安全風(fēng)險評估

安全風(fēng)險評估1方案安全性評估1.1架構(gòu)安全性填寫說明：（用回替換）IT產(chǎn)品名稱XXX系統(tǒng)（多個產(chǎn)品請自行增加列平臺架構(gòu)□Web□Notes□軟件包DC/S□其它：Web系統(tǒng)在邏輯上應(yīng)采用三層架構(gòu)（表現(xiàn)層、業(yè)務(wù)邏輯層、數(shù)據(jù)層），表現(xiàn)層不允許直接訪問數(shù)據(jù)庫，只能通過中間層訪問數(shù)據(jù)庫；非Web系統(tǒng)在邏輯上同樣應(yīng)采用三層架構(gòu)（客戶端、服務(wù)端、數(shù)據(jù)庫），客戶端不允許直接訪問數(shù)據(jù)庫；特殊性說明：NotesB/S應(yīng)用、無數(shù)據(jù)庫應(yīng)用、存量應(yīng)用除外[Must]□符合□不符合□不涉及或平臺保證□例外：開放內(nèi)外網(wǎng)訪問的IT應(yīng)用系統(tǒng)必須做到“內(nèi)外信息分離”，外網(wǎng)用戶與內(nèi)網(wǎng)用戶必須通過不同的Web服務(wù)器登錄系統(tǒng)，供Internet訪問的Web服務(wù)器放入DMZ區(qū)，供內(nèi)網(wǎng)訪問的Web服務(wù)器放入公司內(nèi)網(wǎng)，禁止內(nèi)外網(wǎng)共用一臺Web服務(wù)器[Must]□符合□不符合□不涉及或平臺保證數(shù)據(jù)庫服務(wù)器不能進(jìn)入DMZ區(qū)【Must]□符合□不符合□不涉及或平臺保證應(yīng)用系統(tǒng)中如果涉及機(jī)密信息對外網(wǎng)開放，需要和內(nèi)網(wǎng)訪問部分使用不同的數(shù)據(jù)庫實例；【Should]□符合□不符合□不涉及除對Extranet開放的應(yīng)用外，系統(tǒng)配置管理界面要確保只能通過內(nèi)網(wǎng)訪問；【Should]□符合□不符合□不涉及或平臺保證對系統(tǒng)架構(gòu)安全性的補(bǔ)充說明1.2安全檢查要素填寫說明：（用回替換）檢查要素檢查項結(jié)果身份認(rèn)證內(nèi)網(wǎng)普通應(yīng)用及機(jī)密應(yīng)用認(rèn)證最低應(yīng)采用“用戶名+靜態(tài)口令”方式；從外網(wǎng)訪問的Web應(yīng)用，認(rèn)證方式最低為“用戶名+靜態(tài)口令+隨機(jī)碼”或“用戶名+靜態(tài)口令+登錄鎖定/自動解鎖機(jī)制”；[Must]□符合□不符合□不涉及

對絕密系統(tǒng)中絕密部分的訪問應(yīng)采用雙因子認(rèn)證或生物認(rèn)證，并限定可以登錄的機(jī)器和IP,如果無法滿足，應(yīng)使用跳轉(zhuǎn)方式經(jīng)過雙層認(rèn)證登錄（第一層通過SGD、ITOC、VPN、遠(yuǎn)程桌面等認(rèn)證，第二層通過應(yīng)用本身認(rèn)證）；[Should]□符合□不符合□不涉及如果數(shù)據(jù)庫集成Windows域帳號對應(yīng)用進(jìn)行認(rèn)證，授權(quán)須控制到Schema級別，該集成賬戶不允許具有整個實例的權(quán)限，且該賬戶不能用于啟停數(shù)據(jù)庫服務(wù)；[Must]□符合□不符合□不涉及對內(nèi)網(wǎng)開放的應(yīng)用默認(rèn)不對公司外人員開放，對公司外人員開放訪問權(quán)限須經(jīng)業(yè)務(wù)部門審批；[Should]□符合□不符合□不涉及IT應(yīng)用如果自帶認(rèn)證模塊，則口令的設(shè)置在系統(tǒng)實現(xiàn)上必須支持執(zhí)行以下規(guī)則的密碼配置：1） 密碼長度可配置，至少8位；2） 