Web应用安全配置基线.docxVIP

精品文档 Web 应用安全配置基线 中国移动通信有限公司 管理信息系统部 2009 年 3 月 精品文档 精品文档 版本 版本控制信息 更新日期 更新人 审批人 V1.0 创建 2009年1月 备注： 1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 精品文档 精品文档 目 录 第 1 章 概述 5 1.1 目的 5 1.2 适用范围 5 1.3 适用版本 5 1.4 实施 5 1.5 例外条款 5 第 2 章 身份与访问控制 6 2.1 账户锁定策略 6 2.2 登录用图片验证码 6 2.3 口令传输 7 2.4 保存登录功能 7 2.5 纵向访问控制 7 2.6 横向访问控制 8 2.7 敏感资源的访问 8 第 3 章 会话管理 9 3.1 会话超时 9 3.2 会话终止 9 3.3 会话标识 9 3.4 会话标识复用 10 第 4 章 代码质量 11 4.1 防范跨站脚本攻击 11 4.2 防范 SQL注入攻击 11 4.3 防止路径遍历攻击 11 4.4 防止命令注入攻击 12 4.5 防止代码注入攻击 错误!未定义书签。 4.6 防止其他常见的注入攻击 12 4.7 防止下载敏感资源文件 13 4.8 防止用户上传后门脚本 13 4.9 保证多线程安全 13 4.10 保证释放资源 14 第 5 章 内容管理 15 5.1 加密存储敏感信息 15 5.2 避免敏感文件下载 错误!未定义书签。 5.3 避免泄露敏感技术细节 15 第 6 章 防钓鱼与防垃圾邮件 16 6.1 防钓鱼 16 6.2 防垃圾邮件 16 精品文档 精品文档 第 7 章 密码算法 17 7.1 安全算法 17 7.2 密钥管理 17 第 8 章 系统日志 错误!未定义书签。 8.1 日志内容 错误!未定义书签。 8.2 日志保护 错误!未定义书签。 第 9 章 安装配置 …………………………………………………………………………… 错误!未定义书签。 9.1 组件漏洞 …………………………………………………………………………… 错误!未定义书签。 9.2 组件缺省账号密码 ………………………………………………………………… 错误!未定义书签。 9.3 组件操作系统账号 ………………………………………………………………… 错误!未定义书签。 9.4 组件安全加固 …………………………………………………………………… 错误!未定义书签。 9.5 语言设置 …………………………………………………………………………… 错误!未定义书签。 9.6 D M Z 安 全 隔 离 …………………………………………………………………… 错误!未定义书签。 9.7 数据库服务器安全隔离 …………………………………………………………… 错误!未定义书签。 9.8 W A F 使 用 ………………………………………………………………………… 错误!未定义书签。 9.9 文件完整性监控 …………………………………………………………………… 错误!未定义书签。 9.10 防病毒软件 错误!未定义书签。 第 1 0 章 安全维护 错误!未定义书签。 10.1 物理安全 错误!未定义书签。 第 1 1 章 评审与修订 18 精品文档 精品文档 第1章概述 1.1 目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的 Web 应用服务器 应当遵循的安全标准，本文档旨在指导系统管理人员进行 Web 应用安全基线检查。 1.2 适用范围 本配置标准的使用者包括：服务器系统管理员、应用程序管理员、网络安全管理员。 Web本配置标准适用的范围包括：中国移动总部和各省公司信息化部门所维护管理的 Web 应用系统。 1.3 适用版本 基于 B/S 架构的 Web 应用 1.4 实施 本标准的解释权和修改权属于中国移动通信有限公司管理信息系统部。 在本标准的执行过程中若有任何疑问或建议，应