入网安评基线核查常用检查项.docx

《入网安评基线核查常用检查项.docx》由会员分享，可在线阅读，更多相关《入网安评基线核查常用检查项.docx（53页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Linux操作系统序号平安层面控制点测评项风险等 级1Linux操作 系统身份鉴别a）应对登录操作系统和数据库系统的用户 进行身份标识和鉴别高2Linux操作 系统身份鉴别操作系统和数据库系统管理用户身份鉴别信 息应不易被冒用，口令复杂度应满足要求并 定期更换。口令长度不得小于8位，且为字母、 数字或特殊字符的混合组合，用户名和口令 不得等同，禁止应用软件明文存储口令。假设该操作系统和数据库服务于互联网网站， 那么按以下要求执行：普通用户的口令长度不宜短于10字符，系统 管理员用户的口令长度不宜短于12个字符， 且每三个月至少修改一次，口令复杂度为字 母、数字或特殊字符的混合组合，用户名和 口

2、令不得等同，禁止应用软件明文存储口令。高3Linux操作 系统身份鉴别c）应启用登录失败处理功能，可采取结束会 话、限制非法登录次数和自动退出等措施中4Linux操作 系统身份鉴别d）当对服务器进行远程管理时、应采取必要 措施，防止鉴别信息在网络传输过程中被窃 听中5Linux操作 系统身份鉴别e）应为操作系统和数据库系统的不同用户 分配不同的用户名，确保用户名具有唯一性中6Linux操作 系统身份鉴别应限制超级管理员帐户远程登录中7Linux操作 系统访问控制a）应启用访问控制功能，依据平安策略控制 用户对资源的访问，并关闭不必要的服务及 端口中8Linux操作 系统访问控制b）应实现操作系

3、统和数据库系统特权用户 的权限别离中57MySQL数据 库入侵防范数据库应遵循最小安装的原那么，仅安装需要 的组件和应用程序，并通过设置升级服务器 等方式保持系统补丁及时得到更新高58MySQL数据 库入侵防范应对于数据库中的敏感字段，如：口令等， 加密保存高59MySQL数据 库入侵防范应通过设定终端接入方式或网络地址范围限 制通过网络进行管理的管理终端进行限制高60MySQL数据 库资源控制应根据平安策略设置登录终端的操作超时锁 定中Weblogic中间件1Weblogic 中间件身份鉴 别a）应提供专用的登录控制模块对登录用户进 行身份标识和鉴别高2Weblogic 中间件身份鉴 别b）

4、应提供用户身份标识唯一和鉴别信息复杂 度检查功能，保证应用系统中不存在重复用户 身份标识，身份鉴别信息不易被冒用高3Weblogic 中间件身份鉴 别C）应提供登录失败处理功能，可采取结束会 话、限制非法登录次数和自动退出等措施中4Weblogic 中间件访问控 制应授予不同帐户为完成各自承当任务所需的 最小权限，并在它们之间形成相互制约的关系中5Weblogic 中间件访问控 制应严格控制中间件目录的访问权限，应禁止站 点目录浏览中6Weblogic 中间件访问控 制应严格限制配置文件和日志文件的访问权限中7Weblogic 中间件访问控 制应删除或锁定过期帐户和无用帐户中8Weblogic

5、 中间件访问控 制应不以root或者administrator等管理员用户 运行 weblogic中9Weblogic 中间件平安审 计a）应提供覆盖到每个用户的平安审计功能， 对应用系统重要平安事件进行审计中10Weblogic 中间件平安审 计b）应保证无法单独中断审计进程，无法删除、 修改或覆盖审计记录中11Weblogic 中间件平安审 计C）审计记录的内容至少应包括事件日期、时 间、发起者信息、类型、描述和结果等中12Weblogic 中间件通信保 密性a）在通信双方建立连接之前，应用系统应利用 密码技术进行会话初始化验证中13Weblogic 中间件资源控 制a）当应用系统的通信双

