【等保测评】IIS模拟测评

news2024/12/23 9:10:06

一、身份鉴别

a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
结果记录:此项不适用,IIS中间件无管理控制台,身份鉴别功能依赖于所部署的服务器

b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;

结果记录:此项不适用,IIS中间件无管理控制台,身份鉴别功能依赖于所部署的服务器

c)当进行远程管理时,应采取必要措施、防止鉴别信息在网络传输过程中被窃听;

结果记录:此项不适用,IIS中间件无管理控制台,身份鉴别功能依赖于所部署的服务器

d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现

结果记录:此项不适用,IIS中间件无管理控制台,身份鉴别功能依赖于所部署的服务器

二、访问控制

a)应对登录的用户分配账户和权限;

结果记录:此项不适用,IIS中间件无管理控制台,无法账户和权限控制,访问控制功能依赖于所部署的服务器

b)应重命名或删除默认账户,修改默认账户的默认口令;

结果记录:此项不适用,IIS中间件无管理控制台,无法账户和权限控制,访问控制功能依赖于所部署的服务器

c)应及时删除或停用多余的、过期的账户,避免共享账户的存在;

结果记录:此项不适用,IIS中间件无管理控制台,无法账户和权限控制,访问控制功能依赖于所部署的服务器

d)应授予管理用户所需的最小权限,实现管理用户的权限分离;

此项不适用,IIS中间件无管理控制台,无法账户和权限控制,访问控制功能依赖于所部署的服务器

e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;

此项不适用,IIS中间件无管理控制台,无法账户和权限控制,访问控制功能依赖于所部署的服务器

f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;

此项不适用,IIS中间件无管理控制台,无法账户和权限控制,访问控制功能依赖于所部署的服务器

g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问

此项不适用,IIS中间件无管理控制台,无法账户和权限控制,访问控制功能依赖于所部署的服务器

三、安全审计

a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;

结果记录:查看IIS管理器->日志,发现已开启安全审计功能能,日志的格式为W3C,可对重要的用户行为和重要安全事件进行审计

b)审计记录应包括事件的日期和时间,用户、事件类型,事件是否成功及其他与审计相关的信息;

结果记录:查看IIS管理器->日志->W3C日志记录字段,发现日期、时间、客户段IP、用户名、服务器IP、URL资源等字段已勾选,审计记录包含时间的日志、时间、ip、用户名等信息

c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;

结果记录:查看IIS管理器->日志->日志滚动文件滚动更新的计划为为每日,已对审计记录进行保护,定期备份,通过查看日志文件夹,发现日志保存的时间未保存6个月,但系统为新建系统

d)应对审计进程进行保护,防止未经授权的中断

结果记录:经核查,IIS审计进程与中间件主进程关联,无法单独中断审计进程,未授权用户无法直接关闭

经核查,IIS审计进程与中间件主进程关联,无法单独中断审计进程,未授权用户无法直接关闭

四、入侵防范

a)应遵循最小安装的原则,仅安装需要的组件和应用程序;

结果记录:此项不适用,该测评点在操作系统层面核查,中间件不适用该条款

b)应关闭不需要的系统服务、默认共享和高危端口;

结果记录:此项不适用,该测评点在操作系统层面核查,中间件不适用该条款

c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;

结果记录:此项不适用,IIS中间件无管理控制台,无地址登录限制要求

d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;

结果记录:此项不适用,IIS中间件无独立的管理控制台,无对应的人机或通信接口输入功能

e) 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;

结果记录:经核查,未对IIS进行定期扫描,未具备相关漏扫报告,未能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞

f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警

结果记录:此项不适用,该测评点在操作系统层面核查,中间件不适用该条款

五、可信验证

结果记录:此项不适用,该测评点在设备层面核查,中间件不适用该条款

六、数据完整性

a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;

结果记录:此项不适用,IIS中间件无管理控制台,无鉴别数据和配置数据传输要求

b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等

结果记录:此项不适用,IIS中间件无管理控制台,无鉴别数据和配置数据存储要求

七、数据保密性

a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;

