web安全7

规则3.5.3.2：在客户端和服务器间传递敏感数据时，必须使用带服务器端证书的SSL。
说明：如果在客户端和服务器间传递如帐号、口令等敏感数据，必须使用带服务器端证书的SSL。由于SSL对服务端的CPU资源消耗很大，实施时必须考虑服务器的承受能力。

2.6      安全审计
本节的安全审计是针对Web业务应用，不包括对操作系统、Web容器的安全审计。对于操作系统和Web容器的安全审计，可以参考对应的操作系统安全基线和Web安全配置规范。
规则3.6.1：应用服务器必须对安全事件及操作事件进行日志记录。
说明：安全事件包括登录、注销、添加、删除、修改用户、授权、取消权限、鉴权、修改用户口令等；操作事件包括对业务系统配置参数的修改，对重要业务数据的创建、删除、修改、查询等；对于上述事件的结果，不管是成功还是失败，都需要记录日志。
规则3.6.2：安全日志必须包括但不限于如下内容：事件发生的时间、事件类型、客户端IP、客户端机器名、当前用户的标识、受影响的个体（数据、资源）、成功或失败标识、启动该事件的进程标识以及对该事件的详细描述。
规则3.6.3：严格限制对安全日志的访问。
说明：只有Web应用程序的管理员才能查询数据库表形式或文件形式的安全日志；除数据库超级管理员外，只有应用程序连接数据库的帐号可以查询（select）及插入（insert）安全日志表；除操作系统超级管理员外，只有应用程序的运行帐户才能读、写文件形式的安全日志（但不允许删除）。确保日志的安全，限制对日志的访问，这加大了攻击者篡改日志文件以掩饰其攻击行为的难度。