入網(wǎng)安評基線核查常用檢查項(xiàng)

Linux操作系統(tǒng)序號安全層面控制點(diǎn)測評項(xiàng)風(fēng)險(xiǎn)等級1Linux操作系統(tǒng)身份鑒別a）應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別高2Linux操作系統(tǒng)身份鑒別操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份鑒別信息應(yīng)不易被冒用，口令復(fù)雜度應(yīng)滿足要求并定期更換?？诹铋L度不得小于8位，且為字母、數(shù)字或特殊字符的混合組合，用戶名和口令不得等冋，禁止應(yīng)用軟件明文存儲口令。若該操作系統(tǒng)和數(shù)據(jù)庫服務(wù)于互聯(lián)網(wǎng)網(wǎng)站，則按以下要求執(zhí)行：普通用戶的口令長度不宜短于10字符，系統(tǒng)管理員用戶的口令長度不宜短于12個字符，且每三個月至少修改一次，口令復(fù)雜度為字母、數(shù)字或特殊字符的混合組合，用戶名和口令不得等冋，禁止應(yīng)用軟件明文存儲口令。高3Linux操作系統(tǒng)身份鑒別c）應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施中4Linux操作系統(tǒng)身份鑒別d）當(dāng)對服務(wù)器進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽中5Linux操作系統(tǒng)身份鑒別e）應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不冋的用戶名，確保用戶名具有唯性中6Linux操作系統(tǒng)身份鑒別應(yīng)限制超級管理員帳戶遠(yuǎn)程登錄中7Linux操作系統(tǒng)訪問控制a）應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問，并關(guān)閉不必要的服務(wù)及端口中8Linux操作系統(tǒng)訪問控制b）應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離中

9Linux操作系統(tǒng)訪問控制c）應(yīng)限制默認(rèn)賬戶的訪問權(quán)限，修改這些賬戶的默認(rèn)口令高10Linux操作系統(tǒng)訪問控制d）應(yīng)及時刪除多余的、過期的帳戶，避免共享帳戶的存在中11Linux操作系統(tǒng)訪問控制e）應(yīng)禁止root用戶使用FTP中12Linux操作系統(tǒng)訪問控制f）應(yīng)禁止root遠(yuǎn)稈登錄高13Linux操作系統(tǒng)訪問控制g）禁止用戶掛載移動設(shè)備中14Linux操作系統(tǒng)訪問控制h）刪除rhosts、exrc文件中15Linux操作系統(tǒng)安全審計(jì)a）審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶中16Linux操作系統(tǒng)安全審計(jì)b）審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；審計(jì)記錄應(yīng)包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等中17Linux操作系統(tǒng)安全審計(jì)c）應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等中18Linux操作系統(tǒng)安全審計(jì)d）操作系統(tǒng)的審計(jì)日志必須保存6個月以上中19Linux操作系統(tǒng)入侵防范a）操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時得到更新中20Linux操作系統(tǒng)資源控制a）應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄中21Linux操作系統(tǒng)資源控制b）應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定中

22Linux操作系統(tǒng)資源控制c）應(yīng)限制單個用戶對系統(tǒng)資源的最大或最小使用限度中23Linux操作系統(tǒng)數(shù)據(jù)安全及備份恢復(fù)重要操作系統(tǒng)應(yīng)具有及時恢復(fù)還原能力中24Linux操作系統(tǒng)數(shù)據(jù)安全及備份恢復(fù)重要服務(wù)器應(yīng)具備熱備冗余能低25Linux操作系統(tǒng)其他應(yīng)及時更新高危組件版本高Windows操作系統(tǒng)1Windows操作系統(tǒng)身份鑒別a）應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別高2Windows操作系統(tǒng)身份鑒別操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份鑒別信息應(yīng)不易被冒用，口令復(fù)雜度應(yīng)滿足要求并定期更換?？诹铋L度不得小于8位，且為字母、數(shù)字或特殊字符的混合組合，用戶名和口令不得等冋，禁止應(yīng)用軟件明文存儲口令。若該操作系統(tǒng)和數(shù)據(jù)庫服務(wù)于互聯(lián)網(wǎng)網(wǎng)站，則按以下要求執(zhí)行：普通用戶的口令長度不宜短于10字符，系統(tǒng)管理員用戶的口令長度不宜短于12個字符，且每三個月至少修改一次，口令復(fù)雜度為字母、數(shù)字或特殊字符的混合組合，用戶名和口令不得等冋，禁止應(yīng)用軟件明文存儲口令。高3Windows操作系統(tǒng)身份鑒別c）應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施中4Windows操作系統(tǒng)身份鑒別d）當(dāng)對服務(wù)器進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽中5Windows操作系統(tǒng)身份鑒別e）應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不冋的用戶名，確保用戶名具有唯性中

6Windows操作系統(tǒng)身份鑒別應(yīng)限制超級管理員帳戶遠(yuǎn)程登錄中7Windows操作系統(tǒng)訪問控制a）應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問高8Windows操作系統(tǒng)訪問控制b）應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離中9Windows操作系統(tǒng)訪問控制c）應(yīng)限制默認(rèn)賬戶的訪問權(quán)限，修改這些賬戶的默認(rèn)口令高10Windows操作系統(tǒng)訪問控制d）應(yīng)及時刪除多余的、過期的帳戶，避免共享帳戶的存在中11Windows操作系統(tǒng)訪問控制e）應(yīng)對安全控制選項(xiàng)進(jìn)行優(yōu)化中12Windows操作系統(tǒng)訪問控制f）應(yīng)對控制驅(qū)動器和系統(tǒng)在藍(lán)屏之后自動運(yùn)行提供保護(hù)中13Windows操作系統(tǒng)訪問控制g）應(yīng)對文件系統(tǒng)實(shí)施保護(hù)中14Windows操作系統(tǒng)安全審計(jì)a）審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；審計(jì)記錄應(yīng)包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等中15Windows操作系統(tǒng)安全審計(jì)b）應(yīng)保護(hù)日志設(shè)施和日志信息免受篡改和未授權(quán)訪問，保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等中16Windows操作系統(tǒng)入侵防范a）操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時得到更新高17Windows操作系統(tǒng)入侵防范b）應(yīng)防止SYNFLOOD攻擊中18Windows操作系統(tǒng)入侵防范c）防止icmp重定向報(bào)文的攻擊中

