门户网站平台网站安全检查制度

1、密级【内部文件】门户网站平台-网站安全检查制度门户网站平台-网站安全检查制度-文档编号使用部门XX信息技术推广部编制日期X/10/22发行日期密级【内部文件】门户网站平台-网站安全检查制度修订及审核记录文档信息文档名称网站安全检查制度文档编号服务对象XX信息技术推广部创建日期X/9/27文档版本V1.3发行日期文档审核审核人职务审核时间审核意见修订记录修正章1修订日期修订人变更记录整篇文档X/9/27修订版式、内容修订版式X/10/22修订版式密级【内部文件】门户网站平台-网站安全检查制度目录 TOC o 1-5 h z 第一章概述4第二章安全检查要求4第三章安全检查内容4第四章附件7第四章相

2、关检查表8密级【内部文件】门户网站平台-网站安全检查制度第一章概述定期开展网站安全检查是为了查找服务器和网站中的不安全设置、漏 洞，及时消除安全隐患，确保网站不被攻击、篡改，使其安全稳定运行。第二章安全检查要求.安全检查包括操作系统、安全防护软件、Web服务软件、网站内容和系统安全漏洞。.安全检查分全面检查和日常检查，每年进行 1次全面检查，每季度 进行1次日常检查。每次检查认真填写检查登记表，记录检查内容和结 果，并定期汇总形成安全分析报告。.检查中发现的问题做到立即整改，确保不存在弱口令、SQL注入、绕过验证、跨站脚本等严重漏洞，不存在被挂马和信息篡改等严重问题， 做到操作系统和服务软件及

3、时更新、敏感信息加密存储。如发现重大或紧 急安全问题，立即启动应急预案，保留现场，及时组织相关技术人员按照 程序处理，并视情况向领导汇报。第三章安全检查内容检查项目检查分项检查内容1.操作系统1.1系统安装是否只安装了必需的服务软件，对网站服务只安装Web服务软件、FTP管理软件、数据库软件和备份工具软件，已安装的管理软件和工具软件不能存在已知的漏洞，其它与服务功能无关的软件均不能安装，以提供最小化的功能，减少可能的漏洞。1.2磁盘分区配 置Windows系统磁盘分区应全部使用 NTFS格式，实现文件访问权限 设置。网站和应用系统不应安装在系统分区， 避免网站安全漏洞影 响操作系统安全。1.3

4、系统更新操作系统补丁是否升级到最新，避免操作系统存在已知的安全漏 洞。1.4系统帐号系统帐号设置：是否使用了强密码，密码是否定期更换。Windows系统禁用Guest帐号，防止 Guest帐号被利用。系统帐号变动：是否有异常的帐号变动，如增加新帐号，已禁用帐号被激活或权限密级【内部文件】门户网站平台-网站安全检查制度提升等。1.5系统服务系统服务设置：是否只开启了必须的系统服务，停止不使用的默认服务；系统服务状态变动：是否有不正常的服务变动， 如已禁用服务被开启， 增加未知的服务 等。1.6系统日志系统日志设置：是否对系统日志进行了正确设置，确保能够记录系统重要事件， 并自动保存至少90天的系

5、统日志以便事后分析排查。系统日志内容：是否有异常事件报警，以便及时发现异常事件。1.7注册表设置是否修改了 Windows系统注册表中9项小安全的默认设置，包括： 禁止匿名用户连接，禁止C$、D将默认共享，修改数据包的生存时间（ttl）值，防止syn洪水攻击，禁止响应icmp路由通告报文， 防止icmp重定向报文的攻击，修改远程桌面默认端口，arp缓存老化时间设置。1.8网络协议是否禁用了不必要的网络协议，包括默认开启的NetBios协议。1.9远程管理限 制远程管理端口是否限定了访问范围，应仅供维护人员计算机IP地址登录。1.10运行状态检查CPU用率是否在正常范围内，一般不应超过10%检查

6、是 否存在异常的系统进程， 以便及时发现木马或病毒等恶意程序；检查网络连接，是否存在异常的网络连接，如正常服务功能外的端口 和连接，以便及时发现可能的入侵和攻击。通过服务器指示灯或硬件监控软件检查服务器硬件运行是否止 常，以便及时发现设备硬件故障2.安全防护 软件2.1安装设置是否安装了防病毒软件和防火墙软件并开启了实时防护。2.2更新升级安全防护软件是否设置为自动升级，病毒库、特征库是否更新到最新。2.3防护日志安全防护软件的防护日志是否有安全事件报警，如删除恶意软件、 阻止入侵等，检查安全软件处理是否成功。3.Web服务 软件3.1网站安装是否按规范对网站安装，保证系统基本安全性和易于维护

