DB14∕T 2241-2020 應(yīng)急管理信息化 應(yīng)急管理業(yè)務(wù)軟件系統(tǒng) 安全設(shè)計(jì)規(guī)范

ICS13.100DB14山西省市場(chǎng)監(jiān)督管理局發(fā)布IDB14/T2241—2020 12規(guī)范性引用文件 13術(shù)語(yǔ)和定義 14業(yè)務(wù)軟件系統(tǒng)軟件研發(fā)周期 35軟件系統(tǒng)安全設(shè)計(jì)的基本內(nèi)容 56通用要求 87軟件開(kāi)發(fā)管理 98安全運(yùn)維 附錄A（資料性）參考表 12附錄B（資料性）業(yè)務(wù)軟件系統(tǒng)驗(yàn)收大綱 DB14/T2241—2020本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)則起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由山西省應(yīng)急管理廳提出并監(jiān)督實(shí)施。本文件由山西省安全生產(chǎn)標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。本文件起草單位：山西省安全生產(chǎn)科學(xué)研究院。本文件主要起草人：焦新華、陳澤宇、楊柯、王延輝、楊李根、劉艷、王剛、王洋、宋梅、張旭東、王波。1DB14/T2241—2020應(yīng)急管理信息化應(yīng)急管理業(yè)務(wù)軟件系統(tǒng)安全設(shè)計(jì)規(guī)范本文件規(guī)定了應(yīng)急管理業(yè)務(wù)軟件系統(tǒng)安全設(shè)計(jì)規(guī)范的術(shù)語(yǔ)和定義、基本內(nèi)容、通用要求、研發(fā)管理以及安全運(yùn)維等，本規(guī)范主要針對(duì)B/S架構(gòu)。本文件適用于指導(dǎo)山西省應(yīng)急管理業(yè)務(wù)軟件系統(tǒng)安全設(shè)計(jì)。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T30998-2014信息技術(shù)軟件安全保障規(guī)范3術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。3.1安全設(shè)計(jì)系統(tǒng)在設(shè)計(jì)階段開(kāi)展的結(jié)構(gòu)分析、專項(xiàng)防護(hù)及方案評(píng)審等一系列活動(dòng)的總稱。3.2安全策略業(yè)務(wù)系統(tǒng)中制定一系列規(guī)則，實(shí)現(xiàn)安全目標(biāo)的總稱。3.3系統(tǒng)級(jí)資源系統(tǒng)級(jí)資源包括：文件、文件夾、注冊(cè)表項(xiàng)、ActiveDirectory對(duì)象、數(shù)據(jù)庫(kù)對(duì)象、事件日志等。3.4前端前端即網(wǎng)站前臺(tái)部分，在瀏覽器上展現(xiàn)給用戶瀏覽的網(wǎng)頁(yè)。3.5后端后端是負(fù)責(zé)與數(shù)據(jù)庫(kù)的交互，實(shí)現(xiàn)相應(yīng)的業(yè)務(wù)邏輯。2DB14/T2241—20203.6雙因子認(rèn)證密碼以及實(shí)物(SMS手機(jī)、令牌等生物標(biāo)志)兩種或多種條件對(duì)用戶進(jìn)行認(rèn)證的方法。3.7單向散列是根據(jù)輸入消息計(jì)算后，輸出固定長(zhǎng)度數(shù)值的算法，輸出數(shù)值也稱為“散列值”或“消息摘要”，其長(zhǎng)度通常在128～256位之間。3.8反向代理是指內(nèi)部網(wǎng)絡(luò)對(duì)Internert發(fā)出連接請(qǐng)求，需要制定代理服務(wù)將原本直接傳輸至Web服務(wù)器的HTTP發(fā)送至代理服務(wù)器中。