省局web服務(wù)器檢查報(bào)告和整改方案

1、*web服務(wù)器自查報(bào)告與整改方案省政府辦公廳:按照*好瞥人民政府辦公廳關(guān)于開(kāi)展全省政府網(wǎng)站檢 查工作的通知（*瞰辦明電2011 134號(hào)）要求，為切實(shí)做 好政府網(wǎng)站安全管理工作，我局高度重視，立即召開(kāi)相關(guān)人 員會(huì)議，就保障我局網(wǎng)站安全工作進(jìn)行部署，確定了工作機(jī) 構(gòu)、責(zé)任單位和責(zé)任人，及時(shí)對(duì)現(xiàn)有網(wǎng)站系統(tǒng)和政府網(wǎng)站安 全開(kāi)展檢查，對(duì)檢查中發(fā)現(xiàn)的問(wèn)題進(jìn)行整改?，F(xiàn)將自查和整 改情況報(bào)告如下：一、網(wǎng)站安全檢查總體情況"公x*好好好*好知局證3服務(wù)器網(wǎng)絡(luò)拓?fù)鋱D如上所示：互聯(lián)網(wǎng)出口通過(guò)路由器、防火墻連接至核心交換機(jī)設(shè) 備，核心交換機(jī)連接至匯聚層交換機(jī)、同時(shí)連接皈服務(wù)器。 我們與專業(yè)公司借了一套漏洞

2、評(píng)估系統(tǒng)，在網(wǎng)絡(luò)中對(duì)施b服 務(wù)器進(jìn)行安全評(píng)估。（一）檢查方法1、手工檢查：在web服務(wù)器終端進(jìn)行了相關(guān)的安全查 看。殺毒軟件的安裝、補(bǔ)丁的更新、安全策略的配置以及一 些不必要服務(wù)的關(guān)閉。2工具檢查：使用安全評(píng)估系統(tǒng)對(duì)施b網(wǎng)站的應(yīng)用進(jìn) 行安全評(píng)估，其中包括數(shù)據(jù)庫(kù)、他ache、以及網(wǎng)站的相關(guān)漏 洞（是否有xx注入點(diǎn)、跨站腳本、以及是否被掛馬等）進(jìn) 行了全面的檢查。（二）檢查結(jié)果檢査項(xiàng)檢査結(jié)果1、sql注入攻擊隱患無(wú)2、跨站腳本攻擊隱患無(wú)3、弱口令符合要求4、操作系統(tǒng)補(bǔ)丁安全情況符合要求5、網(wǎng)站應(yīng)用系統(tǒng)補(bǔ)丁安裝情況已經(jīng)更改6、防病毒軟件升級(jí)情況符合要求7、網(wǎng)站是否被掛馬沒(méi)有&安全防護(hù)產(chǎn)品缺少

3、ids、漏洞掃描、網(wǎng)站防護(hù)設(shè)備、抗拒 絕服務(wù)攻擊措施。9、關(guān)閉或者禁用不必要的賬戶已經(jīng)更改10、關(guān)閉不必要的應(yīng)用已經(jīng)更改11關(guān)閉不必要的服務(wù)已經(jīng)更改12、定期更換口令可通過(guò)配置進(jìn)行更改二、信息安全檢查整改情況針對(duì)檢查中發(fā)現(xiàn)的問(wèn)題，我局及時(shí)制定了整改方案（見(jiàn) 附件），確定了責(zé)任人，嚴(yán)格按照通知要求進(jìn)行整改。（一）加強(qiáng)組織領(lǐng)導(dǎo)我局迅速成立專項(xiàng)檢查領(lǐng)導(dǎo)組，并下設(shè)刃、公室。由檢查 領(lǐng)導(dǎo)小組辦公室人員負(fù)責(zé)進(jìn)行此次網(wǎng)絡(luò)信息安全自查工作。（二）完善安全制度按照通知要求，對(duì)我局現(xiàn)有網(wǎng)站安全制度進(jìn)行了梳理和 完善，進(jìn)一步明確了安全責(zé)任，著力抓好安全制度落實(shí)。一是完善了安全責(zé)任制。按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行 誰(shuí)負(fù)

