2023網(wǎng)絡(luò)安全技術(shù)指導(dǎo)手冊

網(wǎng)絡(luò)安全技術(shù)指導(dǎo)手冊202307PAGEPAGE1目錄TOC\o"1-3"\h\u31728第一部分：網(wǎng)絡(luò)安全防護(hù)要求 6143371、安全通用要求 7111091.1機(jī)房物理環(huán)境要求 795741.2網(wǎng)絡(luò)通信環(huán)境要求 966641.3 10139851.4 13189551.5數(shù)據(jù)安全要求 1625911.6系統(tǒng)及安全設(shè)備管理要求 17310051.7安全管理制度要求 189931.8安全管理機(jī)構(gòu)要求 19276531.9安全管理人員 21110681.10安全建設(shè)管理要求 2250901.11軟件開發(fā)安全要求 24326371.12安全運(yùn)維管理要求 26170752、云計(jì)算安全擴(kuò)展要求 32171362.1安全物理位置 3243042.2安全通信網(wǎng)絡(luò) 32304222.3安全區(qū)域邊界 33254692.4 34226062.5安全管理中心 36175982.6安全建設(shè)管理 36279622.7安全運(yùn)維管理 37325253、物聯(lián)網(wǎng)安全擴(kuò)展要求 37270543.1安全物理環(huán)境 37173293.2安全區(qū)域邊界 38146933.3安全計(jì)算環(huán)境 3863313.4安全運(yùn)維管理 3957144、工業(yè)控制系統(tǒng)安全擴(kuò)展要求 4029685安全物理環(huán)境 407240安全通信網(wǎng)絡(luò) 4121065安全區(qū)域邊界 412889安全計(jì)算環(huán)境 4222381 4313577省級(jí)、補(bǔ)丁安裝管理，嚴(yán)防病毒、木馬等惡意代碼侵入。5、電子政務(wù)外網(wǎng)要求 4481455.1落實(shí)網(wǎng)絡(luò)安全主體責(zé)任 44142285.2加強(qiáng)電子政務(wù)外網(wǎng)接入管理 44325515.3做好電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作 4530282第二部分：主要網(wǎng)絡(luò)安全設(shè)備 46307151、防火墻設(shè)備 552952設(shè)備介紹 5523859設(shè)備功能 55174設(shè)備拓?fù)涫疽?55216192、網(wǎng)閘設(shè)備 5618291設(shè)備介紹 5626806設(shè)備功能 561689設(shè)備拓?fù)涫疽?5757873、漏洞掃描系統(tǒng)設(shè)備 577554設(shè)備介紹 5718490設(shè)備功能 587480設(shè)備拓?fù)涫疽?5993414、入侵防御系統(tǒng)設(shè)備（IPS） 6010978設(shè)備介紹 6030280設(shè)備功能 607874設(shè)備拓?fù)涫疽?61209955、Web應(yīng)用防火墻設(shè)備（WAF） 623110設(shè)備介紹 625177設(shè)備功能 62509設(shè)備拓?fù)涫疽?64272426、運(yùn)維審計(jì)系統(tǒng)設(shè)備（堡壘機(jī)） 6443296.1設(shè)備介紹 64243936.2設(shè)備功能 64192036.3設(shè)備拓?fù)涫疽?66281487、上網(wǎng)行為管理設(shè)備 6721172設(shè)備介紹 6731725設(shè)備功能 6731046設(shè)備拓?fù)涫疽?67224938、虛擬專用網(wǎng)絡(luò)設(shè)備（VPN） 6713090設(shè)備介紹 672919設(shè)備功能 685842設(shè)備拓?fù)涫疽?681459、防毒墻 