软件安全系统系统白皮书指标.docx
《软件安全系统系统白皮书指标.docx》由会员分享,可在线阅读,更多相关《软件安全系统系统白皮书指标.docx(23页珍藏版)》请在冰点文库上搜索。
软件安全系统系统白皮书指标
软件安全白皮书指标
前言
介于我司现阶段对于软件产品项目的质量及安全性要求,特此制作此文,以便日后工作对应开展及提升品牌价值,软件产品质量做出指导性描述。
目的
安全性是软件的质量的一个重要属性。
狭义较多关注软件的失效安全性问题,即软件运行不引起系统事故的能力,强调的是一类安全关键软件的安全性失效可能造成重大安全,生产,及核心数据丢失等高风险事故,因此对于失效安全性的度量主要简历在可靠性理论基础的安全度,失效度,平均事故间隔,软件事故率等。
对于失效安全性测试,常用测试方法目前有基于故障树的测试基于最小割集测试。
对于保密安全性。
ISO9126质量模型将其定义为与防止对程序和数据进行非法存储的预防能力有关的质量属性。
软件安全性是软件在收到恶意攻击时仍提供所需功能的能力。
以此为作为软件自身的一个质量管理重要系数,因此特别指定此指标
1.白皮书格式要求
1.标题标头:
包含明确的产品及时间信息
2.前言:
包含软件自身的需求关系和基础定义,方向目的等
3.术语定义:
文章中出现的对应学术名词或专业名词的一个标准化解释
4.自安全:
自身安全逻辑,一般包括组织安全,法规安全,人员安全等
5.数据安全:
对于数据的安全体系要求,及配套的保密规则
6.应用安全:
软件自身功能是否存在逻辑漏洞,是否存在其他数据被调用转出
7.系统&环境(逻辑)安全:
对于软件逻辑,开发系统配置的具体要求
8.环境(物理)安全:
对于服务器或端口及使用人的一部分约束要求
9.灾难恢复与业务连续性(容错):
对于软件自身的一定管控要求
2.安全测试分类
安全功能测试
1.安全功能目的测试
2.安全漏洞测试
渗透测试
1.信息渗透测试
2.注入渗透测试
验证过程测试
3.安全指标的选择
基于产品本身的需求作为出发点,根据不同的环境及时间周期,制定不同的安全指标
4.基于组织或个人的安全指标
1.基于人
1.1尽职调查
在职软工,我司需要在国家法律法规允许的情况,通过一系列背景调查手段确保入职的员工符合公司的行为准则,保密规定,商业道德和信息安全政策,背景调查手段涉及刑事、职业履历和信息安全等发面,背景调查的程度取决于岗位的需求
1.2安全生产调查
在入职后,所有员工必须签署保密协议,确认收到并准守我司的安全策略和保密要求,尤其有关于核心数据的机密性要求,将在入职培训过正中被重点强调。
此外应对于核心数据岗位定期进行额外信息安全培训,确保员工管理的数据必须按照安全策略进行执行,同时通过企业价值观,核心价值观,自身价值观来多维确认员工是否诚信,敬业的态度管理其每一个项目数据,保证其对于需求方,合作伙伴和竞争对手的尊重;建立内部反安全应对策略
2.基于合规
2.1基于安全体系
1)IOS/IEC27002,推动信息安全体系(ISMS)建立与实施,采用以风险管理为核心的方法管理公司和用户信息,保障信息的保密性,完整性及可用性;安全审计团队依据该安全标准,审批软件技术方案与技术框架内部信息的安全管理同国际信息安全最佳实践接轨,完成对于软件整体附加值的提升
2)等级保护基础要求:
根据国家下发的《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》开展信息安全你等级保护工作,主要是指对国家、法人、和其他组织及公民的专有信息,公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实施按等级管理,对于信息系统中发生的信息安全年时间分等级进行相应与处理
2.2基于政府法规
