安全設(shè)計(jì)說(shuō)明書

文檔類別安全設(shè)計(jì)文檔文檔編號(hào)版本號(hào)1.0分冊(cè)類別安全設(shè)計(jì)文檔分冊(cè)名稱第1冊(cè)共1冊(cè)安全設(shè)計(jì)說(shuō)明書北京炎黃新星網(wǎng)絡(luò)科技有限公司二零一四年月

本報(bào)告修改記錄:日期內(nèi)容摘要編制/修改審核2015-00-00編寫人目錄5目錄55555555556777777778888目錄文檔概述1.1項(xiàng)目說(shuō)明及文檔目的1.2參考文檔和文獻(xiàn)1.3假設(shè)和約束1.4本文檔概述1.5名詞解釋1.5.1術(shù)語(yǔ)1.5.2簡(jiǎn)寫產(chǎn)品設(shè)計(jì)安全2.1身份與訪問(wèn)控制2.2會(huì)話管理2.3密碼算法2.4日志安全2.5系統(tǒng)通信安全2.6系統(tǒng)密碼安全2.7對(duì)文件上傳/下載的限制2.8系統(tǒng)資源釋放代碼質(zhì)量安全3.1防范跨站腳本攻擊3.2防范跨站請(qǐng)求偽造防范SQL注入攻擊3.3不安全的直接對(duì)象引用3.4對(duì)其他各類用戶輸入的過(guò)濾3.5引用開源程序的注意事項(xiàng)已發(fā)生的安全事故案例的相關(guān)安全考慮點(diǎn)TOC\o"1-5"\h\z\o"CurrentDocument"運(yùn)行環(huán)境安全 95.1硬件軟件功能的分配原則 95.2容災(zāi)設(shè)計(jì) 9\o"CurrentDocument"數(shù)據(jù)安全 96.1傳輸安全 96.2容錯(cuò)設(shè)計(jì) 96.3容災(zāi)設(shè)計(jì) 9備注：本文檔模版中藍(lán)色的文字部分為需要輸入的部分文檔概述1.1項(xiàng)目說(shuō)明及文檔目的［闡明該需求規(guī)格說(shuō)明書的目的。并概要說(shuō)明項(xiàng)目的大致情況、功能、作用等1.2參考文檔和文獻(xiàn)［本小節(jié)應(yīng)完整列出此說(shuō)明書中所引用的任何文檔。每個(gè)文檔應(yīng)標(biāo)有標(biāo)題、報(bào)告號(hào)（如果適用）、日期和出版單位。列出可從中獲取這些參考資料的來(lái)源。這些信息可以通過(guò)引用附錄或其他文檔來(lái)提供。］1.3假設(shè)和約束［本小節(jié)應(yīng)說(shuō)明該說(shuō)明書的前提條件和約束條件11.4本文檔概述［本小節(jié)應(yīng)說(shuō)明該說(shuō)明書中其他部分所包含的內(nèi)容，并解釋此文檔的組織方式。1.5名詞解釋1.5.1術(shù)語(yǔ)［本小節(jié)應(yīng)定義該說(shuō)明書中用到的術(shù)語(yǔ)］1.5.2簡(jiǎn)寫［本小節(jié)應(yīng)定義該說(shuō)明書中用到的簡(jiǎn)寫］產(chǎn)品設(shè)計(jì)安全［本小節(jié)從產(chǎn)品功能出發(fā)考慮安全設(shè)計(jì)包括:。］2.1身份與訪問(wèn)控制1，應(yīng)用系統(tǒng)認(rèn)證要求［注：此部分涉及系統(tǒng)身份驗(yàn)證，此部分也是涉及安全問(wèn)題較多的部分。例如：應(yīng)寫明身份驗(yàn)證過(guò)程是否是與服務(wù)器交互完成（禁止完全由腳本進(jìn)行驗(yàn)證）。