信息系統(tǒng)應(yīng)用方針組織規(guī)劃項(xiàng)目安全設(shè)計(jì)規(guī)范標(biāo)準(zhǔn)

1、信息系統(tǒng)應(yīng)用安全設(shè)計(jì)標(biāo)準(zhǔn)XXX公司2016.031信息系統(tǒng)應(yīng)用安全設(shè)計(jì)標(biāo)準(zhǔn) 編寫目的適用范圍規(guī)范性引用文件.術(shù)語和定義概述安全設(shè)計(jì)要求6.46.5用戶（終端）安全設(shè)計(jì). 網(wǎng)絡(luò)安全設(shè)計(jì)主機(jī)安全設(shè)計(jì)應(yīng)用安全設(shè)計(jì)6.4.1 應(yīng)用安全功能設(shè)計(jì)6.4.2 應(yīng)用交互安全設(shè)計(jì)數(shù)據(jù)安全設(shè)計(jì)6.5.1機(jī)密性要求96.5.2完整性要求106.5.3可用性要求1091編寫目的本標(biāo)準(zhǔn)依據(jù)國家信息系統(tǒng)技術(shù)標(biāo)準(zhǔn)的要求編寫。用于指導(dǎo)信息系統(tǒng)設(shè)計(jì)人員進(jìn)行安全設(shè)計(jì)，進(jìn)而開發(fā)符合公司信息安全要求的高質(zhì)量信息系 統(tǒng)2適用范圍本標(biāo)準(zhǔn)規(guī)定了公司開發(fā)的信息系統(tǒng)在設(shè)計(jì)階段應(yīng)遵循的主要安全原則和技術(shù)要求。 本標(biāo)準(zhǔn)適用于本公

2、司開發(fā)的寧夏商務(wù)云系統(tǒng)安全開發(fā)過程。3規(guī)范性引用文件下列文件中的條款通過本部分的引用而成為本部分的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本部分，凡是不注日期的引用文件， 其新版本適用于本部分。4術(shù)語和定義中間件 middleware是指位于硬件、操作系統(tǒng)平臺(tái)和應(yīng)用程序之間的通用服務(wù)系統(tǒng)具有標(biāo)準(zhǔn)的程序接口和協(xié)議可 實(shí)現(xiàn)不同硬件和操作系統(tǒng)平臺(tái)上的數(shù)據(jù)共享和應(yīng)用互操作。回退 Rollback由于某種原因而撤銷上一次 / 一系列操作，并返回到該操作以前的已知狀態(tài)的過程。符號(hào)、代號(hào)和縮略語下列縮略語適用于本部分。HTTP HyperText Transfer

3、 Protocol 超文本傳輸協(xié)議SSL Secure Sockets Layer安全套接層協(xié)議HTTPS Hypertext Transfer Protocol over Secure Socket Layer 使用 SSL的超文本傳輸協(xié)議IPIn ternet P rotocol網(wǎng)絡(luò)之間連接的協(xié)議VPN Virtual Private Network 虛擬專用網(wǎng)絡(luò)SQL Structured Query Language 結(jié)構(gòu)化查詢語言XML Exte nsible Mark up Lan guage 可擴(kuò)展標(biāo)記語言SFTP Secure File Transfer Protocol 安全

4、文件傳送協(xié)議MIB Man ageme nt In formation Base 管理信息庫5概述一個(gè)信息系統(tǒng)通?？梢詣澐譃榻K端用戶、網(wǎng)絡(luò)、主機(jī)、應(yīng)用程序、數(shù)據(jù)這五個(gè)層次。終 端用戶是請(qǐng)求系統(tǒng)的訪問主體，包括終端設(shè)備或訪問用戶等；網(wǎng)絡(luò)層為信息系統(tǒng)提供基礎(chǔ)網(wǎng)絡(luò)訪問能力，包含邊界、網(wǎng)絡(luò)設(shè)備等元素；主機(jī)系統(tǒng)層為應(yīng)用軟件、數(shù)據(jù)的承載系統(tǒng)；應(yīng)用 程序?qū)犹峁┬畔⑾到y(tǒng)的業(yè)務(wù)邏輯控制，為用戶提供各種服務(wù)，包含應(yīng)用功能模塊、接口等元素；數(shù)據(jù)層是整個(gè)信息系統(tǒng)的核心，提供業(yè)務(wù)數(shù)據(jù)和日志記錄的存儲(chǔ)。信息系統(tǒng)在安全防護(hù)設(shè)計(jì)過程中應(yīng)從這五個(gè)層面進(jìn)行針對(duì)性的設(shè)計(jì)。6安全設(shè)計(jì)要求6.1用戶（終端）安全設(shè)計(jì)a）終端安全防護(hù)是對(duì)

