信息申請報(bào)告書安全設(shè)計(jì)標(biāo)準(zhǔn)

1、.wd.wd.wd.信息系統(tǒng)應(yīng)用安全設(shè)計(jì)標(biāo)準(zhǔn)XXX公司2016.03目錄 TOC o 1-3 h z u HYPERLINK l _Toc500922788 信息系統(tǒng)應(yīng)用安全設(shè)計(jì)標(biāo)準(zhǔn) PAGEREF _Toc500922788 h 1 HYPERLINK l _Toc500922789 1編寫目的 PAGEREF _Toc500922789 h 2 HYPERLINK l _Toc500922790 2適用范圍 PAGEREF _Toc500922790 h 2 HYPERLINK l _Toc500922791 3標(biāo)準(zhǔn)性引用文件 PAGEREF _Toc500922791 h 2 HYPER

2、LINK l _Toc500922792 4術(shù)語和定義 PAGEREF _Toc500922792 h 2 HYPERLINK l _Toc500922793 5概述 PAGEREF _Toc500922793 h 3 HYPERLINK l _Toc500922794 6安全設(shè)計(jì)要求 PAGEREF _Toc500922794 h 3 HYPERLINK l _Toc500922795 6.1用戶終端安全設(shè)計(jì) PAGEREF _Toc500922795 h 3 HYPERLINK l _Toc500922796 6.2網(wǎng)絡(luò)安全設(shè)計(jì) PAGEREF _Toc500922796 h 3 HYPE

3、RLINK l _Toc500922797 6.3主機(jī)安全設(shè)計(jì) PAGEREF _Toc500922797 h 3 HYPERLINK l _Toc500922798 6.4應(yīng)用安全設(shè)計(jì) PAGEREF _Toc500922798 h 4 HYPERLINK l _Toc500922799 6.4.1應(yīng)用安全功能設(shè)計(jì) PAGEREF _Toc500922799 h 4 HYPERLINK l _Toc500922800 6.4.2應(yīng)用交互安全設(shè)計(jì) PAGEREF _Toc500922800 h 8 HYPERLINK l _Toc500922801 6.5數(shù)據(jù)安全設(shè)計(jì) PAGEREF _Toc

4、500922801 h 9 HYPERLINK l _Toc500922802 6.5.1機(jī)密性要求 PAGEREF _Toc500922802 h 9 HYPERLINK l _Toc500922803 6.5.2完整性要求 PAGEREF _Toc500922803 h 9 HYPERLINK l _Toc500922804 6.5.3可用性要求 PAGEREF _Toc500922804 h 9編寫目的本標(biāo)準(zhǔn)依據(jù)國家信息系統(tǒng)技術(shù)標(biāo)準(zhǔn)的要求編寫。用于指導(dǎo)信息系統(tǒng)設(shè)計(jì)人員進(jìn)展安全設(shè)計(jì)，進(jìn)而開發(fā)符合公司信息安全要求的高質(zhì)量信息系統(tǒng)適用范圍本標(biāo)準(zhǔn)規(guī)定了公司開發(fā)的信息系統(tǒng)在設(shè)計(jì)階段應(yīng)遵循的主要安全

5、原那么和技術(shù)要求。本標(biāo)準(zhǔn)適用于本公司開發(fā)的寧夏商務(wù)云系統(tǒng)安全開發(fā)過程。標(biāo)準(zhǔn)性引用文件以下文件中的條款通過本局部的引用而成為本局部的條款。但凡注日期的引用文件，其隨后所有的修改單不包括訂正的內(nèi)容或修訂版均不適用于本局部，但凡不注日期的引用文件，其新版本適用于本局部。 術(shù)語和定義中間件 middleware 是指位于硬件、操作系統(tǒng)平臺(tái)和應(yīng)用程序之間的通用服務(wù)系統(tǒng)具有標(biāo)準(zhǔn)的程序接口和協(xié)議可實(shí)現(xiàn)不同硬件和操作系統(tǒng)平臺(tái)上的數(shù)據(jù)共享和應(yīng)用互操作。 回退 Rollback 由于某種原因而撤銷上一次/一系列操作，并返回到該操作以前的狀態(tài)的過程。 符號(hào)、代號(hào)和縮略語以下縮略語適用于本局部。HTTP HyperT

