1、*web服務器自查報告與整改方案省政府辦公廳:按照*好瞥人民政府辦公廳關于開展全省政府網站檢 查工作的通知（*瞰辦明電2011 134號）要求，為切實做 好政府網站安全管理工作，我局高度重視，立即召開相關人 員會議，就保障我局網站安全工作進行部署，確定了工作機 構、責任單位和責任人，及時對現有網站系統和政府網站安 全開展檢查，對檢查中發現的問題進行整改。現將自查和整 改情況報告如下：一、網站安全檢查總體情況"公x*好好好*好知局證3服務器網絡拓撲圖如上所示：互聯網出口通過路由器、防火墻連接至核心交換機設 備，核心交換機連接至匯聚層交換機、同時連接皈服務器。 我們與專業公司借了一套漏洞

2、評估系統，在網絡中對施b服 務器進行安全評估。（一）檢查方法1、手工檢查：在web服務器終端進行了相關的安全查 看。殺毒軟件的安裝、補丁的更新、安全策略的配置以及一 些不必要服務的關閉。2工具檢查：使用安全評估系統對施b網站的應用進 行安全評估，其中包括數據庫、他ache、以及網站的相關漏 洞（是否有xx注入點、跨站腳本、以及是否被掛馬等）進 行了全面的檢查。（二）檢查結果檢査項檢査結果1、sql注入攻擊隱患無2、跨站腳本攻擊隱患無3、弱口令符合要求4、操作系統補丁安全情況符合要求5、網站應用系統補丁安裝情況已經更改6、防病毒軟件升級情況符合要求7、網站是否被掛馬沒有&安全防護產品缺少

3、ids、漏洞掃描、網站防護設備、抗拒 絕服務攻擊措施。9、關閉或者禁用不必要的賬戶已經更改10、關閉不必要的應用已經更改11關閉不必要的服務已經更改12、定期更換口令可通過配置進行更改二、信息安全檢查整改情況針對檢查中發現的問題，我局及時制定了整改方案（見 附件），確定了責任人，嚴格按照通知要求進行整改。（一）加強組織領導我局迅速成立專項檢查領導組，并下設刃、公室。由檢查 領導小組辦公室人員負責進行此次網絡信息安全自查工作。（二）完善安全制度按照通知要求，對我局現有網站安全制度進行了梳理和 完善，進一步明確了安全責任，著力抓好安全制度落實。一是完善了安全責任制。按照“誰主管誰負責、誰運行 誰負

4、責、誰使用誰負責"的原則，對網站安全責任進行分解 細化：省局統一建設的網站系統，其安全性由省局負責，責 任單位是省局辦公室。二是制定了網絡信息安全應急預案。針對網絡信息系統 可能發生的安全事件，我局制定了 好*好*好*好好慍網站安全應急預案，明確規 定了應急機構、技術支持、緊急措施、現場保護、系統恢復 和總結報告等內容，并組織開展了一次網絡信息安全事件處 置模擬演練，提升了應對和處置突發網絡信息安全事件的能 力。三是強化網站信息發布審核制度。嚴格按照 *局在公共 信息網絡上發布信息 保密管理制度規定，切實做好上網信息審核與保密審查工 作。并對在用賬戶的權限進行必要限制，嚴格控制網站信

5、息 發布。所有上網信息必須嚴格按照規定的處理流程，經過審 核和保密審查之后，再由指定管理員上網發布，杜絕未經審 核直接上網發布信息。四是實行網絡信息安全責任追究制度。建立和完善網絡 信息安全責任追究制度，對因違反規定使用設備、發布有害 信息和泄漏涉密信息等情形造成安全事故的，將根據情節輕 重對直接責任人和責任人依據有關規定給予處分。（三）落實安全防范措施對網絡信息系統特別是網站群開展全面檢查和安全風 險評估，針對檢查中發現的問題和薄弱環節，采取積極有效 的防范措施，降低安全風險系數，確保網絡信息系統安全、 可靠運行。加強網站服務器端安全防范。定期升級服務器操作系 統、服務器、數據庫和防病毒等軟

6、件，消除潛在的系統 安全風險；對各類系統賬戶和口令進行全面清理，刪除無用 賬戶，設置復雜口令并定期更改；關閉和刪除不必要的應用、 服務、端口和網站頁面鏈接；定期跟蹤分析服務器系統日志 和網絡流量，一旦發現異常，立即采取緊急處理措施；暫停 網站群后臺部分管理賬戶，嚴格限制在用賬戶信息采集、審 核、發布權限，確保所發布信息內容的準確性和真實性。加強網站值班建立網站巡查與值班制度，明確工作職責，安排專人負 責網站值班，重點對門戶網站群和政府信息公開網運行情況 進行巡查和監測。是檢查新發布信息中是否有錯字、錯句或不宜在網站 上顯示的文字、圖片和附件；二是監測瀏覽網站內容，檢查 版面是否被篡改、是否被加

