YD/T 2694-2014
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 2694-2014.Security Protection Requirements for Networked Application over Mobile Internet.
1范围
YD/T 2694规定了移动互联网联网应用相关的业务系统分安全保护等级的安全防护要求,涉及到业务及应用安全、网络安全、设备及软件系统安全、物理安全和管理安全。
YD/T 2694适用于移动互联网联网应用相关业务系统。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件.
YD/T 1754-2008《 电信网和互联网物理环境安全防护要求》
YD/T 1756 -2008《电信网和互联网管 理安全防护要求》
YD/T 1734- -2009《移动通信网安全防护要求》
YD/T 2052- 2009《域名 系统安全防护要求》
YD/T 2587- -2013《移动互联网应用 商店安全防护要求》
YD/T 2439- -2012《移动互联网 恶意程序描述格式》
YD/T 2584- -2013《 互联网数据中心安全防护要求》
YD/T 2589 -2013《互联网 内容分发网络安全防护要求》
YD/T 2698-2014《 电信网和互联网安全防护基线配置要求及检测要求网络设备》
YD/T 2699- 2004《电信网和互联网安全防护基线配置要求及检测要求安全设备》
YD/T 2701- 2014《电信 网和互联网安全防护基线配置要求及检测要求操作系统》
YD/T 2670 -2014《电信网和互联网安全防护基线配置要求及检测要求 数据库》
YD/T 2702- 2014《电信网和互联网 安全防护基线配置要求及检测要求中间件》
1范围
YD/T 2694规定了移动互联网联网应用相关的业务系统分安全保护等级的安全防护要求,涉及到业务及应用安全、网络安全、设备及软件系统安全、物理安全和管理安全。
YD/T 2694适用于移动互联网联网应用相关业务系统。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件.
YD/T 1754-2008《 电信网和互联网物理环境安全防护要求》
YD/T 1756 -2008《电信网和互联网管 理安全防护要求》
YD/T 1734- -2009《移动通信网安全防护要求》
YD/T 2052- 2009《域名 系统安全防护要求》
YD/T 2587- -2013《移动互联网应用 商店安全防护要求》
YD/T 2439- -2012《移动互联网 恶意程序描述格式》
YD/T 2584- -2013《 互联网数据中心安全防护要求》
YD/T 2589 -2013《互联网 内容分发网络安全防护要求》
YD/T 2698-2014《 电信网和互联网安全防护基线配置要求及检测要求网络设备》
YD/T 2699- 2004《电信网和互联网安全防护基线配置要求及检测要求安全设备》
YD/T 2701- 2014《电信 网和互联网安全防护基线配置要求及检测要求操作系统》
YD/T 2670 -2014《电信网和互联网安全防护基线配置要求及检测要求 数据库》
YD/T 2702- 2014《电信网和互联网 安全防护基线配置要求及检测要求中间件》
标准图片预览
标准内容
ICS33.030
中华人民共和国通信行业标准
YD/T2694-2014
移动互联网联网应用安全防护要求SecurityProtectionRequirementsforNetworked Application over Mobile Internet2014-10-14发布
2014-10-14实施
中华人民共和国工业和信息化部发布前言·
1范围
2规范性引用文件:
3术语、定义和缩略语·
3.1术语和定义..
3.2缩略语*
4移动互联网联网应用安全防护概述4.1移动互联网联网应用安全防护范围4.2移动互联网联网应用安全风险分析·4.3移动互联网联网应用安全防护内容5移动互联网联网应用安全防护要求5.1第1级要求
5.2第2级要求
5.3第3级要求*
5.4第4级要求*
5.5第5级要求*
附录A(规范性附录)移动互联网联网应用风险分析次
YD/T2694-2014
YD/T26942014
本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准预计结构及名称如下1.《电信网和互联网安全防护管理指南》2.《电信网和互联网安全等级保护实施指南》3.《电信网和互联网安全风险评估实施指南》4.《电信网和互联网灾难备份及恢复实施指南》5.《固定通信网安全防护要求》6.《移动通信网安全防护要求》7.《互联网安全防护要求》
8.《增值业务网一消息网安全防护要求》9.《增值业务网一智能网安全防护要求》10.《接入网安全防护要求》
11.《传送网安全防护要求》
12.《IP承载网安全防护要求》
13.《信令网安全防护要求》
14.《同步网安全防护要求》
15.《支撑网安全防护要求》
《非核心生产单元安全防护要求》16.