19Windows操作系統(tǒng)入侵防范d）禁止ipc空連接高20Windows操作系統(tǒng)入侵防范e）啟動項(xiàng)檢查，禁用多余的啟動項(xiàng)中21Windows操作系統(tǒng)入侵防范f）操作系統(tǒng)關(guān)機(jī)策略安全中22Windows操作系統(tǒng)入侵防范g）操作系統(tǒng)數(shù)據(jù)執(zhí)行保護(hù)安全中23Windows操作系統(tǒng)入侵防范h）應(yīng)開啟系統(tǒng)自帶或第二方防火墻中24Windows操作系統(tǒng)入侵防范應(yīng)禁用可遠(yuǎn)程訪問的注冊表路徑和子路徑中25Windows操作系統(tǒng)惡意代碼防范a）應(yīng)安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫高26Windows操作系統(tǒng)惡意代碼防范b）應(yīng)支持防惡意代碼軟件的統(tǒng)管理。中27Windows操作系統(tǒng)資源控制a）應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄中28Windows操作系統(tǒng)資源控制b）應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定中29Windows操作系統(tǒng)資源控制c）應(yīng)限制單個用戶對系統(tǒng)資源的最大或最小使用限度中30Windows操作系統(tǒng)資源控制應(yīng)啟用并正確配置Windows網(wǎng)絡(luò)時間同步服務(wù)（NTP）中31Windows操作系統(tǒng)其他應(yīng)及時更新高危組件版本高

Tomcat中間件26Tomcat中間件身份鑒別a）應(yīng)提供專用的登錄控制模塊對登錄用戶進(jìn)行身份標(biāo)識和鑒別高27Tomcat中間件身份鑒別b）應(yīng)提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢杳功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識，身份鑒別信息不易被冒用。1、 用戶在第一次登錄系統(tǒng)時修改分發(fā)的初始口令。2、 口令長度不得小于8位，且為字母、數(shù)字或特殊字符的混合組合，用戶名和口令不得等同。3、口令應(yīng)至少半年更新次。4、禁止應(yīng)用軟件明文存儲口令。高28Tomcat中間件訪問控制a）應(yīng)提供專門管理中間件的帳戶，該賬戶應(yīng)該只有管理中間的相關(guān)權(quán)限中29Tomcat中間件訪問控制b）應(yīng)修改默認(rèn)口令或禁用默認(rèn)賬號高30Tomcat中間件訪問控制應(yīng)嚴(yán)格控制中間件目錄的訪問權(quán)限，應(yīng)禁止站點(diǎn)目錄瀏覽中31Tomcat中間件訪問控制應(yīng)刪除或鎖定過期帳戶和無用帳戶中32Tomcat中間件訪問控制應(yīng)嚴(yán)格限制配置文件和日志文件的訪問權(quán)限中33Tomcat中間件安全審計(jì)a）應(yīng)提供覆蓋到每個用戶的安全審計(jì)功能，對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)中34Tomcat中間件安全審計(jì)b）應(yīng)保證無法單獨(dú)中斷審計(jì)進(jìn)程，無法刪除、修改或覆蓋審計(jì)記錄中35Tomcat中間件資源控制a）當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動結(jié)束會話中36Tomcat中間件入侵防護(hù)a）應(yīng)對系統(tǒng)的配置進(jìn)行調(diào)整，提高系統(tǒng)安全。高

37Tomcat中間件入侵防護(hù)b）應(yīng)確保禁止遍歷操作系統(tǒng)目錄高38Tomcat中間件入侵防護(hù)c）應(yīng)防止軟件版本信息泄漏中39Tomcat中間件入侵防護(hù)d）應(yīng)修改錯誤文件信息，防止信息泄漏中40Tomcat中間件入侵防護(hù)e）中間件系統(tǒng)應(yīng)限制應(yīng)用服務(wù)器Threads數(shù)量，避免拒絕服務(wù)攻擊中41Tomcat中間件入侵防護(hù)f）應(yīng)對中間件管理后臺操作進(jìn)行登陸源限制中42Tomcat中間件入侵防護(hù)中間件應(yīng)及時更新版本補(bǔ)丁中Nginx中間件26Nginx中間件訪問控制a）嚴(yán)格設(shè)置配置文件的權(quán)限，防止未授權(quán)訪問中27Nginx中間件訪問控制b）應(yīng)提供專門管理中間件的帳戶，該賬戶應(yīng)該只有管理中間的相關(guān)權(quán)限中28Nginx中間件訪問控制c）禁止nginx訪問.htxxx文件中29Nginx中間件安全審計(jì)a）應(yīng)提供覆蓋到每個用戶的安全審計(jì)功能，對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)中30Nginx中間件安全審計(jì)b）應(yīng)保證無法單獨(dú)中斷審計(jì)進(jìn)程，無法刪除、修改或覆蓋審計(jì)記錄中31Nginx中間件資源控制a）當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動結(jié)束會話中32Nginx中間件資源控制限制最大會話連接數(shù)中

