Web服务器安全设置检查表

网络信息安全检查表【模板】一、物理安全1、机房环境机房温度、湿度是否在规定范围内？机房是否具备有效的防火、防水、防尘、防静电措施？机房的通风和照明是否良好？2、设备防护服务器、网络设备等是否放置在安全的机柜中，并采取了防盗措施？关键设备是否有冗余电源供应？3、访问控制机房是否有严格的人员出入管理制度，记录进出人员的身份和时间？机房钥匙是否由专人保管，是否存在多把钥匙分散管理的情况？二、网络架构安全1、网络拓扑网络拓扑结构是否清晰合理，易于维护和管理？关键网络设备是否有备份和冗余机制？2、访问控制是否划分了不同的网络区域，如内网、外网、DMZ 区等，并实施了相应的访问控制策略？网络访问是否基于最小权限原则，用户只能访问其工作所需的资源？3、防火墙和入侵检测防火墙规则是否定期审查和更新，以确保其有效性？入侵检测系统是否正常运行，是否及时处理报警信息？4、网络设备安全网络设备的登录密码是否足够复杂，并定期更改？网络设备的操作系统和软件是否及时更新补丁？三、系统安全1、操作系统服务器和客户端操作系统是否为正版软件？操作系统是否及时更新补丁，关闭不必要的服务和端口？是否设置了合理的用户账号和权限，避免出现超级用户权限滥用的情况？2、数据库数据库是否采取了加密存储措施，保护敏感数据？数据库的备份和恢复策略是否有效，备份数据是否定期测试？3、应用系统应用系统是否经过安全测试，是否存在已知的安全漏洞？应用系统的用户认证和授权机制是否健全？四、数据安全1、数据备份是否制定了定期的数据备份计划，包括全量备份和增量备份？备份数据是否存储在异地，以防止本地灾害导致数据丢失？备份数据的恢复流程是否经过测试，确保在需要时能够快速恢复数据？2、数据加密敏感数据在传输和存储过程中是否进行了加密处理？加密算法是否足够强大，密钥管理是否安全？3、数据销毁当不再需要的数据需要销毁时，是否采用了安全的销毁方法，确保数据无法恢复？五、用户管理1、用户认证用户的登录是否采用了多因素认证，如密码、令牌、指纹等？密码策略是否符合强度要求，如长度、复杂度、定期更改等？2、用户授权用户的权限分配是否基于其工作职责，避免权限过高或过低？对用户权限的变更是否有严格的审批流程和记录？3、用户培训是否定期对用户进行网络信息安全培训，提高其安全意识？培训内容是否包括密码管理、防范网络钓鱼、数据保护等方面？六、应急响应1、应急预案是否制定了详细的网络信息安全应急预案，包括事件分类、响应流程、责任分工等？应急预案是否定期演练和更新，确保其有效性？2、事件监测是否建立了有效的事件监测机制，能够及时发现网络安全事件？对事件的监测是否涵盖了网络流量、系统日志、用户行为等方面？3、事件处理在发生网络安全事件时，是否能够迅速采取措施进行遏制和恢复？是否按照规定的流程进行事件报告和记录？七、安全审计1、日志管理系统、网络设备、应用系统等是否开启了日志功能，并定期备份和保存？日志的存储时间是否符合法规和业务要求？2、审计分析是否定期对日志进行审计分析，发现潜在的安全威胁和异常行为？审计结果是否及时报告给相关人员，并采取相应的措施？3、合规性审计网络信息安全措施是否符合相关的法律法规、行业标准和内部政策要求？是否定期进行合规性审计，发现并整改不符合项？。

Tomcat Web服务器安全配置基线目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)第2章账号管理、认证授权 (2)2.1账号 (2)2.1.1共享帐号管理 (2)2.1.2无关帐号管理 (2)2.2口令 (3)2.2.1密码复杂度 (3)2.2.2密码历史 (4)2.3授权 (4)2.3.1用户权利指派 (4)第3章日志配置操作 (6)3.1日志配置 (6)3.1.1审核登录 (6)第4章IP协议安全配置 (7)4.1IP协议 (7)4.1.1支持加密协议 (7)第5章设备其他配置操作 (8)5.1安全管理 (8)5.1.1定时登出 (8)5.1.2更改默认端口 (8)5.1.3错误页面处理 (9)5.1.4目录列表访问限制 (10)第1章概述1.1 目的本文档规定了Tomcat WEB服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行Tomcat WEB服务器的安全配置。

