信息安全性解讀
文章來源:江蘇方哲檢測(cè)技術(shù)有限公司發(fā)布時(shí)間:2024-02-19
保密性 指產(chǎn)品或系統(tǒng)確保數(shù)據(jù)��,只有在被授權(quán)時(shí)才能訪問的程度
要求解讀
1�����、驗(yàn)證被測(cè)系統(tǒng)是否能防止對(duì)程序和數(shù)據(jù)的未授權(quán)訪問��。
2���、驗(yàn)證被測(cè)系統(tǒng)的賬戶的授權(quán)是否應(yīng)遵循“最小權(quán)限原則”,即授權(quán)承當(dāng)任務(wù)所需的最小權(quán)限����。
3、驗(yàn)證被測(cè)系統(tǒng)是否能明確區(qū)分系統(tǒng)中不同用戶權(quán)限���,系統(tǒng)不會(huì)因用戶的權(quán)限的改變?cè)斐苫靵y�����。
4���、驗(yàn)證被測(cè)系統(tǒng)是否需要需要進(jìn)行用戶身份鑒別����,并在每次用戶登錄系統(tǒng)時(shí)進(jìn)行鑒別����。
5、驗(yàn)證被測(cè)系統(tǒng)是否對(duì)不成功的鑒別嘗試的值進(jìn)行預(yù)先定義�����,其中應(yīng)包括嘗試次數(shù)和時(shí)間的閾值��,并明確規(guī)定達(dá)到該值時(shí)是否采取了具有規(guī)范性和安全性的措施來實(shí)現(xiàn)鑒別失敗的處理����。
6、驗(yàn)證被測(cè)系統(tǒng)的數(shù)據(jù)在傳輸過程中是否進(jìn)行加密��,且加密算法應(yīng)具備破解難度����,如采用3DES(三重?cái)?shù)據(jù)加密算法)����、AES(高級(jí)加密標(biāo)準(zhǔn))和IDEA(國(guó)際數(shù)據(jù)加密算法)等加密處理����。
7�����、驗(yàn)證被測(cè)系統(tǒng)的數(shù)據(jù)存儲(chǔ)后需要要是否能保證敏感數(shù)據(jù)的保密性����,防止被托庫(kù)后大量用戶敏感數(shù)據(jù)暴露。
完整性
指產(chǎn)品或系統(tǒng)����,組件,防止未授權(quán)訪問����,篡改計(jì)算機(jī)程序或數(shù)據(jù)的程度
要求解讀
1、驗(yàn)證被測(cè)系統(tǒng)是否具有對(duì)未授權(quán)用戶非法訪問的控制能力��。
2�����、驗(yàn)證被測(cè)系統(tǒng)是否具備數(shù)據(jù)在傳輸或存儲(chǔ)過程中被破壞或篡改的防御能力。
3�、驗(yàn)證被測(cè)系統(tǒng)是否能保障事務(wù)的原子性,避免操作中斷或回歸造成的數(shù)據(jù)不一致�����,最終導(dǎo)致完整性被破壞���。
4��、驗(yàn)證被測(cè)系統(tǒng)對(duì)非授權(quán)人創(chuàng)建���、刪除或修改信息是否有控制處理能力。
5���、驗(yàn)證被測(cè)系統(tǒng)是否能識(shí)別出對(duì)結(jié)構(gòu)數(shù)據(jù)庫(kù)或文件完整性產(chǎn)生損害的事件���,且能阻止該事件,并通報(bào)給授權(quán)人��。
6��、驗(yàn)證被測(cè)系統(tǒng)數(shù)據(jù)的完整性��、可管理性可備份和可恢復(fù)能力��,數(shù)據(jù)傳輸�����、數(shù)據(jù)使用���、數(shù)據(jù)存儲(chǔ)的完整性����。
7�����、驗(yàn)證被測(cè)系統(tǒng)�����,在模擬非法入侵攻擊(滲透測(cè)試����,或漏洞掃描)事件的條件下,軟件產(chǎn)品是否有控制和處理能力��。
抗抵賴性
抗抵賴性指活動(dòng)或事件發(fā)生后,可以被證實(shí)且不可被否認(rèn)的程度�����。
要求解讀
1��、驗(yàn)證被測(cè)系統(tǒng)是否啟動(dòng)安全審計(jì)功能�,對(duì)系統(tǒng)用戶活動(dòng)進(jìn)行追蹤。
2�����、驗(yàn)證被測(cè)系統(tǒng)安全審計(jì)中的數(shù)據(jù)是否只能進(jìn)行查看��,不允許被任何人修改或刪除數(shù)據(jù)���。
