web系统安全管理规范_030328_v3.docx

中国石油信息安全标准编号： 中国石油天然气股份有限公司Web系统安全管理规范（审阅稿）版本号：V3审阅人：王巍中国石油天然股份有限公司Web系统安全管理规范I目 录第 1 章概述31.1概述31.2目标31.3范围31.4规范引用的文件或标准41.5术语和定义4第 2 章WEB服务器操作系统的安全72.1Web服务器操作系统的安装和配置安全规范72.2操作系统的安全测试122.3操作系统安全检查表13第 3 章WEB应用系统安全153.1Web应用系统安装的安全153.2Web应用系统的访问控制163.3Web应用系统的文件完整性检查193.4Web应用系统安装和配置的安全检查表20第 4 章WEB内容安全224.1中国石油外部Web站点信息发布的安全规范224.2内容和动态内容生成的安全管理规范244.3Web内容的安全检查表26第 5 章WEB网络安全285.1物理安全285.2Web服务器的网络位置295.3网络组件的安全规则配置32第 6 章WEB服务器系统运行管理安全356.1系统的更新和修补流程356.2系统日志356.3系统备份376.4系统恢复396.5Web服务器定期安全测试406.6Web系统的远程管理426.7Web服务器安全管理检查表43第 7 章员工使用WEB的安全规范457.1员工使用Web的规范457.2用户浏览Web站点时应遵守的规范46附录 1中国石油内部网站信息发布审批表48附录 2参考资料49附录 3本规范用词说明50Web系统安全管理规范49第 1 章 概述1.1 概述Web系统是互联网上信息交换的平台，是中国石油对内、对外交流的窗口，是企业员工获取信息的重要渠道。Web服务器也是企业信息系统中最容易遭受攻击的目标之一。为保护中国石油企业信息资产和信息系统安全，保障Web系统的保密性、可用性、完整性和可管理性特制定本规范。本规范从Web的技术、管理和人员使用三方面提出安全规定，包括Web服务器安全、Web服务器操作系统安全、Web内容安全、Web服务器网络安全和用户使用安全。 1.2 目标保障中国石油企业信息资产安全，保护Web系统的可用性、完整性和保密性，规范用户安全使用Web。1.3 范围本标准规定了中国石油Web系统的技术、管理和使用的安全。本标准适用于中国石油Web系统安全的维护和管理、内容发布。1.4 规范引用的文件或标准下列文件中所包含的条款，通过本标准的引用而成为本标准的条款。本标准出版时，所示版均为有效。所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性。1. GB17859-1999 计算机信息系统安全保护等级划分准则2. GB/T 9387.2-1995 信息处理系统 开放系统互连基本参考模型 第二部分 安全体系结构（ISO7498.2 :1989）3. GA/T 387-2002 计算机信息系统安全等级保护网络技术要求4. 计算机信息网络国际联网安全保护管理办法5. 中华人民共和国计算机信息系统安全保护条例6. 计算机信息网络国际联网保密管理规定7. 中华人民共和国计算机信息网络国际联网管理暂行规定8. 维护互联网安全的决定9. ISO/IEC TR 13355 信息技术安全管理指南ISO/IEC TR 13355 信息技术安全管理指南10. NIST信息安全系列美国国家标准技术院11. 英国国家信息安全标准BS779912. 信息安全基础保护IT Baseline Protection Manual (Germany)13. BearingPoint Consulting 内部信息安全标准14. RU Secure安全技术标准15. 信息系统安全专家丛书Certificate Information Systems Security Professional1.5 术语和定义访问控制access control 一种安全保证手段，即信息系统的资源只能由被授权实体按授权方式进行访问，防止对资源的未授权使用。