6、方中的一方在一段时 间内未作任何响应，另一方应能够自动结束会 话中14Weblogic 中间件入侵防 护a）应禁用中间件在通信过程发送服务标识， 防止信息泄露中15Weblogic 中间件入侵防 护b）应开启SSL保护功能中16Weblogic 中间件入侵防 护C）应修改中间件默认端口中17Weblogic 中间件入侵防 护d）应限制应用服务器Socket数量，防止拒绝 服务攻击中18Weblogic 中间件入侵防 护e）重命名控制台文件夹中19Weblogic 中间件入侵防 护f）应对错误页面进行了重定向处理中20Weblogic 中间件入侵防 护g）应删除中间件不必要组件和缺省安装的无 用

7、文件、进行基本的平安配置和加固中21Weblogic 中间件入侵防 护h）应对中间件管理后台操作进行登陆源限制中22Weblogic 中间件入侵防 护应及时更新中间件补丁中23Weblogic 中间件备份恢 复应具备紧急恢复还原能力中Oracle数据库86Oracle数 据库身份鉴别a）应对登录操作系统和数据库系统的用户 进行身份标识和鉴别高87Oracle数 据库身份鉴别b）操作系统和数据库系统管理用户身份鉴 别信息应不易被冒用，口令复杂度应满足要 求并定期更换。口令长度不得小于8位，且为 字母、数字或特殊字符的混合组合，用户名 和口令不得等同，禁止应用软件明文存储口 令。高88Oracle

8、数 据库身份鉴别c）应启用登录失败处理功能，可采取结束会 话、限制非法登录次数和自动退出等措施中89Oracle数 据库身份鉴别d）当对服务器进行远程管理时，应采取必要 措施，防止鉴别信息在网络传输过程中被窃 听中90Oracle数 据库身份鉴别e）应为操作系统和数据库系统的不同用户 分配不同的用户名，确保用户名具有唯一性高91Oracle数 据库身份鉴别f）应对数据库主机管理员帐号进行控制 （un i x 中wi ndows低）高92Oracle数 据库访问控制a）应启用访问控制功能，依据平安策略控制 用户对资源的访问中93Oracle数 据库访问控制b）应根据管理用户的角色分配权限，实现

9、管理用户的权限别离，仅授予管理用户所需 的最小权限中94Oracle数 据库访问控制c）应实现操作系统和数据库系统特权用户 的权限别离高95Oracle数 据库访问控制d）应限制默认账户的访问权限，修改这些账 户的默认口令中96Oracle数 据库访问控制e）应及时删除多余的、过期的帐户，防止共 享帐户的存在中97Oracle数 据库访问控制f）应对数据库数据字典进行保护中98Oracle数 据库平安审计a）审计范围应覆盖到服务器上的每个操作 系统用户和数据库用户中99Oracle数 据库平安审计b）审计内容应包括重要用户行为、系统资源 的异常使用和重要系统命令的使用等系统内 重要的平安相关事

10、件中100Oracle数 据库平安审计c）审计记录应包括事件的日期、时间、类型、 主体标识、客体标识和结果等高101Oracle数 据库平安审计d）应保护审计记录，防止受到未预期的删 除、修改或覆盖等高102Oracle数 据库入侵防范a）数据库应遵循最小安装的原那么，仅安装需 要的组件，并通过设置升级服务器等方式保 持系统补丁及时得到更新高103Oracle数 据库入侵防范C）修改数据库默认端口中104Oracle数 据库入侵防范d）对于数据库中的敏感字段，如：口令等， 应加密保存高105Oracle数 据库监听器防 护a）应设置监听口令中106Oracle数 据库监听器防 护b）应设置监听

