找回密码
 立即注册

QQ登录

只需一步,快速开始

大秦
金牌服务用户   /  发表于:2022-6-8 20:20  /   查看:2372  /  回复:9
1金币
本帖最后由 大秦 于 2022-6-10 10:05 编辑

各位大佬好,近期公司业务系统进行网络安全认证审查,审查要求中包含记录用户登录、登出的日志

正常的用户登录以及离开日志,可在管理控制台的并发用户管理中,通过查看日志进行查询即可

审查要求异常的登录信息也需要记录,比如用户名密码错误的情况等,凡是点击过登录按钮的操作都需要进行记录,此举可反应出系统是否经受过恶意攻击

因登录按钮无法编辑命令所以请版主大佬帮忙拿个主意,是否可以将此情况列入到活字格的新需求队列中?或者另有高明的解决办法亦可!非常感谢

9 个回复

倒序浏览
Chelsey.Wang讲师达人认证 悬赏达人认证 活字格认证
论坛元老   /  发表于:2022-6-9 09:31:43
沙发
您好,感谢您的反馈,这个问题我这边需要调查一下,有进展后会继续在帖子中跟进
回复 使用道具 举报
大秦
金牌服务用户   /  发表于:2022-6-9 10:43:34
板凳
Chelsey.Wang 发表于 2022-6-9 09:31
您好,感谢您的反馈,这个问题我这边需要调查一下,有进展后会继续在帖子中跟进

再加一项,管理控制台的用户登录、登出及异常登录日志也是全部缺失的

对于一款成熟的产品来说,缺少登录相关的日志,对我们客户方需要进行认证或过审造成了较大的困扰

因近期审查方会要求进行渗透测试,所以辛苦版主帮忙跟进此问题,尽快反馈,多谢
回复 使用道具 举报
Chelsey.Wang讲师达人认证 悬赏达人认证 活字格认证
论坛元老   /  发表于:2022-6-9 11:40:50
地板
大秦 发表于 2022-6-9 10:43
再加一项,管理控制台的用户登录、登出及异常登录日志也是全部缺失的

对于一款成熟的产品来说,缺少登 ...

您好,我这边确认了一下,“登录应用时的异常登录信息日志”这个功能已经正在开发当中了,会在后续的版本中上线,目前规划是在10月份左右。
“管理控制台的用户登录、登出及异常登录日志”这个需求我已经记录在我们的需求列表当中,编号:41198,我这边已经在我的权限范围内调整了该需求的优先级,并对接了产品经理,尽快将需求提给开发~
回复 使用道具 举报
大秦
金牌服务用户   /  发表于:2022-6-9 14:38:44
5#
Chelsey.Wang 发表于 2022-6-9 11:40
您好,我这边确认了一下,“登录应用时的异常登录信息日志”这个功能已经正在开发当中了,会在后续的版本 ...

麻烦大佬,能不能详细介绍一下,目前在开发当中的,跟日志相关的,都新增记录了哪些?比如是否包含 用户修改个人信息的日志,修改密码的日志等等?
我可以从本次我公司网络安全审查的角度,提前判断一下正在开发中的是否依然存在缺失
回复 使用道具 举报
Chelsey.Wang讲师达人认证 悬赏达人认证 活字格认证
论坛元老   /  发表于:2022-6-9 17:41:20
6#
大秦 发表于 2022-6-9 14:38
麻烦大佬,能不能详细介绍一下,目前在开发当中的,跟日志相关的,都新增记录了哪些?比如是否包含 用户 ...

抱歉大佬,这个我这边也不是很确定,需要再和产品经理确认一下,我已知的就是“登录应用时的异常登录信息日志”这个功能已经正在开发当中;
比如是否包含 用户修改个人信息的日志,修改密码的日志等等?
这些功能目前应该没有在开发中
回复 使用道具 举报
大秦
金牌服务用户   /  发表于:2022-6-9 20:28:10
7#
本帖最后由 大秦 于 2022-6-9 20:29 编辑
Chelsey.Wang 发表于 2022-6-9 17:41
抱歉大佬,这个我这边也不是很确定,需要再和产品经理确认一下,我已知的就是“登录应用时的异常登录 ...

那我对照目前我遇到的网络安全审查要求,简单的说一下活字格未达标的项:
一、应用端
    1、未记录用户异常登录日志
    2、未记录用户修改个人信息、修改密码、忘记密码等相关操作的日志

二、管理控制台端
    1、未提供配置用户密码有效期功能(通常要求密码有效期为90天)
    2、未记录管理员用户登录、登出、异常登录相关日志
    3、未记录关键操作的操作日志,例如创建、修改、删除用户以及角色,角色分配等等(其他配置操作的日志审查组未特别强调)

以上,相信所有活字格产品的客户,如果开发的应用需要发布至公网,均有可能在经历网络安全认证审查时遇到如上问题,希望能早日改进
回复 使用道具 举报
Chelsey.Wang讲师达人认证 悬赏达人认证 活字格认证
论坛元老   /  发表于:2022-6-10 09:53:36
8#
大秦 发表于 2022-6-9 20:28
那我对照目前我遇到的网络安全审查要求,简单的说一下活字格未达标的项:
一、应用端
    1、未记录用 ...

感谢大佬的反馈,大佬整理的很详细,我这边已经将您的需求整理并提交给产品经理,后续会由产品组
根据需求的紧急性和规划来安排,感谢支持~
回复 使用道具 举报
thq
金牌服务用户   /  发表于:2023-6-23 17:57:10
9#
Chelsey.Wang 发表于 2022-6-10 09:53
感谢大佬的反馈,大佬整理的很详细,我这边已经将您的需求整理并提交给产品经理,后续会由产品组  ...

一年过去了,还没实现吗?
回复 使用道具 举报
Joe.xu讲师达人认证 悬赏达人认证 活字格认证
超级版主   /  发表于:2023-6-25 08:38:10
10#


8.0 update1 版本提出了日志模块的概念,日志模块目前包括:异常日志、HTTP 请求日志、HTTP 响应日志、登录日志、登出日志、审计日志、SQL 执行日志、计划任务执行日志、服务端命令执行日志、忘记密码操作日志、发送邮件日志、结果日志。并且支持在活字格服务器管理控制台对应用的日志模在线配置和在线监测。
可以看下这个帖子

活字格8.0 update1新功能解密:三十一、活字格服务端日志增强
https://gcdn.grapecity.com.cn/showtopic-153422-1-1.html
(出处: 葡萄城产品技术社区)


回复 使用道具 举报
您需要登录后才可以回帖 登录 | 立即注册
返回顶部