3.9結(jié)構(gòu)化異常處理是可以使程序中異常處理代碼和正常業(yè)務(wù)代碼分離，保證程序代碼更加優(yōu)雅，并提高程序健壯性。3.10微服務(wù)架構(gòu)是一種將一個(gè)單一應(yīng)用程序開(kāi)發(fā)為一組小型服務(wù)的方法，每個(gè)服務(wù)運(yùn)行在自己的進(jìn)程中，服務(wù)間通信采用輕量級(jí)通信機(jī)制。3.11應(yīng)用容器引擎是一個(gè)開(kāi)源的應(yīng)用容器引擎，讓開(kāi)發(fā)者可以打包他們的應(yīng)用以及依賴包到一個(gè)可移植的容器中，然后發(fā)布到任何流行的機(jī)器上，也可以實(shí)現(xiàn)虛擬化。3.12滲透測(cè)試是通過(guò)模擬惡意黑客的攻擊方法，來(lái)評(píng)估計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評(píng)估方法。3.13SQL注入是攻擊者構(gòu)造惡意的字符串，欺騙業(yè)務(wù)系統(tǒng)用構(gòu)造數(shù)據(jù)庫(kù)語(yǔ)句并執(zhí)行，從而達(dá)到盜取或修改數(shù)據(jù)庫(kù)中存儲(chǔ)的數(shù)據(jù)的目的。3.14跨站腳本攻擊是入侵者在Web頁(yè)面的HTML代碼中插入具有惡意目的的數(shù)據(jù)，用戶認(rèn)為該頁(yè)面是可信賴的，但是當(dāng)瀏覽器下載該頁(yè)面，嵌入其中的腳本將被解釋執(zhí)行，從而威脅用戶瀏覽過(guò)程的安全。3.153DB14/T2241—2020回滾操作是程序或數(shù)據(jù)處理錯(cuò)誤，將程序或數(shù)據(jù)恢復(fù)到上一次正確狀態(tài)的行為。3.16CA認(rèn)證CA認(rèn)證，即電子認(rèn)證服務(wù)，是指為電子簽名相關(guān)各方提供真實(shí)性、可靠性驗(yàn)證的活動(dòng)。數(shù)字證書(shū)的機(jī)構(gòu)是負(fù)責(zé)發(fā)放和管理數(shù)字證書(shū)的權(quán)威機(jī)構(gòu)，并作為電子商務(wù)交易中受信任的第三方，承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任。3.17RA認(rèn)證RA（RegistrationAuthority是數(shù)字證書(shū)認(rèn)證中心的證書(shū)發(fā)放、管理的延伸。主要負(fù)責(zé)證書(shū)申請(qǐng)者的信息錄入、審核以及證書(shū)發(fā)放等工作，同時(shí)，對(duì)發(fā)放的證書(shū)完成相應(yīng)的管理功能。發(fā)放的數(shù)字證書(shū)可以存放于IC卡、硬盤或軟盤等介質(zhì)中。RA系統(tǒng)是整個(gè)CA中心正常運(yùn)營(yíng)不可缺少的一部分。4業(yè)務(wù)軟件系統(tǒng)軟件研發(fā)周期軟件安全開(kāi)發(fā)涵蓋了軟件的整個(gè)生命周期。軟件安全周期是軟件從產(chǎn)生到發(fā)布的生命周期，參考圖1，包括項(xiàng)目啟動(dòng)、需求分析、原型設(shè)計(jì)、需求設(shè)計(jì)、研發(fā)設(shè)計(jì)、開(kāi)發(fā)階段、測(cè)試階段、系統(tǒng)發(fā)布八個(gè)階段，相關(guān)階段產(chǎn)物參見(jiàn)附錄A。業(yè)務(wù)軟件系統(tǒng)研發(fā)單位同時(shí)也應(yīng)按照GB/T30998-2014，對(duì)研發(fā)過(guò)程進(jìn)行規(guī)范管理，并記錄相關(guān)過(guò)程和結(jié)果。