攻击 attack 违反计算机安全的企图。审计audit 为了测试出系统的控制是否足够, 为了保证与已建立的策略和操作相符合, 为了发现安全中的漏洞, 以及为了建议在控制、策略中作任何指定的改变, 而对系统记录与活动进行的独立观察。授权 authorization给予权利，包括信息资源访问权的授予。可用性 availability据或资源的特性，被授权实体按要求能及时访问和使用数据或资源。缓冲区溢出buffer overflow指通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。计算机病毒 computer virus 是指编制或者在计算机程序中插入的破坏计算机功能或者毁 坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。机密性 confidentiality 使信息不泄露给非授权的个人、实体或进程, 不为其所用。服务拒绝 denial of service（DoS）是一种导致计算机和网络无法正常提供服务的攻击，资源的授权访问受阻或关键时刻的操作的延误。数字签名 digital signature添加到消息中的数据，它允许消息的接收方验证该消息的来源。非军事化区demilitarized zone DMZ 作为组织网络的进入点，负责保护安全区域边界或外部连接。加密 encipherment通过密码系统把明文变换为不可懂的形式。穷举攻击force attack通过尝试口令或密钥可能有的值，违反计算机安全的企图。入侵者以破译用户口令作为攻击的开始，然后采用字典穷举法，破译口令。入侵检测intrusion detection自动检测网络数据流中潜在入侵、攻击和滥用方式，提供了网络安全保护功能。它位于被保护的内部网络和不安全的外部网络之间，通过实时截获网络数据流，寻找网络违规模式和未授权的网络访问尝试。日志 log一种信息的汇集, 记录有关对系统操作和系统运行的全部事项，提供了系统的历史状况。漏洞loophole 由软硬件的设计疏忽或漏洞导致的能避过系统的安全措施的一种错误。最小特权 minimum privilege 主体的访问权限制到最低限度，即仅执行授权任务所必需的那些权利。口令 password 用来鉴别实体身份的受保护或秘密的字符串。口令攻击 password attack 入侵者以破译用户口令作为攻击的开始，然后采用字典穷举法，破译口令，进行破坏，因而用户口令的选择对系统安全很重要。渗透测试 penetration testing组织专门程序员或分析员进行系统渗透，以发现系统安全脆弱性，通常会模拟黑客真实环境和手段进行测试以发现系统安全漏洞。物理安全 physical security 为防范蓄意的和意外的威胁而对资源提供物理保护所采取的措施。端口 port进出计算机的路径。每个服务器应用程序都分配了一个端口号，以将数据发送给相应的服务。安全审计 security audit 为了测试出系统的控制是否足够, 为了保证与已建立的策略和操作相符合, 为了发现安全中的漏洞, 以及为了建议在控制、策略中作任何指定的改变, 而对系统记录与活动进行的独立观察。安全配置secure configuration 控制系统硬件与软件结构更改的一组规程。其目的是来保证这种更改不致违反系统的安全策略。安全策略 security policy 规定机构如何管理、保护与分发敏感信息的法规与条例的集合。安全规范 security specifications 系统所需要的安全功能的本质与特征的详细述。安全测试 security testing 用于确定系统的安全特征按设计要求实现的过程。这一过程包括现场功能测试、渗透测试和验证。敏感性 sensitivity 资源所具有的一种特征, 它意味着该资源的价值或重要性, 也可能包含这一资源的脆弱性。