1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

1.3 适用版本4.x、5.x、6.x版本的Tomcat Web服务器。

第2章账号管理、认证授权2.1 账号2.1.1共享帐号管理2.1.2无关帐号管理2.2 口令2.2.1密码复杂度2.2.2密码历史2.3 授权2.3.1用户权利指派第3章日志配置操作3.1 日志配置3.1.1审核登录第4章IP协议安全配置4.1 IP协议4.1.1支持加密协议第5章设备其他配置操作5.1 安全管理5.1.1定时登出5.1.2更改默认端口5.1.3错误页面处理备注5.1.4目录列表访问限制安全基线项目名称Tomcat目录列表安全基线要求项安全基线编号SBL-Tomcat-05-01-04安全基线项说明禁止tomcat列表显示文件检测操作步骤1、参考配置操作(1) 编辑tomcat/conf/web.xml配置文件，<init-param><param-name>listings</param-name> <param-value>true</param-value></init-param>把true改成false(2)重新启动tomcat服务基线符合性判定依据1、判定条件当WEB目录中没有默认首页如index.html,index.jsp等文件时，不会列出目录内容2、检测操作直接访问http://ip:8800/webadd备注。

检查项目检测内容过期、备份、测试页面检查WEB站点是否存在以下内容：过期页面或站点、用于备份网站内容的页面或压缩包、用于测试WEB应用运行状态的测试页面信息泄露检查WEB应用默认错误页面是否会泄露应用版本信息、主机IP、物理路径等，检查页面源文件是否泄露内部IP、绝对路径等，检查是否存在.svn目录用户枚举检查是否能通过用户登录页面、密码取回页面对系统存在的用户名进行猜测口令暴力破解检查对用户登录是否有错误次数限制，是否会在规定错误次数后，对用户进行锁定或冻结图形验证码检查用户登录页面是否使用了图形验证码技术，用户登录失败后是否会在服务端对当前验证码进行强制刷新密码修改检查用户登陆后在修改当前密码时，是否会要求输入原密码或要求进行二次认证会话超时检查用户登录并空闲一定时间后，是否会对用户会话进行检测，对超时会话进行自动终止cookie内容检查当前登录用户的cookie内容是否包含用户口令信息或简单加密后口令内容绕过授权检查当前登录用户是否能够通过修改提交参数、URL地址访问非授权页面或数据权限提升检查当前用户能否通过修改提交参数，修改当前用户权限用户弱口令检查当前系统是否存在弱口令账户目录遍历检查是否存在目录遍历漏洞后台管理路径检查是否存在默认的后台管理路径业务逻辑检查当前系统在处理其业务功能时，是否存在逻辑错误跨站漏洞检查当前站点是否存在跨站脚本攻击漏洞SQL注入检查当前站点是否存在SQL注入漏洞命令执行检查当前站点是否存在远程命令执行漏洞文件上传检查当前站点是否存在任意文件上传漏洞文件包含检查当前站点是否存在远程、本地文件包含漏洞文件下载检查当前站点是否存在任意文件下载漏洞说明级别检查方法WEB站点存在的过期、备份、测试页面，往往会泄露页面源代码、网站目录文件、站点绝对路径等敏感信息低使用具有网页爬虫功能的WEB扫描软件对站点文件进行列举，使用字典文件对WEB站点可能存在的敏感文件进行探测WEB应用默认错误页面，如:401、404、500；页面源文件；.svn目录往往会泄露应用程序版本信息、IP信息、物理路径等敏感信息低使用WEB漏洞扫描工具对站点页面进行爬虫测试，或手工输入错误、超长等URL，根据WEB服务器返回的错误信息进行判断通过登录页面的错误信息提示，如：用户密码错误、用户名不存在、请输入正确的用户名等，能够对用户名进行枚举低在用户登录页面输入错误用户名及密码、在密码找回页面输入任意用户名，根据返回的错误信息提示，确认存在用户枚举漏洞若对用户错误登录次数未做限制，可使用HTTP