江湖秘笈：二级等保之应用安全篇访问控制很关键 不同身份用户需要控制不同程度的操作权限

关注蓝字 看点网络安全

Hello，亲爱的看官们，今天是周日啦，不知各位看官玩的可好哦？在这个晴空万里的大周末，虽然天气热的有些突然，可是却是是个值得踏春的好日子。

要知道春季当中很多花草都以开始绽放美丽，很多树木也开始生出嫩芽。万物开始复苏，生命的孕育展现青春艳丽时刻。

作为忙碌到已经晕头转向的2 cats大侠，近期不断错误百出，有时候都不知道自己在做些什么了。不过这并不影响与各位看官们进行正常的技术交流和等保经验分享。

要知道安全工作刻不容缓，新生命孕育的同时，也伴随着邪恶思维的萌芽发展，所以精神时刻紧绷，切不可因一时的贪念导致重大事故出现。

网络安全等级保护系列（二十一）

今天，2 cats大侠我要与大家分享的等保内容为6.1.4 应用安全章节下的6.1.4.2 访问控制小节。

在本节内容中，看官们依旧可以看到很多主机安全、网络安全中见到的内容，只是方向和性质不再相同，请众位看官们切记注意，不要将这些极为容易混淆的内容看做同一章节内容。

1、访谈应用系统管理员，询问应用视同是否提供访问控制措施，以及具体措施的访问控制策略有哪些，访问控制的粒度如何；

从该规范内容中，看官们可以简单了解到安全审计人员要做的开篇工作，主要是通过与应用管理员之间的访谈工作，来确认应用系统中对于用户访问的控制措施以及相关控制限制策略等内容。

作为重点部分，访问控制的粒度将决定着对用户限制的严格程度。

2、应检查关键应用系统，查看系统是否提供访问控制机制；是否依据安全策略控制用户对客体的访问；

作为对访问控制的验证性内容，除了基础应用系统需要进行访问控制的限制与安全策略的设计外，关键性核心应用也同样需要进行安全保护。

例如后台操作系统，后台工作人员访问等内容，如果没有严格限制和控制，很可能会被非法人员采用身份窃取的方式获得基础用户，再通过改变身份权限性操作达到管理员所拥有的权限后，对系统实施破坏行为。

3、检查关键应用系统，查看其访问控制的覆盖范围是否包括与信息安全直接相关的主体、课题及它们之间的操作；询问控制的粒度是否达到主体为用户级，客体为文件、数据库表级；

本条内容作为小节中第一个全重点性内容，将明确考核对管理员在关键应用方面的安全策略内容，其主要方向为关键应用系统中访问控制的程度是否达到主客体区分级别程度。

主体方面要限制到对用户级别的的程度，这里针对的是用户最小身份权限、用户可操作应用系统范围、验证及安全保护等。

客体方面则表现为应用中文件的保护、数据库表单防窃。

4、检查关键应用系统，查看是否有由授权用户设置其它用户访问系统功能和用户数据的权限的功能，是否限制默认用户的访问权限。

该条内容虽然不是重点，但就像在第三条内容中说明的那样，用户访问作为主体中的限制，需要严格考核用户是否访问权限得到控制，是否为管理员设置的最小访问权限内容。

5、检查关键应用系统，查看系统是否授予不同账户为完成个子承担任务所需的最小权限，特权用户的权限是否分离，权限之间是否相互制约；

同样是本章节中重点内容，依旧是考核用户身份及相关权限内容。作为身份权限限制，这里明确说明了不同用户身份要拥有不同的权限级别和身份标识。如果是管理员用户将权限分割，如安全管理员、数据库管理员、运维管理员等都不能拥有一样的权限，这点与网络和主机安全中管理员权限分离要求一致。

6、测试关键应用系统，可通过以不同权限的用户登录系统，查看其拥有的权限是否与系统赋予的权限一致，验证应用系统访问控制功能是否有效；

既然身份权限的访谈工作结束了，那么剩下的工作就该是连接到应用主网中进行验证工作，既要确认管理员此前说明的策略内容是否真实，另一个是确认是否抽取出的样本用户是否真的进行权限分离，是否真如管理员所说那样拥有不同权限和操作限制。

7、测试关键应用系统，通过以默认用户登录系统，并进行一些合法和非法操作，验证系统是否严格限制了默认账户的访问权限。

作为本小节中的结尾内容，依旧是考核应用系统的用户安全配置策略等，不同的是本次测试将采用系统默认创建的用户形式来验证用户权限及身份验证工作。

当然，默认账户有可能是新注册用户，也有可能是原有系统测试账户，可对于身份权限的操作是否被严格限制等将有验证要求。

这里包含身份越权行操作测试，例如使用一个基础用户操作可能需要管理员身份才能使用的工作。

好啦，今天的等保内容分享到此结束，祝各位看官们周末愉快。

2cats 寄语

老规矩不变，

如果有任何问题依旧可以发给e品小顽童。

小顽童的邮箱是：

xiaowantong@epinjianghu.com。

也可以在微信公众号的下方留言，我们会及时整理反馈的。

期待各位的来信交流！

e品江湖

不失初心 不忘初衷

长按扫码 加关注！