信息系統(tǒng)安全保障

信息系統(tǒng)安全保障杭州市基礎(chǔ)信息安全測(cè)評(píng)認(rèn)證中心2010.6WWW.HZTEC.ORG.CN主要內(nèi)容信息安全現(xiàn)狀1信息系統(tǒng)安全保障體系2安全保障技術(shù)要求安全保障管理要求43WWW.HZTEC.ORG.CN安全現(xiàn)狀——網(wǎng)站安全2009年全年中國(guó)大陸網(wǎng)站監(jiān)測(cè)到被篡改數(shù)量有4.2萬個(gè)網(wǎng)站被黑客篡改其中：政府網(wǎng)站被篡改2765個(gè)2010年1-2月中國(guó)大陸網(wǎng)站監(jiān)測(cè)到被篡改數(shù)量4185個(gè)網(wǎng)站被黑客篡改其中：政府網(wǎng)站被篡改764個(gè)6月份：大量高校網(wǎng)站被黑（包括北大、清華、浙大）（依據(jù)“國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心”報(bào)告）WWW.HZTEC.ORG.CN網(wǎng)絡(luò)攻擊的主要目標(biāo)根據(jù)電信運(yùn)營(yíng)商2009年調(diào)查結(jié)果(基于對(duì)2億8500萬次累計(jì)攻擊行為數(shù)據(jù)進(jìn)行分析)：對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的攻擊行為占比最高，在75%左右。安全現(xiàn)狀——主要攻擊目標(biāo)WWW.HZTEC.ORG.CN安全現(xiàn)狀——安全漏洞系統(tǒng)安全漏洞網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用軟件甚至是安全產(chǎn)品的高危漏洞越來越多，2009年，CNCERT整理和發(fā)布的高危漏洞公告133個(gè)，比2008年增加32%2010年僅以6月份的第2個(gè)禮拜為例：周二微軟發(fā)布10個(gè)安全補(bǔ)丁，修復(fù)34個(gè)安全漏洞，隨后又發(fā)布一個(gè)0-Day攻擊安全漏洞。蘋果為Safari瀏覽器推出了安全補(bǔ)丁，修復(fù)了48個(gè)安全漏洞。星期五Adobe發(fā)布的補(bǔ)丁涉及32個(gè)安全漏洞終端安全：2009年我國(guó)計(jì)算機(jī)病毒感染率為70%，其中多次感染病毒的比率為43%WWW.HZTEC.ORG.CN安全現(xiàn)狀——本市安全現(xiàn)狀測(cè)評(píng)中心2009年安全評(píng)估結(jié)果93%的系統(tǒng)存在高風(fēng)險(xiǎn)安全漏洞；43%的系統(tǒng)存在10個(gè)以上高風(fēng)險(xiǎn)安全漏洞85%的系統(tǒng)在網(wǎng)絡(luò)邊界安全控制上不符合安全評(píng)估要求85%的網(wǎng)站存在SQL注入漏洞，可直接修改、刪除后臺(tái)數(shù)據(jù)庫(kù)數(shù)據(jù)14%網(wǎng)站存在黑客植入的后門WWW.HZTEC.ORG.CN安全形勢(shì)——衛(wèi)生系統(tǒng)醫(yī)院醫(yī)療業(yè)務(wù)的開展對(duì)網(wǎng)絡(luò)信息系統(tǒng)的依賴2009.12，北京某醫(yī)院，內(nèi)網(wǎng)服務(wù)器受蠕蟲攻擊，所有應(yīng)用系統(tǒng)無法運(yùn)行醫(yī)院信息系統(tǒng)在規(guī)模、復(fù)雜度上的快速提高HIS、LIS、PACS/RIS、麻醉系統(tǒng)、……新的外部信息安全威脅及挑戰(zhàn)各醫(yī)院院領(lǐng)導(dǎo)及主管部門對(duì)信息安全建設(shè)工作的重視WWW.HZTEC.ORG.CN主要內(nèi)容信息安全現(xiàn)狀1信息系統(tǒng)安全保障體系2安全保障技術(shù)要求安全保障管理