最近出现了一些不正常的操作系统,但到目前为止,只有一个粗略的验证,然而,彻底清除。对于安全日志系统中的一些总结。
1、系统登录必须先登录
该日志必须包含:登录时间、注销时间、登录ip、主机名、MAC住址
但时间是有点困难注销。直接点击浏览器的关闭button。此处设计要注意。
2、用户点击系统的重要页面必须记录日志
一个系统的页面众多,能够的话当然所有记录最好,假设存储有难度。关键的页面必须记录
3、必须保证登录session的正确性
这个包括双方面:一是必须登录了才干查看系统,避免系统的不论什么一个url复制到还有一个浏览器也能打开的状况;
二是用户的识别必须正确,不能A用户点击的页面,错记录为B用户
4、对于每一笔操作,都应该有个来源记录
比方我作了一个改动操作,这个操作能够在A页面做。也能够在B页面做,所以必须记录下这个操作的来源页面是哪里。假设来源系统也不一样,就更要记录
5、对于系统的数据改动。必须严格管控
上面说的这么多日志的记录,假设能够被人任意改动。那记录再多也是白扯。
6、严格控制非页面操作的数据改动
后台数据的改动除了从系统页面操作,必定还有很多渠道。比方直接运行sql、通过soapui调用一些业务操作接口、通过公司内部的调试软件进行调用操作等。
所以数据库最好打开审计功能。记录sql的操作日志。调试的工具不可能禁止使用,但最好严格控制人数,圈定了几个人,基本都不可能瞎来。
7、控制vpn的使用
基本内网才干操作系统。但假设有vpn,就加大查找来源的难度。
2015.3.12
===========
2015.3.13补充:
仅仅记录登录日志还不太够,怎样证明这个登录操作是他本人而不是被盗用呢?
最好另一个确认的操作。比方短信确认。你的帐号password被盗了,不可能手机也被盗对。假设短信成本太高,微信、token其他装置也可以是。
版权声明:本文博主原创文章,博客,未经同意不得转载。