信息系統(tǒng)應(yīng)用安全設(shè)計標準

1、信息系統(tǒng)應(yīng)用安全設(shè)計標準 XXX公司2016.03 目 錄信息系統(tǒng)應(yīng)用安全設(shè)計標準11編寫目的22適用范圍23規(guī)范性引用文件24術(shù)語和定義25概述36安全設(shè)計要求36.1用戶（終端）安全設(shè)計36.2網(wǎng)絡(luò)安全設(shè)計36.3主機安全設(shè)計36.4應(yīng)用安全設(shè)計46.4.1應(yīng)用安全功能設(shè)計46.4.2應(yīng)用交互安全設(shè)計86.5數(shù)據(jù)安全設(shè)計96.5.1機密性要求96.5.2完整性要求96.5.3可用性要求91 編寫目的本標準依據(jù)國家信息系統(tǒng)技術(shù)標準的要求編寫。用于指導(dǎo)信息系統(tǒng)設(shè)計人員進行安全設(shè)計，進而開發(fā)符合公司信息安全要求的高質(zhì)量信息系統(tǒng)2 適用范圍本標準規(guī)定了公司開發(fā)的信息系統(tǒng)在設(shè)計階段應(yīng)遵循的主要安全原

2、則和技術(shù)要求。本標準適用于本公司開發(fā)的寧夏商務(wù)云系統(tǒng)安全開發(fā)過程。 3 規(guī)范性引用文件下列文件中的條款通過本部分的引用而成為本部分的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本部分，凡是不注日期的引用文件，其新版本適用于本部分。 4 術(shù)語和定義中間件 middleware 是指位于硬件、操作系統(tǒng)平臺和應(yīng)用程序之間的通用服務(wù)系統(tǒng)具有標準的程序接口和協(xié)議可實現(xiàn)不同硬件和操作系統(tǒng)平臺上的數(shù)據(jù)共享和應(yīng)用互操作。 回退 Rollback 由于某種原因而撤銷上一次/一系列操作，并返回到該操作以前的已知狀態(tài)的過程。 符號、代號和縮略語下列縮略語適用于本部分。HTTP

3、 HyperText Transfer Protocol超文本傳輸協(xié)議 SSL Secure Sockets Layer安全套接層協(xié)議HTTPS Hypertext Transfer Protocol over Secure Socket Layer 使用 SSL的超文本傳輸協(xié)議 IP Internet Protocol 網(wǎng)絡(luò)之間連接的協(xié)議 VPN Virtual Private Network虛擬專用網(wǎng)絡(luò) SQL Structured Query Language結(jié)構(gòu)化查詢語言 XML Extensible Markup Language可擴展標記語言 SFTP Secure File Tr

4、ansfer Protocol 安全文件傳送協(xié)議 MIB Management Information Base管理信息庫5 概述一個信息系統(tǒng)通?？梢詣澐譃榻K端用戶、網(wǎng)絡(luò)、主機、應(yīng)用程序、數(shù)據(jù)這五個層次。終端用戶是請求系統(tǒng)的訪問主體，包括終端設(shè)備或訪問用戶等；網(wǎng)絡(luò)層為信息系統(tǒng)提供基礎(chǔ)網(wǎng)絡(luò)訪問能力，包含邊界、網(wǎng)絡(luò)設(shè)備等元素；主機系統(tǒng)層為應(yīng)用軟件、數(shù)據(jù)的承載系統(tǒng)；應(yīng)用程序?qū)犹峁┬畔⑾到y(tǒng)的業(yè)務(wù)邏輯控制，為用戶提供各種服務(wù)，包含應(yīng)用功能模塊、接口等元素；數(shù)據(jù)層是整個信息系統(tǒng)的核心，提供業(yè)務(wù)數(shù)據(jù)和日志記錄的存儲。信息系統(tǒng)在安全防護設(shè)計過程中應(yīng)從這五個層面進行針對性的設(shè)計。 6 安全設(shè)計要求 6.1 用戶

