等级保护测评指导书应用部分

层面,控制点,测评项,重要性,级别,系统,实施过程,预期结果,说明,

应用(可使用的渗透工具为Domain、pangolin),身份鉴别(S1、S2、S3),a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别,重要,"S1

S2

S3",B/S网站通用检测用例表,"1）检查网站是否存在登录界面；

2）检查登录界面是否允许无密码登陆",1）若无登录界面或登录界面无需输入鉴别信息（密码），则此项为不符合,1）若网站只存在管理员用户，则此登录界面应为后台登录界面，若网站面向普通用户注册，则此登录界面为前台界面,

,,,,,C/S客户端通用检测用例表,"1）检查软件是否存在登录界面；

2）检查登录界面是否允许无密码登陆",1）若无登录界面或登录界面无需输入鉴别信息（密码），则此项为不符合,无,

,,,,,IIS检查用例表,"1）询问管理员整个应用系统是否允许匿名访问，哪些文件或目录禁止匿名访问

2）右击要检测的网站-属性-目录安全性-在身份验证和访问控制处点编辑-查看身份验证方法",1）若管理员说明允许匿名访问，则不适用户；如不允许匿名访问，检查结果在启用匿名访问处打钩了，则为不符合，其余符合,1）一般网站是允许匿名访问的，登录页面不属于IIS控制范围,

,,,,,APACHE检测用例表,"1）询问管理员是否为Apache单独设立帐户，使用哪个帐户启动Apache。

2）Windows直接查看Apache服务的登录身份，在服务-Apache2右击-属性-登录处。

3）非Windows直接使用ps-ef|grephttpd查看启用Apache进程的用户名

4）查看httpd.conf是否开启mod_authnz_ldap等认证模块，若开启，询问管理员使用哪种认证，并查看密码文件的位置和权限","1）若使用专用帐户启动，则符合。

2）若使用认证模块，则符合

3）其余视情况而定，一般无需身份认证为不适用","1)Apache默认关闭本身身份验证模块

2）Apache使用操作系统用户启动。

3）一般在非Windows下，会新建一个Apache帐户，或使用daemon帐户启动。但也存在直接使用root帐户启动Apache的",

,,,,,Tomcat检测用例表,"1）访谈管理员，是否为Tomcat服务单独设立帐户，使用哪个帐户启动Tomcat。

2）访谈管理员，是否开启Tomcat的manager、admin或host-manager页面，是否为他们分配帐户

3）检查Webapp目录下是否部署了manager、admin或host-manager页面。

4）检查conf目录下，tomcat-users.xml文件中，是否开启manager和admin角色的帐户","1）若使用专业帐户启动，则符合

2）若开启manager等页面，且用户名密码使用tomcat或admin，则不符合，其余符合

3）若未开启manager页面，则符合","1）Tomcat服务一般为操作系统用启动

2）Tomcat默认开启manager、admin或host-manger等管理页面，具体有哪个与版本有关。

3）若是安装版Tomcat，会提示输入manager角色的用户或密码，若是直接解压应用的，tomcat-users.xml会把所有帐户都注释掉，需管理员手动添加帐户",

,,,,,Weblogic检测用例表,"1）访谈管理员，是否为Weblogic服务单独设立帐户，使用哪个帐户启动Weblogic

2）访谈管理员，是否开启WeblogicWebconsole控制台，是否为他们分配帐户

3）实际登录console控制台，查看Home>SummaryofSecurityRealms>myrealm>UsersandGroups，中的用户以及其所属组","1）若未使用webconsole，则不适用。

2）若使用Webconsole，且用户名及密码较复杂，则符合","1）默认使用webconsole，但可关闭

2）默认用户名为Weblogic，若使用默认域，则密码默认为Weblogic，若新建域，密码需手动输入，且默认手动输入密码长度要大于8",

,,b)应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别,,S3,B/S网站通用检测用例表,1）检查网站都使用哪些用户鉴别信息，是否为两种以上,1）若使用两种以上用户鉴别信息则为符合，否则为不符合,1）用户鉴别信息主要包括：密码，Etoken口令，动态口令，短信验证码等挑战应答信息或软证书，U盾等硬证书，指纹，虹膜等等,

,,,,,C/S客户端通用检测用例表,"1）询问系统开发人员或管理员，了解系统使用了哪些用户鉴别信息，是否为两种以上

2）实际登录软件，检查都使用哪些用户鉴别信息，是否为两种以上",1）若使用两种以上用户鉴别信息则为符合，否则为不符合,1）用户鉴别信息主要包括：密码，Etoken口令，动态口令，短信验证码等挑战应答信息或软证书，U盾等硬证书，指纹，虹膜等等,

,,,,,IIS检查用例表,"1）若不允许匿名登录，询问管理员采用哪些用户鉴别技术

2）右击要检测的网站-属性-目录安全性-在身份验证和访问控制处点编辑-查看身份验证方法",1）若管理员说明允许匿名访问，则不适用；如不允许匿名访问，检查结果在启用匿名访问处打钩了，则为不符合，其余视操作系统等情况而定,1）一般网站是允许匿名访问的，启用则依赖于操作系统或域的身份鉴别技术,

,,,,,APACHE检测用例表,"1）若开启身份认证模块，询问管理员对哪些文件夹使用哪种认证模式

2）查看httpd.conf文件，查看具体文件夹下的AllowOverride是否为AuthConfig，需认证的文件夹下是否有.htaccess文件，文件内容中AuthType类型是什么形式

3）具体上机通过互联网访问加密的文件夹，检测具体的认证模式如何",1）如需要身份认证，启用AuthType为Basic，则不符合，其余符合,1）相关的认证需要相关模块支持,

,,,,,Tomcat检测用例表,"1）访谈管理员，是否为Tomcat服务单独设立帐户，使用哪个帐户启动Tomcat。

2）访谈管理员，是否开启Tomcat的manager、admin或host-manager页面，是否为他们分配帐户

3）检查Webapp目录下是否部署了manager、admin或host-manager页面。

4）检查conf目录下，tomcat-users.xml文件中，是否开启manager和admin角色的帐户","1）若使用专业帐户启动，则符合

2）若开启manager等页面，且用户名密码使用tomcat或admin，且未采用其它验证手段（如IP等），则不符合，其余符合

3）若未开启manager页面，则符合","1）Tomcat服务一般为操作系统用启动

2）Tomcat默认开启manager、admin或host-manger等管理页面，具体有哪个与版本有关。

3）若是安装版Tomcat，会提示输入manager角色的用户或密码，若是直接解压应用的，tomcat-users.xml会把所有帐户都注释掉，需管理员手动添加帐户。

4）每个部署的应用中，有META-INF/context.xml文件可以添加一些认证方式，如限制IP等。也可以在tomcat-users.xml中添加限制，一般很少网站做这些限制。",

,,,,,Weblogic检测用例表,"1）访谈管理员，是否为Weblogic服务单独设立帐户，使用哪个帐户启动Weblogic

2）访谈管理员，是否开启WeblogicWebconsole控制台，是否为他们分配帐户

3）实际登录console控制台，查看域名>安全领域>myrealm>提供程序>身份验证，查看启用的身份验证程序是哪个，","1）若未使用webconsole，则不适用。

2）若使用Webconsole，且启用的身份验证程序为DefaultAuthenticator，则不符合，若为其他则符合",1）DefaultAuthenticator只使用密码登录，且默认限制密码长度最少为8,

