信息系统安全技术规范v10.docx
《信息系统安全技术规范v10.docx》由会员分享,可在线阅读,更多相关《信息系统安全技术规范v10.docx(30页珍藏版)》请在冰豆网上搜索。
信息系统安全技术规范v10
中国联通公司发布
中国联通电子渠道安全技术规范
ChinaUnicomElectronicChannelSecurityTechnicalSpecification
(V1.0)
目 次
前 言
为了规范中国联通电子渠道系统的安全防护建设,中国联通制定了以下安全规范:
(1)《中国联通电子渠道安全技术规范》
(2)《中国联通电子渠道安全测试规范》
本标准是其中的《中国联通电子渠道安全技术规范》。
本标准是在充分了解中国联通ECS、ESS系统的安全建设情况以及未来规划,参考相关行业标准的基础上,编制而成。
本标准由中国联通公司电子渠道中心提出,并由中国联通公司技术部统一归口管理。
本标准主要起草单位:
中国联通公司电子渠道中心。
本标准主要起草人:
刘江林、金波、吴盛博、陈晓光、刘宇航等。
本标准的修改和解释权属中国联通公司。
中国联通电子渠道安全技术规范
第一章范围
本规范规定了电子渠道ECS、ESS系统的安全技术规范,适用于中国联通总部电子渠道中心,是中国联通ECS、ESS系统的应用安全技术规范和依据。
本规范为总部电子渠道ECS、ESS系统提供安全技术规范。
第二章规范引用性文件
《173-2010中国联通电子渠道技术规范v1.0》
《YD/T2092-2010网上营业厅安全防护要求》
《YD/T1752-2008支撑网安全防护要求》
《YD/T1728-2008电信网和互联网安全防护管理指南》
《YD/T1729-2008电信网和互联网安全等级保护实施指南》
《YD/T1730-2008电信网和互联网安全风险评估实施指南》
《YD/T1731-2008电信网和互联网灾难备份及恢复实施指南》
第三章缩略语和术语定义
本规范所涉及的缩略语定义如下:
缩略语
英文全称
中文全称
ECS
ElectronicChannelSystem
电子渠道系统
ESS
ElectronicSalesServicesManagementSystem
电子化销售服务管理系统
BSS
BusinessSupportSystem
业务支撑系统
IPS
IntrusionPreventionSystem
入侵预防系统
IDS
IntrusionDetectionSystem
入侵检测系统
SSL
SecureSocketsLayer
安全套接层
ECC
ErrorCorrectingCode
错误检查和纠正
本规范所涉及的术语定义如下:
术语
解释与说明
电子渠道信息系统
中国联通电子渠道信息系统直接面向互联网开放,通过Web、短信、WAP等多种渠道,提供话费积分查询、业务定制、充值交费、销售管理等创新型业务应用,在本规范中则限指ECS、ESS两大系统。
组织
由不同作用的个体为实施共同的业务目标而建立的结构,组织的特性在于为完成目标而分工、合作。
一个单位是一个组织,某个业务部门也可以是一个组织。
业务
电子渠道信息系统支持的业务过程,通常包括多步活动,并与用户、客服等多人间有交互,例如话费积分查询、业务定制、充值交费、销售管理业务等。
开发框架
开发框架即framework,是一组功能实现套件的结合体,提供了应用系统各个功能开发的最佳实践集合,使开发更具工程性、简便性和稳定性
缓冲区溢出攻击
缓冲区溢出攻击是指当计算机向缓冲区内填充数据时,数据位数超过了缓冲区本身的容量,溢出的数据覆盖了合法数据。
如果程序的返回地址被覆盖,当程序返回时,就有可能返回到攻击者的恶意代码段,而执行恶意代码。
整数溢出攻击
因为计算机表示数据的局限性,对有符号整数,无符号整数或是指针等类型的变量做运算时,返回的结果数过大或者过小超出了变量类型所能表示的最大或最小范围,就会导致整数溢出。