17.《电信网和互联网物理环境安全等级保护要求》18.《电信网和互联网管理安全等级保护要求》《固定通信网安全防护检测要求》19.
《移动通信网安全防护检测要求》20.
21.《互联网安全防护检测要求》22.《增值业务网一消息网安全防护检测要求》23.《增值业务网一智能网安全防护检测要求》24.《接入网安全防护检测要求》25.《传送网安全防护检测要求》26.《IP承载网安全防护检测要求》27.《信令网安全防护检测要求》28.《同步网安全防护检测要求》29.《支撑网安全防护检测要求》30.《非核心生产单元安全防护检测要求》31。《电信网和互联网物理环境安全等级保护检测要求》32.《电信网和互联网管理安全等级保护检测要求》33.《域名系统安全防护要求》
34.《域名系统安全防护检测要求》35.《网上营业厅安全防护要求》36.《网上营业厅安全防护检测要求》37.《WAP网关系统安全防护要求》38.《WAP网关系统安全防护检测要求》39.《电信网和互联网信息服务业务系统安全防护要求》40.《电信网和互联网信息服务业务系统安全防护检测要求》41《增值业务网即时消息业务系统安全防护要求》42.《增值业务网即时消息业务系统安全防护检测要求》43.《域名注册系统安全防护要求》44.《域名注册系统安全防护检测要求》45.《移动互联网应用商店安全防护要求》46.《移动互联网应用商店安全防护检测要求》47。《互联网内容分发网络安全防护要求》48。《互联网内容分发网络安全防护检测要求》49.(互联网数据中心安全防护要求》(互联网数据中心安全防护检测要求》50.
51.《移动互联网联网应用安全防护要求》(本标准)52.《移动互联网联网应用安全防护检测要求》53.《公众无线局域网安全防护要求》54.《公众无线局域网安全防护检测要求》55.《电信网和互联网安全防护基线配置要求及检测要求网络设备》
56.《电信网和互联网安全防护基线配置要求及检测要求安全设备》57.《电信网和互联网安全防护基线配置要求及检测要求操作系统》58.《电信网和互联网安全防护基线配置要求及检测要求数据库》59.《电信网和互联网安全防护基线配置要求及检测要求中间件》60.《电信网和互联网安全防护基线配置要求及检测要求web应用系统》61.《电信和互联网用户个人电子信息保护通用技术要求和管理要求》62.《电信和互联网用户个人电子信息保护检测要求》本标准与YD/T2695一2014《移动互联网联网应用安全防护检测要求》配套使用。YD/T2694-2014
随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准。本标准按照GB/T1.1-2009给出的规则起卓,本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院、中国电信集团公司、中国移动通信集团公司、深圳腾讯计算机系统有限公司北京新浪互联信息服务有限公司本标准主要起草人:封莎、崔涛、许子先、魏藏、张彦超、杨丁宁、杨正军、王新峰、陈军、杨晓光、陈洋、龚雪、许章毅。m
1范围
移动互联网联网应用安全防护要求YD/T2694-2014
本标准规定了移动互联网联网应用相关的业务系统分安全保护等级的安全防护要求,涉及到业务及应用安全、网络安全、设备及软件系统安全,物理安全和管理安全。本标准适用于移动互联网联网应用相关业务系统。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD/T1754-2008
YD/T1756-2008
YD/T1734-2009
YD/T2052-2009
YD/T2587-2013
YD/T2439-2012
YD/T2584-2013
YD/T2589-2013
YD/T2698-2014
YD/T2699-2004
YD/T2701-2014
YD/T2670-2014
YD/T2702-2014
《电信网和互联网物理环境安全防护要求》《电信网和互联网管理安全防护要求》《移动通信网安全防护要求》
《域名系统安全防护要求》
《移动互联网应用商店安全防护要求》《移动互联网恶意程序描述格式”《互联网数据中心安全防护要求》《互联网内容分发网络安全防护要求》《电信网和互联网安全防护基线配置要求及检测要求网络设备》《电信网和互联网安全防护基线配置要求及检测要求安全设备》《电信网和互联网安全防护基线配置要求及检测要求操作系统》《电信网和互联网安全防护基线配置要求及检测要求数据库》《电信网和互联网安全防护基线配置要求及检测要求中间件》3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。3.1.1