威胁 threat 一种潜在的对安全的侵害以破坏、泄漏、数据修改和拒绝服务的方式，可能对系统造成损害的环境或潜在事件。病毒 virus 同计算机病毒检验 verification 将某一活动、处理过程或产品与相应的要求或规范相比较。例：将某一规范与安全策略模型相比较，或者将目标代码与源代码相比较。弱点vulnerability 导致破坏系统安全策略的系统安全规程、系统设计、实现、内部控制等方面的弱点。第 2 章 Web服务器操作系统的安全2.1 Web服务器操作系统的安装和配置安全规范2.1.1 Web服务器操作系统更新和修补规范（具体安全规范可参见操作系统安全管理规范）2.1.1.1 Web服务器操作系统漏洞确认流程Web系统管理员应通过检查事故日志报告分析系统漏洞，并搜索供应商和其他权威组织（如CVE标准，ICAT网站）发布的最新漏洞修补公告，确认系统漏洞。2.1.1.2 Web服务器操作系统的修补a) 对需要部署的系统修补程序，应在模拟环境中进行测试、验证，确保在实际使用环境中能够完成系统漏洞修补，并确保不带入新的系统弱点和漏洞。b) 在中国石油Web系统中，所有需要部署的修补程序都应经过测试环节，不应采用自动更新的方式，要使用统一测试、分布应用的方式。修补流程宜遵照图1操作系统安全测试及修补流程执行。分析环境是否缺少修补环境测试修补程序向供应商或技术支持报告问题是否需要新的修补程序？计划部署修补程序并创建恢复计划监控生产服务器上的修补程序服务器是否运行正常？问题是否解决？审核修补过程是否执行原始状态恢复程序是部署修补程序是否否图1 操作系统安全测试及修补流程2.1.2 关闭或删除不必要的服务和应用a) Web服务器应配备专用的主机，减少Web服务器提供其它应用服务。b) 遵循最小特权安装原则，保留或开放Web服务器根据业务部门需求确定的最小服务选项和应用选项。c) Web操作系统宜关闭下列功能：Ø 网络输入输出系统、文件和打印机共享Windows NetBIOS/file and Printer sharing Ø 网络文件系统Network File System (NFS) （如果没有需要） Ø 文件传输协议FTP Ø 远程登录Telnet Ø 远程命令，如rlogin, rsh, rcp等Ø 简单Web传输协议Simple Mail Transfer Management Protocol (SMTP) Ø 网络信息系统Network Information System (NIS) Ø 编译器Compilers Ø 软件开发工具Software Development Tools2.1.3 Web服务器操作系统的用户管理a) 只有Web系统管理员和Web站点管理员有权配置和更改Web服务功能。b) 只有被授权的用户可访问特定的Web内容。c) 对需要访问企业机密的Web内容的用户应采用增强用户验证方式，如令牌（token）或一次性口令（OTP）。d) 应删除或者禁用不必要的所有默认帐户和帐户组（如guest帐号）e) 应建立用户组，将用户分配到合适的用户组中，为用户组分配适当的权限从而为每个用户分配适当的权限。f) 依据业务需求建立必要的帐户，应禁止或者限制使用共享帐户。g) 设置帐户和口令安全策略（关于口令安全的具体安全规范可参见通用安全管理规范中口令标准）Ø 口令长度，应指定口令最小长度（例如8个字符）；Ø 口令复杂性，口令必须是字母和数字的组合，并且不是字典上的词；Ø 口令过期，口令更新的期限应根据强制的口令长度和复杂性及受保护的信息的重要程度的组合来确定，系统管理员和超级用户的口令每隔30天到120天修改一次；Ø 防止穷举攻击，登陆失败达到一定数量后（例如3次）应拒绝登陆请求，并暂时挂起该用户（例如10分钟）；Ø 应记录无论是网络还是控制台的登陆失败请求。h) 如果有必要，Web服务器宜结合使用其他的增强认证机制，例如令牌、数字证书等。i) 应经常检查用户帐号报告，禁用长期不用的用户帐号。j) 应采用安全传输技术（如SSL/ TLS）来验证用户口令。