信息安全测评实验三..doc

一、实验目的 通过对网站系统进行安全测评和安全加固，掌握应用安全测评方案的设计、安全测评实施及结果分析；掌握安全加固的方法。 二、实验题目 根据《信息系统安全等级保护基本要求》的第三级基本要求，按照实验指导书中的示范，对网站应用进行安全测评，安全等级为三级 选用应用网站网址：5/index.html 三、实验设计 应用安全涉及人类工作和生活的方方面面，为了考虑计算机应用系统的安全，需要逐一分析各行各业的特点，可是这是难以做到的。因此，我们只能把握计算机应用系统的基础，有什么样的安全测评要求，以便在这条“高速公路”上行驶的“人员”能够“放心驾驶”。至于“他们开什么样的车，开往何方”等，则只好在今后的测评工作中就事论事了。国家标准从管理和技术两个层面，对应用安全测评提出了若干条款。按照三级要求，国家标准中把应用安全的分为身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信必威体育官网网址性、抗抵赖、软件容错和资源控制九个方面。 （1）身份鉴别。 b) 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别； 可以通过登陆时是否需要验证以及具体需要验证的种类来查看。 （2）访问控制。 e) 应具有对重要信息资源设置敏感标记的功能； f) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作； 通过访问管理员的方式。 （3）安全审计。 b) 应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录； 查看二进制日志是否有修改编辑的选项。 d) 应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。 查看二进制日志是否有自动分析过滤生成报表的功能。 （4）剩余信息保护。 a) 应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中； b) 应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。 1.询问管理员，具体措施有哪些。 2.检查设计/验收文档。 3.以普通用户身份登录并进行一些操作。 （5）通信完整性。 应采用密码技术保证通信过程中数据的完整性。 访问管理员在通信过程中是否对数据加密。或者查看系统设置，看是否有对信息加密处理的选项设置。 （6）通信必威体育官网网址性。 b) 应对通信过程中的整个报文或会话过程进行加密。 访问管理员在通信过程中是否对信息加密。或者查看系统设置，看是否有对信息加密处理的选项设置。 （7）抗抵赖。 a) 应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能； b) 应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。 访问管理员，询问系统是否具有抗抵赖性，具体措施有哪些。 （8）软件容错。 b) 应提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复。 采用渗透测试的方法来验证系统中是否存在明显的弱点。 （9）资源控制。 d) 应能够对一个时间段内可能的并发会话连接数进行限制； e) 应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额； f) 应能够对系统服务水平降低到预先规定的最小值进行检测和报警； g) 应提供服务优先级设定功能，并在安装后根据安全策略设定访问帐户或请求进程的优先级，根据优先级分配系统资源。 1.访问管理员，是否有相应措施。 2.查看资源控制列表，是否有相应选项。 四、实验记录 1) 身份鉴别 本项要求包括： a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别； （1）访谈应用系统管理员，询问应用系统是否提供专用的登录控制模块对登录的用户进行身份标识和鉴别，采用何种方式对用户进行身份标识和鉴别。 预期结果：在业务需要的情况下应该提供专用的登录控制模块对登录的用户进行身份标识和鉴别。 （2）检查应用系统，查看用户是否必须通过专用的登录控制模块才能登录该系统，查看身份标识和鉴别的方式。 步骤：打开 http://目标主机 IP 地址/dede/login.php，查看用户是否需要进行身份标识和鉴别。 测试结果：需要进行身份标识和鉴别，用户必须通过专用的登陆控制模块才能登陆系统。 （3）以某注册用户身份登录系统，查看登录是否成功。 步骤：打开 http://目标主机 IP 地址/dede/login.php，然后用注册账户 admin，密码 admin 登录系统。查看是否能够登录成功； 测试结果：用正确的注册用户身份可以登录系统。 （4）以非法用户身份登录系统，查看登录是否成功。 步骤：在登录栏处，随意输入一个未经注册的非法用户，查看是否能够登录成功。 测试结果：用非注册用户身份或者错误的注册用户身份信息不可以登录系统。 b) 应提供用户身份标识唯一和鉴别信息复杂度检查