{技术规范标准}四军医大学网站建设技术安全规范.pdfVIP

{技术规范标准}四军医大 学网站建设技术安全规范 份，规范网站内容更新方法，落实网站安全检查制度，制 定应急处理预案，明确网站管理人员职责。 二、技术安全配置方法 网站建设阶段应全面考虑网站的环境安全，重点考虑网 站的设计安全，充分考虑网站的运行安全，具体处理方法参 考《网站建设技术安全参照表》。 网站建设技术安全参照表 项目名称 分项内容 建议处理方法 常用的服务器操作系统有Windows 系列和Unix/linux 系列两类， 安装后应修改其默认设置以消除可能存在的安全隐患。 ①针对 Windows 系列操作系统：建议使用WindowsServer2003SP2 以上版本；安装所有已发布的漏洞补丁；并开启操作系统自动更 新及防火墙功能；禁用 Telnet 、TCP/IPNetBIOSHelper 、 操作系统 PrintSpooler 、ComputerBrowser 、RemoteRegistry 等不需要的 服务；禁用 Guest 帐号；关闭文件共享功能。 ②针对 Unix/Linux 系列操作系统：建议使用 FreeBSD7.1 、 Solaris10U6GA1 或者 RedHatEnterpriseLinux5 以上版本；只安 装需要的工具和服务；开启系统自带防火墙；关闭远程控制功能； 运行环境 将用户登陆错误次数限制为 3—5 次。 常用的数据库有ACCESS 、SQLServer 、MYSQL 三种，应根据网站 规模进行选择。 ①ACCESS 数据库：建议小型网站使用。应为 Access 数据库文件 设置强密码防止非授权用户的访问；修改数据库文件名为复杂的 字符串，修改文件后缀名为 asp 或者 asa ，如将修改为 数据库 abcd12!@#$.asp ，防止非法下载。 ② SQLServer 数 据 库 ： 建 议 中 大 型 网 站 使 用 。 应 选 用 SQLServer2000SP4 以上版本并安装最新补丁程序；为默认 sa 帐 号设置强密码；将默认的数据库日志文件路径指向非操作系统分 区；禁用远程控制台连接；根据需要设置不同的用户权限，防止 非授权用户修改数据库。 ③MYSQL 数据库：建议中大型网站使用。应安装 MYSQL-5.1.30 以 上版本；为默认 root 帐号设置强密码；修改默认配置文件启用 日志功能；禁用远程控制台连接；按需要为每个数据库设置不同 的用户权限，防止非授权用户对数据库的修改。 常用的 Web 服务软件有 IIS 、Apache 、Apache+Tomcat 三种，应 根据网站采用的技术架构进行选择。 ①IIS ：建议用静态HTML 、ASP 和技术开发的网站使用。应选择