安全技術規(guī)范課件

2023/7/29Inspurgroup安全技術規(guī)范2023/7/29Inspurgroup目錄一、序言二、技術安全保障1、客戶端安全2、專用輔助設備安全3、網(wǎng)絡通信安全

4、服務器端安全三、業(yè)務運作安全保障四、管理安全保障五、安全保障評估2023/7/29Inspurgroup目錄一、序言二、技術安全保障

1、客戶端安全2、專用輔助設備安全3、網(wǎng)絡通信安全

4、服務器端安全三、業(yè)務運作安全保障四、管理安全保障五、安全保障評估1.客戶端安全2023/7/29Inspurgroup客戶端程序1密碼保護2登錄控制3客戶端程序2023/7/29Inspurgroup客戶端程序安全竊聽和截屏防篡改反匯編評測竊聽和截屏客戶端程序應防范鍵盤竊聽敏感信息，例如防范采用掛鉤windows鍵盤消息等方式進行鍵盤竊聽，并應具有對通過掛鉤竊聽鍵盤信息進行預警的功能。防范措施：一般采用密碼輸入控件和軟鍵盤客戶端程序應采用反屏幕錄像技術，防止非法程序獲取敏感信息2023/7/29Inspurgroup防篡改客戶端程序應防范惡意程序獲取或篡取敏感信息，例如用戶使用瀏覽器訪問商務頁面時，惡意木馬程序通過IECOM接口讀取輸入框數(shù)據(jù)、表單等頁面內(nèi)容，獲取如登錄賬號、密碼等信息，并可提取篡改客戶端的腳本代碼防范措施：采用接口腳本安全保護控件對IE瀏覽器核心的COM對象訪問及客戶端腳本注入進行防范客戶端程序的臨時文件（不限于cookies)中不應出現(xiàn)敏感信息.禁止在身份認證結束后存儲敏感信息，防止信息泄露2023/7/29Inspurgroup反匯編客戶端程序應具有抗逆向分析、抗反匯編等安全性保護措施，防范攻擊者對客戶端程序的調試、分析和篡改。防范措施：一般采用混淆加殼的方式來打亂程序的結構2023/7/29Inspurgroup評測客戶端程序上線前應進行嚴格的代碼安全測試，如果客戶端程序時外包給第三方機構開發(fā)的，應要求開發(fā)商進行代碼安全測試。應建立定期對客戶端程序的安全檢測機制客戶端程序應通過指定的第三方中立測試機構的安全檢測2023/7/29Inspurgroup1.客戶端安全2023/7/29Inspurgroup客戶端程序1密碼保護2登錄控制3密碼策略禁止明文顯示密碼，應使用相同位數(shù)的同一特殊字符（例如*和#）代替密碼應有復雜度要求密碼長度至少6位、支持數(shù)字和字母共同組成客戶設置密碼時，應提示客戶不用簡單密碼如有初始密碼，首次登錄時應強制客戶修改初始密碼2023/7/29Inspurgroup防暴力破解應具有防范暴力破解靜態(tài)密碼的保護措施，例如在登錄和交易時使用圖形認證碼2023/7/29Inspurgroup密碼保護使用軟鍵盤方式輸入密碼時，應對整體鍵盤布局進行隨機干擾應保證密碼加密密鑰的安全采用輔助安全設備（如USBKey)輸入并保護密碼密碼輸入后立即加密，敏感信息在應用層保持端到端加密2023/7/29Inspurgroup1.客戶端安全2023/7/29Inspurgroup客戶端程序1密碼保護2登錄控制3登錄控制設置連續(xù)失敗登陸次數(shù)為10次以下，超過限定次數(shù)鎖定登錄權限退出登錄或客戶端程序、瀏覽器關閉后，應立即終止會話，保證無法通過后退、直接輸入訪問地址等方式重新進入登錄后的頁面退出登錄時應提示客戶取下專用輔助安全設備2023/7/29Inspurgroup2023/7/29Inspurgroup目錄一、序言二、技術安全保障1、客戶端安全

