信息安全性解讀
文章來源:江蘇方哲檢測技術(shù)有限公司發(fā)布時間:2024-02-19
保密性 指產(chǎn)品或系統(tǒng)確保數(shù)據(jù)�����,只有在被授權(quán)時才能訪問的程度
要求解讀
1����、驗證被測系統(tǒng)是否能防止對程序和數(shù)據(jù)的未授權(quán)訪問。
2���、驗證被測系統(tǒng)的賬戶的授權(quán)是否應遵循“最小權(quán)限原則”����,即授權(quán)承當任務所需的最小權(quán)限。
3�����、驗證被測系統(tǒng)是否能明確區(qū)分系統(tǒng)中不同用戶權(quán)限����,系統(tǒng)不會因用戶的權(quán)限的改變造成混亂。
4�、驗證被測系統(tǒng)是否需要需要進行用戶身份鑒別,并在每次用戶登錄系統(tǒng)時進行鑒別����。
5、驗證被測系統(tǒng)是否對不成功的鑒別嘗試的值進行預先定義�����,其中應包括嘗試次數(shù)和時間的閾值���,并明確規(guī)定達到該值時是否采取了具有規(guī)范性和安全性的措施來實現(xiàn)鑒別失敗的處理�。
6�����、驗證被測系統(tǒng)的數(shù)據(jù)在傳輸過程中是否進行加密,且加密算法應具備破解難度�,如采用3DES(三重數(shù)據(jù)加密算法)、AES(高級加密標準)和IDEA(國際數(shù)據(jù)加密算法)等加密處理�。
7、驗證被測系統(tǒng)的數(shù)據(jù)存儲后需要要是否能保證敏感數(shù)據(jù)的保密性����,防止被托庫后大量用戶敏感數(shù)據(jù)暴露。
完整性
指產(chǎn)品或系統(tǒng)�,組件,防止未授權(quán)訪問�,篡改計算機程序或數(shù)據(jù)的程度
要求解讀
1、驗證被測系統(tǒng)是否具有對未授權(quán)用戶非法訪問的控制能力�����。
2��、驗證被測系統(tǒng)是否具備數(shù)據(jù)在傳輸或存儲過程中被破壞或篡改的防御能力�。
3�����、驗證被測系統(tǒng)是否能保障事務的原子性,避免操作中斷或回歸造成的數(shù)據(jù)不一致�����,最終導致完整性被破壞����。
4、驗證被測系統(tǒng)對非授權(quán)人創(chuàng)建���、刪除或修改信息是否有控制處理能力��。
5���、驗證被測系統(tǒng)是否能識別出對結(jié)構(gòu)數(shù)據(jù)庫或文件完整性產(chǎn)生損害的事件,且能阻止該事件��,并通報給授權(quán)人��。
6�、驗證被測系統(tǒng)數(shù)據(jù)的完整性、可管理性可備份和可恢復能力��,數(shù)據(jù)傳輸、數(shù)據(jù)使用��、數(shù)據(jù)存儲的完整性����。
7、驗證被測系統(tǒng)�����,在模擬非法入侵攻擊(滲透測試�����,或漏洞掃描)事件的條件下��,軟件產(chǎn)品是否有控制和處理能力����。
抗抵賴性
抗抵賴性指活動或事件發(fā)生后,可以被證實且不可被否認的程度�。
要求解讀
1、驗證被測系統(tǒng)是否啟動安全審計功能��,對系統(tǒng)用戶活動進行追蹤���。
2����、驗證被測系統(tǒng)安全審計中的數(shù)據(jù)是否只能進行查看���,不允許被任何人修改或刪除數(shù)據(jù)�����。
3�����、驗證被測系統(tǒng)是否采用數(shù)字簽名處理事務��,是否具有在請求的情況下為數(shù)據(jù)原發(fā)者提供數(shù)據(jù)原發(fā)證據(jù)的功能��。
4�����、驗證被測系統(tǒng)是否采用數(shù)字簽名處理事務�,是否具有在請求的情況下為數(shù)據(jù)接收者提供數(shù)據(jù)接收證據(jù)的功能�。
可核查性
可核查指用戶的活動可以被唯一的追述到該用戶的程度��。
要求解讀
1��、驗證被測系統(tǒng)是否包含完善的賬戶管理功能�����,至少應包括賬戶唯一性���、登錄機制、密碼管理策略
2��、驗證被測系統(tǒng)是否具備完善的會話管理功能��,至少應包含設計登錄成功使用新的會話���、設計會話數(shù)據(jù)的存儲安全��、設計會話數(shù)據(jù)的傳輸安全����、設計會話的安全終止�����、設計合理的會話存活時間、設計避免跨站請求偽造
3���、驗證被測系統(tǒng)是否將用戶進程與所有者用戶相關(guān)聯(lián),使用戶進程行為可以追溯到進程所有者�����,即操作進程的用戶�。
4、驗證被測系統(tǒng)開啟審計日志后可以覆蓋每個用戶��,以及用戶的每個系統(tǒng)操作��。
5���、驗證被測系統(tǒng)的審計日志記錄內(nèi)容是否完整�,日志內(nèi)容至少包含事件的日期時間��,發(fā)起人�����,類型����,描述��,結(jié)果等�����。
6����、驗證被測系統(tǒng)的審計跟蹤設置是否定義了審計跟蹤極限的閥值�����,當存儲空間被耗盡時����,能否采取必要的保護措施。
7�、驗證被測系統(tǒng)審計功能產(chǎn)生的數(shù)據(jù)數(shù)據(jù)是否具備保護措施,對于突發(fā)情況是否具備應對能力�����。
8���、驗證被測系統(tǒng)在受到真實或模擬攻擊事件的情況下��,軟件的日志中是否有相關(guān)記錄�����。
真實性
真實性指對象或資源的身份標識能夠被證實符合其聲明的程度�����。
要求解讀
1�����、驗證被測系統(tǒng)是否具有當前使用系統(tǒng)的用戶列表和配置表���。
2、驗證被測系統(tǒng)是否存在登錄模塊���,且使用雙因子認定的方式進行認證��,即使用用戶名與密碼的形式進行登錄���。
3�����、驗證被測系統(tǒng)的登錄的口令應具備一定的復雜度���,如8位以上,至少包含數(shù)字�����,字母�,特殊字符的組合。
4�、驗證被測系統(tǒng)應具備抵御暴力破解的能力,如限制用戶認證失敗的測試�����,多次失敗后短期或長期凍結(jié)賬號�。
信息安全性的依從性
信息安全的依從性是指產(chǎn)品或系統(tǒng)遵循與信息安全性相關(guān)的標準,約定與法律法規(guī)以及類似規(guī)定的程度
要求解讀
1��、驗證被測系統(tǒng)產(chǎn)品說明中是否提及產(chǎn)品信息安全性的相關(guān)標準���,約定或法規(guī)以及類似規(guī)定要求�����,若提及并提供證明材料����,則認可,否則驗證軟件與提及的文件是否相符����。