691345設(shè)備介紹 6916279設(shè)備功能 6919666設(shè)備拓?fù)涫疽?702870010、應(yīng)用主機(jī)綜合安全防護(hù)軟件 7026172軟件介紹 7024852軟件功能 708534設(shè)備拓?fù)涫疽?711353811、數(shù)據(jù)庫審計(jì)設(shè)備 722359軟件介紹 7231611軟件功能 7216979設(shè)備拓?fù)涫疽?73475212、日志審計(jì)設(shè)備 7431355軟件介紹 749223軟件功能 74491設(shè)備拓?fù)涫疽?76750613、服務(wù)器密碼機(jī) 767635設(shè)備介紹 763682設(shè)備功能 7626607設(shè)備拓?fù)涫疽?77544714、密鑰管理系統(tǒng) 7827701設(shè)備介紹 7825531設(shè)備功能 7831907設(shè)備拓?fù)涫疽?80568215、簽名驗(yàn)簽系統(tǒng) 8113477 814121設(shè)備功能 8112481設(shè)備拓?fù)涫疽?822853016、態(tài)勢感知系統(tǒng) 8325687設(shè)備介紹 8331215設(shè)備功能 831728設(shè)備拓?fù)涫疽?841438817、網(wǎng)管平臺(tái)設(shè)備 846676設(shè)備介紹 8422512 8524917設(shè)備拓?fù)涫疽?8629671第三部分：高頻漏洞預(yù)防與處置 8722701、XSS漏洞處置方案 886436 886971XSS 8823280預(yù)防措施 8928119 904924 9019504 907071 9175192、SQL漏洞處置方案 9127427 9124384SQL 9210082 9427517 9427605 9424133 9424633 95295683、弱口令處置方案 9516244 955807 9614954 96742 9616025 9631617 969846 97111324、任意文件上傳處置方案 97189204.1 97267804.2 98223474.3 98165834.4 99250634.5 99110724.6 99145234.7 100175715、未授權(quán)訪問漏洞處置方案 10128944 10129648 10110797 1011834 10231780 1025333 10220883 103322156、反序列化遠(yuǎn)程代碼執(zhí)行漏洞處置方案 10311459 10313126 1046812 1045611 10427194 10419463 10513866 10515527、信息泄露處置方案 10629852 10612975 10611782 10725405 10713844 10728046 10724787 108PAGEPAGE12第一部分：網(wǎng)絡(luò)安全防護(hù)要求//1、安全通用要求機(jī)房物理環(huán)境要求防火本項(xiàng)要求包括：（b）應(yīng)設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電；（d）應(yīng)提供應(yīng)急供電設(shè)施。實(shí)現(xiàn)方式：配備屏蔽機(jī)柜或屏蔽機(jī)房，同時(shí)建議部署動(dòng)環(huán)系統(tǒng)。網(wǎng)絡(luò)通信環(huán)境要求實(shí)現(xiàn)方式：科學(xué)合理劃分網(wǎng)絡(luò)區(qū)域，并采用可信根芯片或硬件。//當(dāng)檢測到攻擊行為時(shí)，記錄攻擊源IP實(shí)現(xiàn)方式：在邊界區(qū)域配置必要的安全設(shè)備。應(yīng)用程序。實(shí)現(xiàn)方式：對設(shè)備定期巡檢，及時(shí)更新策略。數(shù)據(jù)安全要求系統(tǒng)及安全設(shè)備管理要求實(shí)現(xiàn)方式：配置安全管理中心SOC。