| 应用安全(apache) | ||||||
| 序号 | 指标名称 | 测评实施过程 | 测评结果 | |||
| 测评项 | 测评说明 | 现场测评记录 | 要求项符合记录 | 权值 | ||
| 1 | 身份鉴别 | a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别; | 1、应访谈中间件管理员,询问应用系统是否采取身份标识和鉴别措施,具体措施有哪些; | (1) 是否对登录用户进行身份标识和鉴别: □ 是 □ 否 (2)身份标识和鉴别措施: □ 用户名和密码 □ CA Key □ 生物特征 □ 数字证书 | 5 | |
| b)应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用; | 1、应检查设计/验收文档,查看其是否有系统采用了保证唯一标识的措施的描述; 2、应检查操作规程和操作记录, 查看其是否有添加、删除用户和修改用户权限的操作规程、操作记录和审批记录; 3、应检查主要应用系统,查看其是否提供身份标识和鉴别功能; 查看其身份鉴别信息是否具有不易被冒用的特点;其鉴别信息复杂度检查功能是否能保证系统中不存在弱口令等; | (1) 用户标识是否唯一: □ 是 □ 否 (2)密码复杂度要求 □ 口令修改时间 □ 口令长度 □ 口令复杂度 | 5 | |||
| 2 | 防问控制 | a)严格设置配置文件的权限, 防止未授权访问 | 应检查是否设置配置文件的权限,防止未授权访问 | 是否设置配置文件的权限: □ 是 □ 否 | 4 | |
| b)应提供专门管理中间件的帐户,该账户应该只有管理中间的相关权限 | 应检查是否设置专门管理中间件的帐户,该账户应该只有管理中间的相关权限 | 是否为Apache创建专门用户、组: □ 是 □ 否 | 4 | |||
| 3 | 安全审计 | a) 应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计; | 1、应访谈安全审计员,检查日志级别是否为notice; 2、应访谈安全审计员,询问中间件是否开启错误日志; 3、应访谈安全审计员,询问中间件是否开启访问日志。 | (1)日志级别是否为notice : □ 是 □ 否 (2)是否记录错误日志: □ 是 □ 否 (3) 是否记录访问日志: □ 是 □ 否 | 3 | |
| b) 应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录; | 1、应访谈安全审计员,询问应用系统是否有安全审计功能,对审计日志的保护措施有哪些; 2、应测试主要应用系统,可通过非法终止审计功能或修改其配置, 验证审计进程是否受到保护; 3、应测试主要应用系统,试图非授权删除、修改或覆盖审计记录,验证安全审计的保护情况与要求是否一致。 | (1) 是否对日志提供保护: □ 有 □ 没有 (2) 日志保存时间是否合理: □ 有 □ 没有 | 3 | |||
| 4 | 资源控制 | a) 当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话; | 1、应访谈中间件管理员,询问应用系统是否有资源控制的措施, 具体措施有哪些; | (1)应用系统是否有资源控制措施: □ 有 □ 没有 (2) 如果有,具体措施是: (3) 对一个时间段内,一方未作任何响应,另一方是否能自动结束会话: □ 能 □ 不能 | 3 | |
| 5 | 入侵防范 | a)应关闭服务器应答头中的版本信息,服务器生成页面的页脚中版本信息,防止信息泄露 | 1.应访谈中间件管理员,检查中间件是否关闭服务器应答头中的版本信息,是否关闭服务器生成页面的页脚中版本信息,防止信息泄露。 | 3 | ||
| b)应确保禁止遍历操作系统目录 | 1、检查中间件系统是否修改配置文件,禁止目录遍历 | (1)是否修改配置文件,禁止目录遍历 □ 是 □ 否 | 3 | |||
| c)应修改错误文件信息,防止信息泄漏 | 1、检查中间件系统是否修改错误文件信息 | (1)是否修改错误文件信息 □ 是 □ 否 | 3 | |||
| d)应通过对Apache的配置调整,提高系统安全。 | 1、检查apache中间件系统是否精简系统模块 | (1) 是否根据网站的环境要求精简系统模块 □ 是 □ 否 | 2 | |||