Fuzzer工具对用户口令进行暴力破解中在用户登录页面对某用户连续输入错误的用户口令，测试是否会提示登录限制提示登录页面若未使用验证码技术可对用户口令进行暴力猜解，验证码在服务端未做强制刷新，或在本地使用js刷新情况下验证码均可被绕过低在用户登录失败后，测试验证码是否会自动刷新，抓包分析验证码刷新是否在服务端进行已登录用户在修改密码时，若未要求输入原密码或二次认证时，可能会被他人恶意修改低尝试修改当前用户密码，测试是否必须输入旧密码或进行手机短信等二次认证对用户登录若未设置会话超时并自动终止，当前会话可能会被他们恶意利用低测试用户空闲一定时间后，再次操作页面时，是否会被要求重新进行身份验证cookie内容处理不当，可能导致cookie欺骗、跨站、网络钓鱼等攻击，从而导致账户信息泄露中用户登陆后，使用cookie查看、管理工具查看当前cookie是否包含明文密码或简单加密后的账户信息系统中部分页面对用户权限控制不严格，导致用户可以绕过当前权限访问其他用户页面获取非授权的数据信息高在提交用户参数时，使用HTTP代理软件对数据进行截断，并修改其中的用户信息为他人账号；修改当前地址栏中URL关键参数，测试能否参看、修改他人页面或数据系统中按照用户的不同级别，使用ID值来进行区分，在用户提交的数据包中，使用当前ID值来判断用户级别，对该ID 值进行篡改后，可以以高权限用户身份进行操作或将当前用户加入到高权限用户组高使用HTTP代理软件将用户提交数据包进行截断，测试是否包含标识用户身份的ID值，修改当前ID为其他用户组，测试是否能获取其他用户组权限系统为设置用户口令策略，部分用户为方便记忆而设置了弱口令，可以被他人轻易猜解高使用类似：账户名、123456、111111、abc123等弱口令，尝试能否利用当前用户登录成功，使用Acunetix WVS并结合弱口令字典对用户口令进行破解WEB应用对目录未作安全限制，导致在URL中直接对某目录进行访问时，不会返回403错误，而直接显示当前目录下的所有文件中在URL中直接访问站点目录名，测试是否会显示目录文件信息；使用WEB漏洞扫描工具对站点进行扫描探测当前系统管理后台是否使用了常见的管理目录名、路径，如admin、manager、admin_login.php等中手工使用常见后台路径进行猜测；使用WEB漏洞扫描工具对站点进行爬虫及目录猜解；使用字典文件对可能存在的后台路径进行探测系统在处理某些流程中，某些环节存在设计缺陷，在逻辑上可以在某些环节直接绕过，如：短信验证码绕过、注销任意登录用户高使用HTTP代理软件将提交及返回的数据包进行截获，分析其中包含的关键字段、参数，测试能否对业务处理过程中的某些流程进行绕过系统对用户的输入信息未作任何检查及过滤，而直接输出到用户浏览器，导致跨站攻击，该漏洞常被用于：挂马、盗取cookie等攻击中在存在用户交互的页面，提交类似<script>alert(“xss”)</script>的跨站测试代码，测试系统是否对特殊字符进行了过滤；使用WEB漏洞扫描工具进行跨站漏洞探测系统将用户输入未经检查就用于构造数据库查询，用户据此漏洞可以对数据库信息进行查询、修改、删除等操作，将导致管理员信息、用户信息直接泄露高在URL参数值后面提交类似：'、and1=1、-1等注入测试语句，根据页面返回内容判断是否存在注入漏洞；使用WEB漏洞扫描工具进行SQL注入探测系统对用户提交的请求缺少正确性过滤检查，用户可提交恶意命令的参数，在系统上执行系统命令高使用WEB漏洞扫描工具对站点进行扫描，通过不断尝试修改提交参数，测试是否存在命令执行漏洞系统上传页面对用户身份未进行验证，导致任意用户可直接访问上传页面，并具有任意文件上传权限；用户登陆后具有文件上传权限，但未对文件格式做严格限制，可上传恶意的脚本文件到远端主机高使用WEB漏洞扫描工具或结合字典文件对系统存在的上传页面进行探测；测试上传页面是否在服务端对文件格式有严格限制；用户登陆后查找文件上传点，测试能否上传任意文件系统使用某些危险函数去包含任意文件时，对要包含的文件来源过滤不严，用户可以构造文件路径，使程序能包含该文件，从而获取到文件内容或执行远程恶意脚本高手工在URL中对某些参数使用类似../../的路径替换，测试是否能包含上级目录或系统文件；使用WEB漏洞扫描工具进行自动化扫描测试系统对外提供了文件下载功能，但文件下载对路径未做安全过滤，用户可以构造文件路径，对主机上任意文件进行下载中手工在URL使用类似../../来构造文件下载路径，测试能否对主机其他文件进行下载；使用WEB漏洞扫描工具进行自动化测试支持工具Acunetix WVS、wwwscan、绿盟极光漏洞扫描器Acunetix WVS、绿盟极光漏洞扫描器手工输入验证手工输入验证Fiddler、Firefox 手工输入验证手工输入验证FirefoxFiddler、Firefox Fiddler、Firefox Acunetix WVS。

