ICS 35.020 V 07 MH 中华人民共和国民用航空行业标准 MH/T 0067—2018 民航Web应用系统安全检测指南 Security testing guide for Web app lication system of civil aviation 2018 - 12 - 14 发布 2019 - 04-01 实施 中国民用航空局 发布 MH/T 0067— 2018 I 前 言 本标准按照GB/T 1.1-2009给出的规则起草。 本标准由中国民用航空局人事科教司提出。 本标准由中国民航科学技术研究院归口。 本标准起草单位：中国民航大学。 本标准主要起草人：马勇、顾兆军、刘春波、周景贤、王双、张礼哲、钟友兵。 MHMH/T 0067— 2018 1 民航 Web 应用系统安全检测指南 1 范围 本标准规定了针对民航Web应用系统检测的基本原则、工作方式。 本标准适用于指导对Web应用系统进行安全检测。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件， 仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 28448 信息安全技术 信息系统安全等级保护测评要求 GB/T 22239 信息安全技术 信息系统安全等级保护基本要求 GB/T 20984 信息安全技术 信息安全风险评估规范 GB/T 31509 信息安全技术 信息安全风险评估实施指南 GB/T 25058 信息安全技术 信息系统安全等级保护实施指南术语和定义 3 术语和定义 下列术语和定义适用于本文件。 3.1 软件容错 software fault-tolerance 软件在一定程度上能从错误状态自动恢复到正常状态的功能。 4 民航 Web应用系统安全检测基本原则和方式 4.1 检测的基本原则 4.1.1 标准性原则 民航Web应用系统安全检测应符合GB/T 31509 和GB/T 25058中的检测流程的相关要求。 4.1.2 可控性原则 在安全检测项目实施过程中， 应严格按照标准的项目管理方法对服务过程、 人员和工具等进行控制， 以保证检测实施过程的可控和安全，具体措施如下： a) 人员与信息可控性：参与检测的人员应该签署保密协议，以保证检测项目信息的安全；对测试 过程中产生的数据应严格管理，防止数据泄露； MHMH/T 0067 —2018 2 b) 过程可控性：应按照项目管理要求，成立项目实施团队，项目组长负责制，以便使项目过程可 控；进行安全测试前，测试人员应与被测试方进行充分的沟通，并且在测试前告知被测试方测试时间和测试策略； c) 工具可控性： 检测过程中应使用经过国家或民航部门检测认可的相关工具。 4.1.3 最小影响原则 对于正在运行的民航Web应用系统，测试前应与被测试方确定合适的测试时间窗口，避开业务高峰 期，同时做好业务系统的应急预案。 4.2 检测的工作方式 4.2.1 人工访谈 专业的信息安全人员与Web应用系统管理、运维和使用人员进行沟通、交流，全面地掌握Web应用系 统的业务流程、 数据流程、 网络架构、 主机系统、 运维情况、 管理机构以及管理制度等各个方面的信息， 对Web应用系统的安全现状进行全面的了解。 4.2.2 人工检查 利用专业人员的技术和经验对民航Web应用系统进行安全测试。 4.2.3 工具测试 采用自动化Web扫描工具对检测目标进行安全测试，可以充分了解Web系统当前的安全现状、具有的 脆弱性、面临的潜在威胁、可能的影响和风险等信息。 4.2.4 渗透测试 模拟黑客的攻击手段对民航Web应用系统进行安全测试。 5 民航 Web应用系统安全检测阶段性工作 5.1 检测流程 民航Web应用系统安全检测应分为四个阶段： ——检测准备阶段； ——检测方案编制阶段； ——检测具体实施阶段； ——检测报告编写阶段。 5.2 检测准备阶段 5.2.1 检测准备阶段工作 检测准备阶段的主要任务是确定检测的目标、范围，成立检测团队以及掌握被检测的民航Web应用 系统的相关信息。 5.2.2 确定检测目的 MH/T 0067— 2018 3 对民航Web应用系统检测的目标是了解Web应用系统存在的安全风险， 并对发现的安全风险提出相应 的安全加固建议。 5.2.3 确定检测范围 对民航Web应用系统进行检测，应掌握系统运行的业务特点，并根据其特点确定其业务逻辑边界。 5.2.4 组建检测团队 应针对检测项目组建检测团队，由检测方和被检测方共同组成项目组，并明确项目组成员的职责。 