文檔類別平安設計文檔文檔編號版本號1.0分冊類別平安設計文檔分冊名稱第1冊共1冊平安設計說明書北京炎黃新星網絡科技二零一四年月本報告修改記錄：日期內容摘要編制/修改審核2023-00-00編寫人目錄TOC\o"1-3"\h\z24431目錄3110961文檔概述4270791.1本文檔的目的4193061.2參考文檔和文獻413711.3假設和約束4230171.4本文檔概述4144161.5名詞解釋480201.5.1術語4246571.5.2簡寫413242產品平安4167242.1身份與訪問控制497662.2會話治理580672.3密碼算法584152.4日志平安5260192.5系統通信平安5187512.6系統密碼平安590622.7對文件上傳/下載的限制6301922.8系統資源釋放6193343代碼質量平安6211393.1防范跨站腳本攻擊660583.2防范跨站請求偽造防范SQL注入攻擊693723.3不平安的直接對象引用6267083.4不平安的通信681803.5對其他各類用戶輸入的過濾6269914已發生的平安事故案例的相關平安考慮點645685運行環境平安7184965.1硬件軟件功能的分配原那么770575.2容災設計7280866數據平安7173926.1傳輸平安721656.2容錯設計776126.3容災設計7備注：本文檔模版中藍色的文字局部為需要輸入的局部文檔概述工程說明及文檔目的[說明該需求規格說明書的目的。并概要說明工程的大致情況、功能、作用等]參考文檔和文獻[本小節應完整列出此說明書中所引用的任何文檔。每個文檔應標有標題、報告號〔如果適用〕、日期和出版單位。列出可從中獲取這些參考資料的來源。這些信息可以通過引用附錄或其他文檔來提供。]假設和約束[本小節應說明該說明書的前提條件和約束條件。]本文檔概述[本小節應說明該說明書中其他局部所包含的內容，并解釋此文檔的組織方式。]名詞解釋術語[本小節應定義該說明書中用到的術語。]簡寫[本小節應定義該說明書中用到的簡寫。]產品設計平安[本小節從產品功能出發考慮平安設計包括：。]身份與訪問控制1，應用系統認證要求[注：此局部涉及系統身份驗證，此局部也是涉及平安問題較多的局部。例如：應寫明身份驗證過程是否是與效勞器交互完成〔禁止完全由js腳本進行驗證〕。]2，認證加密要求[注：這里應寫明身份認證過程是否按系統平安要求，對關鍵內容進行加密處理；使用的加密算法是否足夠平安等；]3，帳戶密碼修改功能[注：應寫明對帳戶密碼修改或重要內容修改時的通知功能，以及二次驗證機制；]4，登錄控制平安[注：這里應寫明諸如用戶登錄頻率、失敗次數閥值、登錄次數限制、登錄失敗的后續處理等情況；登錄過程應考慮，終端到效勞器端傳遞過程被非法修改的可能性。寫明對于重要字段是否需要在效勞器端進行二次驗證〔具體可參考平安事故案例文檔青海B2B系統重置任意賬戶密碼〔功能設計問題，提交數據未驗證〕的內容〕。]5，登錄驗證碼[注：此處應寫明，在登錄時如果涉及驗證碼，那么驗證碼的細節設定，如，干擾、扭曲、變形、粘連等效果〔細節參考平安設計標準或驗證碼設計文檔〕]6，登錄認證失敗提示[注：寫明當驗證失敗時，系統如何提示〔應模糊提示〕；]7，用戶關鍵信息平安[注：這里寫明對于用戶的關鍵信息〔密碼、ID等〕是否平安加密后保存；]8，系統及應用的配置文件平安[注：這里應說明，重要的系統、中間件、數據庫等配置文件應妥善保存，不應暴露于公網目錄；]9，其他登錄平安考慮[注：此處的其他平安方面，諸如：保存登錄/自動登錄功能、帳戶權限-橫向、縱向訪問控制等平安點，并非所有系統都有相應平安要求，如涉及那么根據情況靈活編寫。]