网”系统中心机房系统中心机房 检查环境:检查环境:Exchange Server 2003第38页,共121页。检查步骤:检查步骤:查看是否可以建立新账户。查看是否可以建立新账户。查看系统对新用户是否具备最基本的身份鉴别功能,即新建查看系统对新用户是否具备最基本的身份鉴别功能,即新建用户密码的时候需要密码确认。用户密码的时候需要密码确认。检查是否配备了鉴别信息复
25、杂度的检查功能。口令用检查是否配备了鉴别信息复杂度的检查功能。口令用“123”等,查看是否有口令复杂度检验。等,查看是否有口令复杂度检验。检查结论:该邮件系统用户身份标识和鉴别功能符合检检查结论:该邮件系统用户身份标识和鉴别功能符合检查要求,但鉴别信息复杂度检查项不符合要求。查要求,但鉴别信息复杂度检查项不符合要求。第39页,共121页。(5)检查主要应用系统,查看其是否使用)检查主要应用系统,查看其是否使用并配置了并配置了登录失败处理登录失败处理功能。功能。检查目标:如上检查目标:如上 检查对象:检查对象:“天网天网”系统中心机房系统中心机房 检查环境:检查环境:Exchange Serve
26、r 2003第40页,共121页。检查方案:第一种方法:同第5章,如登录失败次数超过设定值。第二种方法:查看Exchange Server 2003 是否对每一个用户登录的时间段进行设置,是否对每一个用户登录的时间段进行设置,从而使得对这一项检查条款的检查粒度更从而使得对这一项检查条款的检查粒度更细。细。第41页,共121页。检查步骤:检查邮件服务器Exchange Server 2003 对用户对用户“xiang”登录时间段的设置情况。登录时间段的设置情况。浅色代表浅色代表“拒绝登录拒绝登录”的时间段,深色代的时间段,深色代表表“允许登录允许登录”的时间段。图的时间段。图6.6(P178)检
27、查结论:该邮件系统登录失败处理符合检查结论:该邮件系统登录失败处理符合检查要求。检查要求。第42页,共121页。第第3级安全测评要求对应用安全的访问控制级安全测评要求对应用安全的访问控制检查共检查共5项。项。(1)检查主要应用系统,查看系统是否提)检查主要应用系统,查看系统是否提供供访问控制机制访问控制机制;是否依据安;是否依据安全策略控制全策略控制用户对客体的访问用户对客体的访问。检查目标:如上检查目标:如上 检查对象:检查对象:“天网天网”系统中心机房系统中心机房 检查环境:检查环境:Exchange Server 2003第43页,共121页。检查方案:一是查看邮件服务器是否可以限制每个
28、用户发送/接收邮件的大小(间接证明控制了用户对文件或数据的访问);二是查看能否对邮件来源进行控制。第44页,共121页。检查步骤:检查邮件服务器Exchange Server 2003 对用户传递邮件大小是否进行了设置,同对用户传递邮件大小是否进行了设置,同时也查看是否能对邮件来源进行控制。时也查看是否能对邮件来源进行控制。图图6.7(P179)检查结论:该邮件系统对数据访问权限进检查结论:该邮件系统对数据访问权限进行了限定,符合检查要求。行了限定,符合检查要求。第45页,共121页。(2)检查主要应用系统,查看其)检查主要应用系统,查看其自主访问自主访问控制的覆盖范围是否包括与信息安全直接控
29、制的覆盖范围是否包括与信息安全直接相关的主体、客体相关的主体、客体和他们之间的和他们之间的操作操作。检查目标:如上检查目标:如上 检查对象:检查对象:“天网天网”系统中心机房系统中心机房 检查环境:检查环境:Exchange Server 2003第46页,共121页。检查方案:这个检查涉及方案是要查看Exchange Server 2003是否可以对每个授是否可以对每个授权用户(主体)设置用户传递(发送和接权用户(主体)设置用户传递(发送和接受)邮件(客体)的大小。受)邮件(客体)的大小。第47页,共121页。检查步骤:检查邮件服务器Exchange Server 2003是是否能对用户否能