要求43WWW.HZTEC.ORG.CN面臨的安全威脅地震偷竊洪水雷電火災(zāi)惡意軟件竊聽硬件故障電力供應(yīng)故障非法軟件環(huán)境……軟件安全缺陷通訊線路電纜損壞病毒網(wǎng)絡(luò)組件故障維護(hù)錯(cuò)誤黑客WWW.HZTEC.ORG.CN信息系統(tǒng)安全保障體系管理制度應(yīng)用系統(tǒng)網(wǎng)絡(luò)平臺(tái)系統(tǒng)平臺(tái)物理環(huán)境運(yùn)行維護(hù)WWW.HZTEC.ORG.CN信息系統(tǒng)安全保障體系物理——機(jī)房是否提供系統(tǒng)正常運(yùn)行的場(chǎng)所，并保證硬件設(shè)備、通信鏈路、機(jī)房環(huán)境的物理安全網(wǎng)絡(luò)——是否合理劃分了不同的網(wǎng)絡(luò)區(qū)域，并根據(jù)應(yīng)用需求設(shè)置合理的訪問控制策略，強(qiáng)化網(wǎng)絡(luò)設(shè)備自身安全配置WWW.HZTEC.ORG.CN信息系統(tǒng)安全保障體系系統(tǒng)平臺(tái)——是否對(duì)應(yīng)用系統(tǒng)所依賴的操作系統(tǒng)、數(shù)據(jù)庫(kù)及應(yīng)用平臺(tái)進(jìn)行了合理的安全配置，以保障系統(tǒng)平臺(tái)的安全應(yīng)用系統(tǒng)——業(yè)務(wù)應(yīng)用軟件應(yīng)根據(jù)安全需求開發(fā)各類安全功能，并有效啟用安全功能，以達(dá)到保護(hù)應(yīng)用信息的目的。WWW.HZTEC.ORG.CN信息系統(tǒng)安全保障體系運(yùn)維——是否建立了合理的惡意代碼防范、數(shù)據(jù)備份、網(wǎng)絡(luò)監(jiān)控和系統(tǒng)冗余備份等安全運(yùn)維機(jī)制，保障系統(tǒng)的運(yùn)行安全管理制度——管理層應(yīng)針對(duì)本單位應(yīng)用狀況建立合理的安全管理制度并有效執(zhí)行，在統(tǒng)一的安全策略下對(duì)各類可能影響系統(tǒng)信息安全的行為進(jìn)行有效管理。WWW.HZTEC.ORG.CN信息系統(tǒng)安全保障體系產(chǎn)品選擇——必須選用經(jīng)國(guó)家主管部門許可、并經(jīng)國(guó)家測(cè)評(píng)認(rèn)證機(jī)構(gòu)認(rèn)可的安全產(chǎn)品。密碼產(chǎn)品——對(duì)非涉密信息進(jìn)行加密保護(hù)或安全認(rèn)證時(shí)所采用的技術(shù)或產(chǎn)品應(yīng)符合《商用密碼管理?xiàng)l例》的要求安全三原則（CIA）Confidentiality保密性數(shù)據(jù)庫(kù)數(shù)據(jù)泄漏、……Integrity完整性網(wǎng)站篡改、……Availability可用性局域網(wǎng)癱瘓、……WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN主要內(nèi)容信息安全現(xiàn)狀1信息系統(tǒng)安全保障體系2安全保障技術(shù)要求安全保障管理要求43WWW.HZTEC.ORG.CN安全技術(shù)要求之——物理安全物理環(huán)境機(jī)房建設(shè)應(yīng)滿足：

GB/T2887《電子計(jì)算機(jī)場(chǎng)地通用規(guī)范》