安全管理制度要求(a(c)應(yīng)形成由安全策略、管理制度、操作規(guī)程、記錄表單等構(gòu)成的全面的安全管理制度體系。(a實(shí)現(xiàn)方式：對安全管理制度做好核查記錄。安全管理機(jī)構(gòu)要求(c)應(yīng)建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息。實(shí)現(xiàn)方式：做好安全檢查表格，安全檢查記錄，安全檢查報(bào)告等臺(tái)賬。安全管理人員錄用本項(xiàng)要求包括：實(shí)現(xiàn)方式：外部人員簽字的保密協(xié)議，明確其保密義務(wù)。安全建設(shè)管理要求實(shí)現(xiàn)方式：按要求對系統(tǒng)進(jìn)行等級(jí)保護(hù)測試。軟件開發(fā)安全要求(a)應(yīng)在軟件交付前檢測其中可能存在的惡意代碼；(b)應(yīng)保證開發(fā)單位提供軟件設(shè)計(jì)文檔和使用指南；(c)應(yīng)保證開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門和隱蔽信道。等進(jìn)行清點(diǎn)；實(shí)現(xiàn)方式：編制交付清單、技術(shù)培訓(xùn)相關(guān)文檔、指導(dǎo)維護(hù)的文檔。安全運(yùn)維管理要求(a儲(chǔ)等進(jìn)行規(guī)范化管理。（感數(shù)據(jù)；(a)應(yīng)識(shí)別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等；(b)應(yīng)規(guī)定備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)、保存期等；(c)應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運(yùn)行的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略、備份程序和回復(fù)程序等。因，收集證據(jù)，記錄處理過程，總結(jié)經(jīng)驗(yàn)教訓(xùn)；確；如可能涉及對敏感信息的訪問、處理、存儲(chǔ)要求，對IT2、云計(jì)算安全擴(kuò)展要求安全物理位置應(yīng)保證云計(jì)算基礎(chǔ)設(shè)施位于中國境內(nèi)。安全通信網(wǎng)絡(luò)(a)應(yīng)保證云計(jì)算平臺(tái)不承載高于其安全保護(hù)等級(jí)的業(yè)務(wù)應(yīng)用系統(tǒng)；(b)應(yīng)實(shí)現(xiàn)不同云服務(wù)客戶虛擬網(wǎng)絡(luò)之間的隔離；務(wù)戶可依據(jù)全標(biāo)和 強(qiáng)訪間制規(guī)確定體對體的訪；議換或信協(xié)隔離的數(shù)交換式，證云服客戶以根業(yè)務(wù)求 自選擇界數(shù)交換式；安全區(qū)域邊界(a)應(yīng)在虛擬化網(wǎng)絡(luò)邊界部署訪問控制機(jī)制，并設(shè)置訪問控制規(guī)則；(b)應(yīng)在不同等級(jí)的網(wǎng)絡(luò)區(qū)域邊界部署訪間控制機(jī)制，設(shè)置訪問控制規(guī)則。計(jì)，至少包括虛擬機(jī)刪除、虛擬機(jī)重啟；(a)應(yīng)保證虛擬機(jī)所使用的內(nèi)存和存儲(chǔ)空間回收時(shí)得到完全清除；(b)云服務(wù)客戶刪除業(yè)務(wù)應(yīng)用數(shù)據(jù)時(shí)，云計(jì)算平臺(tái)應(yīng)將云存儲(chǔ)中所有副本刪除。安全管理中心(a)應(yīng)能對物理資源和虛擬資源按照策略做統(tǒng)一管理調(diào)度與分配；(b)應(yīng)保證云計(jì)算平臺(tái)管理流蜇與云服務(wù)客戶業(yè)務(wù)流量分離；安全建設(shè)管理安全運(yùn)維管理3、物聯(lián)網(wǎng)安全擴(kuò)展要求安全物理環(huán)境（如溫濕度傳感器不能安裝在陽光直射區(qū)域）。