6、ext Transfer Protocol超文本傳輸協(xié)議 SSL Secure Sockets Layer安全套接層協(xié)議HTTPS Hypertext Transfer Protocol over Secure Socket Layer 使用 SSL的超文本傳輸協(xié)議 IP Internet Protocol 網(wǎng)絡(luò)之間連接的協(xié)議 VPN Virtual Private Network虛擬專用網(wǎng)絡(luò) SQL Structured Query Language構(gòu)造化查詢語言 XML Extensible Markup Language可擴(kuò)展標(biāo)記語言 SFTP Secure File Transfer

7、Protocol 安全文件傳送協(xié)議 MIB Management Information Base管理信息庫概述一個(gè)信息系統(tǒng)通?？梢詣澐譃榻K端用戶、網(wǎng)絡(luò)、主機(jī)、應(yīng)用程序、數(shù)據(jù)這五個(gè)層次。終端用戶是請求系統(tǒng)的訪問主體，包括終端設(shè)備或訪問用戶等；網(wǎng)絡(luò)層為信息系統(tǒng)提供根基網(wǎng)絡(luò)訪問能力，包含邊界、網(wǎng)絡(luò)設(shè)備等元素；主機(jī)系統(tǒng)層為應(yīng)用軟件、數(shù)據(jù)的承載系統(tǒng)；應(yīng)用程序?qū)犹峁┬畔⑾到y(tǒng)的業(yè)務(wù)邏輯控制，為用戶提供各種服務(wù)，包含應(yīng)用功能模塊、接口等元素；數(shù)據(jù)層是整個(gè)信息系統(tǒng)的核心，提供業(yè)務(wù)數(shù)據(jù)和日志記錄的存儲(chǔ)。信息系統(tǒng)在安全防護(hù)設(shè)計(jì)過程中應(yīng)從這五個(gè)層面進(jìn)展針對性的設(shè)計(jì)。 安全設(shè)計(jì)要求用戶終端安全設(shè)計(jì)a終端安全防護(hù)是對信

8、息內(nèi)網(wǎng)和信息外網(wǎng)的桌面辦公計(jì)算機(jī)終端以及接入信息內(nèi)、外網(wǎng)的各種業(yè)務(wù)終端進(jìn)展安全防護(hù)； b根據(jù)終端類型，將終端分為辦公計(jì)算機(jī)終端、移動(dòng)作業(yè)終端、信息采集類終端三類，應(yīng)針對具體終端的類型、應(yīng)用環(huán)境以及通信方式等制定適宜的終端防護(hù)措施； c用戶終端安全設(shè)計(jì)應(yīng)符合?信息系統(tǒng)安全等級(jí)保護(hù) 基本要求?中華人民共和國國家標(biāo)準(zhǔn) GB/T 222392008的要求。 網(wǎng)絡(luò)安全設(shè)計(jì)網(wǎng)絡(luò)安全設(shè)計(jì)應(yīng)符合 GB/T 222392008的要求。 主機(jī)安全設(shè)計(jì)主機(jī)安全設(shè)計(jì)應(yīng)符合 GB/T 222392008的要求。 應(yīng)用安全設(shè)計(jì)應(yīng)用安全功能設(shè)計(jì)身份鑒別在身份認(rèn)證方面，要求如下： a應(yīng)采用適宜的身份認(rèn)證方式，等級(jí)保護(hù)三級(jí)及以

9、上系統(tǒng)應(yīng)至少采用兩種認(rèn)證方式，認(rèn)證方式如下： 用戶名、口令認(rèn)證。 一次性口令、動(dòng)態(tài)口令認(rèn)證。 證書認(rèn)證。 b應(yīng)設(shè)計(jì)密碼的存儲(chǔ)和傳輸安全策略： 制止明文傳輸用戶登錄信息及身份憑證。 制止在數(shù)據(jù)庫或文件系統(tǒng)中明文存儲(chǔ)用戶密碼。 COOKIE中保存用戶密碼。 應(yīng)采用單向散列值在數(shù)據(jù)庫中存儲(chǔ)用戶密碼，并使用強(qiáng)密碼，在生成單向散列值過程中參加隨機(jī)值。 c應(yīng)設(shè)計(jì)密碼使用安全策略，包括密碼長度、復(fù)雜度、更換周期等。 d宜設(shè)計(jì)圖形驗(yàn)證碼，增強(qiáng)身份認(rèn)證安全。圖形驗(yàn)證碼要求長度至少 4位，隨機(jī)生成且包含字母與數(shù)字的組合。 e應(yīng)設(shè)計(jì)統(tǒng)一錯(cuò)誤提示，防止認(rèn)證錯(cuò)誤提示泄露信息。 f應(yīng)設(shè)計(jì)帳號(hào)鎖定功能限制連續(xù)失敗登錄。 g

