信息安全等級測評師培訓應用系統安全測評1信息安全等級測評師培訓應用系統安全測評1內容目錄背景介紹應用測評的特點和方法主要測評內容結果整理和分析2內容目錄背景介紹2應用安全的形勢（一）開發商和用戶對應用安全重視程度不夠開發商安全意識普遍淡薄，開發中留有安全隱患用戶普遍對應用安全不重視，系統上線前把關不嚴應用系統存在的漏洞較多3NIST的報告顯示，超過90%的安全漏洞是應用層漏洞，它已經遠遠超過網絡、操作系統和瀏覽器的漏洞數量，這個比例還有上升的趨勢。應用安全的形勢（一）開發商和用戶對應用安全重視程度不夠3NI3應用安全的形勢（二）針對應用系統的攻擊手段越來越多，面臨的威脅在不斷增大針對口令的攻擊，如口令破解等非授權獲取敏感信息，如信息竊聽、系統管理員非授權獲取敏感業務數據（如用戶的密碼等信息）等針對WEB應用的攻擊，如跨站腳本攻擊、SQL注入、緩沖區溢出、拒絕服務攻擊、改變網頁內容等4應用安全的形勢（二）針對應用系統的攻擊手段越來越多，面臨的威4指標選取在《基本要求》中的位置數據庫安全是主機安全的一個部分，數據庫的測評指標是從“主機安全”和“數據安全及備份恢復”中根據數據庫的特點映射得到的。5指標選取在《基本要求》中的位置5應用系統的指標選取在《基本要求》中的位置“應用安全”的所有指標，對于應用平臺軟件等則從中選擇部分指標；“數據安全及備份恢復”中的部分指標，對于三級信息系統，在應用安全中，主要檢查“數據完整性”、“數據保密性”和“備份和恢復”第一和第二項；應結合管理的要求，如“應根據開發需求檢測軟件質量”、“應要求開發單位提供軟件源代碼，并審查軟件中可能存在的后門”，加強應用系統的源代碼安全性。6應用系統的指標選取在《基本要求》中的位置66內容目錄背景介紹應用測評的特點和方法主要測評內容結果整理和分析7內容目錄背景介紹7應用測評的特點安全功能和配置檢查并重和數據庫、操作系統等成熟產品不同，應用系統現場測評除檢查安全配置外，還需驗證相關安全功能是否正確應用測評中不確定因素較多業務和數據流程不同，需根據業務和數據特點確定范圍應用系統安全漏洞發現困難，很難消除代碼級的安全隱患測評范圍較廣，分析較為困難應用系統測評包括應用平臺（如IIS等）的測評，且和其他層面關聯較大8應用測評的特點安全功能和配置檢查并重8應用測評的方法（1）通過訪談，了解安全措施的實施情況9和其他成熟產品不同，應用系統只有在充分了解其部署情況后，才能明確測評的范圍和對象，分析其系統的脆弱性和面臨的主要安全威脅，有針對性的進行檢查和測試。--右圖是一個手機支付系統的流程示意圖，通過網頁和手機可以完成沖值、查詢等業務。應用測評的方法（1）通過訪談，了解安全措施的實施情況9和其他9應用測評的方法（2）通過檢查，查看其是否進行了正確的配置有的安全功能（如口令長度限制、錯誤登錄嘗試次數等）需要在應用系統上進行配置，則查看其是否進行了正確的配置，與安全策略是否一致。無需進行配置的，則應查看其部署情況是否與訪談一致。如果條件允許，需進行測試可通過測試驗證安全功能是否正確，配置是否生效。代碼級的安全漏洞在現場查驗比較困難，則可進行漏洞掃描和滲透測試。10應用測評的方法（2）通過檢查，查看其是否進行了正確的配置1010內容目錄背景介紹應用測評的特點和方法主要測評內容結果整理和分析11內容目錄背景介紹11身份鑒別要求項（一）應提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別；應對同一用戶采用兩種或兩種以上組合的鑒別技術實現用戶身份鑒別；應提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證應用系統中不存在重復用戶身份標識，身份鑒別信息不易被冒用；12身份鑒別要求項（一）1212身份鑒別要求項（二）應提供登錄失敗處理功能，可采取結束會話、限制非法登錄次數和自動退出等措施；應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能，并根據安全策略配置相關參數。