省局web服務器檢查報告和整改方案

1、*web服務器自查報告與整改方案省政府辦公廳:按照*好瞥人民政府辦公廳關于開展全省政府網(wǎng)站檢 查工作的通知（*瞰辦明電2011 134號）要求，為切實做 好政府網(wǎng)站安全管理工作，我局高度重視，立即召開相關人 員會議，就保障我局網(wǎng)站安全工作進行部署，確定了工作機 構、責任單位和責任人，及時對現(xiàn)有網(wǎng)站系統(tǒng)和政府網(wǎng)站安 全開展檢查，對檢查中發(fā)現(xiàn)的問題進行整改?，F(xiàn)將自查和整 改情況報告如下：一、網(wǎng)站安全檢查總體情況"公x*好好好*好知局證3服務器網(wǎng)絡拓撲圖如上所示：互聯(lián)網(wǎng)出口通過路由器、防火墻連接至核心交換機設 備，核心交換機連接至匯聚層交換機、同時連接皈服務器。 我們與專業(yè)公司借了一套漏洞

2、評估系統(tǒng)，在網(wǎng)絡中對施b服 務器進行安全評估。（一）檢查方法1、手工檢查：在web服務器終端進行了相關的安全查 看。殺毒軟件的安裝、補丁的更新、安全策略的配置以及一 些不必要服務的關閉。2工具檢查：使用安全評估系統(tǒng)對施b網(wǎng)站的應用進 行安全評估，其中包括數(shù)據(jù)庫、他ache、以及網(wǎng)站的相關漏 洞（是否有xx注入點、跨站腳本、以及是否被掛馬等）進 行了全面的檢查。（二）檢查結果檢査項檢査結果1、sql注入攻擊隱患無2、跨站腳本攻擊隱患無3、弱口令符合要求4、操作系統(tǒng)補丁安全情況符合要求5、網(wǎng)站應用系統(tǒng)補丁安裝情況已經(jīng)更改6、防病毒軟件升級情況符合要求7、網(wǎng)站是否被掛馬沒有&安全防護產(chǎn)品缺少

3、ids、漏洞掃描、網(wǎng)站防護設備、抗拒 絕服務攻擊措施。9、關閉或者禁用不必要的賬戶已經(jīng)更改10、關閉不必要的應用已經(jīng)更改11關閉不必要的服務已經(jīng)更改12、定期更換口令可通過配置進行更改二、信息安全檢查整改情況針對檢查中發(fā)現(xiàn)的問題，我局及時制定了整改方案（見 附件），確定了責任人，嚴格按照通知要求進行整改。（一）加強組織領導我局迅速成立專項檢查領導組，并下設刃、公室。由檢查 領導小組辦公室人員負責進行此次網(wǎng)絡信息安全自查工作。（二）完善安全制度按照通知要求，對我局現(xiàn)有網(wǎng)站安全制度進行了梳理和 完善，進一步明確了安全責任，著力抓好安全制度落實。一是完善了安全責任制。按照“誰主管誰負責、誰運行 誰負

4、責、誰使用誰負責"的原則，對網(wǎng)站安全責任進行分解 細化：省局統(tǒng)一建設的網(wǎng)站系統(tǒng)，其安全性由省局負責，責 任單位是省局辦公室。二是制定了網(wǎng)絡信息安全應急預案。針對網(wǎng)絡信息系統(tǒng) 可能發(fā)生的安全事件，我局制定了 好*好*好*好好慍網(wǎng)站安全應急預案，明確規(guī) 定了應急機構、技術支持、緊急措施、現(xiàn)場保護、系統(tǒng)恢復 和總結報告等內(nèi)容，并組織開展了一次網(wǎng)絡信息安全事件處 置模擬演練，提升了應對和處置突發(fā)網(wǎng)絡信息安全事件的能 力。三是強化網(wǎng)站信息發(fā)布審核制度。嚴格按照 *局在公共 信息網(wǎng)絡上發(fā)布信息 保密管理制度規(guī)定，切實做好上網(wǎng)信息審核與保密審查工 作。并對在用賬戶的權限進行必要限制，嚴格控制網(wǎng)站信

