《安全技术规范》

2024/1/31Inspurgroup平安技术标准2024/1/31.目录一、序言二、技术平安保障1、客户端平安2、专用辅助设备平安3、网络通信平安4、效劳器端平安三、业务运作平安保障四、管理平安保障五、平安保障评估2024/1/31.目录一、序言二、技术平安保障1、客户端平安2、专用辅助设备平安3、网络通信平安4、效劳器端平安三、业务运作平安保障四、管理平安保障五、平安保障评估1.客户端平安2024/1/31.客户端程序1密码保护2登录控制3客户端程序2024/1/31.客户端程序平安窃听和截屏防篡改反汇编评测窃听和截屏客户端程序应防范键盘窃听敏感信息，例如防范采用挂钩windows键盘消息等方式进行键盘窃听，并应具有对通过挂钩窃听键盘信息进行预警的功能。防范措施：一般采用密码输入控件和软键盘客户端程序应采用反屏幕录像技术，防止非法程序获取敏感信息2024/1/31.防篡改客户端程序应防范恶意程序获取或篡取敏感信息，例如用户使用浏览器访问商务页面时，恶意木马程序通过IECOM接口读取输入框数据、表单等页面内容，获取如登录账号、密码等信息，并可提取篡改客户端的脚本代码防范措施：采用接口脚本平安保护控件对IE浏览器核心的COM对象访问及客户端脚本注入进行防范客户端程序的临时文件〔不限于cookies)中不应出现敏感信息.禁止在身份认证结束后存储敏感信息，防止信息泄露2024/1/31.反汇编客户端程序应具有抗逆向分析、抗反汇编等平安性保护措施，防范攻击者对客户端程序的调试、分析和篡改。防范措施：一般采用混淆加壳的方式来打乱程序的结构2024/1/31.评测客户端程序上线前应进行严格的代码平安测试，如果客户端程序时外包给第三方机构开发的，应要求开发商进行代码平安测试。应建立定期对客户端程序的平安检测机制客户端程序应通过指定的第三方中立测试机构的平安检测2024/1/31.1.客户端平安2024/1/31.客户端程序1密码保护2登录控制3密码策略禁止明文显示密码，应使用相同位数的同一特殊字符〔例如*和#〕代替密码应有复杂度要求密码长度至少6位、支持数字和字母共同组成客户设置密码时，应提示客户不用简单密码如有初始密码，首次登录时应强制客户修改初始密码2024/1/31.防暴力破解应具有防范暴力破解静态密码的保护措施，例如在登录和交易时使用图形认证码2024/1/31.密码保护使用软键盘方式输入密码时，应对整体键盘布局进行随机干扰应保证密码加密密钥的平安采用辅助平安设备〔如USBKey)输入并保护密码密码输入后立即加密，敏感信息在应用层保持端到端加密2024/1/31.1.客户端平安2024/1/31.客户端程序1密码保护2登录控制3登录控制设置连续失败登陆次数为10次以下，超过限定次数锁定登录权限退出登录或客户端程序、浏览器关闭后，应立即终止会话，保证无法通过后退、直接输入访问地址等方式重新进入登录后的页面退出登录时应提示客户取下专用辅助平安设备2024/1/31.2024/1/31.目录一、序言二、技术平安保障1、客户端平安2、专用辅助设备平安3、网络通信平安4、效劳器端平安三、业务运作平安保障四、管理平安保障五、平安保障评估2.专用辅助设备平安2024/1/31.USBKey动态密码卡其它USBKey应使用指定的第三方中立测试机构平安检测通过的USBKey应在平安环境下完成USBKey的个人化过程USBKey应采用具有密钥生成和数字签名运算能力的智能卡芯片，保证敏感操作在USBKey内进行USBKey的主文件应受到COS平安机制保护，保证客户无法对其进行删除和重建应保证私钥在生成、存储和使用等阶段的平安2024/1/31.USBKey参与密钥、PIN码运算的随机数应在USBKey内生成，其随机指标应符合国际通用标准的要求应保证PIN码和密钥的平安应设计平安机制保证USBKey驱动的平安在外部环境发生变化时，USBKey不应泄露敏感信息或影响平安功能USBKey能自动识别待签名数据的格式，识别后在屏幕上显示签名数据或语音提示2024/1/31.