13身份鑒別要求項（二）1313身份鑒別條款理解提供專用的登錄控制模塊對用戶身份的合法性進行核實，只有通過驗證的用戶才能在系統規定的權限內進行操作，這是防止非法入侵最基本的一種保護措施；三級或三級以上系統要求必須提供兩種（兩次口令鑒別不屬于這種情況）或兩種以上組合的鑒別技術進行身份鑒別（口令+CA證書），在身份鑒別強度上有了更大的提高；14身份鑒別條款理解1414身份鑒別條款理解為每一個登錄用戶提供唯一的標識，這樣應用系統就能對每一個用戶的行為進行審計；同時，為了增加非授權用戶使用暴力猜測等手段破解用戶鑒別信息的難度，應保證用戶的鑒別信息具有一定的復雜性，如用戶的密碼的長度至少為8位、密碼是字母和數字的組合等；應用系統應提供登錄失敗處理功能，如限制非法登錄次數等，登錄失敗次數應能根據用戶根據實際情況進行調整；另外，要求應用啟用這些功能，并配置不許的參數。15身份鑒別條款理解1515身份鑒別檢查方法詢問系統管理員，了解身份鑒別措施的部署和實施情況。根據了解的情況，檢查應用系統是否按照策略要求進行了相應的配置，在條件允許的情況下，驗證功能（包括應用口令暴力破解等測試手段）是否正確。--測試應用系統（如首先以正確的密碼登錄系統，然后再以錯誤的密碼重新登錄，查看是否成功），驗證其登錄控制模塊功能是否正確；掃描應用系統，檢查應用系統是否存在弱口令和空口令用戶；用暴力破解工具對口令進行破解。16身份鑒別檢查方法1616訪問控制要求項（一）應提供訪問控制功能，依據安全策略控制用戶對文件、數據庫表等客體的訪問；訪問控制的覆蓋范圍應包括與資源訪問相關的主體、客體及它們之間的操作；應由授權主體配置訪問控制策略，并嚴格限制默認帳戶的訪問權限；17訪問控制要求項（一）1717訪問控制要求項（二）應授予不同帳戶為完成各自承擔任務所需的最小權限，并在它們之間形成相互制約的關系；應具有對重要信息資源設置敏感標記的功能；應依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操作。18訪問控制要求項（二）1818訪問控制條款理解三級系統要求訪問控制的粒度達到文件、數據庫表級，權限之間具有制約關系（如三權分離），并利用敏感標記控制用戶對重要信息資源的操作；在應用系統中應嚴格限制默認用戶的訪問權限，默認用戶一般指應用系統的公共帳戶或測試帳戶；應用系統授予帳戶所承擔任務所需的最小權限，如領導只需進行查詢操作，則無需為其分配業務操作權限；同時，該項要求明確規定應在不同帳戶之間形成相互制約關系；19訪問控制條款理解1919訪問控制條款理解敏感標記表示主體/客體安全級別和安全范疇的一組信息，通過比較標記來控制是否允許主體對客體的訪問，標記不允許其他用戶進行修改，包括資源的擁有者，在可信計算基中把敏感標記作為強制訪問控制決策的依據；在三級系統中，要求應用系統應提供設置敏感標記的功能，通過敏感標記控制用戶對重要信息資源的訪問。20訪問控制條款理解2020訪問控制檢查方法詢問系統管理員，了解訪問控制措施的部署和實施情況。根據了解的情況，檢查應用系統是否按照策略要求進行了相應的配置，在條件允許的情況下，驗證功能是否正確。--以管理員身份進行審計操作，查看是否成功；以審計員身份進行刪除/增加用戶、設定用戶權限的操作（也可進行一些其他管理員進行的操作），查看是否成功。21訪問控制檢查方法2121安全審計要求項應提供覆蓋到每個用戶的安全審計功能，對應用系統重要安全事件進行審計；應保證無法單獨中斷審計進程，無法刪除、修改或覆蓋審計記錄；審計記錄的內容至少應包括事件的日期、時間、發起者信息、類型、描述和結果等；應提供對審計記錄數據進行統計、查詢、分析及生成審計報表的功能。22安全審計要求項2222安全審計條款理解三級系統強調對每個用戶的重要操作進行審計，重要操作一般包括登錄/退出、改變訪問控制策略、增加/刪除用戶、改變用戶權限和增加/刪除/查詢數據等；應用系統應對審計進程或功能進行保護，如果處理審計的事務是一個單獨的進程，那么應用系統應對審計進程進行保護，不允許非授權用戶對進城進行中斷；如果審計是一個獨立的功能，則應用系統應防止非授權用戶關閉審計功能；另外，應用系統應對審計記錄進行保護。23安全審計條款理解2323安全審計檢查方法詢問系統管理員，了解安全審計措施的部署和實施情況。