（）。安全區(qū)域邊界安全計(jì)算環(huán)境（））安全運(yùn)維管理TCP/IP4、工業(yè)控制系統(tǒng)安全擴(kuò)展要求安全物理環(huán)境(a安全通信網(wǎng)絡(luò)在工業(yè)控制系統(tǒng)內(nèi)使用廣域網(wǎng)進(jìn)行控制指令或相關(guān)數(shù)據(jù)交換的應(yīng)采用加密認(rèn)證技術(shù)手段實(shí)現(xiàn)身份認(rèn)證、訪問控制和數(shù)據(jù)加密。安全區(qū)域邊界E-Mail,WebTelnetRlogin、FTP提供進(jìn)行安全計(jì)算環(huán)境(a)控制設(shè)備自身應(yīng)實(shí)現(xiàn)相應(yīng)級(jí)別安全通用要求提出的身份鑒別、訪USB工業(yè)控制系統(tǒng)重要設(shè)備應(yīng)通過專業(yè)機(jī)構(gòu)的安全性檢測后方可采購使用。省級(jí)、補(bǔ)丁安裝管理，嚴(yán)防病毒、木馬等惡意代碼侵入。5、電子政務(wù)外網(wǎng)要求落實(shí)網(wǎng)絡(luò)安全主體責(zé)任（加強(qiáng)電子政務(wù)外網(wǎng)接入管理排查和評估工作，及時(shí)采取針對性整改措施，切實(shí)消除安全隱患，單位做好電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作第二部分：主要網(wǎng)絡(luò)安全設(shè)備VPN圖3.1標(biāo)準(zhǔn)網(wǎng)絡(luò)拓?fù)涫疽鈭DPAGEPAGE1001、防火墻設(shè)備設(shè)備介紹也稱防護(hù)墻，是由CheckPointNtGetnFelNGFel，設(shè)備功能如Internet）設(shè)備拓?fù)涫疽鈭D3.2防火墻設(shè)備部署方式2、網(wǎng)閘設(shè)備設(shè)備介紹（GAP）設(shè)備功能設(shè)備拓?fù)涫疽鈭D3.3網(wǎng)閘設(shè)備部署方式3、漏洞掃描系統(tǒng)設(shè)備設(shè)備介紹web設(shè)備功能種多樣的安全產(chǎn)品和技術(shù)之間做出取舍。配備網(wǎng)絡(luò)漏洞掃描/網(wǎng)絡(luò)評估系統(tǒng)可以進(jìn)行安全規(guī)劃評估和成效檢驗(yàn)網(wǎng)絡(luò)的安全系統(tǒng)建設(shè)方案和建設(shè)成效評估。//重大網(wǎng)絡(luò)安全事件前網(wǎng)絡(luò)漏洞掃描/網(wǎng)絡(luò)評估系統(tǒng)能夠幫助用戶及時(shí)的找出網(wǎng)絡(luò)中存在的隱患和漏洞，幫助用戶及時(shí)的彌補(bǔ)漏洞。設(shè)備拓?fù)涫疽鈭D3.4漏掃系統(tǒng)備部署方式4、入侵防御系統(tǒng)設(shè)備（IPS）設(shè)備介紹Intrusion-preventionsystem,簡稱IPS（IPS設(shè)備功能在ISO/OSIOSI為了彌補(bǔ)防火墻和防病毒軟件二者在第四到第五層之間留下的空檔，幾年前,工業(yè)界已經(jīng)有入侵檢測系統(tǒng)(IDS:IntrusionDetectionIRSIntrusionResponseSystems設(shè)備拓?fù)涫疽馊肭謾z測系統(tǒng)部署在服務(wù)器區(qū)域前端,能夠保證所有服務(wù)器流量從本設(shè)備經(jīng)過。圖3.5入侵防御系統(tǒng)設(shè)備部署方式5、Web應(yīng)用防火墻設(shè)備（WAF）設(shè)備介紹WebWebApplicationFirewall,簡稱WAF決諸如防火墻一類傳統(tǒng)設(shè)備束手無策的WebWebWAFWeb設(shè)備功能WEBWEB于一體的WEBWEB度來看可以把WAFHTTPIDSWAFWAF總體來說，Web應(yīng)用防火墻的具有以下四大個(gè)方面的功能：審計(jì)功能：用來截獲所有HTTP數(shù)據(jù)或者僅僅滿足某些規(guī)則的會(huì)話。