转贴:应用系统安全评审中的目标和方法

有效性验证
        是否应用系统、补丁软件都必须通过验证后才能被安装
        是否能对系统已安装组件进行有效性验证
数据输入、输出控制
        是否对数据输入、输出进行了合法性检查（特别是各种外部数据，例如系统时间、用户输入等等）
        系统应确保数据不输出到错误的地点，同时也不能有非法的信息流入（包括用户输入/输出和系统各个功能/模块间输入/输出）
数据输入、输出抗抵赖
        是否能够证明接收方接收到的数据的确来自声称的发送方
        是否能够证明发送方发送的数据的确被接收方接受
数据输入、输出完整性检查
        是否能够检查输入、输出数据的完整性
数据输入、输出可用性检查
        是否能够检查输入、输出数据的可用性
数据输入、输出保密性保证
        是否在数据输入、输出使用了加密
        数据输入、输出所使用的加密手段是否够强壮
是否存在绕过系统输入、输出加密的方法（例如 SSL 代理可以绕过某些 SSL 通讯加密）
周期性的完整性检查
        系统是否能周期性的校验系统本身完整性和系统数据完整性
操作的正确性验证
        用户操作时是否有当前操作确认
数据的恢复
        系统能否提供数据库回滚功能
        系统是否提供系统程序升级失败自动恢复功能
        系统是否提供系统程序替换自动恢复功能
        系统是否提供系统完全备份功能
        系统是否提供系统完全恢复功能
确保可用资源
        系统是否能在空闲硬盘空间低于某阀值时发出报警
        系统是否能在空闲 CPU 处理时间低于某阀值时发出报警
        系统是否能在空闲内存空间低于某阀值时发出报警
        系统是否能在空闲网络带宽时间低于某阀值时发出报警
审计生成
        系统是否提供审计功能
        系统是否能保证审计相关数据完整性、可用性和保密性
用户记录
        系统审计记录中是否包含有不会导致歧义的用户标识
会话限制次数
        系统能否限制用户会话数目
会话终止
        系统能否限制用户会话静止时间超过某一阀值时终止会话
        系统能否限制系统模块间会话静止时间超过某一阀值时终止会话
系统优先级控制
        系统是否为不同用户划分不同优秀级
        系统是否为不同用户操作化分不同优先级
        系统是否对系统不同模块化分不同优先级
系统资源分配控制
        系统是否为不同用户分配不等量资源
        系统是否为不同用户操作分配等量资源
        系统是否为系统不同模块分配等量资源
用户标识和鉴别
        系统是否能够唯一的标识一个用户
        系统是否强制要求用户用户验证
        系统是否存在用户验证绕过方法
        系统是否在访问系统资源前强制要求鉴别用户身份
        系统是否存在未验证用户可访问的系统资源
        系统是否存在用户鉴别绕过方法
用户行为的标识和鉴别
        系统是否能标识用户行为（含义为标识出什么用户执行了什么样的操作）
        系统是否能鉴别用户行为合法性
密码存取控制
        系统是否对密码数据的访问进行限制
        系统是否存在绕过密码数据访问限制的方法
        系统是否存在破坏密码数据访问限制的方法
密码管理
        系统密码算法强度是否能够保证数据在期生命周期内通过可靠保护
        系统是否能发现系统中若密码用户
        系统是否都使用恰当的方式加密存储所有密码和私钥
恢复接收信息
系统应当能在接收方检测到所接收信息完整性、可用性被破坏或没有证据显示接收方的确接收到发送方发送的消息时可以恢复接收信息（例如重新发送）
安全角色
        系统能根据安全策略划分不同的安全角色
用户会话历史
        系统是否能够在用户登录后显示用户最近成功或不成功建立会话的次数
        系统能否显示最近发起会话地址（不管成功还是失败）

通过对上述的各个安全功能要求进行测试和评价，绿盟科技最终能够帮助用户寻找出应用系统安全设计或者实现上的缺陷，从应用层提高重要业务系统的安全性。
当然，我们也可以根据用户的需要有重点的对被评估应用系统的某一个层次进行评估。应用系统评估能够有效的帮助用户评价核心业务系统的安全性，和应用系统开发厂商在安全应用系统方面的能力，也能够协助用户和开发商提高被评估应用系统的安全性。