如果程序不考虑整数溢出问题会导致逻辑错误或缓冲区溢出等风险。
跨站脚本攻击
入侵者在远程Web页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行,从而威胁用户浏览过程的安全。
SQL注入攻击
攻击者构造恶意的字符串,欺骗应用系统用于构造数据库查询语句并执行,从而达到盗取或修改数据库中存储的数据的目的。
资源注入攻击
资源注入攻击是指在程序允许用户通过输入来控制资源标识符的情况下,攻击者能够访问或修改其他被保护的系统资源。
资源泄漏攻击
资源泄漏攻击是在程序出现错误和其他异常情况,或者程序负责释放资源的某个部分发生混乱的时候,程序因释放系统资源失败而导致的。
命令注入攻击
命令注入攻击是指在应用程序执行命令时没有指定一个完整的路径或者校验执行的代码,而使攻击者可以通过改变$PATH或其他环境变量,或者在搜索路径中插入可执行恶意代码,通过执行这些恶意代码应用程序会给予攻击者特殊的权限或者能力,而这些权限或能力是攻击者不应该具有的。
拒绝服务攻击
拒绝服务攻击是攻击者通过向应用程序发送大量请求来使得应用程序无法向合法用户提供服务,即攻击者想办法让目标机器停止提供服务或正常用户的资源访问,这些资源包括磁盘空间、内存、进程甚至网络带宽。
路径遍历攻击
攻击者操纵输入参数使应用系统执行或透露任意文件内容,或对服务器任意文件目录进行读、写、删除等操作。
命令注入攻击
命令注入攻击是指攻击者操纵输入参数使应用系统执行额外的指令,例如操作系统命令等。
第四章电子渠道安全技术规范概述
4.1电子渠道安全技术规范范围
中国联通电子渠道安全技术规范是围绕中国联通网上营业厅、电子化销售服务管理系统和企业门户三大业务应用,以业务安全、应用安全、代码安全和数据安全为重点,研究和编制符合中国联通电子渠道在线电子商务特点的安全防护技术规范,制定电子渠道信息系统的业务和应用在设计、开发、部署、运行、维护等全生命周期各个环节应满足的安全技术要求。
4.2电子渠道安全技术规范内容
电子渠道安全技术规范主要对子渠道信息系统的应用安全、业务安全、代码安全和数据安全技术防护要求进行阐述。
第五章电子渠道信息系统整体安全技术架构
图5-1电子渠道系统安全技术整体技术架构
第六章电子渠道安全技术要求
6.1业务安全
6.1.1登陆办理类
1.电子渠道信息系统应对用户注册过程执行统一的口令策略,包括:
1口令设置者(如:
系统颁发或用户自行设置)。
2如果系统必须颁发初始口令,应该避免使用统一的用户初始口令,应强制要求用户在初次登录系统时修改初始口令。
3口令长度。
4口令至少包含的特征组(如:
小写字母,数字,大写字母以及特殊符号等)。
5用户不应使用出现在常见列表中的口令类型(如:
常见字符、词组、用户名作为密码等)。
2.电子渠道信息系统对于用户自助形式首次注册帐户的激活操作应使用其他方式(如:
短信、邮件、手机号绑定、固话号码绑定等)进行确认。
3.电子渠道信息系统应为注册功能模块设置强验证码机制,防止机器人恶意注册,验证码的抗识别强度要求包括:
1包含的特征组(如:
大小写字母、数字组合,去掉歧义字符,0和o、l和1、z和2、q和9。
)。
2应采用的算法(如:
符号扭曲、粘连算法)。
3应采用的元素(如:
字体)的间距不规则分布。
4应加入的干扰元素(如:
一条干扰斜线,覆盖所有字符)。
5背景色彩应使用的颜色(如:
与网站整体风格一致)。
6后台验证码生成算法应定期更新(建议每3月更新一次)。
7验证码应设置超时时限(如:
小于等于5分钟)。
4.电子渠道信息系统帐户注册过程应强制要求用户必填项信息(如:
手机号、姓名、身份证号码等),并验证其必填项信息(如:
手机号、身份证号码等)以及凭据找回渠道的有效性和真实性(如:
