ICS13.100DB14山西省市場監督管理局發布IDB14/T2241—2020 12規范性引用文件 13術語和定義 14業務軟件系統軟件研發周期 35軟件系統安全設計的基本內容 56通用要求 87軟件開發管理 98安全運維 附錄A（資料性）參考表 12附錄B（資料性）業務軟件系統驗收大綱 DB14/T2241—2020本文件按照GB/T1.1-2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規則起草。請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。本文件由山西省應急管理廳提出并監督實施。本文件由山西省安全生產標準化技術委員會歸口。本文件起草單位：山西省安全生產科學研究院。本文件主要起草人：焦新華、陳澤宇、楊柯、王延輝、楊李根、劉艷、王剛、王洋、宋梅、張旭東、王波。1DB14/T2241—2020應急管理信息化應急管理業務軟件系統安全設計規范本文件規定了應急管理業務軟件系統安全設計規范的術語和定義、基本內容、通用要求、研發管理以及安全運維等，本規范主要針對B/S架構。本文件適用于指導山西省應急管理業務軟件系統安全設計。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239-2019信息安全技術網絡安全等級保護基本要求GB/T30998-2014信息技術軟件安全保障規范3術語和定義下列術語和定義適用于本文件。3.1安全設計系統在設計階段開展的結構分析、專項防護及方案評審等一系列活動的總稱。3.2安全策略業務系統中制定一系列規則，實現安全目標的總稱。3.3系統級資源系統級資源包括：文件、文件夾、注冊表項、ActiveDirectory對象、數據庫對象、事件日志等。3.4前端前端即網站前臺部分，在瀏覽器上展現給用戶瀏覽的網頁。3.5后端后端是負責與數據庫的交互，實現相應的業務邏輯。2DB14/T2241—20203.6雙因子認證密碼以及實物(SMS手機、令牌等生物標志)兩種或多種條件對用戶進行認證的方法。3.7單向散列是根據輸入消息計算后，輸出固定長度數值的算法，輸出數值也稱為“散列值”或“消息摘要”，其長度通常在128～256位之間。3.8反向代理是指內部網絡對Internert發出連接請求，需要制定代理服務將原本直接傳輸至Web服務器的HTTP發送至代理服務器中。3.9結構化異常處理是可以使程序中異常處理代碼和正常業務代碼分離，保證程序代碼更加優雅，并提高程序健壯性。3.10微服務架構是一種將一個單一應用程序開發為一組小型服務的方法，每個服務運行在自己的進程中，服務間通信采用輕量級通信機制。3.11應用容器引擎是一個開源的應用容器引擎，讓開發者可以打包他們的應用以及依賴包到一個可移植的容器中，然后發布到任何流行的機器上，也可以實現虛擬化。3.12滲透測試是通過模擬惡意黑客的攻擊方法，來評估計算機網絡系統安全的一種評估方法。3.13SQL注入是攻擊者構造惡意的字符串，欺騙業務系統用構造數據庫語句并執行，從而達到盜取或修改數據庫中存儲的數據的目的。3.14跨站腳本攻擊是入侵者在Web頁面的HTML代碼中插入具有惡意目的的數據，用戶認為該頁面是可信賴的，但是當瀏覽器下載該頁面，嵌入其中的腳本將被解釋執行，從而威脅用戶瀏覽過程的安全。3.153DB14/T2241—2020回滾操作是程序或數據處理錯誤，將程序或數據恢復到上一次正確狀態的行為。3.16CA認證CA認證，即電子認證服務，是指為電子簽名相關各方提供真實性、可靠性驗證的活動。數字證書的機構是負責發放和管理數字證書的權威機構，并作為電子商務交易中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任。3.17RA認證RA（RegistrationAuthority是數字證書認證中心的證書發放、管理的延伸。主要負責證書申請者的信息錄入、審核以及證書發放等工作，同時，對發放的證書完成相應的管理功能。發放的數字證書可以存放于IC卡、硬盤或軟盤等介質中。RA系統是整個CA中心正常運營不可缺少的一部分。4業務軟件系統軟件研發周期軟件安全開發涵蓋了軟件的整個生命周期。