4DB14/T2241—2020圖1業(yè)務(wù)軟件系統(tǒng)軟件研發(fā)周期5DB14/T2241—20205軟件系統(tǒng)安全設(shè)計(jì)的基本內(nèi)容5.1設(shè)計(jì)要求軟件系統(tǒng)安全設(shè)計(jì)應(yīng)按照GB/T22239-2019，根據(jù)業(yè)務(wù)軟件設(shè)計(jì)要求，進(jìn)行網(wǎng)絡(luò)安全等級(jí)保護(hù)。5.2身份鑒別在身份認(rèn)證方面，要求如下：a)可接入到統(tǒng)一認(rèn)證中心（部級(jí)CA認(rèn)證，省級(jí)RA認(rèn)證）；b)應(yīng)采用合適的身份認(rèn)證方式，應(yīng)采用雙因子認(rèn)證方式，認(rèn)證方式如下：1)用戶名、口令認(rèn)證；2)動(dòng)態(tài)口令認(rèn)證、GA認(rèn)證；3)證書(shū)認(rèn)證，證書(shū)必須有載體，比如USBKEY（注：生產(chǎn)環(huán)境中，應(yīng)使用USBKEY，不能私自導(dǎo)出證書(shū)）；4)短信認(rèn)證。c)應(yīng)設(shè)計(jì)密碼的存儲(chǔ)和傳輸安全策略：1)禁止在數(shù)據(jù)庫(kù)中明文存儲(chǔ)用戶密碼；2)禁止在基于HTML5中SessionStorage、LocalStorage、Cookie中保存明文密碼；3)應(yīng)采用單向散列加密技術(shù)在數(shù)據(jù)庫(kù)中存儲(chǔ)用戶密碼；4)用戶若忘記密碼，應(yīng)通過(guò)郵件驗(yàn)證，并使用手機(jī)號(hào)碼及短信驗(yàn)證，找回密碼；5)用戶若忘記密碼，且郵件地址及手機(jī)號(hào)發(fā)生變更，應(yīng)通過(guò)管理員進(jìn)行密碼找回。d)應(yīng)設(shè)計(jì)密碼使用安全策略，包括密碼長(zhǎng)度、復(fù)雜度、更換周期等，輸入字符應(yīng)可見(jiàn)；1)弱密碼：復(fù)雜度單一，長(zhǎng)度小于8位，滿足兩項(xiàng)；中密碼：復(fù)雜度三種類型，長(zhǎng)度大于8位，滿足其中一項(xiàng)；強(qiáng)密碼：復(fù)雜度三種類型，長(zhǎng)度大于8位，滿足兩項(xiàng)；2)更換周期具體要求見(jiàn)附錄A；e)應(yīng)設(shè)計(jì)圖形驗(yàn)證碼，增強(qiáng)身份認(rèn)證安全，隨機(jī)生成且包含字母、數(shù)字、字母數(shù)字組合或中文驗(yàn)證碼的組合,具體詳情見(jiàn)附錄A；f)應(yīng)設(shè)計(jì)賬號(hào)鎖定功能限制連續(xù)失敗登錄，具體詳情見(jiàn)附錄A；g)應(yīng)根據(jù)系統(tǒng)設(shè)計(jì)限制重復(fù)登陸賬號(hào)；h)對(duì)提供單點(diǎn)登錄的分布式業(yè)務(wù)軟件系統(tǒng)的用戶應(yīng)提供單點(diǎn)標(biāo)識(shí)，且單點(diǎn)標(biāo)識(shí)應(yīng)具有與常規(guī)標(biāo)識(shí)相同的安全性。5.3訪問(wèn)控制在授權(quán)方面，要求如下：a)應(yīng)設(shè)計(jì)資源訪問(wèn)控制方案，驗(yàn)證用戶訪問(wèn)權(quán)限；b)電子政務(wù)外網(wǎng)等線上業(yè)務(wù)應(yīng)設(shè)計(jì)后臺(tái)管理控制方案：后臺(tái)管理應(yīng)采用白名單方式對(duì)訪問(wèn)的來(lái)源IP地址進(jìn)行限制；c)應(yīng)設(shè)計(jì)在后端實(shí)現(xiàn)訪問(wèn)控制，禁止僅在前端實(shí)現(xiàn)訪問(wèn)控制；d)授權(quán)粒度應(yīng)根據(jù)業(yè)務(wù)軟件系統(tǒng)的角色和功能分類進(jìn)行限制。