網(wǎng)站建設安全大全

時間: 2016-11-15 分享新聞到

網(wǎng)站建設安全大全
1.http://www.jayandthedevil.com門戶網(wǎng)站制作應用數(shù)據(jù)庫服務器
安全控制點測評指標問題列表整改建議備注
身份鑒別（S2） a) 應對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別；操作系統(tǒng)采用默認賬戶不得使用默認用戶和默認口令。通過加固完成
b) 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換； 1、操作系統(tǒng)口令策略配置如下：
密碼必須符合復雜性要求->禁用
密碼長度小值->0
密碼長使用期限->0天
密碼短使用期限->0天
強制密碼歷史->0次
2、未配置HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Policies\Network\HideSharePwds值密碼必須符合復雜性要求->啟用
密碼長度小值->8
密碼長使用期限->180天
密碼短使用期限->1天
強制密碼歷史->5次
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Policies\Network\HideSharePwds的DWORD值為1 通過加固完成
c) 應啟用登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和自動退出等措施； 1、操作系統(tǒng)登錄失敗處理策略配置如下：
復位帳戶鎖定計數(shù)器->不適用
帳戶鎖定時間->不適用
帳戶鎖定閥值->0次無效登錄賬戶鎖定策略為:
復位帳戶鎖定計數(shù)器->3分鐘
帳戶鎖定時間->5分鐘
帳戶鎖定閥值->10次無效登錄通過加固完成
訪問控制（G2） a) 應啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問；操作系統(tǒng)訪問控制安全策略如下：
1 、不存在多余的默認共享及其它文件共享如：C$、D$、E$、F$、H$、inage
2、操作系統(tǒng)未關閉不必要端口：123、137、138
3、未禁用服務：Computer Browser、Print Spooler 關閉多余的默認共享及其它文件共享。
關閉不必要的端口
137，138，139，123，1900
禁用多余服務：
Computer Browser、Print Spooler 通過加固完成
c) 廣州網(wǎng)站設計應限制默認賬戶的訪問權限，重命名系統(tǒng)默認賬戶，修改這些賬戶的默認口令；默認賬戶administrator帳戶未進行重命名對administrator帳戶進行重命名通過加固完成
安全審計（G2） b) 審計內(nèi)容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關事件；操作系統(tǒng)審計策略配置如下：
1) 審計帳戶登錄事件：無審核
2) 審計帳戶管理：無審核
3) 審計目錄服務訪問：無審核
4) 審計登錄事件：無審核
5) 審計對象訪問：無審核
6) 審計策略更改：無審核
7) 審計特權使用：無審核
8) 審計系統(tǒng)事件：無審核
9）審計過程追蹤：無審核
2、通過運維審計系統(tǒng)進行用戶操作審計和記錄。配置審計策略：
1) 審計帳戶登錄事件：成功，失敗
2) 審計帳戶管理：成功，失敗
3) 審計目錄服務訪問：成功，失敗
4) 審計登錄事件：成功，失敗
5) 審計對象訪問：成功，失敗
6) 審計策略更改：成功，失敗
7) 審計特權使用：成功，失敗
8) 審計系統(tǒng)事件：成功，失敗
9）審計過程追蹤：失敗通過加固完成
d）應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等。 1、操作系統(tǒng)采取對審計記錄存儲措施如下：
運維審計和日志記錄：
應用日志 16M、安全日志 16M、系統(tǒng)日志 7M。
2、日志保存小于2個月。部署統(tǒng)一日志服務器對服務器日志進行統(tǒng)一存儲管理；
應用日志容量 50M-1024M、安全日志容量 50M-1024M、系統(tǒng)日志容量 50M-1024M；
日志保存2個月以上。通過加固完成
惡意代碼防范（G2） a) 應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；惡意代碼庫更新（手動更新），未為版本。病毒庫需及時更新。通過加固完成
b) 應支持惡意代碼軟件的統(tǒng)一管理。操作系統(tǒng)未安裝防惡意代碼軟件。安裝網(wǎng)絡版/企業(yè)版（國產(chǎn)）防惡意代碼的殺毒軟件，并實現(xiàn)統(tǒng)一管理。通過采購防病毒系統(tǒng)實現(xiàn)
資源控制（A2） a) 應通過設定終端接入方式、網(wǎng)絡地址范圍等條件限制終端登錄；操作系統(tǒng)限制終端登錄策略配置如下：
1、未配置IP安全策略限制管理地址；
2、網(wǎng)絡安全設備未通過acl限制。 Windows Server 2000/2003 TCP/IP協(xié)議屬性啟用TCP/IP篩選”；
通過配置本地策略中的IP安全策略進行限制管理登錄地址；
網(wǎng)絡安全設備acl限制訪問本機的IP地址
通過IT運維審計系統(tǒng)統(tǒng)一集中管理。通過加固完成
b) 應根據(jù)安全策略設置登錄終端的操作超時鎖定；未啟用連接超時策略。設置“Microsoft 網(wǎng)絡服務器：在掛起會話之前所需的空閑時間”為15分鐘；
屏幕保護時間為10分鐘，勾選喚醒服務器密碼。通過加固完成
c) 應限制單個用戶對系統(tǒng)資源的或小使用限度； 1、操作系統(tǒng)未使用工具或系統(tǒng)限制單用戶對系統(tǒng)資源的或小使用限度；
2、操作系統(tǒng)未對用戶啟用磁盤配額限制。操作系統(tǒng)使用工具限制單用戶對系統(tǒng)資源的或小使用限度操作系統(tǒng)對用戶啟用磁盤配額限制。通過加固完成

