安全风险评估

安全风险评估1方案安全性评估1.1架构安全性填写说明：（用回替换）IT产品名称XXX系统（多个产品请自行增加列平台架构□Web□Notes□软件包DC/S□其它：Web系统在逻辑上应采用三层架构（表现层、业务逻辑层、数据层），表现层不允许直接访问数据库，只能通过中间层访问数据库；非Web系统在逻辑上同样应采用三层架构（客户端、服务端、数据库），客户端不允许直接访问数据库；特殊性说明：NotesB/S应用、无数据库应用、存量应用除外[Must]□符合□不符合□不涉及或平台保证□例外：开放内外网访问的IT应用系统必须做到“内外信息分离”，外网用户与内网用户必须通过不同的Web服务器登录系统，供Internet访问的Web服务器放入DMZ区，供内网访问的Web服务器放入公司内网，禁止内外网共用一台Web服务器[Must]□符合□不符合□不涉及或平台保证数据库服务器不能进入DMZ区【Must]□符合□不符合□不涉及或平台保证应用系统中如果涉及机密信息对外网开放，需要和内网访问部分使用不同的数据库实例；【Should]□符合□不符合□不涉及除对Extranet开放的应用外，系统配置管理界面要确保只能通过内网访问；【Should]□符合□不符合□不涉及或平台保证对系统架构安全性的补充说明1.2安全检查要素填写说明：（用回替换）检查要素检查项结果身份认证内网普通应用及机密应用认证最低应采用“用户名+静态口令”方式；从外网访问的Web应用，认证方式最低为“用户名+静态口令+随机码”或“用户名+静态口令+登录锁定/自动解锁机制”；[Must]□符合□不符合□不涉及

对绝密系统中绝密部分的访问应采用双因子认证或生物认证，并限定可以登录的机器和IP,如果无法满足，应使用跳转方式经过双层认证登录（第一层通过SGD、ITOC、VPN、远程桌面等认证，第二层通过应用本身认证）；[Should]□符合□不符合□不涉及如果数据库集成Windows域帐号对应用进行认证，授权须控制到Schema级别，该集成账户不允许具有整个实例的权限，且该账户不能用于启停数据库服务；[Must]□符合□不符合□不涉及对内网开放的应用默认不对公司外人员开放，对公司外人员开放访问权限须经业务部门审批；[Should]□符合□不符合□不涉及IT应用如果自带认证模块，则口令的设置在系统实现上必须支持执行以下规则的密码配置：1） 密码长度可配置，至少8位；2） 混合字母、非字母（数字、标点符号、特殊字符），混合至少两种非字母字符；3） 不含用户ID；4） 密码有效期不超过180天，否则密码必须失效5） 不允许使用最近5次用过的密码；6） 密码初始化强制要求用户修改，否则密码强制失效[Must]□符合□不符合□不涉及用户口令在传输过程中必须加密；对Web类应用，如果不能通过配置服务器证书并启用HTTPS实现，则必须在设计方案中实现；[Must]□符合□不符合□不涉及用户口令必须单向加密存储，应用系统和数据库口令必须加密存储；[Must]□符合□不符合□不涉及非匿名访问的所有系统应提供登陆锁定机制，参数可配置或满足部署规范要求（登录尝试次数＜=15，锁定时间＞=5分钟，自动解锁）；[Should]□符合□不符合□不涉及非匿名访问的系统须提供超时自动退出的功能，参数可配置或满足部署规范要求（超时时间＜=30分钟）；[Must]□符合□不符合□不涉及机密级及以上系统应在用户界面显示用户上次成功登录时间。[Should]□符合□不符合□不涉及访问控制绝密系统不允许进入外网；[Must]□符合□不符合□不涉及信息根据其密级（外部公开/内部公开/秘密/机密/绝密）在网络层（内网/外网/VPN）的开放范围是否符合应用开发与部署安全技术规范要求；[Must]□符合□不符合□不涉及□待评审/审批信息根据其业务领域（研发/非研发/通用）在网络层（研发区□符合□不符合□不涉及