30、对用户“xiang”传递邮件的大小进行传递邮件的大小进行设置。设置。图图6.8(P180)检查结论:该邮件系统自主访问控制的覆检查结论:该邮件系统自主访问控制的覆盖范围符合要求。盖范围符合要求。第48页,共121页。(3)检查主要应用系统,查看该系统是否)检查主要应用系统,查看该系统是否有对有对授权主体进行系统功能操作和对数据授权主体进行系统功能操作和对数据访问权限进行设置访问权限进行设置的功能。的功能。检查目标:如上检查目标:如上 检查对象:检查对象:“天网天网”系统中心机房系统中心机房 检查环境:检查环境:Exchange Server 2003第49页,共121页。检查方案:查看Exch
31、ange Server 2003是否对某一具是否对某一具体用户的操作权限进行了设置,如创建其体用户的操作权限进行了设置,如创建其他用户、传递邮件的大小,如果能对每个他用户、传递邮件的大小,如果能对每个授权主体设置操作权限,则邮件应用系统授权主体设置操作权限,则邮件应用系统被检查项满足要求。被检查项满足要求。第50页,共121页。检查步骤:检查邮件服务器Exchange Server 2003是是否能对用户传递邮件大小进行设置,即对否能对用户传递邮件大小进行设置,即对用户的操作权限进行设置。用户的操作权限进行设置。图图6.9(181)检查结论:该邮件系统能对授权主体进行检查结论:该邮件系统能对授
32、权主体进行系统功能操作和对访问权限进行设置,符系统功能操作和对访问权限进行设置,符合检查要求。合检查要求。第51页,共121页。(4)检查主要应用系统,查看其特权用户的)检查主要应用系统,查看其特权用户的权限是否分离权限是否分离,是否按用户承担任务情况,是否按用户承担任务情况,只授予他们所需要的只授予他们所需要的最小权限最小权限,且,且权限之间权限之间是否相互制约是否相互制约。检查目标:检查其特权用户的权限是否分离检查目标:检查其特权用户的权限是否分离 检查对象:检查对象:“天网天网”系统中心机房系统中心机房 检查环境:检查环境:Exchange Server 2003第52页,共121页。检
33、查方案:检查方案:设计的方案是查看设计的方案是查看Exchange Server 2003是否可以是否可以创建新用户创建新用户,这是最首要的条件,这是最首要的条件,因为不同权限的用户不能是同一用户。在因为不同权限的用户不能是同一用户。在此基础上,再查看是否有此基础上,再查看是否有Administrator和和一般用户一般用户,查看管理员用户和普通用户权,查看管理员用户和普通用户权限设置的区别。如果根据不同角色对不同限设置的区别。如果根据不同角色对不同用户可以设置用户可以设置相应符合要求的权限相应符合要求的权限,则邮,则邮件子系统被检查项符合要求。件子系统被检查项符合要求。第53页,共121页。
34、检查步骤:检查步骤:先检查先检查Exchange Server 2003是否能创建多个用户,然是否能创建多个用户,然后查看针对后查看针对administrator设置不同权限的情况,如删除、设置不同权限的情况,如删除、读取、更改以及是否取得完全权限等。读取、更改以及是否取得完全权限等。检查天网邮件服务器检查天网邮件服务器Exchange Server 2003是否为普通是否为普通用户用户“xiang”设置不同的权限,如删除、读取、更改及设置不同的权限,如删除、读取、更改及是否取得完全权限等。是否取得完全权限等。检查结论:该邮件特权用户的权限分离设置符合检查要求。检查结论:该邮件特权用户的权限分
