2023組裝式應(yīng)用開發(fā)平臺(tái)第2部分：安全要求和測(cè)試方法

組裝式應(yīng)用開發(fā)平臺(tái)第2部分：安全要求和測(cè)試方法目 次范圍 4規(guī)范性引用文件 4術(shù)語、定義和縮略語TBD 4術(shù)語定義 4應(yīng)用程序接口ApplicationProgrammingInterface 4縮略語 4安全技術(shù)要求 5供應(yīng)鏈安全 5代碼安全 5認(rèn)證安全 5身份鑒別 5登錄策略 5數(shù)據(jù)審計(jì) 5認(rèn)證權(quán)限 5錯(cuò)誤鎖定 6賬號(hào)口令 6應(yīng)用安全 6授權(quán)管理 6數(shù)據(jù)安全 6輸入輸出 6密碼安全 6通信安全 7I通信加密 7訪問控制 7安全策略 7測(cè)試方法 7供應(yīng)鏈安全 7代碼安全 7認(rèn)證安全 8身份鑒別 8登錄策略 8數(shù)據(jù)審計(jì) 8賬號(hào)口令 9應(yīng)用安全 9授權(quán)管理 9數(shù)據(jù)安全 9輸入輸出 9密碼安全 10通信安全 10通信加密 10訪問控制 10安全策略 11II組裝式應(yīng)用開發(fā)平臺(tái)第2部分：安全要求和測(cè)試方法范圍本文件規(guī)定了組裝式應(yīng)用開發(fā)平臺(tái)的安全要求和測(cè)試方法。本文件適用于組裝式應(yīng)用開發(fā)平臺(tái)的開發(fā)者、提供商及專業(yè)測(cè)評(píng)機(jī)構(gòu)開展安全測(cè)試工作，為提升組裝式應(yīng)用開發(fā)平臺(tái)安全能力水平、強(qiáng)化測(cè)試能力、健全技術(shù)手段提供指引和依據(jù)。規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069-2010信息安全技術(shù)術(shù)語TBD術(shù)語定義GB/T25069-2010和GB/T29246-2017中界定的以及下列術(shù)語和定義適用于本文件。ApplicationProgrammingInterface一組預(yù)先定義好的功能，開發(fā)者可通過該功能（或功能的組合）便捷地訪問相關(guān)服務(wù)，而無需關(guān)注服務(wù)的設(shè)計(jì)與實(shí)現(xiàn)?？s略語下列縮略語適用于本文件。API 應(yīng)用程序接口 ApplicationProgrammingInterface4安全技術(shù)要求供應(yīng)鏈安全應(yīng)確保平臺(tái)所依賴的供應(yīng)鏈組件安全性,確保內(nèi)部開源中間件引用安全，包括不限于開發(fā)工具、數(shù)據(jù)庫、引用的第三方Jar、Kafka、rabbitmq、Elasticsearch、容器鏡像等高危CVE漏洞。代碼安全平臺(tái)應(yīng)保證代碼安全性，通過完整的SDL流程，保證在人員培訓(xùn)、需求分析、代碼開發(fā)、應(yīng)用測(cè)試、項(xiàng)目發(fā)布、應(yīng)急響應(yīng)等安全開發(fā)生命周期中的應(yīng)用代碼安全。認(rèn)證安全身份鑒別1Cookie應(yīng)正確設(shè)置Secure、Domain和Path屬性，并設(shè)置HttpOnly。3、會(huì)話的生成具有隨機(jī)性、唯一性、不可預(yù)測(cè)。4、系統(tǒng)會(huì)話超時(shí)時(shí)間設(shè)置合理，超時(shí)后應(yīng)銷毀會(huì)話。用戶認(rèn)證通過后，應(yīng)更換會(huì)話標(biāo)識(shí)。用戶退出登錄后，應(yīng)注銷服務(wù)器會(huì)話數(shù)據(jù)。5、系統(tǒng)應(yīng)保障會(huì)話信息不泄漏，如不應(yīng)在GET請(qǐng)求中URL攜帶會(huì)話、不應(yīng)在日志中打印Session和Token等信息。