DB14∕T 2241-2020 應急管理信息化 應急管理業(yè)務軟件系統(tǒng) 安全設計規(guī)范

ICS13.100DB14山西省市場監(jiān)督管理局發(fā)布IDB14/T2241—2020 12規(guī)范性引用文件 13術語和定義 14業(yè)務軟件系統(tǒng)軟件研發(fā)周期 35軟件系統(tǒng)安全設計的基本內容 56通用要求 87軟件開發(fā)管理 98安全運維 附錄A（資料性）參考表 12附錄B（資料性）業(yè)務軟件系統(tǒng)驗收大綱 DB14/T2241—2020本文件按照GB/T1.1-2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)則起草。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由山西省應急管理廳提出并監(jiān)督實施。本文件由山西省安全生產(chǎn)標準化技術委員會歸口。本文件起草單位：山西省安全生產(chǎn)科學研究院。本文件主要起草人：焦新華、陳澤宇、楊柯、王延輝、楊李根、劉艷、王剛、王洋、宋梅、張旭東、王波。1DB14/T2241—2020應急管理信息化應急管理業(yè)務軟件系統(tǒng)安全設計規(guī)范本文件規(guī)定了應急管理業(yè)務軟件系統(tǒng)安全設計規(guī)范的術語和定義、基本內容、通用要求、研發(fā)管理以及安全運維等，本規(guī)范主要針對B/S架構。本文件適用于指導山西省應急管理業(yè)務軟件系統(tǒng)安全設計。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239-2019信息安全技術網(wǎng)絡安全等級保護基本要求GB/T30998-2014信息技術軟件安全保障規(guī)范3術語和定義下列術語和定義適用于本文件。3.1安全設計系統(tǒng)在設計階段開展的結構分析、專項防護及方案評審等一系列活動的總稱。3.2安全策略業(yè)務系統(tǒng)中制定一系列規(guī)則，實現(xiàn)安全目標的總稱。3.3系統(tǒng)級資源系統(tǒng)級資源包括：文件、文件夾、注冊表項、ActiveDirectory對象、數(shù)據(jù)庫對象、事件日志等。3.4前端前端即網(wǎng)站前臺部分，在瀏覽器上展現(xiàn)給用戶瀏覽的網(wǎng)頁。3.5后端后端是負責與數(shù)據(jù)庫的交互，實現(xiàn)相應的業(yè)務邏輯。2DB14/T2241—20203.6雙因子認證密碼以及實物(SMS手機、令牌等生物標志)兩種或多種條件對用戶進行認證的方法。3.7單向散列是根據(jù)輸入消息計算后，輸出固定長度數(shù)值的算法，輸出數(shù)值也稱為“散列值”或“消息摘要”，其長度通常在128～256位之間。3.8反向代理是指內部網(wǎng)絡對Internert發(fā)出連接請求，需要制定代理服務將原本直接傳輸至Web服務器的HTTP發(fā)送至代理服務器中。3.9結構化異常處理是可以使程序中異常處理代碼和正常業(yè)務代碼分離，保證程序代碼更加優(yōu)雅，并提高程序健壯性。3.10微服務架構是一種將一個單一應用程序開發(fā)為一組小型服務的方法，每個服務運行在自己的進程中，服務間通信采用輕量級通信機制。3.11應用容器引擎是一個開源的應用容器引擎，讓開發(fā)者可以打包他們的應用以及依賴包到一個可移植的容器中，然后發(fā)布到任何流行的機器上，也可以實現(xiàn)虛擬化。