2、專用輔助設備安全3、網(wǎng)絡通信安全

4、服務器端安全三、業(yè)務運作安全保障四、管理安全保障五、安全保障評估2.專用輔助設備安全2023/7/29InspurgroupUSBKey動態(tài)密碼卡其它USBKey應使用指定的第三方中立測試機構安全檢測通過的USBKey應在安全環(huán)境下完成USBKey的個人化過程USBKey應采用具有密鑰生成和數(shù)字簽名運算能力的智能卡芯片，保證敏感操作在USBKey內(nèi)進行USBKey的主文件應受到COS安全機制保護，保證客戶無法對其進行刪除和重建應保證私鑰在生成、存儲和使用等階段的安全2023/7/29InspurgroupUSBKey參與密鑰、PIN碼運算的隨機數(shù)應在USBKey內(nèi)生成，其隨機指標應符合國際通用標準的要求應保證PIN碼和密鑰的安全應設計安全機制保證USBKey驅動的安全在外部環(huán)境發(fā)生變化時，USBKey不應泄露敏感信息或影響安全功能USBKey能自動識別待簽名數(shù)據(jù)的格式，識別后在屏幕上顯示簽名數(shù)據(jù)或語音提示2023/7/29Inspurgroup動態(tài)密碼卡動態(tài)口令長度不少于6位服務器隨機產(chǎn)生口令位置坐標應設定動態(tài)密碼卡使用有效期，超過有效期作廢新卡使用涂層覆蓋等方法保護口令動態(tài)密碼卡與客戶唯一綁定2023/7/29Inspurgroup其它指紋識別手機短信動態(tài)密碼開通手機動態(tài)密碼時，應使用人工參與控制的可靠手段驗證客戶身份并登記手機號碼。更改手機時，應對客戶的身份進行有效驗證手機動態(tài)密碼應隨即產(chǎn)生，長度不應少于6位應設定手機動態(tài)密碼的有效時間，最長不超過10分鐘，超過有效期立即作廢交易的關鍵信息應與動態(tài)密碼一起發(fā)給客戶，并提示客戶確認2023/7/29Inspurgroup2023/7/29Inspurgroup目錄一、序言二、技術安全保障1、客戶端安全2、專用輔助設備安全

3、網(wǎng)絡通信安全

4、服務器端安全三、業(yè)務運作安全保障四、管理安全保障五、安全保障評估3.網(wǎng)絡通信安全通訊協(xié)議安全認證方式2023/7/29Inspurgroup通訊協(xié)議使用強壯的加密算法和安全協(xié)議保護客戶端和服務器端的鏈接，例如SSL/TLS使用SSL協(xié)議，應使用3.0級以上高版本協(xié)議客戶端到服務器的SSL加密密鑰長度不低于128位；簽名的RSA密鑰長度不低于1024位；簽名的ECC密鑰長度不低于160位防止報文的重復攻擊，防范措施：加入時間戳2023/7/29InspurgroupSSL/TLS使用示意2023/7/29Inspurgroup客戶端瀏覽器安全管理加密模塊SSL/TLS通道HTTPS(SSL)對稱加密保證傳輸信息的私密性身份認證及訪問控制管理服務器HTTPS服務器加密模塊工作站安全認證方式服務器和客戶端應進行雙向身份認證整個通訊期間，經(jīng)過認證的通訊線路一直保持安全鏈接狀態(tài)服務器端系統(tǒng)判定客戶端的空閑狀態(tài)，當空閑超過一定時間后，可自動關閉連接，客戶再次操作必須重新登錄能判定同一次登錄后的所有操作必須使用同一IP和MAC地址，否則服務器自動關閉可使用國家主管部門認定的具有電子認證服務許可證的CA證書及認證服務2023/7/29Inspurgroup客戶端和服務器通過SSL雙向認證2023/7/29Inspurgroup2023/7/29Inspurgroup目錄一、序言二、技術安全保障1、客戶端安全2、專用輔助設備安全3、網(wǎng)絡通信安全

