入網(wǎng)安評(píng)基線核查常用檢查項(xiàng)

Linux操作系統(tǒng)序號(hào)安全層面控制點(diǎn)測(cè)評(píng)項(xiàng)風(fēng)險(xiǎn)等級(jí)1Linux操作系統(tǒng)身份鑒別a）應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別高2Linux操作系統(tǒng)身份鑒別操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶(hù)身份鑒別信息應(yīng)不易被冒用，口令復(fù)雜度應(yīng)滿(mǎn)足要求并定期更換。口令長(zhǎng)度不得小于8位，且為字母、數(shù)字或特殊字符的混合組合，用戶(hù)名和口令不得等冋，禁止應(yīng)用軟件明文存儲(chǔ)口令。若該操作系統(tǒng)和數(shù)據(jù)庫(kù)服務(wù)于互聯(lián)網(wǎng)網(wǎng)站，則按以下要求執(zhí)行：普通用戶(hù)的口令長(zhǎng)度不宜短于10字符，系統(tǒng)管理員用戶(hù)的口令長(zhǎng)度不宜短于12個(gè)字符，且每三個(gè)月至少修改一次，口令復(fù)雜度為字母、數(shù)字或特殊字符的混合組合，用戶(hù)名和口令不得等冋，禁止應(yīng)用軟件明文存儲(chǔ)口令。高3Linux操作系統(tǒng)身份鑒別c）應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施中4Linux操作系統(tǒng)身份鑒別d）當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)中5Linux操作系統(tǒng)身份鑒別e）應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶(hù)分配不冋的用戶(hù)名，確保用戶(hù)名具有唯性中6Linux操作系統(tǒng)身份鑒別應(yīng)限制超級(jí)管理員帳戶(hù)遠(yuǎn)程登錄中7Linux操作系統(tǒng)訪問(wèn)控制a）應(yīng)啟用訪問(wèn)控制功能，依據(jù)安全策略控制用戶(hù)對(duì)資源的訪問(wèn)，并關(guān)閉不必要的服務(wù)及端口中8Linux操作系統(tǒng)訪問(wèn)控制b）應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶(hù)的權(quán)限分離中

9Linux操作系統(tǒng)訪問(wèn)控制c）應(yīng)限制默認(rèn)賬戶(hù)的訪問(wèn)權(quán)限，修改這些賬戶(hù)的默認(rèn)口令高10Linux操作系統(tǒng)訪問(wèn)控制d）應(yīng)及時(shí)刪除多余的、過(guò)期的帳戶(hù)，避免共享帳戶(hù)的存在中11Linux操作系統(tǒng)訪問(wèn)控制e）應(yīng)禁止root用戶(hù)使用FTP中12Linux操作系統(tǒng)訪問(wèn)控制f）應(yīng)禁止root遠(yuǎn)稈登錄高13Linux操作系統(tǒng)訪問(wèn)控制g）禁止用戶(hù)掛載移動(dòng)設(shè)備中14Linux操作系統(tǒng)訪問(wèn)控制h）刪除rhosts、exrc文件中15Linux操作系統(tǒng)安全審計(jì)a）審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶(hù)和數(shù)據(jù)庫(kù)用戶(hù)中16Linux操作系統(tǒng)安全審計(jì)b）審計(jì)內(nèi)容應(yīng)包括重要用戶(hù)行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類(lèi)型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等中17Linux操作系統(tǒng)安全審計(jì)c）應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等中18Linux操作系統(tǒng)安全審計(jì)d）操作系統(tǒng)的審計(jì)日志必須保存6個(gè)月以上中19Linux操作系統(tǒng)入侵防范a）操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新中20Linux操作系統(tǒng)資源控制a）應(yīng)通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄中21Linux操作系統(tǒng)資源控制b）應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定中

22Linux操作系統(tǒng)資源控制c）應(yīng)限制單個(gè)用戶(hù)對(duì)系統(tǒng)資源的最大或最小使用限度中23Linux操作系統(tǒng)數(shù)據(jù)安全及備份恢復(fù)重要操作系統(tǒng)應(yīng)具有及時(shí)恢復(fù)還原能力中24Linux操作系統(tǒng)數(shù)據(jù)安全及備份恢復(fù)重要服務(wù)器應(yīng)具備熱備冗余能低25Linux操作系統(tǒng)其他應(yīng)及時(shí)更新高危組件版本高Windows操作系統(tǒng)1Windows操作系統(tǒng)身份鑒別a）應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別高2Windows操作系統(tǒng)身份鑒別操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶(hù)身份鑒別信息應(yīng)不易被冒用，口令復(fù)雜度應(yīng)滿(mǎn)足要求并定期更換?？诹铋L(zhǎng)度不得小于8位，且為字母、數(shù)字或特殊字符的混合組合，用戶(hù)名和口令不得等冋，禁止應(yīng)用軟件明文存儲(chǔ)口令。若該操作系統(tǒng)和數(shù)據(jù)庫(kù)服務(wù)于互聯(lián)網(wǎng)網(wǎng)站，則按以下要求執(zhí)行：普通用戶(hù)的口令長(zhǎng)度不宜短于10字符，系統(tǒng)管理員用戶(hù)的口令長(zhǎng)度不宜短于12個(gè)字符，且每三個(gè)月至少修改一次，口令復(fù)雜度為字母、數(shù)字或特殊字符的混合組合，用戶(hù)名和口令不得等冋，禁止應(yīng)用軟件明文存儲(chǔ)口令。高3Windows操作系統(tǒng)身份鑒別c）應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施中4Windows操作系統(tǒng)身份鑒別d）當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)中5Windows操作系統(tǒng)身份鑒別e）應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶(hù)分配不冋的用戶(hù)名，確保用戶(hù)名具有唯性中

6Windows操作系統(tǒng)身份鑒別應(yīng)限制超級(jí)管理員帳戶(hù)遠(yuǎn)程登錄中7Windows操作系統(tǒng)訪問(wèn)控制a）應(yīng)啟用訪問(wèn)控制功能，依據(jù)安全策略控制用戶(hù)對(duì)資源的訪問(wèn)高8Windows操作系統(tǒng)訪問(wèn)控制b）應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶(hù)的權(quán)限分離中9Windows操作系統(tǒng)訪問(wèn)控制c）應(yīng)限制默認(rèn)賬戶(hù)的訪問(wèn)權(quán)限，修改這些賬戶(hù)的默認(rèn)口令高10Windows操作系統(tǒng)訪問(wèn)控制d）應(yīng)及時(shí)刪除多余的、過(guò)期的帳戶(hù)，避免共享帳戶(hù)的存在中11Windows操作系統(tǒng)訪問(wèn)控制e）應(yīng)對(duì)安全控制選項(xiàng)進(jìn)行優(yōu)化中12Windows操作系統(tǒng)訪問(wèn)控制f）應(yīng)對(duì)控制驅(qū)動(dòng)器和系統(tǒng)在藍(lán)屏之后自動(dòng)運(yùn)行提供保護(hù)中13Windows操作系統(tǒng)訪問(wèn)控制g）應(yīng)對(duì)文件系統(tǒng)實(shí)施保護(hù)中14Windows操作系統(tǒng)安全審計(jì)a）審計(jì)內(nèi)容應(yīng)包括重要用戶(hù)行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類(lèi)型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等中15Windows操作系統(tǒng)安全審計(jì)b）應(yīng)保護(hù)日志設(shè)施和日志信息免受篡改和未授權(quán)訪問(wèn)，保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等中16Windows操作系統(tǒng)入侵防范a）操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新高17Windows操作系統(tǒng)入侵防范b）應(yīng)防止SYNFLOOD攻擊中18Windows操作系統(tǒng)入侵防范c）防止icmp重定向報(bào)文的攻擊中