,,c)应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用,重要,"S2

S3",B/S网站通用检测用例表,"1）询问网站管理员或开发人员，网站是否都用户密码的复杂度进行限制，是否存在多个用户注册使用同一用户名的情况

2）检查网站是否允许简单密码登陆","1）若存在多个用户注册同一用户名，则为不符合

2）若不对用户密码复杂度进行限制，则为不符合","1）用户身份标识唯一，这个基本上每个网站都可以达到此要求；

2）用户鉴别信息复杂度检查，此处鉴别信息主要为用户密码，网站应禁止6位以下密码登录",

,,,,,C/S客户端通用检测用例表,"1）询问系统管理员或开发人员，客户端或服务端是否都用户密码的复杂度进行限制，是否存在多个用户注册使用同一用户名的情况

2）检查客户端是否允许简单密码登陆","1）若存在多个用户注册同一用户名，则为不符合

2）若不对用户密码复杂度进行限制，则为不符合","1）用户身份标识唯一，这个基本上每个网站都可以达到此要求；

2）用户鉴别信息复杂度检查，此处鉴别信息主要为用户密码，客户端应禁止6位以下密码登录",

,,,,,IIS检查用例表,"1）若IIS不允许匿名登录，询问管理员采用哪些用户鉴别技术，帐户都分配给哪些用户

2）右击要检测的网站-属性-目录安全性-在身份验证和访问控制处点编辑-查看身份验证方法",1）若管理员说明允许匿名访问，则不适用；如不允许匿名访问，检查结果在启用匿名访问处打钩了，则为不符合，其余视操作系统等情况而定,1）一般网站是允许匿名访问的，启用则依赖于操作系统或域的身份鉴别技术。且IIS一般只使用一个用户启用，通过IIS访问服务器的用户对系统文件等都有相同的权限，除非对特别的目录或文件进行了不同的身份验证方法,

,,,,,APACHE检测用例表,"1）若开启身份认证模块，询问管理员对哪些文件夹使用哪种认证模式

2）查看httpd.conf文件，查看具体文件夹下的AllowOverride是否为AuthConfig，需认证的文件夹下是否有.htaccess文件，文件内容中AuthType类型是什么形式

3）具体上机通过互联网访问加密的文件夹，检测具体的认证模式如何",1）如需要身份认证，启用AuthType为Basic，则不符合，其余符合,1）相关的认证需要相关模块支持,

,,,,,Tomcat检测用例表,"1）访谈管理员，是否为Tomcat服务单独设立帐户，使用哪个帐户启动Tomcat。

2）访谈管理员，是否开启Tomcat的manager、admin或host-manager页面，是否为他们分配帐户

3）检查Webapp目录下是否部署了manager、admin或host-manager页面。

4）检查conf目录下，tomcat-users.xml文件中，是否开启manager和admin角色的帐户","1）若使用专业帐户启动，则符合

2）若开启manager等页面，且用户名密码使用tomcat或admin，则不符合，其余符合

3）若未开启manager页面，则符合","1）Tomcat服务一般为操作系统用启动

2）Tomcat默认开启manager、admin或host-manger等管理页面，具体有哪个与版本有关。

3）若是安装版Tomcat，会提示输入manager角色的用户或密码，若是直接解压应用的，tomcat-users.xml会把所有帐户都注释掉，需管理员手动添加帐户。

4）tomcat-users文件可以添加一些认证方式，如限制IP等。一般很少网站做这些限制。",

,,,,,Weblogic检测用例表,"1）访谈管理员，是否为Weblogic服务单独设立帐户，使用哪个帐户启动Weblogic

2）访谈管理员，是否开启WeblogicWebconsole控制台，是否为他们分配帐户

3）实际登录console控制台，查看域名>安全领域>myrealm>提供程序>身份验证，查看启用的身份验证程序是哪个，进入具体身份验证程序，查看其相关验证规则","1）若未使用webconsole，则不适用。

2）若使用Webconsole，存在身份验证程序，且有一定的验证规则，则符合",1）默认身份验证程序为DefaultAuthenticator，只使用密码登录，且默认限制密码长度最少为8,

,,d)应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施,,"S1

S2

S3",B/S网站通用检测用例表,"1）询问网站管理员或开发人员，网站是否存在登录失败处理功能，具体采用哪种失败处理功能

2）若采用限制非法登录次数处理，询问具体的登录次数限制

3）实际使用错误密码登录网站，检查登录失败处理，实验次数尽量不要登录限制次数，否则使用临时测试帐户登录（可选）",1）若提供结束会话或限制非法登录次数等失败处理功能，则此项为符合。,"1）一般网站可能会采用返回首页，返回登录页面等措施，

2）安全性较高网站采用限制非法登录次数的方式，此种方式可防止网络暴力破解",

,,,,,C/S客户端通用检测用例表,"1）询问系统管理员或开发人员，软件客户端是否存在登录失败处理功能，具体采用哪种失败处理功能

2）若采用限制非法登录次数处理，询问具体的登录次数限制

3）实际使用错误密码登录客户端软件，检查登录失败处理，实验次数尽量不要登录限制次数，否则使用临时测试帐户登录（可选）",1）若提供结束会话或限制非法登录次数等失败处理功能，则此项为符合。,"1）一般客户端可能会提示用户名或密码错误，然后返回登录框等待下次输入，

2）安全性较高的客户端采用限制非法登录次数的方式，此种方式可防止暴力破解",

,,,,,IIS检查用例表,1）询问管理员，IIS是否采用特殊方式设置了登录失败处理功能,1），若管理员说明允许匿名登录，则此项不适用，IIS本身无法设置登录失败处理，而是依赖于操作系统的身份鉴别失败处理方式。若操作系统开启失败处理功能，则此项符合,1）浏览器默认3次登录失败后，返回401页面，服务被拒绝。,

,,,,,APACHE检测用例表,"1）若开启身份认证模块，询问管理员对哪些文件夹使用哪种认证模式

2）查看httpd.conf文件，查看具体文件夹下的AllowOverride是否为AuthConfig，需认证的文件夹下是否有.htaccess文件，文件内容中AuthType类型是什么形式

3）具体上机通过互联网访问加密的文件夹，检测具体的认证模式如何",1）如需要身份认证，启用AuthType为Basic，则不符合，其余符合,1）相关的认证需要相关模块支持,

,,,,,Tomcat检测用例表,"1）访谈管理员，是否为Tomcat服务单独设立帐户，使用哪个帐户启动Tomcat。

2）访谈管理员，是否开启Tomcat的manager、admin或host-manager页面，是否为他们分配帐户

3）检查Webapp目录下是否部署了manager、admin或host-manager页面。

4）检查conf目录下，tomcat-users.xml文件中，是否开启manager和admin角色的帐户","1）若使用专业帐户启动，则符合

2）若开启manager等页面，且用户名密码使用tomcat或admin，则不符合，其余符合

3）若未开启manager页面，则符合","1）Tomcat服务一般为操作系统用启动

2）Tomcat默认开启manager、admin或host-manger等管理页面，具体有哪个与版本有关。

3）若是安装版Tomcat，会提示输入manager角色的用户或密码，若是直接解压应用的，tomcat-users.xml会把所有帐户都注释掉，需管理员手动添加帐户。

