安全安全設(shè)計說明書

1、PAGE7文檔類別安全設(shè)計文檔文檔編號版 本 號分冊類別安全設(shè)計文檔分冊名稱第1冊共1冊安全設(shè)計說明書北京炎黃新星網(wǎng)絡(luò)科技有限公司二零一四年 月本報告修改記錄：日 期內(nèi) 容 摘 要編 制/修 改審 核2015-00-00編寫人目錄 TOC o 1-3 h z HYPERLINK l _Toc24431 目錄 PAGEREF _Toc24431 3 HYPERLINK l _Toc11096 1 文檔概述 PAGEREF _Toc11096 4 HYPERLINK l _Toc27079 本文檔的目的 PAGEREF _Toc27079 4 HYPERLINK l _Toc19306 參考文檔和

2、文獻 PAGEREF _Toc19306 4 HYPERLINK l _Toc1371 假設(shè)和約束 PAGEREF _Toc1371 4 HYPERLINK l _Toc23017 本文檔概述 PAGEREF _Toc23017 4 HYPERLINK l _Toc14416 名詞解釋 PAGEREF _Toc14416 4 HYPERLINK l _Toc8020 術(shù)語 PAGEREF _Toc8020 4 HYPERLINK l _Toc24657 簡寫 PAGEREF _Toc24657 4 HYPERLINK l _Toc1324 2 產(chǎn)品安全 PAGEREF _Toc1324 4 H

3、YPERLINK l _Toc16724 身份與訪問控制 PAGEREF _Toc16724 4 HYPERLINK l _Toc9766 會話管理 PAGEREF _Toc9766 5 HYPERLINK l _Toc8067 密碼算法 PAGEREF _Toc8067 5 HYPERLINK l _Toc8415 日志安全 PAGEREF _Toc8415 5 HYPERLINK l _Toc26019 系統(tǒng)通信安全 PAGEREF _Toc26019 5 HYPERLINK l _Toc18751 系統(tǒng)密碼安全 PAGEREF _Toc18751 5 HYPERLINK l _Toc90

4、62 對文件上傳/下載的限制 PAGEREF _Toc9062 6 HYPERLINK l _Toc30192 系統(tǒng)資源釋放 PAGEREF _Toc30192 6 HYPERLINK l _Toc19334 3 代碼質(zhì)量安全 PAGEREF _Toc19334 6 HYPERLINK l _Toc21139 防范跨站腳本攻擊 PAGEREF _Toc21139 6 HYPERLINK l _Toc6058 防范跨站請求偽造防范SQL注入攻擊 PAGEREF _Toc6058 6 HYPERLINK l _Toc9372 不安全的直接對象引用 PAGEREF _Toc9372 6 HYPERL

5、INK l _Toc26708 不安全的通信 PAGEREF _Toc26708 6 HYPERLINK l _Toc8180 對其他各類用戶輸入的過濾 PAGEREF _Toc8180 6 HYPERLINK l _Toc26991 4 已發(fā)生的安全事故案例的相關(guān)安全考慮點 PAGEREF _Toc26991 6 HYPERLINK l _Toc4568 5 運行環(huán)境安全 PAGEREF _Toc4568 7 HYPERLINK l _Toc18496 硬件軟件功能的分配原則 PAGEREF _Toc18496 7 HYPERLINK l _Toc7057 容災(zāi)設(shè)計 PAGEREF _Toc

6、7057 7 HYPERLINK l _Toc28086 6 數(shù)據(jù)安全 PAGEREF _Toc28086 7 HYPERLINK l _Toc17392 傳輸安全 PAGEREF _Toc17392 7 HYPERLINK l _Toc2165 容錯設(shè)計 PAGEREF _Toc2165 7 HYPERLINK l _Toc7612 容災(zāi)設(shè)計 PAGEREF _Toc7612 7備注：本文檔模版中藍色的文字部分為需要輸入的部分文檔概述項目說明及文檔目的闡明該需求規(guī)格說明書的目的。并概要說明項目的大致情況、功能、作用等參考文檔和文獻本小節(jié)應(yīng)完整列出此說明書中所引用的任何文檔。每個文檔應(yīng)標有標題

