安基网 首页 安全 安全学院 查看内容

一项一项教你测等保2.0——应用访问控制

2021-1-5 09:41| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 应用系统是我们在日常生活中经常会使用到的,我们购买火车票经常使用的12306系统;到医院看病前需要先挂号,医院都有挂号系统;在公司与同事交流发送文件,都会使用公司专门的OA系统等等,其实我们手机上安装的各种APP都是应用系统的一种,应用系统方便了我们的生活、工作和学习,使我们身边的事变得高效,越来越多的人已经离不开各种应用系统的帮助,也正因为如此,人们对应用系统安全方面的问题也越来越重视,今天我们来讲一讲应用系统测评中关于访问控制方面的要求。

一、前言

应用系统是我们在日常生活中经常会使用到的,我们购买火车票经常使用的12306系统;到医院看病前需要先挂号,医院都有挂号系统;在公司与同事交流发送文件,都会使用公司专门的OA系统等等,其实我们手机上安装的各种APP都是应用系统的一种,应用系统方便了我们的生活、工作和学习,使我们身边的事变得高效,越来越多的人已经离不开各种应用系统的帮助,也正因为如此,人们对应用系统安全方面的问题也越来越重视,今天我们来讲一讲应用系统测评中关于访问控制方面的要求。

应用系统

二、测评项

和之前我们讲到的操作系统、数据库里边关于身份鉴别的要求一样,应用系统对于身份鉴别方面的要求也是一样的,我们还是按照惯例列出各项测评项。

a)应对登录的用户分配账户和权限;

b)应重命名或删除默认账户,修改默认账户的默认口令;

c)应及时删除或停用多余的、过期的账户,避免共享账户的存在;

d)应授予管理用户所需的最小权限,实现管理用户的权限分离;

e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;

f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;

g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。

三、测评项a

a)应对登录的用户分配账户和权限;

从字面意思看,对登陆的用户分配账户和权限,既然已经登陆了,自然就存在账户了,这里的意思是一开始就有几个待分配的账户,当有用户需要使用这些账户时,就分配给该用户,至于权限问题,就必须存在至少两个账户,且这两个账户的权限不一样,才有分配权限的必要性。

因此,这一测评项就需要应用系统最少拥有两个账户,而且这两个账户的权限不一样,一般来说比较正规的应用系统大部分会采用三权分立的账户分配原则,也就是系统管理员、安全员、审计员,以下是对系统管理员、安全员、审计员的解释:

系统管理员:管理系统中的账户、文档、文件等;

安全管理员:授权策略以及其它基本策略的设置,还有安全参数的设置。安全参数的设置是安全管理中心安全类中的安全管理中的测评项里说的,如果安全管理中的安全和安全管理员的安全是一个意思,那么安全管理员的职能就应该包括安全参数的设置。我对于安全参数的理解就是恶意代码防范和入侵防范,也就是杀毒软件、防火墙、ip策略、防入侵软件的参数的设置。

审计管理员:对系统中审计策略的管理,比如日志的存储策略,以及组策略中审核策略等。

有的时候在这三个账户之上还存在一个超级管理员的账户,拥有应用系统的全部权限,掌握这个账户的人员应该限制在最小的范围内。

四、测评项b

b)应重命名或删除默认账户,修改默认账户的默认口令;

这一项对于不同的应用系统来说会有不同的默认账户,一般来说比较常见的默认账户有admin、system等,口令则是根据不同应用的开发方的不同,因人而异,只要在应用系统正式交付时,删除或者修改这些账户的用户名和口令就可以了,值得一提的是,应用系统一般都会建立测试账户,这个账户的用户名一般为test,密码都比较简单,正式交付时最好删除这些测试账户。

默认口令

五、测评项c

c)应及时删除或停用多余的、过期的账户,避免共享账户的存在;

至于多余和过期的账户,一是需要询问系统管理员每个账户的具体用途是什么,二是查看应用系统是否对每个账户都设置了时间限制,对于那些过了时间限制的账户,查看是否还可以登录,一般来说大部分应用系统都不会设置账户的时间限制,如果账户不用了,直接删除就可以了。及时删除

至于共享账户,这个只能通过访谈来确定了,一般被访谈人都会否认存在共享账户,测评人员也无从查证,一般都会符合。

六、测评项d

d)应授予管理用户所需的最小权限,实现管理用户的权限分离;

这一项要根据应用系统的功能多少和使用人数来确定,一般来说功能越多,使用人数越多的应用系统权限划分的越细,一般来说我们会根据用户所使用的系统功能,或者用户所处的具体处室来划分权限,大部分应用系统的权限划分都不会有问题,反倒是那些功能单一,使用人数较少的应用系统,容易出现权限划分不明确的问题,最常见的就是一个应用系统只有一个管理员账号,拥有整个应用系统的所有权限,这显然是不符合要求的。权限分配

七、测评项e

e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;

这一项的授权主体应该由安全管理员担任,至于访问规则应该是在应用系统设计之初,根据需要已经设计好了的,一般情况下只要设计合理就可以了,这里每个应用系统都有每个系统的实际需求,并没有统一标准,这里就不多说了,视情况而定吧。

八、测评项f

f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;

访问控制粒度主体达到用户级或者进程级,我认为就是每一个用户或者进程都可以拥有不同的访问客体(也就是权限),而大部分应用系统则是有多个用户拥有几种不同权限,我们把这种拥有同一种权限的用户称为是一种角色,也就是把访问几种客体的权限打包授予一种角色,再把这个角色授予有需要的用户,这些用户就拥有了这些打包好的权限,这样一来访问主体和客体的粒度就不满足本项要求了,当然有时候我们可以设置角色可以有那些权限,这样一来也可以算是符合要求了。

九、测评项g

g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。

这一项我在测评的过程中还没有遇到过符合要求的情况,而且我也一直不理解设置这个测评项的初衷是什么,本来从外表看不出什么区别的主体和客体,加上安全标记后反而可以一眼认出,如果你想提醒主体这些客体是设置了安全标记的重要客体,不要随意访问,你完全可以设置权限让这些主体访问不了就是了,没有必要设置那么明显的标志,这样一来倒让人有一种一探究竟的冲动。

以上就是一项一项教你测等保2.0——应用系统访问控制的所有内容,希望对大家有所帮助,欢迎关注@科技兴了解更多科技尤其是网络安全方面的资讯与知识。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6913743313954750988/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部