10、應(yīng)通過加密和安全的通信通道來保護(hù)驗(yàn)證憑證，并限制驗(yàn)證憑證的有效期。 h應(yīng)制止同一帳號(hào)同時(shí)多個(gè)在線。 授權(quán)在授權(quán)方面，要求如下：a應(yīng)設(shè)計(jì)資源訪問控制方案，驗(yàn)證用戶訪問權(quán)限： 根據(jù)系統(tǒng)訪問控制策略對受限資源實(shí)施訪問控制，限制用戶不能訪問到未授權(quán)的功能和數(shù)據(jù)； 未經(jīng)授權(quán)的用戶試圖訪問受限資源時(shí)，系統(tǒng)應(yīng)提示用戶登錄或拒絕訪問。 b應(yīng)限制用戶對系統(tǒng)級(jí)資源的訪問，系統(tǒng)級(jí)資源包括：文件、文件夾、注冊表項(xiàng)、 Active Directory對象、數(shù)據(jù)庫對象、事件日志等。 c應(yīng)設(shè)計(jì)后臺(tái)管理控制方案：后臺(tái)管理應(yīng)采用黑名單或白名單方式對訪問的來源 IP地址進(jìn)展限制。 d應(yīng)設(shè)計(jì)在服務(wù)器端實(shí)現(xiàn)訪問控制，制止僅在客戶端實(shí)

11、現(xiàn)訪問控制。 e應(yīng)設(shè)計(jì)統(tǒng)一的訪問控制機(jī)制。 f應(yīng)進(jìn)展防功能濫用設(shè)計(jì)，防止大量并發(fā) HTTP請求。 g應(yīng)限制啟動(dòng)進(jìn)程的權(quán)限，不得使用包括 “Administrator, “root, “sa, “sysman, “Supervisor或其它特權(quán)用戶運(yùn)行應(yīng)用程序或連接到網(wǎng)站服務(wù)器、數(shù)據(jù)庫、或中間件。 h授權(quán)粒度盡可能小，可根據(jù)應(yīng)用程序的角色和功能分類。 輸入和輸出驗(yàn)證在輸入和輸出方面，要求如下： a應(yīng)對所有來源不在可信范圍之內(nèi)的輸入數(shù)據(jù)進(jìn)展驗(yàn)證，包括： 1 HTTP請求消息的全部字段，包括 GET數(shù)據(jù)、POST數(shù)據(jù)、COOKIE和 Header數(shù)據(jù)等。 2不可信來源的文件、第三方接口數(shù)據(jù)、數(shù)據(jù)庫數(shù)

12、據(jù)等。 b應(yīng)設(shè)計(jì)多種輸入驗(yàn)證的方法，包括： 應(yīng)檢查數(shù)據(jù)是否符合期望的類型。 應(yīng)檢查數(shù)據(jù)是否符合期望的長度。 應(yīng)檢查數(shù)值數(shù)據(jù)是否符合期望的數(shù)值范圍。 應(yīng)檢查數(shù)據(jù)是否包含特殊字符，如： 、 、 、%、&、+、等。 應(yīng)使用正那么表達(dá)式進(jìn)展白名單檢查。 c服務(wù)器端和客戶端都應(yīng)進(jìn)展輸入驗(yàn)證。 應(yīng)建設(shè)統(tǒng)一的輸入驗(yàn)證接口，為整個(gè)信息系統(tǒng)提供一致的驗(yàn)證方法。 應(yīng)將輸入驗(yàn)證策略作為應(yīng)用程序設(shè)計(jì)的核心元素。 d應(yīng)對輸入內(nèi)容進(jìn)展標(biāo)準(zhǔn)化處理后再進(jìn)展驗(yàn)證，如文件路徑、 URL地址等，需要標(biāo)準(zhǔn)化為標(biāo)準(zhǔn)的格式后再進(jìn)展驗(yàn)證。 e應(yīng)當(dāng)從服務(wù)器端提取關(guān)鍵參數(shù)，制止從客戶端輸入。 f根據(jù)輸出目標(biāo)的不同，應(yīng)對輸出數(shù)據(jù)進(jìn)展相應(yīng)的格式化

