(完整版)web服務器安全標準

1、Web服務器安全標準題目Web服務器安全標準文檔編號文檔狀態(tài)草案文檔發(fā)布單位西女石油大學息中心審批者版本號版本歷史版本日期0.01初稿2015.11.300.02初審更改稿2015.12.01003.1.1批準發(fā)布終稿前言和文檔控制此文檔是西安石油大學制定發(fā)布的有關信息安全政策規(guī)定、處理流程、行業(yè)標準和指導意見的系列文檔之一。該文檔應保證至少一年審核一次，以保證其有效性。在沒有得到文檔發(fā)布者的明確授權下，此文檔的全部或部分內(nèi)容，均不得重制或發(fā)布。1 / 5目錄1 目的 32 范圍 33 責任 34 Web服務器安全要求34.1 總則 34.2 網(wǎng)絡安全 34.3 流量過濾 34.4 合規(guī)性 4

2、4.5 數(shù)據(jù)保護 44.6 輸入和輸出管理 44.7 安全代碼/應用 /插件 4#/ 51 目的發(fā)布本文檔所列標準的目的是為了保護學校網(wǎng)站和相關信息資產(chǎn)。本標準的目標是為了確保：按照現(xiàn)有最佳的實踐經(jīng)驗，在全校統(tǒng)一部署安全控制措施，以消除或者最低限度的減少系統(tǒng)漏洞和其他安全隱患。學校能在信息安全的完善方面更方便的有據(jù)監(jiān)管、理解風險和評估改進。所有的院系部門和網(wǎng)站開發(fā)人員都能了解相應的安全需求2 范圍所列標準適用于學校所有的web網(wǎng)站服務器，包括：學校內(nèi)部或第三方建設、采購、部署、修改和維護的。具體為：所有僅限內(nèi)部和面向公共的web服務器所有由外部供應商托管的面向公共的web服務器所有通過學?；蛘?/p>

3、代表學校的web服務器建設、采購、部署、修改和維護的3 責任以下學校實體具體的信息安全責任學校信息化委員會信息安全部門領導信息安全小組應支撐學校滿足信息安全功能和防護的各項要求。學院和部門領導對所在部門的信息安全負有義務和責任。Web服務器用戶 對其處理的信息負有安全責任。4 Wet務器安全要求4.1 總則4.1.1 基于風險分析的深度信息安全防范手段應被采用，包括： 安全控件在 Web服務器的每一層次上都應部署，以避免過度依賴單一安全防護手段。 在所有Web服務器上應部署最基本的安全控制措施，以解決常見風險。 安全控制措施應該是務實的、易于部署、有效

4、和可以衡量的。4.1.2 在虛擬化環(huán)境中，所有能考慮到的安全因素都應當適用于主機系統(tǒng)、虛擬機管理層和虛擬化管理工具。4.1.3 滲透性測試每年至少執(zhí)行一次，并且在重要系統(tǒng)架構部署、應用升級或修改后，都應測試。4.1.4 每季度應執(zhí)行一次漏洞掃描。4.2 網(wǎng)絡安全4.2.1 安全控制措施應涵蓋每一個活躍版本的網(wǎng)絡協(xié)議，包括IPv4 和 IPv6 。4.2.2 Web服務器都應分配相應的靜態(tài)IP地址，除了需要部署動態(tài)域名系統(tǒng)技術以實現(xiàn)負載均衡的服務器。4.2.3 只使用唯一可信的授權DNS源，避免受到DNS劫持和攻擊。4.2.4 所有的非console 口管理員級別的訪問應使用高強度加密手段進行加

5、密。4.3 流量過濾4.3.1 只有從 Internet 到特定的IP 地址和授權的公共可用服務、協(xié)議和端口的入站流量是允許的。4.3.3 加固TCP/IP堆棧能保護 Web服務器抵御拒絕服務攻擊，可以采用類似禁用 ICMP重定向，SYNC擊保護和禁用IP源路由這些手段。4.4 合規(guī)性4.4.1 所有相關監(jiān)管和法律要求應當予以鑒別和記錄。4.5 數(shù)據(jù)保護4.5.1 應用程序數(shù)據(jù)（Web內(nèi)容）和操作系統(tǒng)文件（Web服務器軟件）應當分別存儲在不同的磁盤邏輯分區(qū)或物理分區(qū)。4.5.2 數(shù)據(jù)存儲在數(shù)量和時間上的限制應根據(jù)法律要求、管理規(guī)定和業(yè)務要求，并要遵守相關的數(shù)據(jù)留存規(guī)定。4.5.3 保密數(shù)據(jù)（包

6、括日志文件）在文件訪問和共享上應最小權限，這些數(shù)據(jù)文件包括： 驗證文件； 日志文件； 備份文件； 保密的應用程序數(shù)據(jù)； 災難恢復文件。4.5.4 任何數(shù)據(jù)庫都應禁止直接訪問，所有的訪問都應通過編程化的方法。4.5.5 只有數(shù)據(jù)庫管理員有權限直接訪問和查詢數(shù)據(jù)庫。4.5.6 數(shù)據(jù)庫應用程序的ID 只能被應用程序本身所使用。4.5.7 保密和內(nèi)部數(shù)據(jù)（包括所有的驗證數(shù)據(jù)）在傳輸過程中應使用強加密保護。4.5.8 所有啟用了 SSL的資源都應禁用 HTTPW問。4.5.9 所有的SSL弱密碼都應在服務器上禁用。4.5.10 在密鑰

7、的交換和存儲中應采用安全密鑰管理流程。4.5.11 只有來自可信源的 SSL認證才能被使用。4.5.12 不再需要的舊數(shù)據(jù)和備份文件應當刪除。4.5.13 已刪除的文件應在操作系統(tǒng)級別徹底刪除。4.5.14 服務器硬件硬盤在廢棄或移作他用之前，應對其使用低格式化工具，磁化或物理損毀來安全消除數(shù)據(jù)，防止數(shù)據(jù)內(nèi)容被重建恢復。4.5.15 所有非必要的共享（包括默認管理員共享）應被移除，基于角色的接入共享應被禁止。4.6 輸入和輸出管理4.6.1 應使用參數(shù)化 SQ我詢以防止SQL注入攻擊。4.6.2 所有用戶輸入的字段都應驗證。4.6.3 為防止跨站請求偽造，應在所有的請求中添加唯一的token 并驗證。4.6.4 上傳文件的大小、類型和內(nèi)容都應驗證，以確保不覆蓋已有文件的目標路徑。4.6.5 內(nèi)容安全策略或者跨站腳本在http 頭中驗證防護應部署，以抵御普通的反射性跨站腳本攻擊。4.6.6 應根據(jù)當前漏洞管理的最佳做法（如OWASPf南，烏云平臺等），對其他普遍漏洞提供適當?shù)姆雷o。4.7 安全代碼 /應用 /插件4.7.1 應評估第三方應用的安全性，其應用部署需得到相關服務擁有者的批準。4.7.2 開發(fā)人員在代碼安全技術上應有必要的培訓，包括如何避免普通代碼漏洞和理解敏感數(shù)據(jù)如何在內(nèi)存中處理。4.7.4 自定義代碼在部署到生產(chǎn)環(huán)境之間應審核代碼漏洞。4.7.5 測試程序和