19Windows操作系統(tǒng)入侵防范d）禁止ipc空連接高20Windows操作系統(tǒng)入侵防范e）啟動(dòng)項(xiàng)檢查，禁用多余的啟動(dòng)項(xiàng)中21Windows操作系統(tǒng)入侵防范f）操作系統(tǒng)關(guān)機(jī)策略安全中22Windows操作系統(tǒng)入侵防范g）操作系統(tǒng)數(shù)據(jù)執(zhí)行保護(hù)安全中23Windows操作系統(tǒng)入侵防范h）應(yīng)開(kāi)啟系統(tǒng)自帶或第二方防火墻中24Windows操作系統(tǒng)入侵防范應(yīng)禁用可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑中25Windows操作系統(tǒng)惡意代碼防范a）應(yīng)安裝防惡意代碼軟件，并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫(kù)高26Windows操作系統(tǒng)惡意代碼防范b）應(yīng)支持防惡意代碼軟件的統(tǒng)管理。中27Windows操作系統(tǒng)資源控制a）應(yīng)通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄中28Windows操作系統(tǒng)資源控制b）應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定中29Windows操作系統(tǒng)資源控制c）應(yīng)限制單個(gè)用戶(hù)對(duì)系統(tǒng)資源的最大或最小使用限度中30Windows操作系統(tǒng)資源控制應(yīng)啟用并正確配置Windows網(wǎng)絡(luò)時(shí)間同步服務(wù)（NTP）中31Windows操作系統(tǒng)其他應(yīng)及時(shí)更新高危組件版本高

Tomcat中間件26Tomcat中間件身份鑒別a）應(yīng)提供專(zhuān)用的登錄控制模塊對(duì)登錄用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別高27Tomcat中間件身份鑒別b）應(yīng)提供用戶(hù)身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢杳功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶(hù)身份標(biāo)識(shí)，身份鑒別信息不易被冒用。1、 用戶(hù)在第一次登錄系統(tǒng)時(shí)修改分發(fā)的初始口令。2、 口令長(zhǎng)度不得小于8位，且為字母、數(shù)字或特殊字符的混合組合，用戶(hù)名和口令不得等同。3、口令應(yīng)至少半年更新次。4、禁止應(yīng)用軟件明文存儲(chǔ)口令。高28Tomcat中間件訪問(wèn)控制a）應(yīng)提供專(zhuān)門(mén)管理中間件的帳戶(hù)，該賬戶(hù)應(yīng)該只有管理中間的相關(guān)權(quán)限中29Tomcat中間件訪問(wèn)控制b）應(yīng)修改默認(rèn)口令或禁用默認(rèn)賬號(hào)高30Tomcat中間件訪問(wèn)控制應(yīng)嚴(yán)格控制中間件目錄的訪問(wèn)權(quán)限，應(yīng)禁止站點(diǎn)目錄瀏覽中31Tomcat中間件訪問(wèn)控制應(yīng)刪除或鎖定過(guò)期帳戶(hù)和無(wú)用帳戶(hù)中32Tomcat中間件訪問(wèn)控制應(yīng)嚴(yán)格限制配置文件和日志文件的訪問(wèn)權(quán)限中33Tomcat中間件安全審計(jì)a）應(yīng)提供覆蓋到每個(gè)用戶(hù)的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)中34Tomcat中間件安全審計(jì)b）應(yīng)保證無(wú)法單獨(dú)中斷審計(jì)進(jìn)程，無(wú)法刪除、修改或覆蓋審計(jì)記錄中35Tomcat中間件資源控制a）當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話中36Tomcat中間件入侵防護(hù)a）應(yīng)對(duì)系統(tǒng)的配置進(jìn)行調(diào)整，提高系統(tǒng)安全。高

37Tomcat中間件入侵防護(hù)b）應(yīng)確保禁止遍歷操作系統(tǒng)目錄高38Tomcat中間件入侵防護(hù)c）應(yīng)防止軟件版本信息泄漏中39Tomcat中間件入侵防護(hù)d）應(yīng)修改錯(cuò)誤文件信息，防止信息泄漏中40Tomcat中間件入侵防護(hù)e）中間件系統(tǒng)應(yīng)限制應(yīng)用服務(wù)器Threads數(shù)量，避免拒絕服務(wù)攻擊中41Tomcat中間件入侵防護(hù)f）應(yīng)對(duì)中間件管理后臺(tái)操作進(jìn)行登陸源限制中42Tomcat中間件入侵防護(hù)中間件應(yīng)及時(shí)更新版本補(bǔ)丁中Nginx中間件26Nginx中間件訪問(wèn)控制a）嚴(yán)格設(shè)置配置文件的權(quán)限，防止未授權(quán)訪問(wèn)中27Nginx中間件訪問(wèn)控制b）應(yīng)提供專(zhuān)門(mén)管理中間件的帳戶(hù)，該賬戶(hù)應(yīng)該只有管理中間的相關(guān)權(quán)限中28Nginx中間件訪問(wèn)控制c）禁止nginx訪問(wèn).htxxx文件中29Nginx中間件安全審計(jì)a）應(yīng)提供覆蓋到每個(gè)用戶(hù)的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)中30Nginx中間件安全審計(jì)b）應(yīng)保證無(wú)法單獨(dú)中斷審計(jì)進(jìn)程，無(wú)法刪除、修改或覆蓋審計(jì)記錄中31Nginx中間件資源控制a）當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話中32Nginx中間件資源控制限制最大會(huì)話連接數(shù)中

33Nginx中間件資源控制限制用戶(hù)連接數(shù)中34Nginx中間件入侵防護(hù)a）應(yīng)關(guān)閉服務(wù)器應(yīng)答頭中的版本信息，服務(wù)器生成頁(yè)面的頁(yè)腳中版本信息，防止信息泄露中35Nginx中間件入侵防護(hù)b）應(yīng)確保禁止遍歷操作系統(tǒng)目錄高36Nginx中間件入侵防護(hù)e）應(yīng)對(duì)中間件管理后臺(tái)操作進(jìn)行登陸源限制中37Nginx中間件入侵防護(hù)f）限制某些ip在同一時(shí)間段內(nèi)的訪問(wèn)次數(shù)中38Nginx中間件入侵防護(hù)g）自定義緩存以限制緩沖區(qū)溢出攻擊中39Nginx中間件入侵防護(hù)應(yīng)及時(shí)更新nginx補(bǔ)丁中40Nginx中間件入侵防護(hù)c）應(yīng)修改錯(cuò)誤文件信息，防止信息泄漏中41Nginx中間件數(shù)據(jù)安全對(duì)敏感字段進(jìn)行過(guò)濾中42Nginx中間件備份恢復(fù)應(yīng)具備緊急恢復(fù)還原能力中Mysql數(shù)據(jù)庫(kù)43MySQL數(shù)據(jù)庫(kù)身份鑒別a）應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別高

