信息系統(tǒng)應(yīng)用安全設(shè)計(jì)標(biāo)準(zhǔn)

信息系統(tǒng)應(yīng)用安全設(shè)計(jì)標(biāo)準(zhǔn)信息系統(tǒng)應(yīng)用安全設(shè)計(jì)標(biāo)準(zhǔn)信息系統(tǒng)應(yīng)用安全設(shè)計(jì)標(biāo)準(zhǔn)V:1.0精細(xì)整理，僅供參考信息系統(tǒng)應(yīng)用安全設(shè)計(jì)標(biāo)準(zhǔn)日期：20xx年X月信息系統(tǒng)應(yīng)用安全設(shè)計(jì)標(biāo)準(zhǔn)XXX公司

目錄信息系統(tǒng)應(yīng)用安全設(shè)計(jì)標(biāo)準(zhǔn) 11 編寫(xiě)目的 22 適用范圍 23 規(guī)范性引用文件 24 術(shù)語(yǔ)和定義 25 概述 36 安全設(shè)計(jì)要求 3 用戶（終端）安全設(shè)計(jì) 3 網(wǎng)絡(luò)安全設(shè)計(jì) 3 主機(jī)安全設(shè)計(jì) 3 應(yīng)用安全設(shè)計(jì) 4 應(yīng)用安全功能設(shè)計(jì) 4 應(yīng)用交互安全設(shè)計(jì) 8 數(shù)據(jù)安全設(shè)計(jì) 9 機(jī)密性要求 9 完整性要求 9 可用性要求 9

編寫(xiě)目的本標(biāo)準(zhǔn)依據(jù)國(guó)家信息系統(tǒng)技術(shù)標(biāo)準(zhǔn)的要求編寫(xiě)。用于指導(dǎo)信息系統(tǒng)設(shè)計(jì)人員進(jìn)行安全設(shè)計(jì)，進(jìn)而開(kāi)發(fā)符合公司信息安全要求的高質(zhì)量信息系統(tǒng)適用范圍本標(biāo)準(zhǔn)規(guī)定了公司開(kāi)發(fā)的信息系統(tǒng)在設(shè)計(jì)階段應(yīng)遵循的主要安全原則和技術(shù)要求。本標(biāo)準(zhǔn)適用于本公司開(kāi)發(fā)的寧夏商務(wù)云系統(tǒng)安全開(kāi)發(fā)過(guò)程。規(guī)范性引用文件下列文件中的條款通過(guò)本部分的引用而成為本部分的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本部分，凡是不注日期的引用文件，其新版本適用于本部分。術(shù)語(yǔ)和定義中間件middleware是指位于硬件、操作系統(tǒng)平臺(tái)和應(yīng)用程序之間的通用服務(wù)系統(tǒng)具有標(biāo)準(zhǔn)的程序接口和協(xié)議可實(shí)現(xiàn)不同硬件和操作系統(tǒng)平臺(tái)上的數(shù)據(jù)共享和應(yīng)用互操作?；赝薘ollback由于某種原因而撤銷上一次/一系列操作，并返回到該操作以前的已知狀態(tài)的過(guò)程。符號(hào)、代號(hào)和縮略語(yǔ)下列縮略語(yǔ)適用于本部分。HTTPHyperTextTransferProtocol超文本傳輸協(xié)議SSLSecureSocketsLayer安全套接層協(xié)議HTTPSHypertextTransferProtocoloverSecureSocketLayer使用SSL的超文本傳輸協(xié)議IPInternetProtocol網(wǎng)絡(luò)之間連接的協(xié)議VPNVirtualPrivateNetwork虛擬專用網(wǎng)絡(luò)SQLStructuredQueryLanguage結(jié)構(gòu)化查詢語(yǔ)言XMLExtensibleMarkupLanguage可擴(kuò)展標(biāo)記語(yǔ)言SFTPSecureFileTransferProtocol安全文件傳送協(xié)議MIBManagementInformationBase管理信息庫(kù)概述一個(gè)信息系統(tǒng)通?？