16
访问控制
要求项（一）
应提供访问控制功能，依据安全策略控制用户对文件、数 据库表等客体的访问； 访问控制的覆盖范围应包括与资源访问相关的主体、客体 及它们之间的操作； 应由授权主体配置访问控制策略，并严格限制默认帐户的 访问权限；
17
访问控制
要求项（二）
应授予不同帐户为完成各自承担任务所需的最小权限，并 在它们之间形成相互制约的关系； 应具有对重要信息资源设置敏感标记的功能； 应依据安全策略严格控制用户对有敏感标记重要信息资源 的操作。
测评范围较广，分析较为困难
应用系统测评包括应用平台（如IIS等）的测评，且和其 他层面关联较大
8
应用测评的方法（1 应用测评的方法（1） 通过访谈，了解安全措施的实施情况
和其他成熟产品不同，应用系统只有在 充分了解其部署情况后，才能明确测评 的范围和对象，分析其系统的脆弱性和 面临的主要安全威胁，有针对性的进行 检查和测试。--右图是一个手机支付系
3
应用安全的形势（二）
针对应用系统的攻击手段越来越多，面临的 威胁在不断增大
针对口令的攻击，如口令破解等 非授权获取敏感信息，如信息窃听、系统管理员非授权获 取敏感业务数据（如用户的密码等信息）等 针对WEB应用的攻击，如跨站脚本攻击、SQL注入、缓 冲区溢出、拒绝服务攻击、改变网页内容等
4
指标选取
NIST的报告显示，超过 90%的安全漏洞是应用层 漏洞，它已经远远超过网 络、操作系统和浏览器的 漏洞数量，这个比例还有 上升的趋势。
92% of reported vulnerabilities are in applications, not networks
Encryption Module
20
访问控制
检查方法
询问系统管理员，了解访问控制措施的部署和实施情况。 根据了解的情况，检查应用系统是否按照策略要求进行了 相应的配置，在条件允许的情况下，验证功能是否正确。-以管理员身份进行审计操作，查看是否成功；以审计员身 份进行删除/增加用户、设定用户权限的操作（也可进行一 些其他管理员进行的操作），查看是否成功。
询问系统管理员，了解软件容错方面采取的措施。 可通过查看文档或源代码等方法来验证措施是否落实，并 在界面上输入超过长度或不符合要求格式（如hi’ or 1=1-）的数据，验证其功能是否正确。
34
资源控制
要求项（一）
当应用系统的通信双方中的一方在一段时间内未作任何响 应，另一方应能够自动结束会话； 应能够对系统的最大并发会话连接数进行限制； 应能够对单个帐户的多重并发会话进行限制； 应能够对一个时间段内可能的并发会话连接数进行限制；
信息安全等级测评师培训
应用系统安全测评
1
内容目录 1. 背景介绍 2. 应用测评的特点和方法 3. 主 要 测 评 内 容 4. 结果整理和分析
2
应用安全的形势（一）
开发商和用户对应用安全重视程度不够
开发商安全意识普遍淡薄，开发中留有安全隐患 用户普遍对应用安全不重视，系统上线前把关不严
应用系统存在的漏洞较多
19
访问控制
条款理解
敏感标记表示主体/客体安全级别和安全范畴的一组信息， 通过比较标记来控制是否允许主体对客体的访问，标记不 允许其他用户进行修改，包括资源的拥有者，在可信计算 基中把敏感标记作为强制访问控制决策的依据；在三级系 统中，要求应用系统应提供设置敏感标记的功能，通过敏 感标记控制用户对重要信息资源的访问。
如果条件允许，需进行测试
可通过测试验证安全功能是否正确，配置是否生效。 代码级的安全漏洞在现场查验比较困难，则可进行漏洞扫描和 渗透测试。
10
内容目录 1. 背景介绍 2. 应用测评的特点和方法 3. 主 要 测 评 内 容 4. 结果整理和分析
11
身份鉴别
要求项（一）
应提供专用的登录控制模块对登录用户进行身份标识和鉴 别； 应对同一用户采用两种或两种以上组合的鉴别技术实现用 户身份鉴别； 应提供用户身份标识唯一和鉴别信息复杂度检查功能，保 证应用系统中不存在重复用户身份标识，身份鉴别信息不 易被冒用；
21
安全审计
要求项
应提供覆盖到每个用户的安全审计功能，对应用系统重要 安全事件进行审计； 应保证无法单独中断审计进程，无法删除、修改或覆盖审 计记录； 审计记录的内容至少应包括事件的日期、时间、发起者信 息、类型、描述和结果等； 应提供对审计记录数据进行统计、查询、分析及生成审计 报表的功能。
22
安全审计
条款理解
三级系统强调对每个用户的重要操作进行审计，重要操作 一般包括登录 退出、改变访问控制策略、增加 删除用户 一般包括登录/退出、改变访问控制策略、增加/删除用户 、改变用户权限和增加/删除/查询数据等； 应用系统应对审计进程或功能进行保护，如果处理审计的 事务是一个单独的进程，那么应用系统应对审计进程进行 保护，不允许非授权用户对进城进行中断；如果审计是一 个独立的功能，则应用系统应防止非授权用户关闭审计功 能；另外，应用系统应对审计记录进行保护。
