安全关键技术标准规范.doc
《安全关键技术标准规范.doc》由会员分享,可在线阅读,更多相关《安全关键技术标准规范.doc(15页珍藏版)》请在咨信网上搜索。
安全设计规范(参照) · 前端不能直接访问数据库,应采用三层架构(体现层、业务逻辑层、数据访问层) 通用 · 应不信任、不依赖客户端安全控制办法,无论客户端采用何种办法,服务器侧都必要对顾客提交数据进行合法性检测 通用 · 登录入口应具备防止暴力猜解及撞库猜解(运用已泄漏密码字典进行尝试)办法,超过设定失败次数需要启用锁定或CAPTCHA图片随机码 通用 · 顾客口令主保护办法使用SHA256/SHA512/SHA-3或更高强度散列算法,不使用MD5或SHA-1 通用 · 交易/支付过程应形成完整证据链,待交易数据应通过发起方数字签名 通用 · 软件升级/规则下发等数据分发过程,接受方应验证数据源完整性(数字签名/HASH等) 通用 · 设计上支持SOD( Seperation of Duty权限分离),操作系统管理员、应用管理员、数据库管理员可以由不同人员担任 通用 · 软件发布前应通过数字签名 客户端 · 启动时应对软件包所含所有可执行文献、库、配备文献进行完整性校验,防止篡改或替代 客户端 · 客户端与服务器建立会话前应一方面验证服务器证书合法性,防止顾客流量被劫持 客户端 安全开发规范(参照) · 前端不能直接访问数据库,应采用三层架构(体现层、业务逻辑层、数据访问层) 通用 · 登录入口应具备防止暴力猜解及撞库猜解(运用已泄漏密码字典进行尝试)办法,超过设定失败次数需要启用锁定或CAPTCHA图片随机码 通用 · 应不信任、不依赖客户端安全控制办法,无论客户端采用何种办法,服务器侧都必要对顾客提交数据进行合法性检测 通用 · SQL语句应使用预编译和绑定变量机制以实现SQL指令和参数分离,不要拼接SQL语句,如有必要拼接场景,应对每个参数进行合法性验证,涉及整型验证、单引号数据库转义(将单引号转换为两个单引号)等 通用 · 对需要输出到顾客浏览器任何由顾客创造内容,应在输出到浏览器之前或持久化存储之迈进行转义(至少对<>转义为<;>)以防止跨站袭击脚本(XSS) 通用 · 针对交易或特权操作,应防止跨站祈求伪造,应在框架层面为每个Form启用隐藏属性CSRF Token,或者使用图片CAPTCHA由顾客手工输入,或者使用支付口令等办法,修改密码须输入原密码,以防止跨站祈求伪造(CSRF) 通用 · 应限定顾客上传附件类型,并对顾客提交图片/资源进行二次渲染(或添加水印/格式转换等)以破坏其原有构造,防止引入有害文献(网页木马等) 通用 · 不使用途径或文献名作参数以防止目录遍历,不接受/不信任/不展示未经验证外部图片或资源链接 通用 · 顾客口令主保护办法使用SHA256/SHA512/SHA-3或更高强度散列算法,不使用MD5或SHA-1 通用 · 对敏感信息纪录做恰当隐藏(如以星号代替某些信息),不发送/不展示完整敏感信息,数据库应对敏感信息某些字段进行加密,保证泄露之后不能构成完整信息纪录 通用 · 交易/支付过程应形成完整证据链,待交易数据应通过发起方数字签名 通用 · 软件升级/规则下发等数据分发过程,接受方应验证数据源完整性(数字签名/HASH等) 通用 · 如条件满足,建议使用代码审计工具对代码进行扫描,无高危缺陷视为通过 通用 · 软件开发工具均为直接从官方站点下载正版软件,而不是从第三方站点所获取 客户端 · 客户端软件所包括开源组件均为安全稳定版本,并直接从官方站点下载,而不是从第三方站点获取 客户端 · 软件发布前应通过数字签名 客户端 · 启动时应对软件包所含所有可执行文献、库、配备文献进行完整性校验,防止篡改或替代 客户端 · 客户端与服务器建立会话前应一方面验证服务器证书合法性,防止顾客流量被劫持 客户端 · 所有接受外部输入参数,应执行边界检查,以防止缓冲区溢出 客户端 安全测试规范(参照) · 测试用例应包括每个HTTP参数SQL注入测试 通用 · 测试用例应包括每个HTTP参数XSS测试 通用 · 测试用例应包括检测到文献包括(File Inclusion,使用HTTP参数传递文献途径或文献名)直接鉴定为不通过 通用 · 测试用例应包括不同角色互相互换链接权限测试,链接为对方无权访问链接 通用 · 如Web应用提供上传功能,测试用例应包括上传网页木马测试 通用 · 测试用例应包括检测也许导致信息泄露冗余备份文献,涉及zip/tar/tar.gz等 通用 · 如条件满足,建议使用漏洞扫描工具(如WebCruiser Web Vulnerability Scanner等)对测试环境进行扫描 通用 · 软件发布前应通过数字签名 客户端 · 启动时应对软件包所含所有可执行文献、库、配备文献进行完整性校验,防止篡改或替代 客户端 · 客户端与服务器建立会话前应一方面验证服务器证书合法性,防止顾客流量被劫持 客户端 安所有署规范(参照) · 应配备Web服务器(Apache/Nginx等)以静态方式展示顾客上传图片资源,禁止应用服务器(PHP/JSP/CGI等)动态展示顾客上传资源 通用 · 禁止为后台服务器(数据库等)配备互联网IP地址,仅使用局域网地址 通用 · 禁止数据库端口直接向互联网开放 通用 · 应关闭不需要服务/端口 通用 · 