7、，包括：网站安装目录命名应米用：网站IP地址网站中文名称网站拼音简称。网站日志目录命名应采用，网站编号。在IIS中配置网站时，网站名称应与登记信息一致，主机头值与域名一致。3.2网站运行环 境配置是否只提供了网站运行所需的最小化的程序运行环境，减少可能的漏洞，包括：删除未使用的模块、服务扩展设置、扩展映射，删除默认虚拟目录， 包括网络管理和网络打印。3.3网站权限设是否对网站权限进行合理设置，实现网站安全隔离，减小网站被攻击后对系统安全的影响，包括：网站用户权限隔离针对每个网站建立独立的操作系统用户帐号作为网站运行帐号，禁密级【内部文件】门户网站平台-网站安全检查制度置止网站运行帐号访问系统文

8、件， 不同网站帐号只能访问对应的网站 目录，实现各网站之间、操作系统和网站之间的安全隔离。Web上传目录权限设置针对网站上传目录进行合理的权限设置，权限一般应设定为允许“写入”和“修改”， 不能赋予“完全控制”和“特别权限”，和脚本执行权限，保证上传功能运行正常又能阻止恶意代码执行。数据库文件权限设置对文件型数据库进行改名防下载，并将数据库文件权限设定为允许“写入”和“修改”以便/、影响网站功能。3.4错误贝囿设 置是否使用了自定义错误页面，屏蔽默认的错误信息， 防止通过默认错误页面泄露网站设计、配置等重要信息。3.5Web日志设置应正确设置网站日志内容格式和保存方式，以便事后分析排查。日志内

9、容一般应使用 W30r充日志文件格式，详细记录客户 IP地 址、用户名、服务器端口、方法、URL字根、HTTP状态、用户代理等内容。日志存储目录应保证能够保存至少90天的日志。3.6Web服务软件更新升级已安装的Web服务软件是否存在已知的安全漏洞，一般应升级到最 新的稳定版，但要保证网站系统能够正确运行。3.7中间件和脚 本解析环境设置对于Tomcat应设置以普通用户的权限运行，防止客户端浏览Web目录，并关闭管理页面，防止非法用户通过 Web方式取得管理权限。4.网站内容4.1前台信息网站前台贝囿运行是否止常，是否存在需要更新的信息， 是否存在异常内容，留言、讨论等动态栏目中是否存在违规言

10、论和信息。4.2后台程序网站后台运行是否止常，后台程序是否需要升级或更新、是否存在 已知漏洞。4.3网站文件网站存储空间中是否存在异常文件以便及时发现病毒、木马或其它恶意程序。4.4网站数据库数据库帐号是否发生异常变化，是否存在异常的帐号、数据表和内 容，以便及时发现SQL注入攻击。一般网站运行期间/、会生成新的 数据表，SQL注入攻击通常会留下名称异常的数据表。4.5网站日志网站日志记录是否完整详细， 是否存在异常内容，包括网站后台操 作日志和Web日志。4.6网站访问控 制网站前台是否设置了访问控制，一般应包括匿名访问、 标志访问和认证访问（分别对应公开、对内和认证授权）三种控制方式。网站

11、后台是否设置了访问控制，网站后台只能使用限定IP地址登录认证后进行后台管理或内容维护。网站访问控制策略是否发生了异常改变。4.7数据备份网站数据是否按计划备份，备份文件是否可用。5. lu 乂 -H5.1信息泄露通过网站浏览、搜索引擎等公开信息获取途径，是否能够获得包括 操作系统类型、应用类型、用户帐号、系统配置等信息， 并直接发 现漏洞。5.2端口扫描是否能够通过端口扫描， 获得开放的服务数量和类型信息，为攻击提供依据。5.3溢出测试是否能够通过系统溢出攻击直接获得系统控制权限。注意溢出测试可能导致系统死机，应谨慎进行。密级【内部文件】门户网站平台-网站安全检查制度漏洞5.4SQL注入是否具

12、备防止 SQL注入的过滤、屏蔽措施，防止通过SQL注入获取、 篡改、控制网站数据库中的信息。5.5跨站脚本通过Web扫描软件检查是否存在跨站脚本（XSS漏洞，使攻击者可以借助网站来攻击访问网站的用户。5.6Web访问控制漏洞针对Web及数据库服务器进行检查，包括：应用系统架构是否能够防止用户绕过系统直接修改数据库。身份认证模块是否能够防止非法用户绕过身份认证。数据库接口模块是否能够防止用户获取系统权限。文件接口模块是否能够防止用户获取系统文件。是否存在其它访问控制安全漏洞。5.7代码检查是否存在会导致安全问题的不安全编码技术和漏洞，包括：跨站脚本漏洞，SQL注入漏洞，缓冲区溢出，其它编程错误和

