31、等保2.0测评_Redis_数据库

少于1分钟

查看数据库版本：

1）服务器本地查看

redis-server -v
redis-server --version

2）登录到数据库内查询

登录数据库：redis-cli -h 127.0.0.1 -p 6379 -h后面跟ip，-p跟端口

一般是本地登录，直接 redis-cli 即可登录，当然前提是没有修改过Redis的服务端口。

登录到数据库后，我们输入：info

四、入侵防范

以下条款为：不适用

a）应遵循最小安装的原则，仅安装需要的组件和应用程序

b）应关闭不需要的系统服务、默认共享和高危端口

d）应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求

f）应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警

涉及到的：

c）应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制

找到redis的配置文件，一般为redis.conf，可以先找NETWORK，下面会有个bind

注释情况下为任意IP访问，可设置指定 IP，以空格分割。这里只要看bind后面跟的ip地址即可。

e）应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞

这条就结合漏扫、测试等方法进行判断，redis这玩意可是出了名的漏洞多。。

像非授权访问漏洞，本地也测试过能成功，这里就不细说了，交给渗透工程师去看吧，然后我们等保的拿他们的报告确认是否存在对应漏洞即可。

针对这个数据库，下面两条默认都是不符合。询问管理人员是否做了相关措施来保证数据的完整性。

a）应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等

b）应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等

这个保密性同理，针对这个数据库，下面两条默认都是不符合。询问管理人员是否做了相关措施来保证数据的保密性。

a）应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等

b）应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等

这个没啥好说的，直接去问管理人员备份怎么做的，是否有措施保证备份数据有效（有测试记录即可）。

询问管理员

这个根据实际情况来看，是否有热冗余的必要性。没有个人认为可判不适用。