安全資訊

本篇將會(huì )介紹等級保護中應用和數據層面的安全要求，文中內容全是本人個(gè)人觀(guān)點(diǎn)，如有不對的地方歡迎糾正。文章以等保三級系統為基礎，從合規角度解讀要求。應用部分和數據部分內容相對較少，合在一起來(lái)說(shuō)。

正文

本部分從應用和數據安全兩個(gè)層面解讀標準要求。其中會(huì )有很多重復的要求，只是針對的層面不同，可以參考之前網(wǎng)絡(luò )或主機部分，下文中不再做解釋。

7.1.4 應用安全

7.1.4.1 身份鑒別（S3）

a) 應提供專(zhuān)用的登錄控制模塊對登錄用戶(hù)進(jìn)行身份標識和鑒別；

b) 應對同一用戶(hù)采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現用戶(hù)身份鑒別；

c) 應提供用戶(hù)身份標識唯一和鑒別信息復雜度檢查功能，保證應用系統中不存在重復用戶(hù)身份標識，身份鑒別信息不易被冒用；

d) 應提供登錄失敗處理功能，可采取結束會(huì )話(huà)、限制非法登錄次數和自動(dòng)退出等措施；

e) 應啟用身份鑒別、用戶(hù)身份標識唯一性檢查、用戶(hù)身份鑒別信息復雜度檢查以及登錄失敗處理功能，并根據安全策略配置相關(guān)參數。

該部分沒(méi)有太多新內容，看過(guò)之前幾部分后，會(huì )覺(jué)得很多都是同樣的要求。簡(jiǎn)單說(shuō)下有些細微區別的點(diǎn)：

c中提出對鑒別信息有一項額外要求，不只是后臺管理員，包括用戶(hù)賬戶(hù)在內不能出現重名的情況，測評時(shí)會(huì )現場(chǎng)創(chuàng )建2個(gè)同名賬戶(hù)，看系統會(huì )不會(huì )提示此用戶(hù)已存在；e中說(shuō)的是在有這些功能的前提下，必須要啟用，不用起來(lái)也是不行的。

7.1.4.2 訪(fǎng)問(wèn)控制（S3）

a) 應提供訪(fǎng)問(wèn)控制功能，依據安全策略控制用戶(hù)對文件、數據庫表等客體的訪(fǎng)問(wèn)；

b) 訪(fǎng)問(wèn)控制的覆蓋范圍應包括與資源訪(fǎng)問(wèn)相關(guān)的主體、客體及它們之間的操作；

c) 應由授權主體配置訪(fǎng)問(wèn)控制策略，并嚴格限制默認賬戶(hù)的訪(fǎng)問(wèn)權限；

d) 應授予不同賬戶(hù)為完成各自承擔任務(wù)所需的最小權限，并在它們之間形成相互制約的關(guān)系；

e) 應具有對重要信息資源設置敏感標記的功能；

f) 應依據安全策略嚴格控制用戶(hù)對有敏感標記重要信息資源的操作。

本節主要說(shuō)應用系統自身所具備的訪(fǎng)問(wèn)控制能力，用戶(hù)權限管理、數據分級分類(lèi)以及日志記錄。

a) 要求對用戶(hù)訪(fǎng)問(wèn)權限進(jìn)行限制，后臺要有用戶(hù)權限矩陣，防止越權行為發(fā)生；

b) 說(shuō)的是應用系統自身的日志記錄，至少要包括登錄、退出、注冊、注銷(xiāo)、操作、更改、創(chuàng )建、刪除等行為的記錄，還要包括是誰(shuí)、什么時(shí)間、什么類(lèi)型的操作，而且日志要保留6個(gè)月以上；

c) 要求權限分配要有系統管理員或更高級別的主管分配，一般操作人員不能隨意分配訪(fǎng)問(wèn)權限，如果存在默認賬戶(hù)的情況，一般來(lái)說(shuō)其權限應該是最低級別的，只能查看和檢索，不能修改和訪(fǎng)問(wèn)受保護的客體或數據；