44MySQL數(shù)據(jù)庫(kù)身份鑒別b）操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶(hù)身份鑒別信息應(yīng)不易被冒用，口令復(fù)雜度應(yīng)滿(mǎn)足要求并定期更換?？诹铋L(zhǎng)度不得小于8位，且為字母、數(shù)字或特殊字符的混合組合，用戶(hù)名和口令不得等冋，禁止應(yīng)用軟件明文存儲(chǔ)口令。高45MySQL數(shù)據(jù)庫(kù)身份鑒別c）應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施中46MySQL數(shù)據(jù)庫(kù)身份鑒別d）當(dāng)對(duì)數(shù)據(jù)庫(kù)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)中47MySQL數(shù)據(jù)庫(kù)身份鑒別e）應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶(hù)分配不冋的用戶(hù)名，確保用戶(hù)名具有唯性高48MySQL數(shù)據(jù)庫(kù)訪問(wèn)控制a）應(yīng)啟用訪問(wèn)控制功能，依據(jù)安全策略控制用戶(hù)對(duì)資源的訪問(wèn)高49MySQL數(shù)據(jù)庫(kù)訪問(wèn)控制b）應(yīng)根據(jù)管理用戶(hù)的角色分配權(quán)限，實(shí)現(xiàn)管理用戶(hù)的權(quán)限分離，僅授予管理用戶(hù)所需的最小權(quán)限中50MySQL數(shù)據(jù)庫(kù)訪問(wèn)控制c）應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶(hù)的權(quán)限分離中51MySQL數(shù)據(jù)庫(kù)訪問(wèn)控制d）應(yīng)限制默認(rèn)賬戶(hù)的訪問(wèn)權(quán)限，重命名系統(tǒng)默認(rèn)賬戶(hù)，修改這些賬戶(hù)的默認(rèn)口令高52MySQL數(shù)據(jù)庫(kù)訪問(wèn)控制e）應(yīng)及時(shí)刪除多余的、過(guò)期的帳戶(hù)，避免共享帳戶(hù)的存在中53MySQL數(shù)據(jù)庫(kù)安全審計(jì)a）審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶(hù)和數(shù)據(jù)庫(kù)用戶(hù)中54MySQL數(shù)據(jù)庫(kù)安全審計(jì)b）審計(jì)內(nèi)容應(yīng)包括重要用戶(hù)行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件中55MySQL數(shù)據(jù)庫(kù)安全審計(jì)c）申計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類(lèi)型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等中56MySQL數(shù)據(jù)庫(kù)安全審計(jì)d）應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等中

57MySQL數(shù)據(jù)庫(kù)入侵防范數(shù)據(jù)庫(kù)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新高58MySQL數(shù)據(jù)庫(kù)入侵防范應(yīng)對(duì)于數(shù)據(jù)庫(kù)中的敏感字段，如：口令等，加密保存高59MySQL數(shù)據(jù)庫(kù)入侵防范應(yīng)通過(guò)設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍限制通過(guò)網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制高60MySQL數(shù)據(jù)庫(kù)資源控制應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定中Weblogic中間件1Weblogic中間件身份鑒別a）應(yīng)提供專(zhuān)用的登錄控制模塊對(duì)登錄用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別高2Weblogic中間件身份鑒別b）應(yīng)提供用戶(hù)身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢杳功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶(hù)身份標(biāo)識(shí)，身份鑒別信息不易被冒用高3Weblogic中間件身份鑒別c）應(yīng)提供登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施中4Weblogic中間件訪問(wèn)控制應(yīng)授予不同帳戶(hù)為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系中5Weblogic中間件訪問(wèn)控制應(yīng)嚴(yán)格控制中間件目錄的訪問(wèn)權(quán)限，應(yīng)禁止站點(diǎn)目錄瀏覽中6Weblogic中間件訪問(wèn)控制應(yīng)嚴(yán)格限制配置文件和日志文件的訪問(wèn)權(quán)限中7Weblogic中間件訪問(wèn)控制應(yīng)刪除或鎖定過(guò)期帳戶(hù)和無(wú)用帳戶(hù)中8Weblogic中間件訪問(wèn)控制應(yīng)不以root或者administrator等管理員用戶(hù)運(yùn)行weblogic中

9Weblogic中間件安全審計(jì)a）應(yīng)提供覆蓋到每個(gè)用戶(hù)的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)中10Weblogic中間件安全審計(jì)b）應(yīng)保證無(wú)法單獨(dú)中斷審計(jì)進(jìn)程，無(wú)法刪除、修改或覆蓋審計(jì)記錄中11Weblogic中間件安全審計(jì)c）審計(jì)記錄的內(nèi)容至少應(yīng)包括事件日期、時(shí)間、發(fā)起者信息、類(lèi)型、描述和結(jié)果等中12Weblogic中間件通信保密性a）在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證中13Weblogic中間件資源控制a）當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話中14Weblogic中間件入侵防護(hù)a）應(yīng)禁用中間件在通信過(guò)程發(fā)送服務(wù)標(biāo)識(shí)，防止信息泄露中15Weblogic中間件入侵防護(hù)b）應(yīng)開(kāi)啟SSL保護(hù)功能中16Weblogic中間件入侵防護(hù)c）應(yīng)修改中間件默認(rèn)端口中17Weblogic中間件入侵防護(hù)d）應(yīng)限制應(yīng)用服務(wù)器Socket數(shù)量，避免拒絕服務(wù)攻擊中18Weblogic中間件入侵防護(hù)e）重命名控制臺(tái)文件夾中19Weblogic中間件入侵防護(hù)f）應(yīng)對(duì)錯(cuò)誤頁(yè)面進(jìn)行了重定向處理中20Weblogic中間件入侵防護(hù)g）應(yīng)刪除中間件不必要組件和缺省安裝的無(wú)用文件、進(jìn)行基本的安全配置和加固中21Weblogic中間件入侵防護(hù)h）應(yīng)對(duì)中間件管理后臺(tái)操作進(jìn)行登陸源限制中22Weblogic中間件入侵防護(hù)應(yīng)及時(shí)更新中間件補(bǔ)丁中

23Weblogic中間件備份恢復(fù)應(yīng)具備緊急恢復(fù)還原能力中Oracle數(shù)據(jù)庫(kù)86Oracle數(shù)據(jù)庫(kù)身份鑒別a）應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別高87Oracle數(shù)據(jù)庫(kù)身份鑒別b）操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶(hù)身份鑒別信息應(yīng)不易被冒用，口令復(fù)雜度應(yīng)滿(mǎn)足要求并定期更換?？诹铋L(zhǎng)度不得小于8位，且為字母、數(shù)字或特殊字符的混合組合，用戶(hù)名和口令不得等冋，禁止應(yīng)用軟件明文存儲(chǔ)口令。高88Oracle數(shù)據(jù)庫(kù)身份鑒別c）應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施中89Oracle數(shù)據(jù)庫(kù)身份鑒別d）當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)中90Oracle數(shù)據(jù)庫(kù)身份鑒別e）應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶(hù)分配不冋的用戶(hù)名，確保用戶(hù)名具有唯性高91Oracle數(shù)據(jù)庫(kù)身份鑒別f）應(yīng)對(duì)數(shù)據(jù)庫(kù)主機(jī)管理員帳號(hào)進(jìn)行控制（unix中\(zhòng)windows低）高92Oracle數(shù)據(jù)庫(kù)訪問(wèn)控制a）應(yīng)啟用訪問(wèn)控制功能，依據(jù)安全策略控制用戶(hù)對(duì)資源的訪問(wèn)中93Oracle數(shù)據(jù)庫(kù)訪問(wèn)控制b）應(yīng)根據(jù)管理用戶(hù)的角色分配權(quán)限，實(shí)現(xiàn)管理用戶(hù)的權(quán)限分離，僅授予管理用戶(hù)所需的最小權(quán)限中94Oracle數(shù)據(jù)庫(kù)訪問(wèn)控制c）應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶(hù)的權(quán)限分離高95Oracle數(shù)據(jù)庫(kù)訪問(wèn)控制d）應(yīng)限制默認(rèn)賬戶(hù)的訪問(wèn)權(quán)限，修改這些賬戶(hù)的默認(rèn)口令中

