一、前言

應用系統是我們在日常生活中經常會使用到的，我們購買火車票經常使用的12306系統；到醫院看病前需要先掛號，醫院都有掛號系統；在公司與同事交流傳送檔案，都會使用公司專門的OA系統等等，其實我們手機上安裝的各種APP都是應用系統的一種，應用系統方便了我們的生活、工作和學習，使我們身邊的事變得高效，越來越多的人已經離不開各種應用系統的幫助，也正因為如此，人們對應用系統安全方面的問題也越來越重視，今天我們來講一講應用系統測評中關於入侵防範方面的要求。

應用程式

二、測評項

和之前我們講到的作業系統裡邊關於身份鑑別的要求一樣，應用系統對於身份鑑別方面的要求也是一樣的，我們還是按照慣例列出各項測評項。

a)應遵循最小安裝的原則，僅安裝需要的元件和應用程式；

b)應關閉不需要的系統服務、預設共享和高危埠；

c)應透過設定終端接入方式或網路地址範圍對透過網路進行管理的管理終端進行限制；

d)應提供資料有效性檢驗功能，保證透過人機介面輸入或透過通訊介面輸入的內容符合系統設定要求；

e)應能發現可能存在的已知漏洞，並在經過充分測試評估後，及時修補漏洞；

f)應能夠檢測到對重要節點進行入侵的行為，並在發生嚴重入侵事件時提供報警。

三、測評項a

a)應遵循最小安裝的原則，僅安裝需要的元件和應用程式；

這一項對於應用系統來說是不適用的，因為應用系統是安裝在作業系統之上的，應用系統在開發的過程中就必須考慮到所有的作業系統的要求，儘量做到相容所有作業系統，這與最小安裝原則是背道而馳的，沒有相容性的應用程式是沒有多少市場的。

相容性

四、測評項b

b)應關閉不需要的系統服務、預設共享和高危埠；

這一項與上邊一項一樣也是不適用，應用程式是使用作業系統相關係統服務、共享服務和埠的，對於自身的執行這些都是必要的。

必須的

五、測評項c

c)應透過設定終端接入方式或網路地址範圍對透過網路進行管理的管理終端進行限制；

這一項同樣不適用，應用系統是部署在終端上的，做限制也是對於主機終端來說的。

終端裝置

六、測評項d

d)應提供資料有效性檢驗功能，保證透過人機介面輸入或透過通訊介面輸入的內容符合系統設定要求；

大多數應用系統都會有與使用者互動的需求，例如一些查詢、登入、上傳和下載等功能，這些功能在實現的過程中如果沒有做好限制，就會讓應用系統存在許多漏洞，比如：跨站指令碼漏洞、SQL注入漏洞、任意檔案上傳漏洞和任意檔案下載漏洞等，另外在登入介面如果不加以限制，會給非法使用者暴力破解應用系統登入密碼的機會，甚至透過萬能密碼直接登入。

造成漏洞

七、測評項e

e)應能發現可能存在的已知漏洞，並在經過充分測試評估後，及時修補漏洞；

應用系統在正式投入使用之前，一定要做好漏洞掃描和滲透測試，經過測試合格以後，才可以正式推廣使用，再投入使用之後，也要定期給系統做升級並再次做滲透，對於發現的漏洞要及時修補，我們測評人員要檢視應用系統的滲透測試報告，如果報告中提到有漏洞，還要看漏洞是否已經得到了修補，以上有一點不符合，這一項都是不符合的，如果發現高危風險漏洞，這一項是可以判定為高風險項的，具體要求可以檢視我之前的文章。

漏洞修補

八、測評項f

f)應能夠檢測到對重要節點進行入侵的行為，並在發生嚴重入侵事件時提供報警。

這一項對於應用系統也是不適用的，同樣應用系統只是安裝在主機作業系統上的一個應用程式，是為解決特定需求的，我們不能要求它給我們做的太多，這個要交給主機來做。

警報