信息系统应用安全设计标准

信息系统应用安全设计标准XXX公司2016.03目录信息系统应用安全设计标准...........................................................................................................11编写目的...................................................................................................................................32适用范围...................................................................................................................................33规范性引用文件.......................................................................................................................34术语和定义...............................................................................................................................35概述...........................................................................................................................................46安全设计要求...........................................................................................................................46.1用户（终端）安全设计...............................................................................................46.2网络安全设计...............................................................................................................46.3主机安全设计...............................................................................................................46.4应用安全设计...............................................................................................................46.4.1应用安全功能设计...........................................................................................46.4.2应用交互安全设计...........................................................................................96.5数据安全设计...............................................................................................................96.5.1机密性要求.......................................................................................................96.5.2完整性要求.....................................................................................................106.5.3可用性要求.....................................................................................................101编写目的本标准依据国家信息系统技术标准的要求编写。用于指导信息系统设计人员进行安全设计，进而开发符合公司信息安全要求的高质量信息系统2适用范围本标准规定了公司开发的信息系统在设计阶段应遵循的主要安全原则和技术要求。本标准适用于本公司开发的宁夏商务云系统安全开发过程。3规范性引用文件下列文件中的条款通过本部分的引用而成为本部分的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本部分，凡是不注日期的引用文件，其新版本适用于本部分。4术语和定义中间件middleware是指位于硬件、操作系统平台和应用程序之间的通用服务系统具有标准的程序接口和协议可实现不同硬件和操作系统平台上的数据共享和应用互操作。回退Rollback由于某种原因而撤销上一次/一系列操作，并返回到该操作以前的已知状态的过程。符号、代号和缩略语下列缩略语适用于本部分。HTTPHyperTextTransferProtocol超文本传输协议SSLSecureSocketsLayer安全套接层协议HTTPSHypertextTransferProtocoloverSecureSocketLayer使用SSL的超文本传输协议IPInternetProtocol网络之间连接的协议VPNVirtualPrivateNetwork虚拟专用网络SQLStructuredQueryLanguage结构化查询语言XMLExtensibleMarkupLanguage可扩展标记语言SFTPSecureFileTransferProtocol安全文件传送协议MIBManagementInformationBase管理信息库5概述一个信息系统通常可以划分为终端用户、网络、主机、应用程序、数据这五个层次。终端用户是请求系统的访问主体，包括终端设备或访问用户等；网络层为信息系统提供基础网络访问能力，包含边界、网络设备等元素；主机系统层为应用软件、数据的承载系统；应用程序层提供信息系统的业务逻辑控制，为用户提供各种服务，包含应用功能模块、接口等元素；数据层是整个信息系统的核心，提供业务数据和日志记录的存储。信息系统在安全防护设计过程中应从这五个层面进行针对性的设计。6安全设计要求6.1用户（终端）安全设计a）终端安全防护是对信息内网和信息外网的桌面办公计算机终端以及接入信息内、外网的各种业务终端进行安全防护；b）根据终端类型，将终端分为办公计算机终端、移动作业终端、信息采集类终端三类，应针对具体终端的类型、应用环境以及通信方式等制定适宜的终端防护措施；c）用户（终端）安全设计应符合《信息系统安全等级保护基本要求》中华人民共和国国家标准GB/T22239—2008的要求。6.2网络安全设计网络安全设计应符合GB/T22239—2008的要求。6.3主机安全设计主机安全设计应符合GB/T22239—2008的要求。6.4应用安全设计6.4.1应用安全功能设计6.4.1.1身份鉴别在身份认证方面，要求如下：a）应采用合适的身份认证方式，等级保护三级及以上系统应至少采用两种认证方式，认证方式如下：用户名、口令认证。一次性口令、动态口令认证。证书认证。b）应设计密码的存储和传输安全策略：禁止明文传输用户登录信息及身份凭证。禁止在数据库或文件系统中明文存储用户密码。COOKIE中保存用户密码。应采用单向散列值在数据库中存储用户密码，并使用强密码，在生成单向散列值过程中加入随机值。c）应设计密码使用安全策略，包括密码长度、复杂度、更换周期等。d）宜设计图形验证码，增强身份认证安全。图形验证码要求长度至少4位，随机生成且包含字母与数字的组合。e）应设计统一错误提示，避免认证错误提示泄露信息。f）应设计帐号锁定功能限制连续失败登录。g）应通过加密和安全的通信通道来保护验证凭证，并限制验证凭证的有效期。h）应禁止同一帐号同时多个在线。6.4.1.2授权在授权方面，要求如下：a）应设计资源访问控制方案，验证用户访问权限：根据系统访问控制策略对受限资源实施访问控制，限制用户不能访问到未授权的功能和数据；未经授权的用户试图访问受限资源时，系统应提示用户登录或拒绝访问。b）应限制用户对系统级资源的访问，系统级资源包括：文件、文件夹、注册表项、ActiveDirectory对象、数据库对象、事件日志等。c）应设计后台管理控制方案：后台管理应采用黑名单或白名单方式对访问的来源IP地址进行限制。d）应设计在服务器端实现访问控制，禁止仅在客户端实现访问控制。e）应设计统一的访问控制机制。f）应进行防功能滥用设计，避免大量并发HTTP请求。g）应限制启动进程的权限，不得使用包括“Administrator”,“root”,“sa”,“sysman”,“Supervisor”或其它特权用户运行应用程序或连接到网站服务器、数据库、或中间件。h）授权粒度尽可能小，可根据应用程序的角色和功能分类。6.4.1.3输入和输出验证在输入和输出方面，要求如下：a）应对所有来源不在可信范围之内的输入数据进行验证，包括：1）HTTP请求消息的全部字段，包括GET数据、POST数据、COOKIE和Header数据等。2）不可信来源的文件、第三方接口数据、数据库数据等。b）应设计多种输入验证的方法，包括：1)应检查数据是否符合期望的类型。2)应检查数据是否符合期望的长度。3)应检查数值数据是否符合期望的数值范围。4)应检查数据是否包含特殊字符，如：、、、'、%、（、）、&、+、\、\'、\等。5)应使用正则表达式进行白名单检查。c）服务器端和客户端都应进行输入验证。1)应建立统一的输入验证接口，为整个信息系统提供一致的验证方法。2)应将输入验证策略作为应用程序设计的核心元素。d）应对输入内容进行规范化处理后再进行验证，如文件路径、URL地址等，需要规范化为标准的格式后再进行验证。e）应当从服务器端提取关键参数，禁止从客户端输入。f）根据输出目标的不同，应对输出数据进行相应的格式化处理：向客户端写回数据时，对用户输入的数据进行HTML编码和URL编码检查，过滤特殊字符（包括HTML关键字以及&,\r\n,两个\n等字符）。g）SQL注入防范：进行数据库操作的时候，对用户提交的数据应过滤’;—等特殊字符。h）XML注入防范：当使用XML文件格式存储数据时，若使用Xpath和XSLT功能，必须过滤用户提交数据中的/'=等字符。i）应禁止将与业务无关的信息返回给用户。6.4.1.4配置管理在配置管理方面，要求如下：a）确保配置存储的安全：1)Web目录使用配置文件，以防止可能出现的服务器配置漏洞导致配置文件被下载；2)应避免以纯文本形式存储重要配置，如数据库连接字符串或帐户凭据；3)应通过加密确保配置的安全，并限制对包含加密数据的注册表项、文件或表的访问权限；4)应确保对配置文件的修改、删除和访问等权限的变更，都验证授权并且详细记录；5)应避免授权帐户具备更改自身配置信息的权限。b）应使