应用系统安全检查流程

应用系统检查流程目录应用系统检查流程....................................错误!未定义书签。目录................................................错误!未定义书签。1.应用系统编号规则................................错误!未定义书签。2.基本信息........................................错误!未定义书签。3.帐户策略........................................错误!未定义书签。.密码策略（01001）..........................错误!未定义书签。.帐户锁定策略（01002）......................错误!未定义书签。4.审核策略........................................错误!未定义书签。.审核策略（02001）..........................错误!未定义书签。.日志策略（02002）..........................错误!未定义书签。5.备份恢复策略（03001）...........................错误!未定义书签。6.访问控制策略（04001）...........................错误!未定义书签。7.权限控制策略（05001）...........................错误!未定义书签。8.安全增强性（06001）.............................错误!未定义书签。9.安全管理........................................错误!未定义书签。10.第三方插件安装情况............................错误!未定义书签。11.检查编号索引..................................错误!未定义书签。1.应用系统编号规则编号规则：应用类型_公司名称_部门名称_数字编号。应用类型：应用系统的简写，如OA。公司名称：使用此系统的公司简称，如BJCA（北京市数字证书认证中心）。部门名称：部门简称，如CWB（财务部）；如果整个公司都使用此系统，为ALL。数字编号：顺序号，第一个是001，第二个是002，依次类推。例：OA_BJCA_ALL_001：表示北京市数字证书认证中心的第一个OA系统，此系统被整个公司内部使用。2.基本信息应用系统信息表应用系统名称应用系统编号应用系统描述此处简要描述应用系统实现的功能及实现方式等信息所属业务类别依存的主机此处填写主机的编号涉及的数据资产没有可不填应用系统的重要性简要描述系统的重要性但不需要赋值其他信息3.帐户策略3.1.密码策略（01001）编号：AppCheck-01001名称：密码策略检查说明：获得应用系统的密码策略检查内容：1、密码最长使用期限和密码最短使用期限。2、最短密码长度和复杂性要求。3、密码产生的方式和传递。检查结果备注：3.2.帐户锁定策略（01002）编号：AppCheck-01002名称：帐户锁定策略检查说明：获得应用系统的帐户锁定策略检查内容：1、帐户锁定时间2、帐户锁定阈值3、复位帐户锁定的方法检查结果备注：4.审核策略3.3.审核策略（02001）编号：AppCheck-02001名称：审核策略检查说明：获取应用系统的审核策略检查内容：1、审核帐户登录事件2、审核帐户管理3、审核服务访问4、审核对象访问5、审核策略更改6、审核特权使用7、审核过程跟踪8、审核系统事件检查结果备注：3.4.日志策略（02002）编号：AppCheck-02002名称：日志策略检查说明：获取应用系统的日志策略检查内容：1、日志类型分类存储。2、各种类型日志最大值限制。3、日志的访问限制。4、日志保留天数及保留方法。5、日志覆盖策略。6、日志已满时停止应用系统运行。（考虑其可用性）检查结果备注：5.备份恢复策略（03001）编号：AppCheck-03001名称：备份恢复策略检查说明：备份恢复策略检查检查内容：1、定期备份功能。2、针对不同数据对象的备份恢复功能。3、远程备份恢复功能。检查结果备注：6.访问控制策略（04001）编号：AppCheck-04001名称：访问控制策略说明：应用系统访问控制策略检查检查内容：1、支持多种凭证类型登录用户，如用户名口令或者数字证书。2、支持根据登录用户凭证类型进行的访问控制。检查结果备注：7.权限控制策略（05001）编号：AppCheck-05001名称：权限控制策略说明：应用系统内部对象控制策略检查检查内容：1、支持多种权限控制类型，如阅读、增添、删除、修改。2、支持对应用系统内部对象或者数据流的权限控制。3、列出应用系统可采用的权限控制模型，如：角色控制模型、组控制模型）检查结果备注：8.安全增强性（06001）编号：AppCheck-06001名称：安全增强功能说明：其他若干安全选项，包括应用系统特有的安全性考虑。检查内容：1、登录页面上不显示上次登录成功的用户名。2、限时自动注销用户的功能。3、客户端与服务器端的通信进行加密签名。4、在密码到期前提示用户更改密码。5、无法记录审核事件立即关闭系统。6、其他检查结果备注：9.安全管理编号：AppCheck-07001名称：安全管理检查说明：对应用系统得安全管理策略进行检查检查内容：1、有无指定应用系统管理人员2、管理人员有无操作日志（如日志、改变记录、升级安装过程等）3、有无相应的应急恢复管理制度检查结果备注：10.第三方插件安装情况插件名称版本号用途注：由于插件安装可能无法检测，建议使用询问管理员的方式进行填写11.检查编号索引编号名称AppCheck-01001检查密码策略AppCheck-01002检查帐户锁定策略AppCheck-02001检查审核策略AppCheck-02002检查日志策略AppCheck-03001备份恢复策略AppCheck-04001访问控制策略AppCheck-05001权限控制策略AppCheck-06001安全选项