d) 要求賬戶(hù)的最小化權限，以及權限分離。這點(diǎn)我們國內大部分公司做得其實(shí)不太好，尤其那種一個(gè)人的甲方公司，每個(gè)人都承擔了過(guò)多的職責和權限，雖然一方面為企業(yè)節省開(kāi)銷(xiāo)，但另一方面也給企業(yè)帶來(lái)巨大的潛在風(fēng)險（比如人員生病請假、突然離職、惡意破壞、商業(yè)間諜），一旦某個(gè)人不在公司，很多業(yè)務(wù)就難以開(kāi)展，甚至臨時(shí)停止業(yè)務(wù)。外企對于這種方面，一般會(huì )設置AB崗，而且一個(gè)人不會(huì )身兼數職，一個(gè)系統由多個(gè)不同權限人員共同管理，而且會(huì )強制員工休假，不是為了福利，而是為了檢驗這個(gè)人不在的情況下，公司業(yè)務(wù)是否會(huì )受到影響，同時(shí)也是檢驗該員工的忠誠度，是否會(huì )泄露或倒賣(mài)公司機密；

e) 就是數據分類(lèi)，不同數據按照標簽予以區分，同之前其他部分提到的標記相似；

f) 同樣是權限控制，這里強調的是敏感信息的訪(fǎng)問(wèn)控制，也就是公司機密和絕密級別的信息，一般公司會(huì )對這部分制定嚴格的管理條例來(lái)約束，配合流程審批予以控制，所有過(guò)程、申請和訪(fǎng)問(wèn)都有記錄，可以追溯，可以問(wèn)責。

7.1.4.3 安全審計（G3）

a) 應提供覆蓋到每個(gè)用戶(hù)的安全審計功能，對應用系統重要安全事件進(jìn)行審計；

b) 應保證無(wú)法單獨中斷審計進(jìn)程，無(wú)法刪除、修改或覆蓋審計記錄；

c) 審計記錄的內容至少應包括事件的日期、時(shí)間、發(fā)起者信息、類(lèi)型、描述和結果等；

d) 應提供對審計記錄數據進(jìn)行統計、查詢(xún)、分析及生成審計報表的功能。

審計部分沒(méi)什么好說(shuō)的，參照之前要求就幾個(gè)點(diǎn)：

盡可能覆蓋的全面（細節和廣度），保存6個(gè)月以上，可隨時(shí)查詢(xún)能夠問(wèn)責，定期生成審計報表，防止備份日志的破壞。

7.1.4.4 剩余信息保護（S3）

a) 應保證用戶(hù)鑒別信息所在的存儲空間被釋放或再分配給其他用戶(hù)前得到完全清除，無(wú)論這些信息是存放在硬盤(pán)上還是在內存中；

b) 應保證系統內的文件、目錄和數據庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶(hù)前得到完全清除。

這塊要求很容易理解，就好比A項目中使用的移動(dòng)硬盤(pán)，項目結束后清理數據給B項目繼續使用；只不過(guò)這里要求的是系統為其他管理人員或用戶(hù)分配的資源要做好數據清除工作。結合云上SaaS服務(wù)更容易理解一點(diǎn)吧。

7.1.4.5 通信完整性（S3）

應采用密碼技術(shù)保證通信過(guò)程中數據的完整性。

這里查了一點(diǎn)密碼學(xué)的資料，不?？赐靡部?，簡(jiǎn)單說(shuō)幾句大家就理解了。

通常保證數據完整性是通過(guò)消息認證碼（Message Authentication Code，MAC）實(shí)現。MAC主要用于保障數據完整性和消息源認證，當前應用于各類(lèi)協(xié)議中的常規方式有IPSec、TLS、SSH和SNMP（V3版本及以上）等。

MAC算法主要有三種構造方法，分別基于分組密碼、密碼雜湊函數（Hash）。Hash是一類(lèi)基礎密碼算法，可以保障電子簽名、身份認證等多種密碼系統安全的關(guān)鍵技術(shù)。比如常見(jiàn)的MD5（已不安全），sha-1（已不安全），sha-2，sha-3（還未普及）。

具體細節可以查閱密碼學(xué)相關(guān)知識，這里不多累述。如果想大概了解，可以看看CISSP中密碼學(xué)的章節。

總之，通過(guò)以上技術(shù)傳輸數據，就做到了基本的完整性要求。

7.1.4.6 通信保密性（S3）

a) 在通信雙方建立連接之前，應用系統應利用密碼技術(shù)進(jìn)行會(huì )話(huà)初始化驗證；

b) 應對通信過(guò)程中的整個(gè)報文或會(huì )話(huà)過(guò)程進(jìn)行加密。

這里要求就是傳輸加密。而且要求加密前雙方要先進(jìn)行身份驗證，好比SSL VPN會(huì )與對端認證身份。目前可以使用TLS或者VPN，用的比較多，也可以考慮非對稱(chēng)加密傳輸數據，就是B用A的公鑰加密數據發(fā)送給A，A收到后用自己的私鑰解密后獲得明文，不過(guò)這種比較麻煩，更多的還是建議使用前者。