/非研发区/VPN）开放的范围是否符合应用开发与部署安全技术规范要求；[Must]□待评审/审批Web类应用不允许跨边界防火墙（即跨不同的网络区域，如：DMZ、内部服务器区、用户区）开启文件共享；[Must]□符合□不符合□不涉及通用类IT应用、对Internet开放的应用以及对Extranet开放的应用在设计时要避免产生存在信息传递的隐通道，限制草稿、附件等功能的启用，如果必须实现存在隐通道的功能模块，必须对用户、行为以及内容进行详细记录供日后审计；通用类IT应用，要求对上传/下载附件是可控或可审计的；对Internet开放的应用以及对Extranet开放的应用，要求对录入的文本内容、上传/下载附件都是可控或可审计的；防止隐通道的方案设计，须遵循《隐通道安全管理规定》；[Must]□不存在隐通道□存在无日志隐通道：□存在有日志隐通道：□不涉及或平台保证IT应用须对所有用户或客户端提交的对象进行验证，包括但不限于用户名框、口令框、URL地址栏、下拉框、文本输入框等，以防止注入类及跨站类攻击，包括但不限于SQL注入、XPath注入、LDAP注入、命令/代码注入、CRLF注入、跨站脚本攻击、恶意文件执行（本地/远程文件包含）等；无论对象是采用Get方式还是采用Post方式提交，必须对用户的输入进行合法性验证，无论客户端是否验证，服务器端均需要进行验证，验证方式应包含但不限于：数据类型、数据范围、字符长度等属性的检测，以及非法字符（单引号/分号/父路径/HTML标签等）检测；[Must]□符合□不符合□不涉及所有用户可输入并提交的参数，包括但不限于SQL查询语句、XPath查询语句、LDAP查询语句中的参数，应尽量使用变量绑定（Bind）的方式以确保参数经过类型检查和验证，语句应尽量避免使用字符串拼接，如果必须通过拼接才能实现业务功能，则语句在执行之前应经过合法性验证以防止引入非法的命令；[Should]□符合□不符合□不涉及需要输出到客户端浏览器显示的应用数据，包括但不限于用户提交的对象、未验证的表数据、文件内容，应先进行特殊字符转义（即HTML编码，例如将＜＞转义为&It;>），以防止跨站脚本攻击；[Should]□符合□不符合□不涉及IT应用应对重要的操作请求（包括但不限于转账、网上支付等），应对用户进行再次身份认证以确认用户身份（如输入口令/验证指纹，首选），或者对该请求的Referer（位于该请求的□符合□不符合□不涉及

Header中）进行验证（备选，不推荐），确保该请求为用户本人从本站范围内的页面发起，以防止跨站请求伪造攻击（Cross-SiteRequestForgery）；[Should]Web应用如果跟踪到非法请求，包括但不限于包括使用非法参数、访问未授权资源、缺少必要参数等，则应记录日志、清除会话并返回到认证界面；[Should]□符合□不符合□不涉及IT应用须具备防止跨目录访问的能力，应用系统如果需要进行文件操作，必须在应用逻辑层明确限定其作用的目录范围（绝对路径）；文件路径和文件名不允许作为URL中的参数提交；如果需通过URL进行文件操作，必须为被操作的文件分配ID号，且ID号生成算法须具备防猜解能力；[Must]□符合□不符合□不涉及按照业务规则，需要对用户群进行角色划分时，必须进行基于角色的授权和访问控制，用户应无法访问业务规则不允许其访问的内容；[Must]□符合□不符合□不涉及WebService所提供的函数接口，须进行授权和访问控制并优先考虑仅由应用系统调用，如果由客户端直接调用则必须证实调用者身份，WebServiceClient或用户须无法访问业务规则不允许其访问的函数；[Must]□符合□不符合□不涉及应用如果对外网开放，则须对客户端可以访问的每个服务器端的对象进行基于角色的授权和访问控制，防止非法操纵服务器端对象，并对用户提交的数据进行合法性验证。[Must]□符合□不符合□不涉及应建立授权机制对用户/角色的权限进行约束，使用数据库授权表、XML文件或其它存储方式保存[用户/角色，资源/业务功能/数据表，访问权限]的映射关系，用户通过权限验证后才能访问具体的资源、业务功能或数据表；[Should]□符合□不符合□不涉及授权和业务操作需要分离，不应在执行业务操作的过程中进行授权。[Should]□符合□不符合□不涉及对外网开放的网站如果包含不宜被搜索引擎收录的特定目录，包括但不限于：脚本、样式表、附件、模板、需要认证通过才能浏览的动态页面、已生成静态副本的动态页面目录等，应在网站根目录建立robots.txt文件，屏蔽搜索引擎对这些目录的访问；但后台管理路径或其它需要保密的目录等敏感信息不宜放入；[Should]□符合□不符合□不涉及系统需要存放业务部门绝密级信息，须经过该业务体系管理团队批准；[Must]□符合□不符合□不涉及□待审批

