序号 | 测评指标 | 测评项 | 检测方法 | 预期结果 |
1 | 身份鉴别 | 身份标识和鉴别 | 手工检查 IIS 本身提供了身份验证机制,在站点属性-目录安全性(分为匿名访 问和验证,验证分为基本验证和与系统集成验证方法)。根据客户需 求,若无匿名访问情况则取消匿名访问。 | 根据站点验证的 需求,选用了合适的 验证方式;匿名访问 应使用较低权限的 windows 账号。 |
2 | 访问控制 | 覆盖范围:主体、客体、操作 | 网站目录的访问 权限,应被严格设 定。 | |
粒度:主体为用户级客体为文件、 数据库表级 | 手工检查 查看文件系统是否使用 NTFS,以便进行更细致的安全控制。 | 网站的主机应启 用 NTFS 文件系统。 | ||
最小授权原则,且相互制约 | 手工检查 IIS 应该以非管理员的账号运行,并授予该账号最小权限。 | IIS 应以非管理员 正好运行。 | ||
3 | 安全审计 | 覆盖范围:每一个用户 | 手工检查 检查“网站”-“启用日志记录”确认日志功能打开。 | 日志功能应开启。 |
安全事件记录:日期和时间、类 型、主体标识、客体标识、事件 的结果等 | 手工检查 1.查看网站日志文件的内容,确认是否包含措施要求的内容。 2.“网站”-“启用日志记氧空位录”-“属性”-“高级”查看日志记录的 字段。 | 日志记录包含测 评要求的字段。 | ||
审计报表 | 访谈 | 管理员定期查看 IIS 的日志,并有检多媒体光盘制作 查报告。 | ||
特定事件,实时报警 | 访谈 访谈系统管理员,目前是否对特定事件指定实时报警方式(如声音、 EMAIL、短信等),并查看对应措施。 | 应具有实时监控 和报警手段,且可以 演示。 | ||
审计记录保护 | 访谈 询问系统管理员,IIS 的日志是否定期进行备份,以防止日志被覆盖、 修改或删除等。 | IIS 的日志应定期 备份,以备以后的日 志查询。 | ||
4 | 通信保密性 | 整个报文、会话过程加密 | 手工检查 对于有保密要求的系统,在浏览器地址栏输入 服务器 ip 来 确认是否启用了 ssl 加密功能。 | 根据需要,决定是 否开启 ssl 功能。 |
社会公德论文 密码算法合规 | 访谈 询问系统管理员目前 IIS 使用的是哪种加密强度的算法,应抛弃使用 SSL v2 和加密强度较低的算法。 | 应使用高强度的 加密算法。 | ||
5 | 软件容错 | 状态监测能力 重庆之窗 | 访谈:访谈系统管理员,是否对系统错误页面进行了自定义;手工 检查:执行命令 #grep ErrorDocument /usr/local/apache/h焦化行业准入条件ttpd.conf 确认是否有自定义错误页面的配置。 | 存在自定义错误页 面配置。 |
6 | 资源控制 | 最大并发会话连接数 | 手工检查傅里叶红外光谱仪:查看/usr/local/apache/conf/httpd.conf 文件中 MaxKeepAliveRequests、MaxClients 的配置,查看是否进行了访问 限制。 | 实现最大并发会话 数限制。 |
一个时间段内可能的并发会话连 接数 | 访谈:询问系统管理员,是否采用防火墙等设备对一个时间段内可 能的并发会话数进行限制。 | 存在配置。 | ||
操作超时锁定和鉴别失败锁定,解 锁或终止方式 | 手工检查:查看/usr/local/apache/f 文件中 KeepAliveTimeout 的配置,查看是否进行了访问超时限制。 | 进行访问超时设置。 | ||
资源限额 | 手工检查:查看/usr/local/apache/f 文件中 MaxRequestsPerChild 的配置,查看是否进行了访问限制。 | 存在对 apache 使用 系统资源的限制。 | ||
多种方式限制终端登录 | 访谈:询问系统管理员,是否对网站资源按照用户身份、IP 地址、 时间段等进行了相关限制,如果有,查看相关措施; 手工检查:查看/usr/local/apache/f 文件中 <Directory></Directory>部分的配置,查看是否进行了访问限制, 如禁止目录浏览。 | 禁止通过 web 客户端 对敏感信息进行访 问。 | ||
7 7 | 备份和恢复 | 本地数据备份、恢复 | 访谈 询问系统管理员,配置文件和网站文件是否有备份策略,查看备份文 件。 | 应对配置文件和 网站文件进行定期 备份,并检查备份文 件的有效性。 |
本文发布于:2024-09-21 17:39:33,感谢您对本站的认可!
本文链接:https://www.17tex.com/xueshu/569566.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
留言与评论(共有 0 条评论) |