4、服務器端安全三、業(yè)務運作安全保障四、管理安全保障五、安全保障評估4.服務器端安全2023/7/29Inspurgroup網(wǎng)絡架構安全1系統(tǒng)設計安全2Web應用安全3數(shù)據(jù)安全4網(wǎng)絡架構安全2023/7/29Inspurgroup網(wǎng)絡架構安全BECDA合理部署系統(tǒng)架構訪問控制網(wǎng)絡設備的管理規(guī)范和安全策略入侵防范安全設計和日志基本的網(wǎng)絡防護架構示意圖2023/7/29Inspurgroup增強的網(wǎng)絡防護架構示意圖2023/7/29Inspurgroup合理部署網(wǎng)絡架構合理劃分網(wǎng)絡區(qū)域，交易網(wǎng)絡與辦公網(wǎng)及其他網(wǎng)絡進行隔離維護與運行情況相符的網(wǎng)絡拓撲圖，并區(qū)分可信區(qū)域與不可信區(qū)域采用IP偽技術隱藏內(nèi)部IP，防止內(nèi)部網(wǎng)絡非法被訪問部署入侵檢測系統(tǒng)/入侵防御系統(tǒng)，對網(wǎng)絡異常流量進行監(jiān)控在所有互聯(lián)網(wǎng)入口及隔離區(qū)（DMZ）與內(nèi)部網(wǎng)絡間部署防火墻，對非業(yè)務必須的網(wǎng)絡數(shù)據(jù)進行過濾采取措施保障關鍵服務器時間同步核心層、匯聚層的設備和重要的接入層設備均應雙機熱備，例如核心交換機、服務器群接入交換機、核心路由器、防火墻等相關重要設備保證網(wǎng)絡帶寬和網(wǎng)絡設備的業(yè)務處理能力具備冗余控件，滿足業(yè)務高峰期和業(yè)務發(fā)展需要2023/7/29Inspurgroup訪問控制在網(wǎng)絡結構上實現(xiàn)網(wǎng)間的訪問控制，采取技術手段控制網(wǎng)絡訪問權限應對重要主機的IP地址與MAC地址進行綁定禁止將管理終端主機直接接入核心交換機、匯聚層交換機、網(wǎng)間互聯(lián)邊界接入交換機和其他專用交換機明確業(yè)務必需的服務和端口，不應開放多余服務和端口禁止開發(fā)遠程撥號訪問2023/7/29Inspurgroup網(wǎng)絡設備的管理規(guī)范和安全策略將關鍵或敏感的網(wǎng)絡設備存放在安全區(qū)域，應使用相應的安全防護設備和準入控制手段以及有明確標志的安全隔離帶進行保護應更改網(wǎng)絡安全設備的初始密碼和默認設置在業(yè)務終端與服務器之間通過路由控制建立安全的訪問途徑指定專人負責防火墻、路由器和IDS/IPS的配置和管理，按季定期審核配置規(guī)則所有設備的安全配置都必須經(jīng)過審批在變更防火墻、路由器和IDS/IPS配置規(guī)則前，確保更改已進行驗證和審批2023/7/29Inspurgroup安全審計和日志應對網(wǎng)絡設備的運行情況、網(wǎng)絡流量、管理員行為等信息進行日志記錄，日志至少保存3個月審計記錄應包括但不限于:事件發(fā)生的時間、相關操作人員、事件類型、事件是否成功及其他與審計相關的信息應根據(jù)記錄進行安全分析，并生成審計報表應對審計記錄進行保護，避免被未授權刪除、修改或覆蓋2023/7/29Inspurgroup入侵檢測應嚴格限制下載和使用免費軟件或共享軟件，應確保服務器系統(tǒng)安裝的軟件來源可靠，且在使用前進行測試所有外設在使用前應進行病毒掃描制定合理的IDS/IPS的安全配置策略，并指定專人定期進行安全事件分析和安全配置策略優(yōu)化應在網(wǎng)絡邊界出監(jiān)視并記錄以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡蠕蟲攻擊等當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目標和攻擊時間，在發(fā)生嚴重入侵事件時應提供報警或自動采取防御措施2023/7/29Inspurgroup4.