GB/T9361《計(jì)算機(jī)場(chǎng)地安全要求》WWW.HZTEC.ORG.CN某信息中心機(jī)房——消防安全隱患機(jī)房堆放了包裝紙箱、文件柜及雜物，易燃未配備機(jī)房專用滅火設(shè)備，使用水噴淋滅火某單位機(jī)房——設(shè)備及線路安全機(jī)房擁擠，主機(jī)擺放隨意：地板上、桌子上設(shè)備無標(biāo)簽，布線凌亂，弱電/強(qiáng)電線路混合某單位機(jī)房——防盜、防塵機(jī)房臨街，未安裝防盜窗經(jīng)常開窗，機(jī)房?jī)?nèi)存在較多灰塵物理環(huán)境安全——案例物理環(huán)境安全——案例WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN具體安全要求機(jī)房的外部環(huán)境條件、照明、接地、供電、建筑結(jié)構(gòu)、介質(zhì)存放、監(jiān)視防護(hù)設(shè)備等應(yīng)滿足GB/T2887《電子計(jì)算機(jī)場(chǎng)地通用規(guī)范》4.3~4.9節(jié)的要求；機(jī)房的選址、防火、供配電、消防設(shè)施、防水、防靜電、防雷擊應(yīng)滿足GB/T9361《計(jì)算機(jī)場(chǎng)地安全要求》4～8節(jié)的要求，在防火、防雷、防靜電、安防監(jiān)控等方面時(shí)，應(yīng)經(jīng)過相關(guān)專業(yè)機(jī)構(gòu)的檢測(cè)。物理環(huán)境安全——機(jī)房環(huán)境WWW.HZTEC.ORG.CN其它具體要求提供合理的短期備用電力供應(yīng)設(shè)備防盜、防毀措施；通訊線路連接、設(shè)備標(biāo)簽、布線合理性；機(jī)房出入口配置門禁系統(tǒng)及監(jiān)控報(bào)警系統(tǒng)；機(jī)房出入記錄，記錄內(nèi)容包括人員姓名、出入日期和時(shí)間，操作內(nèi)容，攜帶物品等。物理環(huán)境安全——設(shè)備及監(jiān)控WWW.HZTEC.ORG.CN安全技術(shù)要求之——網(wǎng)絡(luò)結(jié)構(gòu)安全網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)部結(jié)構(gòu)——應(yīng)根據(jù)應(yīng)用需求在劃分內(nèi)網(wǎng)/外網(wǎng)、終端接入?yún)^(qū)/服務(wù)器區(qū)等區(qū)域，并在相關(guān)網(wǎng)絡(luò)設(shè)備中配置安全策略進(jìn)行隔離；外部邊界——應(yīng)根據(jù)安全需求在系統(tǒng)與Internet、政務(wù)外網(wǎng)、業(yè)務(wù)專網(wǎng)等外部網(wǎng)絡(luò)的互連處配置網(wǎng)關(guān)設(shè)備實(shí)施訪問控制，并對(duì)通信及操作事件進(jìn)行審計(jì)。WWW.HZTEC.ORG.CN典型案例某單位外網(wǎng)防火墻：將多臺(tái)內(nèi)部服務(wù)器的Oracle數(shù)據(jù)庫(kù)服務(wù)端口、內(nèi)部核心業(yè)務(wù)應(yīng)用系統(tǒng)Web服務(wù)端口直接開放至Internet(1年前開發(fā)商調(diào)試遺留)某單位連接下屬機(jī)構(gòu)的專網(wǎng)防火墻：將業(yè)務(wù)服務(wù)器的所有網(wǎng)絡(luò)端口不加區(qū)分地全部向區(qū)縣分局開放某單位基于Internet的VPN接入設(shè)備：對(duì)VPN用戶的認(rèn)證口令易猜測(cè)（單位名稱縮寫），可輕易接入該單位局域網(wǎng)。某單位內(nèi)網(wǎng)：服務(wù)器區(qū)和終端接入?yún)^(qū)僅劃分了不同VLAN，無訪問控制規(guī)則，無法防止病毒及蠕蟲的傳播及內(nèi)部非授權(quán)人員的訪問。網(wǎng)絡(luò)結(jié)構(gòu)安全——案例WWW.HZTEC.ORG.CN具體安全要求應(yīng)對(duì)網(wǎng)絡(luò)邊界上部署的網(wǎng)絡(luò)隔離設(shè)備中根據(jù)應(yīng)用需求設(shè)置合理的訪問控制規(guī)則，合理開放對(duì)外服務(wù)應(yīng)對(duì)系統(tǒng)內(nèi)部服務(wù)器區(qū)域進(jìn)行劃分及隔離，在終端計(jì)算機(jī)與服務(wù)器之間進(jìn)行訪問控制，建立安全的訪問路徑。