Monitorizar y probar las redes con frecuencia

Requisito 10: Seguir y monitorizar todo el acceso a recursos de red y datos del titular

Recomendaciones e información para el requisito 10

Emplee WebFOCUS Resource Analyzer para auditar y monitorizar el uso de aplicaciones:
- Nombre del procedimiento, fecha y hora de inicio, tiempo de ejecución, tiempo de CPU utilizado, tiempo de espera
- Operaciones de entrada y salida, número de registros, número de transacciones, número de líneas
- Dominio MR, Usuario MR, ID de usuario de conexión, APP PATH, conexión de red
- Criterios de selección, origen de datos, campo
El repositorio de Resource Analyzer debe estar limitado a los ID de usuario con la autorización correspondiente. Para más información, consulte el Manual de administrador y usuario de Resource Analyzer.
El registro de WebFOCUS se inicializa al abrirse la aplicación y permanece activo durante su ejecución.
WebFOCUS incluye controles de compensación para la auditoría de acciones administrativas y del usuario.
WebFOCUS 8 incorpora de serie la auditoría administrativa y de acceso de usuario.

Registros WebFOCUS

Archivo de registro

Uso

Comentarios

WebFOCUS Managed Reporting

audit.log

Da seguimiento a todos los cambios relacionados con los inicios de sesión y la seguridad.

Para más información, consulte Diagnóstico y utilidades .

Servidor de informes WebFOCUS

edaprint.log

Da seguimiento a conexiones de usuario

Las conexiones establecidas desde el Cliente WebFOCUS y ReportCaster con el Servidor de informes WebFOCUS.

Archivo de registro	Uso	Comentarios
WebFOCUS Managed Reporting
audit.log	Da seguimiento a todos los cambios relacionados con los inicios de sesión y la seguridad.	Para más información, consulte Diagnóstico y utilidades .
Servidor de informes WebFOCUS
edaprint.log	Da seguimiento a conexiones de usuario	Las conexiones establecidas desde el Cliente WebFOCUS y ReportCaster con el Servidor de informes WebFOCUS.

Requisito 11: Probar con regularidad la seguridad de los sistemas y procesos

Recomendaciones e información para la sección del requisito 11.3

WebFOCUS incorpora nuevas capacidades de seguridad focalizadas en la gestión estrátegica de riesgos y la defensa contra ataques maliciosos. Este nivel de seguridad es crítico para las aplicaciones de business intelligence de tipo web, orientadas al público. WebFOCUS 8 ha obtenido el Nivel 3 del Estándar de verificación de seguridad de aplicaciones (certificación de seguridad de riesgo bajo ante vulnerabilidades y amenazas de seguridad más importantes), según el Proyecto abierto de seguridad de aplicaciones web (OWASP en sus siglas en inglés).

El producto incluye las siguientes defensas de seguridad:

Defensas XSS (ataques de scripts de sitios), para protección frente a vulnerabilidades de XSS.
Defensas de fijación de sesión, para protección frente a vulnerabilidades de fijación de sesiones.
Filtro CSRF (Falsificación de solicitud entre sitios), para protección frente a vulnerabilidades de CSRF.
Filtro de inyección de nulos hex, para protección frente a vulnerabilidades de inyección de nulos.
Filtro anti-clickjacking, para protección frente a vulnerabilidades de inyección de nulos.

Para más información sobre el Aseguramiento de la información y OWASP, visite http://www.owasp.org.

Recomendaciones e información para la sección del requisito 11.5

Más abajo le mostramos los directorios con configuraciones críticas de WebFOCUS para cada componente, donde unidad se refiere al directorio de instalación WebFOCUS.

Directorios de configuración WebFOCUS

Directorio	Uso	Comentarios
Servidor de informes WebFOCUS
unidad:\ibi\srv81\wfs\etc	comunicación y perfiles TCP/IP	Utilizado para definir los puertos del listener TCP/IP. Perfil global del host.
unidad:\ibi\profiles	Información de perfil	Perfiles de host y usuario.
unidad:\ibi\srv81\wfs\bin	edaserve.cfg	Archivo de configuración del Servidor de informes principal.
ReportCaster
unidad:\ibi\WebFOCUS81\ReportCaster\cfg	Información de configuración	Utilizado para configurar ReportCaster.
Cliente WebFOCUS
unidad:\ibi\WebFOCUS81 \client\wfc\web\cgi	Información de seguimiento	Utilizado para definir los niveles de seguimiento.
unidad:\ibi\WebFOCUS81 \client\wfc\etc	Información de configuración	Utilizado para configurar la seguridad, tiempos de espera y otros parámetros de configuración.
unidad:\ibi\WebFOCUS81 \config	Información de configuración	Utilizado para configurar la seguridad, tiempos de espera y otros parámetros de configuración.
unidad:\ibi\WebFOCUS81 \webapps	Aplicaciones web	Utilizado para albergar las aplicaciones web incluidas en WebFOCUS.
unidad:\ibi\WebFOCUS81 \worp\conf	Información de configuración de Business Intelligence Dashboard	Utilizado para personalizar los parámetros de Business Intelligence Dashboard.