0% 1% 2% 2% 3% 15% 41%
Network Protocol Stack Other Communication Protocol Hardware Operating System Non-Server Applications
36%
Server Applications
Source: NIST
统的流程示意图，通过网页和手机可以 完成冲值、查询等业务。
9
应用测评的方法（2 应用测评的方法（2） 通过检查，查看其是否进行了正确的配置
有的安全功能（如口令长度限制、错误登录尝试次数等）需要 在应用系统上进行配置，则查看其是否进行了正确的配置，与 安全策略是否一致。 无需进行配置的，则应查看其部署情况是否与访谈一致。
该项要求强调整个报文或会话过程进行加密，同时，如果 在加密隧道建立之前需要传递密码等信息，则应采取密码 技术来保证这些信息的安全。
检查方法
询问系统管理员，了解通信保密性方面采取的措施。 可通过抓包工具（如Sniffer pro）获取通信双方的内容， 查看系统是否对通信双方的内容进行了加密。
30
抗抵赖
检查方法
询问系统管理员，了解剩余信息保护方面采取的措施。 根据了解的情况，测试其采取的措施是否有效，如以某个 用户进行操作，操作完成退出系统后系统是否保留有未被 删除的文件等。
26
通信完整性
要求项
应采用密码技术保证通信过程中数据的完整性。
27
通信完整性
条款理解
该项要求强调采取密码技术来保证通信过程中的数据完整 性，普通加密技术无法保证密件在传输过程中不被替换， 还需利用Hash函数（如MD5、SHA和MAC）用于完整性 校验，但不能利用CRC生成的校验码来进行完整性校验。
15
身份鉴别
检查方法
询问系统管理员，了解身份鉴别措施的部署和实施情况。 根据了解的情况，检查应用系统是否按照策略要求进行了 相应的配置，在条件允许的情况下，验证功能（包括应用 口令暴力破解等测试手段）是否正确。--测试应用系统（ 如首先以正确的密码登录系统，然后再以错误的密码重新 登录，查看是否成功），验证其登录控制模块功能是否正 确；扫描应用系统，检查应用系统是否存在弱口令和空口 令用户；用暴力破解工具对口令进行破解。
14
身份鉴别
条款理解
为每一个登录用户提供唯一的标识，这样应用系统就能对 每一个用户的行为进行审计；同时，为了增加非授权用户 使用暴力猜测等手段破解用户鉴别信息的难度，应保证用 户的鉴别信息具有一定的复杂性，如用户的密码的长度至 少为8位、密码是字母和数字的组合等； 应用系统应提供登录失败处理功能，如限制非法登录次数 等，登录失败次数应能根据用户根据实际情况进行调整； 另外，要求应用启用这些功能，并配置不许的参数。
6
内容目录 1. 背景介绍 2. 应用测评的特点和方法 3. 主 要 测 评 内 容 4. 结果整理和分析
7
应用测评的特点
安全功能和配置检查并重
和数据库、操作系统等成熟产品不同，应用系统现场测评 除检查安全配置外，还需验证相关安全功能是否正确
应用测评中不确定因素较多
业务和数据流程不同，需根据业务和数据特点确定范围 应用系统安全漏洞发现困难，很难消除代码级的安全隐患
23
安全审计
检查方法
询问系统管理员，了解安全审计措施的部署和实施情况。 重点检查应用系统是否对每个用户的重要操作进行了审计 ，同时可通过进行一些操作（如用户登录/退出、改变访问 控制策略、增加/删除用户、改变用户权限和增加/删除/查 询数据等），查看应用系统是否进行了正确的审计。
24
剩余信息保护
要求项
应保证用户鉴别信息所在的存储空间被释放或再分配给其 他用户前得到完全清除，无论这些信息是存放在硬盘上还 是在内存中； 应保证系统内的文件、目录和数据库记录等资源所在的存 储空间被释放或重新分配给其他用户前得到完全清除。
25
剩余信息保护
条款理解
该项要求是为了防止某个用户非授权获取其他用户的鉴别 信息、文件、目录和数据库记录等资源，应用系统应加强 内存和其他资源管理。
35
资源控制
要求项（二）
应能够对一个访问帐户或一个请求进程占用的资源分配最 大限额和最小限额； 应能够对系统服务水平降低到预先规定的最小值进行检测 和报警； 应提供服务优先级设定功能，并在安装后根据安全策略设 定访问帐户或请求进程的优先级，根据优先级分配系统资 源。
检查方法
询问系统管理员，了解通信完整性方面采取的措施。 可通过查看文档或源代码等方法来验证措施是否落实；如 果条件允许，则可设计测试用例进行测试。
28
通信保密性
要求项
在通信双方建立连接之前，应用系统应利用密码技术进行 会话初始化验证； 应对通信过程中的整个报文或会话过程进行加密。