动态密码卡动态口令长度不少于6位效劳器随机产生口令位置坐标应设定动态密码卡使用有效期，超过有效期作废新卡使用涂层覆盖等方法保护口令动态密码卡与客户唯一绑定2024/1/31.其它指纹识别短信动态密码开通动态密码时，应使用人工参与控制的可靠手段验证客户身份并登记号码。更改时，应对客户的身份进行有效验证动态密码应随即产生，长度不应少于6位应设定动态密码的有效时间，最长不超过10分钟，超过有效期立即作废交易的关键信息应与动态密码一起发给客户，并提示客户确认2024/1/31.2024/1/31.目录一、序言二、技术平安保障1、客户端平安2、专用辅助设备平安3、网络通信平安4、效劳器端平安三、业务运作平安保障四、管理平安保障五、平安保障评估3.网络通信平安通讯协议平安认证方式2024/1/31.通讯协议使用强壮的加密算法和平安协议保护客户端和效劳器端的链接，例如SSL/TLS使用SSL协议，应使用3.0级以上高版本协议客户端到效劳器的SSL加密密钥长度不低于128位；签名的RSA密钥长度不低于1024位；签名的ECC密钥长度不低于160位防止报文的重复攻击，防范措施：参加时间戳2024/1/31.SSL/TLS使用示意2024/1/31.客户端浏览器平安管理加密模块SSL/TLS通道HTTPS(SSL)对称加密保证传输信息的私密性身份认证及访问控制管理效劳器HTTPS效劳器加密模块工作站平安认证方式效劳器和客户端应进行双向身份认证整个通讯期间，经过认证的通讯线路一直保持平安链接状态效劳器端系统判定客户端的空闲状态，当空闲超过一定时间后，可自动关闭连接，客户再次操作必须重新登录能判定同一次登录后的所有操作必须使用同一IP和MAC地址，否那么效劳器自动关闭可使用国家主管部门认定的具有电子认证效劳许可证的CA证书及认证效劳2024/1/31.客户端和效劳器通过SSL双向认证2024/1/31.2024/1/31.目录一、序言二、技术平安保障1、客户端平安2、专用辅助设备平安3、网络通信平安4、效劳器端平安三、业务运作平安保障四、管理平安保障五、平安保障评估4.效劳器端平安2024/1/31.网络架构安全1系统设计安全2Web应用安全3数据安全4网络架构平安2024/1/31.网络架构安全BECDA合理部署系统架构访问控制网络设备的管理规范和安全策略入侵防范安全设计和日志根本的网络防护架构示意图2024/1/31.增强的网络防护架构示意图2024/1/31.合理部署网络架构合理划分网络区域，交易网络与办公网及其他网络进行隔离维护与运行情况相符的网络拓扑图，并区分可信区域与不可信区域采用IP伪技术隐藏内部IP，防止内部网络非法被访问部署入侵检测系统/入侵防御系统，对网络异常流量进行监控在所有互联网入口及隔离区〔DMZ〕与内部网络间部署防火墙，对非业务必须的网络数据进行过滤采取措施保障关键效劳器时间同步核心层、会聚层的设备和重要的接入层设备均应双机热备，例如核心交换机、效劳器群接入交换机、核心路由器、防火墙等相关重要设备保证网络带宽和网络设备的业务处理能力具备冗余控件，满足业务顶峰期和业务开展需要2024/1/31.访问控制在网络结构上实现网间的访问控制，采取技术手段控制网络访问权限应对重要主机的IP地址与MAC地址进行绑定禁止将管理终端主机直接接入核心交换机、会聚层交换机、网间互联边界接入交换机和其他专用交换机明确业务必需的效劳和端口，不应开放多余效劳和端口禁止开发远程拨号访问2024/1/31.网络设备的管理标准和平安策略将关键或敏感的网络设备存放在平安区域，应使用相应的平安防护设备和准入控制手段以及有明确标志的平安隔离带进行保护应更改网络平安设备的初始密码和默认设置在业务终端与效劳器之间通过路由控制建立平安的访问途径指定专人负责防火墙、路由器和IDS/IPS的配置和管理，按季定期审核配置规那么所有设备的平安配置都必须经过审批在变更防火墙、路由器和IDS/IPS配置规那么前，确保更改已进行验证和审批2024/1/31.