应用系统安全检查流程.docx

应用系统检查流程目录应用系统检查流程1目录11.应用系统编号规那么22 .根本信息23 .帐户策略23.1. 密码策略(OlOOl)23.2. 帐户锁定策略(01002)34.审核策略43.3. 审核策略(02001)43.4. 日志策略(02002)45 .备份恢复策略(03001)56 .访问控制策略(04001)57 .权限控制策略(05001)68 .平安增强性(06001)69 .平安管理710 .第三方插件安装情况7IL检查编号索引8L应用系统编号规那么编号规那么：应用类型一公司名称一部门名称一数字编号。应用类型：应用系统的简写，如0A。公司名称：使用此系统的公司简称，如BJCA（北京市数字证书认证中心部门名称：部门简称，如CWB（财务部；如果整个公司都使用此系统，为ALL。数字编号：顺序号，第一个是001,第二个是002,依次类推。例：OA_BJCA_ALL_001：表示北京市数字证书认证中心的第一个OA系统，此系统被整个公司内部使用。2.根本信息应用系统信息表应用系统名称应用系统编号应用系统描述此处简要描述应用系统实现的功能及实现方式等信息所属业务类别依存的主机此处填写主机的编号涉及的数据资产没有可不填应用系统的重要性简要描述系统的重要性但不需要赋值其他信息3.帐户策略3.1.密码策略（01001）编号：AppCheck-OlOOl名称：密码策略检查说明:获得应用系统的密码策略检查内容：1、密码最长使用期限和密码最短使用期限。2、最短密码长度和复杂性要求。3、密码产生的方式和传递。检查结果备注:32帐户锁定策略01002编号：AppCheck-01002名称：帐户锁定策略检查说明：获得应用系统的帐户锁定策略检查内容：1、帐户锁定时间2、帐户锁定阈值3、复位帐户锁定的方法检查结果备注:4.审核策略33审核策略02001编号：AppCheck-02001名称：审核策略检查说明：获取应用系统的审核策略检查内容：I、审核帐户登录事件2、审核帐户管理3、审核效劳访问4、审核对象访问5、审核策略更改6、审核特权使用7、审核过程跟踪8、审核系统事件检查结果备注：34日志策略02002编号：AppCheck-02002名称：日志策略检查说明：获取应用系统的日志策略检查内容：I、日志类型分类存储。5.备份恢复策略(03001)编号：AppCheck-03001名称：备份恢复策略检查说明：备份恢复策略检查检查内容：1、定期备份功能。2、针对不同数据对象的备份恢复功能。3、远程备份恢复功能。检查结果备注:6.访问控制策略(04001)编号：AppCheck-04001名称：访问控制策略说明：应用系统访问控制策略检查检查内容：1、支持多种凭证类型登录用户，如用户名口令或者数字证书。2、支持根据登录用户凭证类型进行的访问控制。检查结果备注:7.权限控制策略(05001)编号：AppCheck-05001名称：权限控制策略说明：应用系统内部对象控制策略检查检查内容：1、支持多种权限控制类型，如阅读、增添、删除、修改。2、支持对应用系统内部对象或者数据流的权限控制。3、列出应用系统可采用的权限控制模型，如：角色控制模型、组控制模型)检查结果备注:8.平安增强性(06001)编号：AppCheck-06001名称：平安增强功能说明：其他假设干平安选项，包括应用系统特有的平安性考虑。检查内容：1、登录页面上不显示上次登录成功的用户名。2、限时自动注销用户的功能。3、客户端与效劳器端的通信进行加密签名。4、在密码到期前提示用户更改密码。5、无法记录审核事件立即关闭系统。6、其他检查结果备注:9.平安管理编号：AppCheck-07001名称：平安管理检查说明：对应用系统得平安管理策略进行检查检查内容：1、有无指定应用系统管理人员2、管理人员有无操作日志（如日志、改变记录、升级安装过程等）3、有无相应的应急恢复管理制度检查结果备注:10 .第三方插件安装情况插件名称版本号用途注：由于插件安装可能无法检测，建议使用询问管理员的方式进行填写11 .检查编号索引编号名称AppCheck-OlOOl检查密码策略AppCheck-01002检查帐户锁定策略AppCheck-02001检查审核策略AppCheck-02002检查日志策略AppCheck-03001备份恢复策略AppCheck-04001访问控制策略AppCheck-05001权限控制策略AppCheck-06001平安选项