移动WEB类系统安全防护要求.doc

XXXX-XX-XX实施 HYPERLINK 红黑联盟整理发布 XXXX-XX-XX实施 HYPERLINK 红黑联盟整理发布 中国移动通信有限公司 发布 中 国 移 动 通 信 企 业 标 准 XX-X-XXXX-XXXX XX-X-XXXX-XXXX 中国移动WEB类应用系统 中国移动WEB类应用系统 安全防护技术要求 Technical Specification of Security for Web Applications 版本号： 版本号：1.0.0 PAGE II 目 录 TOC \o 1-3 \u 前 言 PAGEREF _Toc272651834 \h 1 1 适用范围 PAGEREF _Toc272651835 \h 2 2 引用标准与依据 PAGEREF _Toc272651836 \h 2 3 相关术语与缩略语 PAGEREF _Toc272651837 \h 2 3.1 术语 PAGEREF _Toc272651838 \h 2 3.1.1 注入漏洞 PAGEREF _Toc272651839 \h 2 3.1.2 SQL注入攻击 PAGEREF _Toc272651840 \h 3 3.1.3 跨站漏洞 PAGEREF _Toc272651841 \h 3 3.1.4 跨站攻击 PAGEREF _Toc272651842 \h 3 3.1.5 非法上传 PAGEREF _Toc272651843 \h 3 3.1.6 缓冲区溢出 PAGEREF _Toc272651844 \h 3 3.1.7 非法输入 PAGEREF _Toc272651845 \h 3 3.1.8 网站挂马 PAGEREF _Toc272651846 \h 3 3.1.9 拒绝服务攻击 PAGEREF _Toc272651847 \h 3 3.1.10 跨站请求伪造 PAGEREF _Toc272651848 \h 4 3.1.11 目录遍历攻击 PAGEREF _Toc272651849 \h 4 3.2 缩略语 PAGEREF _Toc272651850 \h 4 4 综述 PAGEREF _Toc272651851 \h 4 5 Web类应用系统基本架构 PAGEREF _Toc272651852 \h 5 5.1 业务逻辑结构 PAGEREF _Toc272651853 \h 5 5.2 网络结构 PAGEREF _Toc272651854 \h 5 6 Web类应用风险分析 PAGEREF _Toc272651855 \h 6 6.1 主要风险分析 PAGEREF _Toc272651856 \h 6 6.2 脆弱性分析 PAGEREF _Toc272651857 \h 7 6.2.1 物理 PAGEREF _Toc272651858 \h 7 6.2.2 网络 PAGEREF _Toc272651859 \h 7 6.2.3 设备 PAGEREF _Toc272651860 \h 7 6.2.4 应用 PAGEREF _Toc272651861 \h 8 6.2.5 内容 PAGEREF _Toc272651862 \h 9 6.2.6 管理 PAGEREF _Toc272651863 \h 10 6.3 威胁分析 PAGEREF _Toc272651864 \h 10 6.3.1 物理 PAGEREF _Toc272651865 \h 10 6.3.2 网络 PAGEREF _Toc272651866 \h 10 6.3.3 设备 PAGEREF _Toc272651867 \h 11 6.3.4 应用 PAGEREF _Toc272651868 \h 11 6.3.5 内容 PAGEREF _Toc272651869 \h 12 7 WEB类应用系统的安全防护需求 PAGEREF _Toc272651870 \h 13 7.1 物理安全需求 PAGEREF _Toc272651871 \h 13 7.2 分区防护需求 PAGEREF _Toc272651872 \h 13 7.2.1 安全域划分要求 PAGEREF _Toc272651873 \h 13 7.2.2 边界整合及域间互联安全要求 PAGEREF _Toc272651874 \h 14 7.3 WEB类应用系统自身安全要求 PAGEREF _Toc272651875 \h 15 7.3.1 操作系统安全要求 PAGEREF _Toc272651876 \h 15 7.3.2 中间件安全要求 PAGEREF _Toc272651877 \