7、入了不良信息或鏈接，重點檢查 網站首頁、職能介紹、機構設置和辦事大廳等欄目；三是檢 查網站后臺管理系統用戶賬號及權限設置是否正常，網站模 板是否被篡改；四是定期分析服務器系統日志，檢查服務器 運行情況是否正常；五是做好網站系統數據備份工作，以便 發生安全事故后及時恢復系統。二o年-一月三日附件：web網站防護整改方案1.1手工加固服務器對于web服務器，首先要通過手工加固的方式避免一些不必要的風險，手工加固的步驟如下：> 將病毒庫升級到最新> 更新最新的系統補丁（可通過360安全衛士來進行）> 根據評估系統的掃描結果來進行應用程序以及數據庫的補丁更新（sql sp4補丁）&g

8、t; 卸載不必要的應用軟件，如qq、視頻播放軟件、迅雷等和web應用無關的應用軟件。> 關閉不必要的服務。（已經加固完畢）> 通過配置進行口令強度的強制以及密碼的更換頻率。對于針對網站掃描出的一些應用層的漏洞的解決方案如下:漏洞名稱o檢測到目標url啟用了不安全的http方法風險級別中漏洞描述檢測到目標web服務器配置成允許下列其中一個（或多個）http方法：delete, search,copy,move, propfind, proppatch, mkcol ,lock ,unlock .這些方法表示可能在服務器上使用了 wcbdav.由于dav方法允許客戶端操縱服務器上的 文

9、件，如果沒有合理配置dav,有可能允許未授權的用戶對英進行利用，修改服務器上的 文件。解決辦法如果服務器不需要支持webdav,請務必禁用它。或者為允許webdav的h錄配置嚴格的訪問權限，如認證方法，認證需要的用戶名，密碼。漏洞名稱°通過google搜索到目標站點存在可能包含敏感信息的文檔風險級別低漏洞描述該漏洞掃描根據google搜索結果判斷，可能出現誤報。google是非常流行的搜索引擎。通 過編輯搜索條件，在google上可搜索到某個站點上存在的文檔，包括doc,ppt,xls,vsd,prj,ini 等類型的文檔以及這些文檔中包含敏感信息的記錄。解決辦法如果搜索結果屮枚舉的

10、文檔包含非公開信息，建議限制此類文檔的訪問權限。漏洞名稱o檢測到目標url存在電子郵件地址模式風險級別低漏洞描述spambot搜尋因特網站點，開始查找電子郵件地址來構建發送自發電子郵件（垃圾郵件） 的郵件列衣。如果檢測到含有-或多個電子郵件地址的響應，可供利用以發送垃圾郵件。 而且，找到的電子郵件地址也可能是專用電子郵件地址，對于一般大眾應是不可訪問的。解決辦法從web站點中除去任何電子郵件地址，使惡意的用戶無從利用。漏洞名稱。檢測到目標網站存在無效鏈接風險級別低漏洞描述無效鏈接是指存在于頁而中，但其指向的資源己經不存在。本漏洞屬于web應用安全常 見漏洞.解決辦法建議刪除此處連接漏洞名稱。目

11、標服務器上存在cgi默認目錄風險級別低漏洞描述cgi全稱是“公共網關接n"(common gateway interface), http服務器訪問機器上的其他 應用程序的一種工具，其程序須運行在網絡服務器上。cgi腳木相關目錄是指web服務器 存放cgi應用程序的目錄,常見的cgi腳本目錄如cgi-bin, cgi-sys, scriptso基于該目錄，可進-步猜測服務器上可能存在的cgi應用程序，如果cgi應用程序存在 漏洞，可導致遠程執行命令。本漏洞屬于web應用安全常見漏洞.解決辦法變更cgi相關目錄的名稱。漏洞名稱o檢測到目標網站存在備份文件風險級別低漏洞描述檢測到目標網站

12、存在備份文件。備份文件中可能包含有敏感信息。如果攻擊者可以訪問該 文件，就有可能獲取到敏感信息。本漏洞屬于web應用安全常見漏洞。解決辦法如果不需要此類文件，刪除這些文件；或者嚴格限制此類文件的訪問權限。漏洞名稱°檢測到目標網站存在上傳 f載相關的目錄和文件風險級別低漏洞描述檢測到目標網站存在上傳下載和關的目錄和文件。上傳h錄-般具有可寫權限。攻擊者可 以預測文件上傳的路徑，便于和目標站點的其他漏洞攻擊結合攻擊目標服務器。解決辦法檢查此類目錄的訪問權限。如果不需要這些目錄，建議刪除。1.2部署相應的防護設備通過本次的檢查結果以及針對目前猖獗的網頁篡改問題，二網站沒有任何的針對網頁篡改的防護設備與檢測設備。建邂web服務器的網絡中部署相 應的硬件設備來對web網站進行實時的防護、檢測以及是期的安全掃描，在保護web網 站的安全同時也滿足國家監督局的要求。具體部署方案如下：對于前期的設備部署，考慮到資金緊缺的問題，以及對于現在所出現問題的嚴重性，和 被保護對彖的側重方面，建議先在服務器前端部署web應用防火墻，實時對外界對于web 服務器的篡改行為以及注入行為進行防護，同時有效防御外界的拒絕服務攻擊。而在后期我們在考慮以下的技術解決方案，對以完全滿足現階段風險的規避手段以及國 家局對網站系統信息安全的要求，如下圖： 在服