Web架構(gòu)/網(wǎng)絡(luò)設(shè)計(jì)功能：當(dāng)運(yùn)行在反向代理模式，他們被用來分配職能，集中控制，虛擬基礎(chǔ)結(jié)構(gòu)等。WebWeb不僅能夠屏蔽WEBWEB1、事前主動(dòng)防御，智能分析應(yīng)用缺陷、屏蔽惡意請求、防范網(wǎng)頁篡改、阻斷應(yīng)用攻擊，全方位保護(hù)WEB應(yīng)用。2P2DR3、事后行為審計(jì)，深度挖掘訪問行為、分析攻擊數(shù)據(jù)、提升應(yīng)用價(jià)值，為評估安全狀況提供詳盡報(bào)表。4、面向客戶的應(yīng)用加速，提升系統(tǒng)性能，改善WEB6、面向服務(wù)的負(fù)載均衡，擴(kuò)展服務(wù)能力，適應(yīng)業(yè)務(wù)規(guī)模的快速壯大。設(shè)備拓?fù)涫疽釽ebweb圖3.6Web應(yīng)用防火墻設(shè)備部署方式6、運(yùn)維審計(jì)系統(tǒng)設(shè)備（堡壘機(jī)）設(shè)備介紹設(shè)備功能單點(diǎn)登錄功能：支持對Windows、LinuxUnixkey設(shè)備拓?fù)涫疽鈮緳C(jī)冗余部署,部署在網(wǎng)絡(luò)安全管理區(qū)域，通過VPN做策略限制，只允許堡壘機(jī)IP圖3.7運(yùn)維審計(jì)系統(tǒng)設(shè)備部署方式7、上網(wǎng)行為管理設(shè)備設(shè)備介紹設(shè)備功能設(shè)備拓?fù)涫疽鈭D3.8上網(wǎng)行為管理設(shè)備部署方式8、虛擬專用網(wǎng)絡(luò)設(shè)備（VPN）設(shè)備介紹VPN(virtualprivatenetworkVPNVPNVPN種：PPTP、L2TPIPSec。常用VPNSSLVPN(以HTTPS為基礎(chǔ)的VPN技術(shù))和IPSecVPN(基于IPSec協(xié)議的VPN技術(shù)，由IPSec協(xié)議提供隧道安全保障)。設(shè)備功能VPNVPN的解決方法就是在內(nèi)網(wǎng)中架設(shè)一臺(tái)VPNVPNVPN上VPNVPN設(shè)備拓?fù)涫疽鈭D3.9虛擬專用網(wǎng)絡(luò)設(shè)備部署方式9、防毒墻設(shè)備介紹SQLSlammer設(shè)備功能\h網(wǎng)\h（、\h蠕蟲\h到服設(shè)備拓?fù)涫疽鈭D3.10防毒墻設(shè)備部署方式10、應(yīng)用主機(jī)綜合安全防護(hù)軟件軟件介紹該系統(tǒng)采用C/S與B/SPCWindowsWebWeb軟件功能web測與防護(hù)CCSQLXSS和web設(shè)備拓?fù)涫疽廛浖渴鸱譃樵浦行牟渴鸷虯gent部署兩個(gè)部分。圖3.11應(yīng)用主機(jī)綜合安全防護(hù)軟件部署方式11、數(shù)據(jù)庫審計(jì)設(shè)備軟件介紹（簡稱DBAudit）軟件功能URL、客戶端的IP、請通過對不同數(shù)據(jù)庫的SQL語義分析，提取出SQL中相關(guān)的要素（用SQL）實(shí)時(shí)SQL靈活的策略定制：根據(jù)登錄用戶、源IP（分SQLSQLSQLSyslog設(shè)備拓?fù)涫疽馊魏斡绊?。