3�、驗(yàn)證被測(cè)系統(tǒng)是否采用數(shù)字簽名處理事務(wù)��,是否具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者提供數(shù)據(jù)原發(fā)證據(jù)的功能����。
4、驗(yàn)證被測(cè)系統(tǒng)是否采用數(shù)字簽名處理事務(wù),是否具有在請(qǐng)求的情況下為數(shù)據(jù)接收者提供數(shù)據(jù)接收證據(jù)的功能����。
可核查性
可核查指用戶的活動(dòng)可以被唯一的追述到該用戶的程度。
要求解讀
1���、驗(yàn)證被測(cè)系統(tǒng)是否包含完善的賬戶管理功能,至少應(yīng)包括賬戶唯一性�、登錄機(jī)制、密碼管理策略
2���、驗(yàn)證被測(cè)系統(tǒng)是否具備完善的會(huì)話管理功能�����,至少應(yīng)包含設(shè)計(jì)登錄成功使用新的會(huì)話���、設(shè)計(jì)會(huì)話數(shù)據(jù)的存儲(chǔ)安全、設(shè)計(jì)會(huì)話數(shù)據(jù)的傳輸安全��、設(shè)計(jì)會(huì)話的安全終止��、設(shè)計(jì)合理的會(huì)話存活時(shí)間�����、設(shè)計(jì)避免跨站請(qǐng)求偽造
3、驗(yàn)證被測(cè)系統(tǒng)是否將用戶進(jìn)程與所有者用戶相關(guān)聯(lián)����,使用戶進(jìn)程行為可以追溯到進(jìn)程所有者,即操作進(jìn)程的用戶�����。
4����、驗(yàn)證被測(cè)系統(tǒng)開啟審計(jì)日志后可以覆蓋每個(gè)用戶,以及用戶的每個(gè)系統(tǒng)操作�。
5、驗(yàn)證被測(cè)系統(tǒng)的審計(jì)日志記錄內(nèi)容是否完整����,日志內(nèi)容至少包含事件的日期時(shí)間,發(fā)起人�,類型,描述����,結(jié)果等�。
6��、驗(yàn)證被測(cè)系統(tǒng)的審計(jì)跟蹤設(shè)置是否定義了審計(jì)跟蹤極限的閥值���,當(dāng)存儲(chǔ)空間被耗盡時(shí)�,能否采取必要的保護(hù)措施��。
7����、驗(yàn)證被測(cè)系統(tǒng)審計(jì)功能產(chǎn)生的數(shù)據(jù)數(shù)據(jù)是否具備保護(hù)措施��,對(duì)于突發(fā)情況是否具備應(yīng)對(duì)能力���。
8�、驗(yàn)證被測(cè)系統(tǒng)在受到真實(shí)或模擬攻擊事件的情況下��,軟件的日志中是否有相關(guān)記錄���。
真實(shí)性
真實(shí)性指對(duì)象或資源的身份標(biāo)識(shí)能夠被證實(shí)符合其聲明的程度����。
要求解讀
1、驗(yàn)證被測(cè)系統(tǒng)是否具有當(dāng)前使用系統(tǒng)的用戶列表和配置表��。
2�、驗(yàn)證被測(cè)系統(tǒng)是否存在登錄模塊,且使用雙因子認(rèn)定的方式進(jìn)行認(rèn)證��,即使用用戶名與密碼的形式進(jìn)行登錄���。
3����、驗(yàn)證被測(cè)系統(tǒng)的登錄的口令應(yīng)具備一定的復(fù)雜度��,如8位以上�,至少包含數(shù)字,字母���,特殊字符的組合��。
4�����、驗(yàn)證被測(cè)系統(tǒng)應(yīng)具備抵御暴力破解的能力���,如限制用戶認(rèn)證失敗的測(cè)試�����,多次失敗后短期或長(zhǎng)期凍結(jié)賬號(hào)���。
信息安全性的依從性
信息安全的依從性是指產(chǎn)品或系統(tǒng)遵循與信息安全性相關(guān)的標(biāo)準(zhǔn),約定與法律法規(guī)以及類似規(guī)定的程度
要求解讀
1�����、驗(yàn)證被測(cè)系統(tǒng)產(chǎn)品說明中是否提及產(chǎn)品信息安全性的相關(guān)標(biāo)準(zhǔn)�,約定或法規(guī)以及類似規(guī)定要求,若提及并提供證明材料��,則認(rèn)可�,否則驗(yàn)證軟件與提及的文件是否相符����。