35、离设置符合检查要求。第54页,共121页。(5)检查主要应用系统,查看其是否有)检查主要应用系统,查看其是否有限制限制默认用户访问权限默认用户访问权限的功能,并已配置使用。的功能,并已配置使用。检查目标:检查应用系统是否有限制默认用检查目标:检查应用系统是否有限制默认用户访问权限的功能户访问权限的功能 检查对象:检查对象:“天网天网”系统中心机房系统中心机房 检查环境:检查环境:Exchange Server 2003第55页,共121页。技术路线:客户端查看是否可以将一个用技术路线:客户端查看是否可以将一个用户设置为默认登录用户来进行检查。户设置为默认登录用户来进行检查。检查步骤:检查天网邮
36、件子系统内各个客检查步骤:检查天网邮件子系统内各个客户端软件户端软件outlook,是否可以将一个用户设,是否可以将一个用户设置成为默认登录用户。置成为默认登录用户。检查结论:该邮件系统不能限制默认用户检查结论:该邮件系统不能限制默认用户访问权限,因此邮件系统的功能设置不符访问权限,因此邮件系统的功能设置不符合检查要求。合检查要求。第56页,共121页。第第3级安全测评要求对应用安全的安全审计级安全测评要求对应用安全的安全审计检查共检查共5项。项。(1)检查主要应用系统,查看其当前)检查主要应用系统,查看其当前审计审计范围是否覆盖到每个用户范围是否覆盖到每个用户。检查目标:如上检查目标:如上
37、检查对象:检查对象:“天网天网”系统中心机房系统中心机房 检查环境:检查环境:Exchange Server 2003第57页,共121页。检查方案:查看邮件服务器是否可以启用检查方案:查看邮件服务器是否可以启用每一个用户的安全审计日志,如果可以,每一个用户的安全审计日志,如果可以,则说明审计日志记录了当前所有用户的行则说明审计日志记录了当前所有用户的行为,邮件应用系统的此项检查满足要求,为,邮件应用系统的此项检查满足要求,否则不满足。否则不满足。第58页,共121页。检查步骤:检查该邮件子系统是否能开启检查步骤:检查该邮件子系统是否能开启系统审计功能。如图系统审计功能。如图6.13(P184
38、)所示,)所示,“启用主体日志记录和显示启用主体日志记录和显示”及及“启用邮启用邮件跟踪件跟踪”功能已经启用。功能已经启用。检查结论:该邮件系统审计范围设置符合检查结论:该邮件系统审计范围设置符合检查要求。检查要求。第59页,共121页。(2)检查主要应用系统,查看其审计策略)检查主要应用系统,查看其审计策略是否覆盖了系统内是否覆盖了系统内重要的安全相关事件重要的安全相关事件,如用户标识与鉴别、自主访问控制的所有如用户标识与鉴别、自主访问控制的所有操作记录、重要用户行为、系统资源的异操作记录、重要用户行为、系统资源的异常使用和重要系统命令的使用。常使用和重要系统命令的使用。检查目标:检查审计策
39、略是否覆盖了系统检查目标:检查审计策略是否覆盖了系统内重要的安全相关事件内重要的安全相关事件 检查对象:检查对象:“天网天网”系统中心机房系统中心机房 检查环境:检查环境:Exchange Server 2003第60页,共121页。检查步骤:进入检查步骤:进入“诊断日志记录诊断日志记录”,查看,查看该邮件子系统中日志记录所包含的内容,该邮件子系统中日志记录所包含的内容,对对pop3协议是否审计进行检查。协议是否审计进行检查。检查结论:该邮件系统审计策略事件覆盖检查结论:该邮件系统审计策略事件覆盖设置项符合检查要求。设置项符合检查要求。第61页,共121页。(3)检查主要应用系统,)检查主要应
