求Informationsecuritytechnology—Securityrequirementsforservice-orI 0 0 0 5 6 6 6 6 8 9本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定技有限公司、北京軒宇信息技術有限公司、中科可控信息產業有限公司、嵩嘉標鄭竹萌、毛峰、趙敬宇、王向章、張德保、王新亮、姜冰、張紅艷、邱天0信息安全技術面向服務架構類應用安全要求凡是不注日期的引用文件，其最新版本（包括所有的修改單）3.13.23.33.43.5環境感知environmentaw采集終端物理硬件、網絡、操作系統、應用程序的安全要素，分析終端可信狀態的過程。3.6授權策略authorizationp在給定主體、目的（任務）、客體和環境屬性的情況下，根據授權策略確定訪問請求是否被允許。3.7主要在于及時發現、反饋、終止違規訪問應用、數據的行為3.813.9面向服務架構service-oriented面向服務架構是軟件設計和軟件架構的一種模式，它將應用程序的不同功能單元通過定義良好的接口和協議進行組合。這些應用程序單元被稱為服務，這些服務是獨立的、可重復的。4縮略語API:應用程序編程接口（ApplicationProgramDDoS：分布式拒絕服務攻擊（DistributionDenSSL：安全套接層協議（SecureSocketsURL：統一資源定位符（UniformVPN：虛擬專用網絡（VirtualPrivateNetwoWeb：全球廣域網或萬維網（WorldWideWeb）5概述本文件針對面向服務架構方法設計的應用系統，給出了在其運行過程中應具備的安全技術要求包服務；安全應用管理要求包括安全防護能力配置、應用訪問控制和運行藍牙、無線、高清多媒體接口（HDMI)等方式接入的外設，并根據內置識別庫對設備自動識別d)支持終端客戶端自動識別操作系統信息，包括：類型、版本號、賬號、安i)支持對設備的CPU、內存條、顯卡、2d)支持掃描和識別終端辦公軟件中可能存在的安全漏洞，并提供f)支持生成掃描報告和報告導出功能，支持將掃描結果以報表g)支持設置詳細的掃描參數，包括端口、弱口令、服務等者刪除默認管理員賬戶，刪除多余賬戶，刪除共文本傳輸協議（FTP）和Telnet（遠程登陸系統）等網絡連接、i)瀏覽器安全：核查內容包括對瀏覽器的安全設置檢測，如是否禁止運行ja用戶訪問應用服務時，對應用訪問、應用接口、控制信息傳輸等，應通過國密SSL安全協議進行加3c)網頁防篡改：支持對網頁內容的完整性進行保護，防c)應用層DDoS攻擊防護：應能夠利用流量基線核查，檢查應用系統的安全配置并提供整改建議，支持自動化或手動基線核查。b)應用簽名信息檢測：具備應用簽名信息檢測能力，能有效識別簽名的真實性；c)應用權限信息檢測：具備應用相關靜態權限申請b)具備對動態鏈接庫文件的加載、加固檢測能力；4異常信息并記錄下來，上傳到服務器，分析出現異常誤漏洞、IntentURLSchema攻擊漏洞等a)具備基于簽名或特征的威脅檢測能力，發現各類已d)支持對網絡流量進行檢測、分析，發現流量異常、協議異常、攻擊行為h)具備對應用內存馬注入攻擊進行檢測與阻斷的能系統事件等進行持續檢測，發現異常進程、異常行為、橫a)具備網絡攻擊抑制能力，支持網絡流量過濾、阻斷、限流、牽引等5b)具備攻擊誘導能力，支持網絡訪問重定向、廣播路由等方式將攻擊誘導至誘捕環境；a)具備執行備份能力，支持記錄備份安全策略、安全配置、基線變更及響a)具備取證數據轉儲能力，支持磁盤快照、內存空間c)具備取證數據保全能力，支持基于取證結果的數字簽名、統一存儲a)具備網絡攻擊溯源能力，包括攻擊主體、攻擊路徑、攻擊方法、攻擊對象等的溯b)具備惡意代碼攻擊溯源能力，包括感染源、感染對象、感染途徑等；具備自動化綜合分析能力通過綜合分析，專業安全人員可準確定位攻擊者6.2動態訪問控制c)支持根據各認證因子反饋的認證結果進行綜合判定，根據2)支持通過鑒權請求獲取鑒權條件，依據鑒權條件動態返回鑒權結果；3)支持為用戶、機構、應用等授權主體進6b)具備對各類業務行為進行審計，并提供6.3密碼服務7.2應用訪問控制2)應用令牌至少包含應用標識、用戶標識、創建時間和過期時間；身份管理包括用戶身份管理和組織機構身份管理應7b)支持從資源目錄獲取應用列表和應用識別a)認證因子包含但不限于口令、數字證書、b)認證因子信息包括但不限于認證因子名c)支持認證因子信息的管理，包括但不限于增b)支持自定義錄入或通過其他平臺接收主體環境要素；b)支持自定義錄入或通過其他平臺接收授權客體；a)支持創建、刪除、編輯角色，定義角色的b)支持關聯工作流角色生命周期的管理；8a)環境感知內容管理：支持自定義環境感知服務的終端環b)感知策略管理：支持對環境感知內容進行管理和配審計管理應包含下列內容:b)日志留存時間管理：應用訪問日志的保存時間不少于六個月；7.3運行維護安全應用運行維護管理符合下列要求:a)應提供統一的標準化服務接口規范各子系統、組件程序的集中配b)應支持安全資源的注冊、編排、封裝等，對已