《信息安全建设安全点》由会员分享,可在线阅读,更多相关《信息安全建设安全点(4页珍藏版)》请在金锄头文库上搜索。
1、信息安全建设资产类型安 全 评 估 类子类扣分依据网络设备软件 安 全操作系统发现网络设备操作系统存在安全漏洞(例如:发现思科路由器版本过低,存在已公开低版本漏洞)。协议安全应用协议发现网络设备在GPRS/WAP/SIP/DNS等协议实现上存在漏洞(例如:发现设备在SIP协议实现上存在缺陷,发送畸形数据包可导致设备宕机)。安全 策 略数据与审计1发现网络设备配置文件中敏感信息(如口令)未使用 可靠加密算法加密后存储;2、未开启日志审计功能;3、未采取日志备份策略(如日志服务器等);4、重要数据(如配置文件)未进行备份。账号与口令1发现网络设备存在冗余、默认账号及口令;2、口令位数少于8位;3、
2、未使用大小写、特殊字符、数字至少3种组合;4、更新周期大于60天。访问控制1未对管理地址做ip限制;2、访问控制策略粒度未达到端口级;3、不符合企业自身安全基线配置。安全设备软件 安 全Web应用缺陷发现安全设备应用程序存在SQL注入、跨站脚本、代码执 行、文件包含等web安全漏洞。第三方应用软件发现安全设备使用的第三方应用软件(如FTP、VPN、SSH 等)存在安全漏洞。系统软件发现安全设备使用的中间件(如tomcat、weblogic等)、 数据库(ms sql、mysql等)等系统软件存在安全漏洞。操作系统发现网络设备操作系统存在安全漏洞(例如:发现思科防火墙版本过低,存在已公开低版本漏
3、洞)。安全 策 略数据与审计1发现安全设备配置文件中敏感信息(如口令)未使用 可靠加密算法加密后存储;2、未开启日志审计功能;3、未采取日志备份策略(如日志服务器等);4、重要数据(如配置文件)未进行备份。备注1发现安全设备存在冗余、默认账号及口令;账号与口令2、口令位数少于8位;3、未使用大小写、特殊字符、数字至少3种组合;4、更新周期大于60天。访问控制1未对管理地址做ip限制;2、访问控制策略粒度未达到端口级;3、不符合企业自身安全基线配置。第三方应用软件发现主机服务器使用的第三方应用软件(如FTP、VPN、SSH等)存在已知安全漏洞。发现主机服务器操作系统存在安全漏洞(例如:发现操作系
4、统windows server 2003版本过低,存在已公开低版本漏洞)1发现主机服务器中敏感信息(如口令)未使用可靠加数据与审计密算法存储;2、未开启日志审计功能;通用主机3、未采取日志备份策略(如日志服务器等)1发现主机服务器存在冗余、默认账号及口令;账号与口令2、口令位数少于8位;3、未使用大小写、特殊字符、数字至少3种组合;4、更新周期大于60天。访问控制1未对主机资源及管理地址做ip访问限制;2、访问控制策略粒度未达到端口级;3、不符合企业自身安全基线配置。2、Iptables 默认策略为 accept系统软件发现数据库软件存在安全漏洞(如公开的低版本漏洞)。安装的mysql roo
5、t用户为空口令1发现数据库系统中敏感信息(如口令)未使用可靠加密算法加密后存储;数据与审计2、未开启日志审计功能;数据库软件3、未采取日志备份策略(如日志服务器等);账号与口令2、口令位数少于8位;3、未使用大小写、特殊字符、数字至少3种组合;4、重要数据(如表结构、用户隐私数据等)未进行备份。1发现数据库系统存在冗余、默认账号及口令;4、更新周期大于60天1未对数据库系统资源及管理地址做ip访问限制;访问控制2、访问控制策略粒度未达到端口级;3、不符合企业自身安全基线配置。发现web中间件应用程序存在SQL注入、跨站脚本、代Web中间件Web应用缺陷码执行、文件包含等web安全漏洞。Apac
6、he服务为缺省配置,加载了不必要的模块业务系统系统全局全系统软件发现web中间件存在安全漏洞(如公开的低版本漏洞,如缓冲区溢出等)。安全策略数据与审计1发现web中间件中敏感信息(如口令)未使用可靠加 密算法加密后存储;2、未开启日志审计功能;3、未采取日志备份策略(如日志服务器等);4、重要数据(中间件配置文件)未进行备份。账号与口令1发现web中间件存在冗余、默认账号及口令;2、口令位数少于8位;3、未使用大小写、特殊字符、数字至少3种组合;4、更新周期大于60天。访问控制1未对web中间件管理地址做ip访问限制;2、访问控制策略粒度未达到端口级;3、不符合企业自身安全基线配置。软件 安
7、全Web应用缺陷发现业务系统应用程序存在SQL注入、跨站脚本、代码执 行、文件包含等web安全漏洞。第三方应用软件发现业务系统使用的第三方应用软件、模块(如FTP、VPN、SSH、编辑器、上传模块、数据库管理模块等)存在已知安全漏洞。协议安全应用层协议漏洞1发现业务系统中使用的应用层协议存在安全了漏洞;2、敏感信息(用户名、密码、交易数据等)明文传输;3、业务应用协议存在重放、伪造、中间人攻击漏洞。安全 策 略数据与审计1发现业务系统中敏感信息(如口令)未使用可靠加密 算法加密后存储;2、无日志审计功能;3、无日志备份策略(如日志服务器等);4、重要数据(系统配置文件、用户敏感信息)未进行备
8、份。账号与口令1发现业务系统存在冗余、默认账号及口令;2、口令位数少于8位;3、未使用大小写、特殊字符、数字至少3种组合;4、更新周期大于60天。访问控制1未对业务系统管理地址做ip访问限制;2、访问控制策略粒度未达到端口级;3、不符合企业自身安全基线配置。防 护 能 力入侵检测能力1边界未部署入侵检测设备或软件,不能及时发现入侵;2、入侵检测设备未开启实时报警功能,不能及时通知管理员进行处理。Web应用防护能力Web系统出口未部署web安全防护设备或软件,不能抵 御web攻击并记录攻击行为。安全安全区域划分域其八其他他1、系统中未进行安全域划分;2、安全域划分不合理(不同安全级别区域间未进行访问控制)。
