安全测试 Checklist

序号	检查项	检查方法
1	端口监听检查	不跨VM访问的端口不能监听在业务IP，以及0.0.0.0上，一般只能在127.0.0.1上 1、使用netstat -an |grep tcp命令检查所有TCP端口 2、根据组网及模块间通信来确保是否跨VM通信.(R2C10为双机) 跨VM访问的端口列表： 不跨VM访问的端口列表： 暂不处理的端口列表：
2	端口列表检查	通讯矩阵验证高优先级重视，要与局点针对通讯矩阵达成理解一致 1、通过nmap扫描后，查看是否有通讯矩阵中不存在的端口； 2、检查对应端口的描述是否正确。
3	组（域）访问最小原则	比如两个不同ELB之间的虚拟机不能访问
4	跨域访问协议审视	跨域访问需要HTTPS,SNMP V3等安全协议要求
5	xx业务域主动访问管理域	需要有明确的原因，并通过SE,PM，测试评估达成一致意见 需要明确业务域与管理域分别是什么。vodaplex业务域访问管理域的场景有： metadata虚拟机
6	各VM最小服务集	与客户明确最小集服务，保证C3的最小化安装
7	管理端口协议认证机制	管理端口需要认证的有：Apiserver、Omserver、Cloudservice、IEE、ICC、IAM、ILB、ICS、Hbase
8	后门检查	固定密码、隐藏帐户、隐藏命令、隐藏参数、隐藏软参，隐藏接口、调试端口/命令检查，可与开发沟通
9	不安全协议审视	不安全服务（Telnet、FTP、NFS、Samba、RPC、TFTP、r 服务、Netbios、X-Windows、Snmp V1.0/V2.0 ）。 1、使用chkconfig检查服务是否存在，默认状态应为关闭 2、如果必须使用该服务，必须支持对应安全服务； 3、如果使用到不安全服务，需要提供安全的策略保证使用。
10	口令不能明文在日志中	1、梳理口令应用场景， 2、检查是否写将密码打印在日志中
11	口令不能明文在配置文件	扫描/查看所有配置文件即可
12	口令不能明文在脚本	扫描脚本代码
13	口令不能明文在数据库	1、明确口令入库的场景2、扫描数据库
14	xxx使用口令复杂度检查	1、明确口令种类，检查复杂度
15	加密算法核查	收集自己模块使用的加密算法，核实是否为不安全或私有。禁止DES、RC2、MD5、SHA1、HMAC-MD5、HMAC-SHA1等（非AES128的需要关注）
16	目录文件权限审视	目录文件权限规定如下：
17	管理日志审查重启	对xx系统有影响的操作，需要记录日志（重启xx各个服务）
18	管理日志审查修改	对xx系统有影响的操作，需要记录日志（修改日志级别、配置文件等）
19	管理日志审查删除	对xx系统有影响的操作，需要记录日志（删除重要资源、配置项）
20	系统安全加固	1、检查项、加固项、加固列表要求统一； 2、加固完成后，不通过的项为0,； 3、加固完成后，检查系统，不通过项为0； 4、加固完成后，根据加固列表中加固项检查系统是否真实的完成加固。
21	数据库加固	1、检查项、加固项、加固列表要求统一； 2、加固完成后，不通过的项为0,； 3、加固完成后，检查系统，不通过项为0； 4、加固完成后，根据加固列表中加固项检查系统是否真实的完成加固。
22	防暴力破解	xxx防暴力破解包含：xxx/系统/数据库
23	数据库敏感文件权限	oracle的敏感文件检查Oracle数据库的init.ora、listener.ora等 以下命令检查为空表示没有问题： find -L $ORACLE_HOME/network/admin/*.ora ! \( -user oracle -a -group dba \) -ls find -L $ORACLE_HOME/network/admin/*.ora \( -perm -u=x -o -perm -g=w -o -perm -g=x -o -perm -o=r -o -perm -o=w -o -perm -o=x \) -ls
24	畸形报文攻击APIserver	使用xdefend攻击API，并检查API是否出现异常。
25	畸形报文攻击Omserver	使用xdefend攻击Omserver，并检查API是否出现异常。
26	更新部分代码的扫描	使用fortify扫描更新部分的代码，要求没有高级别漏洞