我需要在审计项目方面提供建议。
目前我正在开发的项目有许多“用户”可以执行的操作,例如:
所有这些可供用户访问的操作都经过审核,但我不知道是否通常会审核以下内容:
密码策略声明用户密码必须至少包含1个符号和1个数字。某些用户在某个时间尝试更改密码而不关心策略,当然他会收到一条消息,说明密码策略不受尊重,但是应该审核吗?我只想要以前接受过审计的人的意见,或者对此事有所了解。
另一种可能的情况是,当用户尝试删除不存在的内容时,例如,拥有空的权限列表并尝试删除不存在的权限,用户将再次收到消息说选择至少一个要删除的权限,但是应该审核此操作吗?
欢迎任何反馈,我第一次审核项目,谢谢:)
答案 0 :(得分:2)
这在很大程度上取决于您的要求。客户或企业法规要求什么?您想要审核以使您的系统更安全吗? (通过了解恶意用户的行为)
通过“审核”,您是指将其记录在文件中还是将其插入数据库以获取统计信息?
修改 审核一切可能有点贵,所以我建议您按优先顺序列出项目列表。我的清单看起来像这样。
再次,我的名单,你可能需要拿出自己的。您可能希望进行更高级的审核,例如“在网站上花费的时间”。
另一个重要的事情:尽可能让日志可读和可搜索。