5、息 發(fā)布。所有上網(wǎng)信息必須嚴格按照規(guī)定的處理流程，經(jīng)過審 核和保密審查之后，再由指定管理員上網(wǎng)發(fā)布，杜絕未經(jīng)審 核直接上網(wǎng)發(fā)布信息。四是實行網(wǎng)絡信息安全責任追究制度。建立和完善網(wǎng)絡 信息安全責任追究制度，對因違反規(guī)定使用設備、發(fā)布有害 信息和泄漏涉密信息等情形造成安全事故的，將根據(jù)情節(jié)輕 重對直接責任人和責任人依據(jù)有關規(guī)定給予處分。（三）落實安全防范措施對網(wǎng)絡信息系統(tǒng)特別是網(wǎng)站群開展全面檢查和安全風 險評估，針對檢查中發(fā)現(xiàn)的問題和薄弱環(huán)節(jié)，采取積極有效 的防范措施，降低安全風險系數(shù)，確保網(wǎng)絡信息系統(tǒng)安全、 可靠運行。加強網(wǎng)站服務器端安全防范。定期升級服務器操作系 統(tǒng)、服務器、數(shù)據(jù)庫和防病毒等軟

6、件，消除潛在的系統(tǒng) 安全風險；對各類系統(tǒng)賬戶和口令進行全面清理，刪除無用 賬戶，設置復雜口令并定期更改；關閉和刪除不必要的應用、 服務、端口和網(wǎng)站頁面鏈接；定期跟蹤分析服務器系統(tǒng)日志 和網(wǎng)絡流量，一旦發(fā)現(xiàn)異常，立即采取緊急處理措施；暫停 網(wǎng)站群后臺部分管理賬戶，嚴格限制在用賬戶信息采集、審 核、發(fā)布權限，確保所發(fā)布信息內(nèi)容的準確性和真實性。加強網(wǎng)站值班建立網(wǎng)站巡查與值班制度，明確工作職責，安排專人負 責網(wǎng)站值班，重點對門戶網(wǎng)站群和政府信息公開網(wǎng)運行情況 進行巡查和監(jiān)測。是檢查新發(fā)布信息中是否有錯字、錯句或不宜在網(wǎng)站 上顯示的文字、圖片和附件；二是監(jiān)測瀏覽網(wǎng)站內(nèi)容，檢查 版面是否被篡改、是否被加

7、入了不良信息或鏈接，重點檢查 網(wǎng)站首頁、職能介紹、機構設置和辦事大廳等欄目；三是檢 查網(wǎng)站后臺管理系統(tǒng)用戶賬號及權限設置是否正常，網(wǎng)站模 板是否被篡改；四是定期分析服務器系統(tǒng)日志，檢查服務器 運行情況是否正常；五是做好網(wǎng)站系統(tǒng)數(shù)據(jù)備份工作，以便 發(fā)生安全事故后及時恢復系統(tǒng)。二o年-一月三日附件：web網(wǎng)站防護整改方案1.1手工加固服務器對于web服務器，首先要通過手工加固的方式避免一些不必要的風險，手工加固的步驟如下：> 將病毒庫升級到最新> 更新最新的系統(tǒng)補?。赏ㄟ^360安全衛(wèi)士來進行）> 根據(jù)評估系統(tǒng)的掃描結果來進行應用程序以及數(shù)據(jù)庫的補丁更新（sql sp4補?。?g

8、t; 卸載不必要的應用軟件，如qq、視頻播放軟件、迅雷等和web應用無關的應用軟件。> 關閉不必要的服務。（已經(jīng)加固完畢）> 通過配置進行口令強度的強制以及密碼的更換頻率。對于針對網(wǎng)站掃描出的一些應用層的漏洞的解決方案如下:漏洞名稱o檢測到目標url啟用了不安全的http方法風險級別中漏洞描述檢測到目標web服務器配置成允許下列其中一個（或多個）http方法：delete, search,copy,move, propfind, proppatch, mkcol ,lock ,unlock .這些方法表示可能在服務器上使用了 wcbdav.由于dav方法允許客戶端操縱服務器上的 文

