“等保测评”全称是信息安全等级保护测评。是经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。
本文陆续将遇到的情况进行记录,有些是直接填表格的,这里暂不作记录。
实际操作可参考本文《安全篇 ━━ 整改mysql数据库及windows服务器(根据安全等级保护评估、渗透测试报告)》
操作系统部分
账号、密码、IP等安全策略
日志情况
文件夹
用户账号密码等
服务中相关内容
操作系统概况
当前硬盘情况
服务器部分
是否开启日志
日志存储位置
数据库部分
打开MySQL查询窗口
密码情况
show variables like "%password%";
过期处理
show variables like "%timeout%";
连接处理
show variables like "%connect_control%";
审计日志状况
show variables like "%general_log%";
- 如果想让它开启,则使用:
SET GLOBAL log_output = 'TABLE';
SET GLOBAL general_log = 'ON';
- 如果想看详细配置,则使用:
show variables like '%general_log%';
账号情况
select user,host from mysql.user;
版本
select version();
应用程序部分
开发人员需要在开发时注意。
用户登录失败
有无配置登录失败处理策略
- 登录失败几次
- 锁定账户多长时间
用户操作记录
是否保存应用系统操作
- 用户登录
- 操作日志
文档部分
系统开发过程文档,根据项目建设过程中实际产出的文档,有就提供以下文档
二级系统开发提供
- 提供系统安全设计方案(从物理环境、网络、服务器、数据库、管理等多个角度保障系统的安全运行的方案)
- 提供软件安装前的恶意代码检测报告
- 提供软件设计文档和操作手册
- 提供系统工程实施方案(主要内容是时间限制、进度控制、质量控制,如什么时间点完成哪些内容,具备什么质量要求等)
- 提供系统上线前的安全测试报告(渗透测试、源代码审计报告等)
- 提供系统测试验收方案和报告
- 提供系统交付清单(交付了哪些东西,如设备、软件、文档)
- 提供系统建设过程文档和运行维护文档