越来越多的企业用户已将核心业务系统转移到网络上,Web浏览器成为业 务系统的窗口,应用系统面临更多的安全威胁;并且由于各种原因使得其 存在较多的安全漏洞。在此背景下,如何保障企业的应用安全,尤其是Web应用安全成为新形势下信息安全保障的关键所在。目前,应用层漏洞 也是层出不穷,已经远远超过网络、操作系统和浏览器的漏洞量,且这 个比例还有上升的趋势。
针对应用系统的攻击手段越来越多
常见攻击手段,如口令破解、信息窃听、绕过访问控制、后门攻击等
针对WEB应用的攻击,如跨站脚本攻击、 SQL注入、缓冲区溢出、拒绝 服务攻击等
测评方法
通过访谈,了解安全措施的实施情况
和其他成熟产品不同,应用系统只有在充分了解其部署情况和业务流程后, 才能明确测评的范围和对象,分析其系统的脆弱性和面临的主要安全威胁, 有针对性的进行测评。
测评方法
通过检查,查看其是否进行了正确的配置
有的安全功能(如口令长度限制、错误登录尝试次数等) 需要在应用系统上进行 配置,则查看其是否进行了正确的配置,与安全策略是否一致。
无需进行配置的,则应查看其部署情况是否与访谈一致。
如果条件允许, 需进行测试
可通过测试验证安全功能是否正确,配置是否生效。
代码级的安全漏洞在现场查验比较困难,则可进行漏洞扫描和渗透测试,如果条 件允许,则可进行代码白盒测试。
安全计算环境-应用系统
身份鉴别
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性, 身份 鉴别信息具有复杂度要求并定期更换。
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录 次数和当登录连接超时自动退出等相关措施。
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程 中被窃昕。
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术 对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
访问控制
a)应对登录的用户分配账户和权限。
b)应重命名或删除默认账户,修改默认账户的默认口令。
c)应及时删除或停用多余的、过期的账户, 避免共享账户的存在。
d)应授予管理用户所需的最小权限,实现管理用户的权限分离。
e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。
e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。
f)访问控制的粒度应达到主体为用户级或进程级, 客体为文件、数据库 表级。
g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。