3.12滲透測試是通過模擬惡意黑客的攻擊方法，來評估計算機網(wǎng)絡系統(tǒng)安全的一種評估方法。3.13SQL注入是攻擊者構造惡意的字符串，欺騙業(yè)務系統(tǒng)用構造數(shù)據(jù)庫語句并執(zhí)行，從而達到盜取或修改數(shù)據(jù)庫中存儲的數(shù)據(jù)的目的。3.14跨站腳本攻擊是入侵者在Web頁面的HTML代碼中插入具有惡意目的的數(shù)據(jù)，用戶認為該頁面是可信賴的，但是當瀏覽器下載該頁面，嵌入其中的腳本將被解釋執(zhí)行，從而威脅用戶瀏覽過程的安全。3.153DB14/T2241—2020回滾操作是程序或數(shù)據(jù)處理錯誤，將程序或數(shù)據(jù)恢復到上一次正確狀態(tài)的行為。3.16CA認證CA認證，即電子認證服務，是指為電子簽名相關各方提供真實性、可靠性驗證的活動。數(shù)字證書的機構是負責發(fā)放和管理數(shù)字證書的權威機構，并作為電子商務交易中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任。3.17RA認證RA（RegistrationAuthority是數(shù)字證書認證中心的證書發(fā)放、管理的延伸。主要負責證書申請者的信息錄入、審核以及證書發(fā)放等工作，同時，對發(fā)放的證書完成相應的管理功能。發(fā)放的數(shù)字證書可以存放于IC卡、硬盤或軟盤等介質中。RA系統(tǒng)是整個CA中心正常運營不可缺少的一部分。4業(yè)務軟件系統(tǒng)軟件研發(fā)周期軟件安全開發(fā)涵蓋了軟件的整個生命周期。軟件安全周期是軟件從產(chǎn)生到發(fā)布的生命周期，參考圖1，包括項目啟動、需求分析、原型設計、需求設計、研發(fā)設計、開發(fā)階段、測試階段、系統(tǒng)發(fā)布八個階段，相關階段產(chǎn)物參見附錄A。業(yè)務軟件系統(tǒng)研發(fā)單位同時也應按照GB/T30998-2014，對研發(fā)過程進行規(guī)范管理，并記錄相關過程和結果。4DB14/T2241—2020圖1業(yè)務軟件系統(tǒng)軟件研發(fā)周期5DB14/T2241—20205軟件系統(tǒng)安全設計的基本內容5.1設計要求軟件系統(tǒng)安全設計應按照GB/T22239-2019，根據(jù)業(yè)務軟件設計要求，進行網(wǎng)絡安全等級保護。5.2身份鑒別在身份認證方面，要求如下：a)可接入到統(tǒng)一認證中心（部級CA認證，省級RA認證）；b)應采用合適的身份認證方式，應采用雙因子認證方式，認證方式如下：1)用戶名、口令認證；2)動態(tài)口令認證、GA認證；3)證書認證，證書必須有載體，比如USBKEY（注：生產(chǎn)環(huán)境中，應使用USBKEY，不能私自導出證書）；4)短信認證。c)應設計密碼的存儲和傳輸安全策略：1)禁止在數(shù)據(jù)庫中明文存儲用戶密碼；2)禁止在基于HTML5中SessionStorage、LocalStorage、Cookie中保存明文密碼；3)應采用單向散列加密技術在數(shù)據(jù)庫中存儲用戶密碼；4)用戶若忘記密碼，應通過郵件驗證，并使用手機號碼及短信驗證，找回密碼；5)用戶若忘記密碼，且郵件地址及手機號發(fā)生變更，應通過管理員進行密碼找回。