安全安全設(shè)計(jì)說(shuō)明書(shū)

1、PAGE7文檔類(lèi)別安全設(shè)計(jì)文檔文檔編號(hào)版 本 號(hào)分冊(cè)類(lèi)別安全設(shè)計(jì)文檔分冊(cè)名稱(chēng)第1冊(cè)共1冊(cè)安全設(shè)計(jì)說(shuō)明書(shū)北京炎黃新星網(wǎng)絡(luò)科技有限公司二零一四年 月本報(bào)告修改記錄：日 期內(nèi) 容 摘 要編 制/修 改審 核2015-00-00編寫(xiě)人目錄 TOC o 1-3 h z HYPERLINK l _Toc24431 目錄 PAGEREF _Toc24431 3 HYPERLINK l _Toc11096 1 文檔概述 PAGEREF _Toc11096 4 HYPERLINK l _Toc27079 本文檔的目的 PAGEREF _Toc27079 4 HYPERLINK l _Toc19306 參考文檔和

2、文獻(xiàn) PAGEREF _Toc19306 4 HYPERLINK l _Toc1371 假設(shè)和約束 PAGEREF _Toc1371 4 HYPERLINK l _Toc23017 本文檔概述 PAGEREF _Toc23017 4 HYPERLINK l _Toc14416 名詞解釋 PAGEREF _Toc14416 4 HYPERLINK l _Toc8020 術(shù)語(yǔ) PAGEREF _Toc8020 4 HYPERLINK l _Toc24657 簡(jiǎn)寫(xiě) PAGEREF _Toc24657 4 HYPERLINK l _Toc1324 2 產(chǎn)品安全 PAGEREF _Toc1324 4 H

3、YPERLINK l _Toc16724 身份與訪問(wèn)控制 PAGEREF _Toc16724 4 HYPERLINK l _Toc9766 會(huì)話管理 PAGEREF _Toc9766 5 HYPERLINK l _Toc8067 密碼算法 PAGEREF _Toc8067 5 HYPERLINK l _Toc8415 日志安全 PAGEREF _Toc8415 5 HYPERLINK l _Toc26019 系統(tǒng)通信安全 PAGEREF _Toc26019 5 HYPERLINK l _Toc18751 系統(tǒng)密碼安全 PAGEREF _Toc18751 5 HYPERLINK l _Toc90

4、62 對(duì)文件上傳/下載的限制 PAGEREF _Toc9062 6 HYPERLINK l _Toc30192 系統(tǒng)資源釋放 PAGEREF _Toc30192 6 HYPERLINK l _Toc19334 3 代碼質(zhì)量安全 PAGEREF _Toc19334 6 HYPERLINK l _Toc21139 防范跨站腳本攻擊 PAGEREF _Toc21139 6 HYPERLINK l _Toc6058 防范跨站請(qǐng)求偽造防范SQL注入攻擊 PAGEREF _Toc6058 6 HYPERLINK l _Toc9372 不安全的直接對(duì)象引用 PAGEREF _Toc9372 6 HYPERL

5、INK l _Toc26708 不安全的通信 PAGEREF _Toc26708 6 HYPERLINK l _Toc8180 對(duì)其他各類(lèi)用戶(hù)輸入的過(guò)濾 PAGEREF _Toc8180 6 HYPERLINK l _Toc26991 4 已發(fā)生的安全事故案例的相關(guān)安全考慮點(diǎn) PAGEREF _Toc26991 6 HYPERLINK l _Toc4568 5 運(yùn)行環(huán)境安全 PAGEREF _Toc4568 7 HYPERLINK l _Toc18496 硬件軟件功能的分配原則 PAGEREF _Toc18496 7 HYPERLINK l _Toc7057 容災(zāi)設(shè)計(jì) PAGEREF _Toc

6、7057 7 HYPERLINK l _Toc28086 6 數(shù)據(jù)安全 PAGEREF _Toc28086 7 HYPERLINK l _Toc17392 傳輸安全 PAGEREF _Toc17392 7 HYPERLINK l _Toc2165 容錯(cuò)設(shè)計(jì) PAGEREF _Toc2165 7 HYPERLINK l _Toc7612 容災(zāi)設(shè)計(jì) PAGEREF _Toc7612 7備注：本文檔模版中藍(lán)色的文字部分為需要輸入的部分文檔概述項(xiàng)目說(shuō)明及文檔目的闡明該需求規(guī)格說(shuō)明書(shū)的目的。并概要說(shuō)明項(xiàng)目的大致情況、功能、作用等參考文檔和文獻(xiàn)本小節(jié)應(yīng)完整列出此說(shuō)明書(shū)中所引用的任何文檔。每個(gè)文檔應(yīng)標(biāo)有標(biāo)題

