本篇將會介紹等級保護中應(yīng)用和數(shù)據(jù)層面的安全要求，文中內(nèi)容全是本人個人觀點，如有不對的地方歡迎糾正。文章以等保三級系統(tǒng)為基礎(chǔ)，從合規(guī)角度解讀要求。應(yīng)用部分和數(shù)據(jù)部分內(nèi)容相對較少，合在一起來說。

正文

本部分從應(yīng)用和數(shù)據(jù)安全兩個層面解讀標準要求。其中會有很多重復(fù)的要求，只是針對的層面不同，可以參考之前網(wǎng)絡(luò)或主機部分，下文中不再做解釋。

7.1.4 應(yīng)用安全

7.1.4.1 身份鑒別（S3）

a) 應(yīng)提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別；

b) 應(yīng)對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別；

c) 應(yīng)提供用戶身份標識唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標識，身份鑒別信息不易被冒用；

d) 應(yīng)提供登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；

e) 應(yīng)啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。

該部分沒有太多新內(nèi)容，看過之前幾部分后，會覺得很多都是同樣的要求。簡單說下有些細微區(qū)別的點：

c中提出對鑒別信息有一項額外要求，不只是后臺管理員，包括用戶賬戶在內(nèi)不能出現(xiàn)重名的情況，測評時會現(xiàn)場創(chuàng)建2個同名賬戶，看系統(tǒng)會不會提示此用戶已存在；e中說的是在有這些功能的前提下，必須要啟用，不用起來也是不行的。

7.1.4.2 訪問控制（S3）

a) 應(yīng)提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問；

b) 訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作；

c) 應(yīng)由授權(quán)主體配置訪問控制策略，并嚴格限制默認賬戶的訪問權(quán)限；

d) 應(yīng)授予不同賬戶為完成各自承擔任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系；

e) 應(yīng)具有對重要信息資源設(shè)置敏感標記的功能；

f) 應(yīng)依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作。

本節(jié)主要說應(yīng)用系統(tǒng)自身所具備的訪問控制能力，用戶權(quán)限管理、數(shù)據(jù)分級分類以及日志記錄。

a) 要求對用戶訪問權(quán)限進行限制，后臺要有用戶權(quán)限矩陣，防止越權(quán)行為發(fā)生；

b) 說的是應(yīng)用系統(tǒng)自身的日志記錄，至少要包括登錄、退出、注冊、注銷、操作、更改、創(chuàng)建、刪除等行為的記錄，還要包括是誰、什么時間、什么類型的操作，而且日志要保留6個月以上；

c) 要求權(quán)限分配要有系統(tǒng)管理員或更高級別的主管分配，一般操作人員不能隨意分配訪問權(quán)限，如果存在默認賬戶的情況，一般來說其權(quán)限應(yīng)該是最低級別的，只能查看和檢索，不能修改和訪問受保護的客體或數(shù)據(jù)；

d) 要求賬戶的最小化權(quán)限，以及權(quán)限分離。這點我們國內(nèi)大部分公司做得其實不太好，尤其那種一個人的甲方公司，每個人都承擔了過多的職責和權(quán)限，雖然一方面為企業(yè)節(jié)省開銷，但另一方面也給企業(yè)帶來巨大的潛在風險（比如人員生病請假、突然離職、惡意破壞、商業(yè)間諜），一旦某個人不在公司，很多業(yè)務(wù)就難以開展，甚至臨時停止業(yè)務(wù)。外企對于這種方面，一般會設(shè)置AB崗，而且一個人不會身兼數(shù)職，一個系統(tǒng)由多個不同權(quán)限人員共同管理，而且會強制員工休假，不是為了福利，而是為了檢驗這個人不在的情況下，公司業(yè)務(wù)是否會受到影響，同時也是檢驗該員工的忠誠度，是否會泄露或倒賣公司機密；

e) 就是數(shù)據(jù)分類，不同數(shù)據(jù)按照標簽予以區(qū)分，同之前其他部分提到的標記相似；

f) 同樣是權(quán)限控制，這里強調(diào)的是敏感信息的訪問控制，也就是公司機密和絕密級別的信息，一般公司會對這部分制定嚴格的管理條例來約束，配合流程審批予以控制，所有過程、申請和訪問都有記錄，可以追溯，可以問責。