6、用戶登錄認(rèn)證失敗時(shí)，應(yīng)采取模糊提示，如不區(qū)分用戶名還是密碼錯(cuò)誤，防止惡意猜測(cè)系統(tǒng)用戶（可選）。7、應(yīng)支持與企業(yè)現(xiàn)有身份認(rèn)證系統(tǒng)的集成認(rèn)證，如AD、企微等（可選）。8、應(yīng)支持常見的單點(diǎn)登錄協(xié)議來與企業(yè)的統(tǒng)一賬號(hào)系統(tǒng)進(jìn)行集成認(rèn)證，如SAML、OIDC、OpenID（可選）。登錄策略1、平臺(tái)應(yīng)提供多因素認(rèn)證，如靜態(tài)密碼、圖形驗(yàn)證碼、短信驗(yàn)證碼、生物認(rèn)證等兩種或兩種以上組合驗(yàn)證方式。2、平臺(tái)在驗(yàn)證碼設(shè)計(jì)上應(yīng)保證驗(yàn)證碼生成的隨機(jī)性、不可預(yù)測(cè)、驗(yàn)證碼復(fù)雜度、時(shí)效性、一次性（使用過立即失效），在使用過程中應(yīng)由后端服務(wù)器進(jìn)行驗(yàn)證。34、對(duì)第三方系統(tǒng)訪問，平臺(tái)應(yīng)提供登錄認(rèn)證機(jī)制，如Token認(rèn)證、簽名認(rèn)證等。5、支持第三方統(tǒng)一認(rèn)證中心接入，根據(jù)登錄認(rèn)證結(jié)果進(jìn)行系統(tǒng)登錄狀態(tài)管理（可選）。數(shù)據(jù)審計(jì)1、平臺(tái)日志應(yīng)包括但不限于操作人、操作時(shí)間、操作名稱、被訪問資源名稱、訪問發(fā)起客戶端地址和名稱、操作結(jié)果等，支持?jǐn)?shù)據(jù)安全審計(jì)。認(rèn)證權(quán)限1、用戶認(rèn)證與權(quán)限鑒別應(yīng)在服務(wù)端進(jìn)行，禁止客戶端篡改請(qǐng)求參數(shù)繞過認(rèn)證。2、平臺(tái)支持基于角色的賬戶權(quán)限管理。3、平臺(tái)中管理員用戶建議采用基于角色的賬戶權(quán)限管理，對(duì)安全性要求較高的場(chǎng)景下宜遵循“三權(quán)分立”原則。4、平臺(tái)應(yīng)對(duì)每個(gè)需要授權(quán)訪問的請(qǐng)求核實(shí)用戶是否被授權(quán)執(zhí)行該操作。錯(cuò)誤鎖定1、平臺(tái)應(yīng)提供賬戶鎖定策略配置功能，密碼多次輸入錯(cuò)誤時(shí)，提供圖片驗(yàn)證碼、短信驗(yàn)證碼處理方式，達(dá)到錯(cuò)誤次數(shù)時(shí)，進(jìn)行賬戶鎖定。2、平臺(tái)應(yīng)對(duì)提供給第三方系統(tǒng)獲取Token進(jìn)行登錄訪問的方式，當(dāng)密鑰/密碼連續(xù)輸入錯(cuò)誤時(shí)，需具備賬戶/第三方應(yīng)用ID鎖定機(jī)制。賬號(hào)口令1、平臺(tái)應(yīng)對(duì)口令復(fù)雜度進(jìn)行控制，包括口令長度、字符組成、密碼有效期、密碼歷史等；避免使用含有賬號(hào)信息的口令及常見口令。2、平臺(tái)生成的密碼和認(rèn)證過程應(yīng)加鹽處理，防止用戶密碼被撞庫破譯。3、管理員新增/重置用戶賬戶，應(yīng)由管理員設(shè)置初始口令或系統(tǒng)自動(dòng)產(chǎn)生隨機(jī)口令（口令應(yīng)滿足口令復(fù)雜度要求），用戶首次登陸或鏈接宜建議修改。4、系統(tǒng)中各賬戶的權(quán)限需滿足“權(quán)限最小化”原則；新建賬戶默認(rèn)不授予任何權(quán)限或者默認(rèn)只指派最小權(quán)限的角色。5、平臺(tái)應(yīng)提供密碼變更與找回密碼功能。6、平臺(tái)的密碼重置與更改應(yīng)嚴(yán)格校驗(yàn)輸入?yún)?shù)進(jìn)行身份驗(yàn)證，如驗(yàn)證舊密碼、手機(jī)短信驗(yàn)證碼等機(jī)制（可選）。