准守国家关于信息安全的相关法律、法规要求,设置专门的信息安全监控机构,专门监控人员,时时跟进,监控软件研发及实施中的信息安全问题,已确保产品符合国建有关知识产权相关法律和法规要求。
开发中,如有第三方介入需求,我司必须与其签署保密协议,并通过定期检查识别、记录,评审保密四二一中的数据安全的相关控制要求(例如访问空、防泄漏手段,数据外泄应急处理及软件整体完整性要求),防止不正当披露、篡改和破坏数据。
3.基于团队
在产品项目整体规划研发阶段应制定对应质量及安全性管理审计团队,其中应包含如下角色:
A:
安全管理委员会:
由关键部位项目审批负责人组成
B信息安全关键人:
由专业的信息安全人员担任,主要负责拥有应用安全,系统&网络逻辑安全,安全开发专项能力
C:
安全审计关键人:
由专业法律人员担任,主要负责产品的系统化的检测,控制,处理,独立审查,已确定是否符合信息安全体系要求及标准,是否符合我国法律法规,,例如GB/T《信息安全等级保护基本要求》《中国人民共和国广告法》等
D:
物理安全关键人:
有专业技术人员担任,主要负责我方机房安全符合国家标准:
GB/T2887-2000:
《计算机场地通用规范》
GB50174-93:
《电子计算机机房设计规范》
GB9361-88:
《计算机场地安全要求》
用以保证我方软件服务器及配套服务的正常稳定高效安全性
5.基于软件开发的安全指标
1.数据分级指标
软件应对所有用户和企业及业务数据提供存储安全保证;根据数据的密度关系不同,实施数据等级保护策略,按照数据按价值和敏感度对数据进行等级划分,根据数据安全分级,有应对的保护策略和要求,对关键性数据进行安全存储于保护
0级数据:
加密传输处理:
一般属于直接接受,未经处理的,包括全部数据数据信息在内的原始数据
1级数据:
加密传输处理:
一般对于没有进行处理的数据,进行重新构建,分析采集,配准处理完成时间,属于一般使用级别数据
2级数据:
二维加密传输处理:
一般使用数据中涉及统计,分析,产生关联的数据,此类数据需要进行对应的数据区分和保全
3级数据:
二维加密传输,二级编译处理:
涉及密码,用户隐私信息,业务往来信息的部分信息,应对此类传输及使用进行对点端加密,杜绝无授权查看,使用
4.级数据:
二维加密,二级编译处理,分持制:
涉及软件核心算法,后台主要运营数据,关系人及客户供求信息数据必须进行分类存储,一般拒绝在单一表单中一同出现,杜绝单独人员持有此类数据,如有迁移或移动处理,必须两人分持
5.级数据:
涉及银行,国有资产,国家利益的数据一律属于此类数据,此类数据的调用及使用必须授权并在现场使用,用完即毁
2.数据安全与加密指标
以数据为中心的安全愿景,通过数据分类分级。
数据加密和密钥管理为敏感数据提供可持续的信息保护,实现数据的灵活性、可靠性、和可管理性:
借助密钥管理中心和加/解密产品实现数据安全保护和控制,将安全技术嵌入至整个数据安全生命周期中,以保证数据安全属性。
3.密钥管理指标
密钥管理,应为唯一管理系统,作为公司内部软件开发及数据库权限介入唯一管理系统,为众多核心业务提供专项密钥服务,保证全涉密数据解密密钥存储,使用,分发,更新.提供数据加密及业务敏感数据保护。
它的设计与管理必须满足需求方对于行业的合规性及审计要求。
4.数据访问及第三方授权应用访问其敏感信息指标
我司产品中存在与他方合作或存在第三方介入开发的企业或个人,我方所引入的产品使用数据,用户隐私或企业业务数据,必须经过企业,用户可感知的方式授权
5.数据使用与防爬指标
需求方与我方数据在产品中进行了等级保护,对用户使用和应用展示进行需要严格,禁止展示机密信息及未脱敏信息的外泄,同时对于需要这还是你会信息的产经,使用防爬技术进行干预,阻断对应敏感信息的收索引擎的抓取
6.数据安全审计指标