服务器安全巡检表服务器安全巡检表1·服务器基本信息●服务器名称：●服务器型号：●操作系统版本：●服务器IP地质：●服务器位置：2·物理安全●服务器存放环境是否符合要求：●服务器温度、湿度是否正常：●服务器是否接地良好：●服务器是否放置在锁定的机柜内：3·操作系统安全●操作系统是否更新至最新补丁：●是否启用了防火墙：●是否对操作系统进行了加固：●是否限制了无关的服务和端口的运行：●是否对操作系统进行了日志监控和审计：4·数据库安全●数据库版本是否更新至最新补丁：●是否限制了数据库的远程访问：●数据库账号密码是否强度足够：●是否对数据库进行了日志监控和审计：5·网络安全●是否设置了访问控制列表（ACL）：●是否加密了敏感数据传输：●是否对网络设备进行了定期检查和更新：●是否配置了入侵检测系统（IDS）和入侵防御系统（IPS）：6·应用安全●应用程序是否更新至最新版本：●是否对应用程序进行了加固：●是否对应用程序进行了访问控制：●是否对应用程序进行了输入验证和输出过滤：●是否对应用程序设置了合适的帐号锁定策略：7·数据备份与恢复●是否进行了定期的数据备份：●是否对备份数据进行了加密存储：●是否对备份数据进行了完整性校验：●是否进行了数据恢复测试：8·日志记录与分析●是否启用了完整的日志记录功能：●是否对日志进行了定期备份和存储：●是否进行了日志的实时监控和分析：●是否对异常日志进行了及时处理：9·安全漏洞扫描与风险评估●是否进行了定期的安全漏洞扫描：●是否进行了系统风险评估和安全漏洞修复：●是否对扫描结果进行了详细分析和处理：10·系统权限和访问控制●是否进行了用户权限的审计和管理：●是否对员工的网络访问权限进行了管理：●是否限制了敏感信息的访问权限：●是否对员工进行了安全意识培训：附件：本文档涉及的附件法律名词及注释：●防火墙：是一种用于网络安全的系统，用于在网络与外界之间控制和监视数据传输。