40、用系统,查看其审计记录查看其审计记录信息是否包括事件发生的日期与时间、触信息是否包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、事件发事件的主体与客体、事件的类型、事件成功或失败、失败鉴别事件中请求的来源成功或失败、失败鉴别事件中请求的来源以及事件的结果等内容。以及事件的结果等内容。检查目标:如上检查目标:如上 检查对象:检查对象:“天网天网”系统中心机房系统中心机房 检查环境:检查环境:Exchange Server 2003第62页,共121页。检查方案:打开历史审计日志记录,先制检查方案:打开历史审计日志记录,先制造一个事件,然后查看日志是否包含了事造一个事件,然后查看日志是
41、否包含了事件发生的主体与课题,如果包含,则邮件件发生的主体与课题,如果包含,则邮件应用系统此项满足检查要求,否则不满足应用系统此项满足检查要求,否则不满足检查要求。检查要求。第63页,共121页。检查步骤:检查天网邮件子系统服务器的检查步骤:检查天网邮件子系统服务器的历史日志记录事件,其中包含发送历史日志记录事件,其中包含发送/接受邮接受邮件的地址,邮件地址及发送事件等。件的地址,邮件地址及发送事件等。检查结论:该邮件系统审计记录中包含的检查结论:该邮件系统审计记录中包含的内容符合检查要求。内容符合检查要求。第64页,共121页。()检查主要应用系统,查看其是否为()检查主要应用系统,查看其是
42、否为授权用户授权用户浏览和分析审计数据提供了浏览和分析审计数据提供了专门专门的审计分析功能的审计分析功能,并能根据需要生成,并能根据需要生成审计审计报表报表。检查目标:如上检查目标:如上 检查对象:检查对象:“天网天网”系统中心机房系统中心机房 检查环境:检查环境:Exchange Server 2003第65页,共121页。检查步骤:检查步骤:检查天网邮件子系统服务器日志记录项是检查天网邮件子系统服务器日志记录项是否可以划分重要性等级。否可以划分重要性等级。检查结论:该邮件系统审计记录重要性等检查结论:该邮件系统审计记录重要性等级项功能设置符合检查要求。级项功能设置符合检查要求。第66页,共
43、121页。()检查主要应用系统,查看其能否对()检查主要应用系统,查看其能否对特定事件值得特定事件值得实时报警实时报警 检查目标:如上检查目标:如上 检查对象:检查对象:“天网天网”系统中心机房系统中心机房 检查环境:检查环境:Exchange Server 2003第67页,共121页。检查步骤:检查天网邮件子系统服务器是检查步骤:检查天网邮件子系统服务器是否可以设置对邮箱存储或邮件传递的限制,否可以设置对邮箱存储或邮件传递的限制,以及当邮件存储达到限度时的报警功能。以及当邮件存储达到限度时的报警功能。检查结论:该邮件系统对重要安全事件报检查结论:该邮件系统对重要安全事件报警项符合检查要求。
44、警项符合检查要求。第68页,共121页。第级安全测评要求对应用安全的剩余信第级安全测评要求对应用安全的剩余信息保护检查共项。息保护检查共项。()检查设计验收文档,查看其是否()检查设计验收文档,查看其是否有系统在释放或再分配鉴别信息所在存储有系统在释放或再分配鉴别信息所在存储空间给其他用户前将其进行清(硬盘和内空间给其他用户前将其进行清(硬盘和内存)除的描述。存)除的描述。第69页,共121页。()检查设计验收文档,查看是否有()检查设计验收文档,查看是否有关于释放或重新分配系统内文件、目录和关于释放或重新分配系统内文件、目录和数据库记录等资源所在的存储空间给其他数据库记录等资源所在的存储空间
45、给其他用户前进行清除的描述。用户前进行清除的描述。第70页,共121页。第级安全测评要求对应用安全的通信完第级安全测评要求对应用安全的通信完整性检查只有项。整性检查只有项。检查设计验收文档,查看是否有通信完检查设计验收文档,查看是否有通信完整性的说明,如果有,则查看其是否有根整性的说明,如果有,则查看其是否有根据校验码判断对方数据有效性的描述,以据校验码判断对方数据有效性的描述,以及用散列密码计算报文验证码的描述。及用散列密码计算报文验证码的描述。第71页,共121页。第级安全测评要求对应用安全的软件容第级安全测评要求对应用安全的软件容错检查只有一项。错检查只有一项。检查主要应用系统,查看业务