13、漏洞。5.8辅助软件漏 洞除操作系统、服务软件和数据库以外，系统中安装使用的辅助软件， 是否存在安全漏洞或错误设置。5.9Cookie 处理是否存在不安全的 Cookie使用处理，如使用Cookie保存密码等敏 感信息，使入侵者可能通过篡改Cookie内容，状取用户帐号。5.10后门程序检 查是否存在遗留的后门和调试选项，导致被入侵者利用，实施攻击。5.11密码破解通过字典方式或者通过穷举法破解用户密码，检查是否存在可以快速破解的弱密码。5.12敏感信息保 护检查分析是否存在通过网络进行密码或敏感信息的明文传输。第四章附件表一：全面安全检查汇总表表二：操作系统全面安全检查登记表表三：安全防护软

14、件全面安全检查登记表 表四：We阴艮务软件全面安全检查登记表 表五：系统安全漏洞全面安全检查登记表密级【内部文件】门户网站平台-网站安全检查制度第四章相关检查表网站全面安全检查汇总表检查时间：年 月 日检 查 单 位操 作 系 统 检查数量和范围安全防护软件 检查数量和范围We b 服务软件 检查数量和范围网 站 内 容 检查数量和范围系统安全漏洞 检查数量和范围存在的主要问题：处理方法和结果：检查人负责人备密级【内部文件】门户网站平台-网站安全检查制度操作系统全面安全检查登记表检查时间：年 月 日检查单位操作系统类型和版本服务器名称 p地址检查分项检查要点异常说明1.1系统安装口没有安装无关

15、的软件和服务功能1.2磁盘分区配 置口分区类型正确，1.3系统更新口系统补.已升级到最新1.4系统帐号口使用了强密码并定期更换口帐号无异常变动1.5系统服务口禁用了不使用的默认服务口服务状态无异常变动1.6系统日志能全面记录90天日志口日志内容无异常1.7注册表设置口修改了不安全的默认设置1.8网络协议口禁用了不必要的网络协议1.9远程管理限 制口限制了远程管理端口的访问范围1.10运行状态口cpia用率正常 口系统进程无异常 口网络连接无异常 口硬件无报警备注检查人负责人密级【内部文件】门户网站平台-网站安全检查制度安全防护软件全面安全检查登记表检查时间：年 月 日检查单位操作系统类型和版本

16、服务器名称安全防护软件 类型和版本检查分项检查要点异常说明2.1安装设置口安装了防病毒和防火墙软件并开启了实时防护 口防火墙正确配置了策略2.2更新升级口防护软件已升级到最新2.3防护日志口防护日志无异常报警备注检查人负 责 人密级【内部文件】门户网站平台-网站安全检查制度Web服务软件全面安全检查登记表检查时间：年 月 日检查单位操作系统类型和版本服务器名称We b服务软件 类型和版本服务I P地址服务网站和域名检查分项检查要点异常说明3.1网站安装口网站安装目录命名规范，配 置信息正确一致3.2网站运行环 境配置口删除了未使用的功能3.3网站权限设 置口正确设置了权限隔离口正确设置了上传目

17、录和数据库文件权限3.4错误页面设 置口屏蔽了默认的错误页面和提 示信息3.5Web日志设置能全面记录90天日志3.6中间件和脚 本解析环境设置口正确设置了中间件运行权限 和运行模式口屏蔽了默认管理功能备注检查人负 责 人密级【内部文件】门户网站平台-网站安全检查制度网站内容全面安全检查登记表检查时间：年 月 日检查单位操作系统类型和版本网站管理单位服务器名称网站IP 地址数据库类型 Access SQLServer口无口其它：网站域名网站运行方式口独立运行口平台管理检查分项检查要点异常说明4.1前台信息口前台功能运行正常内容已更新口无违规或异常信息4.2后台程序口后台功能与运行正常口程序已升级到最新，无已知漏洞4.3网站文件口存储空间无异常文件4.4网站数据库口数据库内无异常内容4.5网站日志口后台操作日志无异常 Web日志无异常4.6网站访问控 制前台、后台都具备完善的访 问控制口访问控制策略无异常改变4.7数据备份口数据按计划备份、内容可用备注检查人负责 人密级【内部文件】门户网站平台-网站安全检查制度系统安全漏洞全面安全检查登记表检查时间：年 月 日检查单位操作系统类型和版本服务器名称Web服务软件类型和版本I P 地 址网站名称和数量检查分项检查要点异常说明5.1信息泄露口不能通过公