7、、報告號（如果適用）、日期和出版單位。列出可從中獲取這些參考資料的來源。這些信息可以通過引用附錄或其他文檔來提供。假設(shè)和約束本小節(jié)應(yīng)說明該說明書的前提條件和約束條件。本文檔概述本小節(jié)應(yīng)說明該說明書中其他部分所包含的內(nèi)容，并解釋此文檔的組織方式。名詞解釋術(shù)語本小節(jié)應(yīng)定義該說明書中用到的術(shù)語。簡寫本小節(jié)應(yīng)定義該說明書中用到的簡寫。產(chǎn)品設(shè)計安全本小節(jié)從產(chǎn)品功能出發(fā)考慮安全設(shè)計包括： 。身份與訪問控制1，應(yīng)用系統(tǒng)認證要求 注：此部分涉及系統(tǒng)身份驗證，此部分也是涉及安全問題較多的部分。例如：應(yīng)寫明身份驗證過程是否是與服務(wù)器交互完成（禁止完全由js腳本進行驗證）。2，認證加密要求注：這里應(yīng)寫明身份認證過程

8、是否按系統(tǒng)安全要求，對關(guān)鍵內(nèi)容進行加密處理；使用的加密算法是否足夠安全等；3，帳戶密碼修改功能注：應(yīng)寫明對帳戶密碼修改或重要內(nèi)容修改時的通知功能，以及二次驗證機制；4，登錄控制安全注：這里應(yīng)寫明諸如用戶登錄頻率、失敗次數(shù)閥值、登錄次數(shù)限制、登錄失敗的后續(xù)處理等情況；登錄過程應(yīng)考慮，終端到服務(wù)器端傳遞過程被非法修改的可能性。寫明對于重要字段是否需要在服務(wù)器端進行二次驗證（具體可參考 安全事故案例文檔 青海B2B 系統(tǒng)重置任意賬戶密碼（功能設(shè)計問題，提交數(shù)據(jù)未驗證）的內(nèi)容）。5，登錄驗證碼注：此處應(yīng)寫明，在登錄時如果涉及驗證碼，則驗證碼的細節(jié)設(shè)定，如，干擾、扭曲、變形、粘連等效果（細節(jié)參考安全設(shè)計

9、規(guī)范或驗證碼設(shè)計文檔）6，登錄認證失敗提示注：寫明當驗證失敗時，系統(tǒng)如何提示（應(yīng)模糊提示）；7，用戶關(guān)鍵信息安全注：這里寫明對于用戶的關(guān)鍵信息（密碼、ID等）是否安全加密后保存；8，系統(tǒng)及應(yīng)用的配置文件安全注：這里應(yīng)說明，重要的系統(tǒng)、中間件、數(shù)據(jù)庫等配置文件應(yīng)妥善保存，不應(yīng)暴露于公網(wǎng)目錄；9，其他登錄安全考慮注：此處的其他安全方面，諸如：保存登錄/自動登錄功能、帳戶權(quán)限-橫向、縱向訪問控制等安全點，并非所有系統(tǒng)都有相應(yīng)安全要求，如涉及則根據(jù)情況靈活編寫。會話管理1，會話產(chǎn)生及會話標識注：寫明會話標識的產(chǎn)生、更新（登錄前后是否更新）、及長度等； 2，會話超時及結(jié)束注：寫明會話超時時間及會話結(jié)束的

10、處理情況；密碼算法1，使用安全的密碼算法注：寫明在涉及加密時使用那種安全的加密算法，以及密鑰的管理；日志安全 1，具體日志內(nèi)容應(yīng)包含注：應(yīng)注明，日志記錄那些關(guān)鍵內(nèi)容，關(guān)鍵內(nèi)容是否需要加密等；2，日志的保存注：主要描述日志的安全保存，例如，不保存于公網(wǎng)可訪問地址、個人敏感信息是否保存等；系統(tǒng)通信安全注：主要描述是否涉及系統(tǒng)通信方面的安全，例如，重要通信是否需要SSL;系統(tǒng)密碼安全注：這里主要描述諸如，系統(tǒng)帳號、中間件、數(shù)據(jù)庫等帳號，應(yīng)遵循相應(yīng)的密碼安全規(guī)范。例如，帳號密碼的長度、字符范圍、有效期、存儲（是否需要加密存儲）等；具體參見安全設(shè)計規(guī)范內(nèi)容；對文件上傳/下載的限制注：如果系統(tǒng)涉及文件的上

