安全设计说明书

ConfidentialConfidential＜公司名称＞,2000Page#of7文档类别安全设计文档文档编号文档类别安全设计文档文档编号版本号1。0分册类别安全设计文档分册名称第1册共1册安全设计说明书北京炎黄新星网络科技二零一四年月有限公司YHXX-ZLJL-36Version:<1.0>＜项目名称〉安全设计说明书Date:<dd/mmm/yy>vdocumentidentifier〉YHXX-ZLJL-36Version:<1.0>＜项目名称〉安全设计说明书Date:<dd/mmm/yy>vdocumentidentifier〉本报告修改记录：日期内容摘要编制/修改审核2015-00—00编写人YHXX-ZLJL-36Version:<1.0>＜项目名称〉安全设计说明书Date:<dd/mmm/yy>vdocumentidentifier〉目录TOC\o"1-5"\h\z\o"CurrentDocument"目录3\o"CurrentDocument"文档概述4本文档的目的4参考文档和文献4假设和约束4本文档概述4\o"CurrentDocument"1。5名词解释41。5。1术语41.5.2简写4\o"CurrentDocument"产品安全4\o"CurrentDocument"2。1身份与访问控制4\o"CurrentDocument"2。2会话管理5\o"CurrentDocument"2。3密码算法5\o"CurrentDocument"日志安全5\o"CurrentDocument"系统通信安全5\o"CurrentDocument"2。6系统密码安全5\o"CurrentDocument"2.7对文件上传/下载的限制5\o"CurrentDocument"2.8系统资源释放5\o"CurrentDocument"代码质量安全5\o"CurrentDocument"3。1防范跨站脚本攻击6\o"CurrentDocument"3。2防范跨站请求伪造防范SQL注入攻击6\o"CurrentDocument"3。3不安全的直接对象引用6不安全的通信错误!未定义书签。\o"CurrentDocument"对其他各类用户输入的过滤6\o"CurrentDocument"已发生的安全事故案例的相关安全考虑点6\o"CurrentDocument"运行环境安全65。1硬件软件功能的分配原则75。2容灾设计7数据安全76。1传输安全76。2容错设计7备注:本文档模版中蓝色的文字部分为需要输入的部分6。3容灾设计7备注:本文档模版中蓝色的文字部分为需要输入的部分YHXX-ZLJL-36Version:<1.0>＜项目名称〉安全设计说明书Date:<dd/mmm/yy>vdocumentidentifier〉文档概述项目说明及文档目的［阐明该需求规格说明书的目的。并概要说明项目的大致情况、功能、作用］等参考文档和文献［本小节应完整列出此说明书中所引用的任何文档。每个文档应标有标题、报告号（如果适用）、日期和出版单位.列出可从中获取这些参考资料的来源。这些信息可以通过引用附录或其他文档来提供。］假设和约束［本小节应说明该说明书的前提条件和约束条件。］本文档概述［本小节应说明该说明书中其他部分所包含的内容，并解释此文档的组织方式］。名词解释术语［本小节应定义该说明书中用到的术语.］简写［本小节应定义该说明书中用到的简写。］产品设计安全［本小节从产品功能出发考虑安全设计包括:。］身份与访问控制1，应用系统认证要求［注:此部分涉及系统身份验证，此部分也是涉及安全问题较多的部分。例如：应写明身份验证过程是否是与服务器交互完成（禁止完全由脚本进行验证）。］2，认证加密要求［注：这里应写明身份认证过程是否按系统安全要求，对关键内容进行加密处理；使用的加密算法是否足够安全等；］3，帐户密码修改功能［注:应写明对帐户密码修改或重要内容修改时的通知功能，以及二次验证机制］；4，登录控制安全［注：这里应写明诸如用户登录频率、失败次数阀值、登录次数限制、登录失败的后续处理等情况；登录过程应考虑，终端到服务器端传递过程被非法修改的可能.性写明对于重要字段是否需要在服务器端进行二次验证（具体可参考安全事故案例文档青海B2B系统重置任意账户密码（功能设计问题，提交数据未验证）的内容）.