网络信息服务安全准入要求对照表.docx

网络信息服务安全准入要求对照表编号安全准入要求满足与否（如果满足，应提供证明材料和截图）1系统必须保证为正常上线系统，须更新为最新。禁止采用失去技术升级的操作系统（如:windows2003等）；禁止采用含有已知漏洞的组件、应用程序、框架（如:StrUtS2.5-StrUtS2.5.10）、应用程序服务器、web服务器、数据库服务器和平台定义，以上系统必须执行安全配置，禁止默认安装。所有的软件应该保持及时更新。如采用struts2的系统原则上不允许对校外提供服务。2从木机关闭不需要的端口（如：关闭Windowsnetbios等服务）设置本机防火墙对于访问的源地址进行限制（如iptab1es）同时相关服务设置类似hosta11ow、hostdeny等策略。3数据库和应用系统如在同一台服务器，须采用本机回路进行访问；如前端及健库分为不同服务器，须设置本机防火墙访问规则，禁止非前端服务器访问数据库网络端口。4使用最低权限的数据库用户作为web应用所需，禁止具有不必要的额外权限。5保证系统服务正常与上线系统一致，无各种调试、报错信息（如：断点，Printf等调试信息）及注释信息，系统需删除系统默认安装的各种例程、文档及管理程序。6对用户输入进行严格有效过滤，防止SQ1注入、XSS跨站脚本、命令执行、CRSF跨站请求伪造等，建议采用白名单过滤策略。7禁止在HTTP请求中以明文或可逆编码（如base64、ur1编码等）的形式传递SQ1语句到后端程序（块执行,禁止由Web前端直接生成和传递SQ1语句到球库进行执行，数据库查询必须采册瞬译和t数结构R查询。如蝴序触需要将SQ1语句作为内容（非可执行代码的形式，如学生毕业设计、代码样例等）到后台，请在系统上线交付前书面说明相应的功能代码及位置。8控制上传点：对于上传文件类型进行严格控制（禁止使用JS进行控制），上传文件类型采用白名单限制，同时上传目录不能有执行权限,原则上不允许有未经登陆验证的上传点。9设置有效的身份认证、会话管理及访问控制机制,防止越权、平行权限及提权等（禁止使用JS进行控制及验证）。10密码复杂度要求：系统必须有密码复杂度检查模块，设置有效的验证码或者滑动手势等手段防止暴力破解，密码强制要求“字母+数字+特殊符号，至少两类以上，大小写区分，长度不少于8个字符形式高强蟋码；密码E个户名、邮箱用户名、手机号码相同，密码中不要有类似abed1234、11223344、he11onameIq2w3e4r等常见键盘、英文单词、简单拼音组合密码。11禁止在数据库中明文存放用户密码，需进行带sa1t的哈希之后入库。对于多次错误登陆进行封堵；如果长期不登陆默认账号应停用处理。12对于个人身份信息、财务信息、健康信息等敏感信息禁止在数据库中明文存放。13系统中禁止暴露配置信息（如数据库连接信息），源码备份文件，.git,.svn仓库等；严禁在github等平台公布代码。14须按照标准端口配置http或https服务，严禁自行设置!艮务端口，如有特殊需求，应在网络信息服务备案时详细说明原因。15系统的开发商和应用系统的个人开发者，对于因为程序代码、框架技术以及使用的中间件而产生的应用系统漏洞或bug等程序错误终身负责维护，应签署相应的维保承诺函。16对于需要登录的网络信息服务，应向信息中心提供测试账号和密码用于安全准入测试。