當(dāng)有重要信息通過公共網(wǎng)絡(luò)進(jìn)行傳輸時(shí)，應(yīng)在傳輸線路中配置加密設(shè)備，以保證信息傳輸?shù)谋Ｃ苄?；禁止?nèi)部網(wǎng)絡(luò)用戶未授權(quán)與外部網(wǎng)絡(luò)連接；如提供遠(yuǎn)程撥號(hào)或移動(dòng)用戶連接，應(yīng)在系統(tǒng)入口處配置鑒別與認(rèn)證服務(wù)器。禁止非授權(quán)設(shè)備接入內(nèi)部網(wǎng)絡(luò)，尤其是服務(wù)器區(qū)域。網(wǎng)絡(luò)結(jié)構(gòu)安全——要求WWW.HZTEC.ORG.CN安全技術(shù)要求之——網(wǎng)絡(luò)設(shè)備安全網(wǎng)絡(luò)設(shè)備根據(jù)系統(tǒng)安全策略和維護(hù)需求設(shè)置合理的設(shè)備自身安全配置：版本更新與漏洞修補(bǔ)版本信息保護(hù)身份鑒別鏈接安全配置備份安全審計(jì)WWW.HZTEC.ORG.CN典型案例某單位Internet防火墻：將防火墻所有管理界面（Web/Telnet/SSH）開放至Internet，且未修改出廠默認(rèn)管理員密碼（天融信：superman/talnet）某單位Cisco核心交換機(jī)：使用多年的Cisco交換機(jī)，IOS版本未升級(jí)，存在可遭受拒絕服務(wù)攻擊的漏洞某單位所有Cisco交換機(jī)：未在設(shè)備配置中對(duì)管理員密碼進(jìn)行加密；且配置文件曾被多人拷貝，可通過配置文件破解管理員密碼。網(wǎng)絡(luò)設(shè)備安全——案例WWW.HZTEC.ORG.CN具體安全要求（以路由器交換機(jī)為例）保持路由器/交換機(jī)軟件版本的更新，修補(bǔ)高風(fēng)險(xiǎn)的漏洞；（軟件更新)禁止與應(yīng)用無關(guān)的網(wǎng)絡(luò)服務(wù)，關(guān)閉與應(yīng)用無關(guān)的網(wǎng)絡(luò)接口；(最少服務(wù))對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)唯一，不反饋鑒別信息；修改路由器/交換機(jī)默認(rèn)用戶的口令或禁止默認(rèn)用戶訪問，用戶口令應(yīng)滿足長(zhǎng)度和復(fù)雜性要求，并對(duì)配置口令進(jìn)行加密保護(hù)；（用戶管理,最小權(quán)限)當(dāng)?shù)卿涍B接超時(shí)，應(yīng)自動(dòng)斷開連接，并要求重新鑒別；網(wǎng)絡(luò)設(shè)備安全——要求WWW.HZTEC.ORG.CN具體安全要求對(duì)能夠登錄路由器/交換機(jī)的網(wǎng)絡(luò)地址進(jìn)行限制，關(guān)閉與應(yīng)用無關(guān)的遠(yuǎn)程訪問接口；(訪問控制)對(duì)登錄提示信息進(jìn)行設(shè)置，不顯示路由器/交換機(jī)型號(hào)、引擎版本、部門信息等；對(duì)路由器/交換機(jī)配置進(jìn)行備份，且對(duì)備份文件的讀取實(shí)施訪問控制；開啟路由器/交換機(jī)日志功能，對(duì)修改訪問控制列表、調(diào)整設(shè)備配置的操作行為進(jìn)行審計(jì)記錄。(安全審計(jì))網(wǎng)絡(luò)設(shè)備安全——要求WWW.HZTEC.ORG.CN安全技術(shù)要求之——操作系統(tǒng)安全操作系統(tǒng)版本更新與漏洞修補(bǔ)身份鑒別用戶權(quán)限分配口令質(zhì)量鑒別失敗處理默認(rèn)服務(wù)開放終端限制安全審計(jì)WWW.HZTEC.ORG.CN典型案例某單位內(nèi)網(wǎng)Windows服務(wù)器：內(nèi)網(wǎng)和Internet隔離，需手工升級(jí)，超過6個(gè)月未進(jìn)行系統(tǒng)安全補(bǔ)丁升級(jí)，2009年3月，因終端感染W(wǎng)orm.Win32.MS08-067蠕蟲病毒，造成服務(wù)器中毒，服務(wù)異常。