96Oracle數(shù)據(jù)庫(kù)訪問(wèn)控制e）應(yīng)及時(shí)刪除多余的、過(guò)期的帳戶(hù)，避免共享帳戶(hù)的存在中97Oracle數(shù)據(jù)庫(kù)訪問(wèn)控制f）應(yīng)對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)字典進(jìn)行保護(hù)中98Oracle數(shù)據(jù)庫(kù)安全審計(jì)a）審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶(hù)和數(shù)據(jù)庫(kù)用戶(hù)中99Oracle數(shù)據(jù)庫(kù)安全審計(jì)b）審計(jì)內(nèi)容應(yīng)包括重要用戶(hù)行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件中100Oracle數(shù)據(jù)庫(kù)安全審計(jì)c）申計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類(lèi)型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等高101Oracle數(shù)據(jù)庫(kù)安全審計(jì)d）應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等高102Oracle數(shù)據(jù)庫(kù)入侵防范a）數(shù)據(jù)庫(kù)應(yīng)遵循最小安裝的原則，僅安裝需要的組件，并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新高103Oracle數(shù)據(jù)庫(kù)入侵防范c）修改數(shù)據(jù)庫(kù)默認(rèn)端口中104Oracle數(shù)據(jù)庫(kù)入侵防范d）對(duì)于數(shù)據(jù)庫(kù)中的敏感字段，如：口令等，應(yīng)加密保存高105Oracle數(shù)據(jù)庫(kù)監(jiān)聽(tīng)器防護(hù)a）應(yīng)設(shè)置監(jiān)聽(tīng)口令中106Oracle數(shù)據(jù)庫(kù)監(jiān)聽(tīng)器防護(hù)b）應(yīng)設(shè)置監(jiān)聽(tīng)服務(wù)空閑連接超時(shí)時(shí)間中107Oracle數(shù)據(jù)庫(kù)數(shù)據(jù)安全及備份恢復(fù)a）應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能,應(yīng)定期對(duì)數(shù)據(jù)庫(kù)配置參數(shù)進(jìn)行備份中108Oracle數(shù)據(jù)庫(kù)數(shù)據(jù)安全及備份恢復(fù)b）應(yīng)具備熱備冗余能力（重要系統(tǒng)）低

109Oracle數(shù)據(jù)庫(kù)數(shù)據(jù)安全及備份恢復(fù)C）應(yīng)有數(shù)據(jù)庫(kù)備份操作規(guī)程低Redis數(shù)據(jù)庫(kù)序號(hào)安全層面控制點(diǎn)測(cè)評(píng)項(xiàng)風(fēng)險(xiǎn)等級(jí)2redis數(shù)據(jù)庫(kù)身份鑒別a）應(yīng)提供專(zhuān)用的登錄控制模塊對(duì)登錄用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別高3redis數(shù)據(jù)庫(kù)身份鑒別b）應(yīng)提供用戶(hù)身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢杳功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶(hù)身份標(biāo)識(shí)，身份鑒別信息不易被冒用。1、 用戶(hù)在第一次登錄系統(tǒng)時(shí)修改分發(fā)的初始口令。2、 口令長(zhǎng)度不得小于8位，且為字母、數(shù)字或特殊字符的混合組合，用戶(hù)名和口令不得等同。3、口令應(yīng)至少半年更新次。高4redis數(shù)據(jù)庫(kù)訪問(wèn)控制a）應(yīng)禁止root用戶(hù)啟用redis中5redis數(shù)據(jù)庫(kù)訪問(wèn)控制b）應(yīng)修改默認(rèn)口令中6redis數(shù)據(jù)庫(kù)訪問(wèn)控制應(yīng)嚴(yán)格控制redis主目錄的訪問(wèn)權(quán)限高7redis數(shù)據(jù)庫(kù)訪問(wèn)控制應(yīng)嚴(yán)格限制配置文件和日志文件的訪問(wèn)權(quán)限高8redis數(shù)據(jù)庫(kù)安全審計(jì)a）應(yīng)提供覆蓋到每個(gè)用戶(hù)的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)中9redis數(shù)據(jù)庫(kù)安全審計(jì)b）應(yīng)保證無(wú)法單獨(dú)中斷審計(jì)進(jìn)程，無(wú)法刪除、修改或覆蓋審計(jì)記錄中

10redis數(shù)據(jù)庫(kù)資源控制a）當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話高11redis數(shù)據(jù)庫(kù)入侵防護(hù)a）應(yīng)對(duì)系統(tǒng)的配置進(jìn)行調(diào)整，提高系統(tǒng)安全中12redis數(shù)據(jù)庫(kù)入侵防護(hù)b）應(yīng)修改錯(cuò)誤文件信息，防止信息泄漏中13redis數(shù)據(jù)庫(kù)入侵防護(hù)c）應(yīng)限制應(yīng)用服務(wù)器Threads數(shù)量，避免拒絕服務(wù)攻擊中14redis數(shù)據(jù)庫(kù)入侵防護(hù)f）應(yīng)對(duì)redis管理后臺(tái)操作進(jìn)行登陸源限制中15redis數(shù)據(jù)庫(kù)入侵防護(hù)應(yīng)及時(shí)更新redis補(bǔ)丁中達(dá)夢(mèng)數(shù)據(jù)庫(kù)1達(dá)夢(mèng)數(shù)據(jù)庫(kù)身份鑒別應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別高2達(dá)夢(mèng)數(shù)據(jù)庫(kù)身份鑒別操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶(hù)身份鑒別信息應(yīng)不易被冒用，口令復(fù)雜度應(yīng)滿(mǎn)足要求并定期更換?？诹铋L(zhǎng)度不得小于8位，且為字母、數(shù)字或特殊字符的混合組合，用戶(hù)名和口令不得等冋，禁止應(yīng)用軟件明文存儲(chǔ)口令高3達(dá)夢(mèng)數(shù)據(jù)庫(kù)身份鑒別應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施中4達(dá)夢(mèng)數(shù)據(jù)庫(kù)身份鑒別當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)中5達(dá)夢(mèng)數(shù)據(jù)庫(kù)身份鑒別應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶(hù)分配不同的用戶(hù)名，確保用戶(hù)名具有唯一性高6達(dá)夢(mèng)數(shù)據(jù)庫(kù)身份鑒別應(yīng)對(duì)數(shù)據(jù)庫(kù)主機(jī)管理員帳號(hào)進(jìn)行控制中

