简单整理了一些等保中软件安全测试的测试点,记录备忘。
- 提供密码复杂度检查功能,禁止用户创建弱口令。用户首次登陆密码强制修改密码,密码设置必须符合复杂度要求;三级系统需要提供2种身份认证方式;
- 提供用户登录失败处理功能,包括限制IP地址登录、禁用用户、设置锁定时间等方式;
- 提供用户登录日志、用户操作日志和用户管理日志记录功能,方便客户进行安全审计,防止违规操作;
- 提供用户角色授权管理功能,不同用户设置权限,管理员不要有业务权限,只能进行用户创建、删除、禁用等管理操作。设置审计员用户,只能对业务用户和管理员进行审计,不设置业务权限;
- 提供用户自动注销功能,即15分钟内不操作,用户自动注销;
- 禁止单个用户在多台终端同时登录;
- 禁止应用系统存在默认admin等容易猜测的账号名;
- 应用系统实时性较高的系统,应用系统使用负载均衡配置和数据库采取集群配置;
- 应用系统建议使用HTTPS方式登录访问;
- 应用系统中的敏感数据,应通过加密方式存放在数据库中;
- 应用上线前进行安全测试和漏洞扫描,防止应用出现安全漏洞;
- 应用上线后进行安全配置,包括启用应用中间件访问日志、修改默认错误页面,使用普通用户连接数据库(禁止使用数据库管理员连接),删除平台默认访问目录、低权限运行应用平台进程、应用中间件访问日志自动每日备份、weblogic等默认管理端口和默认管理账号修改、网站后台禁止通过互联网访问;
- 为防止应用平台漏洞和应用中间件出现低版本漏洞,要求开发商提供后续服务,包括应用中间件升级服务和应用漏洞修复;
- 要求开发商列清数据备份清单,通过备份计划对备份清单中的数据进行异机配备,三级系统要求异地备份;
- 对个人信息的采集采取最小化原则,仅采集必需的个人信息,且采集信息需要个人同意。
2559
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