2.1.4 Web服务器资源的访问控制a) 应对Web服务器操作系统的文件、目录、设备和进程等资源定义清晰和适当的读、写、执行、删除等权限；b) 严格限制用户授权外的访问控制权限； c) 典型需要控制的访问文件一般应包括：Ø 应用程序和配置文件；Ø 和安全机制直接相关的文件；1) 口令文件或者其它认证需要的文件；2) 包含认证信息并且在访问控制中需要用到的文件；3) 与保密性、完整性和不可否认性安全服务相关的密钥体系；Ø 服务器日志和系统审核文件；Ø 系统软件和配置信息。d) 对于必须访问的系统资源应设置只读属性，例如服务器日志；e) Web服务器生成的临时文件应保存在指定的子目录中，并严格控制访问权限；f) Web服务器创建的临时文件应仅限于Web服务器使用；g) 应确保Web服务不能在指定文件结构以外存储文件，确保这些文件和目录不能被其它系统和用户访问；h) 为了防止DoS攻击，可限制Web服务器的使用资源，例如将用户的邮箱设置到其他的硬盘或逻辑分区上，而不是操作系统或者Web应用服务的分区上；i) 应严格管理超级用户权限的使用；j) 应合理分配Web服务器系统管理员的权限；k) 如果不需要远程网络管理，应禁用管理员或者root级别帐户从网络登陆；l) 对访问系统的用户应进行严格认证；m) 如果有必要，Web服务器可结合使用其他的认证机制，例如生物识别，智能卡，或者一次性口令系统等。 2.2 操作系统的安全测试a) 应定期使用漏洞扫描工具和渗透测试方法检验操作系统，发现漏洞并及时修补。b) 制定安全测试流程， 在不影响系统可用性的情况下，应定期测试操作系统的安全性，发现系统弱点和漏洞，并采取相应加固措施。c) 为保证操作系统与邮件服务器及时更新，必须定期进行弱点扫描。必须或至少每个月进行一次弱点扫描。保证现行的各项保护措施发挥作用，保证邮件服务器管理员所采用的安全补丁的有效性。d) 应检测安全措施的应用程度以及是否满足安全策略的要求。e) 宜考虑运用一种以上的扫描程序。f) 应记录并及时纠正扫描发现的弱点。2.3 操作系统安全检查表是否执行安全措施Web服务器的安全配置和部署确定Web服务器的功能确定需要通过Web服务器存储、处理和传输的信息类别确定信息的安全要求确定专用的主机来作为Web服务器确定Web服务器需要提供或支持的网络服务确定Web服务器的用户和用户组，并确定每类用户的权限确定Web服务器的用户认证方法为Web服务器选择合适的操作系统最小特权安装原则，防止弱点暴露严格控制管理员和超级用户在授权的人员范围内Web服务器能够拒绝无法验证信息的信息访问禁用操作系统或者服务器软件自带的不必要的网络服务选择经验丰富的系统管理员来安装、配置、维护、管理操作系统更新操作系统，并安装补丁找到并安装所有必要的操作系统补丁，并及时更新系统找到并安装操作系统运行的应用程序和服务的所有必要的补丁，并及时进行更新删除或禁用不必要的服务和应用删除或禁用不必要的服务和应用配置操作系统用户认证删除或禁用不必要的默认帐户和用户组禁用非交互帐户为不同用途和级别的用户计算机建立不同的用户组检查组织的口令政策（例如长度、复杂性），并根据政策设置帐户的口令配置系统，防止暴力破解口令，在登陆企图失败超过次数限制后应拒绝登陆安装和配置其他的安全机制来加强认证测试操作系统安全性在初始安装后测试操作系统的漏洞定期测试操作系统来发现新漏洞第 3 章 Web应用系统安全3.1 Web应用系统安装的安全系统服务最小特权安装和及时更新系统和修补系统漏洞，是保证Web应用系统安全的 基本原则。3.1.1 Web应用系统的安装应按照下列步骤执行：a) 应在指定的专用主机上安装Web应用系统；b) 应安装Web应用系统所允许的最小功能；c) 应对已知应用系统的弱点进行系统程序更新和修补；d) 应为Web内容的存放创建专门的物理和逻辑磁盘，与操作系统和应用系统分开；e) 应将Web服务器的配置文件和日志文件与Web内容存放在不同的目录树下；f) 应删除或禁用Web应用系统安装过程中一些中间程序和应用，如FTP、远程管理等；g) 应删除Web应用系统根目录下所有与Web站点无关的文件；h) 应删除安装过程中所有的测试脚本、执行代码和文档样例；i) 应删除服务器上供应商所有不必要的文档；j) 应使用安全模板或系统加固工具；k) 重新配置HTTP banner，在执行HTTP banner检查时，应确保返回的数据不包含Web服务器和操作系统的类型和版本。