4）tomcat-users文件可以添加一些认证方式，如限制IP等。一般很少网站做这些限制。",

,,,,,Weblogic检测用例表,"1）访谈管理员，是否为Weblogic服务单独设立帐户，使用哪个帐户启动Weblogic

2）访谈管理员，是否开启WeblogicWebconsole控制台，是否为他们分配帐户

3）实际登录console控制台，查看域名>安全领域>myrealm>提供程序>身份验证，查看启用的身份验证程序是哪个，进入具体身份验证程序，查看其相关验证规则","1）若未使用webconsole，则不适用。

2）若使用Webconsole，存在身份验证程序，且有一定的验证规则，则符合",1）默认身份验证程序为DefaultAuthenticator，只使用密码登录，且默认限制密码长度最少为8,

,,e)应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数。,重要,"S1

S2

S3

（S2、S3相同，比S1多出黑体字部分）",B/S网站通用检测用例表,"1）根据此控制点c、d的实施过程，检查网站是否启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查和登录失败处理功能

2）查看网站是否存在相关安全策略配置页面，是否可修改其中参数。

3）实际修改安全策略参数，如登录失败次数，密码复杂度情况等，检测修改后的参数是否实时有效",1）若此控制点c、d两项符合，且可有效配置登录和密码策略，则此项为符合,1）可配置的相关参数一般包括：登录失败次数，登录失败重置时间，密码长度，密码是否需包含数字、大小写字母、特殊字符等，密码有效期，密码定期修改策略，是否保存以前的密码，以前密码的保存个数或实际，帐户有效期，密码重置时间，管理员密码特殊策略等,

,,,,,C/S客户端通用检测用例表,"1）根据此控制点c、d的实施过程，检查软件客户端是否启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查和登录失败处理功能

2）查看客户端和服务器管理端是否存在相关安全策略配置功能，是否可修改其中参数。

3）实际修改安全策略参数，如登录失败次数，密码复杂度情况等，检测修改后的参数是否实时有效",1）若此控制点c、d两项符合，且可有效配置登录和密码策略，则此项为符合,1）可配置的相关参数一般包括：登录失败次数，登录失败重置时间，密码长度，密码是否需包含数字、大小写字母、特殊字符等，密码有效期，密码定期修改策略，是否保存以前的密码，以前密码的保存个数或实际，帐户有效期，密码重置时间，管理员密码特殊策略等,

,,,,,IIS检查用例表,"1）若IIS不允许匿名登录，询问管理员采用哪些用户鉴别技术，帐户都分配给哪些用户

2）右击要检测的网站-属性-目录安全性-在身份验证和访问控制处点编辑-查看身份验证方法",1）若管理员说明允许匿名访问，则不适用；如不允许匿名访问，检查结果在启用匿名访问处打钩了，则为不符合，其余视操作系统等情况而定,1）一般网站是允许匿名访问的，启用则依赖于操作系统或域的身份鉴别技术。且IIS一般只使用一个用户启用，通过IIS访问服务器的用户对系统文件等都有相同的权限，除非对特别的目录或文件进行了不同的身份验证方法，IIS几个身边鉴别方式是依赖操作系统的,

,,,,,APACHE检测用例表,"1）若开启身份认证模块，询问管理员对哪些文件夹使用哪种认证模式

2）查看httpd.conf文件，查看具体文件夹下的AllowOverride是否为AuthConfig，需认证的文件夹下是否有.htaccess文件，文件内容中AuthType类型是什么形式

3）具体上机通过互联网访问加密的文件夹，检测具体的认证模式如何",1）如需要身份认证，启用AuthType为Basic，则不符合，其余符合,1）相关的认证需要相关模块支持,

,,,,,Tomcat检测用例表,"1）访谈管理员，是否为Tomcat服务单独设立帐户，使用哪个帐户启动Tomcat。

2）访谈管理员，是否开启Tomcat的manager、admin或host-manager页面，是否为他们分配帐户

3）检查Webapp目录下是否部署了manager、admin或host-manager页面。

4）检查conf目录下，tomcat-users.xml文件中，是否开启manager和admin角色的帐户","1）若使用专业帐户启动，则符合

2）若开启manager等页面，且用户名密码使用tomcat或admin，则不符合，其余符合

3）若未开启manager页面，则符合","1）Tomcat服务一般为操作系统用启动

2）Tomcat默认开启manager、admin或host-manger等管理页面，具体有哪个与版本有关。

3）若是安装版Tomcat，会提示输入manager角色的用户或密码，若是直接解压应用的，tomcat-users.xml会把所有帐户都注释掉，需管理员手动添加帐户。

4）tomcat-users文件可以添加一些认证方式，如限制IP等。一般很少网站做这些限制。",

,,,,,Weblogic检测用例表,"1）访谈管理员，是否为Weblogic服务单独设立帐户，使用哪个帐户启动Weblogic

2）访谈管理员，是否开启WeblogicWebconsole控制台，是否为他们分配帐户

3）实际登录console控制台，查看域名>安全领域>myrealm>提供程序>身份验证，查看启用的身份验证程序是哪个，进入具体身份验证程序，查看其相关验证规则","1）若未使用webconsole，则不适用。

2）若使用Webconsole，存在身份验证程序，且有一定的验证规则，则符合",1）默认身份验证程序为DefaultAuthenticator，只使用密码登录，且默认限制密码长度最少为8,

,访问控制（S1、S2、S3）,a)应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问,重要,"S1

S2

S3

（S2、S3相同，比S1多出黑体字部分）",B/S网站通用检测用例表,"1）访谈网站管理员或开发人员，网站是否根据其实际应用对网站用户进行权限划分，不同权限的用户是否限制其对某些页面或板块的访问

2）实际上机检测两种不同权限的网站用户的访问效果",1）若提供访问控制功能，且控制粒度达到文件及表级，则此条符合,"1）一般论坛类网站可保证用户权限的划分和访问控制，

2）网站类用户除管理员外，其他用户都不应直接访问操作系统文件和数据库表",

,,,,,C/S客户端通用检测用例表,"1）访谈系统管理员或开发人员，系统是否根据其实际应用对用户进行权限划分，不同权限的用户是否限制其对某些界面或板块的访问

2）实际上机检测两种不同权限的客户端用户的访问效果",1）若提供访问控制功能，且控制粒度达到文件及表级，则此条符合,"1）一般软件可按用户等级划分权限和访问控制

2）客户端软件一般不允许用户直接访问服务端文件和数据库表",

,,,,,IIS检查用例表,"1）询问管理员，针对IIS和操作系统开启的哪些访问控制。

2）依据管理员的回答，从网站内部各文件夹身份验证方式查看对特殊文件夹的访问控制（检查方法与身份鉴别相同）

3）对网站内各文件夹属性进行查看，对各个特殊要求的文件及文件夹右击-安全，查看各类型用户对其的权限。

4）检查系统重要文件，如cmd.exe文件等，查看其是否可被IIS利用（可选）

5）在IIS管理器处右击要检测的网站-属性-主目录-查看写入、目录浏览、脚本资源访问等是否打开","1）如无特殊要求，打开网站主目录写入则为不符合

2）若管理员说明不需要IIS进行访问控制，则此项为不适用。否则根据管理所说的安全策略检查IIS对文件或文件夹的访问控制是否有效，有效则符合，没有效则不符合",1）一般网站不依靠IIS提供访问控制功能，个别特殊网站也只对网站全局启用身份鉴别。很少有网站针对单个文件夹限制。,