4、責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)"的原則，對(duì)網(wǎng)站安全責(zé)任進(jìn)行分解 細(xì)化：省局統(tǒng)一建設(shè)的網(wǎng)站系統(tǒng)，其安全性由省局負(fù)責(zé)，責(zé) 任單位是省局辦公室。二是制定了網(wǎng)絡(luò)信息安全應(yīng)急預(yù)案。針對(duì)網(wǎng)絡(luò)信息系統(tǒng) 可能發(fā)生的安全事件，我局制定了 好*好*好*好好慍網(wǎng)站安全應(yīng)急預(yù)案，明確規(guī) 定了應(yīng)急機(jī)構(gòu)、技術(shù)支持、緊急措施、現(xiàn)場(chǎng)保護(hù)、系統(tǒng)恢復(fù) 和總結(jié)報(bào)告等內(nèi)容，并組織開(kāi)展了一次網(wǎng)絡(luò)信息安全事件處 置模擬演練，提升了應(yīng)對(duì)和處置突發(fā)網(wǎng)絡(luò)信息安全事件的能 力。三是強(qiáng)化網(wǎng)站信息發(fā)布審核制度。嚴(yán)格按照 *局在公共 信息網(wǎng)絡(luò)上發(fā)布信息 保密管理制度規(guī)定，切實(shí)做好上網(wǎng)信息審核與保密審查工 作。并對(duì)在用賬戶的權(quán)限進(jìn)行必要限制，嚴(yán)格控制網(wǎng)站信

5、息 發(fā)布。所有上網(wǎng)信息必須嚴(yán)格按照規(guī)定的處理流程，經(jīng)過(guò)審 核和保密審查之后，再由指定管理員上網(wǎng)發(fā)布，杜絕未經(jīng)審 核直接上網(wǎng)發(fā)布信息。四是實(shí)行網(wǎng)絡(luò)信息安全責(zé)任追究制度。建立和完善網(wǎng)絡(luò) 信息安全責(zé)任追究制度，對(duì)因違反規(guī)定使用設(shè)備、發(fā)布有害 信息和泄漏涉密信息等情形造成安全事故的，將根據(jù)情節(jié)輕 重對(duì)直接責(zé)任人和責(zé)任人依據(jù)有關(guān)規(guī)定給予處分。（三）落實(shí)安全防范措施對(duì)網(wǎng)絡(luò)信息系統(tǒng)特別是網(wǎng)站群開(kāi)展全面檢查和安全風(fēng) 險(xiǎn)評(píng)估，針對(duì)檢查中發(fā)現(xiàn)的問(wèn)題和薄弱環(huán)節(jié)，采取積極有效 的防范措施，降低安全風(fēng)險(xiǎn)系數(shù)，確保網(wǎng)絡(luò)信息系統(tǒng)安全、 可靠運(yùn)行。加強(qiáng)網(wǎng)站服務(wù)器端安全防范。定期升級(jí)服務(wù)器操作系 統(tǒng)、服務(wù)器、數(shù)據(jù)庫(kù)和防病毒等軟

6、件，消除潛在的系統(tǒng) 安全風(fēng)險(xiǎn)；對(duì)各類系統(tǒng)賬戶和口令進(jìn)行全面清理，刪除無(wú)用 賬戶，設(shè)置復(fù)雜口令并定期更改；關(guān)閉和刪除不必要的應(yīng)用、 服務(wù)、端口和網(wǎng)站頁(yè)面鏈接；定期跟蹤分析服務(wù)器系統(tǒng)日志 和網(wǎng)絡(luò)流量，一旦發(fā)現(xiàn)異常，立即采取緊急處理措施；暫停 網(wǎng)站群后臺(tái)部分管理賬戶，嚴(yán)格限制在用賬戶信息采集、審 核、發(fā)布權(quán)限，確保所發(fā)布信息內(nèi)容的準(zhǔn)確性和真實(shí)性。加強(qiáng)網(wǎng)站值班建立網(wǎng)站巡查與值班制度，明確工作職責(zé)，安排專人負(fù) 責(zé)網(wǎng)站值班，重點(diǎn)對(duì)門(mén)戶網(wǎng)站群和政府信息公開(kāi)網(wǎng)運(yùn)行情況 進(jìn)行巡查和監(jiān)測(cè)。是檢查新發(fā)布信息中是否有錯(cuò)字、錯(cuò)句或不宜在網(wǎng)站 上顯示的文字、圖片和附件；二是監(jiān)測(cè)瀏覽網(wǎng)站內(nèi)容，檢查 版面是否被篡改、是否被加