11、服务空闲连接超时时间中107Oracle数 据库数据平安 及备份恢 复a）应提供本地数据备份与恢复功能,应定期 对数据库配置参数进行备份中108Oracle数 据库数据平安 及备份恢 复b）应具备热备冗余能力（重要系统）低109Oracle数 据库数据平安 及备份恢 复C）应有数据库备份操作规程低Redis数据库序号平安层面控制点测评项风险等 级2redis数据 库身份鉴别a）应提供专用的登录控制模块对登录用户进 行身份标识和鉴别高3redis数据 库身份鉴别b）应提供用户身份标识唯一和鉴别信息复杂 度检查功能，保证应用系统中不存在重复用 户身份标识，身份鉴别信息不易被冒用。1、用户在第一次登

12、录系统时修改分发的初始 口令。2、口令长度不得小于8位，且为字母、数字 或特殊字符的混合组合，用户名和口令不得 等同。3、口令应至少半年更新一次。高4redis数据 库访问控制a）应禁止root用户启用redis中5redis数据 库访问控制b）应修改默认口令中6redis数据 库访问控制应严格控制redis主目录的访问权限高7redis数据 库访问控制应严格限制配置文件和日志文件的访问权限高8redis数据 库平安审计a）应提供覆盖到每个用户的平安审计功能， 对应用系统重要平安事件进行审计中9redis数据 库平安审计b）应保证无法单独中断审计进程，无法删 除、修改或覆盖审计记录中10red

13、is数据 库资源控制a）当应用系统的通信双方中的一方在一段 时间内未作任何响应，另一方应能够自动结 束会话高11redis数据 库入侵防护a）应对系统的配置进行调整，提高系统平安中12redis数据 库入侵防护b）应修改错误文件信息,防止信息泄漏中13redis数据 库入侵防护c）应限制应用服务器Threads数量，防止拒绝 服务攻击中14redis数据 库入侵防护f）应对redis管理后台操作进行登陆源限制中15redis数据 库入侵防护应及时更新redis补丁中达梦数据库1达梦数据 库身份鉴 别应对登录操作系统和数据库系统的用户进行 身份标识和鉴别高2达梦数据 库身份鉴 别操作系统和数据库

14、系统管理用户身份鉴别信 息应不易被冒用，口令复杂度应满足要求并定 期更换。口令长度不得小于8位，且为字母、 数字或特殊字符的混合组合，用户名和口令不 得等同，禁止应用软件明文存储口令高3达梦数据 库身份鉴 别应启用登录失败处理功能，可采取结束会话、 限制非法登录次数和自动退出等措施中4达梦数据 库身份鉴 别当对服务器进行远程管理时，应采取必要措 施，防止鉴别信息在网络传输过程中被窃听中5达梦数据 库身份鉴 别应为操作系统和数据库系统的不同用户分配 不同的用户名，确保用户名具有唯一性高6达梦数据 库身份鉴 别应对数据库主机管理员帐号进行控制中7达梦数据 库访问控 制a）应启用访问控制功能，依据平

15、安策略控制 用户对资源的访问中8达梦数据 库访问控 制b）应根据管理用户的角色分配权限，实现管 理用户与应用系统用户的权限别离，仅授予应 用系统用户所需的最小权限高9达梦数据 库访问控 制c）应实现操作系统和数据库系统特权用户的 权限别离中10达梦数据 库访问控 制d）应限制默认账户的访问权限，修改这些账 户的默认口令高11达梦数据 库访问控 制e）应及时删除多余的、过期的帐户，防止共享 帐户的存在中12达梦数据 库平安审 计a）审计范围应覆盖到服务器上的每个操作系 统用户和数据库用户中13达梦数据 库平安审 计b）审计内容应包括重要用户行为、系统资源 的异常使用和重要系统命令的使用等系统内