安全数据及信息审计应该覆盖整个项目研发过程,并严格详细记录每次风险数据的去向跟踪和周期,进行实时的语境分析和行为过滤,从而实现用户登录行为,上传数据及文件,敏感字母数据注入实现监管,核心数据调取必须拥有记录,对应操作者必须有迹可循
7.数据销毁管理指标
所有存储在软件产品内的存储介质数据,如需要维护,必须进行对应备案保全:
1.需要严格报备销毁项目数据,涉及范围。
迁移迁出数据必须记录数据流向
2.所用数据调取他用必须提前申请,数据在使用完成后,必须三方见证下销毁,不得带回,带离当前物理环境
3.所有物理介质销毁必须遵循:
备案->备份->逻辑销毁->物理消磁->物理销毁步骤
6.基于软件完整性的安全指标
1.软件整体封包指标(逆编译指标)
对外广范围使用软件必须具有标准封包完整性,拒绝他方在无授权情况下,短时间对我方软件进行开源及破解,杜绝产品缺陷漏洞造成的不必要损失
2.账号安全指标
账号安全体系依托于口令策略和访问控制策略进行管控,禁用弱口令,监控非法登录尝试。
对于单独用户批量尝试登录站好进行监控报警,发现攻击行为,可以对于此设备网络地址进行屏蔽
指标:
1.拥有弱口令列表,禁用列表内登录口令
2.拥有非直线验证登录功能(例如增加验证码将直线登录变更为跃迁登录)
3.拥有登录访问专项日志
4.拥有登录方身份撞墙应对策略
5.拥有二级交易密码,且与一级密码不同
3.暴力破解&撞库防御指标
产品登录账号必须具有可信设备判断或二次验证功能,产品在涉及研发阶段应考虑整体软件的后端风控问题,应对恶意登录进行日志记录,通过非直线输入验证方式来对应处理恶意撞墙和字典刷库的行为,必要时可以对风险账号进行通知和封禁
4.协议安全指标
基于网络交互协议TCP/IP及SSL/TLS协议为应用程序提供数据保密性和完整性的基础上,要有一套独立的安全通讯协议,通过加密用户的网络传输中的信息,防止窃听,以确保信息在网络中的传输安全
5.通讯安全指标
网络反馈信息需要进行保密,因此对于发送短信,发送短消息等涉通讯号码信息部分必须屏蔽非必要暴露缓解
6.功能安全指标
具体视功能要求而定
例如:
1.授权引用功能安全
2.授权可信设备功能安全
3.客户端加密及数据传输加密安全等
7.基于软件逻辑环境的安全指标
1.系统软件安全配置标准指标
产品止咳运行在可信的操作系统版本上,安装软件必须由公司内部运维人员从集团系统管理团队确认跟踪下维护安装可信来源下载的环境与载体
对于通用的系统软件,例如SSH等,需要制定规范的安全配置规范,通过基线系统实现采集服务器上运行的软件版本和配置信息,并进行相应的维护。
安全团队也会跟踪业界内部行业软件更新状态及安全问题,评估服务器上的软件是否有甘泉漏洞,一旦有安全漏洞产生,会通过应急响流程来推动基础软件的漏洞修复
2.系统登录授权访问指标
服务器上的账号依据权限大小,一般分为高低二级用户组,除了线上运维人员拥有较高权限外,普通员工职能申请低权限的用户组
产品在用户登录前端或者后端的时候,要拥有个体账号体系,登录密码账号涉密,各角色权限分配明确,生成专业文档
对于数据访问部分,外部数据必须优先通过壁垒机进行数据筛选后方可进入服务器。
双因子验证,并部署操作日志记录,审计系统介入方便人员分层管理
3.系统安全监测防御指标
软件产品,尤其对外产品,要拥有自主安全监测体制,对于恶意流量进行分析,对于恶意分流,DNS绑架问题,要有明确的预警及应急体制,实现对入侵等安全事件的监控
4.安全域划分指标
软件在开发及运维阶段,应依据用途划分专门的测试,功能,公共服务空间,便于不同使用策略下的安全混淆,相互之间出去部分通过安全策略确认后作为可信中间程序外,相互之间不可互相访问
5.网络访问控制指标
产品网络访问控制指标,请根据产品具体需求进行确认设定
6.流量劫持指标
针对HTTP协议的网络传输过程中,可能会被篡改/窃听/截取,为了防止用户的隐私数据在传输过程中被窃听或者泄露,集团的重要业务都应启用HTTPS协议来代替HTTP协议