d)應設計密碼使用安全策略，包括密碼長度、復雜度、更換周期等，輸入字符應可見；1)弱密碼：復雜度單一，長度小于8位，滿足兩項；中密碼：復雜度三種類型，長度大于8位，滿足其中一項；強密碼：復雜度三種類型，長度大于8位，滿足兩項；2)更換周期具體要求見附錄A；e)應設計圖形驗證碼，增強身份認證安全，隨機生成且包含字母、數(shù)字、字母數(shù)字組合或中文驗證碼的組合,具體詳情見附錄A；f)應設計賬號鎖定功能限制連續(xù)失敗登錄，具體詳情見附錄A；g)應根據(jù)系統(tǒng)設計限制重復登陸賬號；h)對提供單點登錄的分布式業(yè)務軟件系統(tǒng)的用戶應提供單點標識，且單點標識應具有與常規(guī)標識相同的安全性。5.3訪問控制在授權方面，要求如下：a)應設計資源訪問控制方案，驗證用戶訪問權限；b)電子政務外網(wǎng)等線上業(yè)務應設計后臺管理控制方案：后臺管理應采用白名單方式對訪問的來源IP地址進行限制；c)應設計在后端實現(xiàn)訪問控制，禁止僅在前端實現(xiàn)訪問控制；d)授權粒度應根據(jù)業(yè)務軟件系統(tǒng)的角色和功能分類進行限制。5.4安全審計6DB14/T2241—2020用戶訪問業(yè)務軟件系統(tǒng)時，應對登錄行為、業(yè)務操作以及系統(tǒng)運行狀態(tài)進行記錄與保存，保證操作過程可溯源、可審計，確保業(yè)務日志數(shù)據(jù)的安全。要求如下：a)日志記錄事件應包含以下事件：1)訪問控制信息，比如：由于登陸失敗超出嘗試次數(shù)的限制而引起的賬號鎖定信息；2)用戶權限的變更；3)用戶密碼的變更；4)用戶試圖執(zhí)行角色中沒有明確授權的功能；5)用戶賬戶的創(chuàng)建、注銷、鎖定、解鎖；b)審計日志應包含如下內容：1)事件的日期、時間（時間戳）；2)事件類型；3)事件內容；4)事件是否成功；5)請求的來源（例如請求的IP地址）；c)審計日志應禁止包括如下內容（如必須包含，應做模糊處理）：1)敏感信息（如密碼信息等）；2)隱私信息（如身份信息等）；d)應保證業(yè)務日志安全存儲與訪問：1)日志應存儲在數(shù)據(jù)庫中；2)日志保存期限可進行配置；3)應支持與省部級獨立的日志系統(tǒng)進行日志傳輸。5.5通信安全5.5.1接口方式安全設計接口方式安全設計要求如下：a)與其他系統(tǒng)連接，禁止侵入式使用數(shù)據(jù)庫；b)本系統(tǒng)前后端數(shù)據(jù)傳輸，可通過Json進行傳輸；c)本系統(tǒng)與其他系統(tǒng)連接進行身份認證，可通過token認證；d)本系統(tǒng)信息傳輸過程中，應注意防止中間人攻擊，保障數(shù)據(jù)的可靠性和穩(wěn)定性；e)對外接口設計必須有接口版本號，每次變更應考慮向下兼容性，基本原則：輕易不刪除舊接口，新增接口要有版本號。），3)修訂號：增加新的接口時增加；在接口不變的情況下，增5.5.2數(shù)據(jù)安全設計數(shù)據(jù)安全設計要求如下：a)應使用加密技術對傳輸?shù)拿舾行畔⑦M行保護,敏感度信息判別見附錄A表A.4，加密方式選擇見附錄A；7DB14/T2241—2020b)應使用安全的傳輸協(xié)議（如:HTTPS、SFTP、SCP等加密傳輸協(xié)議）來傳輸敏感度中度級別以上的文件；c)臨時數(shù)據(jù)使用后需進行存儲或銷毀處理。