安全設計說明書

文檔類別安全設計文檔文檔編號版本號1.0分冊類別安全設計文檔分冊名稱第1冊共1冊安全設計說明書北京炎黃新星網(wǎng)絡科技有限公司二零一四年月

本報告修改記錄:日期內(nèi)容摘要編制/修改審核2015-00-00編寫人目錄5目錄55555555556777777778888目錄文檔概述1.1項目說明及文檔目的1.2參考文檔和文獻1.3假設和約束1.4本文檔概述1.5名詞解釋1.5.1術語1.5.2簡寫產(chǎn)品設計安全2.1身份與訪問控制2.2會話管理2.3密碼算法2.4日志安全2.5系統(tǒng)通信安全2.6系統(tǒng)密碼安全2.7對文件上傳/下載的限制2.8系統(tǒng)資源釋放代碼質(zhì)量安全3.1防范跨站腳本攻擊3.2防范跨站請求偽造防范SQL注入攻擊3.3不安全的直接對象引用3.4對其他各類用戶輸入的過濾3.5引用開源程序的注意事項已發(fā)生的安全事故案例的相關安全考慮點TOC\o"1-5"\h\z\o"CurrentDocument"運行環(huán)境安全 95.1硬件軟件功能的分配原則 95.2容災設計 9\o"CurrentDocument"數(shù)據(jù)安全 96.1傳輸安全 96.2容錯設計 96.3容災設計 9備注：本文檔模版中藍色的文字部分為需要輸入的部分文檔概述1.1項目說明及文檔目的［闡明該需求規(guī)格說明書的目的。并概要說明項目的大致情況、功能、作用等1.2參考文檔和文獻［本小節(jié)應完整列出此說明書中所引用的任何文檔。每個文檔應標有標題、報告號（如果適用）、日期和出版單位。列出可從中獲取這些參考資料的來源。這些信息可以通過引用附錄或其他文檔來提供。］1.3假設和約束［本小節(jié)應說明該說明書的前提條件和約束條件11.4本文檔概述［本小節(jié)應說明該說明書中其他部分所包含的內(nèi)容，并解釋此文檔的組織方式。1.5名詞解釋1.5.1術語［本小節(jié)應定義該說明書中用到的術語］1.5.2簡寫［本小節(jié)應定義該說明書中用到的簡寫］產(chǎn)品設計安全［本小節(jié)從產(chǎn)品功能出發(fā)考慮安全設計包括:。］2.1身份與訪問控制1，應用系統(tǒng)認證要求［注：此部分涉及系統(tǒng)身份驗證，此部分也是涉及安全問題較多的部分。例如：應寫明身份驗證過程是否是與服務器交互完成（禁止完全由腳本進行驗證）。］認證加密要求［注：這里應寫明身份認證過程是否按系統(tǒng)安全要求，對關鍵內(nèi)容進行加密處理；使用的加密算法是否足夠安全等；］帳戶密碼修改功能［注：應寫明對帳戶密碼修改或重要內(nèi)容修改時的通知功能，以及二次驗證機制；登錄控制安全［注：這里應寫明諸如用戶登錄頻率、失敗次數(shù)閥值、登錄次數(shù)限制、登錄失敗的后續(xù)處理等情況；登錄過程應考慮，終端到服務器端傳遞過程被非法修改的可能性。寫明對于重要字段是否需要在服務器端進行二次驗證（具體可參考安全事故案例文檔青海B2B系統(tǒng)重置任意賬戶密碼（功能設計問題，提交數(shù)據(jù)未驗證）的內(nèi)容）。］5，登錄驗證碼［注：此處應寫明，在登錄時如果涉及驗證碼，則驗證碼的細節(jié)設定，如，干擾、扭曲、變形、粘連等效果（細節(jié)參考安全設計規(guī)范或驗證碼設計文檔）登錄認證失敗提示［注：寫明當驗證失敗時，系統(tǒng)如何提示（應模糊提示）］；用戶關鍵信息安全［注：這里寫明對于用戶的關鍵信息（密碼ID等）是否安全加密后保存;］系統(tǒng)及應用的配置文件安全［注：這里應說明，重要的系統(tǒng)、中間件、數(shù)據(jù)庫等配置文件應妥善保存，不應暴露于公網(wǎng)目］錄；其他登錄安全考慮［注：此處的其他安全方面，諸如：保存登錄!動登錄功能、帳戶權限橫向、縱向訪問控制等安全點，并非所有系統(tǒng)都有相應安全要求，如涉及則根據(jù)情況靈活編寫。