7、入了不良信息或鏈接，重點(diǎn)檢查 網(wǎng)站首頁(yè)、職能介紹、機(jī)構(gòu)設(shè)置和辦事大廳等欄目；三是檢 查網(wǎng)站后臺(tái)管理系統(tǒng)用戶賬號(hào)及權(quán)限設(shè)置是否正常，網(wǎng)站模 板是否被篡改；四是定期分析服務(wù)器系統(tǒng)日志，檢查服務(wù)器 運(yùn)行情況是否正常；五是做好網(wǎng)站系統(tǒng)數(shù)據(jù)備份工作，以便 發(fā)生安全事故后及時(shí)恢復(fù)系統(tǒng)。二o年-一月三日附件：web網(wǎng)站防護(hù)整改方案1.1手工加固服務(wù)器對(duì)于web服務(wù)器，首先要通過(guò)手工加固的方式避免一些不必要的風(fēng)險(xiǎn)，手工加固的步驟如下：> 將病毒庫(kù)升級(jí)到最新> 更新最新的系統(tǒng)補(bǔ)?。赏ㄟ^(guò)360安全衛(wèi)士來(lái)進(jìn)行）> 根據(jù)評(píng)估系統(tǒng)的掃描結(jié)果來(lái)進(jìn)行應(yīng)用程序以及數(shù)據(jù)庫(kù)的補(bǔ)丁更新（sql sp4補(bǔ)丁）&g

8、t; 卸載不必要的應(yīng)用軟件，如qq、視頻播放軟件、迅雷等和web應(yīng)用無(wú)關(guān)的應(yīng)用軟件。> 關(guān)閉不必要的服務(wù)。（已經(jīng)加固完畢）> 通過(guò)配置進(jìn)行口令強(qiáng)度的強(qiáng)制以及密碼的更換頻率。對(duì)于針對(duì)網(wǎng)站掃描出的一些應(yīng)用層的漏洞的解決方案如下:漏洞名稱o檢測(cè)到目標(biāo)url啟用了不安全的http方法風(fēng)險(xiǎn)級(jí)別中漏洞描述檢測(cè)到目標(biāo)web服務(wù)器配置成允許下列其中一個(gè)（或多個(gè)）http方法：delete, search,copy,move, propfind, proppatch, mkcol ,lock ,unlock .這些方法表示可能在服務(wù)器上使用了 wcbdav.由于dav方法允許客戶端操縱服務(wù)器上的 文

9、件，如果沒(méi)有合理配置dav,有可能允許未授權(quán)的用戶對(duì)英進(jìn)行利用，修改服務(wù)器上的 文件。解決辦法如果服務(wù)器不需要支持webdav,請(qǐng)務(wù)必禁用它?；蛘邽樵试Swebdav的h錄配置嚴(yán)格的訪問(wèn)權(quán)限，如認(rèn)證方法，認(rèn)證需要的用戶名，密碼。漏洞名稱°通過(guò)google搜索到目標(biāo)站點(diǎn)存在可能包含敏感信息的文檔風(fēng)險(xiǎn)級(jí)別低漏洞描述該漏洞掃描根據(jù)google搜索結(jié)果判斷，可能出現(xiàn)誤報(bào)。google是非常流行的搜索引擎。通 過(guò)編輯搜索條件，在google上可搜索到某個(gè)站點(diǎn)上存在的文檔，包括doc,ppt,xls,vsd,prj,ini 等類型的文檔以及這些文檔中包含敏感信息的記錄。解決辦法如果搜索結(jié)果屮枚舉的

10、文檔包含非公開(kāi)信息，建議限制此類文檔的訪問(wèn)權(quán)限。漏洞名稱o檢測(cè)到目標(biāo)url存在電子郵件地址模式風(fēng)險(xiǎn)級(jí)別低漏洞描述spambot搜尋因特網(wǎng)站點(diǎn)，開(kāi)始查找電子郵件地址來(lái)構(gòu)建發(fā)送自發(fā)電子郵件（垃圾郵件） 的郵件列衣。如果檢測(cè)到含有-或多個(gè)電子郵件地址的響應(yīng)，可供利用以發(fā)送垃圾郵件。 而且，找到的電子郵件地址也可能是專用電子郵件地址，對(duì)于一般大眾應(yīng)是不可訪問(wèn)的。解決辦法從web站點(diǎn)中除去任何電子郵件地址，使惡意的用戶無(wú)從利用。漏洞名稱。檢測(cè)到目標(biāo)網(wǎng)站存在無(wú)效鏈接風(fēng)險(xiǎn)級(jí)別低漏洞描述無(wú)效鏈接是指存在于頁(yè)而中，但其指向的資源己經(jīng)不存在。本漏洞屬于web應(yīng)用安全常 見(jiàn)漏洞.解決辦法建議刪除此處連接漏洞名稱。目

