知识宝库在此藏,一键关注获宝藏
查看版本信息:
登录websphere管理平台首页就能看到版本信息
可以进入usrIBMWebSphereAppServerbin 下执行./versionInfo.sh查看版本
一、身份鉴别
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换
1. 对用户进行身份标识和鉴别
2. 身份标识唯一性
3. 身份鉴别信息具有复杂度并定期更换
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施
1. 登录失败处理功能
系统自带的暂无
2. 操作超时
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现
二、访问控制
a) 应对登录的用户分配账户和权限
b)应重命名或删除默认账户,修改默认账户的默认口令
c)应及时删除或停用多余的、过期的账户,避免共享账户的存在
d)应授予管理用户所需的最小权限,实现管理用户的权限分离
e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则
f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级
主体为用户,客体为应用系统对应模块
g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问
默认无。
三、安全审计
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
我们主要关注的还是err错误日志和access网页访问日志,确认对应日志的记录级别
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
默认符合,主要查看日志文件时间是否记录准确
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
user组无写入、修改权限
Administrators组可完全控制
d)应对审计进程进行保护,防止未经授权的中断
审计进程与中间件主进程关联,无法单独中断审计进程,只要开启即符合
四、入侵防范
a)应遵循最小安装的原则,仅安装需要的组件和应用程序
b)应关闭不需要的系统服务、默认共享和高危端口
c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制
d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求
e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞
f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警
五、数据完整性
a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等
1. 鉴别数据、重要配置数据
2. 重要审计数据
b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等
完整性默认不符合,需要有比对机制。
六、数据保密性
a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等
b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等
查看 fileRegistry.xml 文件,位于WebSphere配置文件目录的cells/<cellName>/nodes/<nodeName>/fileRegistry.xml 路径下
原文始发于微信公众号(等保不好做啊):等保2.0测评 — WebSphere 中间件
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论