會話治理1，會話產生及會話標識[注：寫明會話標識的產生、更新〔登錄前后是否更新〕、及長度等；]2，會話超時及結束[注：寫明會話超時時間及會話結束的處理情況；]密碼算法1，使用平安的密碼算法[注：寫明在涉及加密時使用那種平安的加密算法，以及密鑰的治理；]日志平安1，具體日志內容應包含[注：應注明，日志記錄那些關鍵內容，關鍵內容是否需要加密等；]2，日志的保存[注：主要描述日志的平安保存，例如，不保存于公網可訪問地址、個人敏銳信息是否保存等；]系統通信平安[注：主要描述是否涉及系統通信方面的平安，例如，重要通信是否需要SSL;]系統密碼平安[注：這里主要描述諸如，系統帳號、中間件、數據庫等帳號，應遵循相應的密碼平安標準。例如，帳號密碼的長度、字符范圍、有效期、存儲〔是否需要加密存儲〕等；具體參見平安設計標準內容；]對文件上傳/下載的限制[注：如果系統涉及文件的上傳，那么應描述清楚，如何對上傳文件進行檢驗。例如，如何規定文件大小、后綴名、格式、用戶端是否做校驗、效勞器端是否做校驗、文件保存位置等平安點；另外，可參考公司的平安事故案例-〉多個B2B系統的圖片上傳驗證漏洞；]系統資源釋放[注：這里主要是java開發標準的相關內容，寫明例如翻開的文件，數據庫連接等，使用完成后是否釋放資源；]代碼質量平安[本小節從代碼質量方面出發考慮平安設計包括：。]防范跨站腳本攻擊[注：跨站與SQL注入都是web系統最常見的攻擊方式，這里請描述如何進行的預防〔例如公司的平安包〕。另外，需具體說明對哪些關鍵輸入或字段進行了過濾。]防范跨站請求偽造防范SQL注入攻擊[注：同上；]不平安的直接對象引用[注：主要檢查用戶重要參數是否暴露〔具體可參見平安設計開發標準2.4不平安的直接對象引用〕；]對其他各類用戶輸入的過濾[注：局部內容同跨站及注入的過濾；但對于相關參數長度應說明，以防止過長的參數輸入引起參數溢出漏洞；]引用開源程序的考前須知[注：此局部主要檢查，工程中是否涉及第三方的開源程序引用，如果有，那么需檢查是否包含惡意代碼、冗余功能代碼、廣告類代碼及不必要的頁面文件以及是否嵌套其他平安考慮點。]已發生的平安事故案例的相關平安考慮點[注：因各類系統涉及功能廣泛，公司的標準文檔可能考慮不周,對于已經發生的平安事故，其中也有相應的平安設計考慮點，在設計新系統時應進行相應的考慮。]1，終端-效勞器交互過程防篡改〔注：提交的重要數據需要進行二次驗證〕[注，在涉及到效勞器端與用戶進行數據交互時，是否考慮了數據的防篡改。可能涉及的場景如：商城系統的訂單提交、電子商務中物品摘購、營業廳系統的業務辦理、系統的身份驗證過程等。參考《炎黃平安事故案例》-〉福建移動WAP營業廳受理0元套餐事件；浙江移動-旗艦店靚號被低價購置青海B2B系統重置任意賬戶密碼三個案例。考慮新系統是否涉及，如涉及如何預防；]2，重要配置文件防止明文保存問題[注，參考《炎黃平安事故案例》-〉聯通廳客戶端程序明文保存帳號密碼。考慮新系統是否涉及，如涉及如何預防；]3，重要數據未加密傳輸問題[注，參考《炎黃平安事故案例》-〉廣西SSO登錄密碼明文傳輸問題。考慮新系統是否涉及，如涉及如何預防；]4，登錄過程次數保存不當導致可暴力登錄嘗試[注，參考《炎黃平安事故案例》-〉寧夏SSO圖形驗證碼可以繞過。考慮新系統是否涉及，如涉及如何預防；]5，不平安的身份驗證，導致驗證被繞過[注，參