2024年4月11日发(作者:)
IIS应用安全测评
信息安全等级保护测评指导书
IIS 应用安全测评
杭州辰龙检测技术有限公司
2013.12
保密申明
本安全方案包含了来自辰龙可靠、权威的信息,此信息仅供信息安全等级
保护测评项目使用,接受本指导书即表示同意对其内容保密,并且未经向杭州
辰龙书面请求和书面认可,不得向外界复制,泄露或散布此方案。如果你不是
有意接受者,请注意对本方案内容的任何形式的泄露、复制或散布都是被禁止
的。
IIS应用安全测评
序
号
1
2
测评
指标
测评项
检测方法
预期结果
身份身份标识和鉴别
鉴别
覆盖范围:主体、客体、操作
粒度:主体为用户级客体为文件、 数据库
表级
访问
控制
最小授权原则,且相互制约
根据站点验证的 需求,选用了合适的
手工检查
验证方式;匿名访问 应使用较低权限的
IIS 本身提供了身份验证机制,在站点属性-目录安全性(分为匿名访 问和
windows 账号。
验证,验证分为基本验证和与系统集成验证方法)。根据客户需 求,若无
匿名访问情况则取消匿名访问。
手工检查 应保证只有系统管理员可以对网站文件进行读写操作,查看网站网站目录的访问 权限,应被严格设
目录 的权限。 定。
手工检查
查看文件系统是否使用 NTFS,以便进行更细致的安全控制。
手工检查
IIS 应该以非管理员的账号运行,并授予该账号最小权限。
网站的主机应启 用 NTFS 文件系统。
IIS 应以非管理员 正好运行。
覆盖范围:每一个用户
手工检查
检查“网站”-“启用日志记录”确认日志功能打开。
日志功能应开启。
3
安全
审计
审计报表
手工检查
安全事件记录:日期和时间、类 型、主
1.查看网站日志文件的内容,确认是否包含措施要求的内容。
体标识、客体标识、事件 的结果等
2.“网站”-“启用日志记录”-“属性”-“高级”查看日志记录的 字段。
日志记录包含测 评要求的字段。
特定事件,实时报警
访谈
询问系统管理员,IIS 的日志是否定期进行专门的分析和审计,如果 有,
查看报表的内容。
管理员定期查看 IIS 的日志,并有检
查报告。
访谈 访谈系统管理员,目前是否对特定事件指定实时报警方式(如声音、 应具有实时监控 和报警手段,且可以
EMAIL、短信等),并查看对应措施。 演示。
访谈
IIS 的日志应定期 备份,以备以后的日
询问系统管理员,IIS 的日志是否定期进行备份,以防止日志被覆盖、 修改
志查询。
或删除等。
审计记录保护
IIS应用安全测评
4
整个报文、会话过程加密
通信
保密
密码算法合规
性
手工检查
对于有保密要求的系统,在浏览器地址栏输入 服务器 ip 来 确
认是否启用了 ssl 加密功能。
访谈
询问系统管理员目前 IIS 使用的是哪种加密强度的算法,应抛弃使用
SSL v2 和加密强度较低的算法。
根据需要,决定是 否开启 ssl 功能。
应使用高强度的 加密算法。
5
软件状态监测能力
容错
最大并发会话连接数
一个时间段内可能的并发会话连 接数
操作超时锁定和鉴别失败锁定,解 锁或
资源终止方式
控制
资源限额
多种方式限制终端登录
访谈:访谈系统管理员,是否对系统错误页面进行了自定义;手工 检查:
执行命令
存在自定义错误页 面配置。
#grep ErrorDocument /usr/local/apache/
确认是否有自定义错误页面的配置。
手工检查:查看/usr/local/apache/conf/ 文件中
实现最大并发会话 数限制。
MaxKeepAliveRequests、MaxClients 的配置,查看是否进行了访问 限
制。
访谈:询问系统管理员,是否采用防火墙等设备对一个时间段内可 能的并
存在配置。
发会话数进行限制。
手工检查:查看/usr/local/apache/conf/ 文件中
KeepAliveTimeout 的配置,查看是否进行了访问超时限制。
手工检查:查看/usr/local/apache/conf/ 文件中
MaxRequestsPerChild 的配置,查看是否进行了访问限制。
访谈:询问系统管理员,是否对网站资源按照用户身份、IP 地址、
时间段等进行了相关限制,如果有,查看相关措施; 手工检查:查看
/usr/local/apache/conf/ 文件中
如禁止目录浏览。
进行访问超时设置。
存在对 apache 使用 系统资源的限制。
6
禁止通过 web 客户端 对敏感信息进行访
问。
7
备份
和恢
本地数据备份、恢复
复
应对配置文件和 网站文件进行定期 备
访谈 询问系统管理员,配置文件和网站文件是否有备份策略,查看备份文
份,并检查备份文 件的有效性。
件。
发布评论