WEB类应用系统安全防护技术要求

WEB类应用系统安全防护技术要求

ID:37903963

大小:2.50 MB

页数:29页

时间:2019-06-02

WEB类应用系统安全防护技术要求_第1页
WEB类应用系统安全防护技术要求_第2页
WEB类应用系统安全防护技术要求_第3页
WEB类应用系统安全防护技术要求_第4页
WEB类应用系统安全防护技术要求_第5页
资源描述:

《WEB类应用系统安全防护技术要求》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、中国移动通信有限网络部WEB类应用系统安全防护技术要求TechnicalSpecificationofSecurityforWebApplications版本号:1.0.0目录前言11适用范围22引用标准与依据23相关术语与缩略语23.1术语23.1.1注入漏洞23.1.2SQL注入攻击33.1.3跨站漏洞33.1.4跨站攻击33.1.5非法上传33.1.6缓冲区溢出33.1.7非法输入33.1.8网站挂马33.1.9拒绝服务攻击33.1.10跨站请求伪造43.1.11目录遍历攻击43.2缩略语44综述45WE

2、B类应用系统基本架构55.1业务逻辑结构55.2网络结构56WEB类应用风险分析66.1主要风险分析66.2脆弱性分析76.2.1物理76.2.2网络76.2.3设备76.2.4应用86.2.5内容96.2.6管理106.3威胁分析106.3.1物理106.3.2网络106.3.3设备116.3.4应用116.3.5内容127WEB类应用系统的安全防护需求137.1物理安全需求137.2分区防护需求137.2.1安全域划分要求137.2.2边界整合及域间互联安全要求147.3WEB类应用系统自身安全要求157.

3、3.1操作系统安全要求157.3.2中间件安全要求167.3.3数据库安全要求167.3.4应用软件自身安全要求177.4专用安全设备部署需求19II8WEB类应用系统的安全防护方案208.1安全域划分及边界访问控制208.2设备自身安全218.3防火墙等基础性安全技术防护手段的部署218.3.1入侵检测设备的部署218.3.2防病毒系统的部署218.3.3抗DDOS攻击设备的部署218.3.4专业性的WEB系统应用层安全防护系统228.3.5纳入集中安全管控平台管理范围258.4安全管理269WEB系统安全实

4、施思路2610编制历史26II前言当前,WEB类应用系统部署越来越广泛,与此同时,由于WEB安全事件频繁发生,既损害了WEB系统建设单位的形象,也可能直接导致经济上的损失,甚至产生严重的政治影响。本规范针对中国移动WEB类应用系统安全防护需求不断提高的状况,提出了WEB类应用系统安全防护的技术要求,作为中国移动WEB类应用系统安全防护系统规划、开发、建设以及维护各阶段组网和实施的依据。本规范主要包括以下几方面内容:系统基本架构、系统风险分析、安全防护要求、安全防护部署等。本规范首先明确了WEB类应用系统安全防护

5、的需求,进一步提出了具体的技术要求,并在此基础上,结合网络的实际情况,阐述了各种安全防护设备的具体部署原则。本标准由中国移动通信有限公司网络部提出并归口。本标准起草单位:中国移动通信有限公司网络部、中国移动通信集团设计院有限公司。本标准主要起草人:张琳,杜雪涛,周智,曹一生,袁捷,李欣,张冬晨,感谢绿盟科技、中兴通讯股份有限公司、诺基亚西门子公司,华为技术有限公司、亿阳安全技术有限公司的大力支持。1中国移动WEB类应用系统安全防护技术要求1适用范围本要求所指WEB系统为通过WEB方式提供网页浏览服务完成相应业务

6、功能,特别是与互联网存在接口的面向公众的业务系统,如门户网站、网上营业厅、数据业务门户等。WEB系统防护是一个复杂问题,包括应对网页篡改、DDOS攻击、导致系统可用性问题的其它类型黑客攻击等各种措施。其中网页篡改防护解决方案请参见《中国移动网页篡改及网页信息安全防护系统技术规范》的要求,网页篡改防护措施要求将不在本规范描述范围内。本规范作为中国移动通信有限公司、各省公司WEB类应用系统规划、开发、测试、部署等工作的依据。2引用标准与依据(1)《中国移动网页篡改及网页信息安全防护系统技术规范》(2)《互联网安全防

7、护要求》(YD/T1736-2008)(3)《移动通信网安全防护要求》(YD/T1734-2008)(4)《中国移动防火墙部署总体技术要求》(QB-W-001-2008)(5)《中国移动数据业务系统集中化安全防护技术要求》(6)《中国移动设备通用安全功能和配置规范》(7)《中国移动业务支撑网防病毒技术要求》(QB-J-004-2005)(8)《中国移动防集中病毒系统总体架构及技术要求》(9)《中国移动操作系统安全功能规范》(10)《中国移动网页安全漏洞扫描系统技术要求》(11)《中国移动互联网安全防护体系技术要

8、求》(12)《中国移动安全管控平台功能与技术规范》(13)《中国移动帐号口令集中管理系统功能与技术规范》3相关术语与缩略语3.1术语下列术语和定义适用于本要求:3.1.1注入漏洞可以让攻击者通过恶意的内容输入来改变应用程序执行动作的漏洞。比如改变接入控制,允许攻击者创建、修改、删除或者读取任何该应用程序可以读取的数据。26中国移动WEB类应用系统安全防护技术要求1.1.1SQL注入攻击

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。