重點檢查應用系統是否對每個用戶的重要操作進行了審計，同時可通過進行一些操作（如用戶登錄/退出、改變訪問控制策略、增加/刪除用戶、改變用戶權限和增加/刪除/查詢數據等），查看應用系統是否進行了正確的審計。24安全審計檢查方法2424剩余信息保護要求項應保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內存中；應保證系統內的文件、目錄和數據庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全清除。25剩余信息保護要求項2525剩余信息保護條款理解該項要求是為了防止某個用戶非授權獲取其他用戶的鑒別信息、文件、目錄和數據庫記錄等資源，應用系統應加強內存和其他資源管理。檢查方法詢問系統管理員，了解剩余信息保護方面采取的措施。根據了解的情況，測試其采取的措施是否有效，如以某個用戶進行操作，操作完成退出系統后系統是否保留有未被刪除的文件等。26剩余信息保護條款理解2626通信完整性要求項應采用密碼技術保證通信過程中數據的完整性。27通信完整性要求項2727通信完整性條款理解該項要求強調采取密碼技術來保證通信過程中的數據完整性，普通加密技術無法保證密件在傳輸過程中不被替換，還需利用Hash函數（如MD5、SHA和MAC）用于完整性校驗，但不能利用CRC生成的校驗碼來進行完整性校驗。檢查方法詢問系統管理員，了解通信完整性方面采取的措施。可通過查看文檔或源代碼等方法來驗證措施是否落實；如果條件允許，則可設計測試用例進行測試。28通信完整性條款理解2828通信保密性要求項在通信雙方建立連接之前，應用系統應利用密碼技術進行會話初始化驗證；應對通信過程中的整個報文或會話過程進行加密。29通信保密性要求項2929通信保密性條款理解該項要求強調整個報文或會話過程進行加密，同時，如果在加密隧道建立之前需要傳遞密碼等信息，則應采取密碼技術來保證這些信息的安全。檢查方法詢問系統管理員，了解通信保密性方面采取的措施。可通過抓包工具（如Snifferpro）獲取通信雙方的內容，查看系統是否對通信雙方的內容進行了加密。30通信保密性條款理解3030抗抵賴要求項應具有在請求的情況下為數據原發者或接收者提供數據原發證據的功能；應具有在請求的情況下為數據原發者或接收者提供數據接收證據的功能。31抗抵賴要求項3131抗抵賴條款理解該項要求強調應用系統提供抗抵賴措施（如數字簽名、流水記錄、日志等），從而保證發送和接收方都是真實存在的用戶。檢查方法詢問系統管理員，了解抗抵賴方面采取的措施。可通過查看文檔或源代碼等方法來驗證措施是否落實。條件允許，可進行測試，如通過雙方進行通信，查看系統是否能提供在請求的情況下為數據原發者提供原發證據。32抗抵賴條款理解3232軟件容錯要求項應提供數據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數據格式或長度符合系統設定要求；應提供自動保護功能，當故障發生時自動保護當前所有狀態，保證系統能夠進行恢復。33軟件容錯要求項3333軟件容錯條款理解為了防止SQL注入等攻擊，軟件應對用戶輸入數據的長度和格式等進行限制。檢查方法詢問系統管理員，了解軟件容錯方面采取的措施。可通過查看文檔或源代碼等方法來驗證措施是否落實，并在界面上輸入超過長度或不符合要求格式（如hi’or1=1--）的數據，驗證其功能是否正確。34軟件容錯條款理解3434資源控制要求項（一）當應用系統的通信雙方中的一方在一段時間內未作任何響應，另一方應能夠自動結束會話；應能夠對系統的最大并發會話連接數進行限制；應能夠對單個帳戶的多重并發會話進行限制；應能夠對一個時間段內可能的并發會話連接數進行限制；35資源控制要求項（一）3535資源控制要求項（二）應能夠對一個訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額；應能夠對系統服務水平降低到預先規定的最小值進行檢測和報警；應提供服務優先級設定功能，并在安裝后根據安全策略設定訪問帳戶或請求進程的優先級，根據優先級分配系統資源。36資源控制要求項（二）3636資源控制條款理解資源控制是為了保證大多數用戶能夠正常的使用資源，防止服務中斷，應用系統應采取限制最大并發連接數、請求帳戶的最大資源限制等措施。