,,,,,APACHE检测用例表,"1）询问管理员，针对Apache和操作系统，开启了哪些访问控制

2）查看httpd.conf文件，查看是否存在<Directory/>标签，并查看其是否完全拒绝对根目录的访问

3）在httpd.conf文件中，查看Apache都运行互联网用户访问哪些文件

4）从操作系统层面，查看各类型用户对网站文件和系统特殊文件的权限","1）若<Directory/>中无

OrderDeny,Allow

Denyfromall或

OrderAllow,Deny

Denyfromall或

Denyfromall

则为不符合

2）其他根据网站访问需求与httpd.conf文件对应关系而定，如目录遍历等","1）对于Apache等Web服务器，其访问控制主要针对互联网用户无法通过其Web服务器直接浏览写入网站目录文件。其访问控制不是针对本身操作系统帐户的

2）关于httpd.conf文件中的目录权限order、deny、allow、Option、AllowOverride等解释较复杂，详情请查询Apache官方网站",

,,,,,Tomcat检测用例表,"1）访谈管理员，针对Tomcat和操作系统，开启了哪些访问控制策略

2）查看conf目录下，server.xml中是否存在<Serverport=""8005""shutdown=""SHUTDOWN"">

3）查看conf目录下，web.xml中是否存在<init-param>

<param-name>listings</param-name>

<param-value>true</param-value>

</init-param>

4）查看tomcat-users.xml或每个应用中的/META-INF/context.xml。查看其中是否包含RemoteAddrValve、RemoteHostValve、RemoteIPValve等。

5）从操作系统层面，查看各类型用户对网站文件和系统特殊文件的权限","1）若server.xml存在此语句，则不符合。

2）若web.xml中存在listings为true，则不符合。

3）若tomcat-users.xml或每个应用中的/META-INF/context.xml。包含RemoteAddrValve、RemoteHostValve、RemoteIPValve等，且限定的具体的IP，视情况为符合

4）其余符合","1）当server.xml中存在shutdown语句时，本机telnet8005后可直接输入shutdown停止tomcat服务。

2）当listings为true时，存在目录遍历的可能。

3）RemoteAddrValve、RemoteHostValve、RemoteIPValve等为限制IP地址访问，可全局设置，也可针对单个文件夹。",

,,,,,Weblogic检测用例表,"1）访谈管理员，针对Weblogic和操作系统，开启了哪些访问控制策略

2）在console中，域>安全领域>myrealm>用户和组>用户，查看有哪些用户，分别属于哪些组

3）在console控制台中，点击左侧域名，点击右侧安全>策略，分别查看用户锁定、配置、文件上传、下载、查看日志等的策略配置

4）在console中，点击左侧服务器，点击由此服务器名>安全>策略，查看具体有哪些策略

5）在console中，点击部署，点击具体的应用名>安全>策略，查看具体有哪些策略

6）查看操作系统上Weblogic内各目录或文件的权限配置","1）若未开启webconsole，则不适用

2）若webconsole只有一个用户，则不适用或符合

3）若存在各项策略，则符合","1）域默认只有一个admin角色用户，用户名为Weblogic，拥有各项操作权限

2）各服务器和部署的应用程序默认没有任何策略。",

,,b)访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作,重要,"S2

S3",B/S网站通用检测用例表,"1）访谈网站管理员或开发人员，不同网站用户权限划分的具体策略，是否按照用户-操作-页面的方式划分

2）查看具体权限管理分配页面，参照可配置参数判断访问控制的覆盖范围和粒度",1）若访问控制策略对主体、客体、它们间的操作都存在具体要求，则此项符合,1）具体可参照管理员提供的主客体访问控制矩阵列表，或直接登录网站后台查看访问控制管理授权页面。,

,,,,,C/S客户端通用检测用例表,"1）访谈系统管理员或开发人员，不同网站用户权限划分的具体策略，是否按照用户-操作-界面的方式划分

2）查看具体权限管理分配的界面，参照可配置参数判断访问控制的覆盖范围和粒度",1）若访问控制策略对主体、客体、它们间的操作都存在具体要求，则此项符合,1）具体可参照管理员提供的主客体访问控制矩阵列表，或直接登录系统后台查看访问控制管理授权界面。,

,,,,,IIS检查用例表,"1）询问管理员，针对IIS和操作系统开启的哪些访问控制。

2）依据管理员的回答，从网站内部各文件夹身份验证方式查看对特殊文件夹的访问控制（检查方法与身份鉴别相同）

3）对网站内各文件夹属性进行查看，对各个特殊要求的文件及文件夹右击-安全，查看各类型用户对其的权限。

4）检查系统重要文件，如cmd.exe文件等，查看其是否可被IIS利用（可选）",1）若管理员说明不需要IIS进行访问控制，则此项为不适用。否则根据管理所说的安全策略检查IIS对文件或文件夹的访问控制是否有效，有效则符合，没有效则不符合,1）一般网站不依靠IIS提供访问控制功能，个别特殊网站也只对网站全局启用身份鉴别。很少有网站针对单个文件夹限制。,

,,,,,APACHE检测用例表,"1）询问管理员，针对Apache和操作系统，开启了哪些访问控制

2）查看httpd.conf文件，查看是否存在<Directory/>标签，并查看其是否完全拒绝对根目录的访问

3）在httpd.conf文件中，查看Apache都运行互联网用户访问哪些文件

4）从操作系统层面，查看各类型用户对网站文件和系统特殊文件的权限","1）若<Directory/>中无

OrderDeny,Allow

Denyfromall或

OrderAllow,Deny

Denyfromall或

Denyfromall

则为不符合

2）其他根据网站访问需求与httpd.conf文件对应关系而定，如目录遍历等",如上,

,,,,,Tomcat检测用例表,"1）访谈管理员，针对Tomcat和操作系统，开启了哪些访问控制策略

2）查看conf目录下，server.xml中是否存在<Serverport=""8005""shutdown=""SHUTDOWN"">

3）查看conf目录下，web.xml中是否存在<init-param>

<param-name>listings</param-name>

<param-value>true</param-value>

</init-param>

4）查看tomcat-users.xml或每个应用中的/META-INF/context.xml。查看其中是否包含RemoteAddrValve、RemoteHostValve、RemoteIPValve等。

","1）若server.xml存在此语句，则不符合。

2）若web.xml中存在listings为true，则不符合。

3）若tomcat-users.xml或每个应用中的/META-INF/context.xml。包含RemoteAddrValve、RemoteHostValve、RemoteIPValve等，且限定的具体的IP，视情况为符合

