Web应用安全基线

Web应用安全配置基线

管理信息系统部

目录

第1章概述 (4)

1.1目的 (4)

1.2适用范围 (4)

1.3适用版本 (4)

1.4实施 (4)

1.5例外条款 (4)

第2章身份与访问控制 (5)

2.1账户锁定策略 (5)

2.2登录用图片验证码 (5)

2.3口令传输 (5)

2.4保存登录功能 (6)

2.5纵向访问控制 (6)

2.6横向访问控制 (6)

2.7敏感资源的访问 (7)

第3章会话管理 (8)

3.1会话超时 (8)

3.2会话终止 (8)

3.3会话标识 (8)

3.4会话标识复用 (9)

第4章代码质量 (10)

4.1防范跨站脚本攻击 (10)

4.2防范SQL注入攻击 (10)

4.3防止路径遍历攻击 (10)

4.4防止命令注入攻击 (11)

4.5防止其他常见的注入攻击 (11)

4.6防止下载敏感资源文件 (12)

4.7防止上传后门脚本 (12)

4.8保证多线程安全 (12)

4.9保证释放资源 (13)

第5章内容管理 (14)

5.1加密存储敏感信息 (14)

5.2避免泄露敏感技术细节 (14)

第6章防钓鱼与防垃圾邮件 (15)

6.1防钓鱼 (15)

6.2防垃圾邮件 (15)

第7章密码算法 (16)

7.1安全算法 (16)

7.2密钥管理 (16)

第8章评审与修订 (17)

第1章概述

1.1 目的

本文档规定了XXX管理信息系统部门所维护管理的Web应用服务器应当遵循的安全标准，本文档旨在指导系统管理人员进行Web应用安全基线检查。

1.2 适用范围

本配置标准的使用者包括：服务器系统管理员、应用程序管理员、网络安全管理员。

本配置标准适用的范围包括：中国移动总部和各省公司信息化部门所维护管理的Web 应用系统。

1.3 适用版本

基于B/S架构的Web应用

1.4 实施

本标准的解释权和修改权属于XXX管理信息系统部。

在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5 例外条款

欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交XXX管理信息系统部进行审批备案。

第2章身份与访问控制2.1 账户锁定策略

2.2 登录用图片验证码

2.3 口令传输

2.4 保存登录功能

2.5 纵向访问控制

2.6 横向访问控制

2.7 敏感资源的访问

第3章会话管理3.1 会话超时

3.2 会话终止

3.3 会话标识

3.4 会话标识复用

第4章代码质量4.1 防范跨站脚本攻击

4.2 防范SQL注入攻击

4.3 防止路径遍历攻击

4.4 防止命令注入攻击

4.5 防止其他常见的注入攻击

4.6 防止下载敏感资源文件

4.7 防止上传后门脚本

4.8 保证多线程安全

4.9 保证释放资源

第5章内容管理

5.1 加密存储敏感信息

5.2 避免泄露敏感技术细节

第6章防钓鱼与防垃圾邮件6.1 防钓鱼

6.2 防垃圾邮件

第7章密码算法7.1 安全算法

7.2 密钥管理

第8章评审与修订

本标准由XXX管理信息系统部定期进行审查，根据审视结果修订标准，并颁发执行。