7.1.4.3 安全審計（G3）

a) 應(yīng)提供覆蓋到每個用戶的安全審計功能，對應(yīng)用系統(tǒng)重要安全事件進行審計；

b) 應(yīng)保證無法單獨中斷審計進程，無法刪除、修改或覆蓋審計記錄；

c) 審計記錄的內(nèi)容至少應(yīng)包括事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等；

d) 應(yīng)提供對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表的功能。

審計部分沒什么好說的，參照之前要求就幾個點：

盡可能覆蓋的全面（細節(jié)和廣度），保存6個月以上，可隨時查詢能夠問責，定期生成審計報表，防止備份日志的破壞。

7.1.4.4 剩余信息保護（S3）

a) 應(yīng)保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；

b) 應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全清除。

這塊要求很容易理解，就好比A項目中使用的移動硬盤，項目結(jié)束后清理數(shù)據(jù)給B項目繼續(xù)使用；只不過這里要求的是系統(tǒng)為其他管理人員或用戶分配的資源要做好數(shù)據(jù)清除工作。結(jié)合云上SaaS服務(wù)更容易理解一點吧。

7.1.4.5 通信完整性（S3）

應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。

這里查了一點密碼學的資料，不?？赐靡部?，簡單說幾句大家就理解了。

通常保證數(shù)據(jù)完整性是通過消息認證碼（Message Authentication Code，MAC）實現(xiàn)。MAC主要用于保障數(shù)據(jù)完整性和消息源認證，當前應(yīng)用于各類協(xié)議中的常規(guī)方式有IPSec、TLS、SSH和SNMP（V3版本及以上）等。

MAC算法主要有三種構(gòu)造方法，分別基于分組密碼、密碼雜湊函數(shù)（Hash）。Hash是一類基礎(chǔ)密碼算法，可以保障電子簽名、身份認證等多種密碼系統(tǒng)安全的關(guān)鍵技術(shù)。比如常見的MD5（已不安全），sha-1（已不安全），sha-2，sha-3（還未普及）。

具體細節(jié)可以查閱密碼學相關(guān)知識，這里不多累述。如果想大概了解，可以看看CISSP中密碼學的章節(jié)。

總之，通過以上技術(shù)傳輸數(shù)據(jù)，就做到了基本的完整性要求。

7.1.4.6 通信保密性（S3）

a) 在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進行會話初始化驗證；

b) 應(yīng)對通信過程中的整個報文或會話過程進行加密。

這里要求就是傳輸加密。而且要求加密前雙方要先進行身份驗證，好比SSL VPN會與對端認證身份。目前可以使用TLS或者VPN，用的比較多，也可以考慮非對稱加密傳輸數(shù)據(jù)，就是B用A的公鑰加密數(shù)據(jù)發(fā)送給A，A收到后用自己的私鑰解密后獲得明文，不過這種比較麻煩，更多的還是建議使用前者。

7.1.4.7 抗抵賴（G3）

a) 應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；

b) 應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。

同上邊的完整性、保密性同樣，這里強調(diào)的是不可抵賴性，目的是為了可追溯可問責。一般都是對用戶進行標記或者利用數(shù)字簽名技術(shù)來保證抗抵賴。

7.1.4.8 軟件容錯（A3）

a) 應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求；

b) 應(yīng)提供自動保護功能，當故障發(fā)生時自動保護當前所有狀態(tài)，保證系統(tǒng)能夠進行恢復(fù)。

容錯其實也好理解，只是標準中的標書有些書面化，翻譯一下就好了。

a舉個例子，登陸框需要輸入手機接收的隨機6位驗證碼，那么你在輸入的時候系統(tǒng)要只允許輸入數(shù)字，禁止非數(shù)字字符的輸入，另外只能輸入6位數(shù)字，不可以超過；

b也舉個例子，你在論壇或貼吧發(fā)表長篇大論，一般幾分鐘會自動保存一下，如果你瀏覽器意外關(guān)閉，再次打開可以恢復(fù)到之前保存的那個節(jié)點。

這部分要求的就是系統(tǒng)要具備這兩個功能，第一條是防別人亂搞，第二條是從用戶角度考慮，提供即時存儲功能。

7.1.4.9 資源控制（A3）

a) 當應(yīng)用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動結(jié)束會話；

b) 應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會話連接數(shù)進行限制；

c) 應(yīng)能夠?qū)蝹€帳戶的多重并發(fā)會話進行限制；

d) 應(yīng)能夠?qū)σ粋€時間段內(nèi)可能的并發(fā)會話連接數(shù)進行限制；

e) 應(yīng)能夠?qū)σ粋€訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額；

f) 應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進行檢測和報警；

g) 應(yīng)提供服務(wù)優(yōu)先級設(shè)定功能，并在安裝后根據(jù)安全策略設(shè)定訪問帳戶或請求進程的優(yōu)先級，根據(jù)優(yōu)先級分配系統(tǒng)資源。

本節(jié)就不再重復(fù)了，之前部分也說過，就是對系統(tǒng)SLA的要求，其中各項也容易理解。

7.1.5 數(shù)據(jù)安全及備份恢復(fù)

