应用系统安全规范.docx
《应用系统安全规范.docx》由会员分享,可在线阅读,更多相关《应用系统安全规范.docx(14页珍藏版)》请在冰点文库上搜索。
XXXX集团
应用系统安全规范
版本:
1.0
XXXX信息技术部门
第一章总则
第一条为保障软件系统的安全性,实现网络及信息安全与信息化同步规划、同步建设、同步运行,本规范提出了XXXX集团
各业务软件应用运行的通用安全要求,保障软件系统安全稳定运行。
第二条通过遵守和使用本规范,达到以下目的:
(一)明确软件系统的安全目标。
(二)指导软件系统前期设计中的安全考虑。
(三)指导软件系统开发阶段的安全实现。
(四)指导软件系统安全性测评的实施和评定。
(五)指导软件系统安全部署,以及制定运行维护和废弃阶段的管理要求。
第三条本规范列出了软件系统在生命周期各阶段需要满足的
信息安全要求。
第四条本规范适用于XXXX集团软件系统开发管理工作。
第二章系统定级
第五条明确软件系统的安全等级,并以规范化的文档说明该软件系统处于某个安全等级的方法和理由。
第六条应组织相关部门和信息安全专家对定级结果的合理性和正确性进行论证和审定。
第三章安全需求设计
第七条业务或信息技术部门应负责软件系统需求文档的编写、论证、变更和定稿,需求文档除了包含常规的功能、性能需求定
义外,还应同等包含信息安全需求和法律需求。
第八条安全需求设计应基于本标准,明确定义软件系统必须满足的安全要求,并完成包含安全需求的应用软件需求说明书。
第四章安全方案设计
第九条应对应用软件的建设情况进行总体规划,包括相应的安全规划。
第十条应根据安全需求,统一考虑软件系统安全保障体系的总体策略、技术框架和详细设计方案。
第十一条在设计方案确定后,基于本标准完成详细、明确的包含安全设计内容的应用软件设计说明书。
第五章开发阶段安全管理
第十二条配置项
(一)测评、著作权、上线版本应保持一致。
(二)使用配置管理系统,明确标识所有的配置项。
(三)配置管理系统应有明确的权限控制措施。
第十三条配置管理范围:
配置管理系统应对开发过程中的所有文档和代码进行记录和跟踪。
第十四条应文档化进行安装、生成和启动所需的程序。
第十五条交互应保证交付程序版本的一致性;应保证提供安全的交付方式。
第十六条指导性文档应提供用户手册;用户手册应对关键操作有明确的标识。
第十七条测试应进行内部测试,并提供内部测试报告;开发者应提供第三方测试报告;开发者应提供证据证明系统提供的
所有功能均经过测试。
第六章软件著作权管理与保护
第十八条软件开发单位要建立严格的软件工程管理体系,确保软件开发过程各阶段中相关文档和代码完整,确保可以利用
相关文档和源代码对软件进行安装、升级、修改和完善。
第十九条软件开发单位应确保提交的源代码为自主原创,在必要时会对系统自主开发情况进行检测。
第二十条软件开发单位在软件第三方测试、上线、验收、
升级等关键阶段,必须提交真实、完整、可用的软件资料,并确保第三方测试软件的最终版本、上线运行软件、保管的软件资料相一致。
第二十一条 软件开发单位应在监督下对源代码进行编译和
部署,并配合完成必要的验证工作。
第七章安全性测试和评估
第二十二条 在软件产品安全性测试前,应根据安全需求、设计方案或合同要求等制订测试方案和测试实施计划,并进行充
分的测试准备。
第二十三条 开发单位应协助进行软件产品的安全性测试工作。
第二十四条 安全性测试后测试单位应出具详细的测评报告,符合安全需求的软件系统才能上线运行,不符合相应安全技术要
求的软件系统必须及时整改。
第八章系统上线交互
第二十五条 软件系统上线前要对用户、内部操作人员及维护人员进行必要的培训,包括安全功能方面的培训。
第二十六条 软件系统上线前应该制定严密的回退措施,包括相关系统的回退措施。
第二十七条 软件系统上线后由开发单位进行服务承诺,并
提交服务承诺书,支持相应的软件后续维护工作和对安全事故的应急响应。
第九章用户文档
第二十八条 用户文档应包含有关软件安全配置的使用说明和推荐配置。
第十章运行维护和废弃阶段安全管理
第二十九条应用软件正式投入运行后,应指定专人对应用软件进行管理,删除或者禁用不使用的系统默认账户,更改默认
口令。
第三十条应根据业务需求和安全分析确定应用软件的访问控制策略,用于控制分配数据、信息、文件及服务的访问权限。
