下載本文檔
版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、Web服務(wù)器安全標(biāo)準(zhǔn)題目Web 服務(wù)器安全標(biāo)準(zhǔn)文檔狀態(tài)草案文檔編號(hào)西安石油高校信息中心文檔發(fā)布單位審批者版本號(hào)版本歷史版本日期0.01初稿2022.11.300.02初審更換稿2022.12.01003 .1.1批準(zhǔn)發(fā)布終稿前言和文檔把握 此文檔是西安石油高校制定發(fā)布的有關(guān)信息安全政策規(guī)定、處理流程、 行業(yè)標(biāo)準(zhǔn)和指導(dǎo) 看法的系列文檔之一;該文檔應(yīng)保證至少一年審核一次,以保證其有效性;在沒(méi)有得到文檔發(fā)布者的明確授權(quán)下,此文檔的全部或部分內(nèi)容,均不得重制或發(fā)布;1 / 5目錄1 目的 . 32 范疇 . 33 責(zé)任 . 34 Web服務(wù)器安全要求 . 34.1 總就 . 34.2 網(wǎng)絡(luò)安全 . 3
2、4.3 流量過(guò)濾 .34.4 合規(guī)性 . 44.5 數(shù)據(jù)愛(ài)惜 . 44.6 輸入和輸出治理 . 44.7 安全代碼 / 應(yīng)用 / 插件 . 42 / 51目的本標(biāo)準(zhǔn)的目標(biāo)是為了發(fā)布本文檔所列標(biāo)準(zhǔn)的目的是為了愛(ài)惜學(xué)校網(wǎng)站和相關(guān)信息資產(chǎn);確保:依據(jù)現(xiàn)有正確的實(shí)踐體會(huì),在全校統(tǒng)一部署安全把握措施,以排除或者最低限 度的削減系統(tǒng)漏洞和其他安全隱患;學(xué)校能在信息安全的完善方面更便利的有據(jù)監(jiān)管、懂得風(fēng)險(xiǎn)和評(píng)估改進(jìn);全部的院系部門和網(wǎng)站開(kāi)發(fā)人員都能明白相應(yīng)的安全需求 2 范疇所列標(biāo)準(zhǔn)適用于學(xué)校全部的web網(wǎng)站服務(wù)器,包括:學(xué)校內(nèi)部或第三方建設(shè)、選購(gòu)、部署、修改和愛(ài)惜的;具體為:全部?jī)H限內(nèi)部和面對(duì)公共的 we
3、b服務(wù)器全部由外部供應(yīng)商托管的面對(duì)公共的 web服務(wù)器3全部通過(guò)學(xué)?;蛘叽韺W(xué)校的 web服務(wù)器建設(shè)、選購(gòu)、部署、修改和愛(ài)惜的責(zé)任以下學(xué)校實(shí)體具體的信息安全責(zé)任學(xué)校信息化委員會(huì)信息安全部門領(lǐng)導(dǎo)信息安全小組 應(yīng)支撐學(xué)校中意信息安全功能和防護(hù)的各項(xiàng)要求;學(xué)院和部門領(lǐng)導(dǎo) 對(duì)所在部門的信息安全負(fù)有義務(wù)和責(zé)任;Web服務(wù)器用戶 對(duì)其處理的信息負(fù)有安全責(zé)任;4Web服務(wù)器安全要求以防止過(guò)度依靠單一4.1總就4.1.1基于風(fēng)險(xiǎn)分析的深度信息安全防范手段應(yīng)被接受,包括:安全控件在Web服務(wù)器的每一層次上都應(yīng)部署,安全防護(hù)手段; 在全部 Web服務(wù)器上應(yīng)部署最基本的安全把握措施,以解決常見(jiàn)風(fēng)險(xiǎn); 安全把握措施應(yīng)