3.2 Web应用系统的访问控制3.2.1 Web应用系统的访问控制a) 应严格定义Web服务器的文件、目录和设备的读、写、执行和更改权限。b) 应建立不同的用户组，将每一个用户分配到不同的用户组中。c) 应将系统管理员组与普通用户组分开。d) 应为每一个用户组赋予相应的系统资源的访问权限和操作权限，严格限制对下列文件的访问：Ø 应用软件的配置文件Ø 和安全机制直接相关的文件：1) 口令文件或者其它认证的文件2) 包含授权信息和访问控制信息的配置文件3) 与安全服务相关的密钥体系文件Ø 服务器日志和系统日志文件Ø 系统软件的配置文件e) 应使用Web服务器的操作系统的文件管理功能严格限制Web服务进程对文件的访问，只允许Web服务进程以“只读”权限访问所需文件，强制执行下列访问控制：Ø 应严格控制Web服务进程的访问权限，以普通用户进程访问Web内容文件；Ø Web服务进程访问Web内容文件只能以“读”方式不能有“写”权限；Ø Web服务进程在公共Web服务器的文件目录上不应有 “写”权限；Ø 应只有Web站点管理员有写Web内容的权限；Ø 应只有系统管理员和站点管理员可读Web服务器的日志文件，其他用户的操作进程只可被记录到日志文件而不能读日志文件；Ø 调用Web服务产生的临时文件（如动态网页）应存放在严格指定目录中。f) 应根据下列规则配置Web服务器以减少拒绝服务（DoS）对系统的攻击：Ø 应将Web内容目录与应用系统分别安装在不同的物理或逻辑分区，并将操作系统和Web应用系统隔离；Ø 如果Web服务器允许上载文件，应限制文件大小并严格控制文件存放的磁盘空间，防止系统崩溃；Ø 如果Web服务器允许上载文件，应在Web服务器上设置这些文件不可“读”，只有在文件内容被审核后才可读，防止Web服务器被利用；Ø 应记录所有可疑操作和进程，并确保有足够的磁盘空间保存系统日志文件，有助于识别攻击行为；Ø 应配置Web服务器的网络连接的超时设定，减少拒绝服务攻击；Ø 宜将网络最大连接数设置为较高。3.2.2 Web内容目录的安全a) 在Web内容文件目录树中应禁用链接、别名和快捷等方式指向别的服务器主机的文件目录或网络文件系统。b) 应将Web服务器存放配置文件和日志文件的目录与存放Web内容的目录设在不同路径下。c) 系统管理员应对经认证的用户和用户组设置相应访问Web内容文件的权限，如Apache Web服务器要求对每一个用户所访问的Web内容文件设置相应权限。d) 依据下列步骤来控制对Web内容文件的访问：Ø 应为Web内容文件划出专用的物理或逻辑磁盘，并建立专门的子目录存放Web内容文件目录，但不包括执行脚本和程序。Ø 应为所有外部可执行的脚本和程序（例如CGI，ASP动态服务器主页）定义专门的存放目录。Ø 如果在没有管理帐号控制下禁用脚本的执行，应对包含不同可执行脚本的文件目录设置不同权限控制。Ø 应禁用物理和符号链接文件目录。Ø 应建立Web目录访问权限控制的矩阵，明确定义哪些用户组可访问Web服务器的哪些文件和目录。e) Web管理员应禁止子目录越权操作上级目录，除非有特殊需要。f) Web服务器应禁用文件列表功能。3.2.3 统一资源标识URLa) 公共服务器的Web内容在源代码中不应包含敏感URL。b) Cookie不应包含可能被用来攻击服务器的信息，如用户名和口令。3.3 Web应用系统的文件完整性检查a) 对Web服务器系统应进行文件完整性检查。b) 在Web服务器操作系统安装后，应及时创建最初的文件完整性检查的数字文摘数据库。