應用安全問題
安全控制點測評指標問題列表整改建議備注
身份鑒別（S2） a) 應提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別；應用系統(tǒng)采用默認賬戶不得使用默認用戶通過加固完成
b) 應提供用戶身份標識和鑒別信息復雜度檢查功能，保證應用系統(tǒng)中不存在重復用戶身份標識，身份鑒別信息不易被冒用； 1、應用系統(tǒng)未使用標識，可存在重名的用戶；
2、應用系統(tǒng)未提供用戶口令復雜功能模塊，用戶名與口令相同，口令由純數(shù)字組成，容易被猜解
3、用戶口令未設置定期更改，如從來沒改過用戶的密碼
4、應用系統(tǒng)用戶口令明文存儲。 1、設置用戶標識，防止存在重名用戶存在；
2、提供用戶口令復雜檢測功能，規(guī)定用戶口令由數(shù)字、大小寫字母、特殊字符組成
3、設置用戶口令定期更改（如30天更改一次）；
4、建議應用系統(tǒng)用戶口令采用加密進行存儲（如MD5、base64等）通過開發(fā)廠商調(diào)整代碼完成
c) 應提供登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和自動退出等措施；應用系統(tǒng)未提供登錄失敗處理功能，無登錄次數(shù)限制。 1、建議應用系統(tǒng)提供用戶登錄失敗處理功能；
2、限制用戶連續(xù)登錄10次錯誤，結束用戶會話、鎖定用戶帳號、鎖定IP等在一段時間內(nèi)（如10分鐘）自動解鎖，或由管理員進行解鎖等。通過開發(fā)廠商調(diào)整代碼完成
d) 應啟用身份鑒別、用戶身份標識性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關參數(shù)。 1、應用系統(tǒng)存在重名用戶（標識無效）
2、應用系未統(tǒng)提供非法登錄失敗處理攻能；
3、應用系統(tǒng)未提供密碼復雜度功能。 1、建議應用系統(tǒng)采用用戶名、員工號等作為用戶的標識，防止出現(xiàn)重名用戶；
2、提供用戶登錄失敗處理功能，連續(xù)登錄10次錯誤鎖定帳號、結束會話等；
3、提供用戶口令復雜度檢測功能，規(guī)定用戶口令由數(shù)字、大小寫字母、特殊字符組成。通過開發(fā)廠商調(diào)整代碼完成
訪問控制(S2 a) 應提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問；應用系統(tǒng)未限制用戶的訪問權限，或對用戶的權限限制不嚴格，存在普通用戶越權訪問敏感資源。設置用戶的對系統(tǒng)資源的訪問權限，根據(jù)不同用戶權限級別訪問對應的資源，防止普通用戶越權訪問敏感資源。通過開發(fā)廠商調(diào)整代碼完成
b) 訪問控制的覆蓋范圍應包括與資源訪問相關的主體、客體及它們之間的操作；應用系統(tǒng)未設置訪問控制策略，未根據(jù)不同的用戶權限要求對系統(tǒng)主體和客體資源的訪問控制，訪問控制粒度未達到用戶級。 1、建議應用系統(tǒng)設置訪問控制策略，根據(jù)不同的用戶權限要求對系統(tǒng)主體和客體資源（主體可能是應用系統(tǒng)進程或用戶，客體可能是應用系統(tǒng)功能、文件或數(shù)據(jù)庫表等）的訪問控制，訪問控制粒度要達到用戶級。