服務器端安全2023/7/29Inspurgroup網(wǎng)絡架構安全1系統(tǒng)設計安全2Web應用安全3數(shù)據(jù)安全4系統(tǒng)設計安全敏感客戶參數(shù)修改應在一次登錄過程中進行二次認證系統(tǒng)應具有保存和顯示客戶歷史登錄信息（例如時間、IP地址、MAC地址等）的功能，支持客戶查詢登錄、交易等歷史操作系統(tǒng)應根據(jù)業(yè)務必須原則向客戶提供數(shù)據(jù)，禁止提供不必要的數(shù)據(jù)在顯示經(jīng)認證成功后的客戶身份證件信息時，應屏蔽部分關鍵內(nèi)容系統(tǒng)應具有賬戶信息變動提供功能，可使用手機短信、電子郵件等方式實時告知客戶其賬戶的密碼修改等重要信息系統(tǒng)應具有防網(wǎng)絡釣魚的功能，例如顯示客戶預留信息等2023/7/29Inspurgroup4.服務器端安全2023/7/29Inspurgroup網(wǎng)絡架構安全1系統(tǒng)設計安全2Web應用安全3數(shù)據(jù)安全4WEB應用安全資源控制系統(tǒng)最大并發(fā)會話連接數(shù)進行限制單個用戶的多重并發(fā)會話數(shù)進行限制一個時間段內(nèi)可能的并發(fā)會話連接數(shù)進行限制通信雙方的一方在指定時間內(nèi)未作響應，另一方自動結束會話編碼規(guī)范依據(jù)安全規(guī)范編碼例如不允許在程序中寫入固定密鑰應用上線前，做好代碼審查，識別后門程序、惡意代碼及安全漏洞2023/7/29InspurgroupWEB應用安全會話安全會話標識隨機并唯一會話維持認證狀態(tài)，防止直接輸入登錄后的地址訪問登錄后的頁面交易后，防止使用瀏覽器的“后退”功能查看上一交易頁面的重要信息、防范措施：運用客戶端腳本禁止顯示瀏覽器工具條，或者自動顯示錯誤頁面應用程序設置允許客戶登錄后的空閑時間，當超過指定時間，自動終止會話2023/7/29InspurgroupWEB應用安全源代碼管理備份在只讀介質，例如光盤嚴格控制對生產(chǎn)版本源的訪問生產(chǎn)源代碼加強版本控制，保證運行期版本的穩(wěn)定防止敏感信息的泄露刪除Web目錄下的測試腳本和程序與Web應用無關的文件需要隔離存儲，并進行嚴格的訪問控制設置嚴格的目錄訪問權限，防止未授權訪問統(tǒng)一目錄訪問的出錯提示信息禁止目錄瀏覽2023/7/29InspurgroupWEB應用安全防止SQL注入攻擊應用程序對客戶提交的表單、參數(shù)進行有效合法性判定和非法字符過濾，防止攻擊者惡意構造SQL語句實施注入攻擊禁止僅在客戶端以腳本形式對客戶輸入進行合法性判定和參數(shù)過濾數(shù)據(jù)庫盡量使用存儲過程或參數(shù)化查詢，并嚴格定義用戶的角色和權限防止拒絕服務攻擊2023/7/29Inspurgroup4.服務器端安全2023/7/29Inspurgroup網(wǎng)絡架構安全1系統(tǒng)設計安全2Web應用安全3數(shù)據(jù)安全4數(shù)據(jù)安全要保證客戶的數(shù)據(jù)安全，需要做到數(shù)據(jù)隔離（例如數(shù)據(jù)分區(qū)等），尤其是在SaaS的應用體現(xiàn)尤為明顯，還要保證數(shù)據(jù)庫訪問的安全性，對敏感數(shù)據(jù)進行加密等2023/7/29Inspurgroup數(shù)據(jù)安全2023/7/29InspurgroupConceptBECDA身份鑒別訪問控制安全和審計災難備份和恢復日志管理身份鑒別登錄系統(tǒng)或數(shù)據(jù)庫的用戶進行身份標識和鑒別，嚴禁匿名登錄應用系統(tǒng)提供登錄失敗處理功能，如結束會話、限制非法登錄次數(shù)和自動退出等措施為訪問用戶分配不同賬號并設置不同初始密碼，不建議共享賬號和密碼首次登錄應用系統(tǒng)強制修改密碼，并提供定期修改密碼功能要能靈活定義密碼強度及有效期對密碼進行強制密碼保護，不允許明文密碼用戶重置密碼時，要先對用戶身份進行核實然后進行后續(xù)操作通信時采用加密通信方式，以免認證信息被竊聽2023/7/29Inspurgroup訪問控制根據(jù)“業(yè)務所需”原則授權不同用戶為完成各自承擔任務所需的最小權