5、（終端）安全設(shè)計 a）終端安全防護是對信息內(nèi)網(wǎng)和信息外網(wǎng)的桌面辦公計算機終端以及接入信息內(nèi)、外網(wǎng)的各種業(yè)務(wù)終端進行安全防護； b）根據(jù)終端類型，將終端分為辦公計算機終端、移動作業(yè)終端、信息采集類終端三類，應(yīng)針對具體終端的類型、應(yīng)用環(huán)境以及通信方式等制定適宜的終端防護措施； c）用戶（終端）安全設(shè)計應(yīng)符合信息系統(tǒng)安全等級保護基本要求中華人民共和國國家標準 GB/T 222392008的要求。 6.2 網(wǎng)絡(luò)安全設(shè)計網(wǎng)絡(luò)安全設(shè)計應(yīng)符合 GB/T 222392008的要求。 6.3 主機安全設(shè)計主機安全設(shè)計應(yīng)符合 GB/T 222392008的要求。 6.4 應(yīng)用安全設(shè)計 6.4.1 應(yīng)用安全功能設(shè)計

6、 身份鑒別在身份認證方面，要求如下： a）應(yīng)采用合適的身份認證方式，等級保護三級及以上系統(tǒng)應(yīng)至少采用兩種認證方式，認證方式如下： 用戶名、口令認證。 一次性口令、動態(tài)口令認證。 證書認證。 b）應(yīng)設(shè)計密碼的存儲和傳輸安全策略： 禁止明文傳輸用戶登錄信息及身份憑證。 禁止在數(shù)據(jù)庫或文件系統(tǒng)中明文存儲用戶密碼。 COOKIE中保存用戶密碼。 應(yīng)采用單向散列值在數(shù)據(jù)庫中存儲用戶密碼，并使用強密碼，在生成單向散列值過程中加入隨機值。 c）應(yīng)設(shè)計密碼使用安全策略，包括密碼長度、復(fù)雜度、更換周期等。 d）宜設(shè)計圖形驗證碼，增強身份認證安全。圖形驗證碼要求長度至少 4位，隨機生成且包含字母與

7、數(shù)字的組合。 e）應(yīng)設(shè)計統(tǒng)一錯誤提示，避免認證錯誤提示泄露信息。 f）應(yīng)設(shè)計帳號鎖定功能限制連續(xù)失敗登錄。 g）應(yīng)通過加密和安全的通信通道來保護驗證憑證，并限制驗證憑證的有效期。 h）應(yīng)禁止同一帳號同時多個在線。 授權(quán)在授權(quán)方面，要求如下：a）應(yīng)設(shè)計資源訪問控制方案，驗證用戶訪問權(quán)限： 根據(jù)系統(tǒng)訪問控制策略對受限資源實施訪問控制，限制用戶不能訪問到未授權(quán)的功能和數(shù)據(jù)； 未經(jīng)授權(quán)的用戶試圖訪問受限資源時，系統(tǒng)應(yīng)提示用戶登錄或拒絕訪問。 b）應(yīng)限制用戶對系統(tǒng)級資源的訪問，系統(tǒng)級資源包括：文件、文件夾、注冊表項、 Active Directory對象、數(shù)據(jù)庫對象、事件日志等。 c）應(yīng)

8、設(shè)計后臺管理控制方案：后臺管理應(yīng)采用黑名單或白名單方式對訪問的來源 IP地址進行限制。 d）應(yīng)設(shè)計在服務(wù)器端實現(xiàn)訪問控制，禁止僅在客戶端實現(xiàn)訪問控制。 e）應(yīng)設(shè)計統(tǒng)一的訪問控制機制。 f）應(yīng)進行防功能濫用設(shè)計，避免大量并發(fā) HTTP請求。 g）應(yīng)限制啟動進程的權(quán)限，不得使用包括 “Administrator”, “root”, “sa”, “sysman”, “Supervisor”或其它特權(quán)用戶運行應(yīng)用程序或連接到網(wǎng)站服務(wù)器、數(shù)據(jù)庫、或中間件。 h）授權(quán)粒度盡可能小，可根據(jù)應(yīng)用程序的角色和功能分類。 輸入和輸出驗證在輸入和輸出方面，要求如下： a）應(yīng)對所有來源不在可信范圍之內(nèi)