33Nginx中間件資源控制限制用戶連接數(shù)中34Nginx中間件入侵防護(hù)a）應(yīng)關(guān)閉服務(wù)器應(yīng)答頭中的版本信息，服務(wù)器生成頁面的頁腳中版本信息，防止信息泄露中35Nginx中間件入侵防護(hù)b）應(yīng)確保禁止遍歷操作系統(tǒng)目錄高36Nginx中間件入侵防護(hù)e）應(yīng)對中間件管理后臺操作進(jìn)行登陸源限制中37Nginx中間件入侵防護(hù)f）限制某些ip在同一時間段內(nèi)的訪問次數(shù)中38Nginx中間件入侵防護(hù)g）自定義緩存以限制緩沖區(qū)溢出攻擊中39Nginx中間件入侵防護(hù)應(yīng)及時更新nginx補(bǔ)丁中40Nginx中間件入侵防護(hù)c）應(yīng)修改錯誤文件信息，防止信息泄漏中41Nginx中間件數(shù)據(jù)安全對敏感字段進(jìn)行過濾中42Nginx中間件備份恢復(fù)應(yīng)具備緊急恢復(fù)還原能力中Mysql數(shù)據(jù)庫43MySQL數(shù)據(jù)庫身份鑒別a）應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別高

44MySQL數(shù)據(jù)庫身份鑒別b）操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份鑒別信息應(yīng)不易被冒用，口令復(fù)雜度應(yīng)滿足要求并定期更換?？诹铋L度不得小于8位，且為字母、數(shù)字或特殊字符的混合組合，用戶名和口令不得等冋，禁止應(yīng)用軟件明文存儲口令。高45MySQL數(shù)據(jù)庫身份鑒別c）應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施中46MySQL數(shù)據(jù)庫身份鑒別d）當(dāng)對數(shù)據(jù)庫行遠(yuǎn)程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽中47MySQL數(shù)據(jù)庫身份鑒別e）應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不冋的用戶名，確保用戶名具有唯性高48MySQL數(shù)據(jù)庫訪問控制a）應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問高49MySQL數(shù)據(jù)庫訪問控制b）應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限中50MySQL數(shù)據(jù)庫訪問控制c）應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離中51MySQL數(shù)據(jù)庫訪問控制d）應(yīng)限制默認(rèn)賬戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)賬戶，修改這些賬戶的默認(rèn)口令高52MySQL數(shù)據(jù)庫訪問控制e）應(yīng)及時刪除多余的、過期的帳戶，避免共享帳戶的存在中53MySQL數(shù)據(jù)庫安全審計(jì)a）審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶中54MySQL數(shù)據(jù)庫安全審計(jì)b）審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件中55MySQL數(shù)據(jù)庫安全審計(jì)c）申計(jì)記錄應(yīng)包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等中56MySQL數(shù)據(jù)庫安全審計(jì)d）應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等中

57MySQL數(shù)據(jù)庫入侵防范數(shù)據(jù)庫應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時得到更新高58MySQL數(shù)據(jù)庫入侵防范應(yīng)對于數(shù)據(jù)庫中的敏感字段，如：口令等，加密保存高59MySQL數(shù)據(jù)庫入侵防范應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍限制通過網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制高60MySQL數(shù)據(jù)庫資源控制應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定中Weblogic中間件1Weblogic中間件身份鑒別a）應(yīng)提供專用的登錄控制模塊對登錄用戶進(jìn)行身份標(biāo)識和鑒別高2Weblogic中間件身份鑒別b）應(yīng)提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢杳功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識，身份鑒別信息不易被冒用高3Weblogic中間件身份鑒別c）應(yīng)提供登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施中4Weblogic中間件訪問控制應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系中5Weblogic中間件訪問控制應(yīng)嚴(yán)格控制中間件目錄的訪問權(quán)限，應(yīng)禁止站點(diǎn)目錄瀏覽中6Weblogic中間件訪問控制應(yīng)嚴(yán)格限制配置文件和日志文件的訪問權(quán)限中7Weblogic中間件訪問控制應(yīng)刪除或鎖定過期帳戶和無用帳戶中8Weblogic中間件訪問控制應(yīng)不以root或者administrator等管理員用戶運(yùn)行weblogic中

9Weblogic中間件安全審計(jì)a）應(yīng)提供覆蓋到每個用戶的安全審計(jì)功能，對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)中10Weblogic中間件安全審計(jì)b）應(yīng)保證無法單獨(dú)中斷審計(jì)進(jìn)程，無法刪除、修改或覆蓋審計(jì)記錄中11Weblogic中間件安全審計(jì)c）審計(jì)記錄的內(nèi)容至少應(yīng)包括事件日期、時間、發(fā)起者信息、類型、描述和結(jié)果等中12Weblogic中間件通信保密性a）在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會話初始化驗(yàn)證中13Weblogic中間件資源控制a）當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動結(jié)束會話中14Weblogic中間件入侵防護(hù)a）應(yīng)禁用中間件在通信過程發(fā)送服務(wù)標(biāo)識，防止信息泄露中15Weblogic中間件入侵防護(hù)b）應(yīng)開啟SSL保護(hù)功能中16Weblogic中間件入侵防護(hù)c）應(yīng)修改中間件默認(rèn)端口中17Weblogic中間件入侵防護(hù)d）應(yīng)限制應(yīng)用服務(wù)器Socket數(shù)量，避免拒絕服務(wù)攻擊中18Weblogic中間件入侵防護(hù)e）重命名控制臺文件夾中19Weblogic中間件入侵防護(hù)f）應(yīng)對錯誤頁面進(jìn)行了重定向處理中20Weblogic中間件入侵防護(hù)g）應(yīng)刪除中間件不必要組件和缺省安裝的無用文件、進(jìn)行基本的安全配置和加固中21Weblogic中間件入侵防護(hù)h）應(yīng)對中間件管理后臺操作進(jìn)行登陸源限制中22Weblogic中間件入侵防護(hù)應(yīng)及時更新中間件補(bǔ)丁中