圖3.12數(shù)據(jù)庫審計(jì)設(shè)備部署方式12、日志審計(jì)設(shè)備軟件介紹日志審計(jì)系統(tǒng)是用于全面收集企業(yè)IT（包軟件功能時(shí)狀態(tài)進(jìn)行監(jiān)控，支持查看CPUWindows/Linux平臺(tái)日志以及自定義等日志；集器的信息展示與管理以及Agent等多種日志采集方式；支持IPv4、IPv6日志采集、日志存儲(chǔ)：提供原始日志的存儲(chǔ)，可自定義存儲(chǔ)周期，支持FTP日志備份以及NFS網(wǎng)絡(luò)文件\h共享存儲(chǔ)等多種存儲(chǔ)擴(kuò)展方式日志轉(zhuǎn)發(fā)：支持原始日志、范式化日志轉(zhuǎn)發(fā)表、周期性任務(wù)報(bào)表等方式；支持報(bào)表logo設(shè)備拓?fù)涫疽鈭D3.13日志審計(jì)設(shè)備部署方式13、服務(wù)器密碼機(jī)設(shè)備介紹設(shè)備功能服務(wù)器密碼機(jī)具有如下主要功能：密鑰生成：密碼機(jī)可提供各類型密鑰對的生成功能；非對稱密碼運(yùn)算：密碼機(jī)可提供基于SM2、RSA、DSA、ECDSA、SM9、EdDSA等算法的簽名/驗(yàn)簽、加密/解密、密鑰協(xié)商等功能；SM1SM4SM7SSF33DES/3DES、AES消息鑒別碼的產(chǎn)生及驗(yàn)證：密碼機(jī)可提供基于SM1、SM4、SM7、SSF33、DES/3DES、AES等算法的CBC-MAC、CMAC的產(chǎn)生及驗(yàn)證；雜湊密碼運(yùn)算：密碼機(jī)可提供基于SM3、SHA1、SHA2、MD5等算法的雜湊運(yùn)算功能；消息認(rèn)證碼的產(chǎn)生：密碼機(jī)可提供基于SM3SHA1/SHA2的HMAC隨機(jī)數(shù)生成：密碼機(jī)可提供基于雙WNG8物理隨機(jī)源的隨機(jī)數(shù)生成功能。設(shè)備拓?fù)涫疽夥?wù)器密碼機(jī)旁路部署通過API圖3.14服務(wù)器密碼機(jī)設(shè)備部署方式14、密鑰管理系統(tǒng)設(shè)備介紹設(shè)備功能密鑰管理系統(tǒng)具有如下主要功能：等操作。HSM多種算法密鑰管理：支持SM4、AES、3DES等對稱算法密鑰的生成與管理；支持SM2、RSA、ECDSA等非對稱算法密鑰的生成與管理；支持HMAC-SM3、HMAC-SHA1等密鑰的生成與管理。SSL密鑰用戶名和口令及wrappingkeyKMIP和RESTGM/T0018JCEPKCS#11和RESTSSL備份//Web可下載或配置自動(dòng)導(dǎo)出到備份服務(wù)器進(jìn)行妥善保存。安全簡便的WebWeb數(shù)據(jù)庫加密MySQL、Oracle、SQLServer、DB2大數(shù)據(jù)平臺(tái)加密數(shù)據(jù)庫加密MySQL、Oracle、SQLServer、DB2大數(shù)據(jù)平臺(tái)加密ApacheHadoop存儲(chǔ)服務(wù)器加密Windows&Linux文件系統(tǒng)加密；Windows&Linux磁盤加密；NAS、SAN、GPFS網(wǎng)絡(luò)文件系統(tǒng)加密；NetAPP存儲(chǔ)加密。虛擬服務(wù)器加密Vsphere、Openstack設(shè)備拓?fù)涫疽饷荑€管理系統(tǒng)旁路部署通過API圖3.15密鑰管理系統(tǒng)部署方式15、簽名驗(yàn)簽系統(tǒng)PKI（PKCS#1PKCS#7Attach/Detach、XML）；設(shè)備功能簽名驗(yàn)簽系統(tǒng)具有如下主要功能：CRLOCSP數(shù)字簽名/驗(yàn)證：簽名驗(yàn)簽系統(tǒng)可提供基于SM2、RSA等算法的PKCS#1簽名/驗(yàn)證、PKCS#7Attached簽名/驗(yàn)證、P7Detached簽名/PKCS#7GM/T0010數(shù)字信封加密和解密：簽名驗(yàn)簽系統(tǒng)可提供基于SM2、RSAPKCS#7GM/T0010SM2、RSA設(shè)備拓?fù)涫疽夂灻?yàn)簽系統(tǒng)旁路部署通過API圖3.16簽名驗(yàn)簽系統(tǒng)部署方式16、態(tài)勢感知系統(tǒng)設(shè)備介紹設(shè)備功能設(shè)備拓?fù)涫疽鈭D3.17態(tài)勢感知設(shè)備部署方式17、網(wǎng)管平臺(tái)設(shè)備設(shè)備介紹()WLANGPON一體化設(shè)備管理：設(shè)備信息、告警、關(guān)鍵KPI、硬件部件等信息集成呈現(xiàn)?？