9、的輸入數(shù)據(jù)進行驗證，包括： 1） HTTP請求消息的全部字段，包括 GET數(shù)據(jù)、POST數(shù)據(jù)、COOKIE和 Header數(shù)據(jù)等。 2）不可信來源的文件、第三方接口數(shù)據(jù)、數(shù)據(jù)庫數(shù)據(jù)等。 b）應(yīng)設(shè)計多種輸入驗證的方法，包括： 1) 應(yīng)檢查數(shù)據(jù)是否符合期望的類型。 2) 應(yīng)檢查數(shù)據(jù)是否符合期望的長度。 3) 應(yīng)檢查數(shù)值數(shù)據(jù)是否符合期望的數(shù)值范圍。 4) 應(yīng)檢查數(shù)據(jù)是否包含特殊字符，如： 、 、 、%、（、）、&、+、等。 5) 應(yīng)使用正則表達式進行白名單檢查。 c）服務(wù)器端和客戶端都應(yīng)進行輸入驗證。 1) 應(yīng)建立統(tǒng)一的輸入驗證接口，為整個信息系統(tǒng)提供一致的驗證方法。 2) 應(yīng)將輸入驗證策略作為應(yīng)用

10、程序設(shè)計的核心元素。 d）應(yīng)對輸入內(nèi)容進行規(guī)范化處理后再進行驗證，如文件路徑、 URL地址等，需要規(guī)范化為標準的格式后再進行驗證。 e）應(yīng)當從服務(wù)器端提取關(guān)鍵參數(shù)，禁止從客戶端輸入。 f）根據(jù)輸出目標的不同，應(yīng)對輸出數(shù)據(jù)進行相應(yīng)的格式化處理：向客戶端寫回數(shù)據(jù)時，對用戶輸入的數(shù)據(jù)進行 HTML編碼和 URL編碼檢查，過濾特殊字符（包括 HTML關(guān)鍵字以及 &,rn,兩個n等字符）。 g） SQL注入防范：進行數(shù)據(jù)庫操作的時候，對用戶提交的數(shù)據(jù)應(yīng)過濾 ;等特殊字符。 h） XML注入防范：當使用 XML文件格式存儲數(shù)據(jù)時，若使用 Xpath和 XSLT功能，必須過濾用戶提交數(shù)據(jù)中的 / = 等字符

11、。 i）應(yīng)禁止將與業(yè)務(wù)無關(guān)的信息返回給用戶。 配置管理在配置管理方面，要求如下： a）確保配置存儲的安全： 1) Web目錄使用配置文件，以防止可能出現(xiàn)的服務(wù)器配置漏洞導(dǎo)致配置文件被下載；2) 應(yīng)避免以純文本形式存儲重要配置，如數(shù)據(jù)庫連接字符串或帳戶憑據(jù)； 3) 應(yīng)通過加密確保配置的安全，并限制對包含加密數(shù)據(jù)的注冊表項、文件或表的訪問權(quán)限； 4) 應(yīng)確保對配置文件的修改、刪除和訪問等權(quán)限的變更，都驗證授權(quán)并且詳細記錄； 5) 應(yīng)避免授權(quán)帳戶具備更改自身配置信息的權(quán)限。 b）應(yīng)使用昀少特權(quán)進程和服務(wù)帳戶。 c）應(yīng)確保管理界面的安全： 配置管理功能只能由經(jīng)過授權(quán)的操作員和管理員訪問

12、，在管理界面上實施強身份驗證，如使用證書，如果有可能，應(yīng)限制或避免使用遠程管理，并要求管理員在本地登錄； 如果需要支持遠程管理，應(yīng)使用加密通道，如 SSL或 VPN 技術(shù)。 d）應(yīng)避免應(yīng)用程序調(diào)用底層系統(tǒng)資源。 e）應(yīng)單獨分配管理特權(quán)。 會話管理在會話管理方面，要求如下： a）登錄成功后應(yīng)建立新的會話： 1) 在用戶認證成功后，應(yīng)為用戶創(chuàng)建新的會話并釋放原有會話，創(chuàng)建的會話憑證應(yīng)滿足隨機性和長度要求避免被攻擊者猜測。 2) IP地址綁定，降低會話被盜用的風(fēng)險。 b）應(yīng)確保會話數(shù)據(jù)的存儲安全： 用戶登錄成功后所生成的會話數(shù)據(jù)應(yīng)存儲在服務(wù)器端，并確保會話數(shù)據(jù)不能被非法訪問。 更新會