］YHXX-ZLJL-36Version:<1.0>＜项目名称〉安全设计说明书Date:<dd/mmm/yy>vdocumentidentifier〉5，登录验证码［注:此处应写明，在登录时如果涉及验证码,则验证码的细节设定,如，干扰、扭曲、变形、粘连等效果（细节参考安全设计规范或验证码设计文档］）6，登录认证失败提示［注：写明当验证失败时，系统如何提示（应模糊提示）］；7，用户关键信息安全［注：这里写明对于用户的关键信息（密码ID等）是否安全加密后保存］系统及应用的配置文件安全［注:这里应说明，重要的系统、中间件、数据库等配置文件应妥善保存，不应暴露于公网目录；］其他登录安全考虑［注：此处的其他安全方面，诸如：保存登录/自动登录功能、帐户权限—横向、纵向访问控制等安全点,并非所有系统都有相应安全要求，如涉及则根据情况灵活编.写］会话管理1,会话产生及会话标识［注：写明会话标识的产生、更新（登录前后是否更新）、及长度等］；2,会话超时及结束［注:写明会话超时时间及会话结束的处理情况；］密码算法1，使用安全的密码算法［注：写明在涉及加密时使用那种安全的加密算,法以及密钥的管理;］日志安全具体日志内容应包含［注：应注明,日志记录那些关键内容，关键内容是否需要加密等；］日志的保存［注：主要描述日志的安全保存,例如,不保存于公网可访问地址、个人敏感信息是否保存等；］系统通信安全［注：主要描述是否涉及系统通信方面的安全，例女重要通信是否需要SSL；］系统密码安全［注:这里主要描述诸如，系统帐号、中间件、数据库等帐号，应遵循相应的密码安全规范。例,帐如号密码的长度、字符范围、有效期、存储（是否需要加密存储）;等具体参见安全设计规范内容;］对文件上传/下载的限制［注：如果系统涉及文件的上传，则应描述清楚，如何对上传文件进行检验。例如，如何规定文件大小、后缀名、格式、用户端是否做校验、服务器端是否做校验、文件保存位置等安全;点另外，可参考公司的安全事故案例一〉多征2B系统的图片上传验证漏洞;］系统资源释放［注：这里主要是java开发规范的相关内容，写明例如打开的文件，数据库连接等，使用完成后是否释放资源；］代码质量安全［本小节从代码质量方面出发考虑安全设计包:括.］YHXX-ZLJL-36Version:<1.0>＜项目名称〉安全设计说明书Date:<dd/mmm/yy>vdocumentidentifier〉防范跨站脚本攻击［注：跨站与SQL注入都是web系统最常见的攻击方式，这里请描述如何进行的预防（例如公司的安全包）.另外，需具体说明对哪些关键输入或字段进行了过滤。］防范跨站请求伪造防范SQL注入攻击［注:同上；］不安全的直接对象引用［注：主要检查用户重要参数是否暴露（具体可参见安全设计开发规范2.4不安全的直接对象引用）;］对其他各类用户输入的过滤［注：部分内容同跨站及注入的过滤；但对于相关参数长度应说明，以避免过长的参数输入引起参数溢出漏洞；］引用开源程序的注意事项［注:此部分主要检查，项目中是否涉及第三方的开源程序引用，如果有，则需检查是否包含恶意代码、冗余功能代码、广告类代码及不必要的页面文件以及是否嵌套其他安全考虑.］点已发生的安全事故案例的相关安全考虑点［注：因各类系统涉及功能广泛,公司的规范文档可能考虑不周,对于已经发生的安全事故，其中也有相应的安全设计考虑点，在设计新系统时应进行相应的考虑］。终端-服务器交互过程防篡改（注：提交的重要数据需要进行二次验证）［注，在涉及到服务器端与用户进行数据交互时，是否考虑了数据的防篡改。可能涉及的场景如：商城系统的订单提交、电子商务中物品采购、营业厅系统的业务办理、系统的身份验证过程等。参考《炎黄安全事故案例》-〉福建移动WAP营业厅受理0元套餐事件浙江移势旗舰店靓号被低价购买青海B2B系统重置任意账户密码三个案例。考虑新系统是否涉及,如涉及如何预防;］重要配置文件避免明文保存问题［注，参考《炎黄安全事故案例》-＞联通手机厅客户端程序明文保存帐号密码.考虑新系统是否涉及,如涉及如何预防;］重要数据未加密传输问题［注，参考《炎黄安全事故案例》-〉广西SSO登录密码明文传输问题考虑新系统是否涉及，如涉及如何预防；］4，登录过程次数保存不当导致可暴力登录尝试［注，参考《炎黄安全事故案例》一〉宁夏So图形验证码可以绕过。考虑新系统是否涉及口涉及如何预防；］5，不安全的身份验证，导致验证被绕过［注，参考《炎黄安全事故案例》-〉中国联通网上实名登记可以绕过短信验证码。考虑新系统是否涉及，如涉及如何预防；］6，产品服务下线不完整导致恶意业务办理［注，参考《炎黄安全