5、信息內(nèi)網(wǎng)和信息外網(wǎng)的桌面辦公計(jì)算機(jī)終端以及接入信息內(nèi)、外網(wǎng)的 各種業(yè)務(wù)終端進(jìn)行安全防護(hù)；b）根據(jù)終端類型，將終端分為辦公計(jì)算機(jī)終端、移動(dòng)作業(yè)終端、信息采集類終端三類，應(yīng) 針對(duì)具體終端的類型、應(yīng)用環(huán)境以及通信方式等制定適宜的終端防護(hù)措施；C）用戶（終端）安全設(shè)計(jì)應(yīng)符合信息系統(tǒng)安全等級(jí)保護(hù)基本要求中華人民共和國國家 標(biāo)準(zhǔn)GB/T 22239 2008的要求。6.2網(wǎng)絡(luò)安全設(shè)計(jì)網(wǎng)絡(luò)安全設(shè)計(jì)應(yīng)符合GB/T 22239 2008的要求。6.3主機(jī)安全設(shè)計(jì)主機(jī)安全設(shè)計(jì)應(yīng)符合 GB/T 22239 2008的要求。6.4應(yīng)用安全設(shè)計(jì)6.4.1應(yīng)用安全功能設(shè)計(jì)641.1身份鑒別在身份認(rèn)證方面，要求如下：a）應(yīng)

6、采用合適的身份認(rèn)證方式，等級(jí)保護(hù)三級(jí)及以上系統(tǒng)應(yīng)至少采用兩種認(rèn)證方式，認(rèn)證 方式如下： 用戶名、口令認(rèn)證。一次性口令、動(dòng)態(tài)口令認(rèn)證。證書認(rèn)證。b）應(yīng)設(shè)計(jì)密碼的存儲(chǔ)和傳輸安全策略： 禁止明文傳輸用戶登錄信息及身份憑證。 禁止在數(shù)據(jù)庫或文件系統(tǒng)中明文存儲(chǔ)用戶密碼。COOKIE中保存用戶密碼。并使用強(qiáng)密碼，在生成單向散列值過程中加入應(yīng)采用單向散列值在數(shù)據(jù)庫中存儲(chǔ)用戶密碼， 隨機(jī)值。C）應(yīng)設(shè)計(jì)密碼使用安全策略，包括密碼長度、復(fù)雜度、更換周期等。4位，隨機(jī)生成且包d）宜設(shè)計(jì)圖形驗(yàn)證碼，增強(qiáng)身份認(rèn)證安全。圖形驗(yàn)證碼要求長度至少 含字母與數(shù)字的組合。e）應(yīng)設(shè)計(jì)統(tǒng)一錯(cuò)誤提示，避免認(rèn)證錯(cuò)誤提示泄露信息。f）應(yīng)設(shè)

7、計(jì)帳號(hào)鎖定功能限制連續(xù)失敗登錄。g）應(yīng)通過加密和安全的通信通道來保護(hù)驗(yàn)證憑證，并限制驗(yàn)證憑證的有效期。h）應(yīng)禁止同一帳號(hào)同時(shí)多個(gè)在線。641.2授權(quán)在授權(quán)方面，要求如下:a）應(yīng)設(shè)計(jì)資源訪問控制方案，驗(yàn)證用戶訪問權(quán)限：根據(jù)系統(tǒng)訪問控制策略對(duì)受限資源實(shí)施訪問控制，限制用戶不能訪問到未授權(quán)的功能和數(shù)據(jù);未經(jīng)授權(quán)的用戶試圖訪問受限資源時(shí)，系統(tǒng)應(yīng)提示用戶登錄或拒絕訪問。Activeb）應(yīng)限制用戶對(duì)系統(tǒng)級(jí)資源的訪問，系統(tǒng)級(jí)資源包括：文件、文件夾、注冊(cè)表項(xiàng)、Directory對(duì)象、數(shù)據(jù)庫對(duì)象、事件日志等。IP地址進(jìn)C）應(yīng)設(shè)計(jì)后臺(tái)管理控制方案：后臺(tái)管理應(yīng)采用黑名單或白名單方式對(duì)訪問的來源 行限制。d）應(yīng)設(shè)計(jì)在