对于DNS劫持,应对DNS端口进行进率监控,如异常持续,应对国内范围内重要监控域名进行解析,一旦返现严重的DNS劫持,应有专业安全人员进行快速响应处理
7.DDOS安全防御指标
7.1网络层攻击防御
产品数据应建立赌赢流量清洗功能中心,应具有抵御各类基于网络层、传输层、的DDOS攻击(可能涵盖SYNFlood、UDPDNSQueryFlood、ICMPFLOOD、(M)StreamFlood、UDPFlood等DDOS攻击方式),软件运营服务器拥有后台安全管理,对于网络攻击趋势具有防御预警功能,管理人员应掌握对于过往数据评估攻击趋势的能力
7.2七层攻击防御
软件服务器运营环境,应拥有针对CC攻击,并拥有灵活的针对各中渗透的有效防御功能
8.基于软件物理环境的安全指标
1.物理安全指标
类别
级别
具体内容
国家规范
A(容错型)、
从机房选址、建筑结构、机房环境、安全管理及对供电电源质量要求等方面对机房分级,分为A、B、C三个级别
《电子计算机机房设计规范》(GB50174-92)、《电信专用房屋设计规范》(YD/T5003-2005)
B(冗余型)、
美国标准
TierI
单电源和冷却分布,没有冗余的构件,仍受计划性和非计划性活动所带来的中断影响,只可提供99.671%的可用性(基本数据中心)
美国标准
TierII
单电源和冷却分布,有冗余的构件,可轻微减少计划性和非计划性活动所带来的中断影响,只可提供99.749%可用性(冗余设计数据中心)
ANSI&TIA-942
TierIII
多路可用的电源和冷却分布通道,但平时只有一路在使用,由冗余的构件,可并行维护,所有计划性的基础设施相关活动不会影响计算机硬件的正常运行,只可提供99.982%的可用性(可并行维护数据中心)
数据中心通讯网络基础设施标准
TierIV
多路可用的电源和冷却分布通道,有冗余的构件,并支持容错能力,只可提供99.995%的可用性(容错数据中心)
2.国际行业标准ANSI&TIA-942关于数据中心分级的一些主要技术指标
项目
第一级
第二级
第三级
第四级
基本
具冗余单元
可并行维护
容错
数据中心可用性
99.67%
99.75%
99.98%
100.00%
每年由于基础设施引起的IT服务中断时间
28.8小时
22.0小时
1.6小时
0.4小时
(96分钟)
(24分钟)
建筑物类型
租用
租用,且其它租户没有危险
独立运行,且必须都是数据中心或电信运营商(或自有)
独立运行,且必须都是数据中心或电信运营商(或自有)
供电通路数量
仅有一路
仅有一路
一路主用,一路备用
两路互为热备
供电冗余措施
N
N+1
N+1
S+S或2(N+1)
UPS电源冗余
N
N+1
N+1
S+S或2(N+1)
发电机容量
仅供计算机及通信系统设施的用电及其动力
仅供计算机及通信系统设施的用电及其动力
仅供计算机及通信系统设施的用电及其动力,冗余一台
供大楼内所有负载,冗余一台
根据所安装UPS的容量正确选择发电机
是
是
是
是
发电机燃料供应时间(满负载运行)
8小时(如果UPS有8min的备份时间可以不设置)
24小时
72小时
96小时
UPS电池最少满负载备份时间(有发电机应急电源系统)
5min
10min
15min
15min
重要负载的自动切换
设置带维护旁路的ATS,一旦发生断电,ATS自动切换到发电机供电回路
设置带维护旁路的ATS,一旦发生断电,ATS自动切换到发电机供电回路
设置带维护旁路的ATS,一旦发生断电,ATS自动切换到发电机供电回路
设置带维护旁路的ATS,一旦发生断电,ATS自动切换到发电机供电回路
负载同步控制器LBS
无
无
有
有
动力设备和环境集中监控系统
无
无
有
有
分类/分区供电
不是
不是
不是
是
关键的负荷可用度
100%N
100%N
90%N
90%N