c) 确保在安全状态下，应创建最初Web服务器的数字文摘数据库。d) 系统更新和修补后应运行文件完整性检查系统更新数据库。e) 一旦发现系统文件未经授权被修改，应立即进行事件调查并启动事件响应机制。3.4 Web应用系统安装和配置的安全检查表是否执行安全措施Web服务器的安装安全为Web应用系统的安装分配专用的主机安装Web应用系统需要的最小功能对已知系统的弱点执行程序更新和修补为存放Web内容创建专门的物理和逻辑磁盘，与操作系统和应用系统分开删除或禁用Web应用系统安装过程中的一些不必要的中间程序和应用，如FTP、远程管理等删除安装过程中所有的测试脚本、执行代码和文档样例删除服务器上供应商所有不必要的文档配置HTTP banner，保证在执行HTTP banner检查时返回的数据不包含Web服务器和操作系统的类型和版本信息Web服务器主机操作系统的访问权限控制Web服务进程访问Web内容文件只能以“读”方式不能有“写”权限Web服务进程在Web内容文件存放的路径下不能有“写”权限只有为管理Web服务器的经授权的进程可对Web内容文件进行“写”操作Web应用进程应只可被记录到日志文件而不能读日志文件调用Web服务产生的临时文件（如动态网页）应存放在严格指定目录中将Web内容目录安装在不同的物理或逻辑分区，与操作系统和Web应用系统隔离如果Web服务器允许上载文件，应限制文件大小并严格控制文件存放的磁盘空间，防止系统崩溃保证有足够的磁盘空间保存系统日志文件配置Web内容目录的安全为Web内容划出专用的物理或逻辑磁盘，并建立专门的子目录存放Web内容文件目录，但不包括执行脚本和程序为所有外部可执行的脚本和程序（例如CGI，ASP动态服务器主页）定义专门的存放目录在没有管理帐号控制下禁用脚本的执行，对包含不同可执行脚本的文件目录设置不同权限控制为不同级别的Web用户建立不同的用户组禁用物理和符号链接文件目录建立Web目录访问控制的矩阵，明确定义哪些用户组可访问Web服务器的哪些文件和目录如果需要，使用适当的robot.txt文件完整性检查安装文件完整性检查组件以保护Web配置文件、口令文件和Web内容安全更新文件完整性检查表将文摘数据库存放在只读的介质上经常比较数字文摘数据库以检查文件的完整性第 4 章 Web内容安全4.1 中国石油外部Web站点信息发布的安全规范4.1.1 Web站点信息内容发布流程：a) 确定负责创建、发布和维护公共信息的责任人；b) 创建或编排在Web站点发布信息的格式；c) 信息提供部门填写中国石油内部网站信息发布审批表（见附表）；d) 由部门领导审核、确定可在Web站点发布的信息并签字；e) 由信息审核部门审查，并同意发布；f) 交由信息中心加载；g) 检验已发布的信息的完整性；h) 定期检查已发布的内容，确保与企业安全政策一致。4.1.2 Web系统管理员或站点管理员应定期检查Web页面的代码内容防止重要信息被隐藏在页面的源代码中被人利用，从而暴露Web服务器的文件结构或泄露企业机密。4.1.3 Web站点不得包含国家法律、法规明令规定的内容a) 反对宪法所确定的基本原则的；b) 危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；c) 损害国家荣誉和利益的；d) 煽动民族仇恨、民族歧视，破坏民族团结的；e) 破坏国家宗教政策，宣扬邪教和封建迷信的；f) 散布谣言，扰乱社会秩序，破坏社会稳定的；g) 散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；h) 侮辱或者诽谤他人，侵害他人合法权益的；i) 含有法律、行政法规禁止的其他内容的。4.1.4 公共Web站点不应包含下列信息：a) 机密档案；b) 内部管理规则和流程；c) 员工个人信息：Ø 家庭地址和家庭电话号码；Ø 家庭成员信息；d) 企业内部电话号码、e-mail地址和员工名单；e) 未经用户同意不得向他人泄露用户的个人信息；f) 超出中国石油发布范围的财务记录；g) 中国石油信息安全流程；h) 中国石油建筑、资产和设备的规划、分布、平面图；i) 中国石油网络拓扑图、物理架构图忽和网络设备信息；j) 中国石油信息系统基础信息（例如内部IP地址的分配、命名规则）；k) 没有版权许可的作品。 