應(yīng)用安全授權(quán)管理1、平臺(tái)應(yīng)支持用戶功能權(quán)限設(shè)置，應(yīng)核實(shí)用戶是否被授權(quán)執(zhí)行相應(yīng)操作。2、平臺(tái)應(yīng)支持?jǐn)?shù)據(jù)規(guī)則權(quán)限設(shè)置，對(duì)數(shù)據(jù)的使用進(jìn)行權(quán)限控制。3、平臺(tái)應(yīng)支持字段權(quán)限設(shè)置，控制用戶對(duì)字段查看、編輯等權(quán)限。4、用戶權(quán)限變更應(yīng)及時(shí)生效，且平臺(tái)應(yīng)記錄權(quán)限日志變更信息。數(shù)據(jù)安全1、平臺(tái)應(yīng)支持敏感數(shù)據(jù)保護(hù)機(jī)制，提供敏感數(shù)據(jù)脫敏規(guī)則、加密規(guī)則配置功能。2、平臺(tái)應(yīng)禁止敏感數(shù)據(jù)在日志、數(shù)據(jù)庫、配置文件、提示語、告警信息、堆棧信息、源代碼等處明文顯示。3、平臺(tái)應(yīng)支持對(duì)敏感數(shù)據(jù)的訪問認(rèn)證和鑒權(quán)機(jī)制。4、平臺(tái)應(yīng)支持敏感數(shù)據(jù)的傳輸加密或者采用加密通道。56（可選）。7、提供數(shù)據(jù)備份管理能力（可選）。輸入輸出1、平臺(tái)應(yīng)具備輸入數(shù)據(jù)有效性檢驗(yàn)功能,例如防護(hù)sql注入、xss注入、csv注入、xml注入等注入風(fēng)險(xiǎn)防御機(jī)制。2、平臺(tái)應(yīng)具備防止CSRF（跨站請(qǐng)求偽造）的功能。3、平臺(tái)應(yīng)具備異常處理機(jī)制，當(dāng)程序發(fā)生異常時(shí)應(yīng)在日志中詳細(xì)記錄錯(cuò)誤消息；應(yīng)向外部調(diào)用程序發(fā)送通用的提示信息或重定向特定網(wǎng)頁，嚴(yán)禁泄露內(nèi)部出錯(cuò)信息。4、平臺(tái)應(yīng)支持多種輸入數(shù)據(jù)驗(yàn)證方式，比如：類型、長度、數(shù)值范圍、特殊字符等。5、平臺(tái)服務(wù)端和客戶端都應(yīng)進(jìn)行輸入驗(yàn)證，路徑遍歷漏洞檢查（可選）。密碼安全1、平臺(tái)應(yīng)具備多種密碼算法的選擇和加密方式的選擇。2、提供秘鑰設(shè)置及安全保護(hù)（可選）。3、支持可信第三方密鑰存儲(chǔ)及分發(fā)（可選）。通信安全通信加密1、客戶端與服務(wù)端通信應(yīng)使用SSL，并使用SSL3.0/TLS1.0以上版本。2、客戶端與服務(wù)器端傳輸數(shù)據(jù)應(yīng)使用安全的證書，證書的格式、簽名算法、密鑰長度、過期時(shí)間滿足安全要求。訪問控制1、除特定的公開內(nèi)容，對(duì)其它功能和數(shù)據(jù)訪問要求應(yīng)進(jìn)行身份認(rèn)證2、未經(jīng)授權(quán)訪問平臺(tái)功能和數(shù)據(jù)，平臺(tái)應(yīng)提示用戶進(jìn)行登錄或者拒絕訪問。3、支持配置用戶或組織在固定的IP段訪問登錄平臺(tái)。4、支持對(duì)web端和移動(dòng)端能否同時(shí)登錄進(jìn)行限制（可選）。5、支持基于移動(dòng)設(shè)備指紋對(duì)移動(dòng)端登錄進(jìn)行限制（可選）。6、支持僅限于API訪問的認(rèn)證，避免高權(quán)限賬號(hào)泄露后被用于登錄web管理后臺(tái)執(zhí)行惡意操作（可選）。安全策略123、平臺(tái)應(yīng)具備安全應(yīng)急響應(yīng)團(tuán)隊(duì)，對(duì)外部漏洞、客戶安全問題可及時(shí)處理。