46、系统是否对检查主要应用系统,查看业务系统是否对通过人机接口输入(如用户界面的数据通过人机接口输入(如用户界面的数据输入)或通过通信接口输入的数据进行了输入)或通过通信接口输入的数据进行了有效性验证有效性验证;是否在故障发生时能;是否在故障发生时能自动保自动保护护当前所有状态信息。当前所有状态信息。检查目标:如上检查目标:如上 检查对象:检查对象:“天网天网”系统中心机房系统中心机房 检查环境:检查环境:Exchange Server 2003第72页,共121页。检查方案:为了对邮件应用系统进行软件检查方案:为了对邮件应用系统进行软件容错检查,设计了两个实验:一是在邮件容错检查,设计了两个实验
47、:一是在邮件子系统客户端创建新的邮件账户,同时输子系统客户端创建新的邮件账户,同时输入不合法的邮件地址,查看系统是否能自入不合法的邮件地址,查看系统是否能自动检测出不合法信息;二是通过写邮件过动检测出不合法信息;二是通过写邮件过程中的强制关闭系统和重新启动系统,来程中的强制关闭系统和重新启动系统,来检查系统是否能保护中断前的状态信息。检查系统是否能保护中断前的状态信息。第73页,共121页。检查步骤:检查步骤:检查该邮件子系统服务器客户端是否对不检查该邮件子系统服务器客户端是否对不合法的邮件地址进行检查。(没有符号)合法的邮件地址进行检查。(没有符号)验证系统能否在故障发生时自动保护当前验证系
48、统能否在故障发生时自动保护当前所有状态信息。编写电子邮件,非法关机,所有状态信息。编写电子邮件,非法关机,开机后,邮件丢失。开机后,邮件丢失。检查结论:该邮件系统通过人机接口输入检查结论:该邮件系统通过人机接口输入数据的有效性检验符合检查要求;但系统数据的有效性检验符合检查要求;但系统不能在故障发生时自动保护当前所有状态不能在故障发生时自动保护当前所有状态信息,不满足检查要求。信息,不满足检查要求。第74页,共121页。第级安全测评要求对应用安全的资源控第级安全测评要求对应用安全的资源控制检查共项制检查共项()检查主要应用系统,查看是否限制()检查主要应用系统,查看是否限制了单个账户的了单个账
49、户的多重并发会话多重并发会话功能;系统是功能;系统是否有否有最大并发会话连接数最大并发会话连接数的限制,是否对的限制,是否对一个时间段内可能的并发会话连接数进行一个时间段内可能的并发会话连接数进行了限制;是否能根据安全策略设定主体的了限制;是否能根据安全策略设定主体的服务优先级服务优先级,根据优先级分配系统资源。,根据优先级分配系统资源。第75页,共121页。检查目标:检查系统是否有最大并发会话检查目标:检查系统是否有最大并发会话连接数的限制,是否对一个时间段内可能连接数的限制,是否对一个时间段内可能的并发会话连接数进行了限制。的并发会话连接数进行了限制。检查对象:检查对象:“天网天网”系统中
50、心机房系统中心机房 检查环境:检查环境:Exchange Server 2003第76页,共121页。检查步骤:检查天网邮件子系统服务器,是检查步骤:检查天网邮件子系统服务器,是否设置了在同一时间内同时连接到邮件服务否设置了在同一时间内同时连接到邮件服务器的客户端数量。图器的客户端数量。图.()()检查结论:该邮件系统最大并发会话连接数检查结论:该邮件系统最大并发会话连接数的限制符合检查要求。的限制符合检查要求。第77页,共121页。()检查主要应用系统,查看是否对一个访问账户或一个请求进程占用的资源分配了最大和最小限额。检查目标:如上检查目标:如上 检查对象:检查对象:“天网天网”系统中心机