一 总则
本规范依据公安部、工业和信息化部、教育部对网站制作及网站安全方面的相关标准及文件制定。
各部门、各单位需要对外公开发布的网站,必须经过网络中心的安全测试测试,只有符合本规范要求的源程序,方可上传至服务器;如安全测试中发现网站源码中有任何不符合本规范要求的或申请方要求中止安全测试的,一律不予发布,发回申请方对问题源码进行重新编写,直至符合规范要求再进行安全测试和发布。
二 通行标准(适于任何源程序)
1.网站程序中不得存在留言板、论坛、聊天室等互动服务,如有特殊需要,必须向申请网络中心提出申请,并由网络中心报送公安机关、通信管理机关、出版审查机关进行备案,备案批复生效后方可开通互动服务。开放互动服务时,网站的申请方必须有专人对互动信息进行审核监管,并签订信息安全责任书。
2.网络中心可提供的服务平台有以下几种:linux+php+mysql 、 linux+jsp+tomcat+mysql 、llinux+php+oracle 、 linux+jsp+tomcat+oracle、 windows+asp+access 、 windows+asp+mysql 、 windows+asp+mssqlserver 、 windows+asp+oracle 、windows+asp.net+access 、windows+asp.net+mysql 、 windows+asp.net+mssqlserver 、 windows+asp.net+oracle 、windows+jsp+tomcat+oracle 、windows+jsp+tomcat+ mssqlserver、windows+jsp+tomcat+ mysql 除此之外不提供任何其他平台支持,请网站提送方在编写源码时特别注意。
3.提送方在网站发布后,必须立即将高级管理员密码进行修改,必须及时对网站内容进行相应维护,在使用中发现任何问题应及时通知网络中心,网站源码全部或部分更新时,必须重新进行安全测试。
三 JSP源码安全规范
1.防止注入:登陆模块必须添加防止SQL注入过滤逻辑
2.数据验证:除客户端(js)验证,数据提交必须有JAVA程序验证
3.权限严格:后台所有管理页面必须添加权限验证模块
4.上传文件:必须控制上传文件类型,不允许上传.jsp的文件
5.数据库连接:每次数据库操作后必须关闭数据库连接
6.网站编码:所有页面采取统一编码方式,GBK或GB2312或UTF-8
7.数据库: 普通网站应采取mysql数据库开发,如要采用ORACLE需特殊申请
