本篇將會(huì)介紹等級(jí)保護(hù)中應(yīng)用和數(shù)據(jù)層面的安全要求，文中內(nèi)容全是本人個(gè)人觀點(diǎn)，如有不對(duì)的地方歡迎糾正。文章以等保三級(jí)系統(tǒng)為基礎(chǔ)，從合規(guī)角度解讀要求。應(yīng)用部分和數(shù)據(jù)部分內(nèi)容相對(duì)較少，合在一起來(lái)說(shuō)。

正文

本部分從應(yīng)用和數(shù)據(jù)安全兩個(gè)層面解讀標(biāo)準(zhǔn)要求。其中會(huì)有很多重復(fù)的要求，只是針對(duì)的層面不同，可以參考之前網(wǎng)絡(luò)或主機(jī)部分，下文中不再做解釋。

7.1.4 應(yīng)用安全

7.1.4.1 身份鑒別（S3）

a) 應(yīng)提供專(zhuān)用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別；

b) 應(yīng)對(duì)同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別；

c) 應(yīng)提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)，身份鑒別信息不易被冒用；

d) 應(yīng)提供登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；

e) 應(yīng)啟用身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。

該部分沒(méi)有太多新內(nèi)容，看過(guò)之前幾部分后，會(huì)覺(jué)得很多都是同樣的要求。簡(jiǎn)單說(shuō)下有些細(xì)微區(qū)別的點(diǎn)：

c中提出對(duì)鑒別信息有一項(xiàng)額外要求，不只是后臺(tái)管理員，包括用戶賬戶在內(nèi)不能出現(xiàn)重名的情況，測(cè)評(píng)時(shí)會(huì)現(xiàn)場(chǎng)創(chuàng)建2個(gè)同名賬戶，看系統(tǒng)會(huì)不會(huì)提示此用戶已存在；e中說(shuō)的是在有這些功能的前提下，必須要啟用，不用起來(lái)也是不行的。

7.1.4.2 訪問(wèn)控制（S3）

a) 應(yīng)提供訪問(wèn)控制功能，依據(jù)安全策略控制用戶對(duì)文件、數(shù)據(jù)庫(kù)表等客體的訪問(wèn)；

b) 訪問(wèn)控制的覆蓋范圍應(yīng)包括與資源訪問(wèn)相關(guān)的主體、客體及它們之間的操作；

c) 應(yīng)由授權(quán)主體配置訪問(wèn)控制策略，并嚴(yán)格限制默認(rèn)賬戶的訪問(wèn)權(quán)限；

d) 應(yīng)授予不同賬戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系；

e) 應(yīng)具有對(duì)重要信息資源設(shè)置敏感標(biāo)記的功能；

f) 應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息資源的操作。

本節(jié)主要說(shuō)應(yīng)用系統(tǒng)自身所具備的訪問(wèn)控制能力，用戶權(quán)限管理、數(shù)據(jù)分級(jí)分類(lèi)以及日志記錄。

a) 要求對(duì)用戶訪問(wèn)權(quán)限進(jìn)行限制，后臺(tái)要有用戶權(quán)限矩陣，防止越權(quán)行為發(fā)生；

b) 說(shuō)的是應(yīng)用系統(tǒng)自身的日志記錄，至少要包括登錄、退出、注冊(cè)、注銷(xiāo)、操作、更改、創(chuàng)建、刪除等行為的記錄，還要包括是誰(shuí)、什么時(shí)間、什么類(lèi)型的操作，而且日志要保留6個(gè)月以上；

c) 要求權(quán)限分配要有系統(tǒng)管理員或更高級(jí)別的主管分配，一般操作人員不能隨意分配訪問(wèn)權(quán)限，如果存在默認(rèn)賬戶的情況，一般來(lái)說(shuō)其權(quán)限應(yīng)該是最低級(jí)別的，只能查看和檢索，不能修改和訪問(wèn)受保護(hù)的客體或數(shù)據(jù)；

d) 要求賬戶的最小化權(quán)限，以及權(quán)限分離。這點(diǎn)我們國(guó)內(nèi)大部分公司做得其實(shí)不太好，尤其那種一個(gè)人的甲方公司，每個(gè)人都承擔(dān)了過(guò)多的職責(zé)和權(quán)限，雖然一方面為企業(yè)節(jié)省開(kāi)銷(xiāo)，但另一方面也給企業(yè)帶來(lái)巨大的潛在風(fēng)險(xiǎn)（比如人員生病請(qǐng)假、突然離職、惡意破壞、商業(yè)間諜），一旦某個(gè)人不在公司，很多業(yè)務(wù)就難以開(kāi)展，甚至臨時(shí)停止業(yè)務(wù)。外企對(duì)于這種方面，一般會(huì)設(shè)置AB崗，而且一個(gè)人不會(huì)身兼數(shù)職，一個(gè)系統(tǒng)由多個(gè)不同權(quán)限人員共同管理，而且會(huì)強(qiáng)制員工休假，不是為了福利，而是為了檢驗(yàn)這個(gè)人不在的情況下，公司業(yè)務(wù)是否會(huì)受到影響，同時(shí)也是檢驗(yàn)該員工的忠誠(chéng)度，是否會(huì)泄露或倒賣(mài)公司機(jī)密；

