3.用户赋予适当的权限
不要每个帐户都设置DBA权限,把系统所有操作暴露给每个用户;
每个帐户仅赋予它完成操作所需要的权限;不要轻易为帐户赋予delete或delete any权限,确保数据不会被误删除;
数据库安全(sql server)
1、关闭服务器端的tcp/ip协议服务。
2、数据库用户登录方式选择sql server身份认证。
3、设置用户访问指定的数据库。
4、设置用户对数据库中的对象有指定的操作权限。
5、查看数据是否有定期自动备份的操作。
第四部分
IIS服务器安全测试
1、IIS基础服务组件安装情况。(根据系统情况合理的安装,减少安装不必要的服务控件)
2、查看IIS日志是否启用,日志存储路径以及日志记录选项
3、IIS主目录路径和目录访问权限的设置。
(注意:1.目录建议不要和系统盘符设置在同一路径下,2.目录访问权限根据所在项目系统的实际情况来设置,通常只启用”读取”权限,记录访问和索引资料权限跟系统的安全无关都默认启用,因为所用的internet用户访问的目录就是IIS设定主目录)
4、默认文档的启用。
5、访问控制的身份验证。
6、连接超时功能的设置(可以根据项目的安全要求具体的可参考系统需求规格说明书来进行合理的设置)。
7、安全补丁的更新和安装情况
第五部分
网络环境安全测试
主要检测的是系统所在局域网内的网络环境的的安全设置,根据情况可以忽略。
1.备份和升级情况
2.访问控制情况
3.网络服务情况
4.路由协议情况
版权声明:本文出自ChinaTNT的51Testing软件测试博客