邮箱、手机号必须真实且为帐户注册人持有)。
5.电子渠道信息系统应分系统不同制定多因素、多方式的登录认证功能,包括:
1ESS系统应具备多因素认证机制(如:
口令+电子钥匙)。
2ECS系统应具备多方式的认证机制(如:
手机号/服务密码,手机短信随机密码,用户名/口令)。
6.电子渠道信息系统应为认证功能模块设置强验证码机制,防止恶意暴力破解,验证码的抗识别强度要求按本规范6.1.1节第3)条执行。
7.电子渠道信息系统在用户成功登录后,应将上一次的登录信息(如:
登录时间、地点、认证结果等)显示给用户。
8.电子渠道信息系统应禁用“自动登录”或“记住密码”等功能(如:
网厅、手机厅)。
9.电子渠道信息系统认证失败的提示内容不应该指明具体错误的部分(如:
登录信息错误时都提示“无效的用户名和/或密码”而不是“无效的用户名”或“密码无效”)。
10.应按用户登录电子渠道信息系统的不同方式,实现用户操作功能权限的横向、纵向隔离,不但应保证用户登录后只能访问该用户的相关信息,不能非法访问其它用户相关信息,而且只能实现该方式下运营商开放给用户的系统功能。
11.电子渠道信息系统应对关键业务的办理执行严格的二次认证:
1对于需要手机号绑定的用户账户(如ECS的网站用户绑定手机号码的操作),应采用手机短信动态口令验证,并应设置动态口令超时时限为小于或等于1分钟。
2对于不与手机号绑定的用户账户(如ECS的宽带、小灵通用户等不绑定手机号的账户类型),应要求其提供可用邮箱地址,并通过邮箱激活邮件验证验证用户身份的真实有效性。
12.电子渠道信息系统应具备严格的防篡改机制,保证业务办理过程中数据的完整性。
13.电子渠道信息系统业务办理类申请应具有二次确认机制,二次确认应采用多种方式进行(如:
短信确认、再次点击确认等)。
14.电子渠道信息系统应具备完善的权限控制机制,保障用户在业务办理流程的每一步所具有的权限应受到功能级别细粒度的控制(如:
2G用户不能办理3G用户业务)。
15.电子渠道信息系统每个业务办理流程应生成随机业务流水号,防止攻击者猜测标识或依据当前标识推导后续的标识。
16.电子渠道信息系统每个业务办理流程应生成时间戳,防止重放攻击。
17.电子渠道信息系统每个业务办理流程应具备自动退出机制,业务办理过程中,如果用户退出或会话意外中断、超时等情况,应重新进行认证。
18.电子渠道信息系统应为账号的密码重置功能采用二次认证机制。
二次认证要求按本规范6.1.1节第11)条执行。
19.电子渠道信息系统服务器端应保证同一业务流程中各个数据交互环节中客户端前后操作的身份一致性及合法性。
20.电子渠道信息系统客户端页面应隐藏标志业务办理流程步骤的变量及参数值,防止通过修改该变量达到业务过程乱序的目的。
21.电子渠道信息系统应具备登陆办理类业务审计(日志)功能,并覆盖到每个用户,对重要业务信息(登录信息、认证结果、业务操作、数据信息、业务结果等)有详细记录。
6.1.2信息查询类
1.电子渠道信息系统应对详单查询操作采取二次认证机制,二次认证要求见“登录办理类”之11)中所示。
2.应按用户登录电子渠道信息系统的不同方式,实现用户详单查询操作功能权限的横向、纵向隔离,权限隔离按本规范6.1.1节第10)条执行。
3.电子渠道信息系统应为查询类功能提供强验证码机制,验证码的抗识别强度要求按本规范6.1.1节第3)条执行。
4.电子渠道信息系统应对涉及用户隐私的查询类功能(如:
详单查询)采用基于手机短信动态口令验证的二次认证机制。
该类查询功能成功后应进行短信通知。
5.电子渠道信息系统应对查询频率进行限制。
6.电子渠道信息系统应对信息查询类业务需要接纳用户输入的数据接口,添加针对输入数据的符合性进行验证。
(如身份证输入框,应对输入的字符种类和长度做相应合法性验证,过滤有害字符)。
