tomcat 服务 1、判定条件 当 WEB 目 录 中 没 有 默 认 首 页 如 index.html,index.jsp 等文件时， 不会列出目 录内容 2、检测操作 直接访问 http://ip:8800/webadd 11 修改系统 Banner 信息 修改 catalina.jar 中 Serverinfo.properties 中的以下参数(修改以掩饰真实版本信息）

SRv6 SFC：服务功能链应用实践 基于 SRv6 网络编程和服务功能链(SFC)的云网安一体化调度创 新方案，旨在满足核心系统上云的需求，通过实现分支企业直接访问 云服务，确保安全策略一致性和联动防护。该方案支持分支企业在直 接访问云端服务时，能够快速、灵活地部署与调整安全增值服务，实 现秒级安全服务叠加及无感知的安全能力调整。 从总体架构来看，本方案涵盖云网服务编排系统、云管控系统、

项，截止报告发布日期，已完成整改 XX 项，剩余 XX 项未整改。本次测评过 程中发现的重大风险隐患及整改建议如下： （1）存在空口令、弱口令、通用口令或无身份鉴别措施，导致非授权人员可直 接访问系统，造成身份冒用、恶意篡改或窃取重要数据等严重后果。 整改建议：为每个可登录的账户设置符合要求的口令，禁用或删除弱口令账户； 设置的口令长度应不低于 8 位，并由大小写字母、特殊字符和数字无规律排列 端限制、 物理位置限制等远程登录管控措施，也不具备不可绕过的两种或两种以上组合 的身份鉴别措施，通过整体测评和风险分析后，被认定为高风险安全问题。 【严重性】：该问题一旦被利用，非授权人员可直接访问数据库，读取重要数 据或者修改数据库中的内容，造成恶意篡改或窃取重要数据等严重后果。 【高发性】：经测试验证，测评人员可从互联网上传木马脚本控制 Web 服务器， 并以此为跳板，使用弱口令登

盘注册 U 盘注销、注册申请、授权管理 桌面优化 优化工具、系统工具、文件粉碎机 查找重复文件、桌面助手、自定义工具 安全检查 隔离沙箱、流量管理、安全检查 终端审计 文件审计、终端打印审计 网络连接访问审计、终端开关机审计 系统账户审计、外设使用审计 水印策略 屏幕水印、屏幕显形、打印水印 应用水印 - 进程水印、应用水印 - 网页水印 数据安全 敏感信息扫描、敏感信息库、OCR 识别、 文件外发防护、外发白名单、文件外发审批 >4500TPS RSA2048 签名 >3000 TPS SM4 加密速率 >10000TPS SM4 解密速率 >10000TPS SM4 产生速率 >4000TPS 并发访问 支持 1000 个并发连接访问 网络安全专用产品安全认证或安全检测结果证明 网络安全专用产品安全检测证书 ★安全检测机构名称：公安部计算机信息系统安全产品质量监督检验中心 ★证书编号：23SS00152-A ★有效期：2023 资源”关系，实现操作审计和控制。 事后审计：建立”自然人 - 资源 - 审计日志”关系，实现事后溯源和责任界定。 功能特点 ◎单点登录 运维用户只需经过天玥运维安全网关 V6.0 一次认证，通过返回的授权列表，直接访问目标 资源，无须二次输入帐号和密码。运维用户只需要记住自己的天玥运维安全网关 V6.0 登录帐号、 密码即可，无需记忆繁多的目标资源 IP、帐号和密码信息。 ◎身份认证 天玥运维安全网关 V6

据库资源的有 效管理。 数据库系统主要存在以下几种安全风险，缺乏监控手段和追查依 据。 (1)非授权访问数据库 内部或外部用户绕过表现层、应用层（中间处理层），对数据服务层进行 非授权的直接访问，如直接非法获取数据库数据。 绝大多数应用系统（包括 C/S 应用及内部 C/S 系统）都没有考虑 到因为 管理、应用层或数据库漏洞导致黑客或者内部非授权用户非法访问数据库的巨 大风险，这是架 ●身份认证：对通迅一方或双方使用电子证书和公钥算法进行 身份确认。 ●信息保全：采用对称性信息完整性检验算法，实现信息保全 安全代理服务器原理图如下： 图 31：安全代理服务器原理图 应用客户端不能直接访问或登录 Web 服务器，只能利用用户 数字证书，通过访问安全代理来访问 Web 服务器。当用户需要用浏 629 自然资源保护区大数据信息化管理平台建设方案 览器的 SSL 与安全代理进行连接时，首先发出请求，先与安全代理

★数据仿真：新建沙箱时，向沙箱中注入脱敏数据，随机替换 web 服务的模板，增加沙箱 的真实性。 ★ VPN 欺骗以沙箱的形式发布到互联网，沙箱模拟真实的 VPN 服务，黑客从互联网获取 VPN 证书并成功登录后，可直接访问蜜网沙箱群。 ★ WIFI 欺骗伪装企业真实 WIFI 网络，黑客通过近源攻击成功连接 WIFI 后，可访问蜜网 中的沙箱；同时在黑客爆破 WIFI 时，可获取其手机号、主机名等敏感信息。 视图库安全审计系统是由元清信息技术（上海）有限公司自主研发的一款软硬一体化产品。 系统是按照公安视频图像信息系统安全管理技术要求（GA/T 1400-2017），对各应用系统调用 视图库数据行为、个人用户直接访问请求视图库数据行为、视图库上下级单位通过视图库级联 接口访问请求视图库的行为进行审计记录。记录内容涵盖应用系统 IP、所属单位、总的请求连 接数、总的请求流量趋势、请求关联的操作终端 IP、操作用户名、操作动作类型、操作时间等 视图库 数据被个人用户、应用系统、上下级单位违规调用缺乏安全审计记录的问题，加强了视图库数 据的安全监管与审计溯源的能力。 功能特点 ◎数据安全防护更加全面：对专网内运维用户或其它个人账号直接访问调取视图库数据的 操作行为进完整记录，记录内容涵盖操作源 IP、用户名、检索条件、检索动作详情、操作时间 等，动作详情点开可查询操作原始信令。解决了运维用户随意调取视图库数据缺少安全监管的 问题。