江湖秘笈：二级等保之应用安全篇身份鉴别 简单的身份鉴别验证关联着不简单的多方面危害

关注蓝字 看点网络安全

Hello，亲爱的看官们，今天又到了令人激动且崩溃的日子啦。为何这样说呢？

因为今天是周五，明天就是周末，各位看官们可以好好的休息睡觉，崩溃呢是因为今天地铁上很多，异常的多，道路车辆同样多，多到已经拥堵的无法前进了。

算了，啥也不想说了，还是赶快进入今天的例行内容，等保那些事吧。

网络安全等级保护系列（二十）

今天我们要说的等保内容是新一个章节的话题，6.1.4应用安全。

继上一章6.1.3章节主机安全之后，终于来到了软件及应用方面的内容了。虽说在本章节内容中，众位看官们可以看到很多重复性描述，可具体细节上还是存在差异的，请各位看官们一定注意。

6.1.4.1 身份鉴别

作为应用安全的第一个测评内容，身份鉴别成为第一个上阵接受考验的内容项目。在本节中共有八个项目要接受考核，同时个别内容项是重点与常规共同存在的内容，因此需要注意了解。

1、访谈应用系统管理员，询问应用系统是否提供专用的登录控制模块对登录的用户进行身份标识与鉴别，具体措施有哪些；系统采取何种措施防止身份鉴别信息被毛用。

从这条内容中，看官们看到了熟悉的内容，对于应用系统中用户登录及控制莫管的管理、使用、监督、鉴别、标注等信息再次出现。与主机安全章节中身份鉴别内容所不同的是，主机安全中的身份为独立管理员身份，如系统管理员、运维管理员或安全管理员。

而应用安全中的身份鉴别更多的是偏重于针对使用应用的用户为主，管理员为辅，从使用角度方面发生了本质区别。

对于使用用户的身份鉴别与标识方面，可采用手机验证码登录、唯一账号密码身份绑定、认证身份标识、设备标识等多种方式进行确认和鉴别。对于可能涉及非法用户出现的登录区域，可以通过对用户权限、身份、登录方式等进行强制化要求进行限制，从而防止账户被窃。

例如某些单位采用唯一会员制机制，在用户登录时需要通过管理员、手机短信、身份标识、设备标识等确认后才能最终登录成功，若有任何一项未能满足要求都被视为登录失败。

这类登录保护就属于安全保护级别比较高的登录方式，只是登录操作时有些麻烦，故并不建议看官们全部采用。

2、访谈应用系统管理员，询问应用系统是否具有登录失败处理功能。

本条内容就是比较常规的内容了，主要是对登录页面进行登录失败的处理以及规则。例如登录次数的限制，登录失败后是否重新返回到登录界面跳转等。目的是为了防止暴力猜解用户名和密码或是跨站点登录转入等攻击行为出现。

3、访谈应用系统管理员，询问应用系统对用户标识是否具有唯一性。

本条内容是本小节中第一个出现的全重点性内容，主要针对的是应用系统中使用用户的身份是否具有唯一性，例如张三、李四、王五均为无重名、重附属属性等。这里的属性包含用户名、密码等内容，为何要这样要求呢？这是因为不同的用户如果出现用户名、密码等重复，就会存在登录冲突或是系统无法识别等问题，从而造成数据库错乱和无法正确执行相关后续操作。

4、检查设计或验收文档，查看其是否有系统采用保证唯一标识的措施的描述。

与第三条要求成为相互验证性内容，主要是查看开发需求文档以及开发描述文档中是否写明对用户唯一身份标识和验证功能。别看只是查看文字描述性内容，但可以很轻松的了解到被评测单位对系统建设是否真的认真。

5、检查关键应用系统，查看其是否提供身份标识和鉴别功能；查看其身份鉴别信息是否具有不易被冒用的特点；其鉴别信息复杂度检查功能是否能保障系统中不存在弱口令等。

本段内容同样是对应用系统中用户身份进行鉴别核查，不过方式从基础的访谈到系统建设内容查看，最后进入到重头戏应用系统验证过程。

通过对应用系统的尝试，来了解应用系统是否真的具备用户唯一标识身份验证，是否具备复杂信息鉴别能力，是否能够发现用户登录口令弱等性质。要知道这些考核要求非常重要，它们关乎着系统是否真的能够保证使用用户和应用系统的运维安全。

6、检查关键应用系统，查看其提供的登录失败处理功能，是否依据安全策略配置了相关参数。

本条内容并不是太苛刻的内容考核，只是对安全配置策略类内容进行了解和比对，知晓对登录失败功能的处理特点是否符合标准。

7、测试关键应用系统，可通过试图以合法和非法用户分别登录系统，查看是否成功，验证其身份标识和鉴别功能是否有效。

好啦，上面说了一大堆看似重点看似非重点的内容后，终于到了重头戏啦，真正的安全审计来啦。运维和安全看官们是否做好心理准备，审计人员要动用安全测试技巧来确认此前一切访谈内容是否真实存在，是否真的做到弱密识别、身份唯一标识、登录失败处理等特点啦。

8、测试关键应用系统，验证其登录失败处理功能是否有效。

直接干脆，在验证过一番常规用户登录方面的安全后，开始对暴力猜解攻击的防护验证。

虽说暴力猜解攻击作为很常见的攻击手段，但它在实现攻击的同时可能会引发很多其它方面的危害出现，例如资源被占用、数据连接被拥挤等，不单是简单的破解登录，更多的是对应用系统与网络的大资源占用伤害，故此进行重点标记。

好啦，今天分享就到这里，内容有些多，不过非常重要，看官们还是要认真学习哦。

2cats 寄语

老规矩不变，

如果有任何问题依旧可以发给e品小顽童。

小顽童的邮箱是：

xiaowantong@epinjianghu.com。

也可以在微信公众号的下方留言，我们会及时整理反馈的。

期待各位的来信交流！

e品江湖

不失初心 不忘初衷

长按扫码 加关注！