13、處理：向客戶端寫回?cái)?shù)據(jù)時(shí)，對用戶輸入的數(shù)據(jù)進(jìn)展 HTML編碼和 URL編碼檢查，過濾特殊字符包括 HTML關(guān)鍵字以及 &,rn,兩個(gè)n等字符。 g SQL注入防范：進(jìn)展數(shù)據(jù)庫操作的時(shí)候，對用戶提交的數(shù)據(jù)應(yīng)過濾 ;等特殊字符。 h XML注入防范：當(dāng)使用 XML文件格式存儲(chǔ)數(shù)據(jù)時(shí)，假設(shè)使用 Xpath和 XSLT功能，必須過濾用戶提交數(shù)據(jù)中的 / = 等字符。 i應(yīng)制止將與業(yè)務(wù)無關(guān)的信息返回給用戶。 配置管理在配置管理方面，要求如下： a確保配置存儲(chǔ)的安全： Web目錄使用配置文件，以防止可能出現(xiàn)的服務(wù)器配置漏洞導(dǎo)致配置文件被下載；應(yīng)防止以純文本形式存儲(chǔ)重要配置，如數(shù)據(jù)庫連接字符串或帳戶憑據(jù)；

14、應(yīng)通過加密確保配置的安全，并限制對包含加密數(shù)據(jù)的注冊表項(xiàng)、文件或表的訪問權(quán)限； 應(yīng)確保對配置文件的修改、刪除和訪問等權(quán)限的變更，都驗(yàn)證授權(quán)并且詳細(xì)記錄； 應(yīng)防止授權(quán)帳戶具備更改自身配置信息的權(quán)限。 b應(yīng)使用昀少特權(quán)進(jìn)程和服務(wù)帳戶。 c應(yīng)確保管理界面的安全： 配置管理功能只能由經(jīng)過授權(quán)的操作員和管理員訪問，在管理界面上實(shí)施強(qiáng)身份驗(yàn)證，如使用證書，如果有可能，應(yīng)限制或防止使用遠(yuǎn)程管理，并要求管理員在本地登錄； 如果需要支持遠(yuǎn)程管理，應(yīng)使用加密通道，如 SSL或 VPN 技術(shù)。 d應(yīng)防止應(yīng)用程序調(diào)用底層系統(tǒng)資源。 e應(yīng)單獨(dú)分配管理特權(quán)。 會(huì)話管理在會(huì)話管理方面，要求如下： a登錄成功后應(yīng)建設(shè)新的會(huì)話

15、： 在用戶認(rèn)證成功后，應(yīng)為用戶創(chuàng)立新的會(huì)話并釋放原有會(huì)話，創(chuàng)立的會(huì)話憑證應(yīng)滿足隨機(jī)性和長度要求防止被攻擊者猜測。 IP地址綁定，降低會(huì)話被盜用的風(fēng)險(xiǎn)。 b應(yīng)確保會(huì)話數(shù)據(jù)的存儲(chǔ)安全： 用戶登錄成功后所生成的會(huì)話數(shù)據(jù)應(yīng)存儲(chǔ)在服務(wù)器端，并確保會(huì)話數(shù)據(jù)不能被非法訪問。 更新會(huì)話數(shù)據(jù)時(shí)，應(yīng)對數(shù)據(jù)進(jìn)展嚴(yán)格的輸入驗(yàn)證，防止會(huì)話數(shù)據(jù)被非法篡改。 c應(yīng)確保會(huì)話數(shù)據(jù)的傳輸安全： 用戶登錄信息及身份憑證應(yīng)加密后進(jìn)展傳輸。如采用 COOKIE攜帶會(huì)話憑證，必須合理設(shè)置 COOKIE的 Secure、Domain、Path和 Expires屬性。 HTTP GET方式傳輸會(huì)話憑證，制止設(shè)置過于廣泛的 Domain屬性。

