欢迎来到天天文库
浏览记录
ID:46508443
大小:212.50 KB
页数:20页
时间:2019-11-24
《[论文]XXX电子商务网站安全加固报告》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、XXX电子商务网站安全加固报告目录Hi了商务网站安全力口固报告1目录2一、加I固主机歹!J表3二、加固实施42.1操作系统加固42.1.1补丁安装42.1.2帐号、口令策略修改42.1.3网络与服务加固42.1.4文件系统加固52.1.5日志审核增强62.1.6安全性增强72.1.7推荐安装安全工具82.2IIS服务加固82.2.1补丁安装82.2.2网站实例权限分配82.2.3HS配置安全增强92.2.4安全控件加固92.3代码市核加固102.3.1清除WebShell代码102.3.2清除SQL
2、注入漏洞102.3.3修正权限认证缺陷102.3.4减少上传风险威胁112.3.5正确处理数据库文件11三、推荐安全注意事项122.1为新增网站实例分配权限123.2使用SSL加密FTP传输123.3加强管理员安全习惯12四、签字确认13附录:14后台访问用户认证分配一览表14代码加固修改一览表14>加固主机列表本次安全加固服务的对彖包括:编号IP地址操作系统用途或服务H2112lXX.XX.XX.2Windows2000Server提供电子商务服务,有偿提供考试资料填写规则:编号统一使用“型号一地
3、址缩写一数字”型号(H-主机;D—设备),数字使用三位数字顺序号。%1.加固实施2・1操作系统加固2.1.1补丁安装编号:■Windows-02001名称:补丁安装系统以往状态:Windows2000ServicePack4IE最新积累补丁方案实施■使用Windows叩date安装最新补丁实施目的可以使系统版本为最新版本实施风险■安装补丁可能导致主机启动失败,或其他未知悄况发生2.1.2帐号、口令策略修改编号:Windows-03002,Windows-03003,Windows-03004名称:帐
4、号口令策略修改系统以往状态:密码长度最小值0字符密码最长存留期42X密码最短存超期0天帐号锁定计数器无帐户锁定时间0帐户锁定阀值无方案实施密码长度授小值7字符密码最长存超期9()天密码最短存留期30天帐号锁定计数器5次帐户锁定时间5分钟帐户锁定阀值1分钟实施目的1保障帐号以及口令的安全实施风险设宜帐号策略后可能导致不符合帐号策略的帐号无法登陆,需修改帐号密码(注:管理员不受帐号策略限制,但管理员密码应复杂)2.1.3网络与服务加
5、编号:Windows-04003,Windows-04004名称:卸载
6、不需要的服务系统以往状态:已安装的不必要的服务包括:DNS服务DHCP服务MSFTP服务SNMP服务方案实施开始1设置腔制而板添加/删除程序Windows组件卸载不需要的服务实施冃的避免未知漏洞给主机带來的风险实施风险■可能由于管理员对主机所开放服务不了解,导致该服务被卸载。编号:Windows-04005名称:将暂吋不需要开放的服务停止系统以往状态:已启动且需要停止的服务包括:ComputerBrowser服务Alerter服务Messenger服务方案实施开始1运行Iservices.mscl将
7、上述服务的启动类型设置为手动并停1上上述服务实施冃的避免未知漏洞给主机带來的风险实施风险■可能由于管理员对主机所开放服务不了解,导致该服务被卸载。2.1.4文件系统加固编号:Windows-05002名称:限制特定执行文件的权限系统以往状态:未对放感执行文件设置合适的权限方案实施通过实施我公司的安全策略文件对特泄文件权限进行限制,禁止Guests用户组访问这些文件。实施冃的禁止Guests用户组访问以下文件:xcopy•exewscript.execscript.exenet•exearp•exee
8、dlin.exeping.exeroute•exeposix.exeRsh.exeatsvc.exeCopy.execacls•exeipconfig.exerep・exeemd.exedebug•exeregedt32.exeregedit•exeedit•comtelnet.exeFinger.exeNslookup•exeRexec•exeftp•exeat.exerunonce.exenbtstat.exeTracert.exenetstat.exe实施风险在极少数情况下,某些网贝町能调用c
9、md.exe来完成某种功能,限制cmd.exe的执行权限可能导致调用emd失败。2.1.5日志审核增强编号:Windows-06001设置主机审核策略系统以往状态:审核策略更改无审核审核登录事件无审核审核对象访问无审核审核过程追踪无审核审核冃录服务访问无审核审核特权使用无审核审核系统事件无审核审核帐户登录事件无审核审核帐户管理无审核方案实施通过实施我公司的安全策略文件修改下述值:市核策略更改成功审核登录事件无审核审核对象访问成功,失败审核过程追踪无审核审核目录服务访问
此文档下载收益归作者所有