16、重要的平安相关事件中14达梦数据 库平安审 计C）审计记录应包括事件的日期、时间、类型、 主体标识、客体标识和结果等中15达梦数据 库平安审 计d）应保护审计记录，防止受到未预期的删除、 修改或覆盖等中16达梦数据 库入侵防 范a）数据库应遵循最小安装的原那么，仅安装需要 的组件，并通过设置升级服务器等方式保持系 统补丁及时得到更新中17达梦数据 库入侵防 范b）修改数据库默认端口中18达梦数据 库入侵防 范c）对于数据库中的敏感字段，如：口令等，应 加密保存高19达梦数据 库入侵防 范d）数据库服务器应当置于单独的服务器区域， 任何对这些数据库服务器的物理访问均应受 到控制低20达梦数据 库

17、入侵防 范e）数据库服务器所在的服务器区域边界应部 署防火墙或其它逻辑隔离设施低21达梦数据 库监听器 防护a）应设置监听服务空闲连接超时时间中22达梦数据 库资源控 制终端接入方式限制中23达梦数据 库数据安 全及备 份恢复a）应提供本地数据备份与恢复功能,应定期对 数据库配置参数进行备份中24达梦数据 库数据安 全及备 份恢复b）应具备热备冗余能力低应用系统61应用系统身份鉴别应提供专用的登录控制模块对登录用户进行 身份标识和鉴别高62应用系统身份鉴别应提供用户身份标识唯一和鉴别信息复杂度 检查功能，保证应用系统中不存在重复用户 身份标识，身份鉴别信息不易被冒用中63应用系统身份鉴别应提供

18、用户身份标识唯一和鉴别信息复杂度 检查功能，保证应用系统中不存在重复用户 身份标识，身份鉴别信息不易被冒用高64应用系统身份鉴别应提供登录失败处理功能，可采取结束会话、 限制非法登录次数和自动退出等措施中65应用系统访问控制应提供访问控制功能，依据平安策略控制用 户对文件、数据库表等客体的访问中66应用系统访问控制应由授权主体配置访问控制策略，并严格限 制默认账户的访问权限，并及时删除或禁用 多余、过期帐户中67应用系统访问控制应授予不同账户为完成各自承当任务所需的 最小权限，并在它们之间形成相互制约的关 系中68应用系统访问控制应将业务系统后台管理页面服务端口与业务 系统页面服务端口别离中6

19、9应用系统平安审计应提供覆盖到每个用户的平安审计功能，对 应用系统重要平安事件进行审计中70应用系统平安审计应保证无法删除、修改或覆盖审计记录中71应用系统通信完整 性应采用密码技术保证通信过程中数据的完整 性低72应用系统通信保密 性在通信双方建立连接之前，应用系统应利用 密码技术进行会话初始化验证低73应用系统通信保密 性应对通信过程中的整个报文或会话过程进行 加密高74应用系统软件容错应提供数据有效性检验功能，保证通过人机 接口输入或通过通信接口输入的数据格式或 长度符合系统设定要求中75应用系统软件容错应提供数据有效性检验功能，保证通过人机 接口输入或通过通信接口输入的数据类型符 合系

20、统设定要求高76应用系统软件容错在故障发生时，应用系统应能够继续提供一 局部功能，确保能够实施必要的措施低77应用系统软件容错d）采用Struts2框架的应用系统，应对Struts2及时进行更新高78应用系统软件容错提供下载功能时，需要严格限制用户下载的 文件路径，防止用户非法下载音应用系统其 它文件中79应用系统资源控制当应用系统的通信双方中的一方在一段时间 内未作任何响应，另一方应能够自动结束会 话中80应用系统资源控制应能够对应用系统的最大并发会话连接数进 行限制中81应用系统资源控制应能够对单个账户的多重并发会话进行限制中82应用系统应用系统 漏洞扫描对应用程序进行漏洞扫描，检测系统存

