一、 总则
本规范是长春师范大学所有各种网站制作的唯一依据,依据公安部、工业和信息化部、教育部对网站制作及网站安全方面的相关标准及文件制定。
所有提交网络中心,需要对外公开发布的网站,必须经过网络中心的安检测试,只有符合本规范要求的源程序,方可提交至服务器中生效;如安检中发现网站源码中有任何不符合本规范要求的或提送方要求中止安检的,一律不予发布,发回提送方对问题源码进行重新编写,直至符合规范要求再进行安检和发布。
二、通行标准(适于任何源程序)
1. 网站程序中不得存在留言板、论坛、聊天室等互动内容,如有特殊需要进行开放,必须起草相关申请报送网络中心,并由网络中心转交公安机关、通信管理机关、出版审查机关进行备案批复,备案批复生效后方可开通相应互动内容。开放互动内容时,网站的提送方必须有专人对互动信息进行审核监管,并签订信息安全责任书。
2. 网络可提供的服务平台有以下几种:
Windows+asp+access,windows+asp+mysql
windows+asp.net+access,windows+asp.net+mysql
除此之外不提供任何其他平台支持,请网站提送方在编写源码时特别注意。
3.提送方在网站发布后,必须立即将高级管理员密码按包含大小写字母及特殊符号的规则进行修改,必须及时对网站内容进行相应维护,在使用中发现任何问题应及时通知网络中心,网站源码全部或部分更新时,必须重新进行安检。
三、ASP源码安全规范
1.文件部分
禁止安装webshell后门程序。
严格检查注入漏洞。
禁止第三方上传组件。
禁止将可执行文件和非ASP、HTML、CSS、JAVASCRIPT程序文件传入服务器。
使用FSO时必须在函数参数选项中设置为只读方式读取文件内容, 禁止开启对站点根目录以外的文件、目录的访问功能。
使用HTML编辑器的必须对上传页面进行登录检测。
2.函数与协议
禁止使用后门函数与组件(例:Eval ()、execute ())。
禁止使用除http以外的TCP/IP协议(例:mail,mms)。
3.用户登陆验证
严格控制session和cookie的生命周期,控制结束语句。
用户名、密码必须以POST方式登陆,并对POST来的数据进行字符串过滤,过滤掉特殊字符。
对登陆信息和错误登陆信息必须有日志记录。
4.表单部分
表单中的数据提交到的目标文件,目标文件中必须对接收来的POST数据进行字符的过滤,严禁出现 OR AND || ` 等特殊字符。
表单中除HTML编辑器中的代码,其它表单中的代码必须对ASP和HTML代码进行过滤。
对于GET来的内容必须进行严格的特殊字符过滤,防止sql注入严格控制POST和GET的数据。
5.数据库
ACCESS数据库文件名要保证安全,不被下载.在文件名前加#或在数据库内设置密码或添加防下载函数。
ACCESS数据库文件后缀必须是MDB或ASA使用非ACCESS数据库必须提前告知网络中心。
数据库操作执行完成后,必须关闭数据库连接。
所有针对数据库操作的变量,必须将select,insert,update,delete, union, into,load_file, outfile /*, ./ , ../ , `等等危险的参数字符串全部过滤掉。
四、JSP源码安全规范
1.禁止模块:论坛,聊天室,留言板等互动模块。
2.防止注入:登陆模块必须添加防止SQL注入过滤逻辑。
3.数据验证:除客户端(js)验证,数据提交必须有JAVA程序验证。
4.权限严格:后台所有管理页面必须添加权限验证模块。
5.上传文件:必须控制上传文件类型,不允许上传.jsp的文件。
6.数据库连接:每次数据库操作后必须关闭数据库连接。
7.网站编码:所有页面采取统一编码方式,GBK或GB2312或UTF-8。
8.数据库:普通网站应采取mysql数据库开发,如要采用ORACLE需 特殊申请。
长春师范大学网络中心