7.电子渠道信息系统服务器端应保证同一详单查询业务流程中各个数据交互环节中客户端前后操作的身份一致性及合法性。
8.电子渠道信息系统页面应隐藏标志业务办理流程步骤的变量及参数值,防止通过修改该变量达到实现业务过程乱序的目的。
9.电子渠道信息系统应具备信息查询类业务审计(日志)功能,并覆盖到每个用户,对重要详单查询行为(用户信息、查询操作、认证结果、查询字段等)有详细记录。
10.电子渠道信息系统信息查询类日志记录内容中不应包含应用系统非必须的敏感信息(如:
身份证号码、信用卡信息、通话详单、短信详单等)。
6.1.3电子商城类
1.电子渠道信息系统应具备完善的权限控制机制,保障用户在商城购物流程的每一步都应查询其当前认证状态,并严格检查其权限。
2.电子渠道信息系统商城业务流程中各个数据交互环节,如果存在会对后续流程环节内容有影响的操作,应存在防篡改机制,对必须从客户端获取的参数采用加密传输机制,并在服务器端对该类参数进行合法性验证,使得业务流程设计时设定为不应篡改的数据(如:
表示商品种类、金额、积分额度、付款状态等参数)其完整性得到保证。
3.电子渠道信息系统应为电子商城类交易功能提供强验证码机制,验证码的抗识别强度要求按本规范6.1.1节第3)条执行。
4.电子渠道信息系统每个商城交易流程应生成随机订单号,防止攻击者猜测标识或依据当前标识推导后续的标识。
5.电子渠道信息系统应对单个订单交易额度以及单个用户交易频率进行控制(防止洗钱行为)。
6.电子渠道信息系统应对积分兑换行为进行二次认证,积分兑换成功后应进行短信通知。
7.电子渠道信息系统客户端应对电子商城类业务中需要接纳用户输入的数据接口,添加针对输入数据的合法性进行验证(如:
身份证输入框,应对输入的字符种类和长度做相应合法性验证,过滤有害字符)。
8.电子渠道信息系统电子商城类模块应对第三方系统接口数据进行加密传输,以保障交易数据的机密性。
9.电子渠道信息系统电子商城类模块应对第三方系统接口数据附加数字摘要,以保障交易数据的完整性。
10.电子渠道信息系统电子商城类交易中,虚拟商品(如:
充值卡)交易应记录强类型用户身份关联信息(如:
手机号、身份证、姓名等)。
11.电子渠道信息系统应对电子商城交易类业务中被具体交易过程锁定的被购买商品(如:
手机号,上网卡等)设定超时时限,对于长时间未交易成功的订单对应的被购买商品进行自动释放。
12.电子渠道信息系统客户端页面应隐藏标志业务办理流程步骤的变量及参数值,防止通过修改该变量达到实现业务过程乱序的目的。
13.电子渠道信息系统服务器端应保证同一商城购物业务流程中各个数据交互环节中客户端前后操作的身份一致性及合法性。
14.电子渠道信息系统应具备电子商城类业务审计(日志)功能,并覆盖到每个用户,对重要交易信息(用户信息、交易操作、交易物品、金额、积分额度、付款状态、付款方式等)有详细记录。
15.审计记录内容中不应包含应用系统非必须的交易信息(如:
充值卡卡密、信用卡信息)。
16.电子渠道信息系统应具备电子商城类交易账目对账机制,定期核对交易账目收支情况。
6.1.4缴费充值类
1.电子渠道信息系统应为缴费充值类交易功能提供强验证码机制,验证码的抗识别强度要求按本规范6.1.1节第3)条执行。
2.电子渠道信息系统缴费充值类业务流程中各个数据交互环节,如果存在会对后续流程环节内容有影响的操作,应存在防篡改机制,对必须从客户端获取的参数采用加密传输机制,并在服务器端对该类参数进行合法性验证,使得业务流程设计时设定为不应篡改的数据(如:
缴费金额、充值卡金额,折扣率等参数)其完整性得到保证。
3.电子渠道信息系统应对单个交易(如:
购卡、充值、缴费等)额度以及单个用户交易频率进行控制(防止洗钱行为)。
4.电子渠道信息系统缴费充值类页面应隐藏标志业务办理流程步骤的变量及参数值,防止通过修改该变量达到实现业务过程乱序的目的。
