2023年-论天津城市建设学院网站建设技术安全规范.docx
《2023年-论天津城市建设学院网站建设技术安全规范.docx》由会员分享,可在线阅读,更多相关《2023年-论天津城市建设学院网站建设技术安全规范.docx(9页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、天津城市建设学院网站建设技术安全规范(2009 年8 月)为了确保学校网站的建设质量,各二级单位在网站建设过程中,应充分考虑技术安全问题,将一些安全风险和隐患消除在网 站建设阶段,为网站的安全运行奠定基础。一、技术安全要求网站建设的技术安全内容包括网站运行环境、功能设计、网站 开发、网站防护、安装部署、维护管理六个方面。1、部署安全的网站运行环境。设置服务器操作系统、选择合 适的数据库和Web服务软件,并消除安全隐患。2、设计科学的网站功能。根据用户需求,合理划分网站栏目、 灵活共享站际信息,后台管理功能要齐全、网站数据应能够备份 和恢复。3、采用合理的开发方案。根据自身技术实力,选择合适的开
2、 发模式、开发技术和开发工具,封堵开发漏洞,做好异常情况处 理。4、落实网站安全防护措施。加强访问控制,严格用户管理, 制定防篡改方案。5、严格网站安装部署流程。严格进行功能和性能测试、信息 安全检查、技术安全检查,配置Web服务软件、数据库和网站权 限。6、明确网站维护管理办法。加强日志管理,做好数据备份,规范网站内容更新方法,落实网站安全检查制度,制定应急处理 预案,明确网站管理人员职责。二、技术安全配置方法网站建设阶段应全面考虑网站的环境安全,重点考虑网站的 设计安全,充分考虑网站的运行安全,具体处理方法参考网站 建设技术安全参照表。信息化建设管理中心2009年8月10日项目名称分项内容
3、建议处理方法运行环境操作系统常用的服务器操作系统有Windows系列和Unix/linux系列两类, 安装后应修改其默认设置以消除可能存在的安全隐患。针对Windows系列操作系统:建议使用Windows Server 2003 SP2以上版本;安装所有已发布的漏洞补丁;并开启操作系统自 动更新及防火墙功能;禁用Telnet TCP/IP NetBIOS Helper Print Spooler Computer Browser Remote Registry 等不需要的月艮务; 禁用Guest帐号;关闭文件共享功能。针对Unix/Linux系列操作系统:建议使用FreeBSD 7.1、Sol
4、aris 10 U6 GA1或者Red Hat Enterprise Linux 5以上版本;只安装需要 的工具和服务;开启系统自带防火墙;关闭远程控制功能;将用 户登陆错误次数限制为3-5次。数据库常用的数据库有ACCESS MySQL :种,应根据网站规模进行 选择。ACCESS数据库:建议小型网站使用。应为Access数据库文件 设置强密码防止非授权用户的访问;修改数据库文件名为复杂的 字符串,修改文件后缀名为asp或者asa,如将access.mdb修改为 abcdl2!#$.asp,防止非法下载。MySQL数据库:建议中型网站使用。根据需要设置不同的用户 权限,防止非授权用户修改数据
5、库。Web服务软件常用的Web服务软件有IIS、Apache Apache+Tomcat三种,应 根据网站采用的技术架构进行选择。US:建议用静态HTML、ASP和ASP.NET技术开发的网站使 用。应选择HS6.0以上版本;禁用IIS自带默认网站;禁用“所 有未知CGI扩展”、“未知ISAPI扩展”等不需要的Web服务扩 展功能;禁止用户通过浏览器浏览网站目录;禁止Web服务通过 浏览器向客户端发送错误提示信息。Apache +Tomcat:建议用JSP技术开发的网站使用。在使用Apache的基础上,再安装Tomcat,应选择以上版 本;启用日志功能;禁用Tomcat的Web管理的功能;禁止
6、用户 通过浏览器浏览网站目录;为默认admin帐号设置强密码;禁止 Web服务通过浏览器向客户端发送错误提示信息。功能设计栏目设计根据用户需求合理划分网站栏目,主要栏目应在主页显示,严禁 出现没有内容的栏目或测试中的栏目。后台管理应提供栏目设置、信息发布、信息审核、帐号管理、备份与恢复、 统计与日志分析、客户端IP限制等功能;对于多处出现的相同信 息,做到一处存放,多处使用,避免信息冗余;后台链接地址要 隐蔽,避免非授权用户随意访问。备份恢复网站应具备数据备份与恢复功能,能够实现网站数据的自动定时 备份和手动备份;管理员应定期将备份数据下载保存,以备在网 站出现异常情况时进行快速恢复和重建。内
7、容加密与保护网站管理员密码等敏感信息应加密后存储;网站发布的重要文档 应转换为PDF格式,并使用Adobe Acrobat等工具为PDF文件加 密或添加数字签名,防止文档被随意复制和传播。网站开发开发模式常用的开发模式有自主开发、合作开发、委托开发二种,应根据 实际需要与自身技术实力进行选择:自主开发:开发人员必须具备网站开发经验,熟悉网站开发流 程和安全防范技术。网站所属部门应确保开发人员能够对网站进 行后续的升级和安全漏洞修补,确认网站没有后门,没有已知的 安全漏洞。合作开发:网站建设单位与公司合作开发应签订合作开发协 议,技术服务协议和保密协议,明确分工,保证网站的质量和安 全。网站开发
8、完毕后应明确源代码、开发文档及版权的归属以及 网站的升级和安全防护等后续服务条款。委托开发:网站建设单位委托公司开发应签订委托开发协议、 技术服务协议和保密协议,保证网站的质量和安全。公司应向网 站建设单位提供网站设计方案、开发文档、带注释的源代码,组织技术培训,并提供版权的归属声明以及网站的升级和安全防护 等后续服务条款。合作开发与委托开发应与实力强和信誉好的软件公司合作,优先 考虑有安全资质或网站建设成功案例的公司。常见的网页分为静态网页和动态网页两大类,这两类网页的实现 技术不同,网站建设单位应根据实际需要与开发技术实力进行选 择:静态网页开发技术:主要指HTML技术,建议功能简单、更新
9、频率低的网站使用。HTML对开发者技术要求较低,但能够实现 开发技术的功能有限,无法实现信息的动态更新,后期维护比较困难。动态网页开发技术:包括ASP、ASP.NET、JSP等,建议功能 复杂,需要经常进行信息更新的网站使用。此类技术功能强大, 但对开发者的要求较高,如果程序设计有缺陷,容易出现安全漏 洞,需要开发者有较强的安全防范意识和技能。网站平台是一套用来开发和管理网站的系统,网站建设可以使用 开源网站平台,也可以购买商业网站管理平台,网站建设单位应 根据本单位情况选择:开源网站管理平台:指源代码完全公开的网站管理平台,网站 建设单位可以免费获取,但要想获得服务,必须支付费用。应使 用最
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2023 天津 城市建设 学院 网站 建设 技术 安全 规范
限制150内