web等保评测需要实机查看的操作系统、服务器、数据库和应用部分

"等保测评"全称是信息安全等级保护测评。是经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。

本文陆续将遇到的情况进行记录,有些是直接填表格的,这里暂不作记录。

实际操作可参考本文《安全篇 ━━ 整改mysql数据库及windows服务器(根据安全等级保护评估、渗透测试报告)

操作系统部分

账号、密码、IP等安全策略

日志情况

文件夹

用户账号密码等

服务中相关内容

操作系统概况

当前硬盘情况

服务器部分

是否开启日志

日志存储位置

数据库部分

打开MySQL查询窗口

密码情况

powershell 复制代码
show variables like "%password%";

过期处理

powershell 复制代码
show variables like "%timeout%";

连接处理

powershell 复制代码
show variables like "%connect_control%";

审计日志状况

powershell 复制代码
show variables like "%general_log%";
  • 如果想让它开启,则使用:
powershell 复制代码
SET GLOBAL log_output = 'TABLE';
SET GLOBAL general_log = 'ON';
  • 如果想看详细配置,则使用:
powershell 复制代码
show variables like '%general_log%';

账号情况

powershell 复制代码
select user,host from mysql.user;

版本

powershell 复制代码
select version();

应用程序部分

开发人员需要在开发时注意。

用户登录失败

有无配置登录失败处理策略

  • 登录失败几次
  • 锁定账户多长时间

用户操作记录

是否保存应用系统操作

  • 用户登录
  • 操作日志

文档部分

系统开发过程文档,根据项目建设过程中实际产出的文档,有就提供以下文档

二级系统开发提供

  1. 提供系统安全设计方案(从物理环境、网络、服务器、数据库、管理等多个角度保障系统的安全运行的方案)
  2. 提供软件安装前的恶意代码检测报告
  3. 提供软件设计文档和操作手册
  4. 提供系统工程实施方案(主要内容是时间限制、进度控制、质量控制,如什么时间点完成哪些内容,具备什么质量要求等)
  5. 提供系统上线前的安全测试报告(渗透测试、源代码审计报告等)
  6. 提供系统测试验收方案和报告
  7. 提供系统交付清单(交付了哪些东西,如设备、软件、文档)
  8. 提供系统建设过程文档和运行维护文档
相关推荐
CoderLiu16 分钟前
用这个MCP,只给大模型一个figma链接就能直接导出图片,还能自动压缩上传?
前端·llm·mcp
伍哥的传说19 分钟前
鸿蒙系统(HarmonyOS)应用开发之实现电子签名效果
开发语言·前端·华为·harmonyos·鸿蒙·鸿蒙系统
海的诗篇_1 小时前
前端开发面试题总结-原生小程序部分
前端·javascript·面试·小程序·vue·html
找不到、了1 小时前
MySQL的窗口函数介绍
数据库·mysql
时时三省1 小时前
【时时三省】vectorcast使用教程
安全·安全架构
uncleTom6661 小时前
前端地图可视化的新宠儿:Cesium 地图封装实践
前端
晨曦丿1 小时前
双11服务器
linux·服务器·网络
lemonzoey1 小时前
无缝集成 gemini-cli 的 vscode 插件:shenma
前端·人工智能
老家的回忆1 小时前
jsPDF和html2canvas生成pdf,组件用的elementplus,亲测30多页,20s实现
前端·vue.js·pdf·html2canvas·jspdf
执笔诉情殇〆1 小时前
springboot集成达梦数据库,取消MySQL数据库,解决问题和冲突
数据库·spring boot·mysql·达梦