2017-07-03

1.中风险未实现操作系统和数据库系统特权用户的权限分离。建议操作系统与数据库管理员分权管理,如安排不同的人员担任操作系统与数据库管理员,并分配不同的账号。

2.中风险口令强度策略不够完善。建议强化服务器操作系统的密码策略,加强用户口令长度与复杂度要求,并定期更换,降低受到口令猜测、非授权访问的风险。

3.中风险操作系统未开启auditd服务,数据库系统未启用审计策略。建议开启操作系统和数据库系统安全审计策略,并对重要系统安全事件及用户操作行为进行日志审计。

4.中风险操作系统未开启Auditd审核守护进程、未配置audit规则,数据库系统未启用审计策略。建议开启操作系统auditd审核守护进程、配置audit规则,并启用数据库审计策略,对重要系统安全事件及用户操作行为进行日志审计。

5.中风险未安装防恶意代码软件,建议操作系统上安装防恶意代码软件,并及时进行病毒库更新,以保证操作系统运行安全。

6.中风险未锁定多余或过期的账户,建议删除或禁用服务器操作系统多余账户。

7.中风险数据库未开启审计功能,开启数据库审计功能,并定期对数据库系统的审计日志进行结果分析,制作相应的审计报表,防止一旦发生安全事件无法有效追溯的情况发生。

8.中风险为己用登录失败处理功能,建议开启失败登录处理功能,如限制非法登陆次数,自动退出功能、锁定时间等。

9.中风险未设置用户权限对照表,建议制定用户权限表,并根据权限表进行用户权限分配。

10.中风险未限制终端接入地址,建议合理限制可登录服务器操作系统和数据库系统的管理终端地址,经允许特定的地址登录。

11.中风险存在多个用户使用同一登录账户登录的情况,建议为不同用户分配相应的权限的账户,并确保用户名具有唯一性。

12.中风险数据库系统未设置审计账户,未对审计记录进行保护,建议对数据库系统进行相关配置,设置专门的审计账户,对审计记录进行保护。

13.中风险防恶意代码软件不支持统一管理,建议安装并使用支持统一管理的防恶意代码软件。

14.中风险未重命名默认账户,建议修改服务器操作系统和数据库系统默认管理员账户名。

15.低风险未启用登录终端超时锁定功能,建议根据业务需求配置TMOUT值。

16.低风险未对系统资源使用进行限制,建议限制单个用户对系统资源的最大或最小使用限度。

二、应用安全。

1.高风险功能模块未提供数据有效性检验功能。建议对系统部分功能模块增加数据有效性检验功能,对人机交互数据进行严格检查,使之符合基本逻辑校验,并对sql注入类攻击用到的特殊字符以及脚本语句等进行检查。

2.中风险未授予不同账户为完成各自承担任务所需的最小权限,建议系统授予不同用户为完成各自承担的任务所需的最小权限,将系统管理员和业务操作员权限分离,并设置独立的安全审计员角色,对各类用户的操作行为进行审计监督。

3.中风险。系统未提供安全审计功能,建议为系统增加对系统后台重要操作(如用户新增、删除等)、系统管理员和运维管理员的登录、登出、鉴别失败等事件的日志记录功能。

4.中风险。后台系统现场测试新增用户功能报错,系统不能保证用户微信无口令复杂度要求,建议根据需要对系统用户口令设置复杂度限制,并确保用户唯一性。

5.中风险。未对整个报文或会话过程进行加密,建议采用经国家密码管理局认可的密码技术,保证通信双方会话初始化验证与整个报文或会话过程的保密性。

6.中风险。未采用密码技术进行会话初始化验证,建议采用经国家密码管理局认可的密码技术,保证通信双方会话初始化验证与整个报文或会话过程的保密性。

7.中风险。无登录失败处理功能,建议对登陆失败采取必要的安全措施,如登录失败五次锁定账户等。

8.中风险。后台系统现场测试新增用户功能报错未提供用户身份标识唯一性校验、身份鉴别信息复杂度校验以及登录失败处理功能,建议对登陆失败采取必要的安全措施,如登录失败五次锁定账户等,并对用户身份唯一性和鉴别信息复杂度进行设置。

9.中风险。系统无审计功能,无审计日志,建议为系统增加对系统后台重要操作(如用户新增、删除等)、系统管理员和运维管理员的登录、登出、鉴别失败等事件的日志记录功能,并对日志记录进行保护,保障日志无法被预期删除、修改。

10.中风险。无审计记录内容,建议为系统增加对系统后台重要操作(如用户新增、删除等)、系统管理员和运维管理员的登录、登出、鉴别失败等事件的日志记录功能,且审计内容应至少包括事件的日期、时间、发起者信息、类型、描述和结果等。

11.中风险。系统未提供自动保护功能,建议系统采用使用负载均衡、集群、热备等方式对系统进行自动保护。

12.中风险。未设置最大并发连接数,根据业务需要对系统允许的最大并发会话数进行限制。

13.中风险。未限制单个账号并发会话,建议对单个账户的多重并发会话进行限制,禁止同一用户的多次重复登录操作。

14.中风险。未采用密码技术进行通信完整性验证,建议对重要数据采用经国家密码管理局认可的密码技术,保证通信过程中数据的完整性。

三、数据安全及备份恢复。

1.中风险。网络拓扑、服务器存在单点故障,建议核心网络设备、关键链路、核心服务器均采用冗余设计。

2.中风险。未采用密码技术进行通信完整性验证,建议对重要数据采用经国家密码管理局认可的密码技术,保证通信过程中数据的完整性。

3.中风险。未定期对数据进行恢复测试,建议定期对备份文件进行恢复测试,确保备份文件有效。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,445评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,889评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,047评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,760评论 1 276
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,745评论 5 367
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,638评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,011评论 3 398
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,669评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,923评论 1 299
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,655评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,740评论 1 330
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,406评论 4 320
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,995评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,961评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,197评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,023评论 2 350
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,483评论 2 342

推荐阅读更多精彩内容