應用系統
控制點
7.個人資訊保護
為了加強對個人資訊的保護,《基本要求》對個人資訊的採集、儲存和使用提出了強制保護要求。
a)
安全要求:應僅採集和儲存業務必需的使用者個人資訊。
要求解讀:此項的目的是保護個人資訊,不採集業務不需要的個人資料。
檢查方法
1.詢問系統管理員,了解應用系統採集了使用者的哪些個人資訊。
2.詢問系統管理員,了解應用系統採集的使用者個人資訊是否是業務應用所必需的。
期望結果
1.已記錄應用系統採集的使用者個人資訊。
2.已記錄應用系統的各個功能模組使用了哪些使用者個人資訊,說明了使用使用者個人資訊的必要性。
b)
安全要求:應禁止未授權訪問和非法使用使用者個人資訊。
要求解讀:應用系統應採取措施,禁止未授權的訪問和非法使用個人資訊,從而保護個人資訊。
檢查方法
1.詢問系統管理員,了解哪些系統賬戶可以訪問個人資訊,以及應用系統採取了什麼措施來控制可訪問個人資訊的系統賬戶對個人資訊的訪問。
2.核查相關措施是否有效限制了相關賬戶對個人資訊的訪問和使用。
期望結果
1.應用系統已採取措施,控制系統賬戶對個人資訊的訪問,例如許可權控制等。
2.未經授權,不能訪問和使用使用者的個人資訊。
安全計算環境 (六)應用系統 1
應用系統 在對應用系統進行測評時,一般先對系統管理員進行訪談,了解應用系統的狀況,然後對應用系統和文件等進行檢查,檢視其內容是否和管理員訪談的結果一致,最後對主要的應用系統進行抽查和測試,驗證系統提供的功能,並可配合滲透測試檢查系統提供的安全功能是否被旁路。控制點 1.身份鑑別 應用系統需對登入的使...
安全計算環境 (六)應用系統 4
應用系統 控制點 4.入侵防範 在 基本要求 中,基於應用系統的入侵防範主要體現在資料有效性驗證和軟體自身漏洞發現兩個方面。a 安全要求 應遵循最小安裝的原則,僅安裝需要的元件和應用程式。要求解讀 應用系統應遵循最小安裝的原則,即 不需要的功能模組不安裝 例如不安裝仍在開發或未經安全測試的功能模組。...
安全計算環境 (六)應用系統 6
應用系統 控制點 6.剩餘資訊保護 a 安全要求 應保證鑑別資訊所在的儲存空間被釋放或重新分配前得到完全清除。要求解讀 應用系統將使用者鑑別資訊所在儲存空間 例如硬碟或記憶體 的內容完全清除後才能分配給其他使用者。例如,某應用系統將使用者的鑑別資訊放在記憶體中處理,處理後沒有及時將其清除,這樣,其他...