平安审计和日志应对网络设备的运行情况、网络流量、管理员行为等信息进行日志记录，日志至少保存3个月审计记录应包括但不限于:事件发生的时间、相关操作人员、事件类型、事件是否成功及其他与审计相关的信息应根据记录进行平安分析，并生成审计报表应对审计记录进行保护，防止被未授权删除、修改或覆盖2024/1/31.入侵检测应严格限制下载和使用免费软件或共享软件，应确保效劳器系统安装的软件来源可靠，且在使用前进行测试所有外设在使用前应进行病毒扫描制定合理的IDS/IPS的平安配置策略，并指定专人定期进行平安事件分析和平安配置策略优化应在网络边界出监视并记录以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝效劳攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目标和攻击时间，在发生严重入侵事件时应提供报警或自动采取防御措施2024/1/31.4.效劳器端平安2024/1/31.网络架构安全1系统设计安全2Web应用安全3数据安全4系统设计平安敏感客户参数修改应在一次登录过程中进行二次认证系统应具有保存和显示客户历史登录信息〔例如时间、IP地址、MAC地址等〕的功能，支持客户查询登录、交易等历史操作系统应根据业务必须原那么向客户提供数据，禁止提供不必要的数据在显示经认证成功后的客户身份证件信息时，应屏蔽局部关键内容系统应具有账户信息变动提供功能，可使用短信、电子邮件等方式实时告知客户其账户的密码修改等重要信息系统应具有防网络钓鱼的功能，例如显示客户预留信息等2024/1/31.4.效劳器端平安2024/1/31.网络架构安全1系统设计安全2Web应用安全3数据安全4WEB应用平安资源控制系统最大并发会话连接数进行限制单个用户的多重并发会话数进行限制一个时间段内可能的并发会话连接数进行限制通信双方的一方在指定时间内未作响应，另一方自动结束会话编码标准依据平安标准编码例如不允许在程序中写入固定密钥应用上线前，做好代码审查，识别后门程序、恶意代码及平安漏洞2024/1/31.WEB应用平安会话平安会话标识随机并唯一会话维持认证状态，防止直接输入登录后的地址访问登录后的页面交易后，防止使用浏览器的“后退〞功能查看上一交易页面的重要信息、防范措施：运用客户端脚本禁止显示浏览器工具条，或者自动显示错误页面应用程序设置允许客户登录后的空闲时间，当超过指定时间，自动终止会话2024/1/31.WEB应用平安源代码管理备份在只读介质，例如光盘严格控制对生产版根源的访问生产源代码加强版本控制，保证运行期版本的稳定防止敏感信息的泄露删除Web目录下的测试脚本和程序与Web应用无关的文件需要隔离存储，并进行严格的访问控制设置严格的目录访问权限，防止未授权访问统一目录访问的出错提示信息禁止目录浏览2024/1/31.WEB应用平安防止SQL注入攻击应用程序对客户提交的表单、参数进行有效合法性判定和非法字符过滤，防止攻击者恶意构造SQL语句实施注入攻击禁止仅在客户端以脚本形式对客户输入进行合法性判定和参数过滤数据库尽量使用存储过程或参数化查询，并严格定义用户的角色和权限防止拒绝效劳攻击2024/1/31.4.效劳器端平安2024/1/31.网络架构安全1系统设计安全2Web应用安全3数据安全4数据平安要保证客户的数据平安，需要做到数据隔离〔例如数据分区等〕，尤其是在SaaS的应用表达尤为明显，还要保证数据库访问的平安性，对敏感数据进行加密等2024/1/31.数据平安2024/1/31.ConceptBECDA身份鉴别访问控制安全和审计灾难备份和恢复日志管理身份鉴别登录系统或数据库的用户进行身份标识和鉴别，严禁匿名登录应用系统提供登录失败处理功能，如结束会话、限制非法登录次数和自动退出等措施为访问用户分配不同账号并设置不同初始密码，不建议共享账号和密码首次登录应用系统强制修改密码，并提供定期修改密码功能要能灵活定义密码强度及有效期对密码进行强制密码保护，不允许明文密码用户重置密码时，要先对用户身份进行核实然后进行后续操作通信时采用加密通信方式，以免认证信息被窃听2024/1/31.访问控制根据“业务所需〞原那么授权不同用户为完成各自承担任务所需的最小权限，并在它们