T-COSOCC 010-2024 信息安全技術(shù) 面向服務(wù)架構(gòu)類應(yīng)用安全要求

求Informationsecuritytechnology—Securityrequirementsforservice-orI 0 0 0 5 6 6 6 6 8 9本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定技有限公司、北京軒宇信息技術(shù)有限公司、中科可控信息產(chǎn)業(yè)有限公司、嵩嘉標(biāo)鄭竹萌、毛峰、趙敬宇、王向章、張德保、王新亮、姜冰、張紅艷、邱天0信息安全技術(shù)面向服務(wù)架構(gòu)類應(yīng)用安全要求凡是不注日期的引用文件，其最新版本（包括所有的修改單）3.13.23.33.43.5環(huán)境感知environmentaw采集終端物理硬件、網(wǎng)絡(luò)、操作系統(tǒng)、應(yīng)用程序的安全要素，分析終端可信狀態(tài)的過程。3.6授權(quán)策略authorizationp在給定主體、目的（任務(wù)）、客體和環(huán)境屬性的情況下，根據(jù)授權(quán)策略確定訪問請求是否被允許。3.7主要在于及時(shí)發(fā)現(xiàn)、反饋、終止違規(guī)訪問應(yīng)用、數(shù)據(jù)的行為3.813.9面向服務(wù)架構(gòu)service-oriented面向服務(wù)架構(gòu)是軟件設(shè)計(jì)和軟件架構(gòu)的一種模式，它將應(yīng)用程序的不同功能單元通過定義良好的接口和協(xié)議進(jìn)行組合。這些應(yīng)用程序單元被稱為服務(wù)，這些服務(wù)是獨(dú)立的、可重復(fù)的。4縮略語API:應(yīng)用程序編程接口（ApplicationProgramDDoS：分布式拒絕服務(wù)攻擊（DistributionDenSSL：安全套接層協(xié)議（SecureSocketsURL：統(tǒng)一資源定位符（UniformVPN：虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwoWeb：全球廣域網(wǎng)或萬維網(wǎng)（WorldWideWeb）5概述本文件針對面向服務(wù)架構(gòu)方法設(shè)計(jì)的應(yīng)用系統(tǒng)，給出了在其運(yùn)行過程中應(yīng)具備的安全技術(shù)要求包服務(wù)；安全應(yīng)用管理要求包括安全防護(hù)能力配置、應(yīng)用訪問控制和運(yùn)行藍(lán)牙、無線、高清多媒體接口（HDMI)等方式接入的外設(shè)，并根據(jù)內(nèi)置識別庫對設(shè)備自動識別d)支持終端客戶端自動識別操作系統(tǒng)信息，包括：類型、版本號、賬號、安i)支持對設(shè)備的CPU、內(nèi)存條、顯卡、2d)支持掃描和識別終端辦公軟件中可能存在的安全漏洞，并提供f)支持生成掃描報(bào)告和報(bào)告導(dǎo)出功能，支持將掃描結(jié)果以報(bào)表g)支持設(shè)置詳細(xì)的掃描參數(shù)，包括端口、弱口令、服務(wù)等者刪除默認(rèn)管理員賬戶，刪除多余賬戶，刪除共文本傳輸協(xié)議（FTP）和Telnet（遠(yuǎn)程登陸系統(tǒng)）等網(wǎng)絡(luò)連接、i)瀏覽器安全：核查內(nèi)容包括對瀏覽器的安全設(shè)置檢測，如是否禁止運(yùn)行ja用戶訪問應(yīng)用服務(wù)時(shí)，對應(yīng)用訪問、應(yīng)用接口、控制信息傳輸?shù)?，?yīng)通過國密SSL安全協(xié)議進(jìn)行加3c)網(wǎng)頁防篡改：支持對網(wǎng)頁內(nèi)容的完整性進(jìn)行保護(hù)，防c)應(yīng)用層DDoS攻擊防護(hù)：應(yīng)能夠利用流量基線核查，檢查應(yīng)用系統(tǒng)的安全配置并提供整改建議，支持自動化或手動基線核查。