8、服務(wù)器端實(shí)現(xiàn)訪問控制，禁止僅在客戶端實(shí)現(xiàn)訪問控制。e）應(yīng)設(shè)計(jì)統(tǒng)一的訪問控制機(jī)制。a?sysma n ,f） 應(yīng)進(jìn)行防功能濫用設(shè)計(jì)，避免大量并發(fā)HTTP請(qǐng)求。g） 應(yīng)限制啟動(dòng)進(jìn)程的權(quán)限，不得使用包括“Administrator ” , “root ” , “sa” ,“ Sup ervisor ”或其它特權(quán)用戶運(yùn)行應(yīng)用程序或連接到網(wǎng)站服務(wù)器、數(shù)據(jù)庫、或中間件。h）授權(quán)粒度盡可能小，可根據(jù)應(yīng)用程序的角色和功能分類。641.3輸入和輸出驗(yàn)證在輸入和輸出方面，要求如下:a)應(yīng)對(duì)所有來源不在可信范圍之內(nèi)的輸入數(shù)據(jù)進(jìn)行驗(yàn)證，包括：1) HTTP請(qǐng)求消息的全部字段，包括GET數(shù)據(jù)、POST數(shù)據(jù)、COOKIE

9、和Header數(shù)據(jù) 等。2) 不可信來源的文件、第三方接口數(shù)據(jù)、數(shù)據(jù)庫數(shù)據(jù)等。 應(yīng)設(shè)計(jì)多種輸入驗(yàn)證的方法，包括：1)2)3)4)5)應(yīng)檢查數(shù)據(jù)是否符合期望的類型。 應(yīng)檢查數(shù)據(jù)是否符合期望的長度。應(yīng)檢查數(shù)值數(shù)據(jù)是否符合期望的數(shù)值范圍。應(yīng)檢查數(shù)據(jù)是否包含特殊字符，如：、"、(、)、&、+、應(yīng)使用正則表達(dá)式進(jìn)行白名單檢查。、'、"等。服務(wù)器端和客戶端都應(yīng)進(jìn)行輸入驗(yàn)證。1) 應(yīng)建立統(tǒng)一的輸入驗(yàn)證接口，為整個(gè)信息系統(tǒng)提供一致的驗(yàn)證方法。2) 應(yīng)將輸入驗(yàn)證策略作為應(yīng)用程序設(shè)計(jì)的核心元素。應(yīng)對(duì)輸入內(nèi)容進(jìn)行規(guī)范化處理后再進(jìn)行驗(yàn)證，如文件路徑、c)URL地址等，需要規(guī)范化為d

10、)標(biāo)準(zhǔn)的格式后再進(jìn)行驗(yàn)證。e) 應(yīng)當(dāng)從服務(wù)器端提取關(guān)鍵參數(shù)，禁止從客戶端輸入。f) 根據(jù)輸出目標(biāo)的不同，應(yīng)對(duì)輸出數(shù)據(jù)進(jìn)行相應(yīng)的格式化處理：向客戶端寫回?cái)?shù)據(jù)時(shí)，對(duì)用戶輸入的數(shù)據(jù)進(jìn)行 HTML編碼和URL編碼檢查，過濾特殊字符(包括HTML關(guān)鍵字以及&rn,兩個(gè)n等字符)。g) SQL注入防范：進(jìn)行數(shù)據(jù)庫操作的時(shí)候，對(duì)用戶提交的數(shù)據(jù)應(yīng)過濾；一等特殊字符。h) XML注入防范：當(dāng)使用 XML文件格式存儲(chǔ)數(shù)據(jù)時(shí)，若使用Xpath和XSLT功能，必須 過濾用戶提交數(shù)據(jù)中的 / '="等字符。i) 應(yīng)禁止將與業(yè)務(wù)無關(guān)的信息返回給用戶。在配置管理方面，要求如下:確保配置存儲(chǔ)的安全：

