2022年web服務(wù)器安全標(biāo)準(zhǔn)

1、Web服務(wù)器安全標(biāo)準(zhǔn)題目Web 服務(wù)器安全標(biāo)準(zhǔn)文檔狀態(tài)草案文檔編號(hào)西安石油高校信息中心文檔發(fā)布單位審批者版本號(hào)版本歷史版本日期0.01初稿2022.11.300.02初審更換稿2022.12.01003 .1.1批準(zhǔn)發(fā)布終稿前言和文檔把握 此文檔是西安石油高校制定發(fā)布的有關(guān)信息安全政策規(guī)定、處理流程、 行業(yè)標(biāo)準(zhǔn)和指導(dǎo) 看法的系列文檔之一；該文檔應(yīng)保證至少一年審核一次,以保證其有效性；在沒(méi)有得到文檔發(fā)布者的明確授權(quán)下,此文檔的全部或部分內(nèi)容,均不得重制或發(fā)布；1 / 5目錄1 目的 . 32 范疇 . 33 責(zé)任 . 34 Web服務(wù)器安全要求 . 34.1 總就 . 34.2 網(wǎng)絡(luò)安全 . 3

2、4.3 流量過(guò)濾 .34.4 合規(guī)性 . 44.5 數(shù)據(jù)愛(ài)惜 . 44.6 輸入和輸出治理 . 44.7 安全代碼 / 應(yīng)用 / 插件 . 42 / 51目的本標(biāo)準(zhǔn)的目標(biāo)是為了發(fā)布本文檔所列標(biāo)準(zhǔn)的目的是為了愛(ài)惜學(xué)校網(wǎng)站和相關(guān)信息資產(chǎn)；確保：依據(jù)現(xiàn)有正確的實(shí)踐體會(huì),在全校統(tǒng)一部署安全把握措施,以排除或者最低限 度的削減系統(tǒng)漏洞和其他安全隱患；學(xué)校能在信息安全的完善方面更便利的有據(jù)監(jiān)管、懂得風(fēng)險(xiǎn)和評(píng)估改進(jìn)；全部的院系部門和網(wǎng)站開(kāi)發(fā)人員都能明白相應(yīng)的安全需求 2 范疇所列標(biāo)準(zhǔn)適用于學(xué)校全部的web網(wǎng)站服務(wù)器,包括：學(xué)校內(nèi)部或第三方建設(shè)、選購(gòu)、部署、修改和愛(ài)惜的；具體為：全部?jī)H限內(nèi)部和面對(duì)公共的 we

3、b服務(wù)器全部由外部供應(yīng)商托管的面對(duì)公共的 web服務(wù)器3全部通過(guò)學(xué)?；蛘叽韺W(xué)校的 web服務(wù)器建設(shè)、選購(gòu)、部署、修改和愛(ài)惜的責(zé)任以下學(xué)校實(shí)體具體的信息安全責(zé)任學(xué)校信息化委員會(huì)信息安全部門領(lǐng)導(dǎo)信息安全小組 應(yīng)支撐學(xué)校中意信息安全功能和防護(hù)的各項(xiàng)要求；學(xué)院和部門領(lǐng)導(dǎo) 對(duì)所在部門的信息安全負(fù)有義務(wù)和責(zé)任；Web服務(wù)器用戶 對(duì)其處理的信息負(fù)有安全責(zé)任；4Web服務(wù)器安全要求以防止過(guò)度依靠單一4.1總就4.1.1基于風(fēng)險(xiǎn)分析的深度信息安全防范手段應(yīng)被接受,包括：安全控件在Web服務(wù)器的每一層次上都應(yīng)部署,安全防護(hù)手段； 在全部 Web服務(wù)器上應(yīng)部署最基本的安全把握措施,以解決常見(jiàn)風(fēng)險(xiǎn)； 安全把握措施應(yīng)

4、當(dāng)是務(wù)實(shí)的、易于部署、有效和可以衡量的；4.1.2 在虛擬化環(huán)境中,全部能考慮到的安全因素都應(yīng)當(dāng)適用于主機(jī)系統(tǒng)、虛擬機(jī)治理層和虛擬化治理工具；4.1.3 滲透性測(cè)試每年至少執(zhí)行一次,并且在重要系統(tǒng)架構(gòu)部署、應(yīng)用升級(jí)或修改后,都應(yīng)測(cè)試；4.1.4 每季度應(yīng)執(zhí)行一次漏洞掃描；4.2 網(wǎng)絡(luò)安全4.2.1 安全把握措施應(yīng)涵蓋每一個(gè)活躍版本的網(wǎng)絡(luò)協(xié)議,包括 IPv4 和 IPv6 ；4.2.2 Web服務(wù)器都應(yīng)支配相應(yīng)的靜態(tài) IP 地址,除了需要部署動(dòng)態(tài)域名系統(tǒng)技術(shù)以實(shí)現(xiàn)負(fù)載均衡的服務(wù)器；4.2.3 只使用唯獨(dú)可信的授權(quán) DNS來(lái)源,防止受到 DNS劫持和攻擊；4.2.4 全部的非 console 口治