b)應(yīng)用簽名信息檢測：具備應(yīng)用簽名信息檢測能力，能有效識別簽名的真實(shí)性；c)應(yīng)用權(quán)限信息檢測：具備應(yīng)用相關(guān)靜態(tài)權(quán)限申請b)具備對動態(tài)鏈接庫文件的加載、加固檢測能力；4異常信息并記錄下來，上傳到服務(wù)器，分析出現(xiàn)異常誤漏洞、IntentURLSchema攻擊漏洞等a)具備基于簽名或特征的威脅檢測能力，發(fā)現(xiàn)各類已d)支持對網(wǎng)絡(luò)流量進(jìn)行檢測、分析，發(fā)現(xiàn)流量異常、協(xié)議異常、攻擊行為h)具備對應(yīng)用內(nèi)存馬注入攻擊進(jìn)行檢測與阻斷的能系統(tǒng)事件等進(jìn)行持續(xù)檢測，發(fā)現(xiàn)異常進(jìn)程、異常行為、橫a)具備網(wǎng)絡(luò)攻擊抑制能力，支持網(wǎng)絡(luò)流量過濾、阻斷、限流、牽引等5b)具備攻擊誘導(dǎo)能力，支持網(wǎng)絡(luò)訪問重定向、廣播路由等方式將攻擊誘導(dǎo)至誘捕環(huán)境；a)具備執(zhí)行備份能力，支持記錄備份安全策略、安全配置、基線變更及響a)具備取證數(shù)據(jù)轉(zhuǎn)儲能力，支持磁盤快照、內(nèi)存空間c)具備取證數(shù)據(jù)保全能力，支持基于取證結(jié)果的數(shù)字簽名、統(tǒng)一存儲a)具備網(wǎng)絡(luò)攻擊溯源能力，包括攻擊主體、攻擊路徑、攻擊方法、攻擊對象等的溯b)具備惡意代碼攻擊溯源能力，包括感染源、感染對象、感染途徑等；具備自動化綜合分析能力通過綜合分析，專業(yè)安全人員可準(zhǔn)確定位攻擊者6.2動態(tài)訪問控制c)支持根據(jù)各認(rèn)證因子反饋的認(rèn)證結(jié)果進(jìn)行綜合判定，根據(jù)2)支持通過鑒權(quán)請求獲取鑒權(quán)條件，依據(jù)鑒權(quán)條件動態(tài)返回鑒權(quán)結(jié)果；3)支持為用戶、機(jī)構(gòu)、應(yīng)用等授權(quán)主體進(jìn)6b)具備對各類業(yè)務(wù)行為進(jìn)行審計(jì)，并提供6.3密碼服務(wù)7.2應(yīng)用訪問控制2)應(yīng)用令牌至少包含應(yīng)用標(biāo)識、用戶標(biāo)識、創(chuàng)建時(shí)間和過期時(shí)間；身份管理包括用戶身份管理和組織機(jī)構(gòu)身份管理應(yīng)7b)支持從資源目錄獲取應(yīng)用列表和應(yīng)用識別a)認(rèn)證因子包含但不限于口令、數(shù)字證書、b)認(rèn)證因子信息包括但不限于認(rèn)證因子名c)支持認(rèn)證因子信息的管理，包括但不限于增b)支持自定義錄入或通過其他平臺接收主體環(huán)境要素；b)支持自定義錄入或通過其他平臺接收授權(quán)客體；a)支持創(chuàng)建、刪除、編輯角色，定義角色的b)支持關(guān)聯(lián)工作流角色生命周期的管理；8a)環(huán)境感知內(nèi)容管理：支持自定義環(huán)境感知服務(wù)的終端環(huán)b)感知策略管理：支持對環(huán)境感知內(nèi)容進(jìn)行管理和配審計(jì)管理應(yīng)包含下列內(nèi)容:b)日志留存時(shí)間管理：應(yīng)用訪問日志的保存時(shí)間不少于六個(gè)月；7.3運(yùn)行維護(hù)安全應(yīng)用運(yùn)行維護(hù)管理符合下列要求:a)應(yīng)提供統(tǒng)一的標(biāo)準(zhǔn)化服務(wù)接口規(guī)范各子系統(tǒng)、組件程序的集中配b)應(yīng)支持安全資源的注冊、編排、封裝等，對已