e) 就是數(shù)據(jù)分類(lèi)，不同數(shù)據(jù)按照標(biāo)簽予以區(qū)分，同之前其他部分提到的標(biāo)記相似；

f) 同樣是權(quán)限控制，這里強(qiáng)調(diào)的是敏感信息的訪問(wèn)控制，也就是公司機(jī)密和絕密級(jí)別的信息，一般公司會(huì)對(duì)這部分制定嚴(yán)格的管理?xiàng)l例來(lái)約束，配合流程審批予以控制，所有過(guò)程、申請(qǐng)和訪問(wèn)都有記錄，可以追溯，可以問(wèn)責(zé)。

7.1.4.3 安全審計(jì)（G3）

a) 應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)；

b) 應(yīng)保證無(wú)法單獨(dú)中斷審計(jì)進(jìn)程，無(wú)法刪除、修改或覆蓋審計(jì)記錄；

c) 審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日期、時(shí)間、發(fā)起者信息、類(lèi)型、描述和結(jié)果等；

d) 應(yīng)提供對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢(xún)、分析及生成審計(jì)報(bào)表的功能。

審計(jì)部分沒(méi)什么好說(shuō)的，參照之前要求就幾個(gè)點(diǎn)：

盡可能覆蓋的全面（細(xì)節(jié)和廣度），保存6個(gè)月以上，可隨時(shí)查詢(xún)能夠問(wèn)責(zé)，定期生成審計(jì)報(bào)表，防止備份日志的破壞。

7.1.4.4 剩余信息保護(hù)（S3）

a) 應(yīng)保證用戶鑒別信息所在的存儲(chǔ)空間被釋放或再分配給其他用戶前得到完全清除，無(wú)論這些信息是存放在硬盤(pán)上還是在內(nèi)存中；

b) 應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間被釋放或重新分配給其他用戶前得到完全清除。

這塊要求很容易理解，就好比A項(xiàng)目中使用的移動(dòng)硬盤(pán)，項(xiàng)目結(jié)束后清理數(shù)據(jù)給B項(xiàng)目繼續(xù)使用；只不過(guò)這里要求的是系統(tǒng)為其他管理人員或用戶分配的資源要做好數(shù)據(jù)清除工作。結(jié)合云上SaaS服務(wù)更容易理解一點(diǎn)吧。

7.1.4.5 通信完整性（S3）

應(yīng)采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性。

這里查了一點(diǎn)密碼學(xué)的資料，不?？赐靡部?，簡(jiǎn)單說(shuō)幾句大家就理解了。

通常保證數(shù)據(jù)完整性是通過(guò)消息認(rèn)證碼（Message Authentication Code，MAC）實(shí)現(xiàn)。MAC主要用于保障數(shù)據(jù)完整性和消息源認(rèn)證，當(dāng)前應(yīng)用于各類(lèi)協(xié)議中的常規(guī)方式有IPSec、TLS、SSH和SNMP（V3版本及以上）等。

MAC算法主要有三種構(gòu)造方法，分別基于分組密碼、密碼雜湊函數(shù)（Hash）。Hash是一類(lèi)基礎(chǔ)密碼算法，可以保障電子簽名、身份認(rèn)證等多種密碼系統(tǒng)安全的關(guān)鍵技術(shù)。比如常見(jiàn)的MD5（已不安全），sha-1（已不安全），sha-2，sha-3（還未普及）。

具體細(xì)節(jié)可以查閱密碼學(xué)相關(guān)知識(shí)，這里不多累述。如果想大概了解，可以看看CISSP中密碼學(xué)的章節(jié)。

總之，通過(guò)以上技術(shù)傳輸數(shù)據(jù)，就做到了基本的完整性要求。

7.1.4.6 通信保密性（S3）

a) 在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證；

b) 應(yīng)對(duì)通信過(guò)程中的整個(gè)報(bào)文或會(huì)話過(guò)程進(jìn)行加密。

這里要求就是傳輸加密。而且要求加密前雙方要先進(jìn)行身份驗(yàn)證，好比SSL VPN會(huì)與對(duì)端認(rèn)證身份。目前可以使用TLS或者VPN，用的比較多，也可以考慮非對(duì)稱(chēng)加密傳輸數(shù)據(jù)，就是B用A的公鑰加密數(shù)據(jù)發(fā)送給A，A收到后用自己的私鑰解密后獲得明文，不過(guò)這種比較麻煩，更多的還是建議使用前者。