梢詣澐譃榻K端用戶、網(wǎng)絡(luò)、主機(jī)、應(yīng)用程序、數(shù)據(jù)這五個(gè)層次。終端用戶是請(qǐng)求系統(tǒng)的訪問(wèn)主體，包括終端設(shè)備或訪問(wèn)用戶等；網(wǎng)絡(luò)層為信息系統(tǒng)提供基礎(chǔ)網(wǎng)絡(luò)訪問(wèn)能力，包含邊界、網(wǎng)絡(luò)設(shè)備等元素；主機(jī)系統(tǒng)層為應(yīng)用軟件、數(shù)據(jù)的承載系統(tǒng)；應(yīng)用程序?qū)犹峁┬畔⑾到y(tǒng)的業(yè)務(wù)邏輯控制，為用戶提供各種服務(wù)，包含應(yīng)用功能模塊、接口等元素；數(shù)據(jù)層是整個(gè)信息系統(tǒng)的核心，提供業(yè)務(wù)數(shù)據(jù)和日志記錄的存儲(chǔ)。信息系統(tǒng)在安全防護(hù)設(shè)計(jì)過(guò)程中應(yīng)從這五個(gè)層面進(jìn)行針對(duì)性的設(shè)計(jì)。安全設(shè)計(jì)要求用戶（終端）安全設(shè)計(jì)a）終端安全防護(hù)是對(duì)信息內(nèi)網(wǎng)和信息外網(wǎng)的桌面辦公計(jì)算機(jī)終端以及接入信息內(nèi)、外網(wǎng)的各種業(yè)務(wù)終端進(jìn)行安全防護(hù)；b）根據(jù)終端類型，將終端分為辦公計(jì)算機(jī)終端、移動(dòng)作業(yè)終端、信息采集類終端三類，應(yīng)針對(duì)具體終端的類型、應(yīng)用環(huán)境以及通信方式等制定適宜的終端防護(hù)措施；c）用戶（終端）安全設(shè)計(jì)應(yīng)符合《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB/T22239—2008的要求。網(wǎng)絡(luò)安全設(shè)計(jì)網(wǎng)絡(luò)安全設(shè)計(jì)應(yīng)符合GB/T22239—2008的要求。主機(jī)安全設(shè)計(jì)主機(jī)安全設(shè)計(jì)應(yīng)符合GB/T22239—2008的要求。應(yīng)用安全設(shè)計(jì)應(yīng)用安全功能設(shè)計(jì)身份鑒別在身份認(rèn)證方面，要求如下：a）應(yīng)采用合適的身份認(rèn)證方式，等級(jí)保護(hù)三級(jí)及以上系統(tǒng)應(yīng)至少采用兩種認(rèn)證方式，認(rèn)證方式如下：用戶名、口令認(rèn)證。一次性口令、動(dòng)態(tài)口令認(rèn)證。證書(shū)認(rèn)證。b）應(yīng)設(shè)計(jì)密碼的存儲(chǔ)和傳輸安全策略：禁止明文傳輸用戶登錄信息及身份憑證。禁止在數(shù)據(jù)庫(kù)或文件系統(tǒng)中明文存儲(chǔ)用戶密碼。 COOKIE中保存用戶密碼。應(yīng)采用單向散列值在數(shù)據(jù)庫(kù)中存儲(chǔ)用戶密碼，并使用強(qiáng)密碼，在生成單向散列值過(guò)程中加入隨機(jī)值。c）應(yīng)設(shè)計(jì)密碼使用安全策略，包括密碼長(zhǎng)度、復(fù)雜度、更換周期等。d）宜設(shè)計(jì)圖形驗(yàn)證碼，增強(qiáng)身份認(rèn)證安全。圖形驗(yàn)證碼要求長(zhǎng)度至少4位，隨機(jī)生成且包含字母與數(shù)字的組合。e）應(yīng)設(shè)計(jì)統(tǒng)一錯(cuò)誤提示，避免認(rèn)證錯(cuò)誤提示泄露信息。f）應(yīng)設(shè)計(jì)帳號(hào)鎖定功能限制連續(xù)失敗登錄。