混合字母、非字母（數(shù)字、標(biāo)點(diǎn)符號、特殊字符），混合至少兩種非字母字符；3） 不含用戶ID；4） 密碼有效期不超過180天，否則密碼必須失效5） 不允許使用最近5次用過的密碼；6） 密碼初始化強(qiáng)制要求用戶修改，否則密碼強(qiáng)制失效[Must]□符合□不符合□不涉及用戶口令在傳輸過程中必須加密；對Web類應(yīng)用，如果不能通過配置服務(wù)器證書并啟用HTTPS實現(xiàn)，則必須在設(shè)計方案中實現(xiàn)；[Must]□符合□不符合□不涉及用戶口令必須單向加密存儲，應(yīng)用系統(tǒng)和數(shù)據(jù)庫口令必須加密存儲；[Must]□符合□不符合□不涉及非匿名訪問的所有系統(tǒng)應(yīng)提供登陸鎖定機(jī)制，參數(shù)可配置或滿足部署規(guī)范要求（登錄嘗試次數(shù)＜=15，鎖定時間＞=5分鐘，自動解鎖）；[Should]□符合□不符合□不涉及非匿名訪問的系統(tǒng)須提供超時自動退出的功能，參數(shù)可配置或滿足部署規(guī)范要求（超時時間＜=30分鐘）；[Must]□符合□不符合□不涉及機(jī)密級及以上系統(tǒng)應(yīng)在用戶界面顯示用戶上次成功登錄時間。[Should]□符合□不符合□不涉及訪問控制絕密系統(tǒng)不允許進(jìn)入外網(wǎng)；[Must]□符合□不符合□不涉及信息根據(jù)其密級（外部公開/內(nèi)部公開/秘密/機(jī)密/絕密）在網(wǎng)絡(luò)層（內(nèi)網(wǎng)/外網(wǎng)/VPN）的開放范圍是否符合應(yīng)用開發(fā)與部署安全技術(shù)規(guī)范要求；[Must]□符合□不符合□不涉及□待評審/審批信息根據(jù)其業(yè)務(wù)領(lǐng)域（研發(fā)/非研發(fā)/通用）在網(wǎng)絡(luò)層（研發(fā)區(qū)□符合□不符合□不涉及

/非研發(fā)區(qū)/VPN）開放的范圍是否符合應(yīng)用開發(fā)與部署安全技術(shù)規(guī)范要求；[Must]□待評審/審批Web類應(yīng)用不允許跨邊界防火墻（即跨不同的網(wǎng)絡(luò)區(qū)域，如：DMZ、內(nèi)部服務(wù)器區(qū)、用戶區(qū)）開啟文件共享；[Must]□符合□不符合□不涉及通用類IT應(yīng)用、對Internet開放的應(yīng)用以及對Extranet開放的應(yīng)用在設(shè)計時要避免產(chǎn)生存在信息傳遞的隱通道，限制草稿、附件等功能的啟用，如果必須實現(xiàn)存在隱通道的功能模塊，必須對用戶、行為以及內(nèi)容進(jìn)行詳細(xì)記錄供日后審計；通用類IT應(yīng)用，要求對上傳/下載附件是可控或可審計的；對Internet開放的應(yīng)用以及對Extranet開放的應(yīng)用，要求對錄入的文本內(nèi)容、上傳/下載附件都是可控或可審計的；防止隱通道的方案設(shè)計，須遵循《隱通道安全管理規(guī)定》；[Must]□不存在隱通道□存在無日志隱通道：□存在有日志隱通道：□不涉及或平臺保證IT應(yīng)用須對所有用戶或客戶端提交的對象進(jìn)行驗證，包括但不限于用戶名框、口令框、URL地址欄、下拉框、文本輸入框等，以防止注入類及跨站類攻擊，包括但不限于SQL注入、XPath注入、LDAP注入、命令/代碼注入、CRLF注入、跨站腳本攻擊、惡意文件執(zhí)行（本地/遠(yuǎn)程文件包含）等；無論對象是采用Get方式還是采用Post方式提交，必須對用戶的輸入進(jìn)行合法性驗證，無論客戶端是否驗證，服務(wù)器端均需要進(jìn)行驗證，驗證方式應(yīng)包含但不限于：數(shù)據(jù)類型、數(shù)據(jù)范圍、字符長度等屬性的檢測，以及非法字符（單引號/分號/父路徑/HTML標