7、、報(bào)告號(hào)（如果適用）、日期和出版單位。列出可從中獲取這些參考資料的來(lái)源。這些信息可以通過(guò)引用附錄或其他文檔來(lái)提供。假設(shè)和約束本小節(jié)應(yīng)說(shuō)明該說(shuō)明書(shū)的前提條件和約束條件。本文檔概述本小節(jié)應(yīng)說(shuō)明該說(shuō)明書(shū)中其他部分所包含的內(nèi)容，并解釋此文檔的組織方式。名詞解釋術(shù)語(yǔ)本小節(jié)應(yīng)定義該說(shuō)明書(shū)中用到的術(shù)語(yǔ)。簡(jiǎn)寫(xiě)本小節(jié)應(yīng)定義該說(shuō)明書(shū)中用到的簡(jiǎn)寫(xiě)。產(chǎn)品設(shè)計(jì)安全本小節(jié)從產(chǎn)品功能出發(fā)考慮安全設(shè)計(jì)包括： 。身份與訪問(wèn)控制1，應(yīng)用系統(tǒng)認(rèn)證要求 注：此部分涉及系統(tǒng)身份驗(yàn)證，此部分也是涉及安全問(wèn)題較多的部分。例如：應(yīng)寫(xiě)明身份驗(yàn)證過(guò)程是否是與服務(wù)器交互完成（禁止完全由js腳本進(jìn)行驗(yàn)證）。2，認(rèn)證加密要求注：這里應(yīng)寫(xiě)明身份認(rèn)證過(guò)程

8、是否按系統(tǒng)安全要求，對(duì)關(guān)鍵內(nèi)容進(jìn)行加密處理；使用的加密算法是否足夠安全等；3，帳戶(hù)密碼修改功能注：應(yīng)寫(xiě)明對(duì)帳戶(hù)密碼修改或重要內(nèi)容修改時(shí)的通知功能，以及二次驗(yàn)證機(jī)制；4，登錄控制安全注：這里應(yīng)寫(xiě)明諸如用戶(hù)登錄頻率、失敗次數(shù)閥值、登錄次數(shù)限制、登錄失敗的后續(xù)處理等情況；登錄過(guò)程應(yīng)考慮，終端到服務(wù)器端傳遞過(guò)程被非法修改的可能性。寫(xiě)明對(duì)于重要字段是否需要在服務(wù)器端進(jìn)行二次驗(yàn)證（具體可參考 安全事故案例文檔 青海B2B 系統(tǒng)重置任意賬戶(hù)密碼（功能設(shè)計(jì)問(wèn)題，提交數(shù)據(jù)未驗(yàn)證）的內(nèi)容）。5，登錄驗(yàn)證碼注：此處應(yīng)寫(xiě)明，在登錄時(shí)如果涉及驗(yàn)證碼，則驗(yàn)證碼的細(xì)節(jié)設(shè)定，如，干擾、扭曲、變形、粘連等效果（細(xì)節(jié)參考安全設(shè)計(jì)

9、規(guī)范或驗(yàn)證碼設(shè)計(jì)文檔）6，登錄認(rèn)證失敗提示注：寫(xiě)明當(dāng)驗(yàn)證失敗時(shí)，系統(tǒng)如何提示（應(yīng)模糊提示）；7，用戶(hù)關(guān)鍵信息安全注：這里寫(xiě)明對(duì)于用戶(hù)的關(guān)鍵信息（密碼、ID等）是否安全加密后保存；8，系統(tǒng)及應(yīng)用的配置文件安全注：這里應(yīng)說(shuō)明，重要的系統(tǒng)、中間件、數(shù)據(jù)庫(kù)等配置文件應(yīng)妥善保存，不應(yīng)暴露于公網(wǎng)目錄；9，其他登錄安全考慮注：此處的其他安全方面，諸如：保存登錄/自動(dòng)登錄功能、帳戶(hù)權(quán)限-橫向、縱向訪問(wèn)控制等安全點(diǎn)，并非所有系統(tǒng)都有相應(yīng)安全要求，如涉及則根據(jù)情況靈活編寫(xiě)。會(huì)話管理1，會(huì)話產(chǎn)生及會(huì)話標(biāo)識(shí)注：寫(xiě)明會(huì)話標(biāo)識(shí)的產(chǎn)生、更新（登錄前后是否更新）、及長(zhǎng)度等； 2，會(huì)話超時(shí)及結(jié)束注：寫(xiě)明會(huì)話超時(shí)時(shí)間及會(huì)話結(jié)束的

10、處理情況；密碼算法1，使用安全的密碼算法注：寫(xiě)明在涉及加密時(shí)使用那種安全的加密算法，以及密鑰的管理；日志安全 1，具體日志內(nèi)容應(yīng)包含注：應(yīng)注明，日志記錄那些關(guān)鍵內(nèi)容，關(guān)鍵內(nèi)容是否需要加密等；2，日志的保存注：主要描述日志的安全保存，例如，不保存于公網(wǎng)可訪問(wèn)地址、個(gè)人敏感信息是否保存等；系統(tǒng)通信安全注：主要描述是否涉及系統(tǒng)通信方面的安全，例如，重要通信是否需要SSL;系統(tǒng)密碼安全注：這里主要描述諸如，系統(tǒng)帳號(hào)、中間件、數(shù)據(jù)庫(kù)等帳號(hào)，應(yīng)遵循相應(yīng)的密碼安全規(guī)范。例如，帳號(hào)密碼的長(zhǎng)度、字符范圍、有效期、存儲(chǔ)（是否需要加密存儲(chǔ)）等；具體參見(jiàn)安全設(shè)計(jì)規(guī)范內(nèi)容；對(duì)文件上傳/下載的限制注：如果系統(tǒng)涉及文件的上