7.1.4.7 抗抵賴(lài)（G3）

a) 應具有在請求的情況下為數據原發(fā)者或接收者提供數據原發(fā)證據的功能；

b) 應具有在請求的情況下為數據原發(fā)者或接收者提供數據接收證據的功能。

同上邊的完整性、保密性同樣，這里強調的是不可抵賴(lài)性，目的是為了可追溯可問(wèn)責。一般都是對用戶(hù)進(jìn)行標記或者利用數字簽名技術(shù)來(lái)保證抗抵賴(lài)。

7.1.4.8 軟件容錯（A3）

a) 應提供數據有效性檢驗功能，保證通過(guò)人機接口輸入或通過(guò)通信接口輸入的數據格式或長(cháng)度符合系統設定要求；

b) 應提供自動(dòng)保護功能，當故障發(fā)生時(shí)自動(dòng)保護當前所有狀態(tài)，保證系統能夠進(jìn)行恢復。

容錯其實(shí)也好理解，只是標準中的標書(shū)有些書(shū)面化，翻譯一下就好了。

a舉個(gè)例子，登陸框需要輸入手機接收的隨機6位驗證碼，那么你在輸入的時(shí)候系統要只允許輸入數字，禁止非數字字符的輸入，另外只能輸入6位數字，不可以超過(guò)；

b也舉個(gè)例子，你在論壇或貼吧發(fā)表長(cháng)篇大論，一般幾分鐘會(huì )自動(dòng)保存一下，如果你瀏覽器意外關(guān)閉，再次打開(kāi)可以恢復到之前保存的那個(gè)節點(diǎn)。

這部分要求的就是系統要具備這兩個(gè)功能，第一條是防別人亂搞，第二條是從用戶(hù)角度考慮，提供即時(shí)存儲功能。

7.1.4.9 資源控制（A3）

a) 當應用系統的通信雙方中的一方在一段時(shí)間內未作任何響應，另一方應能夠自動(dòng)結束會(huì )話(huà)；

b) 應能夠對系統的最大并發(fā)會(huì )話(huà)連接數進(jìn)行限制；

c) 應能夠對單個(gè)帳戶(hù)的多重并發(fā)會(huì )話(huà)進(jìn)行限制；

d) 應能夠對一個(gè)時(shí)間段內可能的并發(fā)會(huì )話(huà)連接數進(jìn)行限制；

e) 應能夠對一個(gè)訪(fǎng)問(wèn)帳戶(hù)或一個(gè)請求進(jìn)程占用的資源分配最大限額和最小限額；

f) 應能夠對系統服務(wù)水平降低到預先規定的最小值進(jìn)行檢測和報警；

g) 應提供服務(wù)優(yōu)先級設定功能，并在安裝后根據安全策略設定訪(fǎng)問(wèn)帳戶(hù)或請求進(jìn)程的優(yōu)先級，根據優(yōu)先級分配系統資源。

本節就不再重復了，之前部分也說(shuō)過(guò)，就是對系統SLA的要求，其中各項也容易理解。

7.1.5 數據安全及備份恢復

7.1.5.1 數據完整性（S3）

a) 應能夠檢測到系統管理數據、鑒別信息和重要業(yè)務(wù)數據在傳輸過(guò)程中完整性受到破壞，并在檢測到完整性錯誤時(shí)采取必要的恢復措施；

b) 應能夠檢測到系統管理數據、鑒別信息和重要業(yè)務(wù)數據在存儲過(guò)程中完整性受到破壞，并在檢測到完整性錯誤時(shí)采取必要的恢復措施。

這部分開(kāi)始進(jìn)入數據安全的部分，完整性要求是2個(gè)層面：傳輸和存儲。

這里要求就是有技術(shù)或人工方式能夠檢測出傳輸和存儲數據被篡改、刪除的行為，并且能夠對這類(lèi)情況進(jìn)行恢復。屬于DRP方面的要求，要求企業(yè)要具備災難恢復的能力。