4.2 内容和动态内容生成的安全管理规范4.2.1 客户端动态内容的安全a) 动态内容对最终用户的系统存在着威胁，使用动态内容将降低客户端系统的安全等级b) 只有业务上需要时才应使用动态内容，c) 不经用户许可不能执行动态操作d) 不得使用高风险动态内容e) 客户端常用动态内容技术的风险比较低中等高图 4.1:客户端常用动态内容技术的风险比较4.2.2 Web服务器端内容生成的安全a) 应正确配置内容生成工具（如果配置不正确将对Web服务器产生威胁，例如缓冲区溢出）。b) 不经过严格的代码检查， 禁止Web服务器管理员使用第三方的脚本。c) 禁止Web服务器管理员从互联网上下载和使用脚本程序。d) 检查或者编写可执行代码或者脚本时，应考虑以下问题：Ø 应确保代码尽量简洁；Ø 应限制可执行代码的读写权限，过多的读权限可能导致敏感系统信息的泄露，而写权限则可能导致文件损害或者带入木马病毒；Ø 在Linux/Unix机器上，禁止以suid方式运行可执行代码；Ø 调用外部程序时，应使用绝对路径，不宜使用环境变量的方式解析相对路径；Ø 对于表单输入，在处理之前应进行输入校验，确保输入的内容的合法性；Ø 确保动态生成的内容中不包含恶意的内容，必须保证数据库中内容的合法性；Ø 应检查cookie中的特殊字符，并将其消除；Ø 对脚本表单中的口令输入应进行加密；Ø 有用户名和口令限制的Web页面，必须经过验证程序后才能访问该Web页面；Ø Web服务器软件安装完成后应及时删除样本代码和可执行程序。4.2.3 服务器端内容生成服务的放置位置a) 应将所有可写的文件单独放入一个专用的文件夹中，并且不要将脚本程序放入该文件夹中。b) 应将所有可执行文件(例如CGI、EXE、CMD 和 PL)单独放在一个文件夹中。c) 所有脚本文件应单独存放。d) 重复调用的库文件（例如INC、SHTML、SHTM和ASP）应单独设置一个目录，并添加合适的后缀名。e) 应将不必要的可执行功能去以降低风险。4.3 Web内容的安全检查表是否执行安全措施建立公共Web服务器内容审批和处理流程确定可在Web站点发布的信息确定目标读者判断发布的信息可能带来的负面影响确定负责创建、发布和维护公共信息的责任人提供在Web站点发布信息的编排格式评估已发布信息的敏感性，包括信息敏感总结确定合适的访问控制和安全措施提供检查Web内容的源代码的指南公共Web服务器的发布信息不应包含机密档案内部管理规则和流程员工个人信息中国石油内部电话号码、e-mail地址和员工名单超出中国石油发布范围的财务记录中国石油的物理和信息安全流程中国石油建筑、资产和设备的规划、分布、平面图中国石油信息系统基础信息（例如内部IP地址的分配、命名规则）没有版权许可的作品客户端动态内容安全只有业务上需要时才使用动态内容不经用户许可不能执行动态操作不使用高风险动态内容服务器端动态内容安全使用简单易于理解的代码对文件的“读”“写”权限进行限制或禁止“读”“写”对程序限制或禁止交互对UNIX系统禁止使用 suid权限调用外部程序时应使用绝对路径文件目录不能同时拥有写和执行权限把所有可执行文件存放在专用文件夹确保用户所有的调用都有效生产的动态页面不应包含恶意内容对需要限制访问控制的网页，若不能通过身份验证则不能访问指定网页删除所有样例脚本不允许使用没有验证过的第三方脚本和可执行代码第 5 章 Web网络安全5.1 物理安全a) 物理安全是整个中国石油企业Web系统安全的基础。b) Web系统物理安全是指保护Web系统物理设备免遭环境事故、人为操作失误及各种计算机犯罪行为导致的破坏，确保Web服务器及相关设备的可用性和完整性。其中包括：Ø 应将Web服务器放置在机房中，机房安全标准必须符合中国石油机房安全管理规范。