{技术规范标准}天津城市建设学院网站建设技术安全规范.pdfVIP

{技术规范标准}天津城市 建设学院网站建设技术安 全规范 份，规范网站内容更新方法，落实网站安全检查制度，制 定应急处理预案，明确网站管理人员职责。 二、技术安全配置方法 网站建设阶段应全面考虑网站的环境安全，重点考虑网 站的设计安全，充分考虑网站的运行安全，具体处理方法参 考《网站建设技术安全参照表》。 信息化建设管理中心 2009 年 8 月 10 日 附：网站建设技术安全参照表 项目名称 分项内容 建议处理方法 常用的服务器操作系统有Windows 系列和Unix/linux 系列两类， 安装后应修改其默认设置以消除可能存在的安全隐患。 ①针对 Windows 系列操作系统：建议使用WindowsServer2003SP2 以上版本；安装所有已发布的漏洞补丁；并开启操作系统自动更 新及防火墙功能；禁用 Telnet 、TCP/IPNetBIOSHelper 、 操作系统 PrintSpooler 、ComputerBrowser 、RemoteRegistry 等不需要的 服务；禁用 Guest 帐号；关闭文件共享功能。 ②针对 Unix/Linux 系列操作系统：建议使用 FreeBSD7.1 、 Solaris10U6GA1 或者 RedHatEnterpriseLinux5 以上版本；只安 装需要的工具和服务；开启系统自带防火墙；关闭远程控制功能； 将用户登陆错误次数限制为 3—5 次。 常用的数据库有ACCESS 、MySQL 二种，应根据网站规模进行选择。 ①ACCESS 数据库：建议小型网站使用。应为 Access 数据库文件 设置强密码防止非授权用户的访问；修改数据库文件名为复杂的 数据库 字符串，修改文件后缀名为 asp 或者 asa ，如将修改为 运行环境 abcd12!@#$.asp ，防止非法下载。 ②MySQL 数据库：建议中型网站使用。根据需要设置不同的用户 权限，防止非授权用户修改数据库。 常用的 Web 服务软件有 IIS 、Apache 、Apache+Tomcat 三种，应 根据网站采用的技术架构进行选择。 ①IIS ：建议用静态HTML 、ASP 和技术开发的网站使用。应选择 IIS6.0 以上版本；禁用 IIS 自带默认网站；禁用“所有未知CGI 扩展”、“未知 ISAPI 扩展”等不需要的 Web 服务扩展功能；禁止 用户通过浏览器浏览网站目录；禁止Web 服务通过浏览器向客户 Web 服务软件 端发送错误提示信息。 ②Apache+Tomcat ：建议用JSP 技术开发的网站使用。在使用 Apache 的基础上，再安装Tomcat ，应选择Tomcat6.0.0.18 以上 版本；启用日志功能