5、理員級(jí)別的拜望應(yīng)使用高強(qiáng)度加密手段進(jìn)行加密；4.3 流量過(guò)濾4.3.1 只有從 Internet 到特定的 IP 地址和授權(quán)的公共可用服務(wù)、協(xié)議和端口的入站流量是答應(yīng)的；4.3.2 從 Web服務(wù)器的非授權(quán)出站流量是禁止的；3 / 54.3.3加固 TCP/IP 堆棧能愛(ài)惜Web服務(wù)器抵抗拒絕服務(wù)攻擊,可以接受類似禁用4.4ICMP重定向, SYN攻擊愛(ài)惜和禁用 IP 源路由這些手段；合規(guī)性4.4.1 全部相關(guān)監(jiān)管和法律要求應(yīng)當(dāng)予以鑒別和記錄；4.5數(shù)據(jù)愛(ài)惜Web內(nèi)容）和操作系統(tǒng)文件（Web服務(wù)器軟件）應(yīng)當(dāng)分別存4.5.1應(yīng)用程序數(shù)據(jù)（儲(chǔ)在不同的磁盤規(guī)律分區(qū)或物理分區(qū)；4.5.2 數(shù)據(jù)儲(chǔ)備在數(shù)

6、量和時(shí)間上的限制應(yīng)依據(jù)法律要求、治理規(guī)定和業(yè)務(wù)要求,并要遵守相關(guān)的數(shù)據(jù)留存規(guī)定；4.5.3 保密數(shù)據(jù)（包括日志文件）在文件拜望和共享上應(yīng)最小權(quán)限,這些數(shù)據(jù)文件包括： 驗(yàn)證文件； 日志文件； 備份文件； 保密的應(yīng)用程序數(shù)據(jù)； 災(zāi)難復(fù)原文件；4.5.4 任何數(shù)據(jù)庫(kù)都應(yīng)禁止直接拜望,全部的拜望都應(yīng)通過(guò)編程化的方法；4.5.5 只有數(shù)據(jù)庫(kù)治理員有權(quán)限直接拜望和查詢數(shù)據(jù)庫(kù)；4.5.6 數(shù)據(jù)庫(kù)應(yīng)用程序的 ID 只能被應(yīng)用程序本身所使用；4.5.7 保密和內(nèi)部數(shù)據(jù)（包括全部的驗(yàn)證數(shù)據(jù)）在傳輸過(guò)程中應(yīng)使用強(qiáng)加密愛(ài)惜；4.5.8 全部啟用了 SSL的資源都應(yīng)禁用 HTTP拜望；4.5.9 全部的 SSL弱密碼都

7、應(yīng)在服務(wù)器上禁用；4.5.10 在密鑰的交換和儲(chǔ)備中應(yīng)接受安全密鑰治理流程；4.5.11 只有來(lái)自可信源的 SSL認(rèn)證才能被使用；4.5.12 不再需要的舊數(shù)據(jù)和備份文件應(yīng)當(dāng)刪除；4.5.13 已刪除的文件應(yīng)在操作系統(tǒng)級(jí)別完全刪除；4.5.14 服務(wù)器硬件硬盤在廢棄或移作他用之前,應(yīng)對(duì)其使用低格式化工具,磁化或物理?yè)p毀來(lái)安全排除數(shù)據(jù),防止數(shù)據(jù)內(nèi)容被重建復(fù)原；4.5.15全部非必要的共享 （包括默認(rèn)治理員共享）應(yīng)被移除, 基于角色的接入共享應(yīng)被禁止；4.6 輸入和輸出治理4.6.1 應(yīng)使用參數(shù)化 SQL查詢以防止 SQL注入攻擊；4.6.2 全部用戶輸入的字段都應(yīng)驗(yàn)證；4.6.3 為防止跨站請(qǐng)求

8、偽造,應(yīng)在全部的請(qǐng)求中添加唯獨(dú)的 token 并驗(yàn)證；4.6.4 上傳文件的大小、 類型和內(nèi)容都應(yīng)驗(yàn)證, 以確保不掩蓋已有文件的目標(biāo)路徑；4.6.5 內(nèi)容安全策略或者跨站腳本在 http 頭中驗(yàn)證防護(hù)應(yīng)部署,以抵抗一般的反射性跨站腳本攻擊；4.6.6應(yīng)依據(jù)當(dāng)前漏洞治理的正確做法（如OWASP指南,烏云平臺(tái)等） ,對(duì)其他普遍漏洞供應(yīng)適當(dāng)?shù)姆雷o(hù)；4.7 安全代碼 / 應(yīng)用/ 插件4.7.1 應(yīng)評(píng)估第三方應(yīng)用的安全性,其應(yīng)用部署需得到相關(guān)服務(wù)擁有者的批準(zhǔn)；4.7.2 開(kāi)發(fā)人員在代碼安全技術(shù)上應(yīng)有必要的培訓(xùn),包括如何防止一般代碼漏洞和懂得敏捷數(shù)據(jù)如何在內(nèi)存中處理；4.7.3應(yīng)用程序的開(kāi)發(fā)應(yīng)基于安全代碼指南；4 / 54.7.4 自定義代碼在部署到生產(chǎn)環(huán)境之間應(yīng)審核代碼漏洞；4.7.5 測(cè)試程序