］認(rèn)證加密要求［注：這里應(yīng)寫明身份認(rèn)證過(guò)程是否按系統(tǒng)安全要求，對(duì)關(guān)鍵內(nèi)容進(jìn)行加密處理；使用的加密算法是否足夠安全等；］帳戶密碼修改功能［注：應(yīng)寫明對(duì)帳戶密碼修改或重要內(nèi)容修改時(shí)的通知功能，以及二次驗(yàn)證機(jī)制；登錄控制安全［注：這里應(yīng)寫明諸如用戶登錄頻率、失敗次數(shù)閥值、登錄次數(shù)限制、登錄失敗的后續(xù)處理等情況；登錄過(guò)程應(yīng)考慮，終端到服務(wù)器端傳遞過(guò)程被非法修改的可能性。寫明對(duì)于重要字段是否需要在服務(wù)器端進(jìn)行二次驗(yàn)證（具體可參考安全事故案例文檔青海B2B系統(tǒng)重置任意賬戶密碼（功能設(shè)計(jì)問(wèn)題，提交數(shù)據(jù)未驗(yàn)證）的內(nèi)容）。］5，登錄驗(yàn)證碼［注：此處應(yīng)寫明，在登錄時(shí)如果涉及驗(yàn)證碼，則驗(yàn)證碼的細(xì)節(jié)設(shè)定，如，干擾、扭曲、變形、粘連等效果（細(xì)節(jié)參考安全設(shè)計(jì)規(guī)范或驗(yàn)證碼設(shè)計(jì)文檔）登錄認(rèn)證失敗提示［注：寫明當(dāng)驗(yàn)證失敗時(shí)，系統(tǒng)如何提示（應(yīng)模糊提示）］；用戶關(guān)鍵信息安全［注：這里寫明對(duì)于用戶的關(guān)鍵信息（密碼ID等）是否安全加密后保存;］系統(tǒng)及應(yīng)用的配置文件安全［注：這里應(yīng)說(shuō)明，重要的系統(tǒng)、中間件、數(shù)據(jù)庫(kù)等配置文件應(yīng)妥善保存，不應(yīng)暴露于公網(wǎng)目］錄；其他登錄安全考慮［注：此處的其他安全方面，諸如：保存登錄!動(dòng)登錄功能、帳戶權(quán)限橫向、縱向訪問(wèn)控制等安全點(diǎn)，并非所有系統(tǒng)都有相應(yīng)安全要求，如涉及則根據(jù)情況靈活編寫。2.2會(huì)話管理1，會(huì)話產(chǎn)生及會(huì)話標(biāo)識(shí)［注：寫明會(huì)話標(biāo)識(shí)的產(chǎn)生、更新（登錄前后是否更新）、及長(zhǎng)度等；會(huì)話超時(shí)及結(jié)束［注：寫明會(huì)話超時(shí)時(shí)間及會(huì)話結(jié)束的處理情況；2.3密碼算法1,使用安全的密碼算法［注：寫明在涉及加密時(shí)使用那種安全的加密算法，以及密鑰的管理；2.4日志安全1，具體日志內(nèi)容應(yīng)包含［注：應(yīng)注明，日志記錄那些關(guān)鍵內(nèi)容，關(guān)鍵內(nèi)容是否需要加密等；2，日志的保存［注：主要描述日志的安全保存，例如，不保存于公網(wǎng)可訪問(wèn)地址、個(gè)人敏感信息是否保存等；2.5系統(tǒng)通信安全［注：主要描述是否涉及系統(tǒng)通信方面的安全，例如，重要通信是否需聶;］2.6系統(tǒng)密碼安全［注：這里主要描述諸如，系統(tǒng)帳號(hào)、中間件、數(shù)據(jù)庫(kù)等帳號(hào)，應(yīng)遵循相應(yīng)的密碼安全規(guī)范。例如，帳號(hào)密碼的長(zhǎng)度、字符范圍、有效期、存儲(chǔ)（是否需要加密存儲(chǔ)）等；具體參見(jiàn)安全設(shè)計(jì)規(guī)范內(nèi)容；2.7對(duì)文件上傳/下載的限制［注：如果系統(tǒng)涉及文件的上傳，則應(yīng)描述清楚，如何對(duì)上傳文件進(jìn)行檢驗(yàn)。例如，如何規(guī)定文件大小、后綴名、格式、用戶端是否做校驗(yàn)、服務(wù)器端是否做校驗(yàn)、文件保存位置等安全點(diǎn)；另外，可參考公司的安全事故案例〉多個(gè)B2B系統(tǒng)的圖片上傳驗(yàn)證漏洞;］2.8系統(tǒng)資源釋放［注：這里主要是java開發(fā)規(guī)范的相關(guān)內(nèi)容，寫明例如打開的文件，數(shù)據(jù)庫(kù)連接等，使用完成后是否釋放資源；］代碼質(zhì)量安全［本小節(jié)從代碼質(zhì)量方面出發(fā)考慮安全設(shè)計(jì)包括:。