3）其余符合","1）当server.xml中存在shutdown语句时，本机telnet8005后可直接输入shutdown停止tomcat服务。

2）当listings为true时，存在目录遍历的可能。

3）RemoteAddrValve、RemoteHostValve、RemoteIPValve等为限制IP地址访问，可全局设置，也可针对单个文件夹。",

,,,,,Weblogic检测用例表,"1）访谈管理员，针对Weblogic和操作系统，开启了哪些访问控制策略

2）在console中，域>安全领域>myrealm>用户和组>用户，查看有哪些用户，分别属于哪些组

3）在console控制台中，点击左侧域名，点击右侧安全>策略，分别查看用户锁定、配置、文件上传、下载、查看日志等的策略配置

4）在console中，点击左侧服务器，点击由此服务器名>安全>策略，查看具体有哪些策略

5）在console中，点击部署，点击具体的应用名>安全>策略，查看具体有哪些策略

6）查看操作系统上Weblogic内各目录或文件的权限配置","1）若未开启webconsole，则不适用

2）若webconsole只有一个用户，则不适用或符合

3）若存在各项策略，则符合","1）域默认只有一个admin角色用户，用户名为Weblogic，拥有各项操作权限

2）各服务器和部署的应用程序默认没有任何策略。",

,,c)应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限,重要,"S1

S2

S3",B/S网站通用检测用例表,"1）访谈网站管理员或开发人员，了解具体哪些用户可对其他用户进行授权管理，具体为何种授权

2）以不具有授权权限的用户登录，查看其是否可修改访问控制策略

3）了解网站存在哪些默认帐户，其权限如何","1）若只有管理员可对其他用户授权，则此项符合。若其他用户也可授权，则应根据实际情况判断。

2）若公共帐户或测试帐户能进行某些越权操作，则此项不符合",1）尽量保证测试用户到期即删除，不要保留测试用户,

,,,,,C/S客户端通用检测用例表,"1）访谈系统管理员或开发人员，了解具体哪些用户可对其他用户进行授权管理，具体为何种授权

2）以不具有授权权限的用户登录，查看其是否可修改访问控制策略

3）了解系统存在哪些默认帐户，其权限如何","1）若只有管理员可对其他用户授权，则此项符合。若其他用户也可授权，则应根据实际情况判断。

2）若公共帐户或测试帐户能进行某些越权操作，则此项不符合",1）尽量保证测试用户到期即删除，不要保留测试用户,

,,,,,IIS检查用例表,"1）询问管理员，针对IIS和操作系统开启的哪些访问控制。

2）依据管理员的回答，从网站内部各文件夹身份验证方式查看对特殊文件夹的访问控制（检查方法与身份鉴别相同）

3）对网站内各文件夹属性进行查看，对各个特殊要求的文件及文件夹右击-安全，查看各类型用户对其的权限。

4）检查系统重要文件，如cmd.exe文件等，查看其是否可被IIS利用（可选）",1）若管理员说明不需要IIS进行访问控制，则此项为不适用。否则根据管理所说的安全策略检查IIS对文件或文件夹的访问控制是否有效，有效则符合，没有效则不符合,"1）一般网站不依靠IIS提供访问控制功能，个别特殊网站也只对网站全局启用身份鉴别。很少有网站针对单个文件夹限制。

2）IIS一般使用匿名帐户登录，即默认帐户",

,,,,,APACHE检测用例表,"1）若开启身份认证模块，询问管理员对哪些文件夹使用哪种认证模式

2）查看httpd.conf文件，查看具体文件夹下的AllowOverride是否为AuthConfig，需认证的文件夹下是否有.htaccess文件，文件内容中AuthType类型是什么形式

3）具体上机通过互联网访问加密的文件夹，检测具体的认证模式如何",1）如需要身份认证，相关目录启用AuthType则符合。,1）相关的认证需要相关模块支持,

,,,,,Tomcat检测用例表,"1）访谈管理员，针对Tomcat和操作系统，开启了哪些访问控制策略

2）查看conf目录下，server.xml中是否存在<Serverport=""8005""shutdown=""SHUTDOWN"">

3）查看conf目录下，web.xml中是否存在<init-param>

<param-name>listings</param-name>

<param-value>true</param-value>

</init-param>

4）查看tomcat-users.xml或每个应用中的/META-INF/context.xml。查看其中是否包含RemoteAddrValve、RemoteHostValve、RemoteIPValve等。

","1）若server.xml存在此语句，则不符合。

2）若web.xml中存在listings为true，则不符合。

3）若tomcat-users.xml或每个应用中的/META-INF/context.xml。包含RemoteAddrValve、RemoteHostValve、RemoteIPValve等，且限定的具体的IP，视情况为符合

3）其余符合","1）当server.xml中存在shutdown语句时，本机telnet8005后可直接输入shutdown停止tomcat服务。

2）当listings为true时，存在目录遍历的可能。

3）RemoteAddrValve、RemoteHostValve、RemoteIPValve等为限制IP地址访问，可全局设置，也可针对单个文件夹。",

,,,,,Weblogic检测用例表,"1）访谈管理员，针对Weblogic和操作系统，开启了哪些访问控制策略

2）在console中，域>安全领域>myrealm>用户和组>用户，查看有哪些用户，分别属于哪些组

3）在console控制台中，点击左侧域名，点击右侧安全>策略，分别查看用户锁定、配置、文件上传、下载、查看日志等的策略配置

4）在console中，点击左侧服务器，点击由此服务器名>安全>策略，查看具体有哪些策略

5）在console中，点击部署，点击具体的应用名>安全>策略，查看具体有哪些策略

6）查看操作系统上Weblogic内各目录或文件的权限配置","1）若未开启webconsole，则不适用

2）若webconsole只有一个用户，则不适用或符合

3）若存在各项策略，则符合","1）域默认只有一个admin角色用户，用户名为Weblogic，拥有各项操作权限

2）各服务器和部署的应用程序默认没有任何策略。",

,,d)应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系,,"S2

S3",B/S网站通用检测用例表,"1）访谈网站管理员或开发人员，了解其为各用户分别如何授权，是否为最小授权，特殊权限是否分离，是否相互制约

2）以不同权限登录网站，查看其是否可越权操作其他内容",1）若存在相互制约的不同帐户，则此项为符合,特殊权限主要指管理员、审计员、安全员，这三种应相互制约，不应授权在一个帐户下。但除个别系统外，大部系统将这三种权限都为管理员所有,

,,,,,C/S客户端通用检测用例表,"1）访谈系统管理员或开发人员，了解其为各用户分别如何授权，是否为最小授权，特殊权限是否分离，是否相互制约

2）以不同权限登录客户端，查看其是否可越权操作其他内容",1）若存在相互制约的不同帐户，则此项为符合,特殊权限主要指管理员、审计员、安全员，这三种应相互制约，不应授权在一个帐户下。但除个别系统外，大部系统将这三种权限都为管理员所有,

,,,,,IIS检查用例表,"1）询问管理员，针对IIS和操作系统开启的哪些访问控制。

2）依据管理员的回答，从网站内部各文件夹身份验证方式查看对特殊文件夹的访问控制（检查方法与身份鉴别相同）

3）对网站内各文件夹属性进行查看，对各个特殊要求的文件及文件夹右击-安全，查看各类型用户对其的权限。

4）检查系统重要文件，如cmd.exe文件等，查看其是否可被IIS利用（可选）

5）检查系统帐户直接的权限分配",1）若管理员说明不需要IIS进行访问控制，则此项为不适用。否则根据管理所说的安全策略检查IIS对文件或文件夹的访问控制是否有效，有效则符合，没有效则不符合,"1）一般网站不依靠IIS提供访问控制功能，个别特殊网站也只对网站全局启用身份鉴别。很少有网站针对单个文件夹限制。

2）IIS一般使用匿名帐户登录，即默认帐户

3）IIS帐户及操作系统帐户，IIS无法在各个帐户间形成制约关系，此项依赖于操作系统。",

,,,,,APACHE检测用例表,"1）若开启身份认证模块，询问管理员对哪些文件夹使用哪种认证模式

2）查看httpd.conf文件，查看具体文件夹下的AllowOverride是否为AuthConfig，需认证的文件夹下是否有.htaccess文件，文件内容中AuthType类型是什么形式

3）具体上机通过互联网访问加密的文件夹，检测具体的认证模式如何",1）如需要身份认证，相关目录启用AuthType则符合。,1）Apache对互联网用户不涉及制约管理,