7達(dá)夢(mèng)數(shù)據(jù)庫(kù)訪問(wèn)控制a）應(yīng)啟用訪問(wèn)控制功能，依據(jù)安全策略控制用戶(hù)對(duì)資源的訪問(wèn)中8達(dá)夢(mèng)數(shù)據(jù)庫(kù)訪問(wèn)控制b）應(yīng)根據(jù)管理用戶(hù)的角色分配權(quán)限，實(shí)現(xiàn)管理用戶(hù)與應(yīng)用系統(tǒng)用戶(hù)的權(quán)限分離，僅授予應(yīng)用系統(tǒng)用戶(hù)所需的最小權(quán)限高9達(dá)夢(mèng)數(shù)據(jù)庫(kù)訪問(wèn)控制C）應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶(hù)的權(quán)限分離中10達(dá)夢(mèng)數(shù)據(jù)庫(kù)訪問(wèn)控制d）應(yīng)限制默認(rèn)賬戶(hù)的訪問(wèn)權(quán)限，修改這些賬戶(hù)的默認(rèn)口令高11達(dá)夢(mèng)數(shù)據(jù)庫(kù)訪問(wèn)控制e）應(yīng)及時(shí)刪除多余的、過(guò)期的帳戶(hù)，避免共享帳戶(hù)的存在中12達(dá)夢(mèng)數(shù)據(jù)庫(kù)安全審計(jì)a）審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶(hù)和數(shù)據(jù)庫(kù)用戶(hù)中13達(dá)夢(mèng)數(shù)據(jù)庫(kù)安全審計(jì)b）審計(jì)內(nèi)容應(yīng)包括重要用戶(hù)行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件中14達(dá)夢(mèng)數(shù)據(jù)庫(kù)安全審計(jì)c）申計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類(lèi)型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等中15達(dá)夢(mèng)數(shù)據(jù)庫(kù)安全審計(jì)d）應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等中16達(dá)夢(mèng)數(shù)據(jù)庫(kù)入侵防范a）數(shù)據(jù)庫(kù)應(yīng)遵循最小安裝的原則，僅安裝需要的組件，并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新中17達(dá)夢(mèng)數(shù)據(jù)庫(kù)入侵防范b）修改數(shù)據(jù)庫(kù)默認(rèn)端口中18達(dá)夢(mèng)數(shù)據(jù)庫(kù)入侵防范c）對(duì)于數(shù)據(jù)庫(kù)中的敏感字段，如：口令等，應(yīng)加密保存高19達(dá)夢(mèng)數(shù)據(jù)庫(kù)入侵防范d）數(shù)據(jù)庫(kù)服務(wù)器應(yīng)當(dāng)置于單獨(dú)的服務(wù)器區(qū)域，任何對(duì)這些數(shù)據(jù)庫(kù)服務(wù)器的物理訪問(wèn)均應(yīng)受到控制低

20達(dá)夢(mèng)數(shù)據(jù)庫(kù)入侵防范e）數(shù)據(jù)庫(kù)服務(wù)器所在的服務(wù)器區(qū)域邊界應(yīng)部署防火墻或其它邏輯隔離設(shè)施低21達(dá)夢(mèng)數(shù)據(jù)庫(kù)監(jiān)聽(tīng)器防護(hù)a）應(yīng)設(shè)置監(jiān)聽(tīng)服務(wù)空閑連接超時(shí)時(shí)間中22達(dá)夢(mèng)數(shù)據(jù)庫(kù)資源控制終端接入方式限制中23達(dá)夢(mèng)數(shù)據(jù)庫(kù)數(shù)據(jù)安全及備份恢復(fù)a）應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能，應(yīng)定期對(duì)數(shù)據(jù)庫(kù)配置參數(shù)進(jìn)彳丁備份中24達(dá)夢(mèng)數(shù)據(jù)庫(kù)數(shù)據(jù)安全及備份恢復(fù)b）應(yīng)具備熱備冗余能力低應(yīng)用系統(tǒng)61應(yīng)用系統(tǒng)身份鑒別應(yīng)提供專(zhuān)用的登錄控制模塊對(duì)登錄用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別高62應(yīng)用系統(tǒng)身份鑒別應(yīng)提供用戶(hù)身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢杳功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶(hù)身份標(biāo)識(shí)，身份鑒別信息不易被冒用中63應(yīng)用系統(tǒng)身份鑒別應(yīng)提供用戶(hù)身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢杳功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶(hù)身份標(biāo)識(shí)，身份鑒別信息不易被冒用高64應(yīng)用系統(tǒng)身份鑒別應(yīng)提供登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施中65應(yīng)用系統(tǒng)訪問(wèn)控制應(yīng)提供訪問(wèn)控制功能，依據(jù)安全策略控制用戶(hù)對(duì)文件、數(shù)據(jù)庫(kù)表等客體的訪問(wèn)中66應(yīng)用系統(tǒng)訪問(wèn)控制應(yīng)由授權(quán)主體配置訪問(wèn)控制策略，并嚴(yán)格限制默認(rèn)賬戶(hù)的訪問(wèn)權(quán)限，并及時(shí)刪除或禁用多余、過(guò)期帳戶(hù)中

67應(yīng)用系統(tǒng)訪問(wèn)控制應(yīng)授予不同賬戶(hù)為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系中68應(yīng)用系統(tǒng)訪問(wèn)控制應(yīng)將業(yè)務(wù)系統(tǒng)后臺(tái)管理頁(yè)面服務(wù)端口與業(yè)務(wù)系統(tǒng)頁(yè)面服務(wù)端口分離中69應(yīng)用系統(tǒng)安全審計(jì)應(yīng)提供覆蓋到每個(gè)用戶(hù)的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)中70應(yīng)用系統(tǒng)安全審計(jì)應(yīng)保證無(wú)法刪除、修改或覆蓋審計(jì)記錄中71應(yīng)用系統(tǒng)通信完整性應(yīng)采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性低72應(yīng)用系統(tǒng)通信保密性在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證低73應(yīng)用系統(tǒng)通信保密性應(yīng)對(duì)通信過(guò)程中的整個(gè)報(bào)文或會(huì)話過(guò)程進(jìn)行加密高74應(yīng)用系統(tǒng)軟件容錯(cuò)應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求中75應(yīng)用系統(tǒng)軟件容錯(cuò)應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的數(shù)據(jù)類(lèi)型符合系統(tǒng)設(shè)定要求高76應(yīng)用系統(tǒng)軟件容錯(cuò)在故障發(fā)生時(shí)，應(yīng)用系統(tǒng)應(yīng)能夠繼續(xù)提供一部分功能，確保能夠?qū)嵤┍匾拇胧┑?7應(yīng)用系統(tǒng)軟件容錯(cuò)d）采用Struts2框架的應(yīng)用系統(tǒng)，應(yīng)對(duì)Struts2及時(shí)進(jìn)行更新高78應(yīng)用系統(tǒng)軟件容錯(cuò)提供下載功能時(shí)，需要嚴(yán)格限制用戶(hù)下載的文件路徑，避免用戶(hù)非法下載音應(yīng)用系統(tǒng)其它文件中79應(yīng)用系統(tǒng)資源控制當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話中

