web系统安全管理规范_030328_v3

doxykdo
0 ℃
2019-02-25

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

编号：中国石油天然气股份有限公司Web系统安全管理规范（审阅稿）版本号：V3审阅人：王巍中国石油天然股份有限公司中国石油信息安全标准Web系统安全管理规范I目录第1章概述..........................................................31.1概述............................................................................31.2目标............................................................................31.3范围............................................................................31.4规范引用的文件或标准............................................................41.5术语和定义......................................................................5第2章WEB服务器操作系统的安全.......................................72.1Web服务器操作系统的安装和配置安全规范...........................................72.2操作系统的安全测试.............................................................122.3操作系统安全检查表.............................................................13第3章WEB应用系统安全..............................................153.1Web应用系统安装的安全..........................................................153.2Web应用系统的访问控制..........................................................163.3Web应用系统的文件完整性检查....................................................193.4Web应用系统安装和配置的安全检查表..............................................20第4章WEB内容安全..................................................224.1中国石油外部Web站点信息发布的安全规范.........................................224.2内容和动态内容生成的安全管理规范...............................................24IIWeb系统安全管理规范4.3Web内容的安全检查表............................................................26第5章WEB网络安全..................................................285.1物理安全........................................................................285.2Web服务器的网络位置............................................................295.3网络组件的安全规则配置..........................................................32第6章WEB服务器系统运行管理安全....................................356.1系统的更新和修补流程............................................................356.2系统日志........................................................................356.3系统备份........................................................................376.4系统恢复........................................................................396.5Web服务器定期安全测试..........................................................406.6Web系统的远程管理..............................................................426.7Web服务器安全管理检查表........................................................43第7章员工使用WEB的安全规范........................................457.1员工使用Web的规范..............................................................457.2用户浏览Web站点时应遵守的规范..................................................46附录1中国石油内部网站信息发布审批表....................................47附录2参考资料..........................................................48附录3本规范用词说明....................................................50Web系统安全管理规范3第第11章章概概述述1.1概述Web系统是互联网上信息交换的平台，是中国石油对内、对外交流的窗口，是企业员工获取信息的重要渠道。Web服务器也是企业信息系统中最容易遭受攻击的目标之一。为保护中国石油企业信息资产和信息系统安全，保障Web系统的保密性、可用性、完整性和可管理性特制定本规范。本规范从Web的技术、管理和人员使用三方面提出安全规定，包括Web服务器安全、Web服务器操作系统安全、Web内容安全、Web服务器网络安全和用户使用安全。1.2目标保障中国石油企业信息资产安全，保护Web系统的可用性、完整性和保密性，规范用户安全使用Web。1.3范围本标准规定了中国石油Web系统的技术、管理和使用的安全。本标准适用于中国石油Web系统安全的维护和管理、内容发布。4Web系统安全管理规范1.4规范引用的文件或标准下列文件中所包含的条款，通过本标准的引用而成为本标准的条款。本标准出版时，所示版均为有效。所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性。1.GB17859-1999计算机信息系统安全保护等级划分准则2.GB/T9387.2-1995信息处理系统开放系统互连基本参考模型第二部分安全体系结构（ISO7498.2:1989）3.GA/T387-2002计算机信息系统安全等级保护网络技术要求4.《计算机信息网络国际联网安全保护管理办法》5.《中华人民共和国计算机信息系统安全保护条例》6.《计算机信息网络国际联网保密管理规定》7.《中华人民共和国计算机信息网络国际联网管理暂行规定》8.《维护互联网安全的决定》9.ISO/IECTR13355信息技术安全管理指南ISO/IECTR13355信息技术安全管理指南10.NIST信息安全系列——美国国家标准技术院11.英国国家信息安全标准BS779912.信息安全基础保护ITBaselineProtectionManual(Germany)13.BearingPointConsulting内部信息安全标准14.RUSecure安全技术标准15.信息系统安全专家丛书CertificateInformationSystemsSecurityProfessionalWeb系统安全管理规范51.5术语和定义访问控制accesscontrol一种安全保证手段，即信息系统的资源只能由被授权实体按授权方式进行访问，防止对资源的未授权使用。攻击attack违反计算机安全的企图。审计audit为了测试出系统的控制是否足够,为了保证与已建立的策略和操作相符合,为了发现安全中的漏洞,以及为了建议在控制、策略中作任何指定的改变,而对系统记录与活动进行的独立观察。授权authorization给予权利，包括信息资源访问权的授予。。可用性availability据或资源的特性，被授权实体按要求能及时访问和使用数据或资源。缓冲区溢出bufferoverflow指通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。计算机病毒computervirus是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。机密性confidentiality使信息不泄露给非授权的个人、实体或进程,不为其所用。服务拒绝denialofservice（DoS）是一种导致计算机和网络无法正常提供服务的攻击，资源的授权访问受阻或关键时刻的操作的延误。数字签名digitalsignature添加到消息中的数据，它允许消息的接收方验证该消息的来源。非军事化区demilitarizedzoneDMZ作为组织网络的进入点，负责保护安全区域边界或外部连接。加密encipherment通过密码系统把明文变换为不可懂的形式。。穷举攻击forceattack通过尝试口令或密钥可能有的值，违反计算机安全的企图。入侵者以破译用户口令作为攻击的开始，然后采用字典穷举法，破译口令。入侵检测intrusiondetection自动检测网络数据流中潜在入侵、攻击和滥用方式，提供了网络安全保护功能。它位于被保护的内部网络和不安全的外部网络之间，通过实时截获网络数据流，寻找网络违规模式和未授权的网络访问尝试。日志log一种信息的汇集,记录有关对系统操作和系统运行的全部事项，提供了系统的历史状况。6Web系统安全管理规范漏洞loophole由软硬件的设计疏忽或漏洞导致的能避过系统的安全措施的一种错误。最小特权minimumprivilege主体的访问权限制到最低限度，即仅执行授权任务所必需的那些权利。口令password用来鉴别实体身份的受保护或秘密的字符串。口令攻击passwordattack入侵者以破译用户口令作为攻击的开始，然后采用字典穷举法，破译口令，进行破坏，因而用户口令的选择对系统安全很重要。渗透测试penetrationtesting组织专门程序员或分析员进行系统渗透，以发现系统安全脆弱性，通常会模拟黑客真实环境和手段进行测试以发现系统安全漏洞。物理安全physicalsecurity为防范蓄意的和意外的威胁而对资源提供物理保护所采取的措施。端口port进出计算机的路径。每个服务器应用程序都分配了一个端口号，以将数据发送给相应的服务。安全审计securityaudit为了测试出系统的控制是否足够,为了保证与