檢查方法詢問系統管理員，了解資源控制措施的部署和實施情況。根據了解的情況，檢查應用系統是否配備了相應的功能，在條件允許的情況下，驗證功能是否正確。37資源控制條款理解3737數據完整性要求項應能夠檢測到系統管理數據、鑒別信息和重要業務數據在傳輸過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施；應能夠檢測到系統管理數據、鑒別信息和重要業務數據在存儲過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施。38數據完整性要求項3838數據完整性條款理解該項要求強調不僅要保證管理數據、鑒別信息和重要業務數據傳輸數據的完整性，而且要保證存儲過程中的完整性并且在檢測到完整性受到破壞時采取恢復措施。檢查方法詢問系統管理員，了解數據完整性措施部署和實施情況。根據了解的情況，檢查應用系統是否配備了相應的功能，在條件允許的情況下，驗證功能是否正確。39數據完整性條款理解3939數據保密性要求項應采用加密或其他有效措施實現系統管理數據、鑒別信息和重要業務數據傳輸保密性；應采用加密或其他保護措施實現系統管理數據、鑒別信息和重要業務數據存儲保密性。40數據保密性要求項4040數據保密性條款理解該項要求強調不僅要保證管理數據、鑒別信息和重要業務數據傳輸數據的保密性，而且要保證存儲過程中的保密性并且在檢測到完整性受到破壞時采取恢復措施。檢查方法詢問系統管理員，了解數據保密性措施部署和實施情況。根據了解的情況，檢查應用系統是否配備了相應的功能，在條件允許的情況下，驗證功能是否正確。41數據保密性條款理解4141備份和恢復要求項應提供本地數據備份與恢復功能，完全數據備份至少每天一次，備份介質場外存放；應提供異地數據備份功能，利用通信網絡將關鍵數據定時批量傳送至備用場地。42備份和恢復要求項4242備份和恢復條款理解該項要求對備份策略進行了明確的要求，即“完全數據備份至少每天一次，備份介質場外存放”，并且強調應提供異地數據備份功能。這部分主要檢查文件型數據的備份和恢復方式。檢查方法詢問系統管理員，了解備份和恢復方面采取的措施。根據了解的情況，檢查相應措施是否落實，如果條件允許，則驗證其是否有效。43備份和恢復條款理解4343內容目錄背景介紹應用測評的特點和方法主要測評內容結果整理和分析44內容目錄背景介紹44結果整理和分析結果整理通過對測評結果的整理，并與預期結果進行比較，初步判定各個應用系統的單項符合情況，在判定時需結合業務和數據流程進行分析，不能從單點結果進行判斷。綜合分析在單項判定后，需要結果其他層面的測評結果進行綜合分析，從整體上分析其他層面的安全措施能否彌補應用層面的安全弱點，如并發連接數的限制，在應用系統上很難實現，往往在應用平臺（如IIS等）上進行配置。45結果整理和分析結果整理4545結果整理和分析46序號類型描述1安全控制間如果代碼安全沒有做好，很可能會使應用系統的訪問控制被繞過、被旁路。2層面間對于通過網絡訪問控制、隔離等措施限定在特定區域（物理和網絡）范圍內才能訪問的應用程序，可以適當降低身份鑒別等安全控制的要求【網絡安全與應用安全】。對只能通過特定主機才能訪問的應用程序，可以通過主機系統的身份鑒別等增強其身份鑒別功能【主機安全與應用安全】。3區域間主要考慮不同區域間存在的安全功能增強、補充和削弱等關系。4系統結構主要考慮信息系統整體結構的安全性和整體安全防范的合理性。結果整理和分析46序號類型描述1安全控制間如果代碼安全沒有做46

