web服务器安全标准.pdf

Web服务器安全标准 题目 Web 服务器安全标准 文档编号 文档状态 草案 文档发布单位 西安石油大学信息中心 审批者 版本号 版本历史 版本日期 0.01 初稿 2015.11.30 0.02 初审更改稿 2015.12.01 003 ………… ………….. 1.1 批准发布终稿 前言和文档控制 此文档是西安石油大学制定发布的有关信息安全政策规定、 处理流程、 行业标准和指导 意见的系列文档之一。该文档应保证至少一年审核一次，以保证其有效性。 在没有得到文档发布者的明确授权下，此文档的全部或部分内容，均不得重制或发布。 1 / 5 目录 1 目的 3 2 范围 3 3 责任 3 4 Web服务器安全要求 3 4.1 总则 3 4.2 网络安全 3 4.3 流量过滤 3 4.4 合规性 4 4.5 数据保护 4 4.6 输入和输出管理 4 4.7 安全代码 / 应用 / 插件 4 2 / 5 1 目的 发布本文档所列标准的目的是为了保护学校网站和相关信息资产。 本标准的目标是为了 确保： 按照现有最佳的实践经验，在全校统一部署安全控制措施，以消除或者最低限 度的减少系统漏洞和其他安全隐患。 学校能在信息安全的完善方面更方便的有据监管、理解风险和评估改进。 所有的院系部门和网站开发人员都能了解相应的安全需求 2 范围 所列标准适用于学校所有的 web 网站服务器，包括：学校内部或第三方建设、采购、部 署、修改和维护的。具体为： 所有仅限内部和面向公共的 web 服务器 所有由外部供应商托管的面向公共的 web 服务器 所有通过学校或者代表学校的 web 服务器建设、采购、部署、修改和维护的 3 责任 以下学校实体具体的信息安全责任 学校信息化委员会 信息安全部门领导 信息安全小组 应支撑学校满足信息安全功能和防护的各项要求。 学院和部门领导 对所在部门的信息安全负有义务和责任。 Web服务器用户 对其处理的信息负有安全责任。 4 Web服务器安全要求 4.1 总则 4.1.1 基于风险分析的深度信息安全防范手段应被采用，包括： 安全控件在 Web服务器的每一层次上都应部署， 以避