T-HMSJRXH 001-2023 哈密市法人银行业金融机构软件开发安全需求规范_第1页
T-HMSJRXH 001-2023 哈密市法人银行业金融机构软件开发安全需求规范_第2页
T-HMSJRXH 001-2023 哈密市法人银行业金融机构软件开发安全需求规范_第3页
T-HMSJRXH 001-2023 哈密市法人银行业金融机构软件开发安全需求规范_第4页
T-HMSJRXH 001-2023 哈密市法人银行业金融机构软件开发安全需求规范_第5页
已阅读5页,还剩20页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

ICS

35.080

67 T/HMSJRXH

001—2023哈密市法人银行业金融机构软件开发安全需求规范Hami

City

Legal

Person

Banking

Financial

Institutions

Software

Requirements

Specification2023-11-20发布 2023-11-20实施哈 密市 金 融 学会 发 布

19

本标准按照GB/T

II

开发人员在软件开发整个生命周期中,规范软件安全需求分析、安全设计、安全编码以及安全测试等工IV

本规范规定了软件开发人员在软件开发整个生命周期中,软件安全需求分析、安全设计、安全编码

GB/T

GB/T

GB/T

GB/T

GB/T

ISO/IEC

ISO/IEC

ISO/IEC

ISO/IEC

3.1

application

软件的最上层是应用程序和API,以下是中间件层,最低的基础设施层包括底层基础设施的逻辑表现和物理表现层。应用可能运行DMZ(demilitarized

3.2

application

001-20233.3

application

programming

[来源:JR/T

0185-2020,3.1]3.4

middleware3.5

infrastructure3.6

log3.7

3.8用户ID

User

ID

Password3.9

analysis3.10

policy3.11

requirements3.12

safety

testing3.13

confidential3.14

data

001-20233.15

data

Availability3.16

non-repudiation3.17

access

control3.18

access

control

3.19

access

management3.20

authentication3.21

authentication

3.22

3.23

strong

password3.24

scan

依据该规范,软件开发人员在软件开发整个生命周期中,规范软件安全需求分析、安全设计、安全编码

001-2023

6.1

员等);软件服务对象是指该软件最终服务的客户(如网上银行的客户、通过桌面设备、自助设备自行操

户的创建、注销、冻结/解冻、修改、查询等功能,同时还应该具备检测出长期不动用户,并自动将长

制修改。口令最长有效期限:30/60/90

天,可根据系统重要性和用户权限采取不同的有效期;口令使

根据业务需要,提供限制用户的登录时间和IP地址的机制,软件具有控制用户登录的能力(如IP

001-2023在连续登录失败次数超过5次的情况下,软件应提供警示和暂停用户登录的机制,避免非法用户恶

联网外联台应开发要对内部户使用的证信中用信息口令不同据包6.2

ATM

市法人银行业金融机构提供的对称算法主要包括:DES、3DES、AES、SM1和SM4等算法,并且支持ECB、CBC等多种模式;使用的非对称算法主要包括:RSA、SM2和SM3算法,支持模长为1024/2048的运算。提

6.3

001-2023

10

开发时应尽量使代码简单、最小化和易于修改。使用结构化的编程语言,避免使用递归和Go

to声

软件在传输重点保护数据时,应该对重点保护数据进行加密后再传输,也可使用SSL/TLS等安全、01

001-202 4 5

12

HTTP

SQL

URL

URL

6.4

13

001-20

14

IP

ID

ID

格式:YYYYMMDDHH:MM:SS

IP

ID

ID

格式:HH:MM:SS:HH:MM:SS表1

表1

15

001-2023

盘、移动硬盘等)拷贝的方法。

志记应采只读式归保存档案存年限按在哈市法银行金融构相要求SEC+“_”+应用系统简称+“_”归档日期(YYYYMMDD).evt。对于不是单个文件形式的日志,在对6.5

WEB

上线部署前必须清理

html

web

程序源代码中出现的与软件设计、Web

服务器环境、文件系统结16

(2)Web

(4)Cookie

6.6

(1)在安全需求中要求考虑开发环境变更对软件开发的影响。开发环境变更后视变更情况对已发

17

001-2023

18信息泄漏类攻击者在实施攻击前收集应用ASP.

NET、PHP

Java

a)b)1.

2.

4.信息泄漏类攻击者操纵输入参数使应用系对服务器任意文件目录进行访应对用户输入的合法性进行用户向应用系统提

攻击者通过猜测不在正常网站

以前曾经公开过但后来被隐藏a)b)用户向应用系统提命令执行类攻击者向应用程序提交可在服a)b)应限制应用软件访问数据用户向应用系统提

URL、a)b)c)用户向应用系统提

A.1攻击者通过向字符串格式化函致攻击者非法访问内存中任意应对用户输入数据的合法性用户向应用系统提命令执行类攻击者向应用系统提交经过构a)b)用户向应用系统提逻辑攻击类应防止业务关键功能被短时1.

2.

a)b)用户向应用系统提攻击者通过操纵客户端与服务访问/修改应用程序的数据或改常,攻击者会篡改存储在cookie

a)

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论