5.4安全審計(jì)6DB14/T2241—2020用戶訪問(wèn)業(yè)務(wù)軟件系統(tǒng)時(shí)，應(yīng)對(duì)登錄行為、業(yè)務(wù)操作以及系統(tǒng)運(yùn)行狀態(tài)進(jìn)行記錄與保存，保證操作過(guò)程可溯源、可審計(jì)，確保業(yè)務(wù)日志數(shù)據(jù)的安全。要求如下：a)日志記錄事件應(yīng)包含以下事件：1)訪問(wèn)控制信息，比如：由于登陸失敗超出嘗試次數(shù)的限制而引起的賬號(hào)鎖定信息；2)用戶權(quán)限的變更；3)用戶密碼的變更；4)用戶試圖執(zhí)行角色中沒(méi)有明確授權(quán)的功能；5)用戶賬戶的創(chuàng)建、注銷、鎖定、解鎖；b)審計(jì)日志應(yīng)包含如下內(nèi)容：1)事件的日期、時(shí)間（時(shí)間戳）；2)事件類型；3)事件內(nèi)容；4)事件是否成功；5)請(qǐng)求的來(lái)源（例如請(qǐng)求的IP地址）；c)審計(jì)日志應(yīng)禁止包括如下內(nèi)容（如必須包含，應(yīng)做模糊處理）：1)敏感信息（如密碼信息等）；2)隱私信息（如身份信息等）；d)應(yīng)保證業(yè)務(wù)日志安全存儲(chǔ)與訪問(wèn)：1)日志應(yīng)存儲(chǔ)在數(shù)據(jù)庫(kù)中；2)日志保存期限可進(jìn)行配置；3)應(yīng)支持與省部級(jí)獨(dú)立的日志系統(tǒng)進(jìn)行日志傳輸。5.5通信安全5.5.1接口方式安全設(shè)計(jì)接口方式安全設(shè)計(jì)要求如下：a)與其他系統(tǒng)連接，禁止侵入式使用數(shù)據(jù)庫(kù)；b)本系統(tǒng)前后端數(shù)據(jù)傳輸，可通過(guò)Json進(jìn)行傳輸；c)本系統(tǒng)與其他系統(tǒng)連接進(jìn)行身份認(rèn)證，可通過(guò)token認(rèn)證；d)本系統(tǒng)信息傳輸過(guò)程中，應(yīng)注意防止中間人攻擊，保障數(shù)據(jù)的可靠性和穩(wěn)定性；e)對(duì)外接口設(shè)計(jì)必須有接口版本號(hào)，每次變更應(yīng)考慮向下兼容性，基本原則：輕易不刪除舊接口，新增接口要有版本號(hào)。），3)修訂號(hào)：增加新的接口時(shí)增加；在接口不變的情況下，增5.5.2數(shù)據(jù)安全設(shè)計(jì)數(shù)據(jù)安全設(shè)計(jì)要求如下：a)應(yīng)使用加密技術(shù)對(duì)傳輸?shù)拿舾行畔⑦M(jìn)行保護(hù),敏感度信息判別見(jiàn)附錄A表A.4，加密方式選擇見(jiàn)附錄A；7DB14/T2241—2020b)應(yīng)使用安全的傳輸協(xié)議（如:HTTPS、SFTP、SCP等加密傳輸協(xié)議）來(lái)傳輸敏感度中度級(jí)別以上的文件；c)臨時(shí)數(shù)據(jù)使用后需進(jìn)行存儲(chǔ)或銷毀處理。5.5.3會(huì)話安全在會(huì)話管理方面，要求如下：a)登錄成功后應(yīng)建立新得會(huì)話：1)在用戶認(rèn)證成功后，應(yīng)為用戶創(chuàng)建新的會(huì)話并釋放原有會(huì)話，創(chuàng)建的會(huì)話憑證應(yīng)滿足隨機(jī)性和長(zhǎng)度要求，避免被攻擊者猜測(cè)；b)應(yīng)確保會(huì)話數(shù)據(jù)的存儲(chǔ)安全：1)用戶登錄成功后所生成的會(huì)話數(shù)據(jù)應(yīng)存儲(chǔ)在后端，并確保會(huì)話數(shù)據(jù)不能被非法訪問(wèn)；2)更新會(huì)話數(shù)據(jù)時(shí)，應(yīng)對(duì)數(shù)據(jù)進(jìn)行嚴(yán)格的輸入驗(yàn)證，避免會(huì)話數(shù)據(jù)被非法篡改；c)應(yīng)及時(shí)終止會(huì)話：1)當(dāng)用戶登錄成功并成功創(chuàng)建會(huì)話后，應(yīng)