安全标准

安全方针

事前预防，事后追查。

总体原则

分级保护，适度安全。

防范外部，同时也规范内部人员。

三分技术，七分管理。

整体规划，分步实施。

系统建设管理

安全架构

安全特性

（1）安全存储。支持数据加密与完整性校验。

（2）安全传输。数据加密与完整性校验。

（3）安全隔离。如实例隔离、进程隔离。

（4）日志记录。记录组件功能调用与访问详细行为。

设计原则

（1）关键业务原则。针对关键业务采取安全控制措施。

（2）数据安全原则。保证敏感数据的机密性和完整性。

（3）边界安全原则。功能与数以的边界隔离。

（4）最小化原则。最少功能、最小权限。

（5）统一控制原则。与业务功能解耦合。

（6）访问控制原则。设计清晰的访问控制矩阵。

安全设计

身份认证

账号+密码+图形验证码方式。

（1）密码的存储和传输安全。

（2）密码策略设置要求。

（3）图形验证码要求。

（4）避免认证错误提示泄露信息。

（5）支持账号锁定功能。

访问控制

（1）资源访问控制。限制客户访问未授权的功能和数据。

（2）后管理控制。黑名单、白名单。

（3）在服务器端实现访问控制。客户端与服务端都要实现访问控制。

会话管理

（1）确保会话的安全创建。认证成功后，应为用户创建新的会话并释放原有会话，会话应与ip绑定。

（2）确保会话数据的存储安全。

（3）确保会话数据的传输安全。

（4）确保会话的安全终止。用户登出时及时注销服务器端的会话数据。

（5）设置合理的会话存活时间。

（6）避免跨站请求伪造。在涉及到关键业务操作的web页面，应为当前web页面生成一次性随机令牌，作为主会话凭证的补充。应用系统在执行关键业务前，应检查用户提交的一次性随机令牌，确保其与服务器端保存的一次性随机令牌匹配。

数据存储

（1）禁止存储用户敏感数据。

（2）禁止明文存储敏感信息。

（3）禁止在代码中存储密码。

（4）禁止在配置文件中明文中存储密码。

（5）存储安全隔离。对于不同安全级别的数据，就采用不同的隔离和安全保护措施。

（6）在服务器上存储的第三方支持平台证书应采用严格的访问控制。

数据传输

（1）通信信道加密。

（2）传输数据加密。

日志记录

（1）记录关键业务操作日志。

（2）记录应用系统运行日志。

（3）敏感数据模糊化。

（4）防止业务日志欺骗。如果生成日志时需要引入来自非受信源的数据，则应进行严格检验。

（5）业务日志安全存储和访问。

安全编码

输入验证

输出编码

身份验证和密码管理

会话管理

访问控制

加密规范

错误处理和日志记录

数据保护

通讯安全

系统配置

数据库安全

文件管理

内存管理

安全测试

白盒测试

（1）身份认证测试。

（2）授权管理测试。

（3）数据验证测试。

（4）可用性测试。

（5）配置管理测试。

（6）其他测试。

黑盒测试

（1）身份认证测试。

（2）授权管理测试。

（3）数据验证测试。

（4）可用性测试。

（5）配置管理测试。

（6）其他测试。

部署管理

漏洞管理

操作管理

环境管理

网络及安全设备

（1）检查网络是否顺畅与稳定，是否存在丢包现象。

（2）检查是否部署了安全设备，包括双层异构防火墙、抗ddos设备、入侵检测设备和网页防篡改系统。

主机设备

数据库系统

（1）应部署在独立、高可靠的服务器上。

（2）检查数据训系统中所有账号。

（3）检查数据库系统是否禁止调用操作系统命令的存储过程。

（4）检查数据字典是否设置访问权限要求。

（5）检查数据库监听进程是否设置了管理密码。

web服务器与应用服务器中间件

技术体系统建设

物理安全

机房管理

网络安全

主机系统安全

常规安全设计

认证鉴别

访问控制

软件容错

资源控制

接口安全

代码安全

数据备份与恢复