移动互联网联网应用安全等级SecurityClassificationofNetworkedApplicationOverMobileInternet移动互联网联网应用重要程度的表征。电要程度从移动互联网联网应用受到破环后,对国家安全社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.1.2
移动互联网联网应用安全等级保护ClassifiedSecurityProtectionofNetworkedApplicationOverMobile Internet
对移动互联网联网应用分等级实施安全保护。3.1.3
移动互联网联网应用安全风险SecurityRiskofNetworkedApplicationOverMobileInternet1
YD/T2694-2014
人为或自然的威胁可能利用移动互联网联网应用存在的脆弱性导致安全事件的发生及造成的影响。3.1.4
移动互联网联网应用资产AssetofNetworkedApplicationOverMobileInternet移动互联网联网应用具有价值的资源,是安全防护体系保护的对象。移动互联网联网应用的资产可能以多种形式存在,无形的、有形的、硬件、软件,包括客户端软件、后台系统及操作维护终端硬件及相关软件、关键数据等各种类型的资源。3.1.5
移动互联网联网应用威励ThreatofNetworkedApplicationOverMobileInternet可能导致对移动互联网联网应用产生危害的不希望事故潜在起因,它可能是人为的,也可能是非人为的:可能是无意失误,也可能是恶意攻击。3.1.6
移动互联网联网应用脆弱性VulnerabilityofNetworkedApplicationOverMoblleInternet移动互联网联网应用的资产中存在的弱点、缺陷与不足,不直接对移动互联网联网应用资产造成危害,但可能被移动互联网联网应用威胁所利用从而危害移动互联网联网应用资产的安全。3.1.7
移动互联网联网应用灾难DisasterofNetworkedApplicationOverMobileInternet由于各种原因,造成移动互联网联网应用故障或摊疾,使移动互联网联网应用支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.1.8
移动互联网联网应用灾难备份BackupforDisaster Recoveryof Networked ApplicationOverMobile Internet
为了移动互联网联网应用灾难恢复而对相关网络要素进行备份的过程。3.1.9
移动互联网联网应用灾难恢复DisasterRecoveryofNetworkedApplicationOverMobileIntemet为了将移动互联网联网应用从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。3.1.10
移动互联网联网应用安全评测SecurityTestingofNetworkedApplicationOverMobileInternet对移动互联网联网应用的安全保护能力是否达到相应安全等级的安全防护要求进行衡量。3.1.11
原生应用NativeApplication
使用C、Java等编程语言编写的,运行于移动通信终端操作系统的应用软件。3.1.12
Web应用WebApplication
使用HTML5等Web语言编写的,运行于移动通信终端浏览器等Web运行环境中的应用软件。3.1.13
会话Session
在客户端和服务器端之间创建关联,从而起到交换数据包作用的机制。3.2缩略语
下列缩略语适用于本文件。
DistributedDenial of ServiceDenial of Service
Domain Name System
HyperText Mark-up Language
Secure Sockets Layer
Transport Layer Security
4移动互联网联网应用安全防护概述4.1移动互联网联网应用安全防护范围分布式拒绝服务
拒绝服务
域名系统
