應用系統
控制點
6.剩餘資訊保護
a)
安全要求:應保證鑑別資訊所在的儲存空間被釋放或重新分配前得到完全清除。
要求解讀:應用系統將使用者鑑別資訊所在儲存空間(例如硬碟或記憶體)的內容完全清除後才能分配給其他使用者。例如,某應用系統將使用者的鑑別資訊放在記憶體中處理,處理後沒有及時將其清除,這樣,其他使用者就有可能通過一些非正常手段獲取該使用者的鑑別資訊。
檢查方法
詢問系統管理員,了解應用系統是否已採取措施對儲存介質(例如硬碟或記憶體)中的使用者鑑別資訊進行及時的清除,以防止其他使用者非授權獲取使用者鑑別資訊。
期望結果
b)
安全要求:應保證存有敏感資料的儲存空間被釋放或重新分配前得到完全清除。
要求解讀:應用系統將敏感資料所在儲存空間(例如硬碟或記憶體)的內容完全清除後才能分配給其他使用者。例如,某應用系統在使用過程中可能會產生一些臨時檔案,這些臨時檔案中可能會記錄一些敏感資訊,如果不加處理就將這些資源分配給其他使用者,其他使用者就有可能獲得其中的敏感資訊。
檢查方法
詢問系統管理員,了解應用系統是否已採取措施對儲存介質(例如硬碟或記憶體)中的敏感資料進行及時的清除,以防止其他使用者非授權獲取敏感資料。
期望結果
安全計算環境 (六)應用系統 1
應用系統 在對應用系統進行測評時,一般先對系統管理員進行訪談,了解應用系統的狀況,然後對應用系統和文件等進行檢查,檢視其內容是否和管理員訪談的結果一致,最後對主要的應用系統進行抽查和測試,驗證系統提供的功能,並可配合滲透測試檢查系統提供的安全功能是否被旁路。控制點 1.身份鑑別 應用系統需對登入的使...
安全計算環境 (六)應用系統 4
應用系統 控制點 4.入侵防範 在 基本要求 中,基於應用系統的入侵防範主要體現在資料有效性驗證和軟體自身漏洞發現兩個方面。a 安全要求 應遵循最小安裝的原則,僅安裝需要的元件和應用程式。要求解讀 應用系統應遵循最小安裝的原則,即 不需要的功能模組不安裝 例如不安裝仍在開發或未經安全測試的功能模組。...
安全計算環境 (六)應用系統 7
應用系統 控制點 7.個人資訊保護 為了加強對個人資訊的保護,基本要求 對個人資訊的採集 儲存和使用提出了強制保護要求。a 安全要求 應僅採集和儲存業務必需的使用者個人資訊。要求解讀 此項的目的是保護個人資訊,不採集業務不需要的個人資料。檢查方法 1 詢問系統管理員,了解應用系統採集了使用者的哪些個...