本篇將會介紹等級保護(hù)中應(yīng)用和數(shù)據(jù)層面的安全要求，文中內(nèi)容全是本人個(gè)人觀點(diǎn)，如有不對的地方歡迎糾正。文章以等保三級系統(tǒng)為基礎(chǔ)，從合規(guī)角度解讀要求。應(yīng)用部分和數(shù)據(jù)部分內(nèi)容相對較少，合在一起來說。

正文

本部分從應(yīng)用和數(shù)據(jù)安全兩個(gè)層面解讀標(biāo)準(zhǔn)要求。其中會有很多重復(fù)的要求，只是針對的層面不同，可以參考之前網(wǎng)絡(luò)或主機(jī)部分，下文中不再做解釋。

7.1.4 應(yīng)用安全

7.1.4.1 身份鑒別（S3）

a) 應(yīng)提供專用的登錄控制模塊對登錄用戶進(jìn)行身份標(biāo)識和鑒別；

b) 應(yīng)對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別；

c) 應(yīng)提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識，身份鑒別信息不易被冒用；

d) 應(yīng)提供登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；

e) 應(yīng)啟用身份鑒別、用戶身份標(biāo)識唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。

該部分沒有太多新內(nèi)容，看過之前幾部分后，會覺得很多都是同樣的要求。簡單說下有些細(xì)微區(qū)別的點(diǎn)：

c中提出對鑒別信息有一項(xiàng)額外要求，不只是后臺管理員，包括用戶賬戶在內(nèi)不能出現(xiàn)重名的情況，測評時(shí)會現(xiàn)場創(chuàng)建2個(gè)同名賬戶，看系統(tǒng)會不會提示此用戶已存在；e中說的是在有這些功能的前提下，必須要啟用，不用起來也是不行的。

7.1.4.2 訪問控制（S3）

a) 應(yīng)提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問；

b) 訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作；

c) 應(yīng)由授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認(rèn)賬戶的訪問權(quán)限；

d) 應(yīng)授予不同賬戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系；

e) 應(yīng)具有對重要信息資源設(shè)置敏感標(biāo)記的功能；

f) 應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作。

本節(jié)主要說應(yīng)用系統(tǒng)自身所具備的訪問控制能力，用戶權(quán)限管理、數(shù)據(jù)分級分類以及日志記錄。

a) 要求對用戶訪問權(quán)限進(jìn)行限制，后臺要有用戶權(quán)限矩陣，防止越權(quán)行為發(fā)生；

b) 說的是應(yīng)用系統(tǒng)自身的日志記錄，至少要包括登錄、退出、注冊、注銷、操作、更改、創(chuàng)建、刪除等行為的記錄，還要包括是誰、什么時(shí)間、什么類型的操作，而且日志要保留6個(gè)月以上；

c) 要求權(quán)限分配要有系統(tǒng)管理員或更高級別的主管分配，一般操作人員不能隨意分配訪問權(quán)限，如果存在默認(rèn)賬戶的情況，一般來說其權(quán)限應(yīng)該是最低級別的，只能查看和檢索，不能修改和訪問受保護(hù)的客體或數(shù)據(jù)；

d) 要求賬戶的最小化權(quán)限，以及權(quán)限分離。這點(diǎn)我們國內(nèi)大部分公司做得其實(shí)不太好，尤其那種一個(gè)人的甲方公司，每個(gè)人都承擔(dān)了過多的職責(zé)和權(quán)限，雖然一方面為企業(yè)節(jié)省開銷，但另一方面也給企業(yè)帶來巨大的潛在風(fēng)險(xiǎn)（比如人員生病請假、突然離職、惡意破壞、商業(yè)間諜），一旦某個(gè)人不在公司，很多業(yè)務(wù)就難以開展，甚至臨時(shí)停止業(yè)務(wù)。外企對于這種方面，一般會設(shè)置AB崗，而且一個(gè)人不會身兼數(shù)職，一個(gè)系統(tǒng)由多個(gè)不同權(quán)限人員共同管理，而且會強(qiáng)制員工休假，不是為了福利，而是為了檢驗(yàn)這個(gè)人不在的情況下，公司業(yè)務(wù)是否會受到影響，同時(shí)也是檢驗(yàn)該員工的忠誠度，是否會泄露或倒賣公司機(jī)密；