网络安全检查表1、介绍网络安全检查是确保计算机系统和网络安全的重要工作之一。

本文档旨在提供一个全面的网络安全检查表，以确保组织能够进行完整的检查，并采取适当的措施来保护其网络免受潜在的威胁。

2、网络基础设施检查2.1 网络拓扑图- 检查和更新网络拓扑图，确保其准确反映当前网络架构。

- 识别关键网络设备，如路由器、交换机、防火墙等。

2.2 网络设备配置- 检查网络设备的配置文件，确保安全设置已经启用。

- 评估对外部访问的控制措施，例如访问控制列表（ACLs），防火墙规则等。

2.3 网络访问控制- 检查网络访问控制机制，如网络隔离、VLAN配置等。

- 确保仅授权人员能够访问敏感网络资源。

2.4 网络设备更新和维护- 确保网络设备的固件和软件都是最新的版本，并及时安装安全补丁。

- 定期备份网络设备的配置文件，并测试恢复过程。

3、系统安全检查3.1 操作系统安全配置- 确保服务器和工作站的操作系统配置满足最佳安全实践。

- 禁用不必要的服务和服务端口。

3.2 用户权限和访问控制- 评估用户权限和访问控制机制，确保权限分配符合最小权限原则。

- 建立并执行密码策略，包括密码长度、复杂性和定期更改等。

3.3 强化安全设置- 启用和配置防火墙，以限制对系统的访问。

- 定期更新操作系统和应用程序，以修补已知的漏洞。

4、应用程序安全检查4.1 应用程序配置- 检查应用程序的安全设置，如安全连接、认证和授权机制等。

- 确保应用程序的错误报告和日志记录功能已经启用。

4.2 数据安全- 评估应用程序对敏感数据的保护措施，例如数据加密和访问控制。

- 确保应用程序遵循数据隐私和合规要求。

4.3 弱点和漏洞扫描- 定期进行应用程序的弱点和漏洞扫描，以及渗透测试。

- 及时修复发现的漏洞和弱点，并验证修复效果。

5、数据备份和恢复- 确保制定了完善的数据备份策略，并测试了恢复过程。

- 存储备份数据在安全的位置，并采取适当的加密措施保护备份数据。

信息系统网络安全检查表信息系统网络安全检查表1.网络设备安全检查1.1 路由器安全检查- 配置是否加密，是否使用强密码- 是否开启远程管理功能，如果开启，是否有安全认证措施- 是否启用访问控制列表（ACL），是否配置正确1.2 防火墙安全检查- 防火墙是否处于最新版本，是否有安全漏洞- 防火墙配置是否允许合法的网络流量，是否存在安全隐患- 是否配置防火墙日志，是否启用及定期分析防火墙日志1.3 交换机安全检查- 是否配置了端口安全功能，限制非法设备接入- 是否启用了端口镜像功能，用于网络流量监测- 是否定期检查交换机配置，防止未授权的更改1.4 无线网络安全检查- Wi-Fi是否采用WPA2加密，是否启用了强密码策略 - Wi-Fi信号是否泄露至社会区域，是否有合适的覆盖范围- 是否定期更换Wi-Fi密码，避免密码被2.软件安全检查2.1 操作系统安全检查- 是否安装最新的安全补丁，是否定期更新操作系统- 是否开启了防火墙，是否定期检查防火墙配置- 是否禁用了不必要的服务和端口2.2 应用软件安全检查- 是否安装合法和具备信誉的应用软件- 是否禁用了不必要的应用软件，避免安全隐患- 是否配置正确的应用软件权限，限制恶意软件的利用2.3 数据库安全检查- 数据库是否设置了强密码，是否定期更换密码- 数据库是否加密存储敏感数据- 是否有访问控制机制，限制数据库访问权限3.用户安全检查3.1 用户权限管理检查- 用户账号是否处于最小权限原则，是否存在未授权的特权- 用户账号是否使用强密码，是否定期更换密码- 是否禁用了未使用的或已过期的用户账号3.2 员工安全意识培训检查- 员工是否接受了网络安全培训，了解基本安全意识- 是否定期组织网络安全演练，提高员工应对安全事件的能力- 是否存在员工违规操作行为，是否有相应的纠正措施4.日志与监测检查4.1 安全事件日志- 是否启用了日志记录功能，记录重要的安全事件- 是否定期分析安全事件日志，及时发现异常行为- 是否设置了日志保留期限，以满足法律和合规要求4.2 安全设备监测- 是否有专门的安全设备进行网络流量监测- 是否定期检查安全设备性能和配置- 安全设备是否能够及时响应并处理安全事件附件：附件1：网络设备配置清单附件2：安全漏洞扫描报告附件3：安全事件日志法律名词及注释：1.信息安全法：指中华人民共和国国家信息安全法，于2017年6月1日正式实施，主要对信息安全管理、网络安全要求等方面进行了规定。

WebLogicWeb服务器安全配置基线目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)第2章账号管理、认证授权 (2)2.1账号 (2)2.1.1账号锁定策略 (2)2.2口令 (2)2.2.1密码复杂度 (2)第3章日志配置操作 (4)3.1日志配置 (4)3.1.1审核登录 (4)第4章IP协议安全配置 (5)4.1IP协议 (5)4.1.1支持加密协议 (5)4.1.2限制应用服务器Socket数量 (5)4.1.3禁用Send Server Header (6)第5章设备其他配置操作 (7)5.1安全管理 (7)5.1.1定时登出 (7)5.1.2更改默认端口 (7)5.1.3错误页面处理 (8)5.1.4目录列表访问限制 (8)第1章概述1.1 目的本文档规定了WebLogic Web服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行WebLogic Web服务器的安全配置。

1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

1.3 适用版本6.x、7.x、8.x版本的WebLogic Web服务器。

现在最新的weblogic服务器时9.1，此文件不适用与最新的服务器第2章账号管理、认证授权2.1 账号2.1.1账号锁定策略2.2 口令2.2.1密码复杂度第3章日志配置操作3.1 日志配置3.1.1审核登录第4章IP协议安全配置4.1 IP协议4.1.1支持加密协议4.1.2限制应用服务器Socket数量4.1.3禁用Send Server Header第5章设备其他配置操作5.1 安全管理5.1.1定时登出5.1.2更改默认端口5.1.3错误页面处理5.1.4目录列表访问限制。