g）應(yīng)通過(guò)加密和安全的通信通道來(lái)保護(hù)驗(yàn)證憑證，并限制驗(yàn)證憑證的有效期。h）應(yīng)禁止同一帳號(hào)同時(shí)多個(gè)在線。授權(quán)在授權(quán)方面，要求如下：a）應(yīng)設(shè)計(jì)資源訪問(wèn)控制方案，驗(yàn)證用戶訪問(wèn)權(quán)限：根據(jù)系統(tǒng)訪問(wèn)控制策略對(duì)受限資源實(shí)施訪問(wèn)控制，限制用戶不能訪問(wèn)到未授權(quán)的功能和數(shù)據(jù)；未經(jīng)授權(quán)的用戶試圖訪問(wèn)受限資源時(shí)，系統(tǒng)應(yīng)提示用戶登錄或拒絕訪問(wèn)。b）應(yīng)限制用戶對(duì)系統(tǒng)級(jí)資源的訪問(wèn)，系統(tǒng)級(jí)資源包括：文件、文件夾、注冊(cè)表項(xiàng)、ActiveDirectory對(duì)象、數(shù)據(jù)庫(kù)對(duì)象、事件日志等。c）應(yīng)設(shè)計(jì)后臺(tái)管理控制方案：后臺(tái)管理應(yīng)采用黑名單或白名單方式對(duì)訪問(wèn)的來(lái)源IP地址進(jìn)行限制。d）應(yīng)設(shè)計(jì)在服務(wù)器端實(shí)現(xiàn)訪問(wèn)控制，禁止僅在客戶端實(shí)現(xiàn)訪問(wèn)控制。e）應(yīng)設(shè)計(jì)統(tǒng)一的訪問(wèn)控制機(jī)制。f）應(yīng)進(jìn)行防功能濫用設(shè)計(jì)，避免大量并發(fā)HTTP請(qǐng)求。g）應(yīng)限制啟動(dòng)進(jìn)程的權(quán)限，不得使用包括“Administrator”,“root”,“sa”,“sysman”,“Supervisor”或其它特權(quán)用戶運(yùn)行應(yīng)用程序或連接到網(wǎng)站服務(wù)器、數(shù)據(jù)庫(kù)、或中間件。h）授權(quán)粒度盡可能小，可根據(jù)應(yīng)用程序的角色和功能分類。輸入和輸出驗(yàn)證在輸入和輸出方面，要求如下：a）應(yīng)對(duì)所有來(lái)源不在可信范圍之內(nèi)的輸入數(shù)據(jù)進(jìn)行驗(yàn)證，包括：1）HTTP請(qǐng)求消息的全部字段，包括GET數(shù)據(jù)、POST數(shù)據(jù)、COOKIE和Header數(shù)據(jù)等。2）不可信來(lái)源的文件、第三方接口數(shù)據(jù)、數(shù)據(jù)庫(kù)數(shù)據(jù)等。b）應(yīng)設(shè)計(jì)多種輸入驗(yàn)證的方法，包括：應(yīng)檢查數(shù)據(jù)是否符合期望的類型。應(yīng)檢查數(shù)據(jù)是否符合期望的長(zhǎng)度。應(yīng)檢查數(shù)值數(shù)據(jù)是否符合期望的數(shù)值范圍。應(yīng)檢查數(shù)據(jù)是否包含特殊字符，如：<、>、"、'、%、（、）、&、+、\、\'、\"等。應(yīng)使用正則表達(dá)式進(jìn)行白名單檢查。c）服務(wù)器端和客戶端都應(yīng)進(jìn)行輸入驗(yàn)證。應(yīng)建立統(tǒng)一的輸入驗(yàn)證接口，為整個(gè)信息系統(tǒng)提供一致的驗(yàn)證方法。應(yīng)將輸入驗(yàn)證策略作為應(yīng)用程序設(shè)計(jì)的核心元素。d）應(yīng)對(duì)輸入內(nèi)容進(jìn)行規(guī)范化處理后再進(jìn)行驗(yàn)證，如文件路徑、URL地址等，需要規(guī)范化為標(biāo)準(zhǔn)的格式后再進(jìn)行驗(yàn)證。