e) 就是數(shù)據(jù)分類，不同數(shù)據(jù)按照標(biāo)簽予以區(qū)分，同之前其他部分提到的標(biāo)記相似；

f) 同樣是權(quán)限控制，這里強(qiáng)調(diào)的是敏感信息的訪問控制，也就是公司機(jī)密和絕密級別的信息，一般公司會對這部分制定嚴(yán)格的管理?xiàng)l例來約束，配合流程審批予以控制，所有過程、申請和訪問都有記錄，可以追溯，可以問責(zé)。

7.1.4.3 安全審計(jì)（G3）

a) 應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)；

b) 應(yīng)保證無法單獨(dú)中斷審計(jì)進(jìn)程，無法刪除、修改或覆蓋審計(jì)記錄；

c) 審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等；

d) 應(yīng)提供對審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表的功能。

審計(jì)部分沒什么好說的，參照之前要求就幾個(gè)點(diǎn)：

盡可能覆蓋的全面（細(xì)節(jié)和廣度），保存6個(gè)月以上，可隨時(shí)查詢能夠問責(zé)，定期生成審計(jì)報(bào)表，防止備份日志的破壞。

7.1.4.4 剩余信息保護(hù)（S3）

a) 應(yīng)保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；

b) 應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全清除。

這塊要求很容易理解，就好比A項(xiàng)目中使用的移動硬盤，項(xiàng)目結(jié)束后清理數(shù)據(jù)給B項(xiàng)目繼續(xù)使用；只不過這里要求的是系統(tǒng)為其他管理人員或用戶分配的資源要做好數(shù)據(jù)清除工作。結(jié)合云上SaaS服務(wù)更容易理解一點(diǎn)吧。

7.1.4.5 通信完整性（S3）

應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。

這里查了一點(diǎn)密碼學(xué)的資料，不?？赐靡部?，簡單說幾句大家就理解了。

通常保證數(shù)據(jù)完整性是通過消息認(rèn)證碼（Message Authentication Code，MAC）實(shí)現(xiàn)。MAC主要用于保障數(shù)據(jù)完整性和消息源認(rèn)證，當(dāng)前應(yīng)用于各類協(xié)議中的常規(guī)方式有IPSec、TLS、SSH和SNMP（V3版本及以上）等。

MAC算法主要有三種構(gòu)造方法，分別基于分組密碼、密碼雜湊函數(shù)（Hash）。Hash是一類基礎(chǔ)密碼算法，可以保障電子簽名、身份認(rèn)證等多種密碼系統(tǒng)安全的關(guān)鍵技術(shù)。比如常見的MD5（已不安全），sha-1（已不安全），sha-2，sha-3（還未普及）。

具體細(xì)節(jié)可以查閱密碼學(xué)相關(guān)知識，這里不多累述。如果想大概了解，可以看看CISSP中密碼學(xué)的章節(jié)。

總之，通過以上技術(shù)傳輸數(shù)據(jù)，就做到了基本的完整性要求。

7.1.4.6 通信保密性（S3）

a) 在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會話初始化驗(yàn)證；

b) 應(yīng)對通信過程中的整個(gè)報(bào)文或會話過程進(jìn)行加密。

這里要求就是傳輸加密。而且要求加密前雙方要先進(jìn)行身份驗(yàn)證，好比SSL VPN會與對端認(rèn)證身份。目前可以使用TLS或者VPN，用的比較多，也可以考慮非對稱加密傳輸數(shù)據(jù)，就是B用A的公鑰加密數(shù)據(jù)發(fā)送給A，A收到后用自己的私鑰解密后獲得明文，不過這種比較麻煩，更多的還是建議使用前者。