9、件，如果沒有合理配置dav,有可能允許未授權的用戶對英進行利用，修改服務器上的 文件。解決辦法如果服務器不需要支持webdav,請務必禁用它?；蛘邽樵试Swebdav的h錄配置嚴格的訪問權限，如認證方法，認證需要的用戶名，密碼。漏洞名稱°通過google搜索到目標站點存在可能包含敏感信息的文檔風險級別低漏洞描述該漏洞掃描根據(jù)google搜索結果判斷，可能出現(xiàn)誤報。google是非常流行的搜索引擎。通 過編輯搜索條件，在google上可搜索到某個站點上存在的文檔，包括doc,ppt,xls,vsd,prj,ini 等類型的文檔以及這些文檔中包含敏感信息的記錄。解決辦法如果搜索結果屮枚舉的

10、文檔包含非公開信息，建議限制此類文檔的訪問權限。漏洞名稱o檢測到目標url存在電子郵件地址模式風險級別低漏洞描述spambot搜尋因特網(wǎng)站點，開始查找電子郵件地址來構建發(fā)送自發(fā)電子郵件（垃圾郵件） 的郵件列衣。如果檢測到含有-或多個電子郵件地址的響應，可供利用以發(fā)送垃圾郵件。 而且，找到的電子郵件地址也可能是專用電子郵件地址，對于一般大眾應是不可訪問的。解決辦法從web站點中除去任何電子郵件地址，使惡意的用戶無從利用。漏洞名稱。檢測到目標網(wǎng)站存在無效鏈接風險級別低漏洞描述無效鏈接是指存在于頁而中，但其指向的資源己經(jīng)不存在。本漏洞屬于web應用安全常 見漏洞.解決辦法建議刪除此處連接漏洞名稱。目

11、標服務器上存在cgi默認目錄風險級別低漏洞描述cgi全稱是“公共網(wǎng)關接n"(common gateway interface), http服務器訪問機器上的其他 應用程序的一種工具，其程序須運行在網(wǎng)絡服務器上。cgi腳木相關目錄是指web服務器 存放cgi應用程序的目錄,常見的cgi腳本目錄如cgi-bin, cgi-sys, scriptso基于該目錄，可進-步猜測服務器上可能存在的cgi應用程序，如果cgi應用程序存在 漏洞，可導致遠程執(zhí)行命令。本漏洞屬于web應用安全常見漏洞.解決辦法變更cgi相關目錄的名稱。漏洞名稱o檢測到目標網(wǎng)站存在備份文件風險級別低漏洞描述檢測到目標網(wǎng)站

12、存在備份文件。備份文件中可能包含有敏感信息。如果攻擊者可以訪問該 文件，就有可能獲取到敏感信息。本漏洞屬于web應用安全常見漏洞。解決辦法如果不需要此類文件，刪除這些文件；或者嚴格限制此類文件的訪問權限。漏洞名稱°檢測到目標網(wǎng)站存在上傳 f載相關的目錄和文件風險級別低漏洞描述檢測到目標網(wǎng)站存在上傳下載和關的目錄和文件。上傳h錄-般具有可寫權限。攻擊者可 以預測文件上傳的路徑，便于和目標站點的其他漏洞攻擊結合攻擊目標服務器。解決辦法檢查此類目錄的訪問權限。如果不需要這些目錄，建議刪除。1.2部署相應的防護設備通過本次的檢查結果以及針對目前猖獗的網(wǎng)頁篡改問題，二網(wǎng)站沒有任何的針對網(wǎng)頁篡改的防護設備與檢測設備。建邂web服務器的網(wǎng)絡中部署相 應的硬件設備來對web網(wǎng)站進行實時的防護、檢測以及是期的安全掃描，在保護web網(wǎng) 站的安全同時也滿足國家監(jiān)督局的要求。具體部署方案如下：對于前期的設備部署，考慮到資金緊缺的問題，以及對于現(xiàn)在所出現(xiàn)問題的嚴重性，和 被保護對彖的側重方面，建議先在服務器前端部署web應用防火墻，實時對外界對于web 服務器的篡改行為以及注入行為進行防護，同時有效防御外界的拒絕服務攻擊。而在后期我們在考慮以下的技術解決方案，對以完全滿足現(xiàn)階段風險的規(guī)避手段以及國 家局對網(wǎng)站系統(tǒng)信息安全的要求，如下圖： 在服