］3.1防范跨站腳本攻擊［注：跨站與SQL注入都是web系統(tǒng)最常見(jiàn)的攻擊方式，這里請(qǐng)描述如何進(jìn)行的預(yù)防（例如公司的安全包）。另外，需具體說(shuō)明對(duì)哪些關(guān)鍵輸入或字段進(jìn)行了過(guò)濾。頁(yè)腳內(nèi)容73.2防范跨站請(qǐng)求偽造防范SQL注入攻擊［注：同上；］3.3不安全的直接對(duì)象引用［注：主要檢查用戶重要參數(shù)是否暴露（具體可參敗全設(shè)計(jì)開發(fā)規(guī)范2.4不安全的直接對(duì)象引用）；］3.4對(duì)其他各類用戶輸入的過(guò)濾［注：部分內(nèi)容同跨站及注入的過(guò)濾；但對(duì)于相關(guān)參數(shù)長(zhǎng)度應(yīng)說(shuō)明，以避免過(guò)長(zhǎng)的參數(shù)輸入引起參數(shù)溢出漏洞；］3.5引用開源程序的注意事項(xiàng)［注：此部分主要檢查，項(xiàng)目中是否涉及第三方的開源程序引用，如果有，則需檢查是否包含惡意代碼、冗余功能代碼、廣告類代碼及不必要的頁(yè)面文件以及是否嵌套其他安全考慮點(diǎn)。已發(fā)生的安全事故案例的相關(guān)安全考慮點(diǎn)［注：因各類系統(tǒng)涉及功能廣泛，公司的規(guī)范文檔可能考慮不對(duì)于己經(jīng)發(fā)生的安全事故，其中也有相應(yīng)的安全設(shè)計(jì)考慮點(diǎn)，在設(shè)計(jì)新系統(tǒng)時(shí)應(yīng)進(jìn)行相應(yīng)的考慮。1，終端-服務(wù)器交互過(guò)程防篡改（注：提交的重要數(shù)據(jù)需要進(jìn)行二次驗(yàn)證）［注，在涉及到服務(wù)器端與用戶進(jìn)行數(shù)據(jù)交互時(shí)，是否考慮了數(shù)據(jù)的防篡改。可能涉及的場(chǎng)景如：商城系統(tǒng)的訂單提交、電子商務(wù)中物品采購(gòu)、營(yíng)業(yè)廳系統(tǒng)的業(yè)務(wù)辦理、系統(tǒng)的身份驗(yàn)證過(guò)程等。參考《炎黃安全事故案例》-〉福建移動(dòng)WAP營(yíng)業(yè)廳受理0元套餐事件浙江移動(dòng)■旗艦店靚號(hào)被低價(jià)購(gòu)買青海B2B系統(tǒng)重置任意賬戶密碼三個(gè)案例?？紤]新系統(tǒng)是否涉及，如涉及如何預(yù)防；2,重要配置文件避免明文保存問(wèn)題［注，參考《炎黃安全事故案例》〉聯(lián)通手機(jī)廳客戶端程序明文保存帳號(hào)密碼?？紤]新系統(tǒng)是否涉及，如涉及如何預(yù)防；］重要數(shù)據(jù)未加密傳輸問(wèn)題［注，參考《炎黃安全事故案例》〉廣西SSO登錄密碼明文傳輸問(wèn)題?？紤]新系統(tǒng)是否涉及，如涉及如何預(yù)防；］登錄過(guò)程次數(shù)保存不當(dāng)導(dǎo)致可暴力登錄嘗試［注，參考《炎黃安全事故案例》〉寧夏SSO圖形驗(yàn)證碼可以繞過(guò)?？紤]新系統(tǒng)是否涉及，如涉及如何頁(yè)腳內(nèi)容8預(yù)防；］不安全的身份驗(yàn)證，導(dǎo)致驗(yàn)證被繞過(guò)［注，參考《炎黃安全事故案例》〉中國(guó)聯(lián)通網(wǎng)上實(shí)名登記可以繞過(guò)短信驗(yàn)證碼。考慮新系統(tǒng)是否涉及，如涉及如何預(yù)防;］產(chǎn)品服務(wù)下線不完整導(dǎo)致惡意業(yè)務(wù)辦理［注，參