23Weblogic中間件備份恢復(fù)應(yīng)具備緊急恢復(fù)還原能力中Oracle數(shù)據(jù)庫86Oracle數(shù)據(jù)庫身份鑒別a）應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別高87Oracle數(shù)據(jù)庫身份鑒別b）操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份鑒別信息應(yīng)不易被冒用，口令復(fù)雜度應(yīng)滿足要求并定期更換?？诹铋L度不得小于8位，且為字母、數(shù)字或特殊字符的混合組合，用戶名和口令不得等冋，禁止應(yīng)用軟件明文存儲口令。高88Oracle數(shù)據(jù)庫身份鑒別c）應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施中89Oracle數(shù)據(jù)庫身份鑒別d）當(dāng)對服務(wù)器進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽中90Oracle數(shù)據(jù)庫身份鑒別e）應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不冋的用戶名，確保用戶名具有唯性高91Oracle數(shù)據(jù)庫身份鑒別f）應(yīng)對數(shù)據(jù)庫主機(jī)管理員帳號進(jìn)行控制（unix中\(zhòng)windows低）高92Oracle數(shù)據(jù)庫訪問控制a）應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問中93Oracle數(shù)據(jù)庫訪問控制b）應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限中94Oracle數(shù)據(jù)庫訪問控制c）應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離高95Oracle數(shù)據(jù)庫訪問控制d）應(yīng)限制默認(rèn)賬戶的訪問權(quán)限，修改這些賬戶的默認(rèn)口令中

96Oracle數(shù)據(jù)庫訪問控制e）應(yīng)及時刪除多余的、過期的帳戶，避免共享帳戶的存在中97Oracle數(shù)據(jù)庫訪問控制f）應(yīng)對數(shù)據(jù)庫數(shù)據(jù)字典進(jìn)行保護(hù)中98Oracle數(shù)據(jù)庫安全審計(jì)a）審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶中99Oracle數(shù)據(jù)庫安全審計(jì)b）審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件中100Oracle數(shù)據(jù)庫安全審計(jì)c）申計(jì)記錄應(yīng)包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等高101Oracle數(shù)據(jù)庫安全審計(jì)d）應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等高102Oracle數(shù)據(jù)庫入侵防范a）數(shù)據(jù)庫應(yīng)遵循最小安裝的原則，僅安裝需要的組件，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時得到更新高103Oracle數(shù)據(jù)庫入侵防范c）修改數(shù)據(jù)庫默認(rèn)端口中104Oracle數(shù)據(jù)庫入侵防范d）對于數(shù)據(jù)庫中的敏感字段，如：口令等，應(yīng)加密保存高105Oracle數(shù)據(jù)庫監(jiān)聽器防護(hù)a）應(yīng)設(shè)置監(jiān)聽口令中106Oracle數(shù)據(jù)庫監(jiān)聽器防護(hù)b）應(yīng)設(shè)置監(jiān)聽服務(wù)空閑連接超時時間中107Oracle數(shù)據(jù)庫數(shù)據(jù)安全及備份恢復(fù)a）應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能,應(yīng)定期對數(shù)據(jù)庫配置參數(shù)進(jìn)行備份中108Oracle數(shù)據(jù)庫數(shù)據(jù)安全及備份恢復(fù)b）應(yīng)具備熱備冗余能力（重要系統(tǒng)）低

109Oracle數(shù)據(jù)庫數(shù)據(jù)安全及備份恢復(fù)C）應(yīng)有數(shù)據(jù)庫備份操作規(guī)程低Redis數(shù)據(jù)庫序號安全層面控制點(diǎn)測評項(xiàng)風(fēng)險(xiǎn)等級2redis數(shù)據(jù)庫身份鑒別a）應(yīng)提供專用的登錄控制模塊對登錄用戶進(jìn)行身份標(biāo)識和鑒別高3redis數(shù)據(jù)庫身份鑒別b）應(yīng)提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢杳功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識，身份鑒別信息不易被冒用。1、 用戶在第一次登錄系統(tǒng)時修改分發(fā)的初始口令。2、 口令長度不得小于8位，且為字母、數(shù)字或特殊字符的混合組合，用戶名和口令不得等同。3、口令應(yīng)至少半年更新次。高4redis數(shù)據(jù)庫訪問控制a）應(yīng)禁止root用戶啟用redis中5redis數(shù)據(jù)庫訪問控制b）應(yīng)修改默認(rèn)口令中6redis數(shù)據(jù)庫訪問控制應(yīng)嚴(yán)格控制redis主目錄的訪問權(quán)限高7redis數(shù)據(jù)庫訪問控制應(yīng)嚴(yán)格限制配置文件和日志文件的訪問權(quán)限高8redis數(shù)據(jù)庫安全審計(jì)a）應(yīng)提供覆蓋到每個用戶的安全審計(jì)功能，對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)中9redis數(shù)據(jù)庫安全審計(jì)b）應(yīng)保證無法單獨(dú)中斷審計(jì)進(jìn)程，無法刪除、修改或覆蓋審計(jì)記錄中

10redis數(shù)據(jù)庫資源控制a）當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動結(jié)束會話高11redis數(shù)據(jù)庫入侵防護(hù)a）應(yīng)對系統(tǒng)的配置進(jìn)行調(diào)整，提高系統(tǒng)安全中12redis數(shù)據(jù)庫入侵防護(hù)b）應(yīng)修改錯誤文件信息，防止信息泄漏中13redis數(shù)據(jù)庫入侵防護(hù)c）應(yīng)限制應(yīng)用服務(wù)器Threads數(shù)量，避免拒絕服務(wù)攻擊中14redis數(shù)據(jù)庫入侵防護(hù)f）應(yīng)對redis管理后臺操作進(jìn)行登陸源限制中15redis數(shù)據(jù)庫入侵防護(hù)應(yīng)及時更新redis補(bǔ)丁中達(dá)夢數(shù)據(jù)庫1達(dá)夢數(shù)據(jù)庫身份鑒別應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別高2達(dá)夢數(shù)據(jù)庫身份鑒別操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份鑒別信息應(yīng)不易被冒用，口令復(fù)雜度應(yīng)滿足要求并定期更換。口令長度不得小于8位，且為字母、數(shù)字或特殊字符的混合組合，用戶名和口令不得等冋，禁止應(yīng)用軟件明文存儲口令高3達(dá)夢數(shù)據(jù)庫身份鑒別應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施中4達(dá)夢數(shù)據(jù)庫身份鑒別當(dāng)對服務(wù)器進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽中5達(dá)夢數(shù)據(jù)庫身份鑒別應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性高6達(dá)夢數(shù)據(jù)庫身份鑒別應(yīng)對數(shù)據(jù)庫主機(jī)管理員帳號進(jìn)行控制中