4、當(dāng)是務(wù)實(shí)的、易于部署、有效和可以衡量的;4.1.2 在虛擬化環(huán)境中,全部能考慮到的安全因素都應(yīng)當(dāng)適用于主機(jī)系統(tǒng)、虛擬機(jī)治理層和虛擬化治理工具;4.1.3 滲透性測(cè)試每年至少執(zhí)行一次,并且在重要系統(tǒng)架構(gòu)部署、應(yīng)用升級(jí)或修改后,都應(yīng)測(cè)試;4.1.4 每季度應(yīng)執(zhí)行一次漏洞掃描;4.2 網(wǎng)絡(luò)安全4.2.1 安全把握措施應(yīng)涵蓋每一個(gè)活躍版本的網(wǎng)絡(luò)協(xié)議,包括 IPv4 和 IPv6 ;4.2.2 Web服務(wù)器都應(yīng)支配相應(yīng)的靜態(tài) IP 地址,除了需要部署動(dòng)態(tài)域名系統(tǒng)技術(shù)以實(shí)現(xiàn)負(fù)載均衡的服務(wù)器;4.2.3 只使用唯獨(dú)可信的授權(quán) DNS來(lái)源,防止受到 DNS劫持和攻擊;4.2.4 全部的非 console 口治
5、理員級(jí)別的拜望應(yīng)使用高強(qiáng)度加密手段進(jìn)行加密;4.3 流量過(guò)濾4.3.1 只有從 Internet 到特定的 IP 地址和授權(quán)的公共可用服務(wù)、協(xié)議和端口的入站流量是答應(yīng)的;4.3.2 從 Web服務(wù)器的非授權(quán)出站流量是禁止的;3 / 54.3.3加固 TCP/IP 堆棧能愛(ài)惜Web服務(wù)器抵抗拒絕服務(wù)攻擊,可以接受類似禁用4.4ICMP重定向, SYN攻擊愛(ài)惜和禁用 IP 源路由這些手段;合規(guī)性4.4.1 全部相關(guān)監(jiān)管和法律要求應(yīng)當(dāng)予以鑒別和記錄;4.5數(shù)據(jù)愛(ài)惜Web內(nèi)容)和操作系統(tǒng)文件(Web服務(wù)器軟件)應(yīng)當(dāng)分別存4.5.1應(yīng)用程序數(shù)據(jù)(儲(chǔ)在不同的磁盤規(guī)律分區(qū)或物理分區(qū);4.5.2 數(shù)據(jù)儲(chǔ)備在數(shù)
6、量和時(shí)間上的限制應(yīng)依據(jù)法律要求、治理規(guī)定和業(yè)務(wù)要求,并要遵守相關(guān)的數(shù)據(jù)留存規(guī)定;4.5.3 保密數(shù)據(jù)(包括日志文件)在文件拜望和共享上應(yīng)最小權(quán)限,這些數(shù)據(jù)文件包括: 驗(yàn)證文件; 日志文件; 備份文件; 保密的應(yīng)用程序數(shù)據(jù); 災(zāi)難復(fù)原文件;4.5.4 任何數(shù)據(jù)庫(kù)都應(yīng)禁止直接拜望,全部的拜望都應(yīng)通過(guò)編程化的方法;4.5.5 只有數(shù)據(jù)庫(kù)治理員有權(quán)限直接拜望和查詢數(shù)據(jù)庫(kù);4.5.6 數(shù)據(jù)庫(kù)應(yīng)用程序的 ID 只能被應(yīng)用程序本身所使用;4.5.7 保密和內(nèi)部數(shù)據(jù)(包括全部的驗(yàn)證數(shù)據(jù))在傳輸過(guò)程中應(yīng)使用強(qiáng)加密愛(ài)惜;4.5.8 全部啟用了 SSL的資源都應(yīng)禁用 HTTP拜望;4.5.9 全部的 SSL弱密碼都
