| 检查应用程序的审核和日志记录方法。除了防止抵赖之外,定期分析日志文件有助于识别入侵迹象。下表显示了常见的审核和日志记录漏洞。
|
|
|
|
|
|
|
| 测试中需要考虑下列问题,帮助验证应用程序审核和日志记录的方法。
|
|
|
|
|
|
|
|
|
|
|
|
|
| 确保审核其他关键事件,包括数据检索、网络通信和管理功能(如启用和禁用日志记录)。
|
|
|
|
|
| 设计必须确保跨多个应用程序层来进行审核活动。为此,原始调用者的身份必须在每个层都可用。
|
|
|
|
|
|
|
|
|
| 日志文件是证明个人犯罪行为和解决抵赖问题的法律程序所必需的。通常,在访问资源的时候,如果由访问资源的同一例程生成审核,则审核最具权威性。确认应用程序设计中与日志文件同步相关的问题,然后记录某种形式的请求标识符,确保多个日志文件条目可互相关联,并能关联至同一请求。
|
|
|
|
|
| 如果不在操作系统级流动原始调用者身份(例如,由于此方法伸缩性有限),应明确应用程序如何流动原始调用者身份。对于跨层审核,这是必需的(对于授权来说,可能同样必需)。
|
|
|
| 此外,如果多个用户映射到同一应用程序角色,应确保应用程序记录原始调用者的身份。
|
|
|
|
|
| 检查应用程序设计是否考虑到日志文件的备份、存档和分析。日志文件必须定期存档来确保不被充满;如果充满,应开始回收。而且,还要经常分析日志文件来检测入侵迹象。此外,确保执行备份的账户都是特权最少的,确保仅为备份而公开的所有附加信道安全。
|
|
|