数据库管理员特权帐号（Sa/root/sys/system/db2admin等）只能用于数据库管理与维护，不得用于应用系统访问；[Must]□符合□不符合□不涉及对于读取数据库的操作应遵循最小授权的原则，作为数据源时，应尽量以视图方式提供数据，隐藏业务规则不需要的数据。[Should]□符合□不符合□不涉及日志审计对外网用户开放查看下载的系统，对发布内容应提供审核机制,如果没有审核机制，则对于发布人员发布的信息（包括附件）须提供备份功能，备份周期可配置或满足部署规范要求；对于信息发布的操作应有详细的日志记录（包括且不限于发布、修改、审批、撤销、删除等动作）；[Should]□符合□不符合□不涉及对外网用户开放查看下载且没有审核机制的应用，对发布的信息（包括附件）必须备份保存一个月以上，以供审计；[Must]□符合□不符合□不涉及严格控制日志的删除，所有系统要求须至少保留三个月以上的操作日志。[Must]□符合□不符合□不涉及应用日志的记录项包括但不限于用户登录、修改、增删、批量数据下载等操作，每条日志应记录如下内容：时间、用户、操作、操作对象（范围）；[Should]□符合□不符合□不涉及严格控制日志的访问权限，日志内容不允许修改，只能追加；[Should]□符合□不符合□不涉及严格控制日志的删除，仅允许应用本身根据应用配置所设定的周期自动删除过期日志；[Should]□符合□不符合□不涉及绝密级系统要求记录用户的每一步操作，对绝密数据的阅读及下载等操作都应有日志审计记录。[Should]□符合□不符合□不涉及内容安全DMZ区可以存储内部公开信息，不得存储秘密级及以上信息；[Must]□符合□不符合□不涉及Extranet区应用可以存储内部公开、秘密级信息；存储机密级及以上信息，应得到业务部门及数据Owner部门所在的一级部门总裁同意。[Should]□符合□不符合□不涉及绝密信息须加密存储（在设计的时候考虑数据库字段加密机制,不能依赖于数据库自带的加密机制）；[Must]□符合□不符合□不涉及禁止应用在客户端磁盘明文保留用户的敏感信息。[Must]□符合□不符合□不涉及在外网上传输内部公开及以上密级的数据，须启用通道加密（推荐HTTPS）或数据加密；[Must]□符合□不符合□不涉及绝密信息传输，须启用通道加密（推荐HTTPS）或数据加密。[Must]□符合□不符合□不涉及

IT应用如果需要使用员工电话本、E-mail地址本等涉及范围较广的信息资产，应优先采用单次单条的查询方式；如果需要批量查询，应采取必要的技术控制措施（限定人员、用途、数量、使用方式等），确保不能泄密至公司外部；[Should]□符合□不符合□不涉及对已经过授权从其它数据源系统获取的数据，如果包含涉及范围较广的机密级或以上信息，包括但不限于薪酬数据、联系方式、销售数据、财务/税务数据等，应提供基于角色的授权与访问控制，严格控制对此类信息的访问。[Should]□符合□不符合□不涉及发送到客户端的源文件中，其注释信息不允许包含敏感信息，包括但不限于物理路径、数据库连接等；为了减少信息泄漏，动态网页应尽量仅使用不发送到客户端的隐藏注释；[Should]□符合□不符合□不涉及应用应限定可以上传的附件类型并进行检测，避免引入WebShell（即可以执行操作系统命令的Web界面）、网页木马等有害文件；[Should]□符合□不符合□不涉及在技术条件满足时，建议对用户提交的多媒体附件（包括但不限于图片、音频、视频等）进行转换以实现过滤的功能，转换技术可选用：格式转换、等比例缩放、添加水印等，防止有害文件（图片木马等）或捆绑文件的上传（如GIF文件与JAR文件捆绑导致JAR文件中的恶意Java脚本在用户浏览器上执行、图片/音频/视频等多媒体文件与RAR压缩文件捆绑导致文档外泄）。[May]□符合□不符合□不涉及应配置Web服务器，使之在应用发生各种异常时，不在用户界面显示系统内部信息（如内部目录结构、配置文件信息、出错行数、调试跟踪信息）。[Should]□符合□不符合□不涉及与第三方社交媒体（包括但不限于微信、WhatsApp。集成时，需确保满足网络安全要求：与问题单相关的一切信息都不能存储在第三方服务器上。□符合□不符合□不涉及系统接口接口帐号必须使用专用帐号，不得使用个人帐号；[Must]□符合□不符合□不涉及应用系统从其它数据源获取数据，应得到数据源系统Owner的授权；[Should]□符合□不符合□不涉及接口系统的访问口令须加密存储；[Must]□符合□不符合□不涉及接口系统的访问口令必须可配置，不允许直接指定并写入程序中。[Must]□符合□不符合□不涉及软件包引新引进软件包（之前在公司没有应用案例）如果与《应用开发□NS-TMG审核通过

进与部署安全技术规范》相冲突或存在中等及以上风险须经NS-TMG审核。□待NS-TMG审核□未发现风险或不符合项□不涉及网络安全在防火墙策略上，系统高危端口仅响应使用固定IP或通过VPN加密通道访问的客户端（如果服务端与客户端位于同一网络区域，中间没有防火墙，不受此限）。注：16类高危端口包括Teln