在系統(tǒng)的各個(gè)頁(yè)面提供用戶退出功能；2)退出時(shí)應(yīng)及時(shí)注銷服務(wù)器端的會(huì)話數(shù)據(jù)；d)本系統(tǒng)消息會(huì)話類數(shù)據(jù)傳輸，可通過(guò)ws、wss進(jìn)行連接；e)應(yīng)設(shè)計(jì)合理的會(huì)話存活時(shí)間，超時(shí)后應(yīng)銷毀會(huì)話，并清除會(huì)話的信息；f)應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制。5.5.4其他要求除上述要求之外還應(yīng)：a)應(yīng)確保采用的安全協(xié)議不包含已公開(kāi)漏洞；b)云端業(yè)務(wù)軟件系統(tǒng)的外鏈業(yè)務(wù)應(yīng)使用反向代理進(jìn)行訪問(wèn)，Web和數(shù)據(jù)庫(kù)服務(wù)器建立連接訪問(wèn)，應(yīng)使用內(nèi)網(wǎng)域名進(jìn)行訪問(wèn)，避免使用IP地址訪問(wèn)；c)通過(guò)互聯(lián)網(wǎng)域名訪問(wèn)業(yè)務(wù)軟件系統(tǒng)應(yīng)考慮聯(lián)通、電信、移動(dòng)負(fù)載線路及IPV4、IPV6雙站兼容。5.6容錯(cuò)設(shè)計(jì)5.6.1異常消息異常消息一般包含了針對(duì)開(kāi)發(fā)和維護(hù)人員調(diào)試使用的系統(tǒng)信息，這些信息將增加攻擊者發(fā)現(xiàn)潛在缺陷并進(jìn)行攻擊的機(jī)會(huì)。要求如下：a)應(yīng)使用異常處理機(jī)制；b)應(yīng)使用通用錯(cuò)誤信息：1)程序發(fā)生異常時(shí)，應(yīng)重定向到特定網(wǎng)頁(yè)；2)應(yīng)向前端返回一般性錯(cuò)誤消息；a)程序發(fā)生異常時(shí)，應(yīng)終止當(dāng)前業(yè)務(wù)，并對(duì)當(dāng)前業(yè)務(wù)進(jìn)行回滾操作。5.6.2其他要求除上述要求之外還應(yīng)：a)業(yè)務(wù)軟件系統(tǒng)應(yīng)分為調(diào)試和生產(chǎn)環(huán)境兩個(gè)狀態(tài)，在生產(chǎn)狀態(tài)下產(chǎn)生的邏輯錯(cuò)誤不應(yīng)反饋給用戶；b)業(yè)務(wù)軟件系統(tǒng)對(duì)高并發(fā)接口，應(yīng)采用微服務(wù)架構(gòu)、Docker容器技術(shù)等技術(shù)；8DB14/T2241—2020c)業(yè)務(wù)軟件系統(tǒng)應(yīng)選取合適的部署操作系統(tǒng)，比如使用Linux，可充分利用I/O多路復(fù)用，占用資源少、性能好的特性。5.7數(shù)據(jù)庫(kù)安全數(shù)據(jù)庫(kù)安全包括：a)數(shù)據(jù)庫(kù)的運(yùn)行環(huán)境，應(yīng)考慮單機(jī)部署以及分布式部署；b)數(shù)據(jù)庫(kù)采用分布式部署方式應(yīng)注意主鍵ID生成算法，例如采用雪花、uuid等算法；c)數(shù)據(jù)庫(kù)設(shè)計(jì)時(shí)，應(yīng)注意業(yè)務(wù)邏輯不要過(guò)于復(fù)雜，應(yīng)對(duì)索引優(yōu)化；d)數(shù)據(jù)庫(kù)設(shè)計(jì)時(shí)，使用查詢應(yīng)通過(guò)視圖，報(bào)表展示應(yīng)使用map；e)數(shù)據(jù)庫(kù)設(shè)計(jì)時(shí)，應(yīng)考慮穩(wěn)定性、安全性（多級(jí)安全）；f)數(shù)據(jù)庫(kù)設(shè)計(jì)時(shí)，應(yīng)讀寫分離，提升存取速度；g)數(shù)據(jù)庫(kù)設(shè)計(jì)訪問(wèn)過