5.5.3會話安全在會話管理方面，要求如下：a)登錄成功后應建立新得會話：1)在用戶認證成功后，應為用戶創(chuàng)建新的會話并釋放原有會話，創(chuàng)建的會話憑證應滿足隨機性和長度要求，避免被攻擊者猜測；b)應確保會話數(shù)據(jù)的存儲安全：1)用戶登錄成功后所生成的會話數(shù)據(jù)應存儲在后端，并確保會話數(shù)據(jù)不能被非法訪問；2)更新會話數(shù)據(jù)時，應對數(shù)據(jù)進行嚴格的輸入驗證，避免會話數(shù)據(jù)被非法篡改；c)應及時終止會話：1)當用戶登錄成功并成功創(chuàng)建會話后，應在系統(tǒng)的各個頁面提供用戶退出功能；2)退出時應及時注銷服務器端的會話數(shù)據(jù)；d)本系統(tǒng)消息會話類數(shù)據(jù)傳輸，可通過ws、wss進行連接；e)應設計合理的會話存活時間，超時后應銷毀會話，并清除會話的信息；f)應能夠對系統(tǒng)的最大并發(fā)會話連接數(shù)進行限制。5.5.4其他要求除上述要求之外還應：a)應確保采用的安全協(xié)議不包含已公開漏洞；b)云端業(yè)務軟件系統(tǒng)的外鏈業(yè)務應使用反向代理進行訪問，Web和數(shù)據(jù)庫服務器建立連接訪問，應使用內網(wǎng)域名進行訪問，避免使用IP地址訪問；c)通過互聯(lián)網(wǎng)域名訪問業(yè)務軟件系統(tǒng)應考慮聯(lián)通、電信、移動負載線路及IPV4、IPV6雙站兼容。5.6容錯設計5.6.1異常消息異常消息一般包含了針對開發(fā)和維護人員調試使用的系統(tǒng)信息，這些信息將增加攻擊者發(fā)現(xiàn)潛在缺陷并進行攻擊的機會。要求如下：a)應使用異常處理機制；b)應使用通用錯誤信息：1)程序發(fā)生異常時，應重定向到特定網(wǎng)頁；2)應向前端返回一般性錯誤消息；a)程序發(fā)生異常時，應終止當前業(yè)務，并對當前業(yè)務進行回滾操作。5.6.2其他要求除上述要求之外還應：a)業(yè)務軟件系統(tǒng)應分為調試和生產(chǎn)環(huán)境兩個狀態(tài)，在生產(chǎn)狀態(tài)下產(chǎn)生的邏輯錯誤不應反饋給用戶；b)業(yè)務軟件系統(tǒng)對高并發(fā)接口，應采用微服務架構、Docker容器技術等技術；8DB14/T2241—2020c)業(yè)務軟件系統(tǒng)應選取合適的部署操作系統(tǒng)，比如使用Linux，可充分利用I/O多路復用，占用資源少、性能好的特性。5.7數(shù)據(jù)庫安全數(shù)據(jù)庫安全包括：a)數(shù)據(jù)庫的運行環(huán)境，應考慮單機部署以及分布式部署；b)數(shù)據(jù)庫采用分布式部署方式應注意主鍵ID生成算法，例如采用雪花、uuid等算法；c)數(shù)據(jù)庫設計時，應注意業(yè)務邏輯不要過于復雜，應對索引優(yōu)化；d)數(shù)據(jù)庫設計時，使用查詢應通過視圖，報表展示應使用map；e)數(shù)據(jù)庫設計時，應考慮穩(wěn)定性、安全性（多級安全）；f)數(shù)據(jù)庫設計時，應讀寫分離，提升存取速度；g)數(shù)據(jù)庫設計訪問過程時，應以最小權限設計為主；h)數(shù)據(jù)庫設計時，應考慮中間件對耗時語句的處理；i)數(shù)據(jù)庫設計時，應減少使用存儲過程；j)與數(shù)據(jù)庫互聯(lián)地址，如果為一臺服務器，一臺數(shù)據(jù)庫，應采用IPV4私網(wǎng)地址，掩碼根據(jù)具體服務器數(shù)量進行計算。6通用要求6.1安全原則安全原則應包含：a)保護最薄弱的環(huán)節(jié)原則：保護最易受攻擊影響的部分；b)縱深防御原則：不同層面、不同角度之間需要相互配合；c)最小權限原則：只授予執(zhí)行操作所需的最小權限；d)最小共享原則：使共享文件資源盡可能少；e)權限分離原則：授予不同用戶所需的最小權限，并在它們之間形成相互制約的關系。