7達(dá)夢數(shù)據(jù)庫訪問控制a）應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問中8達(dá)夢數(shù)據(jù)庫訪問控制b）應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶與應(yīng)用系統(tǒng)用戶的權(quán)限分離，僅授予應(yīng)用系統(tǒng)用戶所需的最小權(quán)限高9達(dá)夢數(shù)據(jù)庫訪問控制C）應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離中10達(dá)夢數(shù)據(jù)庫訪問控制d）應(yīng)限制默認(rèn)賬戶的訪問權(quán)限，修改這些賬戶的默認(rèn)口令高11達(dá)夢數(shù)據(jù)庫訪問控制e）應(yīng)及時刪除多余的、過期的帳戶，避免共享帳戶的存在中12達(dá)夢數(shù)據(jù)庫安全審計(jì)a）審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶中13達(dá)夢數(shù)據(jù)庫安全審計(jì)b）審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件中14達(dá)夢數(shù)據(jù)庫安全審計(jì)c）申計(jì)記錄應(yīng)包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等中15達(dá)夢數(shù)據(jù)庫安全審計(jì)d）應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等中16達(dá)夢數(shù)據(jù)庫入侵防范a）數(shù)據(jù)庫應(yīng)遵循最小安裝的原則，僅安裝需要的組件，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時得到更新中17達(dá)夢數(shù)據(jù)庫入侵防范b）修改數(shù)據(jù)庫默認(rèn)端口中18達(dá)夢數(shù)據(jù)庫入侵防范c）對于數(shù)據(jù)庫中的敏感字段，如：口令等，應(yīng)加密保存高19達(dá)夢數(shù)據(jù)庫入侵防范d）數(shù)據(jù)庫服務(wù)器應(yīng)當(dāng)置于單獨(dú)的服務(wù)器區(qū)域，任何對這些數(shù)據(jù)庫服務(wù)器的物理訪問均應(yīng)受到控制低

20達(dá)夢數(shù)據(jù)庫入侵防范e）數(shù)據(jù)庫服務(wù)器所在的服務(wù)器區(qū)域邊界應(yīng)部署防火墻或其它邏輯隔離設(shè)施低21達(dá)夢數(shù)據(jù)庫監(jiān)聽器防護(hù)a）應(yīng)設(shè)置監(jiān)聽服務(wù)空閑連接超時時間中22達(dá)夢數(shù)據(jù)庫資源控制終端接入方式限制中23達(dá)夢數(shù)據(jù)庫數(shù)據(jù)安全及備份恢復(fù)a）應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能，應(yīng)定期對數(shù)據(jù)庫配置參數(shù)進(jìn)彳丁備份中24達(dá)夢數(shù)據(jù)庫數(shù)據(jù)安全及備份恢復(fù)b）應(yīng)具備熱備冗余能力低應(yīng)用系統(tǒng)61應(yīng)用系統(tǒng)身份鑒別應(yīng)提供專用的登錄控制模塊對登錄用戶進(jìn)行身份標(biāo)識和鑒別高62應(yīng)用系統(tǒng)身份鑒別應(yīng)提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢杳功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識，身份鑒別信息不易被冒用中63應(yīng)用系統(tǒng)身份鑒別應(yīng)提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢杳功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識，身份鑒別信息不易被冒用高64應(yīng)用系統(tǒng)身份鑒別應(yīng)提供登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施中65應(yīng)用系統(tǒng)訪問控制應(yīng)提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問中66應(yīng)用系統(tǒng)訪問控制應(yīng)由授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認(rèn)賬戶的訪問權(quán)限，并及時刪除或禁用多余、過期帳戶中

67應(yīng)用系統(tǒng)訪問控制應(yīng)授予不同賬戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系中68應(yīng)用系統(tǒng)訪問控制應(yīng)將業(yè)務(wù)系統(tǒng)后臺管理頁面服務(wù)端口與業(yè)務(wù)系統(tǒng)頁面服務(wù)端口分離中69應(yīng)用系統(tǒng)安全審計(jì)應(yīng)提供覆蓋到每個用戶的安全審計(jì)功能，對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)中70應(yīng)用系統(tǒng)安全審計(jì)應(yīng)保證無法刪除、修改或覆蓋審計(jì)記錄中71應(yīng)用系統(tǒng)通信完整性應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性低72應(yīng)用系統(tǒng)通信保密性在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會話初始化驗(yàn)證低73應(yīng)用系統(tǒng)通信保密性應(yīng)對通信過程中的整個報(bào)文或會話過程進(jìn)行加密高74應(yīng)用系統(tǒng)軟件容錯應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求中75應(yīng)用系統(tǒng)軟件容錯應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)類型符合系統(tǒng)設(shè)定要求高76應(yīng)用系統(tǒng)軟件容錯在故障發(fā)生時，應(yīng)用系統(tǒng)應(yīng)能夠繼續(xù)提供一部分功能，確保能夠?qū)嵤┍匾拇胧┑?7應(yīng)用系統(tǒng)軟件容錯d）采用Struts2框架的應(yīng)用系統(tǒng)，應(yīng)對Struts2及時進(jìn)行更新高78應(yīng)用系統(tǒng)軟件容錯提供下載功能時，需要嚴(yán)格限制用戶下載的文件路徑，避免用戶非法下載音應(yīng)用系統(tǒng)其它文件中79應(yīng)用系統(tǒng)資源控制當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動結(jié)束會話中