7、應(yīng)在服務(wù)器上禁用;4.5.10 在密鑰的交換和儲(chǔ)備中應(yīng)接受安全密鑰治理流程;4.5.11 只有來(lái)自可信源的 SSL認(rèn)證才能被使用;4.5.12 不再需要的舊數(shù)據(jù)和備份文件應(yīng)當(dāng)刪除;4.5.13 已刪除的文件應(yīng)在操作系統(tǒng)級(jí)別完全刪除;4.5.14 服務(wù)器硬件硬盤在廢棄或移作他用之前,應(yīng)對(duì)其使用低格式化工具,磁化或物理?yè)p毀來(lái)安全排除數(shù)據(jù),防止數(shù)據(jù)內(nèi)容被重建復(fù)原;4.5.15全部非必要的共享 (包括默認(rèn)治理員共享)應(yīng)被移除, 基于角色的接入共享應(yīng)被禁止;4.6 輸入和輸出治理4.6.1 應(yīng)使用參數(shù)化 SQL查詢以防止 SQL注入攻擊;4.6.2 全部用戶輸入的字段都應(yīng)驗(yàn)證;4.6.3 為防止跨站請(qǐng)求
8、偽造,應(yīng)在全部的請(qǐng)求中添加唯獨(dú)的 token 并驗(yàn)證;4.6.4 上傳文件的大小、 類型和內(nèi)容都應(yīng)驗(yàn)證, 以確保不掩蓋已有文件的目標(biāo)路徑;4.6.5 內(nèi)容安全策略或者跨站腳本在 http 頭中驗(yàn)證防護(hù)應(yīng)部署,以抵抗一般的反射性跨站腳本攻擊;4.6.6應(yīng)依據(jù)當(dāng)前漏洞治理的正確做法(如OWASP指南,烏云平臺(tái)等) ,對(duì)其他普遍漏洞供應(yīng)適當(dāng)?shù)姆雷o(hù);4.7 安全代碼 / 應(yīng)用/ 插件4.7.1 應(yīng)評(píng)估第三方應(yīng)用的安全性,其應(yīng)用部署需得到相關(guān)服務(wù)擁有者的批準(zhǔn);4.7.2 開(kāi)發(fā)人員在代碼安全技術(shù)上應(yīng)有必要的培訓(xùn),包括如何防止一般代碼漏洞和懂得敏捷數(shù)據(jù)如何在內(nèi)存中處理;4.7.3應(yīng)用程序的開(kāi)發(fā)應(yīng)基于安全代碼指南;4 / 54.7.4 自定義代碼在部署到生產(chǎn)環(huán)境之間應(yīng)審核代碼漏洞;4.7.5 測(cè)試程序
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 建筑工地施工勞動(dòng)合同2024年
- 施工安全環(huán)保管理協(xié)議2024年
- 擔(dān)保公司委托保證合同2024年
- 肝臟疾病護(hù)理
- 青茶購(gòu)銷合同2024年
- 手續(xù)使用協(xié)議
- 移位護(hù)理技巧
- 顧問(wèn)培訓(xùn)協(xié)議2024年
- 房地產(chǎn)項(xiàng)目轉(zhuǎn)讓協(xié)議書2024年
- 癱瘓個(gè)案護(hù)理
- 部編版語(yǔ)文五年級(jí)上冊(cè)3 桂花雨(同步練習(xí))
- 2024福建網(wǎng)龍網(wǎng)絡(luò)控股限公司校園招聘100人(高頻重點(diǎn)提升專題訓(xùn)練)共500題附帶答案詳解
- 2024-2030年中國(guó)馬術(shù)市場(chǎng)發(fā)展趨勢(shì)與前景動(dòng)態(tài)分析研究報(bào)告
- 短視頻拍攝合作協(xié)議范本
- Starter Unit 3 Section A(1a-2d)課件人教版2024新教材七年級(jí)上冊(cè)英語(yǔ)
- 【新教材】統(tǒng)編版(2024)七年級(jí)上冊(cè)歷史第一單元測(cè)試卷(含答案)
- 大數(shù)據(jù)交易合同范本
- 數(shù)字技術(shù)賦能社工服務(wù)創(chuàng)新應(yīng)用
- 《億以上數(shù)的讀寫法》(教案)人教版四年級(jí)數(shù)學(xué)上冊(cè)
- 骨科常用手術(shù)器具及固定材料(骨傷科手術(shù)技能課件)
- 五年級(jí)上冊(cè)心理健康教案-第九課 做情緒的主人 當(dāng)憤怒來(lái)臨時(shí)|北師大版
評(píng)論
0/150
提交評(píng)論