一、前言

应用系统是我们日常生活中经常使用的,我们购买火车票经常使用的12306系统; 去医院之前需要挂号,医院有挂号系统; 在公司和同事交换文件时,使用公司专用的办公自动化系统等,其实我们手机上安装的各种APP都是应用系统的一种,应用系统便于我们的生活、工作和学习,使我们身边的事情变得高效, 越来越多的人离不开各种应用系统的帮助,因此,人们也越来越重视应用系统的安全方面的问题,今天就来谈谈应用系统评价中的访问控制方面的问题

应用访问控制(基于权限的访问控制-编程之家

应用系统

二、测评项

与前面介绍的操作系统、数据库内的访问控制要求一样,APP应用系统的认证要求也是一样,根据惯例列举了各评价项目。

a )为登录的用户分配帐户和权限

b )重命名或删除默认帐户,并修改默认帐户的默认密码

c )应立即删除或禁用额外的过期帐户,以避免共享帐户的存在

d )赋予管理用户所需的最小权限,实现管理用户的权限分离

e )授权主体构成访问控制策略,访问控制策略规定对主体对象的访问规则;

f )访问控制的粒度必须是主体达到用户级或进程级,对象达到文件、数据库表级

g )在重要代理和对象上设置安全标记,以控制代理对有安全标记的信息资源的访问。

三、测评项a

a )将帐户和权限分配给登录的用户;

从字面上看,为登录的用户分配帐户和权限。 既然登录了,当然会有账户存在。 这里的意思是,从一开始就分配了几个账户,如果有需要使用这些账户的用户,就会被分配给该用户。 关于权限问题,如果至少存在两个帐户,且这两个帐户的权限不相同,则不需要分配权限。

应用访问控制(基于权限的访问控制-编程之家

权限设定

因此,在此评估项目中,APP系统必须至少有两个帐户。 另外,这两个账户的权限不同。 大多数比较正规的APP系统采用三种权利分立的帐户分配原则:系统管理员、安全人员和审计员。 以下是关于系统管理员、安全负责人、审计负责人的说明。

系统管理员:管理系统中的帐户、文档、文件等

安全管理员:设置授权策略和其他基本策略,以及设置安全参数。 安全参数的设置已在安全管理中心安全类的安全管理评估ssdxte中进行了阐述,如果安全管理中的安全和安全管理员的安全意义相同,则可以作为安全管理员我对安全参数的理解是恶意代码防范和入侵防范,即病毒防范软件、防火墙、ip策略、入侵防范软件的参数设置。

审计管理员:管理系统中的审计策略,如日志保留策略、组策略审计策略等。

超级管理员帐户可能位于这三个帐户之上,并且拥有APP系统的所有权限。 掌握这个账户的人需要限制在最小范围内。

四、测评项b

b )重命名或删除默认帐户,并更改默认帐户的默认密码;

这个项目每个APP系统都有不同的缺省帐户。 常见的默认帐户有管理员、系统等。 密码因APP开发者而异,因人而异。 在APP系统正式交付时,删除或修改这些帐户的用户名和密码即可。 顺便说一下,APP系统通常会创建测试帐户。 此帐户的用户名为test,密码为test

应用访问控制(基于权限的访问控制-编程之家

默认密码

五、测评项c

c )应立即删除或禁用多余和过期的帐户,避免共享帐户的存在;

对于额外的帐户和过期的帐户,一个需要向系统管理员询问每个帐户的具体用途。 另一个是检查APP系统是否为每个帐户设置了时间限制。 对于超过时间限制的帐户,确认是否可以登录。 一般来说,大多数APP系统没有为帐户设置时间限制。 如果账户没有被使用,直接删除就可以了。

应用访问控制(基于权限的访问控制-编程之家

及时删除

/p>

至于共享账户,这个只能通过访谈来确定了,一般被访谈人都会否认存在共享账户,测评人员也无从查证,一般都会符合。

六、测评项d

d)应授予管理用户所需的最小权限,实现管理用户的权限分离;

这一项要根据应用系统的功能多少和使用人数来确定,一般来说功能越多,使用人数越多的应用系统权限划分的越细,一般来说我们会根据用户所使用的系统功能,或者用户所处的具体处室来划分权限,大部分应用系统的权限划分都不会有问题,反倒是那些功能单一,使用人数较少的应用系统,容易出现权限划分不明确的问题,最常见的就是一个应用系统只有一个管理员账号,拥有整个应用系统的所有权限,这显然是不符合要求的。

应用访问控制(基于权限的访问控制-编程之家

权限分配

七、测评项e

e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;

这一项的授权主体应该由安全管理员担任,至于访问规则应该是在应用系统设计之初,根据需要已经设计好了的,一般情况下只要设计合理就可以了,这里每个应用系统都有每个系统的实际需求,并没有统一标准,这里就不多说了,视情况而定吧。

应用访问控制(基于权限的访问控制-编程之家

合理分配

八、测评项f

f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;

访问控制粒度主体达到用户级或者进程级,我认为就是每一个用户或者进程都可以拥有不同的访问客体(也就是权限),而大部分应用系统则是有多个用户拥有几种不同权限,我们把这种拥有同一种权限的用户称为是一种角色,也就是把访问几种客体的权限打包授予一种角色,再把这个角色授予有需要的用户,这些用户就拥有了这些打包好的权限,这样一来访问主体和客体的粒度就不满足本项要求了,当然有时候我们可以设置角色可以有那些权限,这样一来也可以算是符合要求了。

应用访问控制(基于权限的访问控制-编程之家

粒度

九、测评项g

g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。

这一项我在测评的过程中还没有遇到过符合要求的情况,而且我也一直不理解设置这个测评项的初衷是什么,本来从外表看不出什么区别的主体和客体,加上安全标记后反而可以一眼认出,如果你想提醒主体这些客体是设置了安全标记的重要客体,不要随意访问,你完全可以设置权限让这些主体访问不了就是了,没有必要设置那么明显的标志,这样一来倒让人有一种一探究竟的冲动。

应用访问控制(基于权限的访问控制-编程之家

重要标记

以上就是一项一项教你测等保2.0——应用系统访问控制的所有内容,希望对大家有所帮助,欢迎关注@科技兴了解更多科技尤其是网络安全方面的资讯与知识。