N的100%
N的100%
N的90%
N的90%
初始的用电总量(瓦/每平方英尺)(典型值)
20-30
40-50
40-60
50-80
最终的用电总量(瓦/每平方英尺)(典型值)
20-30
40-50
100-150
150+
150以上
连续冷却
没有
没有
或许
是的
场地空间架空中活动地板的比率
20%
30%
80%-90%
100%
架空活动地板的高度(典型值)
12”
18”
30”-36”
30”-36”
30CM
45CM
75-90CM
75-90CM
地板荷载磅/每平方英尺(典型值)
85
100
150
150
并行维护能力
没有
没有
有
有
容错能力
没有
没有
没有
有
单点故障
很多+人为错误
很多+人为错误
有一些+人为错误
一个没有+人为错误
人员配备
没有
1班
超过1班
7*24小时
值班
没有值班
1名值班
1名值班+轮班
永远24小时值班
场地的可用性
99.67%
99.75%
99.86%
100.00%
(注:
1平方米=10.8平方英尺,1千克=2.20磅)
3.国际行业标准ANSI&TIA-942标准对数据中心选址的技术指标要求
内容
TierI
TierII
TierIII
TierIV
临近水灾区域
没有要求
不能在水灾区域
不在百年一遇的水灾或至少离开50年一遇的水灾区域91米
至少离开百年一遇的水灾区域91米
临近海岸或内陆河流
没有要求
没有要求
不小于91米
不小于800米
临近主要的交通要道
没有要求
没有要求
不小于91米
不小于800米
临近机场
没有要求
没有要求
不小于1.6公里,最好大于48公里
不小于8公里,最好大于48公里
临近主要城市区域
没有要求
没有要求
不大于48公里
不大于16公里
源自:
ANSI&TIA-942TelecommunicationInfrastructureStandardforDataCenters
4.国际行业标准ANSI&TIA-942标准对建筑设计的技术指标要求
内容
TierI
TierII
TierIII
TierIV
在建筑物内有多个租户
没有限制
没有危险的其他租户
必须是数据中心或电信运营商
必须是数据中心或电信运营商
来访人员停车场与机房外墙的距离
没有要求
没有要求
至少离开9.1米
至少离开18.3米,并通过物理障碍防止车辆靠近
来访人员和内部人员的停车场分离
没有要求
没有要求
通过栏栅或墙物理分离
通过栏栅或墙物理分离
机房周边没有对外的窗户
没有要求
没有要求
是
是
公共厕所和休息室与计算机房的分离
没有要求
没有要求
如果是直接相邻,需要配备水灾保护挡板
不能直接相邻,并配备有水灾保护挡板
防暴设计的墙、窗户和门
没有要求
没有要求
最小为Level3
最小为Level3
2.环境控制指标
1.国际行业标准ANSI&TIA-942标准对通信网络的技术指标要求
内容
TierI
TierII
TierIII
TierIV
经不同路由接入的电信运营商的入口和维护口至少间隔20米
无
是
是
是
多个电信运营商
无
无
有
有
第二个接入机房
无
无
有
有
第二个配线区域
无
无
无
可选
冗余的骨干路由
无
无
有
有
冗余的垂直布线
无
无
无
可选
路由器和交换机有冗余的电源供应和处理器
无
有
有
有
配线板和跳线(跨接线)都应有该标签
无
有
有
有
配线板和配线文档应符合ANSI/TIA/EIA-606-A和标准附件B对标签的要求
无
无
是
是
3.应急与灾备指标
业务部署模式指标
数据复制方式指标
故障切换回切时效指标
4.应急策略与灾难恢复管理指标
含有响应指标,周期指标,处理完整度指标,应对不良信息影响指标,二次次生灾害预防指标
9.基于需求方要求的安全指标
1.可逆编译指标
2.自运营增长要求指标
3.平台选择安全性指标
结束语
升级会员 