e）應(yīng)當(dāng)從服務(wù)器端提取關(guān)鍵參數(shù)，禁止從客戶端輸入。f）根據(jù)輸出目標(biāo)的不同，應(yīng)對(duì)輸出數(shù)據(jù)進(jìn)行相應(yīng)的格式化處理：向客戶端寫(xiě)回?cái)?shù)據(jù)時(shí)，對(duì)用戶輸入的數(shù)據(jù)進(jìn)行HTML編碼和URL編碼檢查，過(guò)濾特殊字符（包括HTML關(guān)鍵字以及&,\r\n,兩個(gè)\n等字符）。g）SQL注入防范：進(jìn)行數(shù)據(jù)庫(kù)操作的時(shí)候，對(duì)用戶提交的數(shù)據(jù)應(yīng)過(guò)濾’;—等特殊字符。h）XML注入防范：當(dāng)使用XML文件格式存儲(chǔ)數(shù)據(jù)時(shí)，若使用Xpath和XSLT功能，必須過(guò)濾用戶提交數(shù)據(jù)中的<>/'="等字符。i）應(yīng)禁止將與業(yè)務(wù)無(wú)關(guān)的信息返回給用戶。配置管理在配置管理方面，要求如下：a）確保配置存儲(chǔ)的安全：Web目錄使用配置文件，以防止可能出現(xiàn)的服務(wù)器配置漏洞導(dǎo)致配置文件被下載；應(yīng)避免以純文本形式存儲(chǔ)重要配置，如數(shù)據(jù)庫(kù)連接字符串或帳戶憑據(jù)；應(yīng)通過(guò)加密確保配置的安全，并限制對(duì)包含加密數(shù)據(jù)的注冊(cè)表項(xiàng)、文件或表的訪問(wèn)權(quán)限；應(yīng)確保對(duì)配置文件的修改、刪除和訪問(wèn)等權(quán)限的變更，都驗(yàn)證授權(quán)并且詳細(xì)記錄；應(yīng)避免授權(quán)帳戶具備更改自身配置信息的權(quán)限。b）應(yīng)使用昀少特權(quán)進(jìn)程和服務(wù)帳戶。c）應(yīng)確保管理界面的安全：配置管理功能只能由經(jīng)過(guò)授權(quán)的操作員和管理員訪問(wèn)，在管理界面上實(shí)施強(qiáng)身份驗(yàn)證，如使用證書(shū)，如果有可能，應(yīng)限制或避免使用遠(yuǎn)程管理，并要求管理員在本地登錄；如果需要支持遠(yuǎn)程管理，應(yīng)使用加密通道，如SSL或VPN技術(shù)。d）應(yīng)避免應(yīng)用程序調(diào)用底層系統(tǒng)資源。e）應(yīng)單獨(dú)分配管理特權(quán)。會(huì)話管理在會(huì)話管理方面，要求如下：a）登錄成功后應(yīng)建立新的會(huì)話：在用戶認(rèn)證成功后，應(yīng)為用戶創(chuàng)建新的會(huì)話并釋放原有會(huì)話，創(chuàng)建的會(huì)話憑證應(yīng)滿足隨機(jī)性和長(zhǎng)度要求避免被攻擊者猜測(cè)。IP地址綁定，降低會(huì)話被盜用的風(fēng)險(xiǎn)。b）應(yīng)確保會(huì)話數(shù)據(jù)的存儲(chǔ)安全：用戶登錄成功后所生成的會(huì)話數(shù)據(jù)應(yīng)存儲(chǔ)在服務(wù)器端，并確保會(huì)話數(shù)據(jù)不能被非法訪問(wèn)。更新會(huì)話數(shù)據(jù)時(shí)，應(yīng)對(duì)數(shù)據(jù)進(jìn)行嚴(yán)格的輸入驗(yàn)證，避免會(huì)話數(shù)據(jù)被非法篡改。c）應(yīng)確保會(huì)話數(shù)據(jù)的傳輸安全：用戶登錄信息及身份憑證應(yīng)加密后進(jìn)行傳輸。如采用COOKIE攜帶會(huì)話憑證，必須合理設(shè)置COOKIE的Secure、Domain、Path和Expires屬性。HTTPGET方式傳輸會(huì)話憑證，禁止設(shè)置過(guò)于寬泛的Domain屬性。