1、PAGE7文檔類別安全設計文檔文檔編號版 本 號分冊類別安全設計文檔分冊名稱第1冊共1冊安全設計說明書北京炎黃新星網絡科技有限公司二零一四年 月本報告修改記錄：日 期內 容 摘 要編 制/修 改審 核2015-00-00編寫人目錄 TOC o 1-3 h z HYPERLINK l _Toc24431 目錄 PAGEREF _Toc24431 3 HYPERLINK l _Toc11096 1 文檔概述 PAGEREF _Toc11096 4 HYPERLINK l _Toc27079 本文檔的目的 PAGEREF _Toc27079 4 HYPERLINK l _Toc19306 參考文檔和

2、文獻 PAGEREF _Toc19306 4 HYPERLINK l _Toc1371 假設和約束 PAGEREF _Toc1371 4 HYPERLINK l _Toc23017 本文檔概述 PAGEREF _Toc23017 4 HYPERLINK l _Toc14416 名詞解釋 PAGEREF _Toc14416 4 HYPERLINK l _Toc8020 術語 PAGEREF _Toc8020 4 HYPERLINK l _Toc24657 簡寫 PAGEREF _Toc24657 4 HYPERLINK l _Toc1324 2 產品安全 PAGEREF _Toc1324 4 H

3、YPERLINK l _Toc16724 身份與訪問控制 PAGEREF _Toc16724 4 HYPERLINK l _Toc9766 會話管理 PAGEREF _Toc9766 5 HYPERLINK l _Toc8067 密碼算法 PAGEREF _Toc8067 5 HYPERLINK l _Toc8415 日志安全 PAGEREF _Toc8415 5 HYPERLINK l _Toc26019 系統通信安全 PAGEREF _Toc26019 5 HYPERLINK l _Toc18751 系統密碼安全 PAGEREF _Toc18751 5 HYPERLINK l _Toc90

4、62 對文件上傳/下載的限制 PAGEREF _Toc9062 6 HYPERLINK l _Toc30192 系統資源釋放 PAGEREF _Toc30192 6 HYPERLINK l _Toc19334 3 代碼質量安全 PAGEREF _Toc19334 6 HYPERLINK l _Toc21139 防范跨站腳本攻擊 PAGEREF _Toc21139 6 HYPERLINK l _Toc6058 防范跨站請求偽造防范SQL注入攻擊 PAGEREF _Toc6058 6 HYPERLINK l _Toc9372 不安全的直接對象引用 PAGEREF _Toc9372 6 HYPERL

5、INK l _Toc26708 不安全的通信 PAGEREF _Toc26708 6 HYPERLINK l _Toc8180 對其他各類用戶輸入的過濾 PAGEREF _Toc8180 6 HYPERLINK l _Toc26991 4 已發生的安全事故案例的相關安全考慮點 PAGEREF _Toc26991 6 HYPERLINK l _Toc4568 5 運行環境安全 PAGEREF _Toc4568 7 HYPERLINK l _Toc18496 硬件軟件功能的分配原則 PAGEREF _Toc18496 7 HYPERLINK l _Toc7057 容災設計 PAGEREF _Toc

6、7057 7 HYPERLINK l _Toc28086 6 數據安全 PAGEREF _Toc28086 7 HYPERLINK l _Toc17392 傳輸安全 PAGEREF _Toc17392 7 HYPERLINK l _Toc2165 容錯設計 PAGEREF _Toc2165 7 HYPERLINK l _Toc7612 容災設計 PAGEREF _Toc7612 7備注：本文檔模版中藍色的文字部分為需要輸入的部分文檔概述項目說明及文檔目的闡明該需求規格說明書的目的。并概要說明項目的大致情況、功能、作用等參考文檔和文獻本小節應完整列出此說明書中所引用的任何文檔。每個文檔應標有標題

7、、報告號（如果適用）、日期和出版單位。列出可從中獲取這些參考資料的來源。這些信息可以通過引用附錄或其他文檔來提供。假設和約束本小節應說明該說明書的前提條件和約束條件。本文檔概述本小節應說明該說明書中其他部分所包含的內容，并解釋此文檔的組織方式。名詞解釋術語本小節應定義該說明書中用到的術語。簡寫本小節應定義該說明書中用到的簡寫。產品設計安全本小節從產品功能出發考慮安全設計包括： 。身份與訪問控制1，應用系統認證要求 注：此部分涉及系統身份驗證，此部分也是涉及安全問題較多的部分。例如：應寫明身份驗證過程是否是與服務器交互完成（禁止完全由js腳本進行驗證）。2，認證加密要求注：這里應寫明身份認證過程