超文本标记语言
安全套接层协议层
传输层加密
YD/T2694-2014
移动互联网联网应用泛指以移动互联网智能终端为载体,通过应用软件客户端调用后台系统功能为用户提供各种类型移动服务的应用软件及后台系统。按照实现形式,移动互联网联网应用可分为原生应用和Web应用。原生应用是指使用C、Java等编程语言编写的,运行于移动通信终端操作系统的应用软件。Web应用是指使用HTML5等Web语言编写的,运行于移动通信终端浏览器等Web运行环境中的应用软件。移动互联网联网应用包含移动互联网联网应用客户端和移动互联网应用后台系统。移动互联网联网应用安全防护是针对联网应用客户端、联网应用后台系统以及应用客户端和后台系统在联网交互中的联网行为和交互数据进行安全防护,其系统架构如图1所示。通情网络:
移动互联网联网
虚用客户端
移动通信网互联网内睿分发网络域名解析服务系统互联网数据中心图1移动互联网联网应用系统架构白Www.bzxZ.net
移动互联网联网
应用后台系统
本标准主要针对移动互联网联网应用系统提出安全防护要求,与移动互联网联网应用系统相关的其他业务平台安全防护要求不属于本标准规定范畴,如移动互联网应用商店见YD/T2587-2013《移动互联网应用商店安全防护要求》,移动通信网见YD/T1734-2009《移动通信网安全防护要求》,域名解析服务系统见YD/T2052-2009《域名系统安全防护技术要求》,与互联网相关的互联网数据中心见YD/T2584-2013《互联网数据中心安全防护要求》,互联网内睿分发网络见YD/T2589-2013《互联网内容分发网络安全防护要求》。
YD/T2694-2014
4.2移动互联网联网应用安全风险分析移动互联网联网应用的重要资产至少应包括:+移动互联网联网应用客户端软件:移动互联网联网应用后台系统及操作维护终端硬件及相关软件:移动互联网联网应用关键数据,如用户身份信息,认证信息,交易信息,位置信息,联系人信息,聊天记录信息等:
移动互联网联网应用其他资产可见附录A表A.1对资产的分类及举例。移动互联网联网应用的脆弱性可以从技术脆弱性和管理脆弱性两个方面考电。脆弱性识别对象应以资产为核心。移动互联网联网应用的脆弱性分析应包括但不限于附录A表A.2所列范围。移动互联网联网应用的威协根据来源可分为技术威胁,环境威胁和人为威胁。环境威胁包括自然界不可抗的威胁和其他物理威胁。根据威胁的动机,人为威胁又可分为恶意和非恶意两种。移动互联网联网应用的威胁分析应包括但不限于附录A表A.3所列范围。移动互联网联网应用可能存在的安全脆弱性被利用后会产生很大的安全风险,主要包含以下几个方面:
1)移动互联网联网应用客户端软件移动互联网联网应用客户端可能面临的安全风险主要包括:一是客户端信息泄露,如用户信息,系统配置信息、访问路径、位置信息等被窃取或上传至后台系统:二是恶意应用未经用户同意私自发送短信、拦裁短信、拨打电话、下载软件等,造成用户信息泄露、资费损失、手机电量消耗等,或客户端软件被恶意卸载。
2)移动互联网联网应用后台系统及操作维护终端硬件及相关软件移动互联网联网应用后台系统及操作维护终端硬件及相关软件可能面临的安全风险主要包括:一是遭受DDOS攻击,导致服务器运行故障或岩机:二是系统被入侵,导致大量用户信息泄露,系统摊痪等。3)移动互联网联网应用客户端与后台系统之间的数据交互移动互联网联网应用客户端与后台系统之间的数据交互可能面临的安全风险主要包括:一是应用升级或联网交互时感染包含病毒、木马,恶意链接等恶意代码:二是未经用户同意上传用户通信录、聊天记录、位置信息等用户信息。
4.3移动互联网联网应用安全防护内容移动互联网联网应用的主要功能是为移动互联网用户提供各种类型的业务,因此保障业务的安全稳定运行和用户信息的安全可靠至关重要。保障移动互联网联网应用的基础设施安全、管理安全等也是安全防护的主要内容。移动互联网联网应用的安全防护内容具体包括:1)业务及应用安全
业务及应用安全包括向用户提供的相关业务及应用在实现技术,逻辑、管理和控制等方面的安全要求,主要包括业务逻辑安全、原生应用及后台系统安全、Web应用及后台系统安全、数据安全、能力开放接口安全等。其中,业务逻辑安全从业务逻辑层面提出身份鉴别。访间控制、安全审计等方面的安全防护要求:原生应用及后台系统安全针对原生应用提出安全防护要求:Web应用及后台系统安全针对Web应用提出安全防护要求:数据安全包含用户信息安全和灾难备份相关安全防护要求:能力开放接口安全针对后台系统能力开放平台提出安全防护要求。4