d）應(yīng)及時(shí)終止會(huì)話：當(dāng)用戶登錄成功并成功創(chuàng)建會(huì)話后，應(yīng)在信息系統(tǒng)的各個(gè)頁(yè)面提供用戶退出功能；退出時(shí)應(yīng)及時(shí)注銷服務(wù)器端的會(huì)話數(shù)據(jù)。當(dāng)處于登錄狀態(tài)的用戶直接關(guān)閉瀏覽器時(shí)，應(yīng)提示用戶執(zhí)行安全退出或者自動(dòng)為用戶完成退出過(guò)程。e）應(yīng)設(shè)計(jì)合理的會(huì)話存活時(shí)間，超時(shí)后應(yīng)銷毀會(huì)話，并清除會(huì)話的信息。f）應(yīng)設(shè)計(jì)避免跨站請(qǐng)求偽造：在涉及到關(guān)鍵業(yè)務(wù)操作的頁(yè)面，應(yīng)為當(dāng)前頁(yè)面生成一次性隨機(jī)令牌，作為主會(huì)話憑證的補(bǔ)充；在執(zhí)行關(guān)鍵業(yè)務(wù)前，應(yīng)檢查用戶提交的一次性隨機(jī)令牌。g）采取加密措施來(lái)保護(hù)數(shù)據(jù)安全時(shí)，除使用SSL/TSL加密傳輸信道，針對(duì)加密技術(shù)，應(yīng)滿足以下設(shè)計(jì)要求：應(yīng)采用經(jīng)國(guó)密局批準(zhǔn)的的商密算法，并確保密鑰長(zhǎng)度能提供足夠的安全級(jí)別。應(yīng)確保密鑰的安全。參數(shù)操作操作參數(shù)攻擊是一種更改在客戶端和Web應(yīng)用程序之間發(fā)送的參數(shù)數(shù)據(jù)的攻擊，包括查詢字符串、窗體字段、cookie和HTTP標(biāo)頭。主要的操作參數(shù)威脅包括：操作查詢字符串、操作窗體字段、操作cookie和操作HTTP標(biāo)頭。要求如下：a）應(yīng)避免使用包含敏感數(shù)據(jù)或者影響服務(wù)器安全邏輯的查詢字符串參數(shù)。b）應(yīng)使用會(huì)話標(biāo)識(shí)符來(lái)標(biāo)識(shí)客戶端，并將敏感項(xiàng)存儲(chǔ)在服務(wù)器上的會(huì)話存儲(chǔ)區(qū)中。c）應(yīng)使用HTTPPOST來(lái)代替GET提交窗體，避免使用隱藏窗體。d）應(yīng)加密查詢字符串參數(shù)。e）不要信任HTTP頭信息。f）確保用戶沒(méi)有繞過(guò)檢查。g）應(yīng)驗(yàn)證從客戶端發(fā)送的所有數(shù)據(jù)。異常管理異常信息一般包含了針對(duì)開(kāi)發(fā)和維護(hù)人員調(diào)試使用的系統(tǒng)信息，這些信息將增加攻擊者發(fā)現(xiàn)潛在缺陷并進(jìn)行攻擊的機(jī)會(huì)。要求如下：a）應(yīng)使用結(jié)構(gòu)化異常處理機(jī)制。b）應(yīng)使用通用錯(cuò)誤信息：程序發(fā)生異常時(shí)，應(yīng)向外部服務(wù)或應(yīng)用程序的用戶發(fā)送通用的信息或重定向到特定應(yīng)用網(wǎng)頁(yè)。應(yīng)向客戶端返回一般性錯(cuò)誤消息。c）程序發(fā)生異常時(shí)，應(yīng)終止當(dāng)前業(yè)務(wù)，并對(duì)當(dāng)前業(yè)務(wù)進(jìn)行回滾操作。d）通信雙方中一方在一段時(shí)間內(nèi)未作反應(yīng)，另一方應(yīng)自動(dòng)結(jié)束回話。e）程序發(fā)生異常時(shí)，應(yīng)在日志中記錄詳細(xì)的錯(cuò)誤消息。