軟件安全周期是軟件從產生到發布的生命周期，參考圖1，包括項目啟動、需求分析、原型設計、需求設計、研發設計、開發階段、測試階段、系統發布八個階段，相關階段產物參見附錄A。業務軟件系統研發單位同時也應按照GB/T30998-2014，對研發過程進行規范管理，并記錄相關過程和結果。4DB14/T2241—2020圖1業務軟件系統軟件研發周期5DB14/T2241—20205軟件系統安全設計的基本內容5.1設計要求軟件系統安全設計應按照GB/T22239-2019，根據業務軟件設計要求，進行網絡安全等級保護。5.2身份鑒別在身份認證方面，要求如下：a)可接入到統一認證中心（部級CA認證，省級RA認證）；b)應采用合適的身份認證方式，應采用雙因子認證方式，認證方式如下：1)用戶名、口令認證；2)動態口令認證、GA認證；3)證書認證，證書必須有載體，比如USBKEY（注：生產環境中，應使用USBKEY，不能私自導出證書）；4)短信認證。c)應設計密碼的存儲和傳輸安全策略：1)禁止在數據庫中明文存儲用戶密碼；2)禁止在基于HTML5中SessionStorage、LocalStorage、Cookie中保存明文密碼；3)應采用單向散列加密技術在數據庫中存儲用戶密碼；4)用戶若忘記密碼，應通過郵件驗證，并使用手機號碼及短信驗證，找回密碼；5)用戶若忘記密碼，且郵件地址及手機號發生變更，應通過管理員進行密碼找回。d)應設計密碼使用安全策略，包括密碼長度、復雜度、更換周期等，輸入字符應可見；1)弱密碼：復雜度單一，長度小于8位，滿足兩項；中密碼：復雜度三種類型，長度大于8位，滿足其中一項；強密碼：復雜度三種類型，長度大于8位，滿足兩項；2)更換周期具體要求見附錄A；e)應設計圖形驗證碼，增強身份認證安全，隨機生成且包含字母、數字、字母數字組合或中文驗證碼的組合,具體詳情見附錄A；f)應設計賬號鎖定功能限制連續失敗登錄，具體詳情見附錄A；g)應根據系統設計限制重復登陸賬號；h)對提供單點登錄的分布式業務軟件系統的用戶應提供單點標識，且單點標識應具有與常規標識相同的安全性。5.3訪問控制在授權方面，要求如下：a)應設計資源訪問控制方案，驗證用戶訪問權限；b)電子政務外網等線上業務應設計后臺管理控制方案：后臺管理應采用白名單方式對訪問的來源IP地址進行限制；c)應設計在后端實現訪問控制，禁止僅在前端實現訪問控制；d)授權粒度應根據業務軟件系統的角色和功能分類進行限制。5.4安全審計6DB14/T2241—2020用戶訪問業務軟件系統時，應對登錄行為、業務操作以及系統運行狀態進行記錄與保存，保證操作過程可溯源、可審計，確保業務日志數據的安全。要求如下：a)日志記錄事件應包含以下事件：1)訪問控制信息，比如：由于登陸失敗超出嘗試次數的限制而引起的賬號鎖定信息；2)用戶權限的變更；3)用戶密碼的變更；4)用戶試圖執行角色中沒有明確授權的功能；5)用戶賬戶的創建、注銷、鎖定、解鎖；b)審計日志應包含如下內容：1)事件的日期、時間（時間戳）；2)事件類型；3)事件內容；4)事件是否成功；5)請求的來源（例如請求的IP地址）；c)審計日志應禁止包括如下內容（如必須包含，應做模糊處理）：1)敏感信息（如密碼信息等）；2)隱私信息（如身份信息等）；d)應保證業務日志安全存儲與訪問：1)日志應存儲在數據庫中；2)日志保存期限可進行配置；3)應支持與省部級獨立的日志系統進行日志傳輸。5.5通信安全5.5.1接口方式安全設計接口方式安全設計要求如下：a)與其他系統連接，禁止侵入式使用數據庫；b)本系統前后端數據傳輸，可通過Json進行傳輸；c)本系統與其他系統連接進行身份認證，可通過token認證；d)本系統信息傳輸過程中，應注意防止中間人攻擊，保障數據的可靠性和穩定性；e)對外接口設計必須有接口版本號，每次變更應考慮向下兼容性，基本原則：輕易不刪除舊接口，新增接口要有版本號。），3)修訂號：增加新的接口時增加；在接口不變的情況下，增5.5.2數據安全設計數據安全設計要求如下：a)應使用加密技術對傳輸的敏感信息進行保護,敏感度信息判別見附錄A表A.4，加密方式選擇見附錄A；7DB14/T2241—2020b)應使用安全的傳輸協議（如:HTTPS、SFTP、SCP等加密傳輸協議）來傳輸敏感度中度級別以上的文件；c)臨時數據使用后需進行存儲或銷毀處理。