7.1.5.1 數(shù)據(jù)完整性（S3）

a) 應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復(fù)措施；

b) 應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復(fù)措施。

這部分開始進入數(shù)據(jù)安全的部分，完整性要求是2個層面：傳輸和存儲。

這里要求就是有技術(shù)或人工方式能夠檢測出傳輸和存儲數(shù)據(jù)被篡改、刪除的行為，并且能夠?qū)@類情況進行恢復(fù)。屬于DRP方面的要求，要求企業(yè)要具備災(zāi)難恢復(fù)的能力。

7.1.5.2 數(shù)據(jù)保密性（S3）

本項要求包括：

a) 應(yīng)采用加密或其他有效措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性；

b) 應(yīng)采用加密或其他保護措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲保密性。

保密性的要求也是分2部分，傳輸和存儲。傳輸之前提到過，加密傳輸就可以了。對于存儲可以采用兩種方式，技術(shù)和物理手段。技術(shù)的話就是磁盤加密，加密存儲，DLP系統(tǒng)，不過一般都是需要資金大量投入，還要有技術(shù)人員管理。也可以簡單點，保密室加保險箱，隨便找個人看管就可以了，主要是有保護的措施，不一定非要通過技術(shù)來做。

7.1.5.3 備份和恢復(fù)（A3）

a) 應(yīng)提供本地數(shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場外存放；

b) 應(yīng)提供異地數(shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地；

c) 應(yīng)采用冗余技術(shù)設(shè)計網(wǎng)絡(luò)拓撲結(jié)構(gòu)，避免關(guān)鍵節(jié)點存在單點故障；

d) 應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。

這部分就是要求完備的災(zāi)難恢復(fù)計劃和配套資源。

a) 完全備份至少每天一次，不過目前基本都是實時的，除了熱備還有場外冷備份，也是至少一天一次，不過可以放松到一周以內(nèi)，一般都會算符合；

b) 要求異地備份，在22239中并沒明確表示多遠算異地，但是在JR-T0071中明確規(guī)定距離至少100公里；

c) 和網(wǎng)絡(luò)安全部分重復(fù)，要求系統(tǒng)所在網(wǎng)絡(luò)環(huán)境的冗余性，雙線雙節(jié)點的結(jié)構(gòu)；

d) 這里就是要雙活或者熱站點，都是包含在DRP中的資源；此外測評的時候還會考察每年是否有進行災(zāi)難恢復(fù)的演練，標準中雖然沒有明確提出，但是也會做為檢查的一項。

估計這部分參考金融的標準可能更詳細一點，這里貼一下JR-T0071的三級系統(tǒng)備份和恢復(fù)章節(jié)的要求：

a) 應(yīng)提供本地數(shù)據(jù)備份與恢復(fù)功能，采取實時備份與異步備份或增量備份與完全備份的方式，增量數(shù)據(jù)備份每天一次，完全數(shù)據(jù)備份每周一次，備份介質(zhì)場外存放，數(shù)據(jù)保存期限依照國家相關(guān)規(guī)定；

b) 應(yīng)提供異地數(shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地；

c) 對于同城數(shù)據(jù)備份中心，應(yīng)與生產(chǎn)中心直線距離至少達到30公里，可以接管所有核心業(yè)務(wù)的運行；對于異地數(shù)據(jù)備份中心，應(yīng)與生產(chǎn)中心直線距離至少達到100公里；

d) 為滿足災(zāi)難恢復(fù)策略的要求，應(yīng)對技術(shù)方案中關(guān)鍵技術(shù)應(yīng)用的可行性進行驗證測試，并記錄和保存驗證測試的結(jié)果；

e) 數(shù)據(jù)備份存放方式應(yīng)以多冗余方式，完全數(shù)據(jù)備份至少保證以一個星期為周期的數(shù) 據(jù)冗余；

f) 異地備份中心應(yīng)配備恢復(fù)所需的運行環(huán)境，并處于就緒狀態(tài)或運行狀態(tài)，”就緒狀態(tài)” 指備份中心的所需資源(相關(guān)軟硬件以及數(shù)據(jù)等資源)已完全滿足但設(shè)備cpu還沒有運行 ；”運行狀態(tài)”指備份中心除所需資源完全滿足要求外，cpu也在運行狀態(tài)。

結(jié)尾

以上是應(yīng)用與數(shù)據(jù)安全部分的要求。結(jié)合之前三篇內(nèi)容就是等保三級技術(shù)要求的所有檢查項。后續(xù)會進入管理要求的部分，比較偏制度和體系，可能不如技術(shù)這么直觀，最后感謝大家的支持。

等級保護測評系列介紹

等級保護測評（一）：物理安全

等級保護測評（二）：網(wǎng)絡(luò)安全

等級保護測評（三）：主機安全

等級保護測評（四）：應(yīng)用與數(shù)據(jù)安全

等級保護測評（五）：制度與人員安全

等級保護測評（六）：系統(tǒng)建設(shè)管理

等級保護測評（七）：系統(tǒng)運維管理