(biāo)簽等）檢測；[Must]□符合□不符合□不涉及所有用戶可輸入并提交的參數(shù)，包括但不限于SQL查詢語句、XPath查詢語句、LDAP查詢語句中的參數(shù)，應(yīng)盡量使用變量綁定（Bind）的方式以確保參數(shù)經(jīng)過類型檢查和驗證，語句應(yīng)盡量避免使用字符串拼接，如果必須通過拼接才能實現(xiàn)業(yè)務(wù)功能，則語句在執(zhí)行之前應(yīng)經(jīng)過合法性驗證以防止引入非法的命令；[Should]□符合□不符合□不涉及需要輸出到客戶端瀏覽器顯示的應(yīng)用數(shù)據(jù)，包括但不限于用戶提交的對象、未驗證的表數(shù)據(jù)、文件內(nèi)容，應(yīng)先進(jìn)行特殊字符轉(zhuǎn)義（即HTML編碼，例如將＜＞轉(zhuǎn)義為&It;>），以防止跨站腳本攻擊；[Should]□符合□不符合□不涉及IT應(yīng)用應(yīng)對重要的操作請求（包括但不限于轉(zhuǎn)賬、網(wǎng)上支付等），應(yīng)對用戶進(jìn)行再次身份認(rèn)證以確認(rèn)用戶身份（如輸入口令/驗證指紋，首選），或者對該請求的Referer（位于該請求的□符合□不符合□不涉及

Header中）進(jìn)行驗證（備選，不推薦），確保該請求為用戶本人從本站范圍內(nèi)的頁面發(fā)起，以防止跨站請求偽造攻擊（Cross-SiteRequestForgery）；[Should]Web應(yīng)用如果跟蹤到非法請求，包括但不限于包括使用非法參數(shù)、訪問未授權(quán)資源、缺少必要參數(shù)等，則應(yīng)記錄日志、清除會話并返回到認(rèn)證界面；[Should]□符合□不符合□不涉及IT應(yīng)用須具備防止跨目錄訪問的能力，應(yīng)用系統(tǒng)如果需要進(jìn)行文件操作，必須在應(yīng)用邏輯層明確限定其作用的目錄范圍（絕對路徑）；文件路徑和文件名不允許作為URL中的參數(shù)提交；如果需通過URL進(jìn)行文件操作，必須為被操作的文件分配ID號，且ID號生成算法須具備防猜解能力；[Must]□符合□不符合□不涉及按照業(yè)務(wù)規(guī)則，需要對用戶群進(jìn)行角色劃分時，必須進(jìn)行基于角色的授權(quán)和訪問控制，用戶應(yīng)無法訪問業(yè)務(wù)規(guī)則不允許其訪問的內(nèi)容；[Must]□符合□不符合□不涉及WebService所提供的函數(shù)接口，須進(jìn)行授權(quán)和訪問控制并優(yōu)先考慮僅由應(yīng)用系統(tǒng)調(diào)用，如果由客戶端直接調(diào)用則必須證實調(diào)用者身份，WebServiceClient或用戶須無法訪問業(yè)務(wù)規(guī)則不允許其訪問的函數(shù)；[Must]□符合□不符合□不涉及應(yīng)用如果對外網(wǎng)開放，則須對客戶端可以訪問的每個服務(wù)器端的對象進(jìn)行基于角色的授權(quán)和訪問控制，防止非法操縱服務(wù)器端對象，并對用戶提交的數(shù)據(jù)進(jìn)行合法性驗證。[Must]□符合□不符合□不涉及應(yīng)建立授權(quán)機(jī)制對用戶/角色的權(quán)限進(jìn)行約束，使用數(shù)據(jù)庫授權(quán)表、XML文件或其它存儲方式保存[用戶/角色，資源/業(yè)務(wù)功能/數(shù)據(jù)表，訪問權(quán)限]的映射關(guān)系，用戶通過權(quán)限驗證后才能訪問具體的資源、業(yè)務(wù)功能或數(shù)據(jù)表；[Should]□符合□不符合□不涉及授權(quán)和業(yè)務(wù)操作需要分離，不應(yīng)在執(zhí)行業(yè)務(wù)操作的過程中進(jìn)行授權(quán)。