(guò)程時(shí)，應(yīng)以最小權(quán)限設(shè)計(jì)為主；h)數(shù)據(jù)庫(kù)設(shè)計(jì)時(shí)，應(yīng)考慮中間件對(duì)耗時(shí)語(yǔ)句的處理；i)數(shù)據(jù)庫(kù)設(shè)計(jì)時(shí)，應(yīng)減少使用存儲(chǔ)過(guò)程；j)與數(shù)據(jù)庫(kù)互聯(lián)地址，如果為一臺(tái)服務(wù)器，一臺(tái)數(shù)據(jù)庫(kù)，應(yīng)采用IPV4私網(wǎng)地址，掩碼根據(jù)具體服務(wù)器數(shù)量進(jìn)行計(jì)算。6通用要求6.1安全原則安全原則應(yīng)包含：a)保護(hù)最薄弱的環(huán)節(jié)原則：保護(hù)最易受攻擊影響的部分；b)縱深防御原則：不同層面、不同角度之間需要相互配合；c)最小權(quán)限原則：只授予執(zhí)行操作所需的最小權(quán)限；d)最小共享原則：使共享文件資源盡可能少；e)權(quán)限分離原則：授予不同用戶所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系。6.2輸入和輸入驗(yàn)證要求如下：a)應(yīng)設(shè)計(jì)多種輸入驗(yàn)證的方法，包括：1)應(yīng)檢查數(shù)據(jù)是否符合設(shè)定的類型；2)應(yīng)檢查數(shù)據(jù)是否符合設(shè)定的長(zhǎng)度；3)應(yīng)檢查數(shù)值數(shù)據(jù)是否符合設(shè)定的數(shù)值范圍；4)應(yīng)檢查數(shù)據(jù)是否包含特殊字符；5)應(yīng)使用正則表達(dá)式進(jìn)行檢查；b)前后端都應(yīng)進(jìn)行輸入驗(yàn)證：1)應(yīng)建立統(tǒng)一的輸入驗(yàn)證接口，為整個(gè)系統(tǒng)提供一致的驗(yàn)證方法；2)應(yīng)將輸入驗(yàn)證策略作為應(yīng)用程序設(shè)計(jì)的核心元素；c)應(yīng)對(duì)輸入內(nèi)容進(jìn)行規(guī)范化處理后在進(jìn)行驗(yàn)證，如文件路徑、URL地址等，規(guī)范化為標(biāo)準(zhǔn)的格式后再進(jìn)行驗(yàn)證；d)根據(jù)輸入目標(biāo)的不同，應(yīng)對(duì)輸出數(shù)據(jù)進(jìn)行相應(yīng)的格式化處理。6.3配置管理9DB14/T2241—2020在配置管理方面，要求如下：a)Web目錄使用配置文件，以防止可能出現(xiàn)的服務(wù)器配置漏洞導(dǎo)致配置文件被下載；b)應(yīng)避免以純文本形式存儲(chǔ)重要配置，如數(shù)據(jù)庫(kù)連接字符串或賬戶憑據(jù)。6.4參數(shù)操作操作參數(shù)攻擊是一種更改在Web應(yīng)用程序發(fā)送的參數(shù)數(shù)據(jù)的攻擊，包括查詢字符串、cookie和HTTP標(biāo)頭。要求如下：a)應(yīng)避免使用包含敏感數(shù)據(jù)或者影響服務(wù)器安全邏輯的查詢字符串參數(shù)；b)應(yīng)使用會(huì)話標(biāo)識(shí)符來(lái)標(biāo)識(shí)客戶端，并將敏感項(xiàng)存儲(chǔ)在服務(wù)器上的會(huì)話存儲(chǔ)區(qū)中；c)應(yīng)使用HTTPPOST來(lái)代替GET提交窗體，避免使用隱藏窗體；d)應(yīng)驗(yàn)證從客戶端發(fā)送的所有數(shù)據(jù)。