Surveiller régulièrement et tester les réseaux

Exigence 10 : suivre et surveiller tous les accès aux ressources réseau et aux données de porteurs de cartes

Recommandations et informations pour Exigence 10

L'analyseur de ressources WebFOCUS peut être utilisé pour contrôler et surveiller l'utilisation de l'application, en particulier :
- Nom de la procédure, date de démarrage, temps d'exécution, temps CPU utilisé, période d'attente
- Les opérations entrées et sorties, le nombre d'enregistrements, le nombre de transactions, le nombre de lignes
- Domaine MR, utilisateur MR, ID de connexion, APP PATH, connexion réseau
- Critère de sélection, source de données, champ
Le référentiel de l'analyseur de ressources devrait être restreint aux seuls identifiants utilisateur ayant une autorisation correcte. Pour les informations, consultez le Manuel Resource Analyzer pour l'utilisateur et l'administrateur.
La connexion WebFOCUS est initialisée quand l'application démarre et reste active, aussi longtemps que l'application exécutée.
WebFOCUS fournit des contrôles de compensation pour l'audit des utilisateurs et les actions d'administration.
WebFOCUS 8 inclut l'accès utilisateur et l'audit administrateur, intégrés dans le même produit.

Journaux WebFOCUS

Fichier journal

Utilisation

Remarques

WebFOCUS Managed Reporting

audit.log

Effectue le suivi de tous les changements liés à la sécurité et aux connexions.

Pour plus d'informations, consultez Diagnostics et Utilitaires .

Serveur de Rapports WebFOCUS

edaprint.log

Effectue le suivi des connexions utilisateur

Connexions effectuées depuis le Client WebFOCUS et ReportCaster au serveur de rapports WebFOCUS.

Fichier journal	Utilisation	Remarques
WebFOCUS Managed Reporting
audit.log	Effectue le suivi de tous les changements liés à la sécurité et aux connexions.	Pour plus d'informations, consultez Diagnostics et Utilitaires .
Serveur de Rapports WebFOCUS
edaprint.log	Effectue le suivi des connexions utilisateur	Connexions effectuées depuis le Client WebFOCUS et ReportCaster au serveur de rapports WebFOCUS.

Exigence 11 : tester régulièrement les systèmes et traitement de sécurité

Recommandations et informations pour Section Exigence 11.3

WebFOCUS a été amélioré avec de nombreuses fonctionnalités de sécurité mettant en valeur une gestion du risque stratégique et vous défendant contre les attaques malveillantes. Ce niveau de sécurité est critique pour des applications de business intelligence basées sur le Web. WebFOCUS 8. a obtenu une certification de sécurité risque faible de niveau 3 de Application Security Verification Standards contre les vulnérabilités et menaces de sécurité les plus importantes, telles qu'elles sont décrites dans Open Web Application Security Project (OWASP).

La sécurité du produit inclut :

Défense script site à site (Cross Site Scripting, XSS), pour se protéger des vulnérabilités XSS.
Défense fixation de session, pour se protéger des attaques utilisant la fixation de session.
Falsification requête site à site (Cross Site Request Forgery, CSRF), pour se protéger des vulnérabilités CSRF.
Filtre d'injection Hex null, pour se protéger des attaques utilisant une injection dans un cadre.
Filtre Clickjacking, pour se protéger des vulnérabilités par injection dans cadres.

Pour plus d'informations sur l'assurance information et le projet OWASP, visitez http://www.owasp.org.

Recommandations et informations pour Section Exigence 11.5

Pour chaque composant, le répertoire contenant les configurations WebFOCUS critiques sont listés ci-dessous, où drive fait référence au répertoire d'installation de WebFOCUS.

Répertoires de configuration WebFOCUS

Répertoire	Utilisation	Remarques
Serveur de Rapports WebFOCUS
drive:\ibi\srv81\wfs\etc	Communication et profils TCP/IP	Utilisé pour définir les ports Ecouteur TCP/IP Profil global de l'hôte.
drive:\ibi\profiles	Informations de profil	Profils de l'utilisateur et de l'hôte.
drive:\ibi\srv81\wfs\bin	edaserve.cfg	Fichier de configuration du serveur de rapports principal.
ReportCaster
drive:\ibi\WebFOCUS81\ReportCaster\cfg	Informations de configuration	Utilisé pour configurer ReportCaster.
Client WebFOCUS
drive:\ibi\WebFOCUS81 \client\wfc\web\cgi	Information de trace	Utilisé pour définir les niveaux de trace.
drive:\ibi\WebFOCUS81 \client\wfc\etc	Informations de configuration	Utilisé pour configurer la sécurité, les délais d'expiration, et autres paramètres de configuration.
drive:\ibi\WebFOCUS81 \config	Informations de configuration	Utilisé pour configurer la sécurité, les délais d'expiration, et autres paramètres de configuration.
drive:\ibi\WebFOCUS81 \webapps	Applications Web	Utiliser pour l'hébergement d'applications web fournies avec WebFOCUS.
drive:\ibi\WebFOCUS81 \worp\conf	Informations de configuration Tableau de bord Business Intelligence	Utiliser pour personnaliser les paramètres du Tableau de bord Business Intelligence.