WEB类应用系统安全防护技术要求.docVIP

Technical Specification of Security for Web Applications 目 录 前 言 1 1 适用范围 2 2 引用标准与依据 2 3 相关术语与缩略语 2 3.1 术语 2 3.1.1 注入漏洞 2 3.1.2 SQL注入攻击 3 3.1.3 跨站漏洞 3 3.1.4 跨站攻击 3 3.1.5 非法上传 3 3.1.6 缓冲区溢出 3 3.1.7 非法输入 3 3.1.8 网站挂马 3 3.1.9 拒绝服务攻击 3 3.1.10 跨站请求伪造 4 3.1.11 目录遍历攻击 4 3.2 缩略语 4 4 综述 4 5 Web类应用系统基本架构 5 5.1 业务逻辑结构 5 5.2 网络结构 5 6 Web类应用风险分析 6 6.1 主要风险分析 6 6.2 脆弱性分析 7 6.2.1 物理 7 6.2.2 网络 7 6.2.3 设备 7 6.2.4 应用 8 6.2.5 内容 9 6.2.6 管理 10 6.3 威胁分析 10 6.3.1 物理 10 6.3.2 网络 10 6.3.3 设备 11 6.3.4 应用 11 6.3.5 内容 12 7 WEB类应用系统的安全防护需求 13 7.1 物理安全需求 13 7.2 分区防护需求 13 7.2.1 安全域划分要求 13 7.2.2 边界整合及域间互联安全要求 14 7.3 WEB类应用系统自身安全要求 15 7.3.1 操作系统安全要求 15 7.3.2 中间件安全要求 16 7.3.3 数据库安全要求 16 7.3.4 应用软件自身安全要求 17 7.4 专用安全设备部署需求 19 8 WEB类应用系统的安全防护方案 20 8.1 安全域划分及边界访问控制 20 8.2 设备自身安全 21 8.3 防火墙等基础性安全技术防护手段的部署 21 8.3.1 入侵检测设备的部署 21 8.3.2 防病毒系统的部署 21 8.3.3 抗DDOS攻击设备的部署 21 8.3.4 专业性的WEB系统应用层安全防护系统 22 8.3.5 纳入集中安全管控平台管理范围 25 8.4 安全管理 26 9 WEB系统安全实施思路 26 10 编制历史 26 前 言 当前，WEB类应用系统部署越来越广泛，与此同时，由于WEB安全事件频繁发生，既损害了WEB系统建设单位的形象，也可能直接导致经济上的损失，甚至产生严重的政治影响。本规范针对中国移动WEB类应用系统安全防护需求不断提高的状况，提出了WEB类应用系统安全防护的技术要求，作为中国移动WEB类应用系统安全防护系统规划、开发、建设以及维护各阶段组网和实施的依据。 本规范主要包括以下几方面内容：系统基本架构、系统风险分析、安全防护要求、安全防护部署等。本规范首先明确了WEB类应用系统安全防护的需求，进一步提出了具体的技术要求，并在此基础上，结合网络的实际情况，阐述了各种安全防护设备的具体部署原则。 本由中国移动通信公司提出并归口。本起草单位：本主要起草人： 跨站漏洞 由于开发编程人员在编程的时候对一些变量没有做充分的过滤，或者没做任何的过滤就直接在服务器上执行用户提交数据（例如Java Script等脚本代码），导致跨站攻击。 跨站攻击 方式一：在WEB应用中, 当用户提交数据与服务器进行交互时, 攻击者将恶意脚本隐藏在用户提交的数据中，破坏服务器正常的响应页面。 方式二：通过社会工程学等方法，诱骗用户点击和访问虚假的页面，达到偷窃用户信息、下载恶意脚本等目的。 非法上传 攻击者利用WEB系统漏洞，绕过各种限制上传文件的攻击行为。 缓冲区溢出 攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令。 非法输入 攻击者在动态网页的输入中使用各种非法数据，以实现获取服务器敏感数据的目的。 网站挂马 攻击者在服务器端插入恶意代码。用户访问恶意页面时，网页中植入的恶意代码触发客户端的漏洞从而自动下载并执行恶意程序。 拒绝服务攻击 攻击者通过构造大量的无效请求或利用系统漏洞构造非法请求，耗尽WEB服务器或带宽的资源，导致WEB服务器崩溃，，使Web服务器不能响应正常用的访问。 跨站请求伪造 攻击者通过XSS漏洞在用户浏览器上执行功能相对复杂的JavaScript脚本代码劫持用户浏览器访问存在XSS漏洞网站的会话。 目录遍历攻击 攻击者利用安全漏洞访问受限制的目录，并在Web服务器的根目录以外执行命令。 缩略语 缩略语 英文全称 中文含义 DDOS Distributed Denial of Service 分布式拒绝服务 BOSS Business Operations Support System 业务运营支撑系统 HTTP HyperText Transf