5.电子渠道信息系统缴费充值类模块应对第三方系统接口数据进行加密传输,以保障交易数据的机密性。
6.电子渠道信息系统缴费充值类模块应对第三方系统接口数据附加数字摘要,以保障交易数据的完整性。
7.电子渠道信息系统缴费充值类交易中,虚拟商品(如:
充值卡)交易应记录强类型用户身份关联信息(如:
手机号、身份证、姓名等)。
8.电子渠道信息系统应提供必要的校验措施(如:
设置充值卡密状态标志),实现当卡密处于非激活状态时,即使外部人员成功猜测并构造了充值卡密也无法通过系统校验,从而无法成功的进行充值。
9.电子渠道信息系统应具备足够的审计措施,实现对内部人员使用内部系统接口伪造缴费请求(如:
直接对目标手机卡进行充值)等行为的监控,并设定交易账目对账机制,定期核对交易账目收支情况。
10.电子渠道信息系统服务器端应保证同一缴费充值业务流程中各个数据交互环节中客户端前后操作的身份一致性及合法性。
11.电子渠道信息系统应对缴费充值类业务中被具体交易过程锁定的被购买商品(如:
充值卡等)设定超时时限,对于长时间未交易成功的订单对应的被购买商品进行自动释放。
12.电子渠道信息系统应具备缴费充值类业务审计(日志)功能,并覆盖到每个用户,对重要交易信息(用户信息、交易操作、交易物品、数量、折扣率、金额、积分额度、付款状态、卡密提取状态、付款方式等)有详细记录。
13.审计记录内容中不应包含应用系统非必须的交易信息(如:
充值卡卡密、信用卡信息)。
14.电子渠道信息系统应具备缴费充值类交易账目对账机制,定期核对交易账目收支情况。
6.1.5页面展示类
1.电子渠道信息系统展示类业务应提供必要的保障机制,保证向用户展示信息(如:
套餐资费、优惠活动)的正确性。
2.电子渠道信息系统展示类业务应提供必要的保障机制,保证非业务数据不应被呈现。
3.电子渠道信息系统展示类业务应提供必要的保障机制,保证用户预留信息被正确展示。
4.电子渠道信息系统应限制每页最大显示查询结果条目数量。
6.2应用安全
6.2.1身份鉴别
6.2.1.1身份标识和鉴别
1.应提供专用的登录控制模块对登录电子渠道信息系统的用户进行身份标识和鉴别。
2.应提供登录电子渠道信息系统用户身份标识的唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用。
3.除登录密码外还应支持图片验证码或其它预防暴力猜测帐号密码的措施。
4.电子渠道信息系统应采用随机数生成图片验证码,严禁以任何形式配置可反复通过系统验证的万能验证码。
5.应在图片验证码图片背景中插入噪点、干扰(如:
斜线干扰、字体大小随机、字体位置分布不均匀等)。
6.对于无需登录的业务(如:
购卡)应采用一次性短信或邮件验证码机制。
7.会话标识必须足够随机,防止攻击者猜测标识或依据当前标识推导后续的标识。
8.用户登录后必须分配新的会话标识,不能继续使用用户未登录前所使用的标识。
9.认证失败提示中不应指明具体失败的原因或字段,比如,应使用“无效的用户名或密码”来代替“无效的用户名”或“密码错误”。
6.2.1.2密码设置策略
1.电子渠道信息系统应具有密码复杂度判断和提示机制,能够判断及显示用户当前密码的安全性等级,当用户密码存在风险时应能够提示用户进行修改。
6.2.1.3登录限制
1.应设置连续登陆失败次数阈值,一定时间内登录失败次数超过阈值应自动锁定账号。
2.应启用登录失败处理功能,可采取结束会话和自动退出等措施。
6.2.1.4远程访问
1.应对重要电子渠道信息系统重要模块(如:
管理门户)的访问进行加密,如采用https协议替代http协议。
6.2.1.5登录警示
1.电子渠道信息系统应设置鉴别警示信息,当发现并阻止用户试图越权访问信息的行为时,应进行提示并描述未授权访问可能导致的后果。