4、平臺(tái)應(yīng)具備灰度發(fā)布策略定制能力（可選）。5、平臺(tái)應(yīng)具備運(yùn)行態(tài)監(jiān)控基礎(chǔ)能力，提供基礎(chǔ)限流、負(fù)載均衡等基礎(chǔ)能力（可選）。6、支持定期漏洞掃描及分析（可選）。測(cè)試方法供應(yīng)鏈安全編號(hào)4.1預(yù)置條件已梳理平臺(tái)所引用的供應(yīng)鏈組件，以及組件所使用的版本。測(cè)試方法1、采用開源安全工具或自研安全工具對(duì)組件進(jìn)行安全版本檢測(cè)，如開源工具Dependencycheck檢測(cè)平臺(tái)引用的第三方j(luò)ar是否存在CVE漏洞。2手工檢測(cè)，在組件官方網(wǎng)站或第三方軟件風(fēng)險(xiǎn)管理網(wǎng)站查找對(duì)應(yīng)組件及版CVE\h/vuln/search/results網(wǎng)站查詢。預(yù)期結(jié)果引用的供應(yīng)鏈組件版本是安全版本，無CVE漏洞。代碼安全編號(hào)4.2預(yù)置條件平臺(tái)運(yùn)行正常7測(cè)試方法了解和整理整個(gè)產(chǎn)品研發(fā)流程，咨詢產(chǎn)品設(shè)計(jì)、研發(fā)、測(cè)試、質(zhì)量管理、安全（DL。預(yù)期結(jié)果在產(chǎn)品設(shè)計(jì)、開發(fā)、測(cè)試、配置管理、交付等關(guān)鍵環(huán)節(jié)，有安全開發(fā)流程檢查點(diǎn)和對(duì)應(yīng)輸出件。認(rèn)證安全身份鑒別編號(hào)4.3.1預(yù)置條件平臺(tái)運(yùn)行正常測(cè)試方法1、梳理平臺(tái)提供的所有登錄頁面2、根據(jù)用戶登錄交互流程，逐一檢查流程各節(jié)點(diǎn)對(duì)賬戶、會(huì)話Cookie、身份鑒別、認(rèn)證提示語等處理邏輯是否滿足身份鑒別安全技術(shù)要求。預(yù)期結(jié)果滿足身份鑒別安全技術(shù)要求。登錄策略編號(hào)4.3.2預(yù)置條件平臺(tái)運(yùn)行正常測(cè)試方法1、打開平臺(tái)登錄策略配置頁面。2、對(duì)登錄策略進(jìn)行配置和登錄操作，檢查是否滿足登錄策略安全技術(shù)要求。預(yù)期結(jié)果滿足登錄策略安全技術(shù)要求。根據(jù)登錄認(rèn)證結(jié)果進(jìn)行系統(tǒng)登錄狀態(tài)管理編號(hào)4.3.2預(yù)置條件平臺(tái)運(yùn)行正常測(cè)試方法1、打開平臺(tái)登錄策略配置頁面。2、根據(jù)登錄認(rèn)證結(jié)果進(jìn)行系統(tǒng)登錄狀態(tài)管理預(yù)期結(jié)果滿足登錄策略安全技術(shù)要求。數(shù)據(jù)審計(jì)編號(hào)4.3.3預(yù)置條件平臺(tái)運(yùn)行正常測(cè)試方法3、打開平臺(tái)日志頁面。4、檢查平臺(tái)日志是否包括操作人、操作時(shí)間、操作名稱、被訪問資源名稱、訪問發(fā)起客戶端地址和名稱、操作結(jié)果等，是否滿足數(shù)據(jù)審計(jì)安全技術(shù)要求。預(yù)期結(jié)果滿足數(shù)據(jù)審計(jì)安全技術(shù)要求。8賬號(hào)口令編號(hào)4.3.4預(yù)置條件平臺(tái)運(yùn)行正常測(cè)試方法1、梳理平臺(tái)所有提供賬戶口令的功能頁面。2、檢查賬戶與口令在生成、傳輸、存儲(chǔ)、使用過程中是否滿足賬戶口令安全技術(shù)要求。預(yù)期結(jié)果滿足賬戶口令安全技術(shù)要求。應(yīng)用安全授權(quán)管理編號(hào)4.4.1預(yù)置條件平臺(tái)運(yùn)行正常測(cè)試方法1、對(duì)平臺(tái)提供用戶功能的菜單項(xiàng)、按鈕、超鏈接、API展開測(cè)試驗(yàn)證，包括不限于基于URL、用戶身份、資源ID等的橫向縱向越權(quán)測(cè)試。