21、在的 平安漏洞低83应用系统应用系统 漏洞扫描对应用程序进行漏洞扫描，检测系统存在的 平安漏洞中84应用系统应用系统 漏洞扫描对应用程序进行漏洞扫描，检测系统存在的 平安漏洞高85应用系统数据平安 及备份恢 复a）应采用加密或其他保护措施实现应用系 统敏感信息的存储保密性高渗透测试1渗透测试未授权访 问/权限绕 过检查是否存在未授权访问/权限绕过漏洞中2渗透测试SQL注入检查是否存在SQL注入风险高3渗透测试URL跳转检查是否存在URL跳转漏洞中4渗透测试其他检查是否存在其他风险高5渗透测试跨站脚本 编制检查是否存在跨站脚本编制风险高6渗透测试任意文件 上传检查是否存在任意文件上传漏洞中7渗透

22、测试任意文件 下载检查是否存在任意文件下载漏洞中8渗透测试匿名枚举检查是否存在匿名枚举漏洞中9渗透测试H录遍历检查是否存在目录遍历漏洞中9Linux操作 系统访问控制C）应限制默认账户的访问权限，修改这些账 户的默认口令高10Linux操作 系统访问控制d）应及时删除多余的、过期的帐户，防止共 享帐户的存在中11Linux操作 系统访问控制e）应禁止root用户使用FTP中12Linux操作 系统访问控制f）应禁止root远程登录高13Linux操作系统访问控制g）禁止用户挂载移动设备中14Linux操作 系统访问控制h）删除rhosts、exrc文件中15Linux操作 系统平安审计a）审计

23、范围应覆盖到服务器上的每个操作 系统用户和数据库用户中16Linux操作 系统平安审计b）审计内容应包括重要用户行为、系统资源 的异常使用和重要系统命令的使用等系统内 重要的平安相关事件；审计记录应包括事件的日期、时间、类型、 主体标识、客体标识和结果等中17Linux操作 系统平安审计c）应保护审计记录，防止受到未预期的删 除、修改或覆盖等中18Linux操作 系统平安审计d）操作系统的审计日志必须保存6个月以上中19Linux操作 系统入侵防范a）操作系统应遵循最小安装的原那么，仅安装 需要的组件和应用程序,并通过设置升级服 务器等方式保持系统补丁及时得到更新中20Linux操作 系统资源

24、控制a）应通过设定终端接入方式、网络地址范围 等条件限制终端登录中21Linux操作 系统资源控制b）应根据平安策略设置登录终端的操作超 时锁定中10渗透测试跨站请求 伪造检查是否存在跨站请求伪造漏洞中11渗透测试远程溢出 漏洞检查是否存在远程溢出漏洞高12渗透测试敏感信息 泄露检查是否存在敏感信息泄露中业务应用渗透测 试登录用户名穷举中业务应用渗透测 试数据批量提交低业务应用渗透测 试多个前端信息泄露低业务应用渗透测 试SQL注入高业务应用渗透测 试反射型跨站脚本漏洞高业务应用渗透测 试文件上传测试高业务应用渗透测 试内网地址泄露低业务应用渗透测 试越权访问测试高业务应用渗透测 试主机头攻击

25、漏洞低业务应用渗透测 试关键数据传输加密测试低业务应用渗透测 试关键数据重放测试中业务应用渗透测 试明文传输漏洞中业务应用渗透测 试多点登录测试低业务应用渗透测 试尝试敏感路径爆破1AIX操作系统1AIX操作系 统身份鉴 别a）应对登录操作系统和数据库系统的用户进 行身份标识和鉴别高2AIX操作系 统身份鉴 别操作系统和数据库系统管理用户身份鉴别信 息应不易被冒用，口令复杂度应满足要求并定 期更换。口令长度不得小于8位，且为字母、 数字或特殊字符的混合组合，用户名和口令不 得等同，禁止应用软件明文存储口令。假设该操作系统和数据库服务于互联网网站，那么 按以下要求执行：普通用户的口令长度不宜短于