7.1.4.7 抗抵賴(lài)（G3）

a) 應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；

b) 應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。

同上邊的完整性、保密性同樣，這里強(qiáng)調(diào)的是不可抵賴(lài)性，目的是為了可追溯可問(wèn)責(zé)。一般都是對(duì)用戶進(jìn)行標(biāo)記或者利用數(shù)字簽名技術(shù)來(lái)保證抗抵賴(lài)。

7.1.4.8 軟件容錯(cuò)（A3）

a) 應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求；

b) 應(yīng)提供自動(dòng)保護(hù)功能，當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前所有狀態(tài)，保證系統(tǒng)能夠進(jìn)行恢復(fù)。

容錯(cuò)其實(shí)也好理解，只是標(biāo)準(zhǔn)中的標(biāo)書(shū)有些書(shū)面化，翻譯一下就好了。

a舉個(gè)例子，登陸框需要輸入手機(jī)接收的隨機(jī)6位驗(yàn)證碼，那么你在輸入的時(shí)候系統(tǒng)要只允許輸入數(shù)字，禁止非數(shù)字字符的輸入，另外只能輸入6位數(shù)字，不可以超過(guò)；

b也舉個(gè)例子，你在論壇或貼吧發(fā)表長(zhǎng)篇大論，一般幾分鐘會(huì)自動(dòng)保存一下，如果你瀏覽器意外關(guān)閉，再次打開(kāi)可以恢復(fù)到之前保存的那個(gè)節(jié)點(diǎn)。

這部分要求的就是系統(tǒng)要具備這兩個(gè)功能，第一條是防別人亂搞，第二條是從用戶角度考慮，提供即時(shí)存儲(chǔ)功能。

7.1.4.9 資源控制（A3）

a) 當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話；

b) 應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制；

c) 應(yīng)能夠?qū)蝹€(gè)帳戶的多重并發(fā)會(huì)話進(jìn)行限制；

d) 應(yīng)能夠?qū)σ粋€(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)進(jìn)行限制；

e) 應(yīng)能夠?qū)σ粋€(gè)訪問(wèn)帳戶或一個(gè)請(qǐng)求進(jìn)程占用的資源分配最大限額和最小限額；

f) 應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警；

g) 應(yīng)提供服務(wù)優(yōu)先級(jí)設(shè)定功能，并在安裝后根據(jù)安全策略設(shè)定訪問(wèn)帳戶或請(qǐng)求進(jìn)程的優(yōu)先級(jí)，根據(jù)優(yōu)先級(jí)分配系統(tǒng)資源。

本節(jié)就不再重復(fù)了，之前部分也說(shuō)過(guò)，就是對(duì)系統(tǒng)SLA的要求，其中各項(xiàng)也容易理解。

7.1.5 數(shù)據(jù)安全及備份恢復(fù)

7.1.5.1 數(shù)據(jù)完整性（S3）

a) 應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中完整性受到破壞，并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施；

b) 應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲(chǔ)過(guò)程中完整性受到破壞，并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施。

這部分開(kāi)始進(jìn)入數(shù)據(jù)安全的部分，完整性要求是2個(gè)層面：傳輸和存儲(chǔ)。

這里要求就是有技術(shù)或人工方式能夠檢測(cè)出傳輸和存儲(chǔ)數(shù)據(jù)被篡改、刪除的行為，并且能夠?qū)@類(lèi)情況進(jìn)行恢復(fù)。屬于DRP方面的要求，要求企業(yè)要具備災(zāi)難恢復(fù)的能力。

7.1.5.2 數(shù)據(jù)保密性（S3）

本項(xiàng)要求包括：

a) 應(yīng)采用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性；

b) 應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲(chǔ)保密性。

保密性的要求也是分2部分，傳輸和存儲(chǔ)。傳輸之前提到過(guò)，加密傳輸就可以了。對(duì)于存儲(chǔ)可以采用兩種方式，技術(shù)和物理手段。技術(shù)的話就是磁盤(pán)加密，加密存儲(chǔ)，DLP系統(tǒng)，不過(guò)一般都是需要資金大量投入，還要有技術(shù)人員管理。也可以簡(jiǎn)單點(diǎn)，保密室加保險(xiǎn)箱，隨便找個(gè)人看管就可以了，主要是有保護(hù)的措施，不一定非要通過(guò)技術(shù)來(lái)做。