審核與日志用戶訪問(wèn)信息系統(tǒng)時(shí)，應(yīng)對(duì)登錄行為、業(yè)務(wù)操作以及系統(tǒng)運(yùn)行狀態(tài)進(jìn)行記錄與保存，保證操作過(guò)程可追溯、可審計(jì)，確保業(yè)務(wù)日志數(shù)據(jù)的安全。要求如下：a）應(yīng)明確審計(jì)日志格式，可采用如下格式：1）Syslog方式：Syslog方式需要給出syslog的組成結(jié)構(gòu)。2）Snmp方式：Snmp方式需要同時(shí)提供MIB信息。b）日志記錄事件宜包含以下事件：審計(jì)功能的啟動(dòng)和關(guān)閉。信息系統(tǒng)的啟動(dòng)和停止。配置變化。訪問(wèn)控制信息，比如：由于超出嘗試次數(shù)的限制而引起的拒絕登錄，成功或失敗的登錄。用戶權(quán)限的變更。用戶密碼的變更。用戶試圖執(zhí)行角色中沒(méi)有明確授權(quán)的功能。用戶賬戶的創(chuàng)建、注銷、鎖定、解鎖。用戶對(duì)數(shù)據(jù)的異常操作事件，包括：不成功的存取數(shù)據(jù)嘗試、數(shù)據(jù)標(biāo)志或標(biāo)識(shí)被強(qiáng)制覆蓋或修改、對(duì)只讀數(shù)據(jù)的強(qiáng)制修改、來(lái)自非授權(quán)用戶的數(shù)據(jù)操作、特別權(quán)限用戶的活動(dòng)。c）審計(jì)日志應(yīng)宜包含如下內(nèi)容：ID或引起這個(gè)事件的處理程序ID。事件的日期、時(shí)間（時(shí)間戳）。事件類型。事件內(nèi)容。事件是否成功。請(qǐng)求的來(lái)源（例如請(qǐng)求的IP地址）。d）審計(jì)日志應(yīng)禁止包含如下內(nèi)容（如必須包含，應(yīng)做模糊化處理）：用戶敏感信息（如密碼信息等）。用戶完整交易信息。用戶的隱私信息（如銀行卡信息、密碼信息、身份信息等）。e）宜加強(qiáng)業(yè)務(wù)安全審計(jì)。f）應(yīng)防止業(yè)務(wù)日志欺騙。g）應(yīng)保證業(yè)務(wù)日志安全存儲(chǔ)與訪問(wèn)。禁止將業(yè)務(wù)日志保存到WEB目錄下。應(yīng)對(duì)業(yè)務(wù)日志記錄進(jìn)行數(shù)字簽名來(lái)實(shí)現(xiàn)防篡改。日志保存期限應(yīng)與系統(tǒng)應(yīng)用等級(jí)相匹配。應(yīng)用交互安全設(shè)計(jì)應(yīng)用交互指的是不同信息系統(tǒng)之間互聯(lián)時(shí)的數(shù)據(jù)交互。信息系統(tǒng)交互應(yīng)通過(guò)接口方式進(jìn)行，應(yīng)避免采用非接口方式。明確交互系統(tǒng)a）應(yīng)確定所有和本系統(tǒng)交互的其它系統(tǒng)。b）應(yīng)確定交互的數(shù)據(jù)類型、采用的傳輸方式。接口方式安全設(shè)計(jì)a）系統(tǒng)互聯(lián)應(yīng)僅通過(guò)接口設(shè)備（前置機(jī)、接口機(jī)、通信服務(wù)器、應(yīng)用服務(wù)器等設(shè)備）進(jìn)行，不能直接訪問(wèn)核心數(shù)據(jù)庫(kù)。b）接口設(shè)備上的應(yīng)用宜只包含實(shí)現(xiàn)系統(tǒng)互聯(lián)所必須的業(yè)務(wù)功能，不包含業(yè)務(wù)系統(tǒng)的所有功能。c）其它系統(tǒng)訪問(wèn)本系統(tǒng)設(shè)備宜進(jìn)行接口認(rèn)證。d）各種收發(fā)數(shù)據(jù)、消息的日志都應(yīng)予以保存，以備審計(jì)與核對(duì)。數(shù)據(jù)安全設(shè)計(jì)針對(duì)安全需求中的數(shù)據(jù)安全保護(hù)需求，應(yīng)從數(shù)據(jù)的機(jī)密性保護(hù)、完整性保護(hù)、可用性保