1、针对应用系统的保护措施
①检查关键应用系统,查看应用系统是否具有对人机接口输入或通信接口输入的数据进行有效性检验的功能。
②测试关键应用系统,可通过对人机接口输入的不同长度或格式的数据,查看系统的反应,验证系统人机接口有效性检验功能是否正确。
③渗透测试主要应用系统,进行试图绕过访问控制的操作,验证应用系统的访问控制功能是否不存在明显的弱点。
2、针对数据库系统的保护措施
①检查关键服务器操作系统和关键数据库管理系统,查看匿名/默认帐户的访问权限是否已被禁用或者限制,是否删除了系统中多余的、过期的以及共享的帐户。
②检查关键服务器操作系统和关键数据库管理系统的权限设置情况,查看是否依据安全策略对用户权限进行了限制。
③检查关键服务器操作系统和关键数据库管理系统的补丁是否得到了及时更新。
④检查关键服务器操作系统和关键数据库管理系统帐户列表,查看管理员用户名分配是否唯一。
⑤检查关键服务器操作系统和关键数据库管理系统,查看是否提供了身份鉴别措施,其身份鉴别信息是否具有不易被冒用的特点,如对用户登录口令的最小长度、复杂度和更换周期进行要求和限制。
⑥检查关键数据库服务器的数据库管理员与操作系统管理员是否由不同管理员担任。
西部数码网站提供安全可靠的等级保护测评一站式服务,业务链接 https://www.west.cn/web/dengbao/
