安全设计说明书

文档类别平安设计文档文档编号版本号1.0分册类别平安设计文档分册名称第1册共1册平安设计说明书北京炎黄新星网络科技二零一四年月本报告修改记录：日期内容摘要编制/修改审核2023-00-00编写人目录TOC\o"1-3"\h\z24431目录3110961文档概述4270791.1本文档的目的4193061.2参考文档和文献413711.3假设和约束4230171.4本文档概述4144161.5名词解释480201.5.1术语4246571.5.2简写413242产品平安4167242.1身份与访问控制497662.2会话治理580672.3密码算法584152.4日志平安5260192.5系统通信平安5187512.6系统密码平安590622.7对文件上传/下载的限制6301922.8系统资源释放6193343代码质量平安6211393.1防范跨站脚本攻击660583.2防范跨站请求伪造防范SQL注入攻击693723.3不平安的直接对象引用6267083.4不平安的通信681803.5对其他各类用户输入的过滤6269914已发生的平安事故案例的相关平安考虑点645685运行环境平安7184965.1硬件软件功能的分配原那么770575.2容灾设计7280866数据平安7173926.1传输平安721656.2容错设计776126.3容灾设计7备注：本文档模版中蓝色的文字局部为需要输入的局部文档概述工程说明及文档目的[说明该需求规格说明书的目的。并概要说明工程的大致情况、功能、作用等]参考文档和文献[本小节应完整列出此说明书中所引用的任何文档。每个文档应标有标题、报告号〔如果适用〕、日期和出版单位。列出可从中获取这些参考资料的来源。这些信息可以通过引用附录或其他文档来提供。]假设和约束[本小节应说明该说明书的前提条件和约束条件。]本文档概述[本小节应说明该说明书中其他局部所包含的内容，并解释此文档的组织方式。]名词解释术语[本小节应定义该说明书中用到的术语。]简写[本小节应定义该说明书中用到的简写。]产品设计平安[本小节从产品功能出发考虑平安设计包括：。]身份与访问控制1，应用系统认证要求[注：此局部涉及系统身份验证，此局部也是涉及平安问题较多的局部。例如：应写明身份验证过程是否是与效劳器交互完成〔禁止完全由js脚本进行验证〕。]2，认证加密要求[注：这里应写明身份认证过程是否按系统平安要求，对关键内容进行加密处理；使用的加密算法是否足够平安等；]3，帐户密码修改功能[注：应写明对帐户密码修改或重要内容修改时的通知功能，以及二次验证机制；]4，登录控制平安[注：这里应写明诸如用户登录频率、失败次数阀值、登录次数限制、登录失败的后续处理等情况；登录过程应考虑，终端到效劳器端传递过程被非法修改的可能性。写明对于重要字段是否需要在效劳器端进行二次验证〔具体可参考平安事故案例文档青海B2B系统重置任意账户密码〔功能设计问题，提交数据未验证〕的内容〕。]5，登录验证码[注：此处应写明，在登录时如果涉及验证码，那么验证码的细节设定，如，干扰、扭曲、变形、粘连等效果〔细节参考平安设计标准或验证码设计文档〕]6，登录认证失败提示[注：写明当验证失败时，系统如何提示〔应模糊提示〕；]7，用户关键信息平安[注：这里写明对于用户的关键信息〔密码、ID等〕是否平安加密后保存；]8，系统及应用的配置文件平安[注：这里应说明，重要的系统、中间件、数据库等配置文件应妥善保存，不应暴露于公网目录；]9，其他登录平安考虑[注：此处的其他平安方面，诸如：保存登录/自动登录功能、帐户权限-横向、纵向访问控制等平安点，并非所有系统都有相应平安要求，如涉及那么根据情况灵活编写。]会话治理1，会话产生及会话标识[注：写明会话标识的产生、更新〔登录前后是否更新〕、及长度等；]2，会话超时及结束[注：写明会话超时时间及会话结束的处理情况；]密码算法1，使用平安的密码算法[注：写明在涉及加密时使用那种平安的加密算法，以及密钥的治理；]日志平安1，具体日志内容应包含[注：应注明，日志记录那些关键内容，关键内容是否需要加密等；]2，日志的保存[注：主要描述日志的平安保存，例如，不保存于公网可访问地址、个人敏锐信息是否保存等；]系统通信平安[注：主要描述是否涉及系统通信方面的平安，例如，重要通信是否需要SSL;]系统密码平安[注：这里主要描述诸如，系统帐号、中间件、数据库等帐号，应遵循相应的密码平安标准。例如，帐号密码的长度、字符范围、有效期、存储〔是否需要加密存储〕等；具体参见平安设计标准内容；]对文件上传/下载的限制[注：如果系统涉及文件的上传，那么应描述清楚，如何对上传文件进行检验。例如，如何规定文件大小、后缀名、格式、用户端是否做校验、效劳器端是否做校验、文件保存位置等平安点；另外，可参考公司的平安事故案例-〉多个B2B系统的图片上传验证漏洞；]系统资源释放[注：这里主要是java开发标准的相关内容，写明例如翻开的文件，数据库连接等，使用完成后是否释放资源；]代码质量平安[本小节从代码质量方面出发考虑平安设计包括：。]防范跨站脚本攻击[注：跨站与SQL注入都是web系统最常见的攻击方式，这里请描述如何进行的预防〔例如公司的平安包〕。另外，需具体说明对哪些关键输入或字段进行了过滤。]防范跨站请求伪造防范SQL注入攻击[注：同上；]不平安的直接对象引用[注：主要检查用户重要参数是否暴露〔具体可参见平安设计开发标准2.4不平安的直接对象引用〕；]对其他各类用户输入的过滤[注：局部内容同跨站及注入的过滤；但对于相关参数长度应说明，以防止过长的参数输入引起参数溢出漏洞；]引用开源程序的考前须知[注：此局部主要检查，工程中是否涉及第三方的开源程序引用，如果有，那么需检查是否包含恶意代码、冗余功能代码、广告类代码及不必要的页面文件以及是否嵌套其他平安考虑点。]已发生的平安事故案例的相关平安考虑点[注：因各类系统涉及功能广泛，公司的标准文档可能考虑不周,对于已经发生的平安事故，其中也有相应的平安设计考虑点，在设计新系统时应进行相应的考虑。]1，终端-效劳器交互过程防篡改〔注：提交的重要数据需要进行二次验证〕[注，在涉及到效劳器端与用户进行数据交互时，是否考虑了数据的防篡改。可能涉及的场景如：商城系统的订单提交、电子商务中物品摘购、营业厅系统的业务办理、系统的身份验证过程等。参考《炎黄平安事故案例》-〉福建移动WAP营业厅受理0元套餐事件；浙江移动-旗舰店靓号被低价购置青海B2B系统重置任意账户密码三个案例。考虑新系统是否涉及，如涉及如何预防；]2，重要配置文件防止明文保存问题[注，参考《炎黄平安事故案例》-〉联通厅客户端程序明文保存帐号密码。考虑新系统是否涉及，如涉及如何预防；]3，重要数据未加密传输问题[注，参考《炎黄平安事故案例》-〉广西SSO登录密码明文传输问题。考虑新系统是否涉及，如涉及如何预防；]4，登录过程次数保存不当导致可暴力登录尝试[注，参考《炎黄平安事故案例》-〉宁夏SSO图形验证码可以绕过。考虑新系统是否涉及，如涉及如何预防；]5，不平安的身份验证，导致验证被绕过[注，参