公安交通管理信息系统外挂软件安全设计规范

-1-附件：1范围本规范旨在根据《公安交通管理信息系统外挂软件安全管理规定》的规定，对外挂软件应用程序安全设计提出必要的技术要求，为各级公安机关交通管理部门外挂软件安全设计、开发和安全测试提供依据。本规范不涉及外挂软件运行环境安全、日常安全管理等其他内容，相关内容请参考《公安交通管理信息系统外挂软件安全管理规定》及国家和公安部相关规定。本规范内容中，带*号标注的为推荐性安全设计，不作为安全测试通过的强制依据。2参考文件GB/T22239信息安全技术信息系统安全等级保护基本要求GA/T1168公安交通管理综合应用平台安全保护通用技术条件要求-2-3身份鉴别用户身份鉴别包括对用户的身份进行标识和鉴别。应当从以下方面设计和实现外挂软件应用程序的用户身份鉴别。3.1用户注册对外挂软件应用程序的注册用户，应当按以下要求设计和实现标识功能：1、凡需进入外挂软件应用程序的用户，应当先进行注册登记。2、外挂软件用程序的用户标识应当包含用户名、用户标识符（UID）、身份证明号码、警员编号或者员工编号、姓名等信息，对警员和非警员身份进行明确标识，并提供和启用用户身份唯一性检查功能，在外挂软件应用程序的整个生存周期实现用户标识符的唯一性，以及用户标识符、用户名、身份证明号码、警员编号或者员工编号、姓名之间的一致性。3、*对提供单点登录的分布式应用软件系统，应当提供单点用户标识，且单点标识应当具有与常规标识相同的安全性。4、*应当对用户标识信息进行统一管理，确保注册行为的合规性及标识信息的准确性，并确保其不被非授权地访问、修改或者删除。-3-3.2、用户登录对登录到外挂软件应用程序的用户，应当按以下要求进行身份鉴别：1、*具备公安数字证书用户身份鉴别功能，并可强制用户以公安数字证书鉴别机制进行用户身份鉴别。2、*采用了公安数字证书或者生物特征鉴别机制的应用软件系统，对系统用户（如系统管理员、审计员和安全员）应当强制以公安数字证书或者生物特征鉴别机制进行身份鉴别。3、应当提供用户密码校验功能，以确保用户密码长度不小于8位，且必须包含英文字符、数字及特殊符号。4、鉴别信息应当是不可见的，并在传输时用加密方法或者具有相同安全强度的其他方法进行安全保护。5、用户密码不允许在数据库中明文存储，应当以用户标识符、用户密码、姓名等鉴别信息组合后，用加密方法存储。6、应当预先定义鉴别失败次数的阀值，当用户鉴别失败次数达到阀值时，外挂软件应用程序应当退出登录过程并终止与用户的交互，并将信息写入安全日志。7、对重复鉴别行为的限制应当提供基于访问终端和基于用户两种方式，当某一访问终端鉴别失败次数达到阀值时，应当将该访问终端信息写入黑名单，在一定时间段内限制其再次登录；当某一用户鉴别失败次数达到阀值时，应当锁定该用户，限制其再次登录。对提供访问终端黑名单和用户解锁功能的，解锁操作-4-应当写入安全日志。8、外挂软件应用程序应能通过设定用户有效期、密码有效期、IP/MAC地址或者登录地点、登录时间段等手段对用户登录行为进行限制。9、超过用户有效期的用户只有经系统管理员激活并延长有效期后方可登录外挂软件应用程序；该用户激活后，应当强制其修改密码，成功后方可登录，并延长密码有效期。10、*对提供单点登录的分布式应用程序的用户应当提供单点用户鉴别，且单点鉴别应当具有与常规鉴别相同的安全性。11、具备对同一用户多地、同时登录外挂软件应用程序的异常情况进行检测和限制的功能。12、用户登录成功后，外挂软件应用程序应当记录并向用户显示日期、时间、来源和上次成功登录的日期、时间、来源，以及上次成功访问之后用户身份鉴别失败的情况、用户和密码距离到期的天数。4访问控制外挂软件应用程序的访问控制功能应当从以下方面设计和实现：1、外挂软件应用程序应当提供对软件功能和资源的访问控制功能，控制用户对应用软件系统各项功能、文件、数据等客体的访问。-5-2、访问控制的覆盖范围应当包括访问主体、客体及它们之间的操作。应当由授权主体配置访问控制策略，并严格限制默认账户的访问权限。3、应当实现以软件功能和用户操作行为特征为基本粒度的访问控制。4、基于用户的访问控制策略应当实现授予不同用户完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。应当禁止用户同时具有业务办理、系统管理、安全管理、审计管理中两种及以上功能，禁止用户同时具有业务申请、业务审批的权限或者通过系统逻辑禁止用户对自身发起的申请进行审核。5、系统初始化默认用户应当按照最小授权原则，只授予系统运行所必需的初始化参数设置、管理部门和用户维护、权限管理等功能；6、*采用基于角色的访问控制策略。7、外挂软件应用程序应当根据警员和非警员身份信息，严格控制非警员身份人员允许访问的软件功能和资源。