[Should]□符合□不符合□不涉及對外網(wǎng)開放的網(wǎng)站如果包含不宜被搜索引擎收錄的特定目錄，包括但不限于：腳本、樣式表、附件、模板、需要認(rèn)證通過才能瀏覽的動態(tài)頁面、已生成靜態(tài)副本的動態(tài)頁面目錄等，應(yīng)在網(wǎng)站根目錄建立robots.txt文件，屏蔽搜索引擎對這些目錄的訪問；但后臺管理路徑或其它需要保密的目錄等敏感信息不宜放入；[Should]□符合□不符合□不涉及系統(tǒng)需要存放業(yè)務(wù)部門絕密級信息，須經(jīng)過該業(yè)務(wù)體系管理團(tuán)隊批準(zhǔn)；[Must]□符合□不符合□不涉及□待審批

數(shù)據(jù)庫管理員特權(quán)帳號（Sa/root/sys/system/db2admin等）只能用于數(shù)據(jù)庫管理與維護(hù)，不得用于應(yīng)用系統(tǒng)訪問；[Must]□符合□不符合□不涉及對于讀取數(shù)據(jù)庫的操作應(yīng)遵循最小授權(quán)的原則，作為數(shù)據(jù)源時，應(yīng)盡量以視圖方式提供數(shù)據(jù)，隱藏業(yè)務(wù)規(guī)則不需要的數(shù)據(jù)。[Should]□符合□不符合□不涉及日志審計對外網(wǎng)用戶開放查看下載的系統(tǒng)，對發(fā)布內(nèi)容應(yīng)提供審核機(jī)制,如果沒有審核機(jī)制，則對于發(fā)布人員發(fā)布的信息（包括附件）須提供備份功能，備份周期可配置或滿足部署規(guī)范要求；對于信息發(fā)布的操作應(yīng)有詳細(xì)的日志記錄（包括且不限于發(fā)布、修改、審批、撤銷、刪除等動作）；[Should]□符合□不符合□不涉及對外網(wǎng)用戶開放查看下載且沒有審核機(jī)制的應(yīng)用，對發(fā)布的信息（包括附件）必須備份保存一個月以上，以供審計；[Must]□符合□不符合□不涉及嚴(yán)格控制日志的刪除，所有系統(tǒng)要求須至少保留三個月以上的操作日志。[Must]□符合□不符合□不涉及應(yīng)用日志的記錄項包括但不限于用戶登錄、修改、增刪、批量數(shù)據(jù)下載等操作，每條日志應(yīng)記錄如下內(nèi)容：時間、用戶、操作、操作對象（范圍）；[Should]□符合□不符合□不涉及嚴(yán)格控制日志的訪問權(quán)限，日志內(nèi)容不允許修改，只能追加；[Should]□符合□不符合□不涉及嚴(yán)格控制日志的刪除，僅允許應(yīng)用本身根據(jù)應(yīng)用配置所設(shè)定的周期自動刪除過期日志；[Should]□符合□不符合□不涉及絕密級系統(tǒng)要求記錄用戶的每一步操作，對絕密數(shù)據(jù)的閱讀及下載等操作都應(yīng)有日志審計記錄。[Should]□符合□不符合□不涉及內(nèi)容安全DMZ區(qū)可以存儲內(nèi)部公開信息，不得存儲秘密級及以上信息；[Must]□符合□不符合□不涉及Extranet區(qū)應(yīng)用可以存儲內(nèi)部公開、秘密級信息；存儲機(jī)密級及以上信息，應(yīng)得到業(yè)務(wù)部門及數(shù)據(jù)Owner部門所在的一級部門總裁同意。[Should]□符合□不符合□不涉及絕密信息須加密存儲（在設(shè)計的時候考慮數(shù)據(jù)庫字段加密機(jī)制,不能依賴于數(shù)據(jù)庫自帶的加密機(jī)制）；[Must]□符合□不符合□不涉及禁止應(yīng)用在客戶端磁盤明文保留用戶的敏感信息。[Must]□符合□不符合□不涉及在外網(wǎng)上傳輸內(nèi)部公開及以上密級的數(shù)據(jù)，須啟用通道加密（推薦HTTPS）或數(shù)據(jù)加密；[Must]□符合□不符合□不涉及絕密信息傳輸，須啟用通道加密（推薦HTTPS）或數(shù)據(jù)加密。[Must]□符合□不符合□不涉及