80應(yīng)用系統(tǒng)資源控制應(yīng)能夠?qū)?yīng)用系統(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制中81應(yīng)用系統(tǒng)資源控制應(yīng)能夠?qū)蝹€(gè)賬戶(hù)的多重并發(fā)會(huì)話進(jìn)行限制中82應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)漏洞掃描對(duì)應(yīng)用程序進(jìn)行漏洞掃描，檢測(cè)系統(tǒng)存在的安全漏洞低83應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)漏洞掃描對(duì)應(yīng)用程序進(jìn)行漏洞掃描，檢測(cè)系統(tǒng)存在的安全漏洞中84應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)漏洞掃描對(duì)應(yīng)用程序進(jìn)行漏洞掃描，檢測(cè)系統(tǒng)存在的安全漏洞高85應(yīng)用系統(tǒng)數(shù)據(jù)安全及備份恢復(fù)a）應(yīng)米用加密或其他保護(hù)措施實(shí)現(xiàn)應(yīng)用系統(tǒng)敏感信息的存儲(chǔ)保密性高滲透測(cè)試1滲透測(cè)試未授權(quán)訪問(wèn)/權(quán)限繞過(guò)檢查是否存在未授權(quán)訪問(wèn)/權(quán)限繞過(guò)漏洞中2滲透測(cè)試SQL注入檢查是否存在SQL注入風(fēng)險(xiǎn)高3滲透測(cè)試URL跳轉(zhuǎn)檢查是否存在URL跳轉(zhuǎn)漏洞中4滲透測(cè)試其他檢查是否存在其他風(fēng)險(xiǎn)高5滲透測(cè)試跨站腳本編制檢查是否存在跨站腳本編制風(fēng)險(xiǎn)高6滲透測(cè)試任意文件上傳檢查是否存在任意文件上傳漏洞中7滲透測(cè)試任意文件下載檢查是否存在任意文件下載漏洞中8滲透測(cè)試匿名枚舉檢杳是否存在匿名枚舉漏洞中9滲透測(cè)試目錄遍歷檢查是否存在目錄遍歷漏洞中

10滲透測(cè)試跨站請(qǐng)求偽造檢查疋否存在跨站請(qǐng)求偽造漏洞中11滲透測(cè)試遠(yuǎn)程溢出漏洞檢查是否存在遠(yuǎn)程溢出漏洞高12滲透測(cè)試敏感信息泄露檢查是否存在敏感信息泄露中業(yè)務(wù)應(yīng)用滲透測(cè)試登錄用戶(hù)名窮舉中業(yè)務(wù)應(yīng)用滲透測(cè)試數(shù)據(jù)批量提交低業(yè)務(wù)應(yīng)用滲透測(cè)試多個(gè)前端信息泄露低業(yè)務(wù)應(yīng)用滲透測(cè)試SQL注入高業(yè)務(wù)應(yīng)用滲透測(cè)試反射型跨站腳本漏洞高業(yè)務(wù)應(yīng)用滲透測(cè)試文件上傳測(cè)試高業(yè)務(wù)應(yīng)用滲透測(cè)試內(nèi)網(wǎng)地址泄露低業(yè)務(wù)應(yīng)用滲透測(cè)試越權(quán)訪問(wèn)測(cè)試高業(yè)務(wù)應(yīng)用滲透測(cè)試主機(jī)頭攻擊漏洞低業(yè)務(wù)應(yīng)用滲透測(cè)試關(guān)鍵數(shù)據(jù)傳輸加密測(cè)試低業(yè)務(wù)應(yīng)用滲透測(cè)試關(guān)鍵數(shù)據(jù)重放測(cè)試中業(yè)務(wù)應(yīng)用滲透測(cè)試明文傳輸漏洞中

業(yè)務(wù)應(yīng)用滲透測(cè)試多點(diǎn)登錄測(cè)試低業(yè)務(wù)應(yīng)用滲透測(cè)試嘗試敏感路徑爆破中AIX操作系統(tǒng)1AIX操作系統(tǒng)身份鑒別a）應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別高2AIX操作系統(tǒng)身份鑒別操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶(hù)身份鑒別信息應(yīng)不易被冒用，口令復(fù)雜度應(yīng)滿(mǎn)足要求并定期更換?？诹铋L(zhǎng)度不得小于8位，且為字母、數(shù)字或特殊字符的混合組合，用戶(hù)名和口令不得等冋，禁止應(yīng)用軟件明文存儲(chǔ)口令。若該操作系統(tǒng)和數(shù)據(jù)庫(kù)服務(wù)于互聯(lián)網(wǎng)網(wǎng)站，則按以下要求執(zhí)行：普通用戶(hù)的口令長(zhǎng)度不宜短于10字符，系統(tǒng)管理員用戶(hù)的口令長(zhǎng)度不宜短于12個(gè)字符，且每三個(gè)月至少修改一次，口令復(fù)雜度為字母、數(shù)字或特殊字符的混合組合，用戶(hù)名和口令不得等冋，禁止應(yīng)用軟件明文存儲(chǔ)口令。高3AIX操作系統(tǒng)身份鑒別c）應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施中4AIX操作系統(tǒng)身份鑒別d）當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)中5AIX操作系統(tǒng)身份鑒別e）應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶(hù)分配不冋的用戶(hù)名，確保用戶(hù)名具有唯性中6AIX操作系統(tǒng)訪問(wèn)控制a）應(yīng)啟用訪問(wèn)控制功能，依據(jù)安全策略控制用戶(hù)對(duì)資源的訪問(wèn)，并關(guān)閉不必要的服務(wù)及端口中7AIX操作系統(tǒng)訪問(wèn)控制b）應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶(hù)的權(quán)限分離中

8AIX操作系統(tǒng)訪問(wèn)控制c）應(yīng)限制默認(rèn)賬戶(hù)的訪問(wèn)權(quán)限，修改這些賬戶(hù)的默認(rèn)口令高9AIX操作系統(tǒng)訪問(wèn)控制d）應(yīng)及時(shí)刪除多余的、過(guò)期的帳戶(hù)，避免共享帳戶(hù)的存在中10AIX操作系統(tǒng)訪問(wèn)控制e）應(yīng)禁止root用戶(hù)使用FTP低11AIX操作系統(tǒng)訪問(wèn)控制f）應(yīng)禁止root遠(yuǎn)稈登錄高12AIX操作系統(tǒng)訪問(wèn)控制應(yīng)啟用安全路徑中13AIX操作系統(tǒng)安全審計(jì)a）審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶(hù)和數(shù)據(jù)庫(kù)用戶(hù)中14AIX操作系統(tǒng)安全審計(jì)b）審計(jì)內(nèi)容應(yīng)包括重要用戶(hù)行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類(lèi)型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等中15AIX操作系統(tǒng)安全審計(jì)c）應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等中16AIX操作系統(tǒng)安全審計(jì)d）操作系統(tǒng)的審計(jì)日志必須保存兩個(gè)月以上中17AIX操作系統(tǒng)入侵防范a）創(chuàng)建警示BANNER對(duì)惡意攻擊者或嘗試者發(fā)起警示低18AIX操作系統(tǒng)入侵防范b）刪除.rhost文件，防止不安全R系列服務(wù)登錄系統(tǒng)中19AIX操作系統(tǒng)資源控制a）應(yīng)通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄中20AIX操作系統(tǒng)資源控制b）應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定中21AIX操作系統(tǒng)資源控制c）應(yīng)限制單個(gè)用戶(hù)對(duì)系統(tǒng)資源的最大或最小使用限度低