16、 d應(yīng)及時(shí)終止會(huì)話： 當(dāng)用戶登錄成功并成功創(chuàng)立會(huì)話后，應(yīng)在信息系統(tǒng)的各個(gè)頁面提供用戶退出功能； 退出時(shí)應(yīng)及時(shí)注銷服務(wù)器端的會(huì)話數(shù)據(jù)。 當(dāng)處于登錄狀態(tài)的用戶直接關(guān)閉瀏覽器時(shí)，應(yīng)提示用戶執(zhí)行安全退出或者自動(dòng)為用戶完成退出過程。 e應(yīng)設(shè)計(jì)合理的會(huì)話存活時(shí)間，超時(shí)后應(yīng)銷毀會(huì)話，并去除會(huì)話的信息。 f應(yīng)設(shè)計(jì)防止跨站請求偽造： 在涉及到關(guān)鍵業(yè)務(wù)操作的頁面，應(yīng)為當(dāng)前頁面生成一次性隨機(jī)令牌，作為主會(huì)話憑證的補(bǔ)充； 在執(zhí)行關(guān)鍵業(yè)務(wù)前，應(yīng)檢查用戶提交的一次性隨機(jī)令牌。 g采取加密措施來保護(hù)數(shù)據(jù)安全時(shí)，除使用 SSL/TSL加密傳輸信道，針對加密技術(shù)，應(yīng)滿足以下設(shè)計(jì)要求： 應(yīng)采用經(jīng)國密局批準(zhǔn)的的商密算法，并確保密鑰

17、長度能提供足夠的安全級(jí)別。 應(yīng)確保密鑰的安全。 參數(shù)操作操作參數(shù)攻擊是一種更改在客戶端和 Web應(yīng)用程序之間發(fā)送的參數(shù)數(shù)據(jù)的攻擊，包括查詢字符串、窗體字段、 cookie和 HTTP標(biāo)頭。主要的操作參數(shù)威脅包括：操作查詢字符串、操作窗體字段、操作 cookie和操作 HTTP標(biāo)頭。要求如下： a應(yīng)防止使用包含敏感數(shù)據(jù)或者影響服務(wù)器安全邏輯的查詢字符串參數(shù)。b應(yīng)使用會(huì)話標(biāo)識(shí)符來標(biāo)識(shí)客戶端，并將敏感項(xiàng)存儲(chǔ)在服務(wù)器上的會(huì)話存儲(chǔ)區(qū)中。 c應(yīng)使用 HTTP POST來代替 GET提交窗體，防止使用隱藏窗體。 d應(yīng)加密查詢字符串參數(shù)。 e不要信任 HTTP頭信息。 f確保用戶沒有繞過檢查。 g應(yīng)驗(yàn)證從客戶

18、端發(fā)送的所有數(shù)據(jù)。 異常管理異常信息一般包含了針對開發(fā)和維護(hù)人員調(diào)試使用的系統(tǒng)信息，這些信息將增加攻擊者發(fā)現(xiàn)潛在缺陷并進(jìn)展攻擊的時(shí)機(jī)。要求如下： a應(yīng)使用構(gòu)造化異常處理機(jī)制。 b應(yīng)使用通用錯(cuò)誤信息： 程序發(fā)生異常時(shí)，應(yīng)向外部服務(wù)或應(yīng)用程序的用戶發(fā)送通用的信息或重定向到特定應(yīng)用網(wǎng)頁。 應(yīng)向客戶端返回一般性錯(cuò)誤消息。 c程序發(fā)生異常時(shí)，應(yīng)終止當(dāng)前業(yè)務(wù)，并對當(dāng)前業(yè)務(wù)進(jìn)展回滾操作。 d通信雙方中一方在一段時(shí)間內(nèi)未作反響，另一方應(yīng)自動(dòng)完畢回話。 e程序發(fā)生異常時(shí)，應(yīng)在日志中記錄詳細(xì)的錯(cuò)誤消息。 審核與日志用戶訪問信息系統(tǒng)時(shí)，應(yīng)對登錄行為、業(yè)務(wù)操作以及系統(tǒng)運(yùn)行狀態(tài)進(jìn)展記錄與保存，保證操作過程可追溯、可審計(jì)

