青岛科技大学信息系统建设项目发布及运维管理办法

作者: 时间:2017-09-25 点击数:

第一章 总则

第一条 为进一步加强我校信息系统建设项目(以下简称“项目”)的交付发布及日常运维安全管理,促进信息系统项目交付发布工作统一规划、统一领导、统一组织、统一标准,特制定《青岛科技大学信息系统建设项目发布及运维管理办法 》(以下简称“办法”)。

第二条 未启动建设的全部信息系统建设项目,均按照本办法进行交付上线并进行日常运维的安全防护工作。

第二章 实施原则

第三条 项目交付发布工作必须遵循实事求是、客观公正、注重质量、讲求实效的原则,引入科学的评估机制,做到公平、公正、公开,保证交付发布工作的严肃性和科学性;

第四条 未通过第三方专业检测的项目,不予发布,不得投入运行;未按时提交检测报告的网站或系统,网信办有权予以关停。

第五条 任何对外发布的网站、信息系统等,在上线前均需聘请第三方专业检测机构进行检测;在运行期间,每半年由第三方机构进行一次安全检测并向网信办提供检测报告。所需费用由申请部门承担。

第三章 实施办法

第六条 网络安全与信息化建设办公室负责审批各单位项目交付发布申请及例行安全检测的核查工作;负责确定第三方检测机构的资质要求。

第七条 各部门在完成项目规定的工作内容及内部试运行后,向网络安全与信息化建设办公室提出项目交付发布申请,选取符合相关资质的第三方检测机构,并与网络中心、第三方检测机构确定所需进行的检测项目。

第八条 第三方检测机构负责依据项目建设合同及国家标准开展交付检测工作,出具第三方测试报告。进行等保测评须具备等级保护工作领导小组颁发的等保测评推荐证书;进行风险评估须具备中国信息安全认证中心颁发的ISCCC二级及以上服务资质。网信办将根据国家规定,适时调整资质要求。

第九条 根据《青岛科技大学网络安全与信息化工作管理办法(暂行)》及国家相关规定,信息系统“谁主管、谁负责,谁主办,谁负责”。

第十条 信息系统上线后,申请部门应安排专人负责系统及服务器的后期安全维护工作。

第十一条项目交付发布

(一)交付发布时间

按照项目合同或委托书中规定的交付上线时间组织检测

(二)交付上线依据

1.第三方检测机构评审意见;

2.相关行业约定标准及项目附属材料

3.国家及学校等主管部门的规范

(三)项目交付上线意见

项目交付上线意见中应包括:

1.项目的基本情况:项目名称、委托单位、承担单位、建设内容等;

2.项目第三方交付上线测试报告;

3.交付上线结论:通过交付上线,需要复议,还是不通过交付上线。

项目交付上线意见、项目委托单位提交的所有相关材料、交付上线小组名单、交付上线测试报告作为项目交付上线的原始文件留存网络安全与信息化建设办公室,各有关项目委托单位、项目承担单位可保存复印件。

(四)交付上线批准

通过交付检测的项目,由网络安全与信息化建设办公室报相关领导同意后予以上线。

第四章 附则

第十二条 本管理办法由网络安全与信息化建设办公室负责解释,本办法自公布之日起即行生效。

第十三条 本交付上线管理办法未尽之处按照有关规定执行。

                                                  青岛科技大学网络安全与信息化建设办公室

                                                  2017年9月11日



附件一:系统严禁存在的漏洞

基于B/S架构的信息系统不应该存在以下高危漏洞

1、SQL注入漏洞:SQL注入,是发生在应用程序和数据库层之间的安全漏洞。简而言之,就是在输入字符串之中注入了SQL指令,在设计不良的程序中忽略了检查,从而数据库服务器会继续执行SQL指令,因此造成数据泄漏或者数据的破坏。

危害:

l 探知数据库的具体结构,为进一步的攻击做好准备

l 泄漏数据,例如,个人机密的泄漏,账户信息,密码等

l 取得系统更高的权限后,可以增加,删除和修改数据库内部的表结构

l 如果是SQL Server数据库,若获得执行操作系统的命令(xp_cmdshell)则可以远程控制服务器,甚至对服务器发动致命性的攻击(xp_cmdshell’’format d:)

l 如果在服务器上挂马,还有可能影响所有与该服务器通信的机器

2、命令执行漏洞:通过网络接口在Web服务器执行OS命令的一种技术

l 通过参数注入命令

l 通过分割符注入命令

危害:

l 命令行注入可以使得没有授权的代码或者命令得到执行

l 危害较低的命令包括,exit,restart,读取文件或者目录,修改文件或者目录

l 危害较高的命令读取应用数据,修改应用数据,甚至隐藏一些活动

3、XSS漏洞:它允许恶意web用户将代码植入到提供给其它用户使用的页面中。

危害:

l 修改网页的内容,页面中的内容可以被发送到任何地方,包括Cookie,如果攻击者拿到Cookie,他就可以劫持这个用户会话,从而接管这个帐号

l 使得其他类型的攻击更加容易,像CSRF,Session Attack

l 利用iframe,frame,XMLHttpRequest方式,利用受害者的身份执行一些管理操作,如修改个人信息,删除博客

l 重定向用户到其他网页或者是网站

l 在网站上挂马

4、路径遍历:如果应用程序使用用户可控制的数据,以危险的方式访问位于应用服务器或其它后端文件系统的文件或目录,就会出现路径遍历

危害:路径遍历漏洞允许恶意攻击者突破Web应用程序的安全控制,直接访问攻击者想要的敏感数据 ,包括配置文件、日志、源代码等,配合其它漏洞的综合利用,攻击者可以轻易的获取更高的权限。

5、存在默认密码:tomcat、Jboss、weblogic等应用程序存在默认口令。

危害:攻击者可以通过部署后门应用程序,获取系统控制权。

6、暴力破解风险:即使用本地包含用户名以及密码的字典,无限次数的尝试登录站点或者是服务器。

危害:攻击者通过无限次尝试登录获得系统权限。

7、潜在文件上传:测试文件上传漏洞

危害:恶意的用户可以通过此漏洞,将文件上传到其他工作路径下,绕过空间的限制,甚至可以将服务器的空间全部占用,最终还可能导致服务器被控制。

8、任意读写文件:不需要任何的验证机制,查看文件是否可以被任意的读写

危害:任意的读写文件,造成服务器端的数据很容易被窃取并且很有可能导致服务器的沦陷

9、不安全的网站编辑器:站点中存在编辑器的使用,常用编辑器包括editor,FCKeditor等,这些编辑器中含有多多少少的漏洞

危害:编辑器带来的危害,属于第三方的漏洞,常常通过编辑器的漏洞上传一些木马等文件,从而获得站点的Webshell

10、不安全的应用程序版本:特定版本的应用程序、开发语言会对系统造成不可预料的风险。

11、其他可能对系统造成高危风险的安全漏洞

版权所有:青岛科技大学网络安全与信息化建设办公室
联系电话:0532-88957002 邮箱:wlzx@qust.edu.cn