7.1.4.7 抗抵賴（G3）

a) 應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；

b) 應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。

同上邊的完整性、保密性同樣，這里強(qiáng)調(diào)的是不可抵賴性，目的是為了可追溯可問責(zé)。一般都是對用戶進(jìn)行標(biāo)記或者利用數(shù)字簽名技術(shù)來保證抗抵賴。

7.1.4.8 軟件容錯(cuò)（A3）

a) 應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求；

b) 應(yīng)提供自動保護(hù)功能，當(dāng)故障發(fā)生時(shí)自動保護(hù)當(dāng)前所有狀態(tài)，保證系統(tǒng)能夠進(jìn)行恢復(fù)。

容錯(cuò)其實(shí)也好理解，只是標(biāo)準(zhǔn)中的標(biāo)書有些書面化，翻譯一下就好了。

a舉個(gè)例子，登陸框需要輸入手機(jī)接收的隨機(jī)6位驗(yàn)證碼，那么你在輸入的時(shí)候系統(tǒng)要只允許輸入數(shù)字，禁止非數(shù)字字符的輸入，另外只能輸入6位數(shù)字，不可以超過；

b也舉個(gè)例子，你在論壇或貼吧發(fā)表長篇大論，一般幾分鐘會自動保存一下，如果你瀏覽器意外關(guān)閉，再次打開可以恢復(fù)到之前保存的那個(gè)節(jié)點(diǎn)。

這部分要求的就是系統(tǒng)要具備這兩個(gè)功能，第一條是防別人亂搞，第二條是從用戶角度考慮，提供即時(shí)存儲功能。

7.1.4.9 資源控制（A3）

a) 當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動結(jié)束會話；

b) 應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會話連接數(shù)進(jìn)行限制；

c) 應(yīng)能夠?qū)蝹€(gè)帳戶的多重并發(fā)會話進(jìn)行限制；

d) 應(yīng)能夠?qū)σ粋€(gè)時(shí)間段內(nèi)可能的并發(fā)會話連接數(shù)進(jìn)行限制；

e) 應(yīng)能夠?qū)σ粋€(gè)訪問帳戶或一個(gè)請求進(jìn)程占用的資源分配最大限額和最小限額；

f) 應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報(bào)警；

g) 應(yīng)提供服務(wù)優(yōu)先級設(shè)定功能，并在安裝后根據(jù)安全策略設(shè)定訪問帳戶或請求進(jìn)程的優(yōu)先級，根據(jù)優(yōu)先級分配系統(tǒng)資源。

本節(jié)就不再重復(fù)了，之前部分也說過，就是對系統(tǒng)SLA的要求，其中各項(xiàng)也容易理解。

7.1.5 數(shù)據(jù)安全及備份恢復(fù)

7.1.5.1 數(shù)據(jù)完整性（S3）

a) 應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞，并在檢測到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施；

b) 應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲過程中完整性受到破壞，并在檢測到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施。

這部分開始進(jìn)入數(shù)據(jù)安全的部分，完整性要求是2個(gè)層面：傳輸和存儲。

這里要求就是有技術(shù)或人工方式能夠檢測出傳輸和存儲數(shù)據(jù)被篡改、刪除的行為，并且能夠?qū)@類情況進(jìn)行恢復(fù)。屬于DRP方面的要求，要求企業(yè)要具備災(zāi)難恢復(fù)的能力。

7.1.5.2 數(shù)據(jù)保密性（S3）

本項(xiàng)要求包括：

a) 應(yīng)采用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性；

b) 應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲保密性。

保密性的要求也是分2部分，傳輸和存儲。傳輸之前提到過，加密傳輸就可以了。對于存儲可以采用兩種方式，技術(shù)和物理手段。技術(shù)的話就是磁盤加密，加密存儲，DLP系統(tǒng)，不過一般都是需要資金大量投入，還要有技術(shù)人員管理。也可以簡單點(diǎn)，保密室加保險(xiǎn)箱，隨便找個(gè)人看管就可以了，主要是有保護(hù)的措施，不一定非要通過技術(shù)來做。