5.5.3會話安全在會話管理方面，要求如下：a)登錄成功后應建立新得會話：1)在用戶認證成功后，應為用戶創建新的會話并釋放原有會話，創建的會話憑證應滿足隨機性和長度要求，避免被攻擊者猜測；b)應確保會話數據的存儲安全：1)用戶登錄成功后所生成的會話數據應存儲在后端，并確保會話數據不能被非法訪問；2)更新會話數據時，應對數據進行嚴格的輸入驗證，避免會話數據被非法篡改；c)應及時終止會話：1)當用戶登錄成功并成功創建會話后，應在系統的各個頁面提供用戶退出功能；2)退出時應及時注銷服務器端的會話數據；d)本系統消息會話類數據傳輸，可通過ws、wss進行連接；e)應設計合理的會話存活時間，超時后應銷毀會話，并清除會話的信息；f)應能夠對系統的最大并發會話連接數進行限制。5.5.4其他要求除上述要求之外還應：a)應確保采用的安全協議不包含已公開漏洞；b)云端業務軟件系統的外鏈業務應使用反向代理進行訪問，Web和數據庫服務器建立連接訪問，應使用內網域名進行訪問，避免使用IP地址訪問；c)通過互聯網域名訪問業務軟件系統應考慮聯通、電信、移動負載線路及IPV4、IPV6雙站兼容。5.6容錯設計5.6.1異常消息異常消息一般包含了針對開發和維護人員調試使用的系統信息，這些信息將增加攻擊者發現潛在缺陷并進行攻擊的機會。要求如下：a)應使用異常處理機制；b)應使用通用錯誤信息：1)程序發生異常時，應重定向到特定網頁；2)應向前端返回一般性錯誤消息；a)程序發生異常時，應終止當前業務，并對當前業務進行回滾操作。5.6.2其他要求除上述要求之外還應：a)業務軟件系統應分為調試和生產環境兩個狀態，在生產狀態下產生的邏輯錯誤不應反饋給用戶；b)業務軟件系統對高并發接口，應采用微服務架構、Docker容器技術等技術；8DB14/T2241—2020c)業務軟件系統應選取合適的部署操作系統，比如使用Linux，可充分利用I/O多路復用，占用資源少、性能好的特性。5.7數據庫安全數據庫安全包括：a)數據庫的運行環境，應考慮單機部署以及分布式部署；b)數據庫采用分布式部署方式應注意主鍵ID生成算法，例如采用雪花、uuid等算法；c)數據庫設計時，應注意業務邏輯不要過于復雜，應對索引優化；d)數據庫設計時，使用查詢應通過視圖，報表展示應使用map；e)數據庫設計時，應考慮穩定性、安全性（多級安全）；f)數據庫設計時，應讀寫分離，提升存取速度；g)數據庫設計訪問過程時，應以最小權限設計為主；h)數據庫設計時，應考慮中間件對耗時語句的處理；i)數據庫設計時，應減少使用存儲過程；j)與數據庫互聯地址，如果為一臺服務器，一臺數據庫，應采用IPV4私網地址，掩碼根據具體服務器數量進行計算。6通用要求6.1安全原則安全原則應包含：a)保護最薄弱的環節原則：保護最易受攻擊影響的部分；b)縱深防御原則：不同層面、不同角度之間需要相互配合；c)最小權限原則：只授予執行操作所需的最小權限；d)最小共享原則：使共享文件資源盡可能少；e)權限分離原則：授予不同用戶所需的最小權限，并在它們之間形成相互制約的關系。6.2輸入和輸入驗證要求如下：a)應設計多種輸入驗證的方法，包括：1)應檢查數據是否符合設定的類型；2)應檢查數據是否符合設定的長度；3)應檢查數值數據是否符合設定的數值范圍；4)應檢查數據是否包含特殊字符；5)應使用正則表達式進行檢查；b)前后端都應進行輸入驗證：1)應建立統一的輸入驗證接口，為整個系統提供一致的驗證方法；2)應將輸入驗證策略作為應用程序設計的核心元素；c)應對輸入內容進行規范化處理后在進行驗證，如文件路徑、URL地址等，規范化為標準的格式后再進行驗證；d)根據輸入目標的不同，應對輸出數據進行相應的格式化處理。6.3配置管理9DB14/T2241—2020在配置管理方面，要求如下：a)Web目錄使用配置文件，以防止可能出現的服務器配置漏洞導致配置文件被下載；b)應避免以純文本形式存儲重要配置，如數據庫連接字符串或賬戶憑據。6.4參數操作操作參數攻擊是一種更改在Web應用程序發送的參數數據的攻擊，包括查詢字符串、cookie和HTTP標頭。要求如下：a)應避免使用包含敏感數據或者影響服務器安全邏輯的查詢字符串參數；b)應使用會話標識符來標識客戶端，并將敏感項存儲在服務器上的會話存儲區中；c)應使用HTTPPOST來代替GET提交窗體，避免使用隱藏窗體；d)應驗證從客戶端發送的所有數據。