贯彻落实指引
二○○八年七月
证券期货业信息系统安全检查
贯彻落实指引
门户网站及网上交易系统因联接互联网,易成为不法分子攻击和干扰的目标,各单位应加强防范,关闭或删除门户网站及网上交易服务器上不必要的应用、服务、端口和链接;限制易被攻击、利用的网站栏目和功能;存在重大安全隐患,短期内无法解决的网站,应予以关闭。证券、期货营业部如有自建的网站、论坛,应关闭或与其总部的网站合并。 过渡时期
1.1漏洞、木马、病毒检测
1.1.1安装实时升级,在线扫描的木马、病毒防护软件 目前病毒、木马种类繁多,危害极大,病毒程序发作可造成网络堵塞、系统瘫痪;被植入木马后会导致主机被控,进而以此为跳板对重要主机和网络设备发起包括拒绝服务式攻击在内的各种攻击行为,造成严重后果,威胁证券期货业信息系统的安全,因此,安装正版的防木马、病毒软件,并及时升级非常重要。
1、各单位应对所有服务器和终端设备安装正版的防木马、病毒软件;对于因防病毒软件与应用软件冲突或其他原因(如有的操作系统下无防病毒软件)不能安装防病毒软件时,应采取其它措施(如限制程序执行权限等)加以保护,防止感染病毒。
2、对服务器进行病毒库升级和给系统打补丁时,应先测试通过后再进行升级;各单位应在内部办公网内建立专门的防病毒服务器和操作系统补丁分发服务器(针对检索词WINDOWS平台),统一到互联网上获取最新病毒定义码和操作系统补丁,并将更新情况形成日志文件;其它设备应统一从专门服务器获取最新病毒定义码和系统补丁。 钢芯铝绞线
对于在交易业务网内的服务器和终端设备升级,应通过定期下载补丁包和病毒库升级包,在能够保证安全、专用的机器上刻录成只读光盘(留档保存一个月),再到交易业务网对服务器和终端设备进行手工升级。
3、服务器、终端设备应采取实时扫描机制,禁止在交易时间内对服务器进行全面病毒扫描,以免因占用系统资源,引起系统性能和稳定性下降。对新上线的设备必须在接入运行网络前安装防毒软件,并进行一次全面扫描检测。
1.1.2建立定期扫描并修补漏洞的工作制度
操作系统和应用程序中不可避免存在各种漏洞,随着时间的推移会不断暴露出来;此外,在系统建设和使用的过程中防火墙、网络设备和服务器的配置和参数设置不当(如使用缺省的用户名和口令等配置),也会留下安全隐患。因此建立定期扫描并修补漏洞的工作制度,形成定期检查、发现问题、修补漏洞的机制是必要的。
1、工作制度应当明确负责进行此项工作的责任人员和工作职责,扫描检测的内容和程序,端口和漏洞的扫描工具,扫描检测的频率(不得少于每月一次),扫描检查结果的处理情况,针对发现漏洞制定的整改方案和整改结果,并保存文档备查。
2、对新上线的设备必须在接入运行网络前进行全面扫描检测。
3、对行业内通报的重大安全隐患,应立即进行专项安全检查。
4、负责安全管理的责任人员要对防火墙、入侵检测、路由器等网络和安全设备的接口参数、过滤规则进行梳理,修正不当配置;对服务器上的应用服务进行排查,关闭与业务无关的服务。
5、如公司自身能力不足,应在工作制度中明确规定,外聘安全服务机构协助完成。
1.1.3对网站进行全面检查,消除sql注入漏洞、弱口令帐户、绕过验证、目录遍历、文件上传、下单网页未使用HTTPS单连波加密机制等安全隐患
SQL注入漏洞是由于网站服务器脚本未限制特殊字符,未限制最大长度,也未隐藏报错信息导致的,黑客通过提交包括特殊字符的贺州水污染sql语句,绕过执行条件,输入超出数据库字段长度的值导致报错,从没有隐藏的报错信息得到库表结构等敏感信息,进而分析数据库类型、发现WEB虚拟目录,上传ASP木马,获得管理员权限。
弱口令指简单且容易被黑客利用软件破解的口令。
绕过验证攻击指由于网站后台管理系统的验证过程存在隐患,黑客利用特殊的字符串组合绕过登陆验证,从而获取网站管理权限。
目录遍历攻击指利用对网站服务器操作系统中网站服务系统的设置、缺省用户权限控制、网站管理系统编程等缺陷,访问在正常情况下受限制的目录,并在Web服务器的根目录以外执行命令,进而危及网站安全。
文件上传攻击指利用网站提供的文件上传功能,通过Web页面提交到网站服务器上,如网站未对上传文件进行任何限制,不法分子可上传并执行有安全问题的文件,进而获得服务器控制权。
下单网页未使用HTTPS加密机制可导致用户名、口令,交易指令被截取等安全隐患。
以上几种典型的网站安全隐患,一旦发生会导致网络堵塞、系统瘫痪、主机被控、敏感信息泄露,甚至会引发黑客以网站为跳板对重要主机和网络设备发起包括拒绝服务式攻击在内的各种攻击行为,造成严重后果,威胁证券期货业信息系统的安全。因此,消除这些安全隐患是非常重要的。
针对网站的安全隐患,应进行但不限于以下工作:
1、及时更新操作系统安全补丁,关闭无关服务、网络端口。
2、数据库管理、网站操作系统、网站后台管理等重要用户的口令长度不低于12位,并采用数字、字母、符号混排的方式;限制这些用户不必要的权限;删除操作系统及服务模块默认管理用户帐号。
3金山手机卫士塞班、对服务器的逻辑磁盘和默认目录应当设定权限,合理设置逻辑磁盘、目录属性;应将网站目录和文件所在逻辑磁盘与操作系统所在逻辑磁盘分离;如果已经安装在一个逻辑磁盘,应该将重要系统文件移动到其它目录中加以隐藏。
4、在网页脚本中对用户输入内容进行长度、格式、类型、特殊符号、内容等项目的检查。
5、对上传文件进行大小、属性、类型等限制,并检查其安全性;对数据存储过程加密;设置网站程序运行出错信息页面,防止直接将错误信息返回客户端。
6、禁用TRACE或TRACK等用来调试web服务器连接的HTTP方式。
7、下单网页应采用HTTPS加密机制。
8、如公司自身能力不足,应在工作制度中明确规定,外聘安全服务机构协助完成。
1.2门户网站和网上交易系统隔离
1.2.1对门户网站和网上交易系统进行严格隔离
由于门户网站系统易受到来自互联网的攻击,如未与网上交易系统进行严格隔离,黑客可将被控制的门户网站服务器作为跳板对网上交易系统发起各种攻击行为,造成严重后果,威胁网上交易系统的安全。因此,对门户网站和网上交易系统进行严格隔离是十分必要的。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议