结果记录:此项不适用,IIS中间件无管理控制台,无鉴别数据和配置数据传输要求

b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等

结果记录:此项不适用,IIS中间件无管理控制台,无鉴别数据和配置数据存储要求

八、数据备份恢复

a)应提供重要数据的本地数据备份与恢复功能;

结果记录:经核查,未对重要数据进行数据进行备份

b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;

结果记录:经核查,未对重要数据进行数据进行异地备份

c)应提供重要数据处理系统的热冗余,保证系统的高可用性

结果记录:经核查,IIS中间件采用单机部署模式,未提供重要数据处理系统的热冗余,证系统的高可用性

九、剩余信息保护

a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除;

结果记录:此项不适用,IIS无独立的登录管理界面,无鉴别信息

b)应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除

结果记录:此项不适用,IIS未涉及用户个人信息

十、个人信息保护

a)应仅采集和保存业务必需的用户个人信息;

结果记录:此项不适用,IIS未涉及用户个人信息

b)应禁止未授权访问和非法使用用户个人信息

结果记录:此项不适用,IIS未涉及用户个人信息

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2056219.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

计算机毕业设计 心理健康服务系统 Java+SpringBoot+Vue 前后端分离 文档报告 代码讲解 安装调试

🍊作者:计算机编程-吉哥 🍊简介:专业从事JavaWeb程序开发,微信小程序开发,定制化项目、 源码、代码讲解、文档撰写、ppt制作。做自己喜欢的事,生活就是快乐的。 🍊心愿:点…

创新驱动发展,SiLM5768LCG-DG 支持输入输出同相逻辑 带互锁功能的六通道数字隔离器 科技稳健赋能,工业汽车应用安全升级!

SiLM5768Lx系列带互锁功能的六通道数字隔离器选型表: SiLM5768LCG-DG:支持输入输出同相逻辑 SiLM5768LNCG-DG:支持输入输出反相逻辑 数字隔离器广泛应用于工业、汽车和通信等领域,为系统中的强电和弱电电路提供了安全、可靠的电气隔离解决方案,确保强…

【TCP】核心机制:延时应答、捎带应答和面向字节流

文章目录 延时应答捎带应答面向字节流粘包问题方案一:指定分隔符方案二:指定数据的长度 TCP 报头首部长度保留(6 位)选项序号确认序号 延时应答 尽可能降低可靠传输带来的性能影响 提升性能>让滑动窗口变大 如果我们立即返回 …

Chat App 项目之解析(二)

Chat App 项目介绍与解析(一)-CSDN博客文章浏览阅读76次。Chat App 是一个实时聊天应用程序,旨在为用户提供一个简单、直观的聊天平台。该应用程序不仅支持普通用户的注册和登录,还提供了管理员登录功能,以便管理员可以…

Docker最佳实践进阶(二):Docker Compose部署SpringCloud微服务项目

大家好,在上篇文章中博主演示了Dockerfile常用的命令,以及如何利用Dockerfile构建镜像,生成容器服务,但是在实际应用环境中,特别是在微服务架构中,一个应用系统可能包含多个微服务,每个微服务可…

软数据与硬数据的深度解析:住宅代理如何优化数据抓取

引言 什么是软数据?有哪些类型? 什么是硬数据?有哪些类型? 软数据和硬数据的区别是什么? 如何收集软数据和硬数据? 如何优化抓取软数据和硬数据? 总结 引言 在大数据时代,企业…

Sanic 和 Go Echo 对比

💝💝💝欢迎莅临我的博客,很高兴能够在这里和您见面!希望您在这里可以感受到一份轻松愉快的氛围,不仅可以获得有趣的内容和知识,也可以畅所欲言、分享您的想法和见解。 推荐:「storm…

【Python系列】 并发编程在数据处理中的应用

💝💝💝欢迎来到我的博客,很高兴能够在这里和您见面!希望您在这里可以感受到一份轻松愉快的氛围,不仅可以获得有趣的内容和知识,也可以畅所欲言、分享您的想法和见解。 推荐:kwan 的首页,持续学…

iOS 17.6.1版本重发,修复高级数据保护错误

今日,苹果没有带来iOS 17.6.2的更新,而是重新发布了iOS 17.6.1版本,本次升级版本号为21G101,高于第一版的21G93。距离初版发布相隔一周半时间。 在 iOS / iPadOS 17.6.1 的更新日志,苹果公司写道:“此更新包…