,,,,,Tomcat检测用例表,"1）访谈管理员，针对Tomcat和操作系统，开启了哪些访问控制策略

2）查看conf目录下，server.xml中是否存在<Serverport=""8005""shutdown=""SHUTDOWN"">

3）查看conf目录下，web.xml中是否存在<init-param>

<param-name>listings</param-name>

<param-value>true</param-value>

</init-param>

4）查看tomcat-users.xml或每个应用中的/META-INF/context.xml。查看其中是否包含RemoteAddrValve、RemoteHostValve、RemoteIPValve等。

并查看tomcat-users都存在哪些帐户","1）若server.xml存在此语句，则不符合。

2）若web.xml中存在listings为true，则不符合。

3）若tomcat-users.xml或每个应用中的/META-INF/context.xml。包含RemoteAddrValve、RemoteHostValve、RemoteIPValve等，且限定的具体的IP，视情况为符合

3）其余符合","1）当server.xml中存在shutdown语句时，本机telnet8005后可直接输入shutdown停止tomcat服务。

2）当listings为true时，存在目录遍历的可能。

3）RemoteAddrValve、RemoteHostValve、RemoteIPValve等为限制IP地址访问，可全局设置，也可针对单个文件夹。",

,,,,,Weblogic检测用例表,"1）访谈管理员，针对Weblogic和操作系统，开启了哪些访问控制策略

2）在console中，域>安全领域>myrealm>用户和组>用户，查看有哪些用户，分别属于哪些组

3）在console控制台中，点击左侧域名，点击右侧安全>策略，分别查看用户锁定、配置、文件上传、下载、查看日志等的策略配置

4）在console中，点击左侧服务器，点击由此服务器名>安全>策略，查看具体有哪些策略

5）在console中，点击部署，点击具体的应用名>安全>策略，查看具体有哪些策略

6）查看操作系统上Weblogic内各目录或文件的权限配置","1）若未开启webconsole，则不适用

2）若webconsole只有一个用户，则不适用或符合

3）若存在各项策略，则符合","1）域默认只有一个admin角色用户，用户名为Weblogic，拥有各项操作权限

2）各服务器和部署的应用程序默认没有任何策略。",

,,e)应具有对重要信息资源设置敏感标记的功能,,S3,B/S网站通用检测用例表,"1）访谈网站管理员或开发人员，了解网站是否可对各版块或页面进行敏感标记

2）使用某用户登录，查看其是否可对于其设置敏感标记的页面进行非授权操作",1）若网站拥有专门针对客体（如页面）的访问控制策略，则符合。,敏感标记不允许其它用户修改，包括资源的拥有者。因此敏感标记是针对强制访问控制策略制定的。目前大部分可授权网站，如论坛等，算拥有敏感标记,关于敏感标记，以及后面的审计等，不同人可能有不同的概念，此次测评指导书只是根据编者本人的方法论编写的，毕竟编制的见识有限，无法全面阐述一个检测点，因此大家可能存有不同看法。希望我的指导书不要误导大家本身正确的观点

,,,,,C/S客户端通用检测用例表,"1）访谈系统管理员或开发人员，了解系统是否可对各数据或界面进行敏感标记

2）使用某用户登录，查看其是否可对于其设置敏感标记的界面数据进行非授权操作",1）若系统有专门针对客体（如界面数据）的访问控制策略，则符合。,敏感标记不允许其它用户修改，包括资源的拥有者。因此敏感标记是针对强制访问控制策略制定的。目前大部分软件，都可对用户分等级，不同等级存在不同策略，算拥有敏感标记,

,,,,,IIS检查用例表,"1）询问管理员，针对IIS和操作系统开启的哪些访问控制。

2）依据管理员的回答，从网站内部各文件夹身份验证方式查看对特殊文件夹的访问控制（检查方法与身份鉴别相同）

3）对网站内各文件夹属性进行查看，对各个特殊要求的文件及文件夹右击-安全，查看各类型用户对其的权限。

4）检查系统重要文件，如cmd.exe文件等，查看其是否可被IIS利用（可选）

5）检查系统帐户直接的权限分配",1）若管理员说明不需要IIS进行访问控制，则此项为不适用。否则根据管理所说的安全策略检查IIS对文件或文件夹的访问控制是否有效，有效则符合，没有效则不符合,"1）一般网站不依靠IIS提供访问控制功能，个别特殊网站也只对网站全局启用身份鉴别。很少有网站针对单个文件夹限制。

",

,,,,,APACHE检测用例表,"1）询问管理员，针对Apache和操作系统开启的哪些访问控制。

2）依据管理员的回答，从网站内部各文件夹身份验证方式查看对特殊文件夹的访问控制（检查方法与身份鉴别相同）

3）对网站内各文件夹属性进行查看，对各个特殊要求的文件及文件夹右击-安全，查看各类型用户对其的权限。

4）检查系统重要文件，如cmd.exe文件等，查看其是否可被Apache利用（可选）

5）检查系统帐户直接的权限分配",1）若管理员说明不需要Apache进行访问控制，则此项为不适用。否则根据管理所说的安全策略检查Apache对文件或文件夹的访问控制是否有效，有效则符合，没有效则不符合,"1）一般网站不依靠Apache提供访问控制功能，个别特殊网站也只对网站全局启用身份鉴别。很少有网站针对单个文件夹限制。

",

,,,,,Tomcat检测用例表,"1）询问管理员，针对Tomcat和操作系统开启的哪些访问控制。

2）依据管理员的回答，从网站内部各文件夹身份验证方式查看对特殊文件夹的访问控制（检查方法与身份鉴别相同）

3）对网站内各文件夹属性进行查看，对各个特殊要求的文件及文件夹右击-安全，查看各类型用户对其的权限。

4）检查系统重要文件，如cmd.exe文件等，查看其是否可被Tomcat利用（可选）

5）检查系统帐户直接的权限分配",1）若管理员说明不需要Tomcat进行访问控制，则此项为不适用。否则根据管理所说的安全策略检查Tomcat对文件或文件夹的访问控制是否有效，有效则符合，没有效则不符合,"1）一般网站不依靠Tomcat提供访问控制功能，个别特殊网站也只对网站全局启用身份鉴别。很少有网站针对单个文件夹限制。

",

,,,,,Weblogic检测用例表,"1）询问管理员，针对Weblogic和操作系统开启的哪些访问控制。

2）依据管理员的回答，从网站内部各文件夹身份验证方式查看对特殊文件夹的访问控制（检查方法与身份鉴别相同）

3）对网站内各文件夹属性进行查看，对各个特殊要求的文件及文件夹右击-安全，查看各类型用户对其的权限。

4）检查系统重要文件，如cmd.exe文件等，查看其是否可被Weblogic利用（可选）

5）检查系统帐户直接的权限分配",1）若管理员说明不需要Weblogic进行访问控制，则此项为不适用。否则根据管理所说的安全策略检查Weblogic对文件或文件夹的访问控制是否有效，有效则符合，没有效则不符合,"1）一般网站不依靠Weblogic提供访问控制功能，个别特殊网站也只对网站全局启用身份鉴别。很少有网站针对单个文件夹限制。

",

,,f)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作,,S3,B/S网站通用检测用例表,"1）访谈网站管理员或开发人员，了解网站是否可对各版块或页面进行敏感标记

2）使用某用户登录，查看其是否可对于其设置敏感标记的页面进行非授权操作",1）若网站拥有专门针对客体（如页面）的访问控制策略，则算符合。,敏感标记不允许其它用户修改，包括资源的拥有者。因此敏感标记是针对强制访问控制策略制定的。目前大部分可授权网站，如论坛等，算拥有敏感标记,