13、話數(shù)據(jù)時，應(yīng)對數(shù)據(jù)進行嚴格的輸入驗證，避免會話數(shù)據(jù)被非法篡改。 c）應(yīng)確保會話數(shù)據(jù)的傳輸安全： 1) 用戶登錄信息及身份憑證應(yīng)加密后進行傳輸。如采用 COOKIE攜帶會話憑證，必須合理設(shè)置 COOKIE的 Secure、Domain、Path和 Expires屬性。 2) HTTP GET方式傳輸會話憑證，禁止設(shè)置過于寬泛的 Domain屬性。 d）應(yīng)及時終止會話： 1) 當用戶登錄成功并成功創(chuàng)建會話后，應(yīng)在信息系統(tǒng)的各個頁面提供用戶退出功能； 2) 退出時應(yīng)及時注銷服務(wù)器端的會話數(shù)據(jù)。 3) 當處于登錄狀態(tài)的用戶直接關(guān)閉瀏覽器時，應(yīng)提示用戶執(zhí)行安全退出或者自動為用戶完成退出過程。 e）應(yīng)設(shè)計

14、合理的會話存活時間，超時后應(yīng)銷毀會話，并清除會話的信息。 f）應(yīng)設(shè)計避免跨站請求偽造： 1) 在涉及到關(guān)鍵業(yè)務(wù)操作的頁面，應(yīng)為當前頁面生成一次性隨機令牌，作為主會話憑證的補充； 2) 在執(zhí)行關(guān)鍵業(yè)務(wù)前，應(yīng)檢查用戶提交的一次性隨機令牌。 g）采取加密措施來保護數(shù)據(jù)安全時，除使用 SSL/TSL加密傳輸信道，針對加密技術(shù)，應(yīng)滿足以下設(shè)計要求： 1) 應(yīng)采用經(jīng)國密局批準的的商密算法，并確保密鑰長度能提供足夠的安全級別。 2) 應(yīng)確保密鑰的安全。 參數(shù)操作操作參數(shù)攻擊是一種更改在客戶端和 Web應(yīng)用程序之間發(fā)送的參數(shù)數(shù)據(jù)的攻擊，包括查詢字符串、窗體字段、 cookie和 HTTP標頭。

15、主要的操作參數(shù)威脅包括：操作查詢字符串、操作窗體字段、操作 cookie和操作 HTTP標頭。要求如下： a）應(yīng)避免使用包含敏感數(shù)據(jù)或者影響服務(wù)器安全邏輯的查詢字符串參數(shù)。b）應(yīng)使用會話標識符來標識客戶端，并將敏感項存儲在服務(wù)器上的會話存儲區(qū)中。 c）應(yīng)使用 HTTP POST來代替 GET提交窗體，避免使用隱藏窗體。 d）應(yīng)加密查詢字符串參數(shù)。 e）不要信任 HTTP頭信息。 f）確保用戶沒有繞過檢查。 g）應(yīng)驗證從客戶端發(fā)送的所有數(shù)據(jù)。 異常管理異常信息一般包含了針對開發(fā)和維護人員調(diào)試使用的系統(tǒng)信息，這些信息將增加攻擊者發(fā)現(xiàn)潛在缺陷并進行攻擊的機會。要求如下： a）應(yīng)使用結(jié)

16、構(gòu)化異常處理機制。 b）應(yīng)使用通用錯誤信息： 程序發(fā)生異常時，應(yīng)向外部服務(wù)或應(yīng)用程序的用戶發(fā)送通用的信息或重定向到特定應(yīng)用網(wǎng)頁。 應(yīng)向客戶端返回一般性錯誤消息。 c）程序發(fā)生異常時，應(yīng)終止當前業(yè)務(wù)，并對當前業(yè)務(wù)進行回滾操作。 d）通信雙方中一方在一段時間內(nèi)未作反應(yīng)，另一方應(yīng)自動結(jié)束回話。 e）程序發(fā)生異常時，應(yīng)在日志中記錄詳細的錯誤消息。 審核與日志用戶訪問信息系統(tǒng)時，應(yīng)對登錄行為、業(yè)務(wù)操作以及系統(tǒng)運行狀態(tài)進行記錄與保存，保證操作過程可追溯、可審計，確保業(yè)務(wù)日志數(shù)據(jù)的安全。要求如下： a）應(yīng)明確審計日志格式，可采用如下格式： 1） Syslog方式： Syslog方式需要給出

