1、身份鉴别
-
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
"1) 验证管理员WebLogic管理控制台登录是否需要密码。
2) 登录WebLogic管理控制台--安全领域--my realm--用户和组, 查看并询问是否共用帐户。
3) 登录WebLogic管理控制台--安全领域--my realm--提供程序--System Password Validator--提供程序特定——最小口令长度、字符策略。
4)询问或管理上是否要求定期更新口令"
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
"1) 登录WebLogic管理控制台-- 安全领域-- my realm--用户封锁1)是否启用锁定2)封锁阀值3)封锁持续时间4.封锁重置持续时间。
2) 查看WebLogic管理控制台的空闲连接超时设置。
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
登录WebLogic管理控制台--环境-服务器--AdminServer(管理) --一般信息是否启用SSL监听端口。
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
"1)检查是否采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别技术对用户身份进行鉴别;
2)其中一种鉴别技术使用密码技术实现。
2、访问控制
a)应对登录的用户分配账户和权限;
"1) 登录WebLogic管理控制台--安全领域--my realm--用户和组, 查看用户所在组类型
2)询问管理员管理员是否禁用或限制匿名、默认账户的访问权限。
b)应重命名或删除默认账户,修改默认账户的默认口令;
"1) 登录WebLogic管理控制台--安全领域--my realm--用户和组
2)询问管理员管理员是否修改了这些帐户的默认口令"
c)应及时删除或停用多余的、过期的账户,避免共享账户的存在;
"1) 登录WebLogic管理控制台--安全领域--my realm--用户和组, 查看是否有多余的、过期的帐户
2)询问管理员过期多余账号是否删除停用。
d)应授予管理用户所需的最小权限,实现管理用户的权限分离;
"1) 登录WebLogic管理控制台--安全领域--my realm--用户和组、角色和策略
2)查看并询问不同的用户具有不同的角色,是否权限分离
点击LCMUser用户 --更多信息—相关任务--查看该用户的权限:
3)查看并询问用户权限是否最小权限。
e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
"1) 查看WebLogic管理控制台管理员和系统管理员是否能提供用户权限对照表,设置的用户是否与与权限表一致。
2)验证是否有越权情形。"
f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
验证访问控制策略的控制粒度是否达到主体为用户级或进程级,客体为文件、数据库表、记录或字段级。
g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
"1)查看主客体是否设置了安全标记
2)验证是否依据主体、客体安全标记控制主体对客体访问的强制访问控制策略。
3、安全审计
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
"1) 登录WebLogic管理控制台--安全领域--myrealm--提供程序-审计;登录WebLogic管理控制台--环境--服务器--AdminServer(管理) --日志记录——般信息、HTTP
2)询问是否要盖每个用户
3) 登录WebLogic管理控制台--环境--服务器--AdminServer(管理) --调试设置调试范围和属性。
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
1)登录Weblogic管理控制台-诊断-日志文件进行日志内容的查看。
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
1) 询问是否对WebLogic日志进行统一的收集、保护。
2)询问是否定期备份审计记录,并查阅相关备份策略和备份记录。
d)应对审计进程进行保护,防止未经授权的中断。
访谈对审计进程监控和保护的措施;是否有第三方对审计进程监控和保护的措施。
116
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