配备网站HTTPS证书或其他加密传播办法 通用 · 检查各中间件(Web服务器软件、框架、数据库等)版本,确认是安全/稳定版本 通用 · 如已建立内部运维通道,禁止后台管理入口、运维及远程控制端口向互联网开放 通用 · 禁止在应用中配备使用数据库超级账号,应为应用配备专用账号并授予合理权限 通用 · 回收修改操作系统账号、数据库账号,以及其他外部集成账号口令 通用 · 确认没有使用空口令、弱口令、通用口令(多处重复使用同一种口令) 通用 · 软件发布前应通过数字签名 客户端 · 禁止以root权限运营业务逻辑(网站应用层) 通用 · 禁止在应用层配备使用数据库超级管理员账号 通用 · 检查确认操作系统、数据库以及所使用所有中间件,已安装最新安全补丁 通用 人与人之间距离虽然摸不着,看不见,但确确是一杆实实在在秤。真与假,善与恶,美与丑,尽在秤杆上可以看出;人心大小,胸怀宽窄,拨一拨秤砣全然知晓。 人与人之间距离,不可太近。 与人太近了,经常看人不清。一种人既有长处,也有缺陷,所谓人无完人,金无赤足是也。初识时,走得太近就会模糊了局限性,宠之;时间久了,原本美丽之处也成了瑕疵,嫌之。 与人太近了,便随手可得,有时得物,据为己有,太过贪财;有时得人,为己所用,也许贪色。贪财也好,贪色亦罢,都是一种贪心。 与人太近了,最可悲就是会把自己丢在别人身上,找不到自己影子,忘了回家路。 这世上,主线没有零距离人际关系,由于人总是有一份自私,人与人之间太近距离,易滋生事端,恩怨相随。因此,人与人相处太近了,便徐徐相远。 人与人之间距离也不可太远。 太远了,就像放飞风筝,过高断线。 太远了,就像南徙大雁,失群哀鸣。 太远了,就像失联旅人,形单影只。 人与人之间距离,有时,先远后近;有时,先近后远。这每次变化之中,总是有一种难以忘掉故事或者一段难以割舍情。 有时候,人与人之间距离,突然间近了,其实还是远;突然间远了,必定是伤了谁。 人与人之间距离,如果是一份信笺,那是怀念;如果是一种微笑,那是宽容;如果是一句问候,那是情谊;如果是一次付出,那是责任。这样距离,即便是远,但也很近。 最怕,人与人之间距离就是一句失真谗言,一种不屑眼神,一叠诱人纸币,或者是一条无法逾越深谷。这样距离,即便是近,但也很远。 人与人之间最美距离,就是不远不近,远中有近,近中有远,远而不离开,近而不相丢。 太远距离,只需要一份宽容,就不会走得太远而行同陌人;太近距离,只需要一份自尊,就不会走得太近而丢了自己。不远不近距离,多像一朵艳丽花,一首悦耳歌,一首优美诗。 人生路上,每个人相遇、相识,都是一份缘,咱们都是互相之间不可或缺伴。 人与人之间距离虽然摸不着,看不见,但确确是一杆实实在在秤。真与假,善与恶,美与丑,尽在秤杆上可以看出;人心大小,胸怀宽窄,拨一拨秤砣全然知晓。 人与人之间距离,不可太近。 与人太近了,经常看人不清。一种人既有长处,也有缺陷,所谓人无完人,金无赤足是也。初识时,走得太近就会模糊了局限性,宠之;时间久了,原本美丽之处也成了瑕疵,嫌之。 与人太近了,便随手可得,有时得物,据为己有,太过贪财;有时得人,为己所用,也许贪色。贪财也好,贪色亦罢,都是一种贪心。 与人太近了,最可悲就是会把自己丢在别人身上,找不到自己影子,忘了回家路。 这世上,主线没有零距离人际关系,由于人总是有一份自私,人与人之间太近距离,易滋生事端,恩怨相随。因此,人与人相处太近了,便徐徐相远。 人与人之间距离也不可太远。 太远了,就像放飞风筝,过高断线。 太远了,就像南徙大雁,失群哀鸣。 太远了,就像失联旅人,形单影只。 人与人之间距离,有时,先远后近;有时,先近后远。这每次变化之中,总是有一种难以忘掉故事或者一段难以割舍情。 有时候,人与人之间距离,突然间近了,其实还是远;突然间远了,必定是伤了谁。 人与人之间距离,如果是一份信笺,那是怀念;如果是一种微笑,那是宽容;如果是一句问候,那是情谊;如果是一次付出,那是责任。这样距离,即便是远,但也很近。 最怕,人与人之间距离就是一句失真谗言,一种不屑眼神,一叠诱人纸币,或者是一条无法逾越深谷。这样距离,即便是近,但也很远。 人与人之间最美距离,就是不远不近,远中有近,近中有远,远而不离开,近而不相丢。 太远距离,只需要一份宽容,就不会走得太远而行同陌人;太近距离,只需要一份自尊,就不会走得太近而丢了自己。不远不近距离,多像一朵艳丽花,一首悦耳歌,一首优美诗。 人生路上,每个人相遇、相识,都是一份缘,咱们都是互相之间不可或缺伴。- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全 关键技术 标准规范
咨信网温馨提示:
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【人****来】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【人****来】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【人****来】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【人****来】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
关于本文