第三十一条应对应用软件账户进行分类管理,权限设定应当遵循最小授权要求。
第三十二条应对应用软件的安全策略、授权访问、最小服务、升级与补丁加载、维护记录、日志以及配置文件的生成、备
份、变更审批、符合性检查等方面作出具体规定。
第三十三条应用软件废弃时,应确保系统中的所有数据被有效转移或可靠销毁,并确保系统更新过程是在一个安全、系统化的状态下完成。
第十一章安全技术规范
第三十四条 身份鉴别
(一)软件系统应该提供专用的登录控制模块对登录用户进行身份标识和鉴别,标识范围应该涵盖软件系统的所有使用者。
(二)软件系统不应该内置匿名账户,也不允许匿名用户的登录。
(三)软件系统应该具备用户身份标识唯一性和鉴别信息复杂度检查功能,保证软件系统中不存在重复用户身份标识、身份鉴别信息不易被冒用。
(四)软件系统应该确保使用者在被授予敏感权限之前已经被鉴别。
(五)软件系统的标识和鉴别功能应该具备防篡改和防重放机制。
(六)软件系统应该能够支持服务器与客户端间的双向鉴别。
软件系统应该对同一用户采用XXXX集团数字证书体系、硬件令牌、生物特征、一次性动态口令等中两种或两种以上组合技术实现用户身份鉴别。
(七)软件系统应该能识别非法鉴别请求,并可根据安全策略启动对失败标识和鉴别尝试进行锁定。
(八)软件系统应该能够允许系统管理员用户随时更改失败次数和锁定时间。
(九)软件系统应该能够允许系统管理员用户根据需要设置允许在客户端登录系统的用户属性,包括用户登录的时间段、用户登录的IP地址等。
(十)软件系统对客户端用户每一次初始的会话连接请求,都应当要求其完成鉴别过程,对鉴别成功的每个会话都要维持其连接和中断的状态。
在会话超时后,应使会话进入休眠状态或中
断连接。
(十一)软件系统应该能够自动处理会话的异常状态,如连接超时、不完整连接等,并且应该提供给系统管理员适当的管理工具对会话进行实时控制,包括设置会话超时时间、最大允许会话数。
(十二)软件系统应该能够限制一个客户端只能有一个用户同时登录到系统中,一个用户只允许同时在一个客户端上登录到系统中。
(十三)软件系统应该可以让系统管理员用户分发用户的初始口令,同时需要强制用户在初始登录时修改管理员分发的口令。
(十四)软件系统应该不允许除了系统管理员用户之外的其他用户改变非他们本人的口令。
(十五)软件系统在鉴别身份之前,应该能够检验用户口令是否过期,并强制性地要求口令过期的用户更新口令。
(十六)软件系统在用户更新口令时应该能够检测用户的新口令是否已经被使用过,并阻止其选择最近几次使用过的口令。
(十七)软件系统应该将系统的管理权限(包括用户管理、权限管理、配置定制)单独赋予系统管理员,这类用户仅负责进行系统级的管理,不具备任何业务操作的权限。
(十八)软件系统应该能够通过设置审核管理员,对关键的系统管理和特殊要求的业务操作行为实施不可绕行的审批,没有
经过审批的操作将不能生效。
(十九)软件系统使用中,应该保证审核管理员与系统管理员不能为同一人。
(二十)软件系统应该通过设置特殊的安全管理员,对系统中所有的安全功能进行管理或监视,例如具有操作审计、数据备份等权限,从而限制和监督系统管理员、业务员行使正常权限。
(二十一)软件系统应该将业务操作权限赋予非管理员,这类用户不能具备任何系统级的管理权限,并且其具有的权限转移和委托机制不能违背系统的授权原则。
第三十五条 访问控制
(一)软件系统应该提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问。
(二)软件系统应该由授权主体配置访问控制策略,并严格限制默认用户的访问权限。
(三)软件系统应该授予不同用户为完成其各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。
(四)软件系统应该能够根据业务特性及权限互斥的原则,保证用户、权限的合理对应关系,避免任何可能产生安全问题的权限分配方式或结果。
(五)软件系统应该具有对重要信息资源设置敏感标记的功能。
(六)软件系统应该依据安全策略严格控制用户对有敏感标
记重要信息资源的操作。
(七)软件系统应该提供给系统管理员一个生成和修改用户授权的管理工具,并且保证在每次生成或修改权限后不需要重启系统就能立即生效。
第三十六条 安全审计
(一)应提供覆盖到每个用户的安全审计功能,对软件系统重要安全事件进行审计。