26、10字符，系统管 理员用户的口令长度不宜短于12个字符，且每 三个月至少修改一次，口令复杂度为字母、数 字或特殊字符的混合组合，用户名和口令不得 等同，禁止应用软件明文存储口令。高3AIX操作系 统身份鉴 别c）应启用登录失败处理功能，可采取结束会 话、限制非法登录次数和自动退出等措施中4AIX操作系 统身份鉴 别d）当对服务器进行远程管理时，应采取必要 措施，防止鉴别信息在网络传输过程中被窃听中5AIX操作系 统身份鉴 别e）应为操作系统和数据库系统的不同用户分 配不同的用户名，确保用户名具有唯一性中6AIX操作系 统访问控 制a）应启用访问控制功能，依据平安策略控制 用户对资源的访问，并关

27、闭不必要的服务及端 中7AIX操作系 统访问控 制b）应实现操作系统和数据库系统特权用户 的权限别离中8AIX操作系 统访问控 制C）应限制默认账户的访问权限，修改这些账 户的默认口令高9AIX操作系 统访问控 制d）应及时删除多余的、过期的帐户，防止共享 帐户的存在中10AIX操作系 统访问控 制e）应禁止root用户使用FTP低11AIX操作系 统访问控 制f）应禁止root远程登录高12AIX操作系 统访问控 制应启用平安路径中13AIX操作系 统平安审 计a）审计范围应覆盖到服务器上的每个操作系 统用户和数据库用户中14AIX操作系 统平安审 计b）审计内容应包括重要用户行为、系统资源

28、 的异常使用和重要系统命令的使用等系统内 重要的平安相关事件；审计记录应包括事件的日期、时间、类型、主 体标识、客体标识和结果等中15AIX操作系 统平安审 计C）应保护审计记录，防止受到未预期的删除、 修改或覆盖等中16AIX操作系 统平安审 计d）操作系统的审计日志必须保存两个月以上中17AIX操作系 统入侵防 范a）创立警示BANNER对恶意攻击者或尝试者发 起警示低18AIX操作系 统入侵防 范b）删除.rhost文件，防止不平安R系列服务登 录系统中19AIX操作系 统资源控 制a）应通过设定终端接入方式、网络地址范围 等条件限制终端登录中20AIX操作系 统资源控 制b）应根据平安

29、策略设置登录终端的操作超时 锁定中21AIX操作系 统资源控 制C）应限制单个用户对系统资源的最大或最小 使用限度低22AIX操作系 统数据安 全及备 份恢复重要操作系统应具有及时恢复还原能力中23AIX操作系 统数据安 全及备 份恢复重要服务器应具备热备冗余能低24AIX操作系 统其他应及时更新高危组件版本高中创中间件1 1中创中间 件身份鉴 别a）应提供专用的登录控制模块对登录用户进 行身份标识和鉴别高2中创中间 件身份鉴 别b）应提供用户身份标识唯一和鉴别信息复杂 度检查功能，保证应用系统中不存在重复用户 身份标识，身份鉴别信息不易被冒用高3中创中间 件身份鉴 别c）应提供登录失败处理功

30、能，可采取结束会 话、限制非法登录次数和自动退出等措施中4中创中间 件访问控 制a）应不以root或者administrator等管理员用 户运行中创中间件中5中创中间 件平安审 计a）应提供覆盖到每个用户的平安审计功能， 对应用系统重要平安事件进行审计中6中创中间 件平安审 计b）应保证无法单独中断审计进程，无法删除、 修改或覆盖审计记录中7中创中间 件通信保 密性中间件通信或数据传输需经过加密处理中8中创中间 件资源控 制a）当应用系统的通信双方中的一方在一段时 间内未作任何响应，另一方应能够自动结束会 话中9中创中间 件资源控 制b）设置最大并发连接数中10中创中间 件入侵防 护a）应开