謝謝！47謝謝！47信息安全等級測評師培訓應用系統安全測評48信息安全等級測評師培訓應用系統安全測評1內容目錄背景介紹應用測評的特點和方法主要測評內容結果整理和分析49內容目錄背景介紹2應用安全的形勢（一）開發商和用戶對應用安全重視程度不夠開發商安全意識普遍淡薄，開發中留有安全隱患用戶普遍對應用安全不重視，系統上線前把關不嚴應用系統存在的漏洞較多50NIST的報告顯示，超過90%的安全漏洞是應用層漏洞，它已經遠遠超過網絡、操作系統和瀏覽器的漏洞數量，這個比例還有上升的趨勢。應用安全的形勢（一）開發商和用戶對應用安全重視程度不夠3NI50應用安全的形勢（二）針對應用系統的攻擊手段越來越多，面臨的威脅在不斷增大針對口令的攻擊，如口令破解等非授權獲取敏感信息，如信息竊聽、系統管理員非授權獲取敏感業務數據（如用戶的密碼等信息）等針對WEB應用的攻擊，如跨站腳本攻擊、SQL注入、緩沖區溢出、拒絕服務攻擊、改變網頁內容等51應用安全的形勢（二）針對應用系統的攻擊手段越來越多，面臨的威51指標選取在《基本要求》中的位置數據庫安全是主機安全的一個部分，數據庫的測評指標是從“主機安全”和“數據安全及備份恢復”中根據數據庫的特點映射得到的。52指標選取在《基本要求》中的位置5應用系統的指標選取在《基本要求》中的位置“應用安全”的所有指標，對于應用平臺軟件等則從中選擇部分指標；“數據安全及備份恢復”中的部分指標，對于三級信息系統，在應用安全中，主要檢查“數據完整性”、“數據保密性”和“備份和恢復”第一和第二項；應結合管理的要求，如“應根據開發需求檢測軟件質量”、“應要求開發單位提供軟件源代碼，并審查軟件中可能存在的后門”，加強應用系統的源代碼安全性。53應用系統的指標選取在《基本要求》中的位置653內容目錄背景介紹應用測評的特點和方法主要測評內容結果整理和分析54內容目錄背景介紹7應用測評的特點安全功能和配置檢查并重和數據庫、操作系統等成熟產品不同，應用系統現場測評除檢查安全配置外，還需驗證相關安全功能是否正確應用測評中不確定因素較多業務和數據流程不同，需根據業務和數據特點確定范圍應用系統安全漏洞發現困難，很難消除代碼級的安全隱患測評范圍較廣，分析較為困難應用系統測評包括應用平臺（如IIS等）的測評，且和其他層面關聯較大55應用測評的特點安全功能和配置檢查并重8應用測評的方法（1）通過訪談，了解安全措施的實施情況56和其他成熟產品不同，應用系統只有在充分了解其部署情況后，才能明確測評的范圍和對象，分析其系統的脆弱性和面臨的主要安全威脅，有針對性的進行檢查和測試。--右圖是一個手機支付系統的流程示意圖，通過網頁和手機可以完成沖值、查詢等業務。應用測評的方法（1）通過訪談，了解安全措施的實施情況9和其他56應用測評的方法（2）通過檢查，查看其是否進行了正確的配置有的安全功能（如口令長度限制、錯誤登錄嘗試次數等）需要在應用系統上進行配置，則查看其是否進行了正確的配置，與安全策略是否一致。無需進行配置的，則應查看其部署情況是否與訪談一致。如果條件允許，需進行測試可通過測試驗證安全功能是否正確，配置是否生效。代碼級的安全漏洞在現場查驗比較困難，則可進行漏洞掃描和滲透測試。57應用測評的方法（2）通過檢查，查看其是否進行了正確的配置1057內容目錄背景介紹應用測評的特點和方法主要測評內容結果整理和分析58內容目錄背景介紹11身份鑒別要求項（一）應提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別；應對同一用戶采用兩種或兩種以上組合的鑒別技術實現用戶身份鑒別；應提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證應用系統中不存在重復用戶身份標識，身份鑒別信息不易被冒用；59身份鑒別要求項（一）1259身份鑒別要求項（二）應提供登錄失敗處理功能，可采取結束會話、限制非法登錄次數和自動退出等措施；應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能，并根據安全策略配置相關參數。60身份鑒別要求項（二）1360身份鑒別條款理解提供專用的登錄控制模塊對用戶身份的合法性進行核實，只有通過驗證的用戶才能在系統規定的權限內進行操作，這是防止非法入侵最基本的一種保護措施；三級或三級以上系統要求必須提供兩種（兩次口令鑒別不屬于這種情況）或兩種以上組合的鑒別技術進行身份鑒別（口令+CA證書），在身份鑒別強度上有了更大的提高；61身份鑒別條款理解1461身份鑒別條款理解為每一個登錄用戶提供唯一的標識，這樣應用系統就能對每一個用戶的行為進行審計；同時，為了增加非授權用戶使用暴力猜測等手段破解用戶鑒別信息的難度，應保證用戶的鑒別信息具有一定的復雜性，如用戶的密碼的長度至少為8位、密碼是字母和數字的組合等；應用系統應提供登錄失敗處理功能，如限制非法登錄次數等，登錄失敗次數應能根據用戶根據實際情況進行調整；另外，要求應用啟用這些功能，并配置不許的參數。