7軟件開(kāi)發(fā)管理7.1需求管理階段需求管理階段應(yīng)：a)確認(rèn)安全需求規(guī)格說(shuō)明，需求管理參見(jiàn)附錄B；b)項(xiàng)目經(jīng)理、需求對(duì)接人員、軟件架構(gòu)工程師以及駐場(chǎng)開(kāi)發(fā)人員，在深入調(diào)研系統(tǒng)需求前應(yīng)簽訂保密協(xié)議；c)承保公司應(yīng)以書(shū)面的方式提供管理制度、工作制度以及考核制度；d)第三方進(jìn)行代碼審計(jì)服務(wù)時(shí)，可驗(yàn)收時(shí)進(jìn)行也可開(kāi)發(fā)同步進(jìn)行。7.2系統(tǒng)實(shí)現(xiàn)階段系統(tǒng)實(shí)現(xiàn)階段應(yīng)符合如下要求：a)項(xiàng)目安全管理要求：1)軟件研發(fā)開(kāi)始前，應(yīng)根據(jù)確認(rèn)的需求，并提交項(xiàng)目立項(xiàng)報(bào)告，參見(jiàn)附錄B；2)軟件研發(fā)過(guò)程中，應(yīng)對(duì)項(xiàng)目中出現(xiàn)的重大問(wèn)題進(jìn)行管控，并完成項(xiàng)目重大問(wèn)題跟蹤表，參見(jiàn)附錄B；3)軟件研發(fā)過(guò)程中，若出現(xiàn)意外情況，無(wú)法按期完成項(xiàng)目，應(yīng)提交項(xiàng)目變更申請(qǐng)表，參見(jiàn)附錄B；4)軟件研發(fā)過(guò)程中，應(yīng)對(duì)項(xiàng)目進(jìn)度進(jìn)行階段性管控，完成項(xiàng)目進(jìn)度報(bào)告，參見(jiàn)附錄B；5)源代碼的變更和版本發(fā)布進(jìn)行統(tǒng)一控制，對(duì)程序資源庫(kù)的任何修改、更新和發(fā)布都需經(jīng)部門主管領(lǐng)導(dǎo)授權(quán)和批準(zhǔn)，應(yīng)記錄在冊(cè)，供驗(yàn)收時(shí)查驗(yàn)；b)開(kāi)發(fā)環(huán)境安全管理要求：1)軟件系統(tǒng)開(kāi)發(fā)、測(cè)試禁止在生產(chǎn)環(huán)境中進(jìn)行；2)開(kāi)發(fā)環(huán)境中的使用的操作系統(tǒng)、開(kāi)發(fā)軟件等應(yīng)進(jìn)行統(tǒng)一安全配置，及時(shí)進(jìn)行系統(tǒng)補(bǔ)丁升級(jí)和漏洞修復(fù)；3)軟件程序不得篡改應(yīng)用軟件所運(yùn)行的環(huán)境或平臺(tái)中任何安全配置、安全文件和安全程序；c)編碼安全要求：1)應(yīng)按照安全編碼規(guī)范以及安全設(shè)計(jì)方案進(jìn)行系統(tǒng)開(kāi)發(fā)；2)應(yīng)按照機(jī)密性要求，保護(hù)用戶信息的機(jī)密性；3)應(yīng)按照異常處理機(jī)制，捕捉并處理程序異常，防止系統(tǒng)信息泄露；DB14/T2241—20204)應(yīng)按照代碼脆弱性防范要求，嚴(yán)格處理輸入輸出驗(yàn)證、接口調(diào)用等，不應(yīng)產(chǎn)生SQL注入、跨站腳本攻擊等嚴(yán)重漏洞；d)開(kāi)發(fā)流程安全要求：1)開(kāi)發(fā)過(guò)程中應(yīng)定期進(jìn)行代碼靜態(tài)分析，使用代碼審核工具對(duì)源代碼進(jìn)行檢測(cè)，并報(bào)告源代碼中存在的安全弱點(diǎn)；2)開(kāi)發(fā)人員不得超越其規(guī)定權(quán)限進(jìn)行開(kāi)發(fā)，不得在程序中設(shè)置后門或惡意代碼程序。