7.1.5.2 數據保密性（S3）

本項要求包括：

a) 應采用加密或其他有效措施實(shí)現系統管理數據、鑒別信息和重要業(yè)務(wù)數據傳輸保密性；

b) 應采用加密或其他保護措施實(shí)現系統管理數據、鑒別信息和重要業(yè)務(wù)數據存儲保密性。

保密性的要求也是分2部分，傳輸和存儲。傳輸之前提到過(guò)，加密傳輸就可以了。對于存儲可以采用兩種方式，技術(shù)和物理手段。技術(shù)的話(huà)就是磁盤(pán)加密，加密存儲，DLP系統，不過(guò)一般都是需要資金大量投入，還要有技術(shù)人員管理。也可以簡(jiǎn)單點(diǎn)，保密室加保險箱，隨便找個(gè)人看管就可以了，主要是有保護的措施，不一定非要通過(guò)技術(shù)來(lái)做。

7.1.5.3 備份和恢復（A3）

a) 應提供本地數據備份與恢復功能，完全數據備份至少每天一次，備份介質(zhì)場(chǎng)外存放；

b) 應提供異地數據備份功能，利用通信網(wǎng)絡(luò )將關(guān)鍵數據定時(shí)批量傳送至備用場(chǎng)地；

c) 應采用冗余技術(shù)設計網(wǎng)絡(luò )拓撲結構，避免關(guān)鍵節點(diǎn)存在單點(diǎn)故障；

d) 應提供主要網(wǎng)絡(luò )設備、通信線(xiàn)路和數據處理系統的硬件冗余，保證系統的高可用性。

這部分就是要求完備的災難恢復計劃和配套資源。

a) 完全備份至少每天一次，不過(guò)目前基本都是實(shí)時(shí)的，除了熱備還有場(chǎng)外冷備份，也是至少一天一次，不過(guò)可以放松到一周以?xún)?，一般都?huì )算符合；

b) 要求異地備份，在22239中并沒(méi)明確表示多遠算異地，但是在JR-T0071中明確規定距離至少100公里；

c) 和網(wǎng)絡(luò )安全部分重復，要求系統所在網(wǎng)絡(luò )環(huán)境的冗余性，雙線(xiàn)雙節點(diǎn)的結構；

d) 這里就是要雙活或者熱站點(diǎn)，都是包含在DRP中的資源；此外測評的時(shí)候還會(huì )考察每年是否有進(jìn)行災難恢復的演練，標準中雖然沒(méi)有明確提出，但是也會(huì )做為檢查的一項。

估計這部分參考金融的標準可能更詳細一點(diǎn)，這里貼一下JR-T0071的三級系統備份和恢復章節的要求：

a) 應提供本地數據備份與恢復功能，采取實(shí)時(shí)備份與異步備份或增量備份與完全備份的方式，增量數據備份每天一次，完全數據備份每周一次，備份介質(zhì)場(chǎng)外存放，數據保存期限依照國家相關(guān)規定；

b) 應提供異地數據備份功能，利用通信網(wǎng)絡(luò )將關(guān)鍵數據定時(shí)批量傳送至備用場(chǎng)地；

c) 對于同城數據備份中心，應與生產(chǎn)中心直線(xiàn)距離至少達到30公里，可以接管所有核心業(yè)務(wù)的運行；對于異地數據備份中心，應與生產(chǎn)中心直線(xiàn)距離至少達到100公里；

d) 為滿(mǎn)足災難恢復策略的要求，應對技術(shù)方案中關(guān)鍵技術(shù)應用的可行性進(jìn)行驗證測試，并記錄和保存驗證測試的結果；

e) 數據備份存放方式應以多冗余方式，完全數據備份至少保證以一個(gè)星期為周期的數 據冗余；

f) 異地備份中心應配備恢復所需的運行環(huán)境，并處于就緒狀態(tài)或運行狀態(tài)，”就緒狀態(tài)” 指備份中心的所需資源(相關(guān)軟硬件以及數據等資源)已完全滿(mǎn)足但設備cpu還沒(méi)有運行 ；”運行狀態(tài)”指備份中心除所需資源完全滿(mǎn)足要求外，cpu也在運行狀態(tài)。

結尾

以上是應用與數據安全部分的要求。結合之前三篇內容就是等保三級技術(shù)要求的所有檢查項。后續會(huì )進(jìn)入管理要求的部分，比較偏制度和體系，可能不如技術(shù)這么直觀(guān)，最后感謝大家的支持。

等級保護測評系列介紹

等級保護測評（一）：物理安全

等級保護測評（二）：網(wǎng)絡(luò )安全

等級保護測評（三）：主機安全

等級保護測評（四）：應用與數據安全

等級保護測評（五）：制度與人員安全

等級保護測評（六）：系統建設管理

等級保護測評（七）：系統運維管理