,,,,,C/S客户端通用检测用例表,"1）访谈系统管理员或开发人员，了解系统是否可对各数据或界面进行敏感标记

2）使用某用户登录，查看其是否可对于其设置敏感标记的界面数据进行非授权操作",1）若系统拥有专门针对客体（如界面数据）的访问控制策略，则算符合。,敏感标记不允许其它用户修改，包括资源的拥有者。因此敏感标记是针对强制访问控制策略制定的。目前大部分软件，都可对用户分等级，不同等级存在不同策略，算拥有敏感标记,

,,,,,IIS检查用例表,"1）询问管理员，针对IIS和操作系统开启的哪些访问控制。

2）依据管理员的回答，从网站内部各文件夹身份验证方式查看对特殊文件夹的访问控制（检查方法与身份鉴别相同）

3）对网站内各文件夹属性进行查看，对各个特殊要求的文件及文件夹右击-安全，查看各类型用户对其的权限。

4）检查系统重要文件，如cmd.exe文件等，查看其是否可被IIS利用（可选）

5）检查系统帐户直接的权限分配",1）若管理员说明不需要IIS进行访问控制，则此项为不适用。否则根据管理所说的安全策略检查IIS对文件或文件夹的访问控制是否有效，有效则符合，没有效则不符合,"1）一般网站不依靠IIS提供访问控制功能，个别特殊网站也只对网站全局启用身份鉴别。很少有网站针对单个文件夹限制。

",

,,,,,APACHE检测用例表,"1）询问管理员，针对Apache和操作系统开启的哪些访问控制。

2）依据管理员的回答，从网站内部各文件夹身份验证方式查看对特殊文件夹的访问控制（检查方法与身份鉴别相同）

3）对网站内各文件夹属性进行查看，对各个特殊要求的文件及文件夹右击-安全，查看各类型用户对其的权限。

4）检查系统重要文件，如cmd.exe文件等，查看其是否可被Apache利用（可选）

5）检查系统帐户直接的权限分配",1）若管理员说明不需要Apache进行访问控制，则此项为不适用。否则根据管理所说的安全策略检查Apache对文件或文件夹的访问控制是否有效，有效则符合，没有效则不符合,"1）一般网站不依靠Apache提供访问控制功能，个别特殊网站也只对网站全局启用身份鉴别。很少有网站针对单个文件夹限制。

",

,,,,,Tomcat检测用例表,"1）询问管理员，针对Tomcat和操作系统开启的哪些访问控制。

2）依据管理员的回答，从网站内部各文件夹身份验证方式查看对特殊文件夹的访问控制（检查方法与身份鉴别相同）

3）对网站内各文件夹属性进行查看，对各个特殊要求的文件及文件夹右击-安全，查看各类型用户对其的权限。

4）检查系统重要文件，如cmd.exe文件等，查看其是否可被Tomcat利用（可选）

5）检查系统帐户直接的权限分配",1）若管理员说明不需要Tomcat进行访问控制，则此项为不适用。否则根据管理所说的安全策略检查Tomcat对文件或文件夹的访问控制是否有效，有效则符合，没有效则不符合,"1）一般网站不依靠Tomcat提供访问控制功能，个别特殊网站也只对网站全局启用身份鉴别。很少有网站针对单个文件夹限制。

",

,,,,,Weblogic检测用例表,"1）询问管理员，针对Weblogic和操作系统开启的哪些访问控制。

2）依据管理员的回答，从网站内部各文件夹身份验证方式查看对特殊文件夹的访问控制（检查方法与身份鉴别相同）

3）对网站内各文件夹属性进行查看，对各个特殊要求的文件及文件夹右击-安全，查看各类型用户对其的权限。

4）检查系统重要文件，如cmd.exe文件等，查看其是否可被Weblogic利用（可选）

5）检查系统帐户直接的权限分配",1）若管理员说明不需要Weblogic进行访问控制，则此项为不适用。否则根据管理所说的安全策略检查Weblogic对文件或文件夹的访问控制是否有效，有效则符合，没有效则不符合,"1）一般网站不依靠Weblogic提供访问控制功能，个别特殊网站也只对网站全局启用身份鉴别。很少有网站针对单个文件夹限制。

",

,安全审计（G2、G3）,a)应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计,重要,"G2

G3",B/S网站通用检测用例表,"1）访谈网站管理员或开发人员，网站是否可对用户的行为进行记录审计

2）以用户身份登录网站，执行一些操作，用审计人员的身份登录，查看系统是否对上述操作进行了记录审计",1）若能对用户行为和网站活动进行记录审计，则此项符合,"1）审计有别于日志记录，审计包括事件产生、事件记录、事件检查的全过程。例如大部分系统能记录，并将记录分类以方便审计，也可算其进行了审计。

2）网站类审计通常是指各个网站访问日志，用户操作日志等。",

,,,,,C/S客户端通用检测用例表,"1）访谈系统管理员或开发人员，系统是否可对用户的行为进行记录审计

2）以用户身份登录客户端，执行一些操作，用审计人员的身份登录，查看系统是否对上述操作进行了记录审计",1）若能对用户行为和系统自身活动进行记录审计，则此项符合,"1）审计有别于日志记录，审计包括事件产生、事件记录、事件检查的全过程。例如大部分系统能记录，并将记录分类以方便审计，也可算其进行了审计。

2）软件类审计通常是指用户操作日志、用户登录日志等。",

,,,,,IIS检查用例表,"1）检查IIS管理器处右击网站名称-属性-网站-启用日志记录处是否打钩

2）检查IIS管理器处右击网站名称-属性-网站-启用日志记录下的属性-在常规里查看文件大小和名称的配置

3）检查IIS管理器处右击网站名称-属性-网站-启用日志记录下的属性-在高级里查看文件内容格式的配置",1）若开启日志记录则符合，否则为不符合,1）一般IIS符合,

,,,,,APACHE检测用例表,"1）询问管理员，Apache使用哪种方式进行日志记录和审计，具体记录审计哪些内容

2）查看httpd.conf文件中日志的设置，是否开启以下两项：

CustomLog""logs/access.log""common

ErrorLog""logs/error.log""

日志记录哪些内容",1）若开启error日志和Access日志，则符合，默认符合,1）默认开启error日志和Access日志，loglevel默认是warn,

,,,,,Tomcat检测用例表,"1）询问管理员，Tomcat使用哪种方式进行日志记录和审计，具体记录审计哪些内容

2）查看conf/server.xml文件中日志的设置，是否存在<ValveclassName=""org.apache.catalina.valves.AccessLogValve""directory=""logs""prefix=""localhost_access_log.""suffix="".txt""

日志记录哪些内容

3）查看logs目录下具体有哪些文件",1）若开启日志，则符合,1）日志记录在每个host中，如果使用虚拟站点，则每个站点主机中设置分割的日志配置,

,,,,,Weblogic检测用例表,"1）访谈管理员，Weblogic都记录哪些日志和审计，具体记录审计哪些内容

2）在console中，点击左侧域名，点击右侧配置>日志记录，查看是否开启域日志记录，日志策略和格式

3）在console中，点击左侧服务器，点击右侧服务器名，点击日志记录查看服务器常规日志记录策略和格式，以及服务器HTTP日志记录策略和方式。

4）在console中，点击部署，点击具体应用程序，点击配置>日志记录，查看应用程序是否单独启用日志，",1）若服务器未启用HTTP日志，则不符合，其余视情况符合或不符合,"1）默认开启域日志、服务器常规日志和服务器HTTP日志。默认不为每个Web应用程度单独开启日志。