IT應(yīng)用如果需要使用員工電話本、E-mail地址本等涉及范圍較廣的信息資產(chǎn)，應(yīng)優(yōu)先采用單次單條的查詢方式；如果需要批量查詢，應(yīng)采取必要的技術(shù)控制措施（限定人員、用途、數(shù)量、使用方式等），確保不能泄密至公司外部；[Should]□符合□不符合□不涉及對已經(jīng)過授權(quán)從其它數(shù)據(jù)源系統(tǒng)獲取的數(shù)據(jù)，如果包含涉及范圍較廣的機(jī)密級或以上信息，包括但不限于薪酬數(shù)據(jù)、聯(lián)系方式、銷售數(shù)據(jù)、財務(wù)/稅務(wù)數(shù)據(jù)等，應(yīng)提供基于角色的授權(quán)與訪問控制，嚴(yán)格控制對此類信息的訪問。[Should]□符合□不符合□不涉及發(fā)送到客戶端的源文件中，其注釋信息不允許包含敏感信息，包括但不限于物理路徑、數(shù)據(jù)庫連接等；為了減少信息泄漏，動態(tài)網(wǎng)頁應(yīng)盡量僅使用不發(fā)送到客戶端的隱藏注釋；[Should]□符合□不符合□不涉及應(yīng)用應(yīng)限定可以上傳的附件類型并進(jìn)行檢測，避免引入WebShell（即可以執(zhí)行操作系統(tǒng)命令的Web界面）、網(wǎng)頁木馬等有害文件；[Should]□符合□不符合□不涉及在技術(shù)條件滿足時，建議對用戶提交的多媒體附件（包括但不限于圖片、音頻、視頻等）進(jìn)行轉(zhuǎn)換以實現(xiàn)過濾的功能，轉(zhuǎn)換技術(shù)可選用：格式轉(zhuǎn)換、等比例縮放、添加水印等，防止有害文件（圖片木馬等）或捆綁文件的上傳（如GIF文件與JAR文件捆綁導(dǎo)致JAR文件中的惡意Java腳本在用戶瀏覽器上執(zhí)行、圖片/音頻/視頻等多媒體文件與RAR壓縮文件捆綁導(dǎo)致文檔外泄）。[May]□符合□不符合□不涉及應(yīng)配置Web服務(wù)器，使之在應(yīng)用發(fā)生各種異常時，不在用戶界面顯示系統(tǒng)內(nèi)部信息（如內(nèi)部目錄結(jié)構(gòu)、配置文件信息、出錯行數(shù)、調(diào)試跟蹤信息）。[Should]□符合□不符合□不涉及與第三方社交媒體（包括但不限于微信、WhatsApp。集成時，需確保滿足網(wǎng)絡(luò)安全要求：與問題單相關(guān)的一切信息都不能存儲在第三方服務(wù)器上。□符合□不符合□不涉及系統(tǒng)接口接口帳號必須使用專用帳號，不得使用個人帳號；[Must]□符合□不符合□不涉及應(yīng)用系統(tǒng)從其它數(shù)據(jù)源獲取數(shù)據(jù)，應(yīng)得到數(shù)據(jù)源系統(tǒng)Owner的授權(quán)；[Should]□符合□不符合□不涉及接口系統(tǒng)的訪問口令須加密存儲；[Must]□符合□不符合□不涉及接口系統(tǒng)的訪問口令必須可配置，不允許直接指定并寫入程序中。[Must]□符合□不符合□不涉及軟件包引新引進(jìn)軟件包（之前在公司沒有應(yīng)用案例）如果與《應(yīng)用開發(fā)□NS-TMG審核通過

進(jìn)與部署安全技術(shù)規(guī)范》相沖突或存在中等及以上風(fēng)險須經(jīng)NS-TMG審核?！醮齆S-TMG審核□未發(fā)現(xiàn)風(fēng)險或不符合項□不涉及網(wǎng)絡(luò)安全在防火墻策略上，系統(tǒng)高危端口僅響應(yīng)使用固定IP或通過VPN加密通道訪問的客戶端（如果服務(wù)端與客戶端位于同一網(wǎng)絡(luò)區(qū)域，中間沒有防火墻，不受此限）。注：16類高危端口包括Teln