《2020年web系统安全管理规范_030328_v3精品》由会员分享,可在线阅读,更多相关《2020年web系统安全管理规范_030328_v3精品(53页珍藏版)》请在金锄头文库上搜索。
1、编号 中国石油天然气股份有限公司 Web 系统安全管理规范 审阅稿 版本号 V3 审阅人 王巍 中国石油天然股份有限公司 中国石油信息安全标准 Web 系统安全管理规范I 目目 录录 第第 1 1 章章概述概述 3 3 1 1概述 3 1 2目标 3 1 3范围 3 1 4规范引用的文件或标准 4 1 5术语和定义 4 第第 2 2 章章WEBWEB 服务器操作系统的安全服务器操作系统的安全 7 7 2 1Web 服务器操作系统的安装和配置安全规范 7 2 2操作系统的安全测试 12 2 3操作系统安全检查表 13 第第 3 3 章章WEBWEB 应用系统安全应用系统安全 1515 3 1We
2、b 应用系统安装的安全 15 3 2Web 应用系统的访问控制 16 3 3Web 应用系统的文件完整性检查 19 3 4Web 应用系统安装和配置的安全检查表 20 第第 4 4 章章WEBWEB 内容安全内容安全 2222 4 1中国石油外部 Web 站点信息发布的安全规范 22 4 2内容和动态内容生成的安全管理规范 24 IIWeb 系统安全管理规范 4 3Web 内容的安全检查表 26 第第 5 5 章章WEBWEB 网络安全网络安全 2828 5 1物理安全 28 5 2Web 服务器的网络位置 29 5 3网络组件的安全规则配置 32 第第 6 6 章章WEBWEB 服务器服务器
3、系统运行系统运行管理安全管理安全 3535 6 1系统的更新和修补流程 35 6 2系统日志 35 6 3系统备份 37 6 4系统恢复 39 6 5Web 服务器定期安全测试 40 6 6Web 系统的远程管理 42 6 7Web 服务器安全管理检查表 43 第第 7 7 章章员工使用员工使用 WEBWEB 的安全规范的安全规范 4545 7 1员工使用 Web 的规范 45 7 2用户浏览 Web 站点时应遵守的规范 46 附录 1中国石油内部网站信息发布审批表 48 附录 2参考资料 49 附录 3本规范用词说明 50 Web 系统安全管理规范3 第第第 1 1 1 章章章 概述概述概述
4、 1 1概述 Web 系统是互联网上信息交换的平台 是中国石油对内 对外交流的窗口 是 企业员工获取信息的重要渠道 Web 服务器也是企业信息系统中最容易遭受攻 击的目标之一 为保护中国石油企业信息资产和信息系统安全 保障 Web 系统 的保密性 可用性 完整性和可管理性特制定本规范 本规范从 Web 的技术 管理和人员使用三方面提出安全规定 包括 Web 服务器安全 Web 服务器操作 系统安全 Web 内容安全 Web 服务器网络安全和用户使用安全 1 2目标 保障中国石油企业信息资产安全 保护 Web 系统的可用性 完整性和保密性 规范用户安全使用 Web 1 3范围 本标准规定了中国石
5、油 Web 系统的技术 管理和使用的安全 本标准适用于中国石油 Web 系统安全的维护和管理 内容发布 4Web 系统安全管理规范 1 4规范引用的文件或标准 下列文件中所包含的条款 通过本标准的引用而成为本标准的条款 本标准出 版时 所示版均为有效 所有标准都会被修订 使用本标准的各方应探讨使用 下列标准最新版本的可能性 1 GB17859 1999 计算机信息系统安全保护等级划分准则 2 GB T 9387 2 1995 信息处理系统 开放系统互连基本参考模型 第二部分 安全体 系结构 ISO7498 2 1989 3 GA T 387 2002 计算机信息系统安全等级保护网络技术要求 4
6、 计算机信息网络国际联网安全保护管理办法 5 中华人民共和国计算机信息系统安全保护条例 6 计算机信息网络国际联网保密管理规定 7 中华人民共和国计算机信息网络国际联网管理暂行规定 8 维护互联网安全的决定 9 ISO IEC TR 13355 信息技术安全管理指南ISO IEC TR 13355 信息技术安全管 理指南 10 NIST 信息安全系列 美国国家标准技术院 11 英国国家信息安全标准 BS7799 12 信息安全基础保护 IT Baseline Protection Manual Germany 13 BearingPoint Consulting 内部信息安全标准 14 RU
7、Secure 安全技术标准 15 信息系统安全专家丛书 Certificate Information Systems Security Professional Web 系统安全管理规范5 1 5术语和定义 访问控制访问控制 accessaccess controlcontrol 一种安全保证手段 即信息系统的资源只能由被授权 实体按授权方式进行访问 防止对资源的未授权使用 攻击攻击 attackattack 违反计算机安全的企图 审计审计 auditaudit 为了测试出系统的控制是否足够 为了保证与已建立的策略和操作 相符合 为了发现安全中的漏洞 以及为了建议在控制 策略中作任何指定的改
8、 变 而对系统记录与活动进行的独立观察 授权授权 authorizationauthorization 给予权利 包括信息资源访问权的授予 可用性可用性 availabilityavailability 据或资源的特性 被授权实体按要求能及时访问和使用数 据或资源 缓冲区溢出缓冲区溢出 bufferbuffer overflowoverflow 指通过往程序的缓冲区写超出其长度的内容 造成 缓冲区的溢出 从而破坏程序的堆栈 使程序转而执行其它指令 以达到攻击的 目的 计算机病毒计算机病毒 computercomputer virusvirus 是指编制或者在计算机程序中插入的破坏计算机功 能或