2、建議通過安全檢測或滲透測試等方法，檢測應用系統(tǒng)是否存在越權訪問的弱點。通過開發(fā)廠商調(diào)整代碼完成
c) 應由授權主體配置訪問控制策略，并嚴格限制默認帳戶的訪問權限；應用系統(tǒng)存在默認的帳戶，（如：admin且未禁止默認帳號對系統(tǒng)的資源的訪問。 1、建議應用系統(tǒng)設置訪問控制策略，限制用戶對資源的訪問權限；
2、修改應用系統(tǒng)默認帳號的名稱，（不能使用：admin、root、manager等名稱）禁止默認帳號對系統(tǒng)的資源的訪問。通過開發(fā)廠商調(diào)整代碼完成
d) 應授予不同帳戶為完成各自承擔任務所需的小權限，并在它們之間形成相互制約的關系。應用系統(tǒng)未根據(jù)系統(tǒng)的需求設立系統(tǒng)使用人員、維護人員、審計人員等，未根據(jù)用戶的需要分配不同的權限；
2、應用系統(tǒng)未實現(xiàn)“三權分立”，各用戶之間未形成相互制約的關系，如：文件審批流程要未經(jīng)過不同的用戶審批后才能完成。 1、建議應用系統(tǒng)根據(jù)系統(tǒng)的需求設立管理員用戶、審計員用戶、維護員用戶，并根據(jù)用戶的需求分配不同的權；
2、建議設置的用戶權限形成相互制約的關系。通過開發(fā)廠商調(diào)整代碼完成
安全審計(G2) a) 應提供覆蓋到每個用戶的安全審計功能，對應用系統(tǒng)重要安全事件進行審計；應用系統(tǒng)未提供日志審計功能，未部署日志審計系統(tǒng)。 1、建議應用系統(tǒng)提供日志審計功能，或部署第三方日志審計系統(tǒng)；
2、開啟應用系統(tǒng)日志審計功能，審計記錄覆蓋到每個用戶。通過開發(fā)廠商調(diào)整代碼完成
b) 應保證無法刪除、修改或覆蓋審計記錄；應用系統(tǒng)未提供日志審計功能，未部署日志審計系統(tǒng)。 1、去除應用系統(tǒng)的普通用戶刪除、修改、覆蓋日志審計記錄的操作權限；
2、建議應用系統(tǒng)日志保存的時間在三個月以上，并支持日志生成報表導出的功能。通過開發(fā)廠商調(diào)整代碼完成
c) 審計記錄的內(nèi)容至少應包括事件的日期、時間、發(fā)起者信息、類型、描述和結果等；應用系統(tǒng)未提供日志審計功能，未部署日志審計系統(tǒng)。提供應用系統(tǒng)日志審計功能，審計日志記錄內(nèi)容要包括：用戶名、時間、日期、發(fā)起者信息、IP地址、類型、描述、操作結果等。通過開發(fā)廠商調(diào)整代碼完成
通信完整性（S2） a) 應采用校驗碼技術保證通信過程中數(shù)據(jù)的完整性。應用系統(tǒng)在通信過程中未采用校驗碼技術進行通信，未能保證通信過程數(shù)據(jù)的完整性。建議應用系統(tǒng)在通信過程中采用加密技術（https、MD5、base64等）保證通信過程中數(shù)據(jù)的完整性。通過開發(fā)廠商調(diào)整代碼完成
通信保密性（S2） a) 在通信雙方建立連接之前，應用系統(tǒng)應利用密碼技術進行會話初始化驗證；應用系統(tǒng)在通信雙方建議連接之前未采用加密技術進行會話初始化。建議應用系統(tǒng)在通信雙方建立連接之前采用加密技術（如：https、MD5、base64等加密技術）進行會話初始化。通過開發(fā)廠商調(diào)整代碼完成