6.2.2访问控制
6.2.2.1通信控制
1.应对从互联网进入电子渠道信息系统的流量进行过滤,实现对应用层HTTP协议命令级的控制。
2.电子渠道信息系统应具备会话超时机制,用户通过互联网与电子渠道信息系统Web服务器建立的会话处于非活跃一定时间后,电子渠道信息系统Web服务器设备应自动终止会话。
3.如果电子渠道信息系统启用了SSL加密,其版本应不低于3.0。
4.电子渠道信息系统不应将SSL设置为可选的方案,不应在使用443端口(SSL通信端口)的同时也接受80端口(一般的HTTP服务端口)请求,不应允许用户选择安全级别。
6.2.2.2帐户管理
1.应至少6个月进行一次对管理账户的回顾检查,确认每个管理帐号的使用人员。
2.应限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令。
3.应及时删除多余的、过期的帐户,避免共享帐户的存在。
4.应根据电子渠道信息系统管理账户的角色分配权限,实现管理账户的权限分离,仅授予管理账户所需的最小权限。
6.2.2.3敏感标记
1.应对重要信息资源(如:
充值卡密、个人信息等)设置敏感标记。
2.应依据安全策略严格控制用户对具有敏感标记的重要信息资源所进行的操作。
6.2.3入侵防范
1.直接面向互联网为用户提供服务的电子渠道信息系统设备(如Web服务器设备)仅开放为登录电子渠道信息系统用户提供服务所必须的服务端口(如HTTP、HTTPS对应端口及向BSS系统开放的端口),并采用技术手段监控端口通信情况。
2.电子渠道信息系统功能模块应遵循最小建设原则,仅建设必要的组件和功能模块。
3.应在电子渠道信息系统与互联网的网络边界处部署IDS或IPS设备,检测、防御以下攻击行为:
端口扫描、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
4.应能够检测到对电子渠道信息系统中主机进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时进行告警。
6.2.4安全审计
6.2.4.1审记建立
1.应对电子渠道信息系统重要安全事件(如:
攻击行为、非法操作等)进行审计。
6.2.4.2审记记录
1.应提供覆盖到电子渠道信息系统每个用户的安全审计功能。
2.应对电子渠道信息系统用户的登录过程进行审计。
3.应对电子渠道信息系统重要页面(购卡、充值、付款)操作进行审计。
4.审计记录的内容应至少包括事件日期、时间、发起者信息、类型、描述和结果等。
5.审计记录内容中不应包含应用系统非必须的用户身份信息(如:
身份证号码)。
6.审计记录内容中不应包含应用系统非必须的交易信息(如:
充值卡卡密、信用卡信息)。
6.2.4.3审计管理
1.应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。
2.应保护审计进程,避免受到未预期的中断。
3.应保证无法删除、修改或覆盖审计记录。
4.应采用技术手段(如:
定期运行文件完整性监控软件),能够发现应用系统关键数据或文件被非授权更改并通知相关人员,应至少每周对关键文件进行比较。
6.2.5剩余信息保护
1.应采用技术手段保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中。
2.应采用技术手段保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。
6.2.6通信完整性
1.应采用约定通信会话方式的方法保证通信过程中数据的完整性。
6.2.7通信保密性
1.在通信双方建立连接之前,电子渠道信息系统应利用密码技术进行会话初始化验证。
2.应对通信过程中的敏感信息字段(如:
充值卡密、个人信息等)进行加