Web服务器安全标准
前言和文档控制
此文档是西安石油大学制定发布的有关信息安全政策规定、处理流程、行业标准和指导意见的系列文档之一。

该文档应保证至少一年审核一次，以保证其有效性。

在没有得到文档发布者的明确授权下，此文档的全部或部分内容，均不得重制或发布。

目录
1目的 (3)
2范围 (3)
3责任 (3)
4Web服务器安全要求 (3)
4.1总则 (3)
4.2网络安全 (3)
4.3流量过滤 (3)
4.4合规性 (4)
4.5数据保护 (4)
4.6输入和输出管理 (4)
4.7安全代码/应用/插件 (4)
1目的
发布本文档所列标准的目的是为了保护学校网站和相关信息资产。

本标准的目标是为了确保：
●按照现有最佳的实践经验，在全校统一部署安全控制措施，以消除或者最低限
度的减少系统漏洞和其他安全隐患。

●学校能在信息安全的完善方面更方便的有据监管、理解风险和评估改进。

●所有的院系部门和网站开发人员都能了解相应的安全需求
2范围
所列标准适用于学校所有的web网站服务器，包括：学校内部或第三方建设、采购、部署、修改和维护的。

具体为：
●所有仅限内部和面向公共的web服务器
●所有由外部供应商托管的面向公共的web服务器
●所有通过学校或者代表学校的web服务器建设、采购、部署、修改和维护的
3责任
以下学校实体具体的信息安全责任
●学校信息化委员会
●信息安全部门领导
●信息安全小组应支撑学校满足信息安全功能和防护的各项要求。

●学院和部门领导对所在部门的信息安全负有义务和责任。

●Web服务器用户对其处理的信息负有安全责任。

4Web服务器安全要求
4.1总则
4.1.1基于风险分析的深度信息安全防范手段应被采用，包括：
4.1.1.1安全控件在Web服务器的每一层次上都应部署，以避免过度依赖单一
安全防护手段。

4.1.1.2在所有Web服务器上应部署最基本的安全控制措施，以解决常见风险。

4.1.1.3安全控制措施应该是务实的、易于部署、有效和可以衡量的。

4.1.2在虚拟化环境中，所有能考虑到的安全因素都应当适用于主机系统、虚拟机
管理层和虚拟化管理工具。

4.1.3渗透性测试每年至少执行一次，并且在重要系统架构部署、应用升级或修改
后，都应测试。

4.1.4每季度应执行一次漏洞扫描。

4.2网络安全
4.2.1安全控制措施应涵盖每一个活跃版本的网络协议，包括IPv4和IPv6。

4.2.2Web服务器都应分配相应的静态IP地址，除了需要部署动态域名系统技术以
实现负载均衡的服务器。

4.2.3只使用唯一可信的授权DNS来源，避免受到DNS劫持和攻击。

4.2.4所有的非console口管理员级别的访问应使用高强度加密手段进行加密。

4.3流量过滤
4.3.1只有从Internet到特定的IP地址和授权的公共可用服务、协议和端口的入
站流量是允许的。

4.3.2从Web服务器的非授权出站流量是禁止的。

4.3.3加固TCP/IP堆栈能保护Web服务器抵御拒绝服务攻击，可以采用类似禁用
ICMP重定向，SYN攻击保护和禁用IP源路由这些手段。

4.4合规性
4.4.1所有相关监管和法律要求应当予以鉴别和记录。

4.5数据保护
4.5.1应用程序数据（Web内容）和操作系统文件（Web服务器软件）应当分别存
储在不同的磁盘逻辑分区或物理分区。

4.5.2数据存储在数量和时间上的限制应根据法律要求、管理规定和业务要求，并
要遵守相关的数据留存规定。

4.5.3保密数据（包括日志文件）在文件访问和共享上应最小权限，这些数据文件
包括：
4.5.3.1验证文件；
4.5.3.2日志文件；
4.5.3.3备份文件；
4.5.3.4保密的应用程序数据；
4.5.3.5灾难恢复文件。

4.5.4任何数据库都应禁止直接访问，所有的访问都应通过编程化的方法。

4.5.5只有数据库管理员有权限直接访问和查询数据库。

4.5.6数据库应用程序的ID只能被应用程序本身所使用。

4.5.7保密和内部数据（包括所有的验证数据）在传输过程中应使用强加密保护。

4.5.8所有启用了SSL的资源都应禁用HTTP访问。

4.5.9所有的SSL弱密码都应在服务器上禁用。

4.5.10在密钥的交换和存储中应采用安全密钥管理流程。

4.5.11只有来自可信源的SSL认证才能被使用。

4.5.12不再需要的旧数据和备份文件应当删除。

4.5.13已删除的文件应在操作系统级别彻底删除。

4.5.14服务器硬件硬盘在废弃或移作他用之前，应对其使用低格式化工具，磁化
或物理损毁来安全消除数据，防止数据内容被重建恢复。

4.5.15所有非必要的共享（包括默认管理员共享）应被移除，基于角色的接入共
享应被禁止。

4.6输入和输出管理
4.6.1应使用参数化SQL查询以防止SQL注入攻击。

4.6.2所有用户输入的字段都应验证。

4.6.3为防止跨站请求伪造，应在所有的请求中添加唯一的token并验证。

4.6.4上传文件的大小、类型和内容都应验证，以确保不覆盖已有文件的目标路径。

4.6.5内容安全策略或者跨站脚本在http头中验证防护应部署，以抵御普通的反
射性跨站脚本攻击。

4.6.6应根据当前漏洞管理的最佳做法（如OWASP指南，乌云平台等），对其他普
遍漏洞提供适当的防护。

4.7安全代码/应用/插件
4.7.1应评估第三方应用的安全性，其应用部署需得到相关服务拥有者的批准。

4.7.2开发人员在代码安全技术上应有必要的培训，包括如何避免普通代码漏洞和
理解敏感数据如何在内存中处理。

4.7.3应用程序的开发应基于《安全代码指南》。

4.7.4自定义代码在部署到生产环境之间应审核代码漏洞。

4.7.5测试程序和脚本不应部署在生产服务器上。

4.7.6所有的供应商开发的应用程序安装的默认脚本和测试文件都应删除。

4.7.7如果应用程序需要匿名访问，应使用创建的最低权限匿名账号。

4.7.8匿名账户在Web内容目录上不应有写入权限，不能执行命令行工具。