.应用系统安全测评指导书
1. 应用系统安全测评
序号
测评指标
测评项
检测方法
预期结果
备注说明
1
身份鉴别
身份标识唯一性
访谈:
功能是否满足、检查设计文档、口令安全要求、功能验证、系统 扫描
用户名不进行校 验,但不能使用CRC。
2•功能是否满足,查看设计文档,设计测试用例并测试。
具有完整性校验
6
通信保密 性
自动结束会话
访谈
1•询问系统管理员,了解通信保密性方面米取的措施。
(如Sniffer pro)获取通信双方的内容,查看 系统是否对通信双方的内容进行了加密。
设置通信保密性
会话初始化验证
整个报文、会话过程加密
密码算法合规
访谈
1•功能是否满足,查看设计文档。
符合规定
7
抗抵赖
数据原发证据
访谈
1•询问系统管理员,了解抗抵赖方面采取的措施,如数字签名;
2•可通过查看文档或源代码等方法来验证措施是否落实。
米取抗抵赖措施
数据接收证据
8
软件容错
对数据进行有效性检验
访谈
1•功能是否满足,并测试
测试功能符合要求
“回退”功能
访谈
1•功能是否满足,查看设计文档。
状态监测能力
访谈
1•功能是否满足,查看设计文档和记录
自动保护能力
访谈
功能是否满足
9
资源控制
单个用户多重并发会话
访谈
1•功能是否满足,系统是否有配置,并测试。
测试功能符合要求
最大并发会话连接数
访谈
1•功能是否满足,系统是否有配置,并测试。
一个时间段内可能的并发会话 连接数
访谈
1•功能是否满足,系统是否有配置,并测试。
序号
测评指标
测评项
检测方法
预期结果
备注说明
操作超时锁定和鉴别失败锁定, 解锁或终止方式
访谈
,系统是否有配置,并测试。
同一用户账号同一时间内并发 登录
访谈
,系统是否有配置,并测试。
资源限额
访谈
,系统是否有配置,并测试。
多种方式限制终端登录
访谈
,系统是否有配置,并测试。
10
数据完整 性
传输过程完整性检测并恢复
访谈
,系统是否有配置,并测试。
测试功能符合要求
存储过程完整性检测并恢复
访谈
1•功能是否满足,系统是否有配置,并测试。
11
数据保密 性
数据传输加密
访谈
1•功能是否满足,系统是否有配置,设计文档如何说明,并测试。
测试功能符合要求
数据存储加密
访谈
1•功能是否满足,系统是否有配置,并测试。
12
备份恢复
本地数据备份、恢复
访谈
1•完全数据备份至少每天一次,备份介质场外存放;
是否有策略,是否满足要求;
查看文档和配置。
备份任务完成情况符合 备份朿略
异地数据备份
访谈
是否有策略,是否满足要求;
查看文档和配置。
2. IIS 应用安全测评
序号
测评指标
测评项
检测方法
预期结果
备注说明
1
身份鉴别
身份标识和鉴别
手工检查:
IIS本身提供了身份验证机制,在站
等级保护测评 来自淘豆网m.daumloan.com转载请标明出处.