19、，確保業(yè)務(wù)日志數(shù)據(jù)的安全。要求如下： a應(yīng)明確審計(jì)日志格式，可采用如下格式： 1 Syslog方式： Syslog方式需要給出 syslog的組成構(gòu)造。 2 Snmp方式：Snmp方式需要同時(shí)提供 MIB信息。 b日志記錄事件宜包含以下事件： 審計(jì)功能的啟動(dòng)和關(guān)閉。 信息系統(tǒng)的啟動(dòng)和停頓。 配置變化。 訪問控制信息，比方：由于超出嘗試次數(shù)的限制而引起的拒絕登錄，成功或失敗的登錄。 用戶權(quán)限的變更。 用戶密碼的變更。 用戶試圖執(zhí)行角色中沒有明確授權(quán)的功能。 用戶賬戶的創(chuàng)立、注銷、鎖定、解鎖。 用戶對數(shù)據(jù)的異常操作事件，包括：不成功的存取數(shù)據(jù)嘗試、數(shù)據(jù)標(biāo)志或標(biāo)識(shí)被強(qiáng)制覆蓋或修改、對只讀數(shù)據(jù)的強(qiáng)制修

20、改、來自非授權(quán)用戶的數(shù)據(jù)操作、特別權(quán)限用戶的活動(dòng)。 c審計(jì)日志應(yīng)宜包含如下內(nèi)容： ID或引起這個(gè)事件的處理程序 ID。 事件的日期、時(shí)間時(shí)間戳。 事件類型。 事件內(nèi)容。 事件是否成功。 請求的來源例如請求的 IP地址。 d審計(jì)日志應(yīng)制止包含如下內(nèi)容如必須包含，應(yīng)做模糊化處理： 用戶敏感信息如密碼信息等。用戶完整交易信息。 用戶的隱私信息如銀行卡信息、密碼信息、身份信息等。 e宜加強(qiáng)業(yè)務(wù)安全審計(jì)。 f應(yīng)防止業(yè)務(wù)日志欺騙。 g應(yīng)保證業(yè)務(wù)日志安全存儲(chǔ)與訪問。 制止將業(yè)務(wù)日志保存到 WEB目錄下。 應(yīng)對業(yè)務(wù)日志記錄進(jìn)展數(shù)字簽名來實(shí)現(xiàn)防篡改。 日志保存期限應(yīng)與系統(tǒng)應(yīng)用等級(jí)相匹配。 應(yīng)用交互安全設(shè)計(jì)應(yīng)用交互指的是不同信息系統(tǒng)之間互聯(lián)時(shí)的數(shù)據(jù)交互。信息系統(tǒng)交互應(yīng)通過接口方式進(jìn)展，應(yīng)防止采用非接口方式。 明確交互系統(tǒng) a應(yīng)確定所有和本系統(tǒng)交互的其它系統(tǒng)。 b應(yīng)確定交互的數(shù)據(jù)類型、采用的傳輸方式。 接口方式安全設(shè)計(jì) a系統(tǒng)互聯(lián)應(yīng)僅通過接口設(shè)備前置機(jī)、接口機(jī)、通信服務(wù)器、應(yīng)用服務(wù)器等設(shè)備進(jìn)展，不能直接訪問核心數(shù)據(jù)庫。 b接口設(shè)備上的應(yīng)用宜只包含實(shí)現(xiàn)系統(tǒng)互聯(lián)所必須的業(yè)務(wù)功能，不包含業(yè)務(wù)系統(tǒng)的所有功能。 c其它系統(tǒng)訪問本系統(tǒng)設(shè)備宜進(jìn)展接口認(rèn)證。 d各種收發(fā)數(shù)據(jù)、消息的日志都應(yīng)予以保存，以備審計(jì)與核對。 數(shù)據(jù)安全設(shè)計(jì)針對安全需求中的數(shù)據(jù)安全保護(hù)需求，應(yīng)從