windows服务器安全巡检表-------------------Windows服务器安全巡检表-------------------1.服务器基本信息1.1 服务器名称：1.2 系统版本：1.3 IP地质：1.4 服务器角色：1.5 运行时间：2.账户安全2.1 常用账户列表：- 账户1：- 是否使用强密码：是/否- 密码过期时间：- 是否启用账户锁定策略：是/否- 账户2：- 是否使用强密码：是/否- 密码过期时间：- 是否启用账户锁定策略：是/否 - …3.系统更新3.1 是否自动更新Windows系统：是/否 3.2 更新时间：3.3 是否安装最新的安全补丁：是/否4.防火墙设置4.1 是否开启Windows防火墙：是/否 4.2 防火墙规则设置：- 规则1：- 应用程序/端口：- 允许/拒绝：- 规则2：- 应用程序/端口：- 允许/拒绝：- …5.安全策略5.1 密码策略：- 密码是否符合复杂性要求：是/否 - 密码最小长度：- 密码到期提醒天数：- 密码最短使用期限：- …6.文件系统6.1 敏感文件和目录权限：- 文件/目录1：- 权限设置：- 文件/目录2：- 权限设置：- …7.日志审计7.1 审计策略：- 是否启用账户登录审计：是/否- 是否启用文件和目录的审计：是/否 - …8.远程访问控制8.1 是否启用远程桌面服务：是/否8.2 远程桌面服务设置：- 连接是否加密：是/否- 客户端连接限制：- …9.端口和服务9.1 是否关闭不必要的端口和服务：是/否 9.2 端口和服务列表：- 端口/服务1：- 是否开放：是/否- 端口/服务2：- 是否开放：是/否- …10.安全备份10.1 是否定期备份关键数据：是/否 10.2 备份策略：- 备份时间：- 数据备份位置：- …11.防护11.1 是否安装杀毒软件：是/否11.2 杀毒软件版本：11.3 最近一次库更新时间：12.附件附件1：…13.法律名词及注释13.1 法律名词1：注释13.2 法律名词2：注释13.3 …。

Tomcat Web服务器安全配置基线目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)第2章账号管理、认证授权 (2)2.1账号 (2)2.1.1共享帐号管理 (2)2.1.2无关帐号管理 (2)2.2口令 (3)2.2.1密码复杂度 (3)2.2.2密码历史 (4)2.3授权 (4)2.3.1用户权利指派 (4)第3章日志配置操作 (6)3.1日志配置 (6)3.1.1审核登录 (6)第4章IP协议安全配置 (7)4.1IP协议 (7)4.1.1支持加密协议 (7)第5章设备其他配置操作 (8)5.1安全管理 (8)5.1.1定时登出 (8)5.1.2更改默认端口 (8)5.1.3错误页面处理 (9)5.1.4目录列表访问限制 (10)第1章概述1.1 目的本文档规定了Tomcat WEB服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行Tomcat WEB服务器的安全配置。

1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

1.3 适用版本4.x、5.x、6.x版本的Tomcat Web服务器。

第2章账号管理、认证授权2.1 账号2.1.1共享帐号管理2.1.2无关帐号管理2.2 口令2.2.1密码复杂度2.2.2密码历史2.3 授权2.3.1用户权利指派第3章日志配置操作3.1 日志配置3.1.1审核登录第4章IP协议安全配置4.1 IP协议4.1.1支持加密协议第5章设备其他配置操作5.1 安全管理5.1.1定时登出5.1.2更改默认端口5.1.3错误页面处理备注5.1.4目录列表访问限制安全基线项目名称Tomcat目录列表安全基线要求项安全基线编号SBL-Tomcat-05-01-04安全基线项说明禁止tomcat列表显示文件检测操作步骤1、参考配置操作(1) 编辑tomcat/conf/web.xml配置文件，<init-param><param-name>listings</param-name> <param-value>true</param-value></init-param>把true改成false(2)重新启动tomcat服务基线符合性判定依据1、判定条件当WEB目录中没有默认首页如index.html,index.jsp等文件时，不会列出目录内容2、检测操作直接访问http://ip:8800/webadd备注。