某信息中心服務(wù)器：不明人員通過猜測(cè)密碼成功登錄服務(wù)器遠(yuǎn)程桌面后，多次惡意關(guān)閉OA應(yīng)用服務(wù)，但因未開啟全面的登陸審計(jì)，無法追蹤其來源。操作系統(tǒng)安全——案例WWW.HZTEC.ORG.CN具體安全要求定期更新操作系統(tǒng)版本，修補(bǔ)漏洞；關(guān)閉與應(yīng)用無關(guān)的服務(wù)、啟動(dòng)腳本或網(wǎng)絡(luò)功能；對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別；用戶的身份標(biāo)識(shí)唯一；身份鑒別如采用用戶名/口令方式，應(yīng)設(shè)置口令長(zhǎng)度、復(fù)雜性和更新周期；修改默認(rèn)用戶的口令或禁止默認(rèn)用戶訪問，禁止匿名訪問或限制訪問的范圍；具有登錄失敗處理功能，當(dāng)?shù)卿浭〈螖?shù)達(dá)到限制值時(shí)，應(yīng)結(jié)束會(huì)話、鎖定用戶；操作系統(tǒng)安全——要求WWW.HZTEC.ORG.CN具體安全要求實(shí)行特權(quán)用戶的權(quán)限分離，按照最小授權(quán)原則，分別授予不同用戶各自為完成自身承擔(dān)任務(wù)所需的最小權(quán)限，并在他們之間形成相互制約的關(guān)系；對(duì)系統(tǒng)內(nèi)的重要文件（如啟動(dòng)腳本文件、口令文件、服務(wù)配置文件）、服務(wù)、環(huán)境變量、進(jìn)程等實(shí)施訪問控制；系統(tǒng)管理員實(shí)施遠(yuǎn)程登錄時(shí)，應(yīng)使用強(qiáng)鑒別機(jī)制，且操作系統(tǒng)應(yīng)記錄詳細(xì)的登錄信息；通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端的登錄；操作系統(tǒng)安全——要求WWW.HZTEC.ORG.CN具體安全要求對(duì)安全事件進(jìn)行審計(jì)，審計(jì)事件至少包括：用戶管理、審計(jì)功能啟停及審計(jì)策略調(diào)整、權(quán)限變更、系統(tǒng)資源的異常使用、重要的系統(tǒng)操作、重要用戶的各項(xiàng)操作進(jìn)行審計(jì)；審計(jì)記錄應(yīng)包括日期和時(shí)間、觸發(fā)事件的主體與客體、事件的類型、事件成功或失敗、事件的結(jié)果等；審計(jì)記錄應(yīng)受到保護(hù)避免受到未預(yù)期的刪除、修改或覆蓋；用戶鑒別信息及與應(yīng)用信息所在的存儲(chǔ)空間，被釋放或再分配給其他用戶之前應(yīng)完全清除；限制單個(gè)用戶對(duì)系統(tǒng)資源的最大使用額度。操作系統(tǒng)安全——要求WWW.HZTEC.ORG.CN安全技術(shù)要求之——數(shù)據(jù)庫(kù)安全數(shù)據(jù)庫(kù)版本更新與漏洞修補(bǔ)口令質(zhì)量用戶權(quán)限分配存儲(chǔ)過程及函數(shù)開放安全審計(jì)WWW.HZTEC.ORG.CN典型案例某單位內(nèi)網(wǎng)核心業(yè)務(wù)Oralce數(shù)據(jù)庫(kù)：管理員密碼易猜測(cè)(manager)，內(nèi)部非授權(quán)人員可輕易進(jìn)入數(shù)據(jù)庫(kù)查詢本無權(quán)訪問的業(yè)務(wù)信息、甚至刪除數(shù)據(jù)。