17、syslog的組成結(jié)構(gòu)。 2） Snmp方式：Snmp方式需要同時提供 MIB信息。 b）日志記錄事件宜包含以下事件： 1) 審計功能的啟動和關(guān)閉。 2) 信息系統(tǒng)的啟動和停止。 3) 配置變化。 4) 訪問控制信息，比如：由于超出嘗試次數(shù)的限制而引起的拒絕登錄，成功或失敗的登錄。 5) 用戶權(quán)限的變更。 6) 用戶密碼的變更。 7) 用戶試圖執(zhí)行角色中沒有明確授權(quán)的功能。 8) 用戶賬戶的創(chuàng)建、注銷、鎖定、解鎖。 9) 用戶對數(shù)據(jù)的異常操作事件，包括：不成功的存取數(shù)據(jù)嘗試、數(shù)據(jù)標志或標識被強制覆蓋或修改、對只讀數(shù)據(jù)的強制修改、來自非授權(quán)用戶的數(shù)據(jù)操作、特別權(quán)限用戶的活動。 c）審計日志應(yīng)宜包

18、含如下內(nèi)容： 1) ID或引起這個事件的處理程序 ID。 2) 事件的日期、時間（時間戳）。 3) 事件類型。 4) 事件內(nèi)容。 5) 事件是否成功。 6) 請求的來源（例如請求的 IP地址）。 d）審計日志應(yīng)禁止包含如下內(nèi)容（如必須包含，應(yīng)做模糊化處理）： 1) 用戶敏感信息（如密碼信息等）。2) 用戶完整交易信息。 3) 用戶的隱私信息（如銀行卡信息、密碼信息、身份信息等）。 e）宜加強業(yè)務(wù)安全審計。 f）應(yīng)防止業(yè)務(wù)日志欺騙。 g）應(yīng)保證業(yè)務(wù)日志安全存儲與訪問。 1) 禁止將業(yè)務(wù)日志保存到 WEB目錄下。 2) 應(yīng)對業(yè)務(wù)日志記錄進行數(shù)字簽名來實現(xiàn)防篡改。 3) 日志保存期限應(yīng)與系統(tǒng)應(yīng)用等級

19、相匹配。 6.4.2 應(yīng)用交互安全設(shè)計應(yīng)用交互指的是不同信息系統(tǒng)之間互聯(lián)時的數(shù)據(jù)交互。信息系統(tǒng)交互應(yīng)通過接口方式進行，應(yīng)避免采用非接口方式。 明確交互系統(tǒng) a）應(yīng)確定所有和本系統(tǒng)交互的其它系統(tǒng)。 b）應(yīng)確定交互的數(shù)據(jù)類型、采用的傳輸方式。 接口方式安全設(shè)計 a）系統(tǒng)互聯(lián)應(yīng)僅通過接口設(shè)備（前置機、接口機、通信服務(wù)器、應(yīng)用服務(wù)器等設(shè)備）進行，不能直接訪問核心數(shù)據(jù)庫。 b）接口設(shè)備上的應(yīng)用宜只包含實現(xiàn)系統(tǒng)互聯(lián)所必須的業(yè)務(wù)功能，不包含業(yè)務(wù)系統(tǒng)的所有功能。 c）其它系統(tǒng)訪問本系統(tǒng)設(shè)備宜進行接口認證。 d）各種收發(fā)數(shù)據(jù)、消息的日志都應(yīng)予以保存，以備審計與核對。 6.5 數(shù)據(jù)安全設(shè)計針對安全需求中的數(shù)據(jù)安全保護需求，應(yīng)從數(shù)據(jù)的機密性保護、完整性保護、可用性保護三個層面分別進行安全設(shè)計。 6.5.1 機密性要求 a）數(shù)據(jù)傳輸應(yīng)確保保密性 1) 應(yīng)使用加密技術(shù)對傳輸?shù)拿舾行畔⑦M行機密性保護。 2) 宜使用安全的傳輸協(xié)議（如： HTTPS、S