31、启SSL保护功能中11中创中间 件入侵防 护b）应修改中间件默认端口中12中创中间 件入侵防 护C）应对错误页面进行了重定向处理中13中创中间 件入侵防 护d）应对中间件管理后台操作进行登陆源限制中14中创中间 件入侵防 护e）应用端口与管理端口应分开部署，管理端口 对普通用户不可见中HS中间件1ns中间件平安审计a）应提供覆盖到每个用户的平安审计功能， 对应用系统重要平安事件进行审计中2ns中间件平安审计b）应保证无法单独中断审计进程，无法删 除、修改或覆盖审计记录中3ns中间件资源控制a）当应用系统的通信双方中的一方在一段时 间内未作任何响应，另一方应能够自动结束 会话中4HS中间件资源控

32、制b）应能够对系统的最大并发会话连接数进行 限制中5ns中间件资源控制C）应禁用多余服务以提升系统平安性和资 源利用效率中6ns中间件入侵防护a）应删除局部安装缺省文件或目录，加强 HS平安中7ns中间件入侵防护b）应最小化脚本映射，到达减少被脚本攻击 的风险中8HS中间件入侵防护C）重新定义出错页面的内容中9ns中间件入侵防护d）应对中间件管理后台操作进行登陆源限制中10ns中间件备份恢复应具备紧急恢复还原能力中Apache中间件1Apache中 间件访问控制a）严格设置配置文件的权限，防止未授权访 问中2Apache中 间件访问控制b）应提供专门管理中间件的帐户，该账户应 该只有管理中间的

33、相关权限中3Apache中 间件访问控制禁止Apache访问Web目录之外的任何文件中4Apache中 间件平安审计a）应提供覆盖到每个用户的平安审计功能， 对应用系统重要平安事件进行审计中5Apache中 间件平安审计b）应保证无法单独中断审计进程，无法删 除、修改或覆盖审计记录中6Apache中 间件资源控制a）当应用系统的通信双方中的一方在一段时 间内未作任何响应，另一方应能够自动结束 会话中7Apache中 间件资源控制限制最大会话连接数中8Apache中 间件入侵防护a）应关闭服务器应答头中的版本信息，服务 器生成页面的页脚中版本信息、，防止信息泄 露中9Apache中 间件入侵防护

34、b）应确保禁止遍历操作系统目录高10Apache中 间件入侵防护C）应修改错误文件信息，防止信息泄漏中11Apache中 间件入侵防护d）应通过对Apache的配置调整，提高系统安 全中12Apache中 间件入侵防护e）应对中间件管理后台操作进行登陆源限制中13Apache中 间件入侵防护中间件应及时更新版本补丁中14Apache中 间件备份恢复应具备紧急恢复还原能力低Mariadb数据库1Mariadb数据库身份鉴别a）应对登录操作系统和数据库系统的用户 进行身份标识和鉴别高2Mariadb数据库身份鉴别b）操作系统和数据库系统管理用户身份鉴 别信息应不易被冒用，口令复杂度应满足要 求并定

35、期更换。口令长度不得小于8位，旦为 字母、数字或特殊字符的混合组合，用户名 和口令不得等同，禁止应用软件明文存储口 令。高3Mariadb数据库身份鉴别c）应启用登录失败处理功能，可采取结束会 话、限制非法登录次数和自动退出等措施中4Mariadb数据库身份鉴别d）当对数据库行远程管理时，应采取必要措 施，防止鉴别信息在网络传输过程中被窃听中5Mariadb数 据库身份鉴别e）应为操作系统和数据库系统的不同用户 分配不同的用户名，确保用户名具有唯一性高6Mariadb数据库访问控制a）应启用访问控制功能，依据平安策略控制 用户对资源的访问高7Mariadb数 据库访问控制b）应根据管理用户的角

36、色分配权限，实现 管理用户的权限别离，仅授予管理用户所需 的最小权限中8Mariadb数 据库访问控制c）应实现操作系统和数据库系统特权用户 的权限别离中9Mariadb数据库访问控制d）应限制默认账户的访问权限，重命名系统 默认账户，修改这些账户的默认口令高10Mariadb数 据库访问控制e）应及时删除多余的、过期的帐户，防止共 享帐户的存在中11Mariadb数据库平安审计a）审计范围应覆盖到服务器上的每个操作 系统用户和数据库用户中12Mariadb数据库平安审计b）审计内容应包括重要用户行为、系统资源 的异常使用和重要系统命令的使用等系统内 重要的平安相关事件中13Mariadb数据

