《网络信息服务安全准入要求对照表.docx》由会员分享,可在线阅读,更多相关《网络信息服务安全准入要求对照表.docx(2页珍藏版)》请在第一文库网上搜索。
1、网络信息服务安全准入要求对照表编号安全准入要求满足与否(如果满足,应提供证明材料和截图)1系统必须保证为正常上线系统,须更新为最新。禁止采用失去技术升级的操作系统(如:windows2003等);禁止采用含有已知漏洞的组件、应用程序、框架(如:StrUtS2.5-StrUtS2.5.10)、应用程序服务器、web服务器、数据库服务器和平台定义,以上系统必须执行安全配置,禁止默认安装。所有的软件应该保持及时更新。如采用struts2的系统原则上不允许对校外提供服务。2从木机关闭不需要的端口(如:关闭Windowsnetbios等服务)设置本机防火墙对于访问的源地址进行限制(如iptab1es)同
2、时相关服务设置类似hosta11ow、hostdeny等策略。3数据库和应用系统如在同一台服务器,须采用本机回路进行访问;如前端及健库分为不同服务器,须设置本机防火墙访问规则,禁止非前端服务器访问数据库网络端口。4使用最低权限的数据库用户作为web应用所需,禁止具有不必要的额外权限。5保证系统服务正常与上线系统一致,无各种调试、报错信息(如:断点,Printf等调试信息)及注释信息,系统需删除系统默认安装的各种例程、文档及管理程序。6对用户输入进行严格有效过滤,防止SQ1注入、XSS跨站脚本、命令执行、CRSF跨站请求伪造等,建议采用白名单过滤策略。7禁止在HTTP请求中以明文或可逆编码(如b
3、ase64、ur1编码等)的形式传递SQ1语句到后端程序(块执行,禁止由Web前端直接生成和传递SQ1语句到球库进行执行,数据库查询必须采册瞬译和t数结构R查询。如蝴序触需要将SQ1语句作为内容(非可执行代码的形式,如学生毕业设计、代码样例等)到后台,请在系统上线交付前书面说明相应的功能代码及位置。8控制上传点:对于上传文件类型进行严格控制(禁止使用JS进行控制),上传文件类型采用白名单限制,同时上传目录不能有执行权限,原则上不允许有未经登陆验证的上传点。9设置有效的身份认证、会话管理及访问控制机制,防止越权、平行权限及提权等(禁止使用JS进行控制及验证)。10密码复杂度要求:系统必须有密码复
4、杂度检查模块,设置有效的验证码或者滑动手势等手段防止暴力破解,密码强制要求“字母+数字+特殊符号,至少两类以上,大小写区分,长度不少于8个字符形式高强蟋码;密码E个户名、邮箱用户名、手机号码相同,密码中不要有类似abed1234、11223344、he11onameIq2w3e4r等常见键盘、英文单词、简单拼音组合密码。11禁止在数据库中明文存放用户密码,需进行带sa1t的哈希之后入库。对于多次错误登陆进行封堵;如果长期不登陆默认账号应停用处理。12对于个人身份信息、财务信息、健康信息等敏感信息禁止在数据库中明文存放。13系统中禁止暴露配置信息(如数据库连接信息),源码备份文件,.git,.svn仓库等;严禁在github等平台公布代码。14须按照标准端口配置http或https服务,严禁自行设置I艮务端口,如有特殊需求,应在网络信息服务备案时详细说明原因。15系统的开发商和应用系统的个人开发者,对于因为程序代码、框架技术以及使用的中间件而产生的应用系统漏洞或bug等程序错误终身负责维护,应签署相应的维保承诺函。16对于需要登录的网络信息服务,应向信息中心提供测试账号和密码用于安全准入测试。