(二)审计事件的类型至少应包括系统事件、业务事件、成功事件、失败事件以及对审计功能的操作。
(三)审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等。
(四)软件系统应该能够将所有的安全相关事件记录到事件日志中,或者将事件数据安全地发送到外部。
(五)软件系统应该提供对审计数据进行搜索、查询、分析、统计、分类、排序的功能,并能够生成审计报表。
(六)软件系统应该定义分级的系统异常事件类型,并且根据异常的严重程度分别采用日志记录、警告提示、声光报警等方式进行通知。
(七)软件系统应该保证无法单独中断审计进程,无法删除、修改或覆盖审计记录。
(八)软件系统应该具有对审计信息的访问控制机制,允许安全管理员配置能够对审计数据进行访问的用户范围。
(九)软件系统应该提供对审计数据进行手动或自动备份的功能。
(十)软件系统应该能够允许安全管理员选择需要进行审计的事件项目,提供对审计数据的管理功能,允许管理员或安全管理员设定审计日志的容量、覆盖规则和审计事件的类型。
第三十七条 数据完整性
(一)软件系统应该采用密码技术保证存储和传输过程中数据的完整性。
(二)软件系统应该能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中的完整性是否受到破坏,并在检测到完整性错误时采取必要的恢复措施。
(三)软件系统应该能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中的完整性是否受到破坏,并在检测到完整性错误时采取必要的恢复措施。
第三十八条 数据保密性
(一)在通信双方建立连接之前,软件系统应该利用密码技术进行会话初始化验证。
(二)软件系统应该对通信过程中的整个报文或会话过程进行加密。
(三)软件系统应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性。
(四)软件系统应采用加密或其他保护措施实现系统管理数
据、鉴别信息和重要业务数据存储保密性。
(五)软件系统应该能够保证其向客户端提供的数据信息中不包含会泄露软件系统安全数据的内容,也不包含与用户请求无关的数据。
第三十九条 抗抵赖
(一)软件系统应该具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能。
(二)软件系统应该具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。
第四十条软件容错
(一)软件系统应该提供数据有效性检验功能,保证通过人机接口或通信接口输入的数据格式或长度符合系统设定要求。
(二)软件系统应该提供启动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。
第四十一条 资源控制
(一)当软件系统通信双方中的一方在一段时间内未作任何响应时,另一方应能够自动结束会话。
(二)软件系统应能够对系统的最大并发会话连接数进行限制。
(三)软件系统应能够对单个账户的多重并发会话进行限制。
软件系统应能够对一个时间段内可能的并发会话连接数进行
限制。
(四)软件系统应能够对一个访问账户或一个请求进程占用的资源分配最大限额和最小限额。
(五)软件系统应能够对系统服务水平降低到预先规定的最小值进行检测和报警。
(六)软件系统应提供服务优先级设定功能,并在安装后根据安全策略设定访问账户或请求进程的优先级,根据优先级分配系统资源。
第四十二条 剩余信息保护
(一)应保证操作系统和数据库管理系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。
(二)应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。
第四十三条 备份和恢复
(一)对于重要的软件系统应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放。
(二)软件系统应提供异地数据备份功能,利用通信网络将
关键数据定时批量传送至备用场地。
第十二章附则
第四十四条 本制度由XXXX集团负责解释。
第四十五条 本制度自发布之日起实行。