11、傳，則應(yīng)描述清楚，如何對上傳文件進行檢驗。例如，如何規(guī)定文件大小、后綴名、格式、用戶端是否做校驗、服務(wù)器端是否做校驗、文件保存位置等安全點；另外，可參考 公司的安全事故案例-多個B2B系統(tǒng)的圖片上傳驗證漏洞；系統(tǒng)資源釋放注：這里主要是java開發(fā)規(guī)范的相關(guān)內(nèi)容，寫明例如打開的文件，數(shù)據(jù)庫連接等，使用完成后是否釋放資源；代碼質(zhì)量安全本小節(jié)從代碼質(zhì)量方面出發(fā)考慮安全設(shè)計包括： 。防范跨站腳本攻擊注：跨站與SQL注入都是web系統(tǒng)最常見的攻擊方式，這里請描述如何進行的預(yù)防（例如公司的安全包）。另外，需具體說明對哪些關(guān)鍵輸入或字段進行了過濾。防范跨站請求偽造防范SQL注入攻擊注：同上；不安全的直接對象

12、引用注：主要檢查用戶重要參數(shù)是否暴露（具體可參見 安全設(shè)計開發(fā)規(guī)范 不安全的直接對象引用）；對其他各類用戶輸入的過濾注：部分內(nèi)容同跨站及注入的過濾；但對于相關(guān)參數(shù)長度應(yīng)說明，以避免過長的參數(shù)輸入引起參數(shù)溢出漏洞；引用開源程序的注意事項 注：此部分主要檢查，項目中是否涉及第三方的開源程序引用，如果有，則需檢查是否包含惡意代碼、冗余功能代碼、廣告類代碼及不必要的頁面文件以及是否嵌套其他安全考慮點。已發(fā)生的安全事故案例的相關(guān)安全考慮點注：因各類系統(tǒng)涉及功能廣泛，公司的規(guī)范文檔可能考慮不周,對于已經(jīng)發(fā)生的安全事故，其中也有相應(yīng)的安全設(shè)計考慮點，在設(shè)計新系統(tǒng)時應(yīng)進行相應(yīng)的考慮。1，終端-服務(wù)器交互過程防

13、篡改（注：提交的重要數(shù)據(jù)需要進行二次驗證）注，在涉及到服務(wù)器端與用戶進行數(shù)據(jù)交互時，是否考慮了數(shù)據(jù)的防篡改?？赡苌婕暗膱鼍叭纾荷坛窍到y(tǒng)的訂單提交、電子商務(wù)中物品采購、營業(yè)廳系統(tǒng)的業(yè)務(wù)辦理、系統(tǒng)的身份驗證過程等。參考炎黃安全事故案例-福建移動WAP營業(yè)廳受理0元套餐事件；浙江移動-旗艦店 靚號被低價購買 青海B2B 系統(tǒng)重置任意賬戶密碼 三個案例?？紤]新系統(tǒng)是否涉及，如涉及如何預(yù)防；2，重要配置文件避免明文保存問題注，參考炎黃安全事故案例-聯(lián)通手機廳客戶端程序明文保存帳號密碼?？紤]新系統(tǒng)是否涉及，如涉及如何預(yù)防；3，重要數(shù)據(jù)未加密傳輸問題注，參考炎黃安全事故案例-廣西SSO登錄密碼明文傳輸問題。考慮新系統(tǒng)是否涉及，如涉及如何預(yù)防；4，登錄過程次數(shù)保存不當導(dǎo)致可暴力登錄嘗試注，參考炎黃安全事故案例-寧夏SSO圖形驗證碼可以繞過?？紤]新系統(tǒng)是否涉及，如涉及如何預(yù)防；5，不安全的身份驗證，導(dǎo)致驗證被繞過注，