b) 應對通信過程中的敏感信息字段進行加密。應用系統(tǒng)在通信過程中未采用加密技術對整個報文或會話進行加密。建議應用系統(tǒng)在通信過程中采用加密技術（如：https、MD5、base64、加密機等加密技術）對整個報文或會話進行加密。通過開發(fā)廠商調(diào)整代碼完成
軟件容錯（A2） b) 在故障發(fā)生時，應用系統(tǒng)應能夠繼續(xù)提供一部分功能，確保能夠實施必要的措施。應用系統(tǒng)未采用模塊化的設計方式，當系統(tǒng)出現(xiàn)模塊故障時，影響業(yè)務的正常使用。建議應用系統(tǒng)采用模塊化結構，或采用集群、雙機熱備模式，防止系統(tǒng)出現(xiàn)單故障里影響正常業(yè)務使用。通過開發(fā)廠商調(diào)整代碼完成
資源控制（A2） a) 當應用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應，另一方應能夠自動結束會話；應用系統(tǒng)未對用戶登錄超時限制，當雙方在通過程中的一方在一段時間內(nèi)未做任何響應時，未自動結束會話退出登錄。建議應用系統(tǒng)提供用戶登錄超時退出功能，當雙方在通信過程中一方在一段時間內(nèi)（20分）未做任何響應時自動結束會話退出登錄。通過開發(fā)廠商調(diào)整代碼完成
b) 應能夠對應用系統(tǒng)的并發(fā)會話連接數(shù)進行限制；應用系統(tǒng)未限制并發(fā)會話連接數(shù)。 1、建議應用系統(tǒng)限制并發(fā)會話連接數(shù)，建議設置為1000到2000；
2、建議通過配置中間件（如：IIS、apache、tomcat等），或數(shù)據(jù)庫限制并發(fā)會話連接數(shù)。通過加固完成
c) 應能夠對單個帳戶的多重并發(fā)會話進行限制；應用系統(tǒng)未對用戶多重登錄進行限制，同一個帳號在同一個時間內(nèi)可以在不同的地方進行登錄操作。建議應用系統(tǒng)限制單個用戶進行多重會話登錄，限制同一個帳號在同一個時間內(nèi)只允許在一個地方登錄。通過開發(fā)廠商調(diào)整代碼完成

<上一篇：賣貨不如刷單賺錢，這位淘寶皇冠賣家如何在一年內(nèi)“刷”出一套廣州房>

<下一篇：企業(yè)網(wǎng)絡營銷顧問/操盤手>

亚洲午夜无码av毛片久久,日本午夜精品视频在线观看,亚洲精品岛国片在线观看,国语自产精品视频在视频

網(wǎng)站建設安全大全

時間: 2016-11-15 分享新聞到

了解我們?nèi)绾螏椭鷮崿F(xiàn)目標？

網(wǎng)站建設

解決方案

關于我們

亚洲午夜无码av毛片久久,日本午夜精品视频在线观看,亚洲精品岛国片在线观看,国语自产精品视频在 视频

網(wǎng)站建設安全大全

時間: 2016-11-15 分享新聞到

了解我們?nèi)绾螏椭鷮崿F(xiàn)目標？

網(wǎng)站建設

解決方案

關于我們

亚洲午夜无码av毛片久久,日本午夜精品视频在线观看,亚洲精品岛国片在线观看,国语自产精品视频在视频