只用一个 HTML 元素可以写出多少形状?——伪元素篇(上)

只用一个 div 元素,我们已经通过四个篇章写了很多形状。 首先,我们通过对这个 div 的宽度与高度的直接控制,轻松写出矩形和正方形,并结合 transform 的 skew 方法写出了平行四边形与菱形。 其次,我们通过对边框的灵活…

iphone异常问题常用修复方法

作为智能手机的领军者,iPhone凭借其卓越的性能和稳定的系统赢得了全球用户的青睐。然而,就像任何电子设备一样,iPhone在使用过程中也难免会遇到各种异常问题,如卡顿、无法充电、应用闪退等。这些问题虽然令人头疼,但大…

linux之ELK

ELK概述 ELK是一套开源的日志分析系统,由elasticsearchlogstashKibana组成。 官网说明:https://www.elastic.co/cn/products 首先: 先一句话简单了解E,L,K这三个软件 elasticsearch: 分布式搜索引擎 logstash: 日志收集与过滤,输出给elasticsearch Kiban…

校园快递代取系统设计与实现(源码+lw+部署文档+讲解等)

文章目录 前言具体实现截图详细视频演示技术栈系统测试为什么选择我官方认证玩家,服务很多代码文档,百分百好评,战绩可查!!入职于互联网大厂,可以交流,共同进步。有保障的售后 代码参考数据库参…

Windows搭建我的世界MC服务器 【Minecraft外网联机教程】

目录 ⛳️推荐 1. 搭建我的世界服务器 1.1 服务器安装java环境 1.2 配置服务端 1.3 创建我的世界服务器 2. 局域网联机测试 3. 安装cpolar内网穿透 4. 公网联机Minecraft 5. 配置固定远程联机端口地址 ⛳️推荐 前些天发现了一个巨牛的人工智能学习网站,通…

【启明智显技术分享】工业级HMI芯片Model系列GUI合成到项目中的指南

在工业自动化、智能终端HMI、车载仪表盘等领域,高性能的HMI(人机界面)芯片是不可或缺的核心组件。启明智显推出的Model系列(如Model3C、Model3、Model4)HMI芯片,以其卓越的性能和广泛的应用领域&#xff0c…

大模型学习应用 2:快速上手大模型基于langchain实现RAG检索应用

快速上手大模型基于langchain实现RAG检索应用 - 项目作业 目录 准备工作镜像选择算力选择安装包数据说明提示参考链接 Task1 申请 api 后,使用 langchain 导入大模型,并打印出大模型信息Task2 使用 langchian 加载数据,并把数据打印出来Task…

WebSocket 快速入门

WebSocket是什么 WebSocket 是基于 TCP 的一种新的应用层网络协议。它实现了浏览器与服务器全双工通信,即允许服务器主动发送信息给客户端。因此,在 WebSocket 中,浏览器和服务器只需要完成一次握手,两者之间就直接可以创建持久性…

Linux系统中安装Git(详细教程)

在Linux系统中安装Git,可以通过多种方式来实现,主要包括使用包管理器安装和从源代码编译安装。以下是详细的安装步骤: 一、使用包管理器安装(不建议该方式) 大多数Linux发行版都提供了包管理器,如Debian/…

90%的人都在用这7个图片转pdf技巧,转换速度很快!

图片怎么转换成pdf格式?图片和pdf格式是两种完全不一样的格式,但是如果想要将图片转换成pdf格式还是蛮容易的,常见的方法就有数十种了。 本文整理了几种常见的图片转pdf的方法,包括图片转pdf在线方法,有需要的朋友可以…

取证工具 ElcomSoft iOS Forensics Toolkit: 在 Windows 中加载 HFS 镜像

天津鸿萌科贸发展有限公司是 ElcomSoft 系列取证软件的授权代理商。 Elcomsoft iOS Forensics Toolkit 功能简介 Elcomsoft iOS Forensics Toolkit 软件工具包适用于取证工作,对 iPhone、iPad 和 iPod Touch 设备执行完整文件系统和逻辑数据采集。对设备文件系统制…