7.1.5.3 備份和恢復(fù)（A3）

a) 應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場(chǎng)外存放；

b) 應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地；

c) 應(yīng)采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障；

d) 應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。

這部分就是要求完備的災(zāi)難恢復(fù)計(jì)劃和配套資源。

a) 完全備份至少每天一次，不過(guò)目前基本都是實(shí)時(shí)的，除了熱備還有場(chǎng)外冷備份，也是至少一天一次，不過(guò)可以放松到一周以?xún)?nèi)，一般都會(huì)算符合；

b) 要求異地備份，在22239中并沒(méi)明確表示多遠(yuǎn)算異地，但是在JR-T0071中明確規(guī)定距離至少100公里；

c) 和網(wǎng)絡(luò)安全部分重復(fù)，要求系統(tǒng)所在網(wǎng)絡(luò)環(huán)境的冗余性，雙線雙節(jié)點(diǎn)的結(jié)構(gòu)；

d) 這里就是要雙活或者熱站點(diǎn)，都是包含在DRP中的資源；此外測(cè)評(píng)的時(shí)候還會(huì)考察每年是否有進(jìn)行災(zāi)難恢復(fù)的演練，標(biāo)準(zhǔn)中雖然沒(méi)有明確提出，但是也會(huì)做為檢查的一項(xiàng)。

估計(jì)這部分參考金融的標(biāo)準(zhǔn)可能更詳細(xì)一點(diǎn)，這里貼一下JR-T0071的三級(jí)系統(tǒng)備份和恢復(fù)章節(jié)的要求：

a) 應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能，采取實(shí)時(shí)備份與異步備份或增量備份與完全備份的方式，增量數(shù)據(jù)備份每天一次，完全數(shù)據(jù)備份每周一次，備份介質(zhì)場(chǎng)外存放，數(shù)據(jù)保存期限依照國(guó)家相關(guān)規(guī)定；

b) 應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地；

c) 對(duì)于同城數(shù)據(jù)備份中心，應(yīng)與生產(chǎn)中心直線距離至少達(dá)到30公里，可以接管所有核心業(yè)務(wù)的運(yùn)行；對(duì)于異地?cái)?shù)據(jù)備份中心，應(yīng)與生產(chǎn)中心直線距離至少達(dá)到100公里；

d) 為滿足災(zāi)難恢復(fù)策略的要求，應(yīng)對(duì)技術(shù)方案中關(guān)鍵技術(shù)應(yīng)用的可行性進(jìn)行驗(yàn)證測(cè)試，并記錄和保存驗(yàn)證測(cè)試的結(jié)果；

e) 數(shù)據(jù)備份存放方式應(yīng)以多冗余方式，完全數(shù)據(jù)備份至少保證以一個(gè)星期為周期的數(shù) 據(jù)冗余；

f) 異地備份中心應(yīng)配備恢復(fù)所需的運(yùn)行環(huán)境，并處于就緒狀態(tài)或運(yùn)行狀態(tài)，”就緒狀態(tài)” 指?jìng)浞葜行牡乃栀Y源(相關(guān)軟硬件以及數(shù)據(jù)等資源)已完全滿足但設(shè)備cpu還沒(méi)有運(yùn)行 ；”運(yùn)行狀態(tài)”指?jìng)浞葜行某栀Y源完全滿足要求外，cpu也在運(yùn)行狀態(tài)。

結(jié)尾

以上是應(yīng)用與數(shù)據(jù)安全部分的要求。結(jié)合之前三篇內(nèi)容就是等保三級(jí)技術(shù)要求的所有檢查項(xiàng)。后續(xù)會(huì)進(jìn)入管理要求的部分，比較偏制度和體系，可能不如技術(shù)這么直觀，最后感謝大家的支持。

等級(jí)保護(hù)測(cè)評(píng)系列介紹

等級(jí)保護(hù)測(cè)評(píng)（一）：物理安全

等級(jí)保護(hù)測(cè)評(píng)（二）：網(wǎng)絡(luò)安全

等級(jí)保護(hù)測(cè)評(píng)（三）：主機(jī)安全

等級(jí)保護(hù)測(cè)評(píng)（四）：應(yīng)用與數(shù)據(jù)安全

等級(jí)保護(hù)測(cè)評(píng)（五）：制度與人員安全

等級(jí)保護(hù)測(cè)評(píng)（六）：系統(tǒng)建設(shè)管理

等級(jí)保護(hù)測(cè)評(píng)（七）：系統(tǒng)運(yùn)維管理