梢暬O(jiān)控場景化監(jiān)控：場景化DASHBOARD和大屏監(jiān)控，全方位掌握ICT系統(tǒng)狀態(tài)。E2E故障監(jiān)控：網(wǎng)絡(luò)質(zhì)量診斷、視頻質(zhì)量診斷技術(shù)等故障診斷工具。智能化分析滿足日常所需。設(shè)備拓?fù)涫疽鈭D3.18網(wǎng)管平臺(tái)設(shè)備部署方式第三部分：高頻漏洞預(yù)防與處置1、XSS漏洞處置方案跨站腳本攻擊（XSS）對于反射和DOM的影響是中等的，而對于存儲(chǔ)的XSS，XSS的影響更為嚴(yán)重，譬如在受攻擊者的瀏覽器上執(zhí)行遠(yuǎn)程代碼，例如：竊取憑證和會(huì)話或傳遞惡意軟件等.跨站腳本攻擊（XSS）大致分為以下類型：反射式API戶輸入，作為HTML受害者的瀏覽器中執(zhí)行任意的HTMLJavaScript存儲(chǔ)式XAIXSS基于DOMAPIJavaScriptAPI。XSSXSS攻擊主要分為兩大類：一類是來自內(nèi)部的攻擊、一類是來自webSQLInjectionXSSXSS常見的攻擊手法：cookiejavascriptajaxjavaScripthttphttpscriptscript.src預(yù)防措施對輸入到HTMLurlhtmlscriptonerrorsrc、javascript、onload、expression現(xiàn)象一：查看流量是否存下惡意的JS代碼現(xiàn)象二：流量是否存在一些與業(yè)務(wù)無關(guān)的相關(guān)字符處置一些危險(xiǎn)的js恢復(fù)2、SQL漏洞處置方案（SQL即是指\hwebweb\hSQL\h數(shù)據(jù)庫注入攻擊（SQL注入）大致分為以下類型：基于布爾的盲注:：因?yàn)閣ebTrueFalse，所以布爾盲注就是注入后根據(jù)頁面返回值來得到數(shù)據(jù)庫信息（）web是否存在SQLunion多個(gè)\hSELECTselectorderby9基于錯(cuò)誤信息的注入：此方法是在頁面沒有顯示位，但是echomysql_error();函數(shù)輸出了錯(cuò)誤信息的時(shí)候方能使用。優(yōu)點(diǎn)是limitechomysql_errorSQLSQLSQL碼對\hWEBpost/getwebSQLweb器執(zhí)行惡意命令的過程?？梢酝ㄟ^一個(gè)例子簡單說明SQL假設(shè)某網(wǎng)站頁面顯示時(shí)URL\h?test=123，URL123test，這表明當(dāng)前頁URL字符串構(gòu)造SQLSQL的SQL的開發(fā)過程其實(shí)為SQLSQL常見的攻擊手法：ID、年齡、頁碼等，如果存在注入ASP、PHPidintid=8andstringJava、Cint引號(hào)來閉合。sql語句，sqlorselectfromunionwhere、order、sleep、&、&&、|、||等詞匯特征，在設(shè)置數(shù)據(jù)庫時(shí)給數(shù)據(jù)現(xiàn)象一：查看流量是否存下惡意的SQL語句代碼現(xiàn)象二：流量是否存在一些與業(yè)務(wù)無關(guān)的相關(guān)SQL命令字符處置在防火墻和入侵檢測系統(tǒng)做策略過濾對一些無關(guān)業(yè)務(wù)的字符和一些危險(xiǎn)的SQL語句代碼做字符過濾和檢測?；謴?fù)3、弱口令處置方案weakpassword弱口令一般分為兩種：某些網(wǎng)站搭建好后會(huì)默認(rèn)設(shè)置一些賬號(hào)密碼，由于管理員弱口令攻漏洞與個(gè)人習(xí)慣相關(guān)與意識(shí)相關(guān)，為了避免忘記密碼，使用一個(gè)非常容易記住的密碼，或者是直接采用系統(tǒng)的默認(rèn)密碼等，需要加強(qiáng)相關(guān)的網(wǎng)絡(luò)安全意識(shí)。對于不通的