80應(yīng)用系統(tǒng)資源控制應(yīng)能夠?qū)?yīng)用系統(tǒng)的最大并發(fā)會話連接數(shù)進(jìn)行限制中81應(yīng)用系統(tǒng)資源控制應(yīng)能夠?qū)蝹€賬戶的多重并發(fā)會話進(jìn)行限制中82應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)漏洞掃描對應(yīng)用程序進(jìn)行漏洞掃描，檢測系統(tǒng)存在的安全漏洞低83應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)漏洞掃描對應(yīng)用程序進(jìn)行漏洞掃描，檢測系統(tǒng)存在的安全漏洞中84應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)漏洞掃描對應(yīng)用程序進(jìn)行漏洞掃描，檢測系統(tǒng)存在的安全漏洞高85應(yīng)用系統(tǒng)數(shù)據(jù)安全及備份恢復(fù)a）應(yīng)米用加密或其他保護(hù)措施實(shí)現(xiàn)應(yīng)用系統(tǒng)敏感信息的存儲保密性高滲透測試1滲透測試未授權(quán)訪問/權(quán)限繞過檢查是否存在未授權(quán)訪問/權(quán)限繞過漏洞中2滲透測試SQL注入檢查是否存在SQL注入風(fēng)險(xiǎn)高3滲透測試URL跳轉(zhuǎn)檢查是否存在URL跳轉(zhuǎn)漏洞中4滲透測試其他檢查是否存在其他風(fēng)險(xiǎn)高5滲透測試跨站腳本編制檢查是否存在跨站腳本編制風(fēng)險(xiǎn)高6滲透測試任意文件上傳檢查是否存在任意文件上傳漏洞中7滲透測試任意文件下載檢查是否存在任意文件下載漏洞中8滲透測試匿名枚舉檢杳是否存在匿名枚舉漏洞中9滲透測試目錄遍歷檢查是否存在目錄遍歷漏洞中

10滲透測試跨站請求偽造檢查疋否存在跨站請求偽造漏洞中11滲透測試遠(yuǎn)程溢出漏洞檢查是否存在遠(yuǎn)程溢出漏洞高12滲透測試敏感信息泄露檢查是否存在敏感信息泄露中業(yè)務(wù)應(yīng)用滲透測試登錄用戶名窮舉中業(yè)務(wù)應(yīng)用滲透測試數(shù)據(jù)批量提交低業(yè)務(wù)應(yīng)用滲透測試多個前端信息泄露低業(yè)務(wù)應(yīng)用滲透測試SQL注入高業(yè)務(wù)應(yīng)用滲透測試反射型跨站腳本漏洞高業(yè)務(wù)應(yīng)用滲透測試文件上傳測試高業(yè)務(wù)應(yīng)用滲透測試內(nèi)網(wǎng)地址泄露低業(yè)務(wù)應(yīng)用滲透測試越權(quán)訪問測試高業(yè)務(wù)應(yīng)用滲透測試主機(jī)頭攻擊漏洞低業(yè)務(wù)應(yīng)用滲透測試關(guān)鍵數(shù)據(jù)傳輸加密測試低業(yè)務(wù)應(yīng)用滲透測試關(guān)鍵數(shù)據(jù)重放測試中業(yè)務(wù)應(yīng)用滲透測試明文傳輸漏洞中

業(yè)務(wù)應(yīng)用滲透測試多點(diǎn)登錄測試低業(yè)務(wù)應(yīng)用滲透測試嘗試敏感路徑爆破中AIX操作系統(tǒng)1AIX操作系統(tǒng)身份鑒別a）應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別高2AIX操作系統(tǒng)身份鑒別操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份鑒別信息應(yīng)不易被冒用，口令復(fù)雜度應(yīng)滿足要求并定期更換?？诹铋L度不得小于8位，且為字母、數(shù)字或特殊字符的混合組合，用戶名和口令不得等冋，禁止應(yīng)用軟件明文存儲口令。若該操作系統(tǒng)和數(shù)據(jù)庫服務(wù)于互聯(lián)網(wǎng)網(wǎng)站，則按以下要求執(zhí)行：普通用戶的口令長度不宜短于10字符，系統(tǒng)管理員用戶的口令長度不宜短于12個字符，且每三個月至少修改一次，口令復(fù)雜度為字母、數(shù)字或特殊字符的混合組合，用戶名和口令不得等冋，禁止應(yīng)用軟件明文存儲口令。高3AIX操作系統(tǒng)身份鑒別c）應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施中4AIX操作系統(tǒng)身份鑒別d）當(dāng)對服務(wù)器進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽中5AIX操作系統(tǒng)身份鑒別e）應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不冋的用戶名，確保用戶名具有唯性中6AIX操作系統(tǒng)訪問控制a）應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問，并關(guān)閉不必要的服務(wù)及端口中7AIX操作系統(tǒng)訪問控制b）應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離中

8AIX操作系統(tǒng)訪問控制c）應(yīng)限制默認(rèn)賬戶的訪問權(quán)限，修改這些賬戶的默認(rèn)口令高9AIX操作系統(tǒng)訪問控制d）應(yīng)及時刪除多余的、過期的帳戶，避免共享帳戶的存在中10AIX操作系統(tǒng)訪問控制e）應(yīng)禁止root用戶使用FTP低11AIX操作系統(tǒng)訪問控制f）應(yīng)禁止root遠(yuǎn)稈登錄高12AIX操作系統(tǒng)訪問控制應(yīng)啟用安全路徑中13AIX操作系統(tǒng)安全審計(jì)a）審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶中14AIX操作系統(tǒng)安全審計(jì)b）審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；審計(jì)記錄應(yīng)包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等中15AIX操作系統(tǒng)安全審計(jì)c）應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等中16AIX操作系統(tǒng)安全審計(jì)d）操作系統(tǒng)的審計(jì)日志必須保存兩個月以上中17AIX操作系統(tǒng)入侵防范a）創(chuàng)建警示BANNER對惡意攻擊者或嘗試者發(fā)起警示低18AIX操作系統(tǒng)入侵防范b）刪除.rhost文件，防止不安全R系列服務(wù)登錄系統(tǒng)中19AIX操作系統(tǒng)資源控制a）應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄中20AIX操作系統(tǒng)資源控制b）應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定中21AIX操作系統(tǒng)資源控制c）應(yīng)限制單個用戶對系統(tǒng)資源的最大或最小使用限度低