11、1)2)3)a)Web目錄使用配置文件，以防止可能出現(xiàn)的服務(wù)器配置漏洞導(dǎo)致配置文件被下載； 應(yīng)避免以純文本形式存儲(chǔ)重要配置，如數(shù)據(jù)庫連接字符串或帳戶憑據(jù)； 應(yīng)通過加密確保配置的安全，并限制對(duì)包含加密數(shù)據(jù)的注冊(cè)表項(xiàng)、文件或表的訪問權(quán)限；應(yīng)確保對(duì)配置文件的修改、刪除和訪問等權(quán)限的變更，都驗(yàn)證授權(quán)并且詳細(xì)記錄； 應(yīng)避免授權(quán)帳戶具備更改自身配置信息的權(quán)限。b)c)4)5)應(yīng)使用旳少特權(quán)進(jìn)程和服務(wù)帳戶。應(yīng)確保管理界面的安全：641.4配置管理配置管理功能只能由經(jīng)過授權(quán)的操作員和管理員訪問，在管理界面上實(shí)施強(qiáng)身份驗(yàn)證，如使用證書，如果有可能，應(yīng)限制或避免使用遠(yuǎn)程管理，并要求管理員在本地登錄；如果需要支持遠(yuǎn)

12、程管理，應(yīng)使用加密通道，如SSL或 VPN技術(shù)。d )應(yīng)避免應(yīng)用程序調(diào)用底層系統(tǒng)資源。e)應(yīng)單獨(dú)分配管理特權(quán)。641.5會(huì)話管理在會(huì)話管理方面，要求如下：a）登錄成功后應(yīng)建立新的會(huì)話：1）在用戶認(rèn)證成功后，應(yīng)為用戶創(chuàng)建新的會(huì)話并釋放原有會(huì)話，創(chuàng)建的會(huì)話憑證應(yīng)滿足隨機(jī)性和長度要求避免被攻擊者猜測(cè)。2）IP地址綁定，降低會(huì)話被盜用的風(fēng)險(xiǎn)。b ）應(yīng)確保會(huì)話數(shù)據(jù)的存儲(chǔ)安全：用戶登錄成功后所生成的會(huì)話數(shù)據(jù)應(yīng)存儲(chǔ)在服務(wù)器端，并確保會(huì)話數(shù)據(jù)不能被非法訪問。 更新會(huì)話數(shù)據(jù)時(shí)，應(yīng)對(duì)數(shù)據(jù)進(jìn)行嚴(yán)格的輸入驗(yàn)證，避免會(huì)話數(shù)據(jù)被非法篡改。C）應(yīng)確保會(huì)話數(shù)據(jù)的傳輸安全：1）用戶登錄信息及身份憑證應(yīng)加密后進(jìn)行傳輸。如采用CO

13、OKIE攜帶會(huì)話憑證，必須合理設(shè)置 COOKIE 的 Secure、Domai n、P ath 和 Exp ires 屬性。2）HTTP GET方式傳輸會(huì)話憑證，禁止設(shè)置過于寬泛的Domain屬性。當(dāng)用戶登錄成功并成功創(chuàng)建會(huì)話后，應(yīng)在信息系統(tǒng)的各個(gè)頁面提供用戶退出功能； 退出時(shí)應(yīng)及時(shí)注銷服務(wù)器端的會(huì)話數(shù)據(jù)。當(dāng)處于登錄狀態(tài)的用戶直接關(guān)閉瀏覽器時(shí)，應(yīng)提示用戶執(zhí)行安全退出或者自動(dòng)為用戶完成退出過程。應(yīng)設(shè)計(jì)合理的會(huì)話存活時(shí)間，超時(shí)后應(yīng)銷毀會(huì)話，并清除會(huì)話的信息。應(yīng)設(shè)計(jì)避免跨站請(qǐng)求偽造：1）在涉及到關(guān)鍵業(yè)務(wù)操作的頁面，應(yīng)為當(dāng)前頁面生成一次性隨機(jī)令牌，作為主會(huì)話憑證的補(bǔ)充；2）在執(zhí)行關(guān)鍵業(yè)務(wù)前，應(yīng)檢查用戶

