附件4电信业务平台工程应用软件安全技术书

一、定 二、应用软件服务内 需求阶段安全要 设计阶段安全要 2.2.1认证要 2.2.2控制要 会话管理要 数据与传输要 日志记录要 开发阶段安全要 输入验证要 数据库要 文件操作要 内存管理要 异常管理要 系统输出处理要 其他注意事 测试阶段安全要 认证测试要 2.4.2测试要 数据验证测试要 可用性测试要 配置管理测试要 日志审计测试要 代码测试要 部署阶段安全要 1.1书为中国电信海南公司（甲方）2014年海南电信自动路测系统升甲方指中国电信海南公司。乙方向甲方提供书所规定的产品乙方在中，对书中所提各项要求能否实现与满足，应逐项对书各条目的应答为“满足”、“不满足”、“部分满足”，不得使用本技术规范书应视为保证系统运行所需的最低要求。遗漏，乙方应甲方在任何时候都保留和拥有对本文件的解释权。甲方在签订合同乙方在书中作出的应答或承诺中所有与之前的应答或承诺有，乙方在参与本项目中，对于甲方披露和提供的所有信息应作为商业对待并予以保护甲方不得将任何信息泄漏给第，否则甲方追， 认 控数据与传数据库应用软件应启用认证功能，需要包含口令策略、账号锁定、等应用软件应具备控制功能，需要限制对连接数、内存、文件等资源的应用软件应具备安全审计功能，需要支持记录程序启动、关闭、应用程序、程序出错等。应用软件应具备输入验证功能，需要对客户端提交的输入，程序进行应用软件应具备异常处理功能，程序在出现异常时，应具有避免信息2.2.1认证要应用软件应根据应用的重要程度合理使用认证方式用户认证的强度设 口令、动态口令认证 认证应用软件应对高价值和进入保护区域的用户进行重新认证比如修改个在一段时间后自动。8位字符，其中要包含大写字母、小写字母、数字和特殊字符四种中的三种。在使用口令的程序中，应用软件需设定有效时间不超过15分钟，60，在登陆过程中，应用软件需要使用应当能抵抗自动，等敏感信息，在通信和保存时，需采用通用的加密算法进行加理。应用软件需要使用加密通信通道以保护认证令牌例如使用https协2.2.2控制要（应用软件应限制普通用户对系统级资源的系统级资源包括文件、文件夹、表项、数据库对象、日志等，不同的用户角色只允许特定的（使用“Administrator”、“root”、“sa”或其它用户来运行应用程序。应用软件应采用或白方式对的来源IP地址进行限制，防IP的接入以及地址。应用软件应尽量采用统一的控制机制B/SC/S免客户端的大量使用资源。B/S、C/S结构的应用程序，需要在服务器端实现对系统内受限资源的控制，在客户端实现控制。应用软件应该尽可能缩短会话应用软件应将用户登录成功后所生成的会话数据在服务器端并确保会在涉及到关键业务操作的WEB页面，应用软件应采用认证码或随机令牌来防范跨站请求。如果WEB系统采用持久性携带会话凭证应用软件必须合理设的Secure、、Path和Expires属性。数据与传输要应该采取专门的步骤，来确保这些数据的性，并确保其不被修改。该。乙方在代码中 进行硬编码WEB系统中应用软件不要在永久性中敏感数据如果对其加WEBHTTP-GET应用软件需避免在配置文件中明文数据库连接、口令或密钥，应使用成加密算法，并经过加密的字符串（如无法避免在配置文件中明文，则需要对配置文件进行严格的控制。WEBSSLSSL时应正确配置SSL并使用SSL3.0/TLS1.0以上版本。1024128B/S结构的应用软件，通常采用中间件和WEB服务软件（APACHE、IIS等）自身提供的日志和单独开发日志功能相结合的方式；而C/S结构的程序、单机应用软件所提供的日志记录应至少包含以下；控制信息，比如由于超出尝试次数的限制而引起的登录；成功1）用户ID或引起这个的处理程序2）的日期、时间（时间戳3）类4）内5）是否成请求的来源（例如请求的IP地址应用软件的审计日志应包含如下内容用户敏感信息（如口令信息等客户完整信客户的隐私信息（如信息、口令信息、等应用软件应限制对日志数据的并将操作日志数据的个人数量减到最小，只为高度信任的帐户（如管理员）授予权限。应用软件不要将日志文件存放在WEB网页下，防止客户端能够到应用软件应根据业务平台的重要性，设定日志保留的时间开发阶段，乙方除应满足设计阶段安全要求外，还应注意使用安全的编码方法，确保软件的交付质量，避免因为编码缺陷给应用软件引入安全WEBHTTP请求消息的全部字段，例如：GET数据和POST数据，和Header数据等。