62身份鑒別條款理解1562身份鑒別檢查方法詢問系統管理員，了解身份鑒別措施的部署和實施情況。根據了解的情況，檢查應用系統是否按照策略要求進行了相應的配置，在條件允許的情況下，驗證功能（包括應用口令暴力破解等測試手段）是否正確。--測試應用系統（如首先以正確的密碼登錄系統，然后再以錯誤的密碼重新登錄，查看是否成功），驗證其登錄控制模塊功能是否正確；掃描應用系統，檢查應用系統是否存在弱口令和空口令用戶；用暴力破解工具對口令進行破解。63身份鑒別檢查方法1663訪問控制要求項（一）應提供訪問控制功能，依據安全策略控制用戶對文件、數據庫表等客體的訪問；訪問控制的覆蓋范圍應包括與資源訪問相關的主體、客體及它們之間的操作；應由授權主體配置訪問控制策略，并嚴格限制默認帳戶的訪問權限；64訪問控制要求項（一）1764訪問控制要求項（二）應授予不同帳戶為完成各自承擔任務所需的最小權限，并在它們之間形成相互制約的關系；應具有對重要信息資源設置敏感標記的功能；應依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操作。65訪問控制要求項（二）1865訪問控制條款理解三級系統要求訪問控制的粒度達到文件、數據庫表級，權限之間具有制約關系（如三權分離），并利用敏感標記控制用戶對重要信息資源的操作；在應用系統中應嚴格限制默認用戶的訪問權限，默認用戶一般指應用系統的公共帳戶或測試帳戶；應用系統授予帳戶所承擔任務所需的最小權限，如領導只需進行查詢操作，則無需為其分配業務操作權限；同時，該項要求明確規定應在不同帳戶之間形成相互制約關系；66訪問控制條款理解1966訪問控制條款理解敏感標記表示主體/客體安全級別和安全范疇的一組信息，通過比較標記來控制是否允許主體對客體的訪問，標記不允許其他用戶進行修改，包括資源的擁有者，在可信計算基中把敏感標記作為強制訪問控制決策的依據；在三級系統中，要求應用系統應提供設置敏感標記的功能，通過敏感標記控制用戶對重要信息資源的訪問。67訪問控制條款理解2067訪問控制檢查方法詢問系統管理員，了解訪問控制措施的部署和實施情況。根據了解的情況，檢查應用系統是否按照策略要求進行了相應的配置，在條件允許的情況下，驗證功能是否正確。--以管理員身份進行審計操作，查看是否成功；以審計員身份進行刪除/增加用戶、設定用戶權限的操作（也可進行一些其他管理員進行的操作），查看是否成功。68訪問控制檢查方法2168安全審計要求項應提供覆蓋到每個用戶的安全審計功能，對應用系統重要安全事件進行審計；應保證無法單獨中斷審計進程，無法刪除、修改或覆蓋審計記錄；審計記錄的內容至少應包括事件的日期、時間、發起者信息、類型、描述和結果等；應提供對審計記錄數據進行統計、查詢、分析及生成審計報表的功能。69安全審計要求項2269安全審計條款理解三級系統強調對每個用戶的重要操作進行審計，重要操作一般包括登錄/退出、改變訪問控制策略、增加/刪除用戶、改變用戶權限和增加/刪除/查詢數據等；應用系統應對審計進程或功能進行保護，如果處理審計的事務是一個單獨的進程，那么應用系統應對審計進程進行保護，不允許非授權用戶對進城進行中斷；如果審計是一個獨立的功能，則應用系統應防止非授權用戶關閉審計功能；另外，應用系統應對審計記錄進行保護。70安全審計條款理解2370安全審計檢查方法詢問系統管理員，了解安全審計措施的部署和實施情況。重點檢查應用系統是否對每個用戶的重要操作進行了審計，同時可通過進行一些操作（如用戶登錄/退出、改變訪問控制策略、增加/刪除用戶、改變用戶權限和增加/刪除/查詢數據等），查看應用系統是否進行了正確的審計。71安全審計檢查方法2471剩余信息保護要求項應保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內存中；應保證系統內的文件、目錄和數據庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全清除。