7軟件開發管理7.1需求管理階段需求管理階段應：a)確認安全需求規格說明，需求管理參見附錄B；b)項目經理、需求對接人員、軟件架構工程師以及駐場開發人員，在深入調研系統需求前應簽訂保密協議；c)承保公司應以書面的方式提供管理制度、工作制度以及考核制度；d)第三方進行代碼審計服務時，可驗收時進行也可開發同步進行。7.2系統實現階段系統實現階段應符合如下要求：a)項目安全管理要求：1)軟件研發開始前，應根據確認的需求，并提交項目立項報告，參見附錄B；2)軟件研發過程中，應對項目中出現的重大問題進行管控，并完成項目重大問題跟蹤表，參見附錄B；3)軟件研發過程中，若出現意外情況，無法按期完成項目，應提交項目變更申請表，參見附錄B；4)軟件研發過程中，應對項目進度進行階段性管控，完成項目進度報告，參見附錄B；5)源代碼的變更和版本發布進行統一控制，對程序資源庫的任何修改、更新和發布都需經部門主管領導授權和批準，應記錄在冊，供驗收時查驗；b)開發環境安全管理要求：1)軟件系統開發、測試禁止在生產環境中進行；2)開發環境中的使用的操作系統、開發軟件等應進行統一安全配置，及時進行系統補丁升級和漏洞修復；3)軟件程序不得篡改應用軟件所運行的環境或平臺中任何安全配置、安全文件和安全程序；c)編碼安全要求：1)應按照安全編碼規范以及安全設計方案進行系統開發；2)應按照機密性要求，保護用戶信息的機密性；3)應按照異常處理機制，捕捉并處理程序異常，防止系統信息泄露；DB14/T2241—20204)應按照代碼脆弱性防范要求，嚴格處理輸入輸出驗證、接口調用等，不應產生SQL注入、跨站腳本攻擊等嚴重漏洞；d)開發流程安全要求：1)開發過程中應定期進行代碼靜態分析，使用代碼審核工具對源代碼進行檢測，并報告源代碼中存在的安全弱點；2)開發人員不得超越其規定權限進行開發，不得在程序中設置后門或惡意代碼程序。7.3系統測試階段系統測試包括代碼的安全測試和安全功能測試，包含以下要求：a)系統測試應按照業務軟件系統安全設計基本要求進行測試，檢查業務軟件系統安全設計是否滿足本規范；b)代碼的安全測試是指使用代碼測試工具或滲透測試來識別代碼的安全脆弱性，并應按照其提供的修復建議進行修復，范圍包括自己開發的代碼以及引用的第三方控件代碼；c)安全功能測試包括身份認證和訪問控制的功能測試；d)測試系統環境應盡可能模擬生產環境并與生產環境進行安全物理隔離；e)真實數據不得直接在測試環境中使用，須進行適當修改或屏蔽，在測試完成之后須立即從測試應用系統清除運行信息；f)測試人員應編制安全測試方案；g)驗收測試不得由開發人員兼崗；h)測試完成后應編寫測試報告，參見附錄B。7.4系統發布階段系統發布階段包含以下要求：a)配置管理員應妥善保管程序源代碼及相關技術文檔；b)應歸檔項目產品交付清單，包括開發文檔、數據庫設計文檔、操作手冊文檔，參見附錄B；c)應對業務軟件系統使用人員進行相關培訓。8安全運維8.1備份方式規范系統應提供有效的熱備、冷備備份方式及備份策略，保障業務系統安全運行。8.2其他的安全防護規范其他的安全防護應包含：a)針對Web保護與防御系統，應部署Web應用防火墻設備；b)對業務軟件系統進行管理時，不允許公網直接訪問，需通過VPN進行訪問；c)可采用國密保密機保障數據的安全性。8.3備份對象規范業務軟件系統的備份對象應包含以下：a)系統數據的備份：數據庫、文件服務器中的文件以及其他數據；b)系統的完全備份：應包括關鍵基礎設施，通過NAS的完全備份，實現快速的災難恢復；DB14/T2241—2020c)系統配置的備份：應包括關鍵路由器的配置、防火墻的配置、各類服務器操作系統的安全配置以及各類服務器中間件和容器的配置。8.4安全升級規范業務軟件系統的安全升級應按照以下要求：a)應提前在模擬生產環境中完成升級測試，保證系統升級的安全性；b)升級前應做好數據、程序、配置腳本等的備份，以防出現升級失敗后能夠立即快速恢復；c)升級過程中應保證一人執行一人監督，以防止升級過程中出現誤操作；升級完成后應進行升級驗證測試，保障業務軟件系統正常運行。DB14/T2241—2020參考表表A.1闡述了業務軟件系統研發周期及產物。表A.1業務軟件系統研發周期及產物表表A.2闡述了更換密碼周期。表A.2更換