2、對(duì)平臺(tái)提供的預(yù)置數(shù)據(jù)和用戶數(shù)據(jù)展開測(cè)試驗(yàn)證，檢查當(dāng)前用戶是否有數(shù)據(jù)的增、刪、改、查權(quán)限。3、對(duì)平臺(tái)提供的表單字段，檢查當(dāng)前用戶是否有字段值的編輯、查看等權(quán)限。預(yù)期結(jié)果滿足授權(quán)管理安全技術(shù)要求，并且控權(quán)準(zhǔn)確。數(shù)據(jù)安全編號(hào)4.4.2預(yù)置條件平臺(tái)運(yùn)行正常測(cè)試方法確定平臺(tái)敏感數(shù)據(jù)范圍，檢查敏感數(shù)據(jù)在生成、傳輸、存儲(chǔ)、處理、使用過程中是否滿足安全技術(shù)要求。預(yù)期結(jié)果滿足數(shù)據(jù)安全安全技術(shù)要求。編號(hào)4.4.2預(yù)置條件平臺(tái)運(yùn)行正常測(cè)試方法1、為敏感數(shù)據(jù)使用安全的加密算法加密存儲(chǔ)。2、為敏感數(shù)據(jù)使用數(shù)字水印以及備份管理功能。預(yù)期結(jié)果平臺(tái)能夠提供數(shù)字水印功能以及備份管理能力。輸入輸出編號(hào)4.4.39預(yù)置條件平臺(tái)運(yùn)行正常測(cè)試方法1、梳理平臺(tái)數(shù)據(jù)錄入的功能界面和API接口，確定業(yè)務(wù)功能處理邏輯。2、對(duì)外界輸入的數(shù)據(jù)進(jìn)行篡改或重放，組合各種正常/異常請(qǐng)求數(shù)據(jù)，觀察平臺(tái)是否存在安全防御機(jī)制，對(duì)請(qǐng)求進(jìn)行攔截提示、禁止訪問等。預(yù)期結(jié)果平臺(tái)對(duì)外界輸入能有效過濾或攔截，對(duì)輸出合理響應(yīng)；滿足安全技術(shù)要求。密碼安全編號(hào)4.4.4預(yù)置條件平臺(tái)運(yùn)行正常測(cè)試方法1、檢查平臺(tái)具備的密碼算法和加密方式以及對(duì)應(yīng)的選擇模式。2、檢查是否提供密鑰保護(hù)，密鑰在生成、傳輸、存儲(chǔ)、使用過程中是否滿足安全保護(hù)要求。3、檢查第三方密鑰的存儲(chǔ)分發(fā)方式。預(yù)期結(jié)果平臺(tái)對(duì)能夠提供多種密碼算法的選擇和加密方式的選擇；滿足安全技術(shù)要求。通信安全通信加密編號(hào)4.5.1預(yù)置條件平臺(tái)運(yùn)行正常測(cè)試方法檢查客戶端與服務(wù)端通信是否采用HTTPS協(xié)議，并使用安全的SSL協(xié)議和證書。預(yù)期結(jié)果1、采用SSL3.0/TLS1.0以上版本。2、使用安全證書。訪問控制編號(hào)4.5.2預(yù)置條件平臺(tái)運(yùn)行正常測(cè)試方法1、梳理平臺(tái)公開、未公開的功能和數(shù)據(jù)。2、分別對(duì)公開、未公開的功能和數(shù)據(jù)進(jìn)行訪問控制測(cè)試，包括不限于認(rèn)證、鑒權(quán)、訪問IP限制等。預(yù)期結(jié)果滿足訪問控制安全技術(shù)要求。編號(hào)4.5.2（可選）預(yù)置條件平臺(tái)運(yùn)行正常10測(cè)試方法1、檢查平臺(tái)是否支持對(duì)web端和移動(dòng)端同時(shí)登錄進(jìn)行限制。預(yù)期結(jié)果滿足訪問控制安全技術(shù)要求。編號(hào)4.5.2（可選）預(yù)置條件平臺(tái)運(yùn)行正常測(cè)試方法1、檢查平臺(tái)是否支持基于移動(dòng)設(shè)備指紋對(duì)移動(dòng)端登錄進(jìn)行限制。預(yù)期結(jié)果滿足訪問控制安全技術(shù)要求。編號(hào)4.5.2（可選）預(yù)置條件平臺(tái)運(yùn)行