72剩余信息保護要求項2572剩余信息保護條款理解該項要求是為了防止某個用戶非授權獲取其他用戶的鑒別信息、文件、目錄和數據庫記錄等資源，應用系統應加強內存和其他資源管理。檢查方法詢問系統管理員，了解剩余信息保護方面采取的措施。根據了解的情況，測試其采取的措施是否有效，如以某個用戶進行操作，操作完成退出系統后系統是否保留有未被刪除的文件等。73剩余信息保護條款理解2673通信完整性要求項應采用密碼技術保證通信過程中數據的完整性。74通信完整性要求項2774通信完整性條款理解該項要求強調采取密碼技術來保證通信過程中的數據完整性，普通加密技術無法保證密件在傳輸過程中不被替換，還需利用Hash函數（如MD5、SHA和MAC）用于完整性校驗，但不能利用CRC生成的校驗碼來進行完整性校驗。檢查方法詢問系統管理員，了解通信完整性方面采取的措施。可通過查看文檔或源代碼等方法來驗證措施是否落實；如果條件允許，則可設計測試用例進行測試。75通信完整性條款理解2875通信保密性要求項在通信雙方建立連接之前，應用系統應利用密碼技術進行會話初始化驗證；應對通信過程中的整個報文或會話過程進行加密。76通信保密性要求項2976通信保密性條款理解該項要求強調整個報文或會話過程進行加密，同時，如果在加密隧道建立之前需要傳遞密碼等信息，則應采取密碼技術來保證這些信息的安全。檢查方法詢問系統管理員，了解通信保密性方面采取的措施。可通過抓包工具（如Snifferpro）獲取通信雙方的內容，查看系統是否對通信雙方的內容進行了加密。77通信保密性條款理解3077抗抵賴要求項應具有在請求的情況下為數據原發者或接收者提供數據原發證據的功能；應具有在請求的情況下為數據原發者或接收者提供數據接收證據的功能。78抗抵賴要求項3178抗抵賴條款理解該項要求強調應用系統提供抗抵賴措施（如數字簽名、流水記錄、日志等），從而保證發送和接收方都是真實存在的用戶。檢查方法詢問系統管理員，了解抗抵賴方面采取的措施。可通過查看文檔或源代碼等方法來驗證措施是否落實。條件允許，可進行測試，如通過雙方進行通信，查看系統是否能提供在請求的情況下為數據原發者提供原發證據。79抗抵賴條款理解3279軟件容錯要求項應提供數據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數據格式或長度符合系統設定要求；應提供自動保護功能，當故障發生時自動保護當前所有狀態，保證系統能夠進行恢復。80軟件容錯要求項3380軟件容錯條款理解為了防止SQL注入等攻擊，軟件應對用戶輸入數據的長度和格式等進行限制。檢查方法詢問系統管理員，了解軟件容錯方面采取的措施。可通過查看文檔或源代碼等方法來驗證措施是否落實，并在界面上輸入超過長度或不符合要求格式（如hi’or1=1--）的數據，驗證其功能是否正確。81軟件容錯條款理解3481資源控制要求項（一）當應用系統的通信雙方中的一方在一段時間內未作任何響應，另一方應能夠自動結束會話；應能夠對系統的最大并發會話連接數進行限制；應能夠對單個帳戶的多重并發會話進行限制；應能夠對一個時間段內可能的并發會話連接數進行限制；82資源控制要求項（一）3582資源控制要求項（二）應能夠對一個訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額；應能夠對系統服務水平降低到預先規定的最小值進行檢測和報警；應提供服務優先級設定功能，并在安裝后根據安全策略設定訪問帳戶或請求進程的優先級，根據優先級分配系統資源。83資源控制要求項（二）3683資源控制條款理解資源控制是為了保證大多數用戶能夠正常的使用資源，防止服務中斷，應用系統應采取限制最大并發連接數、請求帳戶的最大資源限制等措施。檢查方法詢問系統管理員，了解資源控制措施的部署和實施情況。根據了解的情況，檢查應用系統是否配備了相應的功能，在條件允許的情況下，驗證功能是否正確。84資源控制條款理解3784數據完整性要求項應能夠檢測到系統管理數據、鑒別信息和重要業務數據在傳輸過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