85%的Oracle數(shù)據(jù)庫(kù)：都未設(shè)Oralce監(jiān)聽服務(wù)的密碼，導(dǎo)致局域網(wǎng)內(nèi)任何人都可隨意關(guān)閉數(shù)據(jù)庫(kù)對(duì)外服務(wù)。數(shù)據(jù)庫(kù)安全——案例WWW.HZTEC.ORG.CN具體安全要求定期更新數(shù)據(jù)庫(kù)版本，修補(bǔ)漏洞；修改默認(rèn)用戶的口令或禁止默認(rèn)用戶訪問設(shè)置合理的口令長(zhǎng)度、復(fù)雜性和更新周期；取消不必要的權(quán)限開放，嚴(yán)格限制Public角色權(quán)限；禁用或刪除數(shù)據(jù)庫(kù)不需要的內(nèi)置存儲(chǔ)過程及函數(shù)；嚴(yán)格限制系統(tǒng)管理員及應(yīng)用系統(tǒng)用戶的權(quán)限分配，按照最小授權(quán)原則，分別授予不同用戶各自為完成自身承擔(dān)任務(wù)所需的最小權(quán)限；數(shù)據(jù)庫(kù)安全——要求WWW.HZTEC.ORG.CN具體安全要求嚴(yán)格限制數(shù)據(jù)庫(kù)鏈接的設(shè)置；對(duì)數(shù)據(jù)庫(kù)的安全事件進(jìn)行審計(jì)，建議應(yīng)審計(jì)：用戶管理、審計(jì)功能啟動(dòng)關(guān)閉、審計(jì)策略調(diào)整、權(quán)限變更、數(shù)據(jù)字典訪問、管理員用戶各項(xiàng)操作、對(duì)存儲(chǔ)重要信息的數(shù)據(jù)表的各項(xiàng)操作；限制單個(gè)用戶對(duì)數(shù)據(jù)庫(kù)資源的最大使用額度數(shù)據(jù)庫(kù)安全——要求WWW.HZTEC.ORG.CN安全技術(shù)要求之——應(yīng)用平臺(tái)安全應(yīng)用平臺(tái)版本更新與漏洞修補(bǔ)默認(rèn)口令默認(rèn)權(quán)限開放安全審計(jì)……WWW.HZTEC.ORG.CN典型案例2008年陜西省地震局門戶網(wǎng)站虛假信息發(fā)布：“今晚陜西等地會(huì)有強(qiáng)烈地震發(fā)生”，網(wǎng)站后臺(tái)管理員弱口令被破解。2009年寧波某政府網(wǎng)站被植入后門：黑客利用IIS6文件名解析漏洞植入后門，可以向WEB目錄寫入任意內(nèi)容；2010年3月杭州某單位門戶網(wǎng)站被植入后門：網(wǎng)站Tomcat服務(wù)后臺(tái)管理員默認(rèn)密碼(tomcat)未修改且對(duì)外開放，黑客上傳后門程序，可隨意對(duì)網(wǎng)站進(jìn)行文件下載、刪除、修改。應(yīng)用平臺(tái)安全——案例WWW.HZTEC.ORG.CN基本目標(biāo)Web服務(wù)、應(yīng)用層服務(wù)、郵件服務(wù)等通用應(yīng)用平臺(tái)應(yīng)該根據(jù)系統(tǒng)總體安全策略進(jìn)行選擇和安全配置，并及時(shí)升級(jí)補(bǔ)丁包。安全配置的內(nèi)容包括：身份鑒別、用戶權(quán)限分配、口令質(zhì)量等應(yīng)用平臺(tái)安全——要求WWW.HZTEC.ORG.CN具體安全要求（以Web服務(wù)為例）定期更新Web服務(wù)軟件的補(bǔ)丁，修補(bǔ)高風(fēng)險(xiǎn)漏洞；配置Web服務(wù)的提示信息，不顯示W(wǎng)eb服務(wù)軟件和操作系統(tǒng)的版本和類型；合理設(shè)置Web服務(wù)的管理密碼，并定期更改禁止將Web服務(wù)的管理界面開放至外網(wǎng)禁止非授權(quán)用戶對(duì)Web服務(wù)根目錄的訪問；禁用或刪除默認(rèn)安裝的應(yīng)用示例；啟用Web服務(wù)軟件日志功能，記錄合理的日志內(nèi)容；限制對(duì)日志的訪問權(quán)限；禁止匿名用戶在服務(wù)器上遠(yuǎn)程運(yùn)行可執(zhí)行文件應(yīng)用平臺(tái)安全