天津城市建设学院网站建设技术安全规范天津城市建设学院网站建设技术安全规范（2009年8月）
为了确保学校网站的建设质量，各二级单位在网站建设过程中，应充分考虑技术安全问题，将一些安全风险和隐患消除在网站建设阶段，为网站的安全运行奠定基础。一、技术安全要求网站建设的技术安全内容包括网站运行环境、功能设计、网站开发、网站防护、安装部署、维护管理六个方面。1、部署安全的网站运行环境。设置服务器操作系统、选择合适的数据库和Web服务软件，并消除安全隐患。2、设计科学的网站功能。根据用户需求，合理划分网站栏目、灵活共享站际信息，后台管理功能要齐全、网站数据应能够备份和恢复。3、采用合理的开发方案。根据自身技术实力，选择合适的开发模式、开发技术和开发工具，封堵开发漏洞，做好异常情况处理。4、落实网站安全防护措施。加强访问控制，严格用户管理，制定防篡改方案。5、严格网站安装部署流程。严格进行功能和性能测试、信息安全检查、技术安全检查，配置Web服务软件、数据库和网站权限。6、明确网站维护管理办法。加强日志管理，做好数据备份，
1
f规范网站内容更新方法，落实网站安全检查制度，制定应急处理预案，明确网站管理人员职责。二、技术安全配置方法技术安全配置方法网站建设阶段应全面考虑网站的环境安全，重点考虑网站的设计安全，充分考虑网站的运行安全，具体处理方法参考《网站建设技术安全参照表》。信息化建设管理中心2009年8月10日
2
f附：
项目名称项目名称分项内容分项内容
网站建设技术安全参照表
建议处理方法
常用的服务器操作系统有Wi
dows系列和U
ixli
ux系列两类，安装后应修改其默认设置以消除可能存在的安全隐患。①针对Wi
dows系列操作系统：建议使用Wi
dowsServer2003SP2以上版本；安装所有已发布的漏洞补丁；并开启操作系统自动更新及防火墙功能；禁用Tel
et、TCPIPNetBIOSHelper、Pri
t操作系统Spooler、ComputerBrowser、RemoteRegistry等不需要的服务；禁用Guest帐号；关闭文件共享功能。②针对U
ixLi
ux系列操作系统：建议使用FreeBSD71、Solaris10U6GA1或者RedHatE
terpriseLi
ux5以上版本；只安装需要的工具和服务；开启系统自带防火墙；关闭远程控制功能；将用户登陆错误次数限制为35次。常用的数据库有ACCESS、MySQL二种，应根据网站规模进行选择。
运行环境数据库
①ACCESS数据库：建议小型网站使用。应为Access数据库文件设置强密码防止非授权用户的访问；修改数据库文件r