《应用系统安全检查流程》由会员分享,可在线阅读,更多相关《应用系统安全检查流程(10页珍藏版)》请在金锄头文库上搜索。
1、应用系统检查流程目录应用系统检查流程1目录21. 应用系统编号规则42. 基本信息43. 策略43. 1.密码策略(01001) 43.2. 锁定策略(01002) 54. 审核策略63.3. 审核策略(02001) 63.4. 日志策略(02002) 65. 备份恢复策略(03001) 76. 访问控制策略(04001) 77. 权限控制策略(05001) 88. 安全增强性(06001) 99. 安全管理910. 第三方插件安装情况1011. 检查编号索引101.应用系统编号规则编号规则:应用类型_公司需称部门名称数字编号。应用类型:应用系统的简写,如0A。公司名称:使用此系统的公司简称,
2、如BJCA (市数字证书认证中心)。部门名称:部门简称,如CWB (财务部);如果整个公司都使用此系统,为ALL。 数字编号:顺序号,第一个是001,第二个是002,依次类推。例:0A_BJCA_ALL_001:表示市数字证书认证中心的第一个OA系统,此系统被整 个公司部使用。2.基本信息应用系统信息表应用系统名称应用系统编号应用系统描述此处简要描述应用系统实现的功能及实现方式等信息所属业务类别依存的主机此处填写主机的编号涉及的数据资产没有可不填应用系统的重要性简要描述系统的重要性但不需要赋值其他信息3.策略3. 1.密码策略(01001)编号:AppCheck-01001名称:密码策略检查说
3、明:获得应用系统的密码策略检查容:1、密码最长使用期限和密码最短使用期限。2、最短密码长度和复杂性要求。3、密码产生的方式和传递。32锁定策略(01002)编号:AppCheck-01002 名称:锁定策略检查说明:获得应用系统的锁定策略检查容:1、锁定时间2、锁定阈值3、复位锁定的方法备注:4审核策略3. 3.审核策略(02001)34 日志策略(02002)5.备份恢复策略(03001)编号:AppCheck-04001名称:访问控制策略6.访问控制策略(04001)说明: 应用系统访问控制策略检查检查容:1、支持多种凭证类型登录用户,如用户需口令或者数字证书。2、支持根据登录用户凭证类型
4、进行的访问控制。7.权限控制策略(05001)编号:AppCheck-05001 名称:权限控制策略说明:应用系统部对象控制策略检查检查容:1、支持多种权限控制类型,如阅读、增添、删除、修改。2、支持对应用系统部对象或者数据流的权限控制。3、列出应用系统可釆用的权限控制模型,如:角色控制模型、组控制模型)备注:8.安全增强性(06001)编号:AppCheck-06001 名称:安全增强功能说明:其他若干安全选项,包括应用系统特有的安全性考虑。检查容:1、登录页面上不显示上次登录成功的用户名。2、限时自动注销用户的功能。3、客户端与服务器端的通信进行加密签名。4、在密码到期前提示用户更改密码。
5、5、无法记录审核事件立即关闭系统。6、其他检查结果备注:9.安全管理编号:AppCheck-07001 名称:安全管理检查说明:对应用系统得安全管理策略进行检查检查容:1、有无指定应用系统管理人员2、管理人员有无操作日志(如日志、改变记录、升级安装过程等)3、有无相应的应急恢复管理制度检查结果备注:10第三方插件安装情况插件名称版本号用途注:由于插件安装可能无法检测,建议使用询问管理员的方式进行填写11检查编号索引编号名称AppCheck-01001检查密码策略AppCheck-01002检查锁定策略AppCheck-02001检查审核策略AppCheck-02002检查日志策略AppCheck-03001备份恢复策略AppCheck-04001访问控制策略AppCheck-05001权限控制策略AppCheck-06001安全选项