22AIX操作系統(tǒng)數(shù)據(jù)安全及備份恢復(fù)重要操作系統(tǒng)應(yīng)具有及時(shí)恢復(fù)還原能力中23AIX操作系統(tǒng)數(shù)據(jù)安全及備份恢復(fù)重要服務(wù)器應(yīng)具備熱備冗余能低24AIX操作系統(tǒng)其他應(yīng)及時(shí)更新高危組件版本高中創(chuàng)中間件11中創(chuàng)中間件身份鑒別a）應(yīng)提供專(zhuān)用的登錄控制模塊對(duì)登錄用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別高2中創(chuàng)中間件身份鑒別b）應(yīng)提供用戶(hù)身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢杳功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶(hù)身份標(biāo)識(shí)，身份鑒別信息不易被冒用高3中創(chuàng)中間件身份鑒別c）應(yīng)提供登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施中4中創(chuàng)中間件訪問(wèn)控制a）應(yīng)不以root或者administrator等管理員用戶(hù)運(yùn)行中創(chuàng)中間件中5中創(chuàng)中間件安全審計(jì)a）應(yīng)提供覆蓋到每個(gè)用戶(hù)的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)中6中創(chuàng)中間件安全審計(jì)b）應(yīng)保證無(wú)法單獨(dú)中斷審計(jì)進(jìn)程，無(wú)法刪除、修改或覆蓋審計(jì)記錄中7中創(chuàng)中間件通信保密性中間件通信或數(shù)據(jù)傳輸需經(jīng)過(guò)加密處理中8中創(chuàng)中間件資源控制a）當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話中9中創(chuàng)中間件資源控制b）設(shè)置最大并發(fā)連接數(shù)中

10中創(chuàng)中間件入侵防護(hù)a）應(yīng)開(kāi)啟SSL保護(hù)功能中11中創(chuàng)中間件入侵防護(hù)b）應(yīng)修改中間件默認(rèn)端口中12中創(chuàng)中間件入侵防護(hù)c）應(yīng)對(duì)錯(cuò)誤頁(yè)面進(jìn)行了重定向處理中13中創(chuàng)中間件入侵防護(hù)d）應(yīng)對(duì)中間件管理后臺(tái)操作進(jìn)行登陸源限制中14中創(chuàng)中間件入侵防護(hù)e）應(yīng)用端口與管理端口應(yīng)分開(kāi)部署，管理端口對(duì)普通用戶(hù)不可見(jiàn)中IIS中間件1IIS中間件安全審計(jì)a）應(yīng)提供覆蓋到每個(gè)用戶(hù)的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)中2IIS中間件安全審計(jì)b）應(yīng)保證無(wú)法單獨(dú)中斷審計(jì)進(jìn)程，無(wú)法刪除、修改或覆蓋審計(jì)記錄中3IIS中間件資源控制a）當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話中4IIS中間件資源控制b）應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制中5IIS中間件資源控制c）應(yīng)禁用多余服務(wù)以提升系統(tǒng)安全性和資源利用效率中6IIS中間件入侵防護(hù)a）應(yīng)刪除部分安裝缺省文件或目錄，加強(qiáng)IIS安全中7IIS中間件入侵防護(hù)b）應(yīng)最小化腳本映射，達(dá)到減少被腳本攻擊的風(fēng)險(xiǎn)中8IIS中間件入侵防護(hù)c）重新定義出錯(cuò)頁(yè)面的內(nèi)容中

9IIS中間件入侵防護(hù)d）應(yīng)對(duì)中間件管理后臺(tái)操作進(jìn)行登陸源限制中10IIS中間件備份恢復(fù)應(yīng)具備緊急恢復(fù)還原能力中Apache中間件1Apache中間件訪問(wèn)控制a）嚴(yán)格設(shè)置配置文件的權(quán)限，防止未授權(quán)訪問(wèn)中2Apache中間件訪問(wèn)控制b）應(yīng)提供專(zhuān)門(mén)管理中間件的帳戶(hù)，該賬戶(hù)應(yīng)該只有管理中間的相關(guān)權(quán)限中3Apache中間件訪問(wèn)控制禁止Apache訪問(wèn)Web目錄之外的任何文件中4Apache中間件安全審計(jì)a）應(yīng)提供覆蓋到每個(gè)用戶(hù)的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)中5Apache中間件安全審計(jì)b）應(yīng)保證無(wú)法單獨(dú)中斷審計(jì)進(jìn)程，無(wú)法刪除、修改或覆蓋審計(jì)記錄中6Apache中間件資源控制a）當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話中7Apache中間件資源控制限制最大會(huì)話連接數(shù)中8Apache中間件入侵防護(hù)a）應(yīng)關(guān)閉服務(wù)器應(yīng)答頭中的版本信息，服務(wù)器生成頁(yè)面的頁(yè)腳中版本信息，防止信息泄露中9Apache中間件入侵防護(hù)b）應(yīng)確保禁止遍歷操作系統(tǒng)目錄高10Apache中間件入侵防護(hù)c）應(yīng)修改錯(cuò)誤文件信息，防止信息泄漏中11Apache中間件入侵防護(hù)d）應(yīng)通過(guò)對(duì)Apache的配置調(diào)整，提高系統(tǒng)安全中

12Apache中間件入侵防護(hù)e）應(yīng)對(duì)中間件管理后臺(tái)操作進(jìn)行登陸源限制中13Apache中間件入侵防護(hù)中間件應(yīng)及時(shí)更新版本補(bǔ)丁中14Apache中間件備份恢復(fù)應(yīng)具備緊急恢復(fù)還原能力低Mariadb數(shù)據(jù)庫(kù)1Mariadb數(shù)據(jù)庫(kù)身份鑒別a）應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別高2Mariadb數(shù)據(jù)庫(kù)身份鑒別b）操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶(hù)身份鑒別信息應(yīng)不易被冒用，口令復(fù)雜度應(yīng)滿(mǎn)足要求并定期更換。口令長(zhǎng)度不得小于8位，且為字母、數(shù)字或特殊字符的混合組合，用戶(hù)名和口令不得等冋，禁止應(yīng)用軟件明文存儲(chǔ)口令。高3Mariadb數(shù)據(jù)庫(kù)身份鑒別c）應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施中4Mariadb數(shù)據(jù)庫(kù)身份鑒別d）當(dāng)對(duì)數(shù)據(jù)庫(kù)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)中5Mariadb數(shù)據(jù)庫(kù)身份鑒別e）應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶(hù)分配不冋的用戶(hù)名，確保用戶(hù)名具有唯性高6Mariadb數(shù)據(jù)庫(kù)訪問(wèn)控制a）應(yīng)啟用訪問(wèn)控制功能，依據(jù)安全策略控制用戶(hù)對(duì)資源的訪問(wèn)高7Mariadb數(shù)據(jù)庫(kù)訪問(wèn)控制b）應(yīng)根據(jù)管理用戶(hù)的角色分配權(quán)限，實(shí)現(xiàn)管理用戶(hù)的權(quán)限分離，僅授予管理用戶(hù)所需的最小權(quán)限中8Mariadb數(shù)據(jù)庫(kù)訪問(wèn)控制c）應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶(hù)的權(quán)限分離中