(完整版)电子安全专项检查表1. 信息系统硬件设备检查1.1 服务器安全性检查- [ ] 确保服务器设备存放在安全可靠的环境中，远离潜在的物理威胁。

- [ ] 检查服务器设备是否安装最新的安全补丁和更新，以确保系统没有已知的安全漏洞。

- [ ] 确保服务器设备的访问权限受到适当的控制，只有授权人员可以进行远程或物理访问。

- [ ] 定期对服务器设备进行物理安全检查，包括检查设备的完整性和密封情况。

1.2 网络设备安全性检查- [ ] 确保网络设备（如路由器、交换机）使用强密码来保护访问权限。

- [ ] 检查网络设备的管理接口是否安全配置，禁止使用默认的用户名和密码。

- [ ] 确保网络设备上的远程管理功能只对授权的管理员开放，且通过安全的通道进行访问。

- [ ] 检查网络设备是否启用了适当的防火墙和入侵检测/防御系统。

2. 信息系统软件检查2.1 操作系统安全性检查- [ ] 确保操作系统已安装最新的安全补丁和更新。

- [ ] 检查操作系统的访问控制设置，限制非授权用户的访问权限。

- [ ] 确保操作系统上的防火墙功能已启用，且配置合理。

- [ ] 定期进行操作系统漏洞扫描，及时对发现的漏洞进行修补。

2.2 应用程序安全性检查- [ ] 检查应用程序是否使用了已知的安全漏洞组件，必要时升级或替换漏洞组件。

- [ ] 确保应用程序的访问控制设置，仅限授权用户访问关键数据和功能。

- [ ] 检查应用程序是否具有合适的错误处理和异常处理机制，以防止潜在的安全漏洞被利用。

- [ ] 定期进行应用程序的安全性代码审查和渗透测试，发现并修复潜在的安全漏洞。

3. 数据安全性检查3.1 数据备份和恢复检查- [ ] 确保数据备份操作已经规范化，包括定期备份、备份介质的存放和管理。

- [ ] 检查数据备份恢复功能的有效性，包括测试数据的完整性和可恢复性。

3.2 数据存储访问控制检查- [ ] 确保敏感数据存储区域的物理访问受到限制，只有授权人员可以进入。

网站平安检查列表WEB平安电脑资料不管是做什么网站，平安是首先要考虑的，而且应该是非常重视网站的平安，1. 跨站脚本（XSS）：向阅读器发送未经检查的用户提供的数据的构造。

用户提供的数据的问题是它完全超出了你的控制，而且它非常容易伪造 referrer的值和隐藏表单字段中的值。

所以，在处理表单时，仔细验证数据并使用“回绝所有，允许少量”策略，也就是“黑”、“白”问题。

黑就是把一些认为是危险的字符制止，然后允许剩下的所有字符；白就是只承受我成认的字符，其他的一概回绝。

相对来说，白比黑明白更好，因为我们在考虑黑时，总会或多或少的漏掉一些东西，而且我们并不可以会想象出恶意用户会采用什么样的方法来攻击系统；而对于白而言，比方用户名，我只允许用户名为英文字符和数字，其他的一概回绝，这样就能防止一些恶意的用户名了。

还有就是发表博客，或者论坛的帖子时，假设允许HTML标签，可能就会破坏整个页面的布局。

2. 注入攻击：SQL注入可能是我们议论的最多的网站攻击了。

防御的方法很简单，就是将从用户处接收到的数据全部转义。

3. 恶意文件执行：允许执行没有驻留在效劳器删的任何脚本将使攻击者执行效劳器上的任意代码成为可能。

这一攻击的后果包括未被觉察的从应用程序中的数据提取或者效劳器的全部泄密。

恶意文件执行攻击适用于带有文件名（全部或者部分）或者带有于用户的文件的任何系统。

4. 不平安的直接对象引用：一种形式就是修改URL地址中参数的值，想要获取其他本不属于自己的或本不存在的信息；还有就是利用在脚本内引用文件的形式来实现。

第二种情况是什么意思呢，就是说我们通过传过来的URL参数来包含相应的文件，可是假设传递的参数是恶意的，就会包含意外的文件而受到攻击。

因此，我们在使用URL地址传递过来的参数时，也应当进展相应的检查。

记住——用户提交的信息并不仅限于URL和表单参数！应当检查以确保未经检查的cookie值、恳求头和内容值也没有用在脚本中。

网站安全检查登记表
检查汇总表
检查时间： 202X 年 4 月 7 日
填表说明
1.《网站安全检查登记表（全面）》适用于网站正式运行前和每年年检时记录检查情况，包括《检查汇总表》、《操作系统安全检查登记表》、《安全防护软件检查登记表》、《Web服务软件安全检查登记表》、《网站内容安全检查登记表》和《系统安全漏洞检查登记表》6部分。

2.全面检查时1台服务器及其上安装的操作系统、相关软件和网站等填写1套表格。

例如：1台服务器安装了1套操作系统、1套安全防护软件、1套Web服务软件和3个网站，应填写《检查汇总表》1张，《操作系统安全检查登记表》、《安全防护软件检查登记表》、《Web服务软件安全检查登记表》各1张，《网站内容安全检查登记表》3张，《系统安全漏洞检查登记表》可根据实际检查方法单独编写测试报告。

