XX电子商务网站安全加固报告.docVIP

XXX电子商务网站安全加固报告 目录 电子商务网站安全加固报告 1 目录 2 一、加固主机列表 3 二、加固实施 4 2.1操作系统加固 4 2.1.1 补丁安装 4 2.1.2 帐号、口令策略修改 4 2.1.3 网络与服务加固 4 2.1.4 文件系统加固 5 2.1.5 日志审核增强 6 2.1.6 安全性增强 7 2.1.7 推荐安装安全工具 8 2.2 IIS服务加固 8 2.2.1 补丁安装 8 2.2.2 网站实例权限分配 8 2.2.3 IIS配置安全增强 9 2.2.4 安全控件加固 9 2.3 代码审核加固 10 2.3.1 清除WebShell代码 10 2.3.2 清除SQL注入漏洞 10 2.3.3 修正权限认证缺陷 10 2.3.4 减少上传风险威胁 11 2.3.5 正确处理数据库文件 11 三、推荐安全注意事项 12 3.1为新增网站实例分配权限 12 3.2 使用SSL加密FTP传输 12 3.3 加强管理员安全习惯 12 四、签字确认 13 附录： 14 后台访问用户认证分配一览表 14 代码加固修改一览表 14 一、加固主机列表 本次安全加固服务的对象包括： 编号 IP地址 操作系统 用途或服务 H_2112_1 XX.XX.XX.2 Windows 2000 Server 提供电子商务服务，有偿提供考试资料 填写规则： 编号统一使用“型号_地址缩写_数字” 型号（H－主机；D－设备），数字使用三位数字顺序号。 二、加固实施 2.1操作系统加固 2.1.1 补丁安装 编号： Windows-02001 名称： 补丁安装 系统以往状态： Windows 2000 Service Pack 4 IE 最新积累补丁 方案实施 使用Windows update安装最新补丁 实施目的 可以使系统版本为最新版本 实施风险 安装补丁可能导致主机启动失败，或其他未知情况发生 2.1.2 帐号、口令策略修改 编号： Windows-03002,Windows-03003,Windows-03004 名称： 帐号口令策略修改 系统以往状态： 密码长度最小值 0 字符 密码最长存留期 42天 密码最短存留期 0天 帐号锁定计数器 无 帐户锁定时间 0 帐户锁定阀值 无 方案实施 密码长度最小值 7 字符 密码最长存留期 90天 密码最短存留期 30天 帐号锁定计数器 5次 帐户锁定时间 5分钟 帐户锁定阀值 1分钟 实施目的 保障帐号以及口令的安全 实施风险 设置帐号策略后可能导致不符合帐号策略的帐号无法登陆，需修改帐号密码（注：管理员不受帐号策略限制，但管理员密码应复杂） 2.1.3 网络与服务加固 编号： Windows-04003,Windows-04004 名称： 卸载不需要的服务 系统以往状态： 已安装的不必要的服务包括： DNS服务 DHCP服务 MS FTP服务 SNMP服务 方案实施 开始|设置|控制面板|添加/删除程序|Windows组件 卸载不需要的服务 实施目的 避免未知漏洞给主机带来的风险 实施风险 可能由于管理员对主机所开放服务不了解，导致该服务被卸载。 编号： Windows-04005 名称： 将暂时不需要开放的服务停止 系统以往状态： 已启动且需要停止的服务包括： Computer Browser服务 Alerter服务 Messenger服务 方案实施 开始|运行|services.msc|将上述服务的启动类型设置为手动并停止上述服务 实施目的 避免未知漏洞给主机带来的风险 实施风险 可能由于管理员对主机所开放服务不了解，导致该服务被卸载。 2.1.4 文件系统加固 编号： Windows-05002 名称： 限制特定执行文件的权限 系统以往状态： 未对敏感执行文件设置合适的权限 方案实施 通过实施我公司的安全策略文件对特定文件权限进行限制，禁止Guests用户组访问这些文件。 实施目的 禁止Guests用户组访问以下文件： xcopy.exe wscript.exe cscript.exe net.exe arp.exe edlin.exe ping.exe route.exe posix.exe Rsh.exe atsvc.exe Copy.exe cacls.exe ipconfig.exe rcp.exe cmd.exe debug.exe regedt32.exe regedit.exe telnet.exe Finger.exe Nslookup.exe Rexec.exe ftp.exe at.exe runonce.exe nbtstat