22AIX操作系統(tǒng)數(shù)據(jù)安全及備份恢復(fù)重要操作系統(tǒng)應(yīng)具有及時恢復(fù)還原能力中23AIX操作系統(tǒng)數(shù)據(jù)安全及備份恢復(fù)重要服務(wù)器應(yīng)具備熱備冗余能低24AIX操作系統(tǒng)其他應(yīng)及時更新高危組件版本高中創(chuàng)中間件11中創(chuàng)中間件身份鑒別a）應(yīng)提供專用的登錄控制模塊對登錄用戶進(jìn)行身份標(biāo)識和鑒別高2中創(chuàng)中間件身份鑒別b）應(yīng)提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢杳功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識，身份鑒別信息不易被冒用高3中創(chuàng)中間件身份鑒別c）應(yīng)提供登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施中4中創(chuàng)中間件訪問控制a）應(yīng)不以root或者administrator等管理員用戶運(yùn)行中創(chuàng)中間件中5中創(chuàng)中間件安全審計(jì)a）應(yīng)提供覆蓋到每個用戶的安全審計(jì)功能，對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)中6中創(chuàng)中間件安全審計(jì)b）應(yīng)保證無法單獨(dú)中斷審計(jì)進(jìn)程，無法刪除、修改或覆蓋審計(jì)記錄中7中創(chuàng)中間件通信保密性中間件通信或數(shù)據(jù)傳輸需經(jīng)過加密處理中8中創(chuàng)中間件資源控制a）當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動結(jié)束會話中9中創(chuàng)中間件資源控制b）設(shè)置最大并發(fā)連接數(shù)中

10中創(chuàng)中間件入侵防護(hù)a）應(yīng)開啟SSL保護(hù)功能中11中創(chuàng)中間件入侵防護(hù)b）應(yīng)修改中間件默認(rèn)端口中12中創(chuàng)中間件入侵防護(hù)c）應(yīng)對錯誤頁面進(jìn)行了重定向處理中13中創(chuàng)中間件入侵防護(hù)d）應(yīng)對中間件管理后臺操作進(jìn)行登陸源限制中14中創(chuàng)中間件入侵防護(hù)e）應(yīng)用端口與管理端口應(yīng)分開部署，管理端口對普通用戶不可見中IIS中間件1IIS中間件安全審計(jì)a）應(yīng)提供覆蓋到每個用戶的安全審計(jì)功能，對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)中2IIS中間件安全審計(jì)b）應(yīng)保證無法單獨(dú)中斷審計(jì)進(jìn)程，無法刪除、修改或覆蓋審計(jì)記錄中3IIS中間件資源控制a）當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動結(jié)束會話中4IIS中間件資源控制b）應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會話連接數(shù)進(jìn)行限制中5IIS中間件資源控制c）應(yīng)禁用多余服務(wù)以提升系統(tǒng)安全性和資源利用效率中6IIS中間件入侵防護(hù)a）應(yīng)刪除部分安裝缺省文件或目錄，加強(qiáng)IIS安全中7IIS中間件入侵防護(hù)b）應(yīng)最小化腳本映射，達(dá)到減少被腳本攻擊的風(fēng)險(xiǎn)中8IIS中間件入侵防護(hù)c）重新定義出錯頁面的內(nèi)容中

9IIS中間件入侵防護(hù)d）應(yīng)對中間件管理后臺操作進(jìn)行登陸源限制中10IIS中間件備份恢復(fù)應(yīng)具備緊急恢復(fù)還原能力中Apache中間件1Apache中間件訪問控制a）嚴(yán)格設(shè)置配置文件的權(quán)限，防止未授權(quán)訪問中2Apache中間件訪問控制b）應(yīng)提供專門管理中間件的帳戶，該賬戶應(yīng)該只有管理中間的相關(guān)權(quán)限中3Apache中間件訪問控制禁止Apache訪問Web目錄之外的任何文件中4Apache中間件安全審計(jì)a）應(yīng)提供覆蓋到每個用戶的安全審計(jì)功能，對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)中5Apache中間件安全審計(jì)b）應(yīng)保證無法單獨(dú)中斷審計(jì)進(jìn)程，無法刪除、修改或覆蓋審計(jì)記錄中6Apache中間件資源控制a）當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動結(jié)束會話中7Apache中間件資源控制限制最大會話連接數(shù)中8Apache中間件入侵防護(hù)a）應(yīng)關(guān)閉服務(wù)器應(yīng)答頭中的版本信息，服務(wù)器生成頁面的頁腳中版本信息，防止信息泄露中9Apache中間件入侵防護(hù)b）應(yīng)確保禁止遍歷操作系統(tǒng)目錄高10Apache中間件入侵防護(hù)c）應(yīng)修改錯誤文件信息，防止信息泄漏中11Apache中間件入侵防護(hù)d）應(yīng)通過對Apache的配置調(diào)整，提高系統(tǒng)安全中

12Apache中間件入侵防護(hù)e）應(yīng)對中間件管理后臺操作進(jìn)行登陸源限制中13Apache中間件入侵防護(hù)中間件應(yīng)及時更新版本補(bǔ)丁中14Apache中間件備份恢復(fù)應(yīng)具備緊急恢復(fù)還原能力低Mariadb數(shù)據(jù)庫1Mariadb數(shù)據(jù)庫身份鑒別a）應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別高2Mariadb數(shù)據(jù)庫身份鑒別b）操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份鑒別信息應(yīng)不易被冒用，口令復(fù)雜度應(yīng)滿足要求并定期更換。口令長度不得小于8位，且為字母、數(shù)字或特殊字符的混合組合，用戶名和口令不得等冋，禁止應(yīng)用軟件明文存儲口令。高3Mariadb數(shù)據(jù)庫身份鑒別c）應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施中4Mariadb數(shù)據(jù)庫身份鑒別d）當(dāng)對數(shù)據(jù)庫行遠(yuǎn)程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽中5Mariadb數(shù)據(jù)庫身份鑒別e）應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不冋的用戶名，確保用戶名具有唯性高6Mariadb數(shù)據(jù)庫訪問控制a）應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問高7Mariadb數(shù)據(jù)庫訪問控制b）應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限中8Mariadb數(shù)據(jù)庫訪問控制c）應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離中