没有检查或不适用的项目（登记表）不填，例如：在网络中心申请空间建设网站的单位自行进行安全检查时，只需网站内容，可以只填写1张《检查汇总表》和1张《网站内容安全检查登记表》。

3.检查具体方法和标准参照《第四军医大学网站安全检查技术规范》。

4.检查中发现的问题、处理方法和结果应简洁、明确的记录。

5.不同检查项目可根据情况由不同人员执行，但必须记录清楚，并由他人对检查情况进行复核。

检查和相关处理完成后由检查人和负责人分别在《检查汇总表》上签字确认。

操作系统安全检查登记表。

深圳市沙井中学网络安全检查登记表
检查汇总表
检查时间： 2010 年 4 月 7 日
填表说明
1.《沙井中学网络安全检查登记表》：每学期开学时开启校园网站至期末时关闭网站，其中开学、期中和期末分三次记录检查情况，包括《检查汇总表》、《操作系统安全检查登记表》、《安全防护软件检查登记表》、《Web 服务软件安全检查登记表》、《网站内容安全检查登记表》和《系统安全漏洞检查登记表》6部分。

2.全面检查时1台服务器及其上安装的操作系统、相关软件和网站等填写1套表格。

例如：1台服务器安装了1套操作系统、1套安全防护软件、1套Web服务软件和3个网站，应填写《检查汇总表》1张，《操作系统安全检查登记表》、《安全防护软件检查登记表》、《Web服务软件安全检查登记表》各1张，《网站内容安全检查登记表》3张，《系统安全漏洞检查登记表》可根据实际检查方法单独编写测试报告。

没有检查或不适用的项目（登记表）不填。

3.检查具体方法和标准参照《深圳市沙井中学网站安全检查技术规范》。

4.检查中发现的问题、处理方法和结果应简洁、明确的记录。

5.不同检查项目可根据情况由不同人员执行，但必须记录清楚，并由他人对检查情况进行复核。

检查和相关处理完成后由检查人和负责人分别在《检查汇总表》上签字确认。

操作系统安全检查登记表。

综合网络安全检查表一、网络设备安全- [ ] 确保路由器和交换机的固件已经升级到最新版本，并强制使用安全协议（如SSH）进行远程访问。

- [ ] 禁用路由器和交换机上的默认账号和密码，并设置复杂且独特的凭据。

- [ ] 定期更改路由器和交换机的管理凭据，确保密码安全性。

- [ ] 启用设备上的访问控制列表（ACL），仅允许授权的设备进行网络访问。

- [ ] 对网络设备进行实施物理安全措施，例如将其放置在锁定的机柜中，并限制只有授权人员可以接触设备。

二、防火墙和入侵检测系统（IDS/IPS）- [ ] 安装和配置防火墙，确保严格限制进入网络的流量，同时允许合法的流量通过。

- [ ] 定期审查防火墙的访问控制策略，以确保仅允许必要的服务和端口通过。

- [ ] 部署入侵检测系统（IDS）和入侵防御系统（IPS），以监视和阻止潜在的网络入侵。

- [ ] 确保IDS/IPS的规则集更新到最新版本，并定期检查其日志以发现异常活动。

三、安全补丁和漏洞管理- [ ] 确保操作系统和应用程序的安全补丁已经安装，并保持最新版本。

- [ ] 实施漏洞管理流程，包括定期漏洞扫描和修复。

- [ ] 检查系统和应用程序的安全配置，以确保安全最佳实践的实施。

- [ ] 监控公开的安全漏洞通告，并及时采取措施来修复已知的漏洞。

四、网络访问控制- [ ] 确保网络中的所有设备都已经安装并启用了终端防火墙和安全软件。

- [ ] 确认网络中的所有用户都拥有唯一的账号，并且用户凭据是强密码。

- [ ] 限制对网络资源的访问权限，只允许必要的用户和设备进行访问。

- [ ] 实施多因素身份验证以增强网络访问的安全性。

五、数据安全和备份- [ ] 确保重要数据的备份定期进行，并测试备份的可恢复性。

- [ ] 加密存储在云端和移动设备上的敏感数据。

- [ ] 限制员工对敏感数据的访问权限，仅授权人员可以访问。

- [ ] 监控和审计敏感数据的访问，以及数据的传输和存储。