IIS应用安全测评指导书

信息安全等级保护测评指导书

IIS 应用安全测评

杭州辰龙检测技术有限公司

2013.12

保密申明

本安全方案包含了来自辰龙可靠、权威的信息，此信息仅供信息安全等级保护测评项目使用，接受本指导书即表示同意对其内容保密，并且未经向杭州辰龙书面请求和书面认可，不得向外界复制，泄露或散布此方案。如果你不是有意接受者，请注意对本方案内容的任何形式的泄露、复制或散布都是被禁止的。

序号	测评指标	测评项	检测方法	预期结果
1	身份鉴别	身份标识和鉴别	手工检查 IIS 本身提供了身份验证机制，在站点属性-目录安全性（分为匿名访问和验证，验证分为基本验证和与系统集成验证方法）。根据客户需求，若无匿名访问情况则取消匿名访问。	根据站点验证的需求，选用了合适的验证方式；匿名访问应使用较低权限的 windows 账号。
2	访问控制	覆盖范围：主体、客体、操作	手工检查应保证只有系统管理员可以对网站文件进行读写操作，查看网站目录的权限。	网站目录的访问权限，应被严格设定。
		粒度:主体为用户级客体为文件、数据库表级	手工检查查看文件系统是否使用 NTFS，以便进行更细致的安全控制。	网站的主机应启用 NTFS 文件系统。
		最小授权原则，且相互制约	手工检查 IIS 应该以非管理员的账号运行，并授予该账号最小权限。	IIS 应以非管理员正好运行。
3	安全审计	覆盖范围：每一个用户	手工检查检查“网站”-“启用日志记录”确认日志功能打开。	日志功能应开启。
		安全事件记录：日期和时间、类型、主体标识、客体标识、事件的结果等	手工检查 1.查看网站日志文件的内容，确认是否包含措施要求的内容。 2.“网站”-“启用日志记氧空位录”-“属性”-“高级”查看日志记录的字段。	日志记录包含测评要求的字段。
		审计报表	访谈询问系统管理员，IIS 的日志是否定期进行专门的分析和审计，如果有，查看报表的内容。	管理员定期查看 IIS 的日志，并有检多媒体光盘制作查报告。
		特定事件，实时报警	访谈访谈系统管理员，目前是否对特定事件指定实时报警方式（如声音、 EMAIL、短信等），并查看对应措施。	应具有实时监控和报警手段，且可以演示。
		审计记录保护	访谈询问系统管理员，IIS 的日志是否定期进行备份，以防止日志被覆盖、修改或删除等。	IIS 的日志应定期备份，以备以后的日志查询。

4	通信保密性	整个报文、会话过程加密	手工检查对于有保密要求的系统，在浏览器地址栏输入服务器 ip 来确认是否启用了 ssl 加密功能。	根据需要，决定是否开启 ssl 功能。
4	通信保密性	社会公德论文密码算法合规	访谈询问系统管理员目前 IIS 使用的是哪种加密强度的算法，应抛弃使用 SSL v2 和加密强度较低的算法。	应使用高强度的加密算法。
5	软件容错	状态监测能力重庆之窗	访谈：访谈系统管理员，是否对系统错误页面进行了自定义；手工检查：执行命令 #grep ErrorDocument /usr/local/apache/h焦化行业准入条件ttpd.conf 确认是否有自定义错误页面的配置。	存在自定义错误页面配置。
6	资源控制	最大并发会话连接数	手工检查傅里叶红外光谱仪:查看/usr/local/apache/conf/httpd.conf 文件中 MaxKeepAliveRequests、MaxClients 的配置，查看是否进行了访问限制。	实现最大并发会话数限制。
		一个时间段内可能的并发会话连接数	访谈：询问系统管理员，是否采用防火墙等设备对一个时间段内可能的并发会话数进行限制。	存在配置。
		操作超时锁定和鉴别失败锁定，解锁或终止方式	手工检查:查看/usr/local/apache/f 文件中 KeepAliveTimeout 的配置，查看是否进行了访问超时限制。	进行访问超时设置。
		资源限额	手工检查：查看/usr/local/apache/f 文件中 MaxRequestsPerChild 的配置，查看是否进行了访问限制。	存在对 apache 使用系统资源的限制。
		多种方式限制终端登录	访谈：询问系统管理员，是否对网站资源按照用户身份、IP 地址、时间段等进行了相关限制，如果有，查看相关措施；手工检查:查看/usr/local/apache/f 文件中 <Directory></Directory>部分的配置，查看是否进行了访问限制, 如禁止目录浏览。	禁止通过 web 客户端对敏感信息进行访问。
7 7	备份和恢复	本地数据备份、恢复	访谈询问系统管理员，配置文件和网站文件是否有备份策略，查看备份文件。	应对配置文件和网站文件进行定期备份，并检查备份文件的有效性。

本文发布于:2024-09-21 17:39:33，感谢您对本站的认可！

本文链接：https://www.17tex.com/xueshu/569566.html

上一篇：关于WIN7下IIS配置

下一篇：DW建站之IIS配置解析

标签：是否进行限制查看测评

留言与评论（共有 0 条评论）