7.3系統(tǒng)測(cè)試階段系統(tǒng)測(cè)試包括代碼的安全測(cè)試和安全功能測(cè)試，包含以下要求：a)系統(tǒng)測(cè)試應(yīng)按照業(yè)務(wù)軟件系統(tǒng)安全設(shè)計(jì)基本要求進(jìn)行測(cè)試，檢查業(yè)務(wù)軟件系統(tǒng)安全設(shè)計(jì)是否滿足本規(guī)范；b)代碼的安全測(cè)試是指使用代碼測(cè)試工具或滲透測(cè)試來(lái)識(shí)別代碼的安全脆弱性，并應(yīng)按照其提供的修復(fù)建議進(jìn)行修復(fù)，范圍包括自己開(kāi)發(fā)的代碼以及引用的第三方控件代碼；c)安全功能測(cè)試包括身份認(rèn)證和訪問(wèn)控制的功能測(cè)試；d)測(cè)試系統(tǒng)環(huán)境應(yīng)盡可能模擬生產(chǎn)環(huán)境并與生產(chǎn)環(huán)境進(jìn)行安全物理隔離；e)真實(shí)數(shù)據(jù)不得直接在測(cè)試環(huán)境中使用，須進(jìn)行適當(dāng)修改或屏蔽，在測(cè)試完成之后須立即從測(cè)試應(yīng)用系統(tǒng)清除運(yùn)行信息；f)測(cè)試人員應(yīng)編制安全測(cè)試方案；g)驗(yàn)收測(cè)試不得由開(kāi)發(fā)人員兼崗；h)測(cè)試完成后應(yīng)編寫測(cè)試報(bào)告，參見(jiàn)附錄B。7.4系統(tǒng)發(fā)布階段系統(tǒng)發(fā)布階段包含以下要求：a)配置管理員應(yīng)妥善保管程序源代碼及相關(guān)技術(shù)文檔；b)應(yīng)歸檔項(xiàng)目產(chǎn)品交付清單，包括開(kāi)發(fā)文檔、數(shù)據(jù)庫(kù)設(shè)計(jì)文檔、操作手冊(cè)文檔，參見(jiàn)附錄B；c)應(yīng)對(duì)業(yè)務(wù)軟件系統(tǒng)使用人員進(jìn)行相關(guān)培訓(xùn)。8安全運(yùn)維8.1備份方式規(guī)范系統(tǒng)應(yīng)提供有效的熱備、冷備備份方式及備份策略，保障業(yè)務(wù)系統(tǒng)安全運(yùn)行。8.2其他的安全防護(hù)規(guī)范其他的安全防護(hù)應(yīng)包含：a)針對(duì)Web保護(hù)與防御系統(tǒng)，應(yīng)部署Web應(yīng)用防火墻設(shè)備；b)對(duì)業(yè)務(wù)軟件系統(tǒng)進(jìn)行管理時(shí)，不允許公網(wǎng)直接訪問(wèn)，需通過(guò)VPN進(jìn)行訪問(wèn)；c)可采用國(guó)密保密機(jī)保障數(shù)據(jù)的安全性。8.3備份對(duì)象規(guī)范業(yè)務(wù)軟件系統(tǒng)的備份對(duì)象應(yīng)包含以下：a)系統(tǒng)數(shù)據(jù)的備份：數(shù)據(jù)庫(kù)、文件服務(wù)器中的文件以及其他數(shù)據(jù)；b)系統(tǒng)的完全備份：應(yīng)包括關(guān)鍵基礎(chǔ)設(shè)施，通過(guò)NAS的完全備份，實(shí)現(xiàn)快速的災(zāi)難恢復(fù)；DB14/T2241—2020c)系統(tǒng)配置的備份：應(yīng)包括關(guān)鍵路由器的配置、防火墻的配置、各類服務(wù)器操作系統(tǒng)的安全配置以及各類服務(wù)器中間件和容器的配置。8.4安全升級(jí)規(guī)范業(yè)務(wù)軟件系統(tǒng)的安全升級(jí)應(yīng)按照以下要求：a)應(yīng)提前在模擬生產(chǎn)環(huán)境中完成升級(jí)測(cè)試，保證系統(tǒng)升級(jí)的安全性；b)升級(jí)前應(yīng)做好數(shù)據(jù)、程序、配置腳本等的備份，以防出現(xiàn)升級(jí)失敗后能夠立即快速恢復(fù)；c)升級(jí)過(guò)程中應(yīng)保證一人執(zhí)行一人監(jiān)督，以防止升級(jí)過(guò)程中出現(xiàn)誤操作；升級(jí)完成后應(yīng)進(jìn)行升級(jí)驗(yàn)證測(cè)試，保障業(yè)務(wù)軟件系統(tǒng)正常運(yùn)行。DB14/T2241—2020參考表表A.1闡述了業(yè)務(wù)軟件系統(tǒng)研發(fā)周期及產(chǎn)物。表A.1業(yè)務(wù)軟件系統(tǒng)研發(fā)周期及產(chǎn)物表表A.2闡述了更換密碼周期。表A.2更換