8、是否按系統安全要求，對關鍵內容進行加密處理；使用的加密算法是否足夠安全等；3，帳戶密碼修改功能注：應寫明對帳戶密碼修改或重要內容修改時的通知功能，以及二次驗證機制；4，登錄控制安全注：這里應寫明諸如用戶登錄頻率、失敗次數閥值、登錄次數限制、登錄失敗的后續處理等情況；登錄過程應考慮，終端到服務器端傳遞過程被非法修改的可能性。寫明對于重要字段是否需要在服務器端進行二次驗證（具體可參考 安全事故案例文檔 青海B2B 系統重置任意賬戶密碼（功能設計問題，提交數據未驗證）的內容）。5，登錄驗證碼注：此處應寫明，在登錄時如果涉及驗證碼，則驗證碼的細節設定，如，干擾、扭曲、變形、粘連等效果（細節參考安全設計

9、規范或驗證碼設計文檔）6，登錄認證失敗提示注：寫明當驗證失敗時，系統如何提示（應模糊提示）；7，用戶關鍵信息安全注：這里寫明對于用戶的關鍵信息（密碼、ID等）是否安全加密后保存；8，系統及應用的配置文件安全注：這里應說明，重要的系統、中間件、數據庫等配置文件應妥善保存，不應暴露于公網目錄；9，其他登錄安全考慮注：此處的其他安全方面，諸如：保存登錄/自動登錄功能、帳戶權限-橫向、縱向訪問控制等安全點，并非所有系統都有相應安全要求，如涉及則根據情況靈活編寫。會話管理1，會話產生及會話標識注：寫明會話標識的產生、更新（登錄前后是否更新）、及長度等； 2，會話超時及結束注：寫明會話超時時間及會話結束的

10、處理情況；密碼算法1，使用安全的密碼算法注：寫明在涉及加密時使用那種安全的加密算法，以及密鑰的管理；日志安全 1，具體日志內容應包含注：應注明，日志記錄那些關鍵內容，關鍵內容是否需要加密等；2，日志的保存注：主要描述日志的安全保存，例如，不保存于公網可訪問地址、個人敏感信息是否保存等；系統通信安全注：主要描述是否涉及系統通信方面的安全，例如，重要通信是否需要SSL;系統密碼安全注：這里主要描述諸如，系統帳號、中間件、數據庫等帳號，應遵循相應的密碼安全規范。例如，帳號密碼的長度、字符范圍、有效期、存儲（是否需要加密存儲）等；具體參見安全設計規范內容；對文件上傳/下載的限制注：如果系統涉及文件的上

11、傳，則應描述清楚，如何對上傳文件進行檢驗。例如，如何規定文件大小、后綴名、格式、用戶端是否做校驗、服務器端是否做校驗、文件保存位置等安全點；另外，可參考 公司的安全事故案例-多個B2B系統的圖片上傳驗證漏洞；系統資源釋放注：這里主要是java開發規范的相關內容，寫明例如打開的文件，數據庫連接等，使用完成后是否釋放資源；代碼質量安全本小節從代碼質量方面出發考慮安全設計包括： 。防范跨站腳本攻擊注：跨站與SQL注入都是web系統最常見的攻擊方式，這里請描述如何進行的預防（例如公司的安全包）。另外，需具體說明對哪些關鍵輸入或字段進行了過濾。防范跨站請求偽造防范SQL注入攻擊注：同上；不安全的直接對象

12、引用注：主要檢查用戶重要參數是否暴露（具體可參見 安全設計開發規范 不安全的直接對象引用）；對其他各類用戶輸入的過濾注：部分內容同跨站及注入的過濾；但對于相關參數長度應說明，以避免過長的參數輸入引起參數溢出漏洞；引用開源程序的注意事項 注：此部分主要檢查，項目中是否涉及第三方的開源程序引用，如果有，則需檢查是否包含惡意代碼、冗余功能代碼、廣告類代碼及不必要的頁面文件以及是否嵌套其他安全考慮點。已發生的安全事故案例的相關安全考慮點注：因各類系統涉及功能廣泛，公司的規范文檔可能考慮不周,對于已經發生的安全事故，其中也有相應的安全設計考慮點，在設計新系統時應進行相應的考慮。1，終端-服務器交互過程防

13、篡改（注：提交的重要數據需要進行二次驗證）注，在涉及到服務器端與用戶進行數據交互時，是否考慮了數據的防篡改。可能涉及的場景如：商城系統的訂單提交、電子商務中物品采購、營業廳系統的業務辦理、系統的身份驗證過程等。參考炎黃安全事故案例-福建移動WAP營業廳受理0元套餐事件；浙江移動-旗艦店 靚號被低價購買 青海B2B 系統重置任意賬戶密碼 三個案例。考慮新系統是否涉及，如涉及如何預防；2，重要配置文件避免明文保存問題注，參考炎黃安全事故案例-聯通手機廳客戶端程序明文保存帳號密碼。考慮新系統是否涉及，如涉及如何預防；3，重要數據未加密傳輸問題注，參考炎黃安全事故案例-廣西SSO登錄密碼明文傳輸問題。考慮新系統是否涉及，如涉及如何預防；4，登錄過程次數保存不當導致可暴力登錄嘗試注，參考炎黃安全事故案例-寧夏SSO圖形驗證碼可以繞過。考慮新系統是否涉及，如涉及如何預防；5，不安全的身份驗證，導致驗證被繞過注，