最近系统出现了一些异常操作,但至今只核查出了大概,仍未完全清晰。对于系统的安全日志有了一些总结。
1、系统登录必须记录日志
日志的内容必须包括:登录时间、登出时间、登录ip、主机名、MAC地址
但登出时间有点难度,比如用户直接点击浏览器的关闭按钮,此处设计要注意。
2、用户点击系统的重要页面必须记录日志
一个系统的页面众多,可以的话当然全部记录最好,如果存储有难度,关键的页面必须记录
3、必须保证登录session的正确性
这个包含两方面:一是必须登录了才能查看系统,避免系统的任何一个url拷贝到另一个浏览器也能打开的状况;
二是用户的识别必须正确,不能A用户点击的页面,错记录为B用户
4、对于每一笔操作,都应该有个来源记录
比如我作了一个修改操作,这个操作可以在A页面做,也可以在B页面做,所以必须记录下这个操作的来源页面是哪里。如果来源系统也不一样,就更要记录
5、对于系统的数据修改,必须严格管控
上面说的这么多日志的记录,如果可以被人随意修改,那记录再多也是白扯。
6、严格控制非页面操作的数据修改
后台数据的修改除了从系统页面操作,必然还有许多渠道。比如直接执行sql、通过soapui调用一些业务操作接口、通过公司内部的调试软件进行调用操作等。
所以数据库最好打开审计功能,记录sql的操作日志。调试的工具不可能禁止使用,但最好严格控制人数,圈定了几个人,基本都不可能瞎来。
7、控制vpn的使用
基本内网才能操作系统。但如果有vpn,就加大查找来源的难度。
2015.3.12
===========
2015.3.13补充:
只记录登录日志还不太够,如何证明这个登录操作是他本人而不是被盗用呢?
最好还有一个确认的操作。比如短信确认。你的帐号密码被盗了,不可能手机也被盗了吧。如果短信成本太高,微信、token等手段也可以。
186
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