7.1.5.3 備份和恢復(fù)（A3）

a) 應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場外存放；

b) 應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場地；

c) 應(yīng)采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障；

d) 應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。

這部分就是要求完備的災(zāi)難恢復(fù)計(jì)劃和配套資源。

a) 完全備份至少每天一次，不過目前基本都是實(shí)時(shí)的，除了熱備還有場外冷備份，也是至少一天一次，不過可以放松到一周以內(nèi)，一般都會算符合；

b) 要求異地備份，在22239中并沒明確表示多遠(yuǎn)算異地，但是在JR-T0071中明確規(guī)定距離至少100公里；

c) 和網(wǎng)絡(luò)安全部分重復(fù)，要求系統(tǒng)所在網(wǎng)絡(luò)環(huán)境的冗余性，雙線雙節(jié)點(diǎn)的結(jié)構(gòu)；

d) 這里就是要雙活或者熱站點(diǎn)，都是包含在DRP中的資源；此外測評的時(shí)候還會考察每年是否有進(jìn)行災(zāi)難恢復(fù)的演練，標(biāo)準(zhǔn)中雖然沒有明確提出，但是也會做為檢查的一項(xiàng)。

估計(jì)這部分參考金融的標(biāo)準(zhǔn)可能更詳細(xì)一點(diǎn)，這里貼一下JR-T0071的三級系統(tǒng)備份和恢復(fù)章節(jié)的要求：

a) 應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能，采取實(shí)時(shí)備份與異步備份或增量備份與完全備份的方式，增量數(shù)據(jù)備份每天一次，完全數(shù)據(jù)備份每周一次，備份介質(zhì)場外存放，數(shù)據(jù)保存期限依照國家相關(guān)規(guī)定；

b) 應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場地；

c) 對于同城數(shù)據(jù)備份中心，應(yīng)與生產(chǎn)中心直線距離至少達(dá)到30公里，可以接管所有核心業(yè)務(wù)的運(yùn)行；對于異地?cái)?shù)據(jù)備份中心，應(yīng)與生產(chǎn)中心直線距離至少達(dá)到100公里；

d) 為滿足災(zāi)難恢復(fù)策略的要求，應(yīng)對技術(shù)方案中關(guān)鍵技術(shù)應(yīng)用的可行性進(jìn)行驗(yàn)證測試，并記錄和保存驗(yàn)證測試的結(jié)果；

e) 數(shù)據(jù)備份存放方式應(yīng)以多冗余方式，完全數(shù)據(jù)備份至少保證以一個(gè)星期為周期的數(shù) 據(jù)冗余；

f) 異地備份中心應(yīng)配備恢復(fù)所需的運(yùn)行環(huán)境，并處于就緒狀態(tài)或運(yùn)行狀態(tài)，”就緒狀態(tài)” 指備份中心的所需資源(相關(guān)軟硬件以及數(shù)據(jù)等資源)已完全滿足但設(shè)備cpu還沒有運(yùn)行 ；”運(yùn)行狀態(tài)”指備份中心除所需資源完全滿足要求外，cpu也在運(yùn)行狀態(tài)。

結(jié)尾

以上是應(yīng)用與數(shù)據(jù)安全部分的要求。結(jié)合之前三篇內(nèi)容就是等保三級技術(shù)要求的所有檢查項(xiàng)。后續(xù)會進(jìn)入管理要求的部分，比較偏制度和體系，可能不如技術(shù)這么直觀，最后感謝大家的支持。

等級保護(hù)測評系列介紹

等級保護(hù)測評（一）：物理安全

等級保護(hù)測評（二）：網(wǎng)絡(luò)安全

等級保護(hù)測評（三）：主機(jī)安全

等級保護(hù)測評（四）：應(yīng)用與數(shù)據(jù)安全

等級保護(hù)測評（五）：制度與人員安全

等級保護(hù)測評（六）：系統(tǒng)建設(shè)管理

等級保護(hù)測評（七）：系統(tǒng)運(yùn)維管理