14、提交的一次性隨機(jī)令牌。采取加密措施來保護(hù)數(shù)據(jù)安全時(shí)，除使用SSL/TSL加密傳輸信道，針對(duì)加密技術(shù)，應(yīng)滿d）應(yīng)及時(shí)終止會(huì)話：1）2）e)f)3） g）足以下設(shè)計(jì)要求：1）應(yīng)采用經(jīng)國密局批準(zhǔn)的的商密算法，并確保密鑰長度能提供足夠的安全級(jí)別。2）應(yīng)確保密鑰的安全。641.6參數(shù)操作操作參數(shù)攻擊是一種更改在客戶端和Web應(yīng)用程序之間發(fā)送的參數(shù)數(shù)據(jù)的攻擊，包括查詢字符串、窗體字段、cookie和HTTP標(biāo)頭。主要的操作參數(shù)威脅包括：操作查詢字符串、操作窗體字段、操作cookie和操作HTTP標(biāo)頭。要求如下：a）應(yīng)避免使用包含敏感數(shù)據(jù)或者影響服務(wù)器安全邏輯的查詢字符串參數(shù)。b）應(yīng)使用會(huì)話標(biāo)識(shí)符來標(biāo)識(shí)客戶

15、端，并將敏感項(xiàng)存儲(chǔ)在服務(wù)器上的會(huì)話存儲(chǔ)區(qū)中。C）應(yīng)使用HTTP POST來代替 GET提交窗體，避免使用隱藏窗體。d）應(yīng)加密查詢字符串參數(shù)。e）不要信任 HTTP頭信息。f）確保用戶沒有繞過檢查。g）應(yīng)驗(yàn)證從客戶端發(fā)送的所有數(shù)據(jù)。641.7異常管理這些信息將增加攻擊者發(fā)現(xiàn)異常信息一般包含了針對(duì)開發(fā)和維護(hù)人員調(diào)試使用的系統(tǒng)信息， 潛在缺陷并進(jìn)行攻擊的機(jī)會(huì)。要求如下：a)應(yīng)使用結(jié)構(gòu)化異常處理機(jī)制。 b )應(yīng)使用通用錯(cuò)誤信息： 程序發(fā)生異常時(shí)，應(yīng)向外部服務(wù)或應(yīng)用程序的用戶發(fā)送通用的信息或重定向到特定應(yīng)用網(wǎng)頁。 應(yīng)向客戶端返回一般性錯(cuò)誤消息。C)程序發(fā)生異常時(shí)，應(yīng)終止當(dāng)前業(yè)務(wù)，并對(duì)當(dāng)前業(yè)務(wù)進(jìn)行回滾操作

16、。d) 通信雙方中一方在一段時(shí)間內(nèi)未作反應(yīng)，另一方應(yīng)自動(dòng)結(jié)束回話。e) 程序發(fā)生異常時(shí)，應(yīng)在日志中記錄詳細(xì)的錯(cuò)誤消息。641.8審核與日志用戶訪問信息系統(tǒng)時(shí)，應(yīng)對(duì)登錄行為、業(yè)務(wù)操作以及系統(tǒng)運(yùn)行狀態(tài)進(jìn)行記錄與保存,作過程可追溯、可審計(jì)，確保業(yè)務(wù)日志數(shù)據(jù)的安全。要求如下：應(yīng)明確審計(jì)日志格式，可采用如下格式：1) Syslog方式：Syslog方式需要給出 syslog的組成結(jié)構(gòu)。2) Snmp方式：Snmp方式需要同時(shí)提供 MIB信息。日志記錄事件宜包含以下事件：1)2)3)4)a)審計(jì)功能的啟動(dòng)和關(guān)閉。信息系統(tǒng)的啟動(dòng)和停止。配置變化。訪問控制信息，比如：由于超出嘗試次數(shù)的限制而引起的拒絕登錄,