8、“授权传播”指将授权的权力传播给其他用户，使其可以获得将指定客体的访问权限授予其他用户的权限。具有“授权传播”分级功能的外挂软件应用程序，获得“授权传播”的用户，并未获得访问指定客体的权限，仅可将授权传播给不包含其自身的其他用户，如需访问指定客体，需同时得到“访问授权”。-6-9、具有分级“授权传播”功能的应用软件系统，应对授权传播进行限制，对不可传播的授权进行明确定义，由系统自动检查并限制这些授权的传播。10、*对分布式外挂软件应用程序，应当实行统一的访问控制安全策略，确保每一个场地的主、客体具有一致的安全属性，并执行相同的访问规则。11、对重要数据的访问与重要进程的操作，采用客户端IP地址和用户绑定等技术实现客户端访问授权管理。12、*提供对重要数据访问频率的控制，通过对过高访问频度的预警及阻断，加强对重要数据的安全管理。13、服务端、客户端、数据库各层之间接口进行信息交互时，应对接口访问的授权进行确认，非授权的接口访问应视为攻击行为，记入安全事件日志。14、*通过对主体、客体设置敏感级别标记，对用户访问敏感信息的行为进行控制。5安全日志及审计外挂软件应用程序的安全审计功能应当从以下方面设计和实现：1、外挂软件应用程序应对所有用户的重要行为（如用户登录、业务操作、重要数据查询）记录日志。2、日志的内容应当包含用户标识、操作时间、来源、行为、-7-结果、关联数据及资源等信息。3、提供基于用户的安全审计策略设置、审计日志存储和异常情况预警功能。4、*提供应用程序运行状态监控、监控日志存储和异常情况预警功能。运行状态包括应用软件功能模块运行、版本升级、后台任务运行及主机系统资源使用等。5、提供应用程序核心功能定义、核心功能操作审计、审计日志存储和异常情况预警功能。6、具备数据异常情况告警功能。异常情况包括数据异常篡改、数据不一致等。7、安全审计策略的设计应当与用户标识与鉴别、访问控制等安全功能的设计紧密结合，还应当对许可访问的行为制定安全审计策略，如用户高频访问、规定时段外访问、账户长期未使用、非常规业务的办理等。8、安全审计信息应当采取加密存储、生成校验码或者其他安全存储措施，避免存储的安全审计日志被非法查看、修改或者删除。9、安全审计日志的存储期限不得少于1年。10、应当提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。11、按照公安部制定的公安信息系统应用日志安全审计相关规定，设计应用程序中用户操作行为和接口服务的日志格式，并-8-在调用公安交通管理综合应用平台等核心系统请求服务接口时将相关审计信息写入核心系统。6数据完整性和保密性应当对在应用软件系统控制范围内存储和传输的用户数据，从以下方面设计和实现完整性、保密性保护：1、通过使用数据校验码算法，生成源数据的校验码，在存储、传输及处理过程中对重要数据的完整性进行校验，防止关键数据被非法篡改。2、在对重要数据完整性检测时，发现其完整性被破坏的，应当记入系统安全审计日志。在数据更新时，发现原有数据完整性被破坏的，应当拒绝数据更新操作。3、应当采用加密技术对应用软件系统的重要数据、隐私信息进行加密，实现数据保密性保护，防止信息泄露。4、*对外挂软件应用程序中使用的缓冲存储器及其他动态记录介质，通过在释放其使用权时对剩余信息进行删除等措施，确保不会由于动态记录介质中的剩余信息引起信息泄漏。7*抗抵赖性应当从以下方面设计和实现应用软件系统的抗抵赖：1、抗原发抵赖：对于在网络环境进行数据交换的情况，通-9-过提供选择性原发证据，实现抗原发抵赖功能。2、抗接收抵赖：对于在网络环境进行数据交换的情况，通过提供选择性接收证据，实现抗接收抵赖功能。8软件容错应当对人机接口或者通信接口输入的数据格式、长度等进行严格的逻辑校验，确保输入数据符合应用软件的设定要求以及数据的准确性、完整性。9资源控制资源控制应当符合以下要求：1、应当具备自动结束会话功能。通信双方的一方在一段时间内未做响应时，另一方能自动结束会话。2、应当具备对应用程序最大并发会话连接数进行限制的功能。3、具备对单个用户账户的多重并发会话进行限制的功能。4、*具备对一个时间段内指定重要业务操作数进行限制的功能，防止对重要业务和数据的高频访问。5、*具备对应用软件服务水平降低到预先规定的最小值进行检测和报警的功能。6、*按应用软件系统的功能优先级进行资源的管理和分配。-10-10软件代码安全应当从以下几个方面对应用软件代码安全进行设计：1、用户界面提示的错误信息应当简洁、清晰，不应直接显示与系统底层代码相关的信息。如需作错误诊断的，可在展现时将错误代码信息加密，用户可提交开发人员，经解密后再进行故障诊断工作。2、*采用代码混淆、自定义装载器等技术提高系统代码的安全性，避免代码被反编译。3、系统控制数据，如口令、密钥、数据库连接参数等，不应当在未受保护的程序或者文档中以明文形式存储。