11、標(biāo)服務(wù)器上存在cgi默認(rèn)目錄風(fēng)險(xiǎn)級(jí)別低漏洞描述cgi全稱是“公共網(wǎng)關(guān)接n"(common gateway interface), http服務(wù)器訪問(wèn)機(jī)器上的其他 應(yīng)用程序的一種工具，其程序須運(yùn)行在網(wǎng)絡(luò)服務(wù)器上。cgi腳木相關(guān)目錄是指web服務(wù)器 存放cgi應(yīng)用程序的目錄,常見(jiàn)的cgi腳本目錄如cgi-bin, cgi-sys, scriptso基于該目錄，可進(jìn)-步猜測(cè)服務(wù)器上可能存在的cgi應(yīng)用程序，如果cgi應(yīng)用程序存在 漏洞，可導(dǎo)致遠(yuǎn)程執(zhí)行命令。本漏洞屬于web應(yīng)用安全常見(jiàn)漏洞.解決辦法變更c(diǎn)gi相關(guān)目錄的名稱。漏洞名稱o檢測(cè)到目標(biāo)網(wǎng)站存在備份文件風(fēng)險(xiǎn)級(jí)別低漏洞描述檢測(cè)到目標(biāo)網(wǎng)站

12、存在備份文件。備份文件中可能包含有敏感信息。如果攻擊者可以訪問(wèn)該 文件，就有可能獲取到敏感信息。本漏洞屬于web應(yīng)用安全常見(jiàn)漏洞。解決辦法如果不需要此類文件，刪除這些文件；或者嚴(yán)格限制此類文件的訪問(wèn)權(quán)限。漏洞名稱°檢測(cè)到目標(biāo)網(wǎng)站存在上傳 f載相關(guān)的目錄和文件風(fēng)險(xiǎn)級(jí)別低漏洞描述檢測(cè)到目標(biāo)網(wǎng)站存在上傳下載和關(guān)的目錄和文件。上傳h錄-般具有可寫(xiě)權(quán)限。攻擊者可 以預(yù)測(cè)文件上傳的路徑，便于和目標(biāo)站點(diǎn)的其他漏洞攻擊結(jié)合攻擊目標(biāo)服務(wù)器。解決辦法檢查此類目錄的訪問(wèn)權(quán)限。如果不需要這些目錄，建議刪除。1.2部署相應(yīng)的防護(hù)設(shè)備通過(guò)本次的檢查結(jié)果以及針對(duì)目前猖獗的網(wǎng)頁(yè)篡改問(wèn)題，二網(wǎng)站沒(méi)有任何的針對(duì)網(wǎng)頁(yè)篡改的防護(hù)設(shè)備與檢測(cè)設(shè)備。建邂web服務(wù)器的網(wǎng)絡(luò)中部署相 應(yīng)的硬件設(shè)備來(lái)對(duì)web網(wǎng)站進(jìn)行實(shí)時(shí)的防護(hù)、檢測(cè)以及是期的安全掃描，在保護(hù)web網(wǎng) 站的安全同時(shí)也滿足國(guó)家監(jiān)督局的要求。具體部署方案如下：對(duì)于前期的設(shè)備部署，考慮到資金緊缺的問(wèn)題，以及對(duì)于現(xiàn)在所出現(xiàn)問(wèn)題的嚴(yán)重性，和 被保護(hù)對(duì)彖的側(cè)重方面，建議先在服務(wù)器前端部署web應(yīng)用防火墻，實(shí)時(shí)對(duì)外界對(duì)于web 服務(wù)器的篡改行為以及注入行為進(jìn)行防護(hù)，同時(shí)有效防御外界的拒絕服務(wù)攻擊。而在后期我們?cè)诳紤]以下的技術(shù)解決方案，對(duì)以完全滿足現(xiàn)階段風(fēng)險(xiǎn)的規(guī)避手段以及國(guó) 家局對(duì)網(wǎng)站系統(tǒng)信息安全的要求，如下圖： 在服