对于WEB应用，乙方需要编写统一的对于客户端提交数据的验证接口，集验证数据类型例如预期输入类型为整数则需要输入英文字符串WEB应用，检查数据是否包含特殊字符，如：<、>"'、%、(、)、&、+、\、\'、\"等；尽量使用白进行输入检查应用软件需在服务器端进行验证仅仅使用客户端验证可能造成者绕过客户端或关闭客户端例程（例如，通过禁用JavaScript。数据库要应用软件所使用的数据库账号必须是普通权限帐户且只能允许的数乙方应避免在代码中使用明文的口令连接数据库同 将用户名和口信息在程序当中应用软件应使用支持严格数据类型验证的参数化查询方式（prepareStatement上传文件的大小、类型、路径，防止者将程序上传到服务器中。对B/S结构的WEB程序，如使用文件上能时，应用软件需限制上传目录的执行权限。应用软件需普通用户应用系统自身的配置和数据应用软件需向客户端返回任何服务器端文件和 在根据客户端的输入服务器端的文件时应用软件应防止用户通过真中出现文件名，则应对文件名进行白检查。在参数中出现../、..\等特殊应用软件在的动态包含功能中直接使用用户提交的数据和文件。操作系统文件系统的要依赖收集器函数名以及调试内部版本时出问题的行数的堆栈详细信息。WEB错误和处理的异常防止者从应用程序的默认出错页面中得到系统信息。 服务。间点，如条件允许应增加的认证，高权限使用完毕应有强制退出机制。WEBHTTP-GET方式请求数据。乙方需完成认证绕过测试检查是否可以不经过认证就直 应用系统乙方需完成测试，包括但不限于检查是否有乙方需完成强度测试，包括但不限于多次刷新图形，检查重复出现的符号是否经过、噪点干扰、检查图形中是否加入了图像干扰检查一次使用后失效不能重复使用检查图形是否随机生成采用数字字母混合或者使用中文字符检查图形长度是否大于等于4位。能来登陆；口令的重置，必须有一定的认证措施来保障重置者的基于临时口令的重置，检查发送频率的限制是否有效乙方需完成WEB应用跨站请求测试：对所有涉及到改变WEB应用系统状态的关键操作，尝试诱骗已认证用户自动提交的关键操作请求，检查WEB应用系统是否执行了关键操作请求。可参考如下检查点：HTTP请求中的Referer是否在提交时添加随机令牌或，并在服务器端进行验证；乙方需完成绕过测试，包括但不限于1）通过篡改资源标识，检查是否可非资源；WEB应用中，对的URL使 及文件拼接检查是否可非及文件乙方需完成管理测试在管理代码中必须确保URL能的功能，必须在前验证当前用户会话凭证的有效性。功能是否可以被利用于任意服务器敏感文件。LDAPLDAP的应用程序，检查是否对输入数据所构造LDAP操作命令的代码进行了严格的限制。乙方需完成SOAPSOAP之输入数据所构造LDAP操作命令的代码进行了严格的限制。乙方需完成SQL通过插入“’”WEB应用的返回提示异常，那么通常代表存在SQL注入，未返回异常时，需要测试是否存在SQL盲注；SQL语句的代码，检查输入数据在使用前是否进行乙方需完成WEB跨站测试，包括但不限于服务器的应答中回显到浏览器中。对回显的参数进行尝试，采用>,否能够弹出Javascript的框；乙方需完成HTTP请求Header注入测试：检查所有HTTP请求HeaderHTTPHeader变量数据前进行了正确的特殊字符过滤XPATH乙方需完成WEB任意文件测试：检查所有涉及文件的代码，是否对的文件名参数进行了特殊字符过滤。乙方需完成WEB文件上传测试：确认程序是否提供了文件上传的点。尝试上传相应后缀（例如php,jsp.aspx）的文件到服务器上，查看服务器端是否允许用户账号是否被锁定，锁定后是否功能是否有效。乙方需完成WEB应用服务测试：通过大量并发HTTP请求来尝试消耗WEB乙方需对资源释放进试，包括但不限于乙方需完成配置文件测试，包括但不限于检查配置文件是否在WEB空间或者程 下检查应用程序配置文件，是否明文敏感信息如数据库口令信息等。乙方需完成WEBHTTP请求的各输入乙方需完成WEB应用默认文件和测试：尝试猜测默认URL，检查是否可执行操作或获取应用系统敏感信息乙方需完成WEB应用HTTP请求方法测试：用OPTIONS、PUT、DELETE、TRACE等请求方式测试WEB应用，判断其是否存在可能被的HTTP请求方法。乙方需完成WEB应用浏览测试通过浏览器时可以查看到 结构和内容控制信息，比如由于超出尝试次数的限制而引起的登