17、登錄。保證操成功或失敗的C)5)6)7)8)9)ID或引起這個(gè)事件的處理程序 事件的日期、時(shí)間(時(shí)間戳)。 事件類型。 事件內(nèi)容。事件是否成功。請(qǐng)求的來源(例如請(qǐng)求的IP地址)。用戶權(quán)限的變更。用戶密碼的變更。用戶試圖執(zhí)行角色中沒有明確授權(quán)的功能。用戶賬戶的創(chuàng)建、注銷、鎖定、解鎖。用戶對(duì)數(shù)據(jù)的異常操作事件， 包括：不成功的存取數(shù)據(jù)嘗試、 數(shù)據(jù)標(biāo)志或標(biāo)識(shí)被強(qiáng) 制覆蓋或修改、對(duì)只讀數(shù)據(jù)的強(qiáng)制修改、 來自非授權(quán)用戶的數(shù)據(jù)操作、 特別權(quán)限用 戶的活動(dòng)。審計(jì)日志應(yīng)宜包含如下內(nèi)容：ID。1)2)3)4)5)6)審計(jì)日志應(yīng)禁止包含如下內(nèi)容(如必須包含，應(yīng)做模糊化處理)1) 用戶敏感信息(如密碼信息等)。2)

18、 用戶完整交易信息。e)f)g)3）用戶的隱私信息（如銀行卡信息、密碼信息、身份信息等） 宜加強(qiáng)業(yè)務(wù)安全審計(jì)。應(yīng)防止業(yè)務(wù)日志欺騙。 應(yīng)保證業(yè)務(wù)日志安全存儲(chǔ)與訪問。WEB目錄下。1）禁止將業(yè)務(wù)日志保存到2）應(yīng)對(duì)業(yè)務(wù)日志記錄進(jìn)行數(shù)字簽名來實(shí)現(xiàn)防篡改。3）日志保存期限應(yīng)與系統(tǒng)應(yīng)用等級(jí)相匹配。642應(yīng)用交互安全設(shè)計(jì)應(yīng)用交互指的是不同信息系統(tǒng)之間互聯(lián)時(shí)的數(shù)據(jù)交互。信息系統(tǒng)交互應(yīng)通過接口方式進(jìn)行, 應(yīng)避免采用非接口方式。642.1明確交互系統(tǒng)a）應(yīng)確定所有和本系統(tǒng)交互的其它系統(tǒng)。 b ）應(yīng)確定交互的數(shù)據(jù)類型、采用的傳輸方式。642.2接口方式安全設(shè)計(jì)a） 系統(tǒng)互聯(lián)應(yīng)僅通過接口設(shè)備 （前置機(jī)、接口機(jī)、通信服務(wù)器、應(yīng)用服務(wù)器等設(shè)備） 進(jìn)行, 不能直接訪問核心數(shù)據(jù)庫。b）接口設(shè)備上的應(yīng)用宜只包含實(shí)現(xiàn)系統(tǒng)互聯(lián)所必須的業(yè)務(wù)功能，不包含業(yè)務(wù)系統(tǒng)的所有功 能。C）其它系統(tǒng)訪問本系統(tǒng)設(shè)備宜進(jìn)行接口認(rèn)證。d）各種收發(fā)數(shù)據(jù)、消息的日志都應(yīng)予以保存，以備審計(jì)與核對(duì)。6.5數(shù)據(jù)安全設(shè)計(jì)針對(duì)安全需求中的數(shù)據(jù)安全保護(hù)需求，應(yīng)從數(shù)據(jù)的機(jī)密性保護(hù)、完整性保護(hù)、可用性保護(hù)三個(gè)層面分別進(jìn)行安全設(shè)計(jì)。6.5.1機(jī)密性要求a）數(shù)據(jù)傳輸應(yīng)確保保密性1）應(yīng)使用加密技術(shù)對(duì)傳輸?shù)拿舾行畔⑦M(jìn)行機(jī)密性保護(hù)。2）宜使用安全的傳輸協(xié)議（如： HTTP