37、库平安审计c）审计记录应包括事件的日期、时间、类型、 主体标识、客体标识和结果等中14Mariadb数据库平安审计d）应保护审计记录，防止受到未预期的删 除、修改或覆盖等中15Mariadb数 据库入侵防范数据库应遵循最小安装的原那么，仅安装需要 的组件和应用程序，并通过设置升级服务器 等方式保持系统补丁及时得到更新高16Mariadb数 据库入侵防范应对于数据库中的敏感字段，如：口令等， 加密保存高17Mariadb数据库入侵防范应通过设定终端接入方式或网络地址范围限 制通过网络进行管理的管理终端进行限制高18Mariadb数 据库资源控制应根据平安策略设置登录终端的操作超时锁 定中Mong

38、oDB数据库1 1MongoDB数据库身份鉴别a）应对登录操作系统和数据库系统的用户 进行身份标识和鉴别高2MongoDB数据库身份鉴别b）操作系统和数据库系统管理用户身份鉴 别信息应不易被冒用，口令复杂度应满足要 求并定期更换。口令长度不得小于8位，且为 字母、数字或特殊字符的混合组合，用户名 和口令不得等同，禁止应用软件明文存储口 令。高3MongoDB数据库身份鉴别c）应启用登录失败处理功能，可采取结束会 话、限制非法登录次数和自动退出等措施中4MongoDB数 据库身份鉴别d）当对数据库行远程管理时，应采取必要措 施，防止鉴别信息在网络传输过程中被窃听中5MongoDB数 据库身份鉴别

39、e）应为操作系统和数据库系统的不同用户 分配不同的用户名，确保用户名具有唯一性高6MongoDB数 据库访问控制a）应启用访问控制功能，依据平安策略控制 用户对资源的访问高7MongoDB数 据库访问控制b）应根据管理用户的角色分配权限，实现 管理用户的权限别离，仅授予管理用户所需 的最小权限中8MongoDB数 据库访问控制C）应实现操作系统和数据库系统特权用户 的权限别离中9MongoDB数据库访问控制d）应限制默认账户的访问权限，重命名系统 默认账户，修改这些账户的默认口令高10MongoDB数 据库访问控制e）应及时删除多余的、过期的帐户，防止共 享帐户的存在中11MongoDB数 据

40、库平安审计a）审计范围应覆盖到服务器上的每个操作 系统用户和数据库用户中12MongoDB数据库平安审计C）审计记录应包括事件的日期、时间、类型、 主体标识、客体标识和结果等中13MongoDB数 据库平安审计d）应保护审计记录，防止受到未预期的删 除、修改或覆盖等。审计记录应保存6个月中14MongoDB数 据库入侵防范数据库应遵循最小安装的原那么，仅安装需要 的组件和应用程序，并通过设置升级服务器 等方式保持系统补丁及时得到更新中15MongoDB数据库入侵防范C）开启服务器监控功能并修改默认监控服务 器地址和端口号高16MongoDB数据库入侵防范应对于数据库中的敏感字段，如：口令等， 加密保存高17MongoDB数 据库资源控制应根据平安策略设置登录终端的操作超时锁 定高18MongoDB数 据库数据平安 及备份恢 复a）应提供本地数据备份与恢复功能,应定期 对数据库配置参数进行备份中19MongoDB数 据库数据平安 及备份恢 复b）应具备热备冗余能力低20MongoDB数 据库数据平安 及备份恢 复C）应有数据库备份操作规程低postgreSQL 数据库1 1postgreSQ L数据库身份鉴别应检查数据库系统的身份鉴别措施；a）应对登录操作系统和数据库系统的用户 进