2）默认服务器HTTP日志格式为非扩展模式，具体字段有datetimecs-methodcs-urisc-status",

,,b)应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录,,"G2

G3（黑体部分为G3独有内容）",B/S网站通用检测用例表,"1）访谈网站管理员或开发人员，了解网站审计功能是否有独立的模块或进程执行。了解网站如何保护其审计记录。

2）分别登录网站和网站服务器，查看从网站应用或网站操作系统层面能否停止网站审计，删除或修改审计日志",1）若使用网站管理员用户登录网站，无法从网站层面单独关闭日志记录，无法修改日志。则此项符合,1）应用程序都是安置在操作系统之上，因此操作系统管理员可通过各种手段管理应用程序，包括强行中断程序，删除程序日志等。没有绝对的安全。因此我们认为只有无法从网站应用层面中断和改写审计即可。,

,,,,,C/S客户端通用检测用例表,"1）访谈系统管理员或开发人员，了解系统审计功能是否有独立的模块或进程执行。了解系统如何保护其审计记录。

2）分别登录系统客户端和系统服务器，查看从客户端或服务器操作系统层面能否停止系统审计，删除或修改审计日志",1）若使用系统管理员用户登录客户端，无法从应用层面单独关闭日志记录，无法修改日志。则此项符合,1）应用程序都是安置在操作系统之上，因此操作系统管理员可通过各种手段管理应用程序，包括强行中断程序，删除程序日志等。没有绝对的安全。因此我们认为只有无法从客户端应用层面中断和改写审计即可。,

,,,,,IIS检查用例表,"1）检查IIS管理器处右击网站名称-属性-网站-启用日志记录处是否打钩

2）检查IIS管理器处右击网站名称-属性-网站-启用日志记录下的属性-在常规里查看文件大小和名称的配置

3）检查IIS管理器处右击网站名称-属性-网站-启用日志记录下的属性-在高级里查看文件内容格式的配置

4）查找日志文件，右击-属性-安全-查看那些用户都日志有哪些操作权限",1）若开启日志记录，且只有系统管理员和SYSTEM允许修改，则为符合，其余为不符合,1）因为Windows管理员帐户为最高权限，可对日志进行删除修改操作。此为系统原因。,

,,,,,APACHE检测用例表,1）若存在日志记录，则到日记文件夹查看具体日志文件的权限配置，一般在Apache文件夹下的logs文件夹里,1）如日志只运行系统管理员修改，则符合，其余视情况为不符合或不适用,1）因为日志文件是在操作系统之上的，所有一般操作系统管理员都拥有对日志的操作权限。,

,,,,,Tomcat检测用例表,1）若存在日志记录，则到日记文件夹查看具体日志文件的权限配置，一般在Tomcat文件夹下的logs文件夹里,1）如日志只运行系统管理员修改，则符合，其余视情况为不符合或不适用,1）因为日志文件是在操作系统之上的，所有一般操作系统管理员都拥有对日志的操作权限。,

,,,,,Weblogic检测用例表,1）若存在日志记录，则到日记文件夹查看具体日志文件的权限配置，一般在bea\user_projects\domains\域名\servers\服务名\logs文件夹下,1）如日志只运行系统管理员修改，则符合，其余视情况为不符合或不适用,1）因为日志文件是在操作系统之上的，所有一般操作系统管理员都拥有对日志的操作权限。,

,,c)审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等,重要,"G2

G3",B/S网站通用检测用例表,"1）访谈网站管理员或开发人员，了解审计日志的具体内容。

2）查看一份详细的日志文件，查看其中是否包括时间、发起者、类型、描述、结果等信息",1）若日志中包括日期、时间、发起者、事件类型、结果。此项记为符合,1）一般网站日志符合此项要求,

,,,,,C/S客户端通用检测用例表,"1）访谈系统管理员或开发人员，了解审计日志的具体内容。

2）查看一份详细的日志文件，查看其中是否包括时间、发起者、类型、描述、结果等信息",1）若日志中包括日期、时间、发起者、事件类型、结果。此项记为符合,1）一般软件自身日志符合此项要求，除非系统服务端自身不带日志功能,

,,,,,IIS检查用例表,"1）检查IIS管理器处右击网站名称-属性-网站-启用日志记录处是否打钩

2）检查IIS管理器处右击网站名称-属性-网站-启用日志记录下的属性-在常规里查看文件大小和名称的配置

3）检查IIS管理器处右击网站名称-属性-网站-启用日志记录下的属性-在高级里查看文件内容格式的配置",1）若开启日志记录则符合，且文件内容包括日期、时间、客户端IP、用户名、服务端IP、服务端端口、方法、URI资源、协议状态等为符合，否则为不符合,1）一般IIS符合,

,,,,,APACHE检测用例表,1）若开启日志记录，则到httpd.conf文件查看日志记录格式。,"1）若日志格式中包含如下：

%h%l%u%t\""%r\""%>s%b，即符合，默认符合",1）一般Apache访问日志为common，,

,,,,,Tomcat检测用例表,"1）询问管理员，Tomcat使用哪种方式进行日志记录和审计，具体记录审计哪些内容

2）查看conf/server.xml文件中日志的设置，是否存在<ValveclassName=""org.apache.catalina.valves.AccessLogValve""directory=""logs""prefix=""localhost_access_log.""suffix="".txt""pattern=""%h%l%u%t"%r"%s%b""resolveHosts=""false""/>

日志记录哪些内容

3）查看logs目录下具体有哪些文件","1）若开启日志，且存在pattern=""%h%l%u%t"%r"%s%b""resolveHosts=""false""/>则符合",1）一般Tomcat日志默认符合,

,,,,,Weblogic检测用例表,"1）访谈管理员，Weblogic都记录哪些日志和审计，具体记录审计哪些内容

2）在console中，点击左侧域名，点击右侧配置>日志记录，查看是否开启域日志记录，日志策略和格式

3）在console中，点击左侧服务器，点击右侧服务器名，点击日志记录查看服务器常规日志记录策略和格式，以及服务器HTTP日志记录策略和方式。

4）在console中，点击部署，点击具体应用程序，点击配置>日志记录，查看应用程序是否单独启用日志，","1）若服务器未启用HTTP日志，则不符合

2）若HTTP日志包括datetimecs-methodcs-urisc-status则符合","1）默认开启域日志、服务器常规日志和服务器HTTP日志。默认不为每个Web应用程度单独开启日志。

2）默认服务器HTTP日志格式为非扩展模式，具体字段有datetimecs-methodcs-urisc-status",

,,d)应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能,,G3,B/S网站通用检测用例表,"1）访谈网站管理员或开发人员，了解网站日志是否有分类、统计、查询等功能。

2）以审计人员身份登录网站，查看网站日志是否进行了分类统计、是否可查询等",1）若日志可统计、可查询等，则此项记为符合,"1）网站一般会有日志记录，但只有部分网站会利用日志分析点击率等工具，从而对日志进行分类，统计，排名。

2）和审计的概念一样。事后的检查一般是通过人工，但能自动分类统计，以及稍加人工干预的分析报表就算符合",

,,,,,C/S客户端通用检测用例表,"1）访谈系统管理员或开发人员，了解系统日志是否有分类、统计、查询等功能。

2）以审计人员身份登录系统后台，查看系统日志是否进行了分类统计、是否可查询等",1