2.2會話管理1，會話產(chǎn)生及會話標識［注：寫明會話標識的產(chǎn)生、更新（登錄前后是否更新）、及長度等；會話超時及結束［注：寫明會話超時時間及會話結束的處理情況；2.3密碼算法1,使用安全的密碼算法［注：寫明在涉及加密時使用那種安全的加密算法，以及密鑰的管理；2.4日志安全1，具體日志內(nèi)容應包含［注：應注明，日志記錄那些關鍵內(nèi)容，關鍵內(nèi)容是否需要加密等；2，日志的保存［注：主要描述日志的安全保存，例如，不保存于公網(wǎng)可訪問地址、個人敏感信息是否保存等；2.5系統(tǒng)通信安全［注：主要描述是否涉及系統(tǒng)通信方面的安全，例如，重要通信是否需聶;］2.6系統(tǒng)密碼安全［注：這里主要描述諸如，系統(tǒng)帳號、中間件、數(shù)據(jù)庫等帳號，應遵循相應的密碼安全規(guī)范。例如，帳號密碼的長度、字符范圍、有效期、存儲（是否需要加密存儲）等；具體參見安全設計規(guī)范內(nèi)容；2.7對文件上傳/下載的限制［注：如果系統(tǒng)涉及文件的上傳，則應描述清楚，如何對上傳文件進行檢驗。例如，如何規(guī)定文件大小、后綴名、格式、用戶端是否做校驗、服務器端是否做校驗、文件保存位置等安全點；另外，可參考公司的安全事故案例〉多個B2B系統(tǒng)的圖片上傳驗證漏洞;］2.8系統(tǒng)資源釋放［注：這里主要是java開發(fā)規(guī)范的相關內(nèi)容，寫明例如打開的文件，數(shù)據(jù)庫連接等，使用完成后是否釋放資源；］代碼質(zhì)量安全［本小節(jié)從代碼質(zhì)量方面出發(fā)考慮安全設計包括:。］3.1防范跨站腳本攻擊［注：跨站與SQL注入都是web系統(tǒng)最常見的攻擊方式，這里請描述如何進行的預防（例如公司的安全包）。另外，需具體說明對哪些關鍵輸入或字段進行了過濾。頁腳內(nèi)容73.2防范跨站請求偽造防范SQL注入攻擊［注：同上；］3.3不安全的直接對象引用［注：主要檢查用戶重要參數(shù)是否暴露（具體可參敗全設計開發(fā)規(guī)范2.4不安全的直接對象引用）；］3.4對其他各類用戶輸入的過濾［注：部分內(nèi)容同跨站及注入的過濾；但對于相關參數(shù)長度應說明，以避免過長的參數(shù)輸入引起參數(shù)溢出漏洞；］3.5引用開源程序的注意事項［注：此部分主要檢查，項目中是否涉及第三方的開源程序引用，如果有，則需檢查是否包含惡意代碼、冗余功能代碼、廣告類代碼及不必要的頁面文件以及是否嵌套其他安全考慮點。已發(fā)生的安全事故案例的相關安全考慮點［注：因各類系統(tǒng)涉及功能廣泛，公司的規(guī)范文檔可能考慮不對于己經(jīng)發(fā)生的安全事故，其中也有相應的安全設計考慮點，在設計新系統(tǒng)時應進行相應的考慮。1，終端-服務器交互過程防篡改（注：提交的重要數(shù)據(jù)需要進行二次驗證）［注，在涉及到服務器端與用戶進行數(shù)據(jù)交互時，是否考慮了數(shù)據(jù)的防篡改?？赡苌婕暗膱鼍叭纾荷坛窍到y(tǒng)的訂單提交、電子商務中物品采購、營業(yè)廳系統(tǒng)的業(yè)務辦理、系統(tǒng)的身份驗證過程等。參考《炎黃安全事故案例》-〉福建移動WAP營業(yè)廳受理0元套餐事件浙江移動■旗艦店靚號被低價購買青海B2B系統(tǒng)重置任意賬戶密碼三個案例?？紤]新系統(tǒng)是否涉及，如涉及如何預防；2,重要配置文件避免明文保存問題［注，參考《炎黃安全事故案例》〉聯(lián)通手機廳客戶端程序明文保存帳號密碼?？紤]新系統(tǒng)是否涉及，如涉及如何預防；］重要數(shù)據(jù)未加密傳輸問題［注，參考《炎黃安全事故案例》〉廣西SSO登錄密碼明文傳輸問題?？紤]新系統(tǒng)是否涉及，如涉及如何預防；］登錄過程次數(shù)保存不當導致可暴力登錄嘗試［注，參考《炎黃安全事故案例》〉寧夏SSO圖形驗證碼可以繞過?？紤]新系統(tǒng)是否涉及，如涉及如何頁腳內(nèi)容8預防；］不安全的身份驗證，導致驗證被繞過［注，參考《炎黃安全事故案例》〉中國聯(lián)通網(wǎng)上實名登記可以繞過短信驗證碼?？紤]新系統(tǒng)是否涉及，如涉及如何預防;］產(chǎn)品服務下線不完整導致惡意業(yè)務辦理［注，參