6.2輸入和輸入驗證要求如下：a)應設計多種輸入驗證的方法，包括：1)應檢查數(shù)據(jù)是否符合設定的類型；2)應檢查數(shù)據(jù)是否符合設定的長度；3)應檢查數(shù)值數(shù)據(jù)是否符合設定的數(shù)值范圍；4)應檢查數(shù)據(jù)是否包含特殊字符；5)應使用正則表達式進行檢查；b)前后端都應進行輸入驗證：1)應建立統(tǒng)一的輸入驗證接口，為整個系統(tǒng)提供一致的驗證方法；2)應將輸入驗證策略作為應用程序設計的核心元素；c)應對輸入內容進行規(guī)范化處理后在進行驗證，如文件路徑、URL地址等，規(guī)范化為標準的格式后再進行驗證；d)根據(jù)輸入目標的不同，應對輸出數(shù)據(jù)進行相應的格式化處理。6.3配置管理9DB14/T2241—2020在配置管理方面，要求如下：a)Web目錄使用配置文件，以防止可能出現(xiàn)的服務器配置漏洞導致配置文件被下載；b)應避免以純文本形式存儲重要配置，如數(shù)據(jù)庫連接字符串或賬戶憑據(jù)。6.4參數(shù)操作操作參數(shù)攻擊是一種更改在Web應用程序發(fā)送的參數(shù)數(shù)據(jù)的攻擊，包括查詢字符串、cookie和HTTP標頭。要求如下：a)應避免使用包含敏感數(shù)據(jù)或者影響服務器安全邏輯的查詢字符串參數(shù)；b)應使用會話標識符來標識客戶端，并將敏感項存儲在服務器上的會話存儲區(qū)中；c)應使用HTTPPOST來代替GET提交窗體，避免使用隱藏窗體；d)應驗證從客戶端發(fā)送的所有數(shù)據(jù)。7軟件開發(fā)管理7.1需求管理階段需求管理階段應：a)確認安全需求規(guī)格說明，需求管理參見附錄B；b)項目經(jīng)理、需求對接人員、軟件架構工程師以及駐場開發(fā)人員，在深入調研系統(tǒng)需求前應簽訂保密協(xié)議；c)承保公司應以書面的方式提供管理制度、工作制度以及考核制度；d)第三方進行代碼審計服務時，可驗收時進行也可開發(fā)同步進行。7.2系統(tǒng)實現(xiàn)階段系統(tǒng)實現(xiàn)階段應符合如下要求：a)項目安全管理要求：1)軟件研發(fā)開始前，應根據(jù)確認的需求，并提交項目立項報告，參見附錄B；2)軟件研發(fā)過程中，應對項目中出現(xiàn)的重大問題進行管控，并完成項目重大問題跟蹤表，參見附錄B；3)軟件研發(fā)過程中，若出現(xiàn)意外情況，無法按期完成項目，應提交項目變更申請表，參見附錄B；4)軟件研發(fā)過程中，應對項目進度進行階段性管控，完成項目進度報告，參見附錄B；5)源代碼的變更和版本發(fā)布進行統(tǒng)一控制，對程序資源庫的任何修改、更新和發(fā)布都需經(jīng)部門主管領導授權和批準，應記錄在冊，供驗收時查驗；b)開發(fā)環(huán)境安全管理要求：1)軟件系統(tǒng)開發(fā)、測試禁止在生產(chǎn)環(huán)境中進行；2)開發(fā)環(huán)境中的使用的操作系統(tǒng)、開發(fā)軟件等應進行統(tǒng)一安全配置，及時進行系統(tǒng)補丁升級和漏洞修復；3)軟件程序不得篡改應用軟件所運行的環(huán)境或平臺中任何安全配置、安全文件和安全程序；c)編碼安全要求：1)應按照安全編碼規(guī)范以及安全設計方案進行系統(tǒng)開發(fā)；2)應按照機密性要求，保護用戶信息的機密性；3)應按照異常處理機制，捕捉并處理程序異常，防止系統(tǒng)信息泄露；DB14/T2241—20204)應按照代碼脆弱性防范要求，嚴格處理輸入輸出驗證、接口調用等，不應產(chǎn)生SQL注入、跨站腳本攻擊等嚴重漏洞；d)開發(fā)流程安全要求：1)開發(fā)過程中應定期進行代碼靜態(tài)分析，使用代碼審核工具對源代碼進行檢測，并報告源代碼中存在的安全弱點；2)開發(fā)人員不得超越其規(guī)定權限進行開發(fā)，不得在程序中設置后門或惡意代碼程序。