9Mariadb數(shù)據(jù)庫(kù)訪問(wèn)控制d）應(yīng)限制默認(rèn)賬戶(hù)的訪問(wèn)權(quán)限，重命名系統(tǒng)默認(rèn)賬戶(hù)，修改這些賬戶(hù)的默認(rèn)口令高10Mariadb數(shù)據(jù)庫(kù)訪問(wèn)控制e）應(yīng)及時(shí)刪除多余的、過(guò)期的帳戶(hù)，避免共享帳戶(hù)的存在中11Mariadb數(shù)據(jù)庫(kù)安全審計(jì)a）審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶(hù)和數(shù)據(jù)庫(kù)用戶(hù)中12Mariadb數(shù)據(jù)庫(kù)安全審計(jì)b）審計(jì)內(nèi)容應(yīng)包括重要用戶(hù)行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件中13Mariadb數(shù)據(jù)庫(kù)安全審計(jì)c）申計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類(lèi)型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等中14Mariadb數(shù)據(jù)庫(kù)安全審計(jì)d）應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等中15Mariadb數(shù)據(jù)庫(kù)入侵防范數(shù)據(jù)庫(kù)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新高16Mariadb數(shù)據(jù)庫(kù)入侵防范應(yīng)對(duì)于數(shù)據(jù)庫(kù)中的敏感字段，如：口令等，加密保存高17Mariadb數(shù)據(jù)庫(kù)入侵防范應(yīng)通過(guò)設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍限制通過(guò)網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制高18Mariadb數(shù)據(jù)庫(kù)資源控制應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定中MongoDB數(shù)據(jù)庫(kù)MongoDB數(shù)身份鑒別a）應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶(hù)高11據(jù)庫(kù)進(jìn)行身份標(biāo)識(shí)和鑒別

2MongoDB數(shù)據(jù)庫(kù)身份鑒別b）操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶(hù)身份鑒別信息應(yīng)不易被冒用，口令復(fù)雜度應(yīng)滿(mǎn)足要求并定期更換?？诹铋L(zhǎng)度不得小于8位，且為字母、數(shù)字或特殊字符的混合組合，用戶(hù)名和口令不得等冋，禁止應(yīng)用軟件明文存儲(chǔ)口令。高3MongoDB數(shù)據(jù)庫(kù)身份鑒別c）應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施中4MongoDB數(shù)據(jù)庫(kù)身份鑒別d）當(dāng)對(duì)數(shù)據(jù)庫(kù)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)中5MongoDB數(shù)據(jù)庫(kù)身份鑒別e）應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶(hù)分配不冋的用戶(hù)名，確保用戶(hù)名具有唯性高6MongoDB數(shù)據(jù)庫(kù)訪問(wèn)控制a）應(yīng)啟用訪問(wèn)控制功能，依據(jù)安全策略控制用戶(hù)對(duì)資源的訪問(wèn)高7MongoDB數(shù)據(jù)庫(kù)訪問(wèn)控制b）應(yīng)根據(jù)管理用戶(hù)的角色分配權(quán)限，實(shí)現(xiàn)管理用戶(hù)的權(quán)限分離，僅授予管理用戶(hù)所需的最小權(quán)限中8MongoDB數(shù)據(jù)庫(kù)訪問(wèn)控制c）應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶(hù)的權(quán)限分離中9MongoDB數(shù)據(jù)庫(kù)訪問(wèn)控制d）應(yīng)限制默認(rèn)賬戶(hù)的訪問(wèn)權(quán)限，重命名系統(tǒng)默認(rèn)賬戶(hù)，修改這些賬戶(hù)的默認(rèn)口令高10MongoDB數(shù)據(jù)庫(kù)訪問(wèn)控制e）應(yīng)及時(shí)刪除多余的、過(guò)期的帳戶(hù)，避免共享帳戶(hù)的存在中11MongoDB數(shù)據(jù)庫(kù)安全審計(jì)a）審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶(hù)和數(shù)據(jù)庫(kù)用戶(hù)中12MongoDB數(shù)據(jù)庫(kù)安全審計(jì)c）申計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類(lèi)型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等中13MongoDB數(shù)據(jù)庫(kù)安全審計(jì)d）應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。申計(jì)記錄應(yīng)保留6個(gè)月中14MongoDB數(shù)據(jù)庫(kù)入侵防范數(shù)據(jù)庫(kù)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新中

15MongoDB數(shù)據(jù)庫(kù)入侵防范c）開(kāi)啟服務(wù)器監(jiān)控功能并修改默認(rèn)監(jiān)控服務(wù)器地址和端口號(hào)高16MongoDB數(shù)據(jù)庫(kù)入侵防范應(yīng)對(duì)于數(shù)據(jù)庫(kù)中的敏感字段，如：口令等，加密保存高17MongoDB數(shù)據(jù)庫(kù)資源控制應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定高18MongoDB數(shù)據(jù)庫(kù)數(shù)據(jù)安全及備份恢復(fù)a）應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能,應(yīng)定期對(duì)數(shù)據(jù)庫(kù)配置參數(shù)進(jìn)彳丁備份中19MongoDB數(shù)據(jù)庫(kù)數(shù)據(jù)安全及備份恢復(fù)b）應(yīng)具備熱備冗余能力低20MongoDB數(shù)據(jù)庫(kù)數(shù)據(jù)安全及備份恢復(fù)c）應(yīng)有數(shù)據(jù)庫(kù)備份操作規(guī)程低postgreSQL數(shù)據(jù)庫(kù)11postgreSQL數(shù)據(jù)庫(kù)身份鑒別應(yīng)檢查數(shù)據(jù)庫(kù)系統(tǒng)的身份鑒別措施；a）應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別高2postgreSQL數(shù)據(jù)庫(kù)身份鑒別b）操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶(hù)身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換中3postgreSQL數(shù)據(jù)庫(kù)身份鑒別c）應(yīng)啟用登錄驗(yàn)證超時(shí)功能，當(dāng)?shù)卿涍^(guò)程中在定時(shí)間內(nèi)未進(jìn)行密碼驗(yàn)證時(shí)，需等待段時(shí)間后才能進(jìn)行下一次登錄高4postgreSQL數(shù)據(jù)庫(kù)身份鑒別d）當(dāng)對(duì)數(shù)據(jù)庫(kù)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)中5postgreSQL數(shù)據(jù)庫(kù)身份鑒別e）應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶(hù)分配不冋的用戶(hù)名，確保用戶(hù)名具有唯性高

6postgreSQL數(shù)據(jù)庫(kù)身份鑒別f）設(shè)置密碼應(yīng)時(shí)防止密碼被記錄到數(shù)據(jù)庫(kù)日志、history、或?qū)徲?jì)日志，pg_stat_activity,pg_stat_statement中高7postgreSQL數(shù)據(jù)庫(kù)身份鑒別g）密碼安全中8postgreSQL數(shù)據(jù)庫(kù)訪問(wèn)控制a）應(yīng)啟用訪問(wèn)控制功能，依據(jù)安全策略控制用戶(hù)對(duì)資源的訪問(wèn)中9postgreSQL數(shù)據(jù)庫(kù)訪問(wèn)控制b）應(yīng)根據(jù)管理用戶(hù)的角色分配權(quán)限，實(shí)現(xiàn)管理用戶(hù)的權(quán)限分離，僅授予管理用戶(hù)所需