9、者毁 坏数据 影响计算机使用 并能自我复制的一组计算机指令或者程序 代码 机密性机密性 confidentialityconfidentiality 使信息不泄露给非授权的个人 实体或进程 不为其 所用 服务拒绝服务拒绝 denialdenial ofof serviceservice DoSDoS 是一种导致计算机和网络无法正常提供服 务的攻击 资源的授权访问受阻或关键时刻的操作的延误 数字签名数字签名 digitaldigital signaturesignature 添加到消息中的数据 它允许消息的接收方验证 该消息的来源 非军事化区非军事化区 demilitarizeddemilita
10、rized zonezone DMZ 作为组织网络的进入点 负责保护安全区 域边界或外部连接 加密加密 enciphermentencipherment 通过密码系统把明文变换为不可懂的形式 穷举攻击穷举攻击 forceforce attackattack 通过尝试口令或密钥可能有的值 违反计算机安全的企 图 入侵者以破译用户口令作为攻击的开始 然后采用字典穷举法 破译口令 入侵检测入侵检测 intrusionintrusion detectiondetection 自动检测网络数据流中潜在入侵 攻击和滥用方 式 提供了网络安全保护功能 它位于被保护的内部网络和不安全的外部网络之 间 通过实时
11、截获网络数据流 寻找网络违规模式和未授权的网络访问尝试 日志日志 loglog 一种信息的汇集 记录有关对系统操作和系统运行的全部事项 提供 了系统的历史状况 6Web 系统安全管理规范 漏洞漏洞 loopholeloophole 由软硬件的设计疏忽或漏洞导致的能避过系统的安全措施的一种 错误 最小特权最小特权 minimumminimum privilegeprivilege 主体的访问权限制到最低限度 即仅执行授权任 务所必需的那些权利 口令口令 passwordpassword 用来鉴别实体身份的受保护或秘密的字符串 口令攻击口令攻击 passwordpassword attackatt
12、ack 入侵者以破译用户口令作为攻击的开始 然后采用 字典穷举法 破译口令 进行破坏 因而用户口令的选择对系统安全很重要 渗透测试渗透测试 penetrationpenetration testingtesting 组织专门程序员或分析员进行系统渗透 以发 现系统安全脆弱性 通常会模拟黑客真实环境和手段进行测试以发现系统安全漏 洞 物理安全物理安全 physicalphysical securitysecurity 为防范蓄意的和意外的威胁而对资源提供物理保 护所采取的措施 端口端口 portport 进出计算机的路径 每个服务器应用程序都分配了一个端口号 以将 数据发送给相应的服务 安全审计
13、安全审计 securitysecurity auditaudit 为了测试出系统的控制是否足够 为了保证与已建 立的策略和操作相符合 为了发现安全中的漏洞 以及为了建议在控制 策略中 作任何指定的改变 而对系统记录与活动进行的独立观察 安全配置安全配置 securesecure configurationconfiguration 控制系统硬件与软件结构更改的一组规程 其目的是来保证这种更改不致违反系统的安全策略 安全策略安全策略 securitysecurity policypolicy 规定机构如何管理 保护与分发敏感信息的法规与 条例的集合 安全规范安全规范 securitysecuri
14、ty specificationsspecifications 系统所需要的安全功能的本质与特征的详 细述 安全测试安全测试 securitysecurity testingtesting 用于确定系统的安全特征按设计要求实现的过程 这一过程包括现场功能测试 渗透测试和验证 敏感性敏感性 sensitivitysensitivity 资源所具有的一种特征 它意味着该资源的价值或重要性 也可能包含这一资源的脆弱性 威胁威胁 threatthreat 一种潜在的对安全的侵害以破坏 泄漏 数据修改和拒绝服务的方 式 可能对系统造成损害的环境或潜在事件 病毒病毒 virusvirus 同计算机病毒 检
15、验检验 verificationverification 将某一活动 处理过程或产品与相应的要求或规范相比较 例 将某一规范与安全策略模型相比较 或者将目标代码与源代码相比较 弱点弱点 vulnerability 导致破坏系统安全策略的系统安全规程 系统设计 实现 内部控制等方面的弱点 Web 系统安全管理规范7 第第第 2 2 2 章章章 WebWebWeb 服务器操作系统服务器操作系统服务器操作系统的安全的安全的安全 2 1Web 服务器操作系统的安装和配置安全规范 2 1 1 Web 服务器操作系统更新和修补规范 具体安全规范可参见 操作系统安全管理规范 2 1 1 1Web 服务器操作
16、系统漏洞确认流程 Web 系统管理员应通过检查事故日志报告分析系统漏洞 并搜索供应商和 其他权威组织 如 CVE 标准 ICAT 网站 发布的最新漏洞修补公告 确 认系统漏洞 2 1 1 2Web 服务器操作系统的修补 a 对需要部署的系统修补程序 应在模拟环境中进行测试 验证 确保在实际使用环境中能够完成系统漏洞修补 并确保不带入新 的系统弱点和漏洞 b 在中国石油 Web 系统中 所有需要部署的修补程序都应经过测试 环节 不应采用自动更新的方式 要使用统一测试 分布应用的 方式 修补流程宜遵照图 1 操作系统安全测试及修补流程执行 8Web 系统安全管理规范 分析环境是否 缺少修补环境 测试修补程序 向供应商或技术 支持报告问题 是否需要新的修 补程序 计划部署修补程序并 创建恢复计划 监控生产服务器上 的修补程序 服务器是否运 行正常 问题是否解 决 审核修补过程 是 否 执行原始状态 恢复程序 是 部署修补程序 是 否 否 图 1 操作系统安全测试及修补流程 Web 系统安全管理规范9 2 1 2 关闭或删除不必要的服务和应用 a Web 服务器应配备专用的主机 减少 W