7.3系統(tǒng)測試階段系統(tǒng)測試包括代碼的安全測試和安全功能測試，包含以下要求：a)系統(tǒng)測試應按照業(yè)務軟件系統(tǒng)安全設計基本要求進行測試，檢查業(yè)務軟件系統(tǒng)安全設計是否滿足本規(guī)范；b)代碼的安全測試是指使用代碼測試工具或滲透測試來識別代碼的安全脆弱性，并應按照其提供的修復建議進行修復，范圍包括自己開發(fā)的代碼以及引用的第三方控件代碼；c)安全功能測試包括身份認證和訪問控制的功能測試；d)測試系統(tǒng)環(huán)境應盡可能模擬生產(chǎn)環(huán)境并與生產(chǎn)環(huán)境進行安全物理隔離；e)真實數(shù)據(jù)不得直接在測試環(huán)境中使用，須進行適當修改或屏蔽，在測試完成之后須立即從測試應用系統(tǒng)清除運行信息；f)測試人員應編制安全測試方案；g)驗收測試不得由開發(fā)人員兼崗；h)測試完成后應編寫測試報告，參見附錄B。7.4系統(tǒng)發(fā)布階段系統(tǒng)發(fā)布階段包含以下要求：a)配置管理員應妥善保管程序源代碼及相關技術文檔；b)應歸檔項目產(chǎn)品交付清單，包括開發(fā)文檔、數(shù)據(jù)庫設計文檔、操作手冊文檔，參見附錄B；c)應對業(yè)務軟件系統(tǒng)使用人員進行相關培訓。8安全運維8.1備份方式規(guī)范系統(tǒng)應提供有效的熱備、冷備備份方式及備份策略，保障業(yè)務系統(tǒng)安全運行。8.2其他的安全防護規(guī)范其他的安全防護應包含：a)針對Web保護與防御系統(tǒng)，應部署Web應用防火墻設備；b)對業(yè)務軟件系統(tǒng)進行管理時，不允許公網(wǎng)直接訪問，需通過VPN進行訪問；c)可采用國密保密機保障數(shù)據(jù)的安全性。8.3備份對象規(guī)范業(yè)務軟件系統(tǒng)的備份對象應包含以下：a)系統(tǒng)數(shù)據(jù)的備份：數(shù)據(jù)庫、文件服務器中的文件以及其他數(shù)據(jù)；b)系統(tǒng)的完全備份：應包括關鍵基礎設施，通過NAS的完全備份，實現(xiàn)快速的災難恢復；DB14/T2241—2020c)系統(tǒng)配置的備份：應包括關鍵路由器的配置、防火墻的配置、各類服務器操作系統(tǒng)的安全配置以及各類服務器中間件和容器的配置。8.4安全升級規(guī)范業(yè)務軟件系統(tǒng)的安全升級應按照以下要求：a)應提前在模擬生產(chǎn)環(huán)境中完成升級測試，保證系統(tǒng)升級的安全性；b)升級前應做好數(shù)據(jù)、程序、配置腳本等的備份，以防出現(xiàn)升級失敗后能夠立即快速恢復；c)升級過程中應保證一人執(zhí)行一人監(jiān)督，以防止升級過程中出現(xiàn)誤操作；升級完成后應進行升級驗證測試，保障業(yè)務軟件系統(tǒng)正常運行。DB14/T2241—2020參考表表A.1闡述了業(yè)務軟件系統(tǒng)研發(fā)周期及產(chǎn)物。表A.1業(yè)務軟件系統(tǒng)研發(fā)周期及產(chǎn)物表表A.2闡述了更換密碼周期。表A.2更換