5.2.5 系统调研 应对要检测的民航Web应用系统进行调研，掌握被检测目标采用的编写语言、中间件、调用的第三 方库文件等信息。 5.2.6 确定检测依据 检测依据为： a) GB/T 28448 b) GB/T 20984 5.2.7 确定检测工具原则 检测工具的选择和使用应遵循以下原则： a) 检测工具应尽可能具备比较全面的漏洞检测能力； b) 检测工具使用的检测策略和检测方式不应对 Web 应用系统造成不正常的影响； c) 应尽可能对工具检测的结果进行人工验证，尽可能少的出现误报现象； d) 检测工具的选择和使用应符合国家有关规定。 5.3 检测方案编制阶段 应根据检测准备阶段获取的信息，制订检测方案。主要内容包括： a) 检测的目标、评估范围和评估依据； b) 检测团队成员及职责； c) 检测工作计划：项目实施进度安排以及各阶段的工作内容、形式和工作成果； d) 风险规避措施：包括保密协议、评估工作环境要求、评估方法、工具选择以及应急预案等； e) 项目验收方式：包括验收方式、依据和结论定义。 5.4 检测具体实施阶段 5.4.1 通则 检测具体实施阶段的任务是按照检测方案对被检测目标，应按照附录A中的内容进行检测，并详细 记录检测过程数据。 5.4.2 检测实施 5.4.2.1 身份鉴别 5.4.2.1.1 应访谈 Web应用系统管理员，询问 Web 应用系统是否采取身份标识和鉴别措施，具体措施 的内容；以及防止身份鉴别信息被冒用的措施种类。 MHMH/T 0067 —2018 4 5.4.2.1.2 应访谈 Web应用系统管理员，询问 Web 应用系统是否具有登录失败处理功能。 5.4.2.1.3 应检查设计或验收文档，查看其是否有系统采用了保证唯一标识的措施的描述。 5.4.2.1.4 应检查操作规程和操作记录，查看其是否有添加、删除用户和修改用户权限的操作规程、 操作记录和审批记录。 5.4.2.1.5 应检查主要 Web 应用系统，查看其是否采用了两个及两个以上身份鉴别技术的组合来进行 身份鉴别。 5.4.2.1.6 应检查主要 Web 应用系统，查看其是否提供身份标识和鉴别功能；查看其身份鉴别信息是 否具有不易被冒用的特点；其鉴别信息复杂度检查功能是否能保证系统中不存在弱口令等。 5.4.2.1.7 应检查主要 Web 应用系统，查看其提供的登录失败处理功能，是否根据安全策略配置了相 关参数。 5.4.2.1.8 应测试主要 Web 应用系统，可通过试图以合法和非法用户分别登录系统，查看是否成功， 验证其身份标识和鉴别功能是否有效。 5.4.2.1.9 应测试主要 Web 应用系统，验证其登录失败处理功能是否有效。 5.4.2.1.10 应渗透测试主要 Web 应用系统， 验证 Web 应用系统身份标识和鉴别功能是否不存在明显的 弱点。 5.4.2.2 访问控制 5.4.2.2.1 应访谈 Web应用系统管理员，询问 Web 应用系统是否提供访问控制措施，以及具体措施和 访问控制策略，访问控制的粒度。 5.4.2.2.2 应检查主要 Web 应用系统，查看系统是否提供访问控制机制；是否依据安全策略控制用户 对客体的访问。 5.4.2.2.3 应检查主要 Web 应用系统，查看其访问控制的覆盖范围是否包括与信息安全直接相关的主 体、客体及它们之间的操作；访问控制的粒度是否达到主体为用户级，客体为文件、数据库表级。 5.4.2.2.4 应检查主要 Web 应用系统，查看其是否有由授权用户设置其它用户访问系统功能和用户数 据的权限的功能，是否限制默认用户的访问权限。 5.4.2.2.5 应检查主要 Web 应用系统，查看系统是否授予不同帐户为完成各自承担任务所需的最小权 限，特权用户的权限是否分离，权限之间是否相互制约。 5.4.2.2.6 应检查主要 Web 应用系统，查看是否依据安全策略严格控制用户对限制类型资源的操作。 5.4.2.2.7 应测试主要 Web 应用系统，可通过以不同权限的用户登录系统，查看其拥有的权限是否与 系统赋予的权限一致，验证 Web 应用系统访问控制功能是否有效。 5.4.2.2.8 应测试主要 Web 应用系统，可通过默认用户登录系统，并进行一些合法和非法操作，用来 验证系统是否严格限制了默认账户的访问权限。 5.4.2.2.9 应渗透测试主要 Web 应用系统，验证 Web 应用系统的访问控制功能是否有效。 5.4.2.3 安全审计 5.4.2.3.1 应访谈安全审计员，询问 Web 应用系统是否有安全审计功能，对事件进行审计的策略，以 及审计日志的保护措施