9Mariadb數(shù)據(jù)庫訪問控制d）應(yīng)限制默認(rèn)賬戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)賬戶，修改這些賬戶的默認(rèn)口令高10Mariadb數(shù)據(jù)庫訪問控制e）應(yīng)及時刪除多余的、過期的帳戶，避免共享帳戶的存在中11Mariadb數(shù)據(jù)庫安全審計(jì)a）審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶中12Mariadb數(shù)據(jù)庫安全審計(jì)b）審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件中13Mariadb數(shù)據(jù)庫安全審計(jì)c）申計(jì)記錄應(yīng)包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等中14Mariadb數(shù)據(jù)庫安全審計(jì)d）應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等中15Mariadb數(shù)據(jù)庫入侵防范數(shù)據(jù)庫應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時得到更新高16Mariadb數(shù)據(jù)庫入侵防范應(yīng)對于數(shù)據(jù)庫中的敏感字段，如：口令等，加密保存高17Mariadb數(shù)據(jù)庫入侵防范應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍限制通過網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制高18Mariadb數(shù)據(jù)庫資源控制應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定中MongoDB數(shù)據(jù)庫MongoDB數(shù)身份鑒別a）應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶高11據(jù)庫進(jìn)行身份標(biāo)識和鑒別

2MongoDB數(shù)據(jù)庫身份鑒別b）操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份鑒別信息應(yīng)不易被冒用，口令復(fù)雜度應(yīng)滿足要求并定期更換。口令長度不得小于8位，且為字母、數(shù)字或特殊字符的混合組合，用戶名和口令不得等冋，禁止應(yīng)用軟件明文存儲口令。高3MongoDB數(shù)據(jù)庫身份鑒別c）應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施中4MongoDB數(shù)據(jù)庫身份鑒別d）當(dāng)對數(shù)據(jù)庫行遠(yuǎn)程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽中5MongoDB數(shù)據(jù)庫身份鑒別e）應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不冋的用戶名，確保用戶名具有唯性高6MongoDB數(shù)據(jù)庫訪問控制a）應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問高7MongoDB數(shù)據(jù)庫訪問控制b）應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限中8MongoDB數(shù)據(jù)庫訪問控制c）應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離中9MongoDB數(shù)據(jù)庫訪問控制d）應(yīng)限制默認(rèn)賬戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)賬戶，修改這些賬戶的默認(rèn)口令高10MongoDB數(shù)據(jù)庫訪問控制e）應(yīng)及時刪除多余的、過期的帳戶，避免共享帳戶的存在中11MongoDB數(shù)據(jù)庫安全審計(jì)a）審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶中12MongoDB數(shù)據(jù)庫安全審計(jì)c）申計(jì)記錄應(yīng)包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等中13MongoDB數(shù)據(jù)庫安全審計(jì)d）應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。申計(jì)記錄應(yīng)保留6個月中14MongoDB數(shù)據(jù)庫入侵防范數(shù)據(jù)庫應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時得到更新中

15MongoDB數(shù)據(jù)庫入侵防范c）開啟服務(wù)器監(jiān)控功能并修改默認(rèn)監(jiān)控服務(wù)器地址和端口號高16MongoDB數(shù)據(jù)庫入侵防范應(yīng)對于數(shù)據(jù)庫中的敏感字段，如：口令等，加密保存高17MongoDB數(shù)據(jù)庫資源控制應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定高18MongoDB數(shù)據(jù)庫數(shù)據(jù)安全及備份恢復(fù)a）應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能,應(yīng)定期對數(shù)據(jù)庫配置參數(shù)進(jìn)彳丁備份中19MongoDB數(shù)據(jù)庫數(shù)據(jù)安全及備份恢復(fù)b）應(yīng)具備熱備冗余能力低20MongoDB數(shù)據(jù)庫數(shù)據(jù)安全及備份恢復(fù)c）應(yīng)有數(shù)據(jù)庫備份操作規(guī)程低postgreSQL數(shù)據(jù)庫11postgreSQL數(shù)據(jù)庫身份鑒別應(yīng)檢查數(shù)據(jù)庫系統(tǒng)的身份鑒別措施；a）應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別高2postgreSQL數(shù)據(jù)庫身份鑒別b）操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換中3postgreSQL數(shù)據(jù)庫身份鑒別c）應(yīng)啟用登錄驗(yàn)證超時功能，當(dāng)?shù)卿涍^程中在定時間內(nèi)未進(jìn)行密碼驗(yàn)證時，需等待段時間后才能進(jìn)行下一次登錄高4postgreSQL數(shù)據(jù)庫身份鑒別d）當(dāng)對數(shù)據(jù)庫行遠(yuǎn)程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽中5postgreSQL數(shù)據(jù)庫身份鑒別e）應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不冋的用戶名，確保用戶名具有唯性高

6postgreSQL數(shù)據(jù)庫身份鑒別f）設(shè)置密碼應(yīng)時防止密碼被記錄到數(shù)據(jù)庫日志、history、或?qū)徲?jì)日志，pg_stat_activity,pg_stat_statement中高7postgreSQL數(shù)據(jù)庫身份鑒別g）密碼安全中8postgreSQL數(shù)據(jù)庫訪問控制a）應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問中9postgreSQL數(shù)據(jù)庫訪問控制b）應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需