Ø 中心站点应采取机房和机柜两层物理保护。Ø 主要设备应采用冗余备份。Ø Web服务器应采用双电源设计，应配备UPS不间断电源。Ø 不宜直接访问Web服务器的光驱、软盘。Ø 对具有USB接口的Web服务器设备，应在BIOS中设置禁用USB以及其它不被使用的端口设备，例如并口、不被使用的串口等。Ø 相应的网络设备也应保证可靠和安全，防止意外造成的网络故障。c) 其它物理和环境安全规范参照中国石油股份有限公司硬件设备安全管理规范和中国石油股份有限公司机房安全管理规范5.2 Web服务器的网络位置5.2.1 非军事化区（DMZ）模式5.2.1.1 DMZ非军事化区模式应将Web服务器设置在DMZ中，以降低安全风险a) 从安全角度分析DMZ的优点在于：Ø 可更好保护Web服务器的安全并能够监视和控制进出Web服务器的流量。Ø 当Web服务器发生危险时不会影响企业其它内部网络。b) DMZ的不利因素：Ø 针对Web服务器的拒绝服务攻击（DoS）会影响企业网络服务Ø DMZ的安全很大程度上依靠防火墙安全规则配置，若配置不当，Web服务器会被用来攻击企业内部网络。c) 通用的DMZ有3种模式，企业应根据业务特点和安全需求选择适合模式：Ø 单一防火墙DMZ模式，见图5-1；Ø 双防火墙DMZ模式，见图5-2；Ø 三接口DMZ模式，见图5-3；图5-1单一防火墙DMZ模式此模式不适用于大型企业，此模式的安全主要依靠路由器功能来抵御网络攻击，单靠路由器无法防止应用层的攻击，此外路由器也不能提供病毒扫描。图5-2 双防火墙DMZ模式此模式较为常用，它提供了较高的安全性能，比较两防火墙可以进行Web服务器出入流量分析，能够检测和预防对Web服务器的应用层攻击。但此模式的安全规则如果太严格，可能导致网络性能降低。图5-3 三接口防火墙DMZ模式此模式结合了以上两种模式特点，是一个折中方案。5.2.1.2 主机外包企业若选择外包Web服务器给第三方（如互联网服务供应商ISP），则Web服务器的安全应由承包商安全负责，签定安全协议，并且外包的Web服务器应与中油内部网相分离。5.3 网络组件的安全规则配置a) 防火墙、路由器、入侵检测（IDS）和交换机作为网络的基础设施在中国石油企业信息安全中担当了重要角色，如果配置不当也会成为安全漏洞或被攻击弱点，应根据安全策略严格配置规则选项。b) Web服务器的安全应依赖于网络基础设施的整体安全，不应仅依赖单一要素如防火墙，应使用安全组件组合方式使安全效果达到最佳。c) 路由器和防火墙作为Web服务器的第一道防线，应阻止除下列端口外的数据对Web服务器的访问：Ø TCP端口80（HTTP）Ø TCP端口443（HTTPS）5.3.1 入侵检测系统a) 应根据需要部署基于主机的方法和基于网络的入侵检测系统(IDS)b) IDS必须经常更新网络攻击的特征数据库（例如每周一次），以使它们可检测新的攻击。c) 为保护Web服务器，必须确保配置IDS完成以下功能：Ø 监控进出Web服务器的网络通信；Ø 监控Web服务器上重要文件的修改(基于主机或者文件完整性检查器)；Ø 监控在Web服务器上可用的系统资源（基于主机）；Ø （与防火墙一起）屏蔽攻击网络的IP地址或子网；Ø 把发生的攻击通知网络管理员或者Web服务器管理员；Ø 尽可能检测网络扫描和攻击，同时不应发生过多的误报。Ø 记录事件日志，包括以下的细节：1) 时间/日期2) 攻击者的的IP地址3) 攻击手段的标准名称4) 源和目标的IP地址5) 源和目标的端口号6) 攻击使用的网络协议5.3.2 日志文件审计规定a) 应记录并保存网络设备的日志文件供审计和检查使用b) 网络设备的相关设置和日志应由专用的备份机制进行备份（如专用磁带机备份）。不应将网络设备的日志文档备份在联网的服务器上。c) 应由专人负责定期察看路由器、防火墙、入侵检测等网络设备的日志文件，并对日志进行分析，给出分析统计报告。d) 应由专人查看告警信息，并对告警信息进行分析处理。e) 对网络安全事故进行分级，并