11、傳，則應(yīng)描述清楚，如何對(duì)上傳文件進(jìn)行檢驗(yàn)。例如，如何規(guī)定文件大小、后綴名、格式、用戶(hù)端是否做校驗(yàn)、服務(wù)器端是否做校驗(yàn)、文件保存位置等安全點(diǎn)；另外，可參考 公司的安全事故案例-多個(gè)B2B系統(tǒng)的圖片上傳驗(yàn)證漏洞；系統(tǒng)資源釋放注：這里主要是java開(kāi)發(fā)規(guī)范的相關(guān)內(nèi)容，寫(xiě)明例如打開(kāi)的文件，數(shù)據(jù)庫(kù)連接等，使用完成后是否釋放資源；代碼質(zhì)量安全本小節(jié)從代碼質(zhì)量方面出發(fā)考慮安全設(shè)計(jì)包括： 。防范跨站腳本攻擊注：跨站與SQL注入都是web系統(tǒng)最常見(jiàn)的攻擊方式，這里請(qǐng)描述如何進(jìn)行的預(yù)防（例如公司的安全包）。另外，需具體說(shuō)明對(duì)哪些關(guān)鍵輸入或字段進(jìn)行了過(guò)濾。防范跨站請(qǐng)求偽造防范SQL注入攻擊注：同上；不安全的直接對(duì)象

12、引用注：主要檢查用戶(hù)重要參數(shù)是否暴露（具體可參見(jiàn) 安全設(shè)計(jì)開(kāi)發(fā)規(guī)范 不安全的直接對(duì)象引用）；對(duì)其他各類(lèi)用戶(hù)輸入的過(guò)濾注：部分內(nèi)容同跨站及注入的過(guò)濾；但對(duì)于相關(guān)參數(shù)長(zhǎng)度應(yīng)說(shuō)明，以避免過(guò)長(zhǎng)的參數(shù)輸入引起參數(shù)溢出漏洞；引用開(kāi)源程序的注意事項(xiàng) 注：此部分主要檢查，項(xiàng)目中是否涉及第三方的開(kāi)源程序引用，如果有，則需檢查是否包含惡意代碼、冗余功能代碼、廣告類(lèi)代碼及不必要的頁(yè)面文件以及是否嵌套其他安全考慮點(diǎn)。已發(fā)生的安全事故案例的相關(guān)安全考慮點(diǎn)注：因各類(lèi)系統(tǒng)涉及功能廣泛，公司的規(guī)范文檔可能考慮不周,對(duì)于已經(jīng)發(fā)生的安全事故，其中也有相應(yīng)的安全設(shè)計(jì)考慮點(diǎn)，在設(shè)計(jì)新系統(tǒng)時(shí)應(yīng)進(jìn)行相應(yīng)的考慮。1，終端-服務(wù)器交互過(guò)程防

13、篡改（注：提交的重要數(shù)據(jù)需要進(jìn)行二次驗(yàn)證）注，在涉及到服務(wù)器端與用戶(hù)進(jìn)行數(shù)據(jù)交互時(shí)，是否考慮了數(shù)據(jù)的防篡改?？赡苌婕暗膱?chǎng)景如：商城系統(tǒng)的訂單提交、電子商務(wù)中物品采購(gòu)、營(yíng)業(yè)廳系統(tǒng)的業(yè)務(wù)辦理、系統(tǒng)的身份驗(yàn)證過(guò)程等。參考炎黃安全事故案例-福建移動(dòng)WAP營(yíng)業(yè)廳受理0元套餐事件；浙江移動(dòng)-旗艦店 靚號(hào)被低價(jià)購(gòu)買(mǎi) 青海B2B 系統(tǒng)重置任意賬戶(hù)密碼 三個(gè)案例?？紤]新系統(tǒng)是否涉及，如涉及如何預(yù)防；2，重要配置文件避免明文保存問(wèn)題注，參考炎黃安全事故案例-聯(lián)通手機(jī)廳客戶(hù)端程序明文保存帳號(hào)密碼?？紤]新系統(tǒng)是否涉及，如涉及如何預(yù)防；3，重要數(shù)據(jù)未加密傳輸問(wèn)題注，參考炎黃安全事故案例-廣西SSO登錄密碼明文傳輸問(wèn)題?？紤]新系統(tǒng)是否涉及，如涉及如何預(yù)防；4，登錄過(guò)程次數(shù)保存不當(dāng)導(dǎo)致可暴力登錄嘗試注，參考炎黃安全事故案例-寧夏SSO圖形驗(yàn)證碼可以繞過(guò)。考慮新系統(tǒng)是否涉及，如涉及如何預(yù)防；5，不安全的身份驗(yàn)證，導(dǎo)致驗(yàn)證被繞過(guò)注，