2)网络安全
YD/T2694-2014
网络安全主要包括移动互联网联网应用系统内部网络结构安全、入侵防范和安全审计方面的安全防护要求,其中,网络结构安全针对网络拓扑结构、子网划分等方面提出安全防护要求:入侵防范针对如何防止网络入侵提出安全防护要求:安全审计针对相关设备审计记录提出安全防护要求。3)设备及软件系统安全
改备及软件系统安全主要包活网络及安全设备,操作系统,数据库,中间件在身份鉴别、访间控制、安全审计、入侵防范和资源控制等方面的安全防护要求。4)物理安全
物理安全主要包括系统所处的物理环境在机房位置,电力供应,防火,防水防静电,温湿度控制等方面的安全防护要求。
5)管理安全
管理安全主要包活管理制度,人员和技术支持能力,运行维护管理能力,灾难恢复预案等方面的安全防护要求。
5移动互联网联网应用安全防护要求5.1第1级要求
5.1.1业务及应用安全
5.1.1.1业务逻辑安全
a)对提供登录功能的业务系统,应对登录用户进行身份标识和鉴别。b)对提供登录功能的业务系统,应提供并启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。
c)对提供登录功能的业务系统,应提供并启用用户身份标识唯一检查功能,保证系统中不存在重复用户身份标识。
d)应由经过授权的主体配置访问控制策略,并严格限制默认用户的访问权限。e)应采用加密方式存储业务用户的密码信息。5.1.2网络安全
不作要求。
5.1.3设备及软件系统安全
不作要求。
5.1.4物理安全
应满足YD/T1754-2008《电信网和互联网物理环境安全等级保护要求》中第1级的相关要求。5.1.5管理安全
应满足YD/T1756-2008《电信网和互联网管理安全等级保护要求》中第1级的相关要求。5.2第2级要求
5.2.1业务及应用安全
5.2.1.1业务逻辑安全
除满足第1级的要求之外,还应满足:5.2.1.1.1身份鉴别
YD/T2694-2014
a)应提供专门的登录控制模块对登录用户进行身份标识和鉴别。b)应提供并启用用户鉴别信息复杂度检查功能,保证身份鉴别信息不易被置用。5.2.1.1.2访问控制
a)应严格限制各用户的访问权限,按安全策略要求控制用户对业务、数据、网络资源等的访问。b)应严格设置登录策略,按安全策略要求具备防范账户暴力破解攻击措施的能力(如,限定用户连续错误输入密码次数,超过设定阅值,对用户进行锁定,并设定锁定时间,在锁定时间内被锁定的用户需通过注册时的标志信息进行密码重新设定或者凭有效证件进行设定)。c)当进行业务权限更改时(如密码重置、密码找回等),应设置相关策略,防止暴力破解攻击。d)业务订购、变更、退订流程应根据实际业务需求,应采用“认证码”或“二次短信认证”等方式加强安全性,应限定同一用户每日业务订购次数。5.2.1.1.3安全审计
a)审计范围应覆盖到每个用户的关键操作、重要行为、业务资源使用情况等重要事件(如普通用户异常登录、发布恶意代码异常修改账号信息等行为,以及管理员在业务功能及账号控制方面的关键操作)。
b)应保护审计记录,保证无法删除、修改或覆盖等。c)业务相关审计记录应包括事件目期、时间、发起者信息、类型、描述和结果等。d)应具备对审计记录数据进行统计、查询、分析及生成审计报表的功能。5.2.1.1.4其他
a)当用户和业务系统的通信双方中的一方在一段时间内未作任何响应,另十方应能够自动结束会话。
b)应能对含有恶意代码链接的信息建立发现和处理机制,防止类似信息的扩散c)软件运行时,未经用户同意,不得擅自为用户自动开启其他服务功能(如定位等)。5.2.1.2原生应用及后台系统安全5.2.1.2.1输入验证
应对输入数据做严格验证,默认所有输入都可能包含恶意信息。5.2.1.2.2身份认证
a)应确保身份认证模块不能被非法绕过。b)软件的用户身份鉴别模块应对用户身份鉴别信息进行保护,防止泄露。5.2.1.2.3会话管理
应采取会话保护措施保障软件与后台服务器之间的会话不可被窃听、算改、伪造、重放等。5.2.1.2.4数据存储
应确保软件配置信息、用户认证信息等感数据采用加密方式存储。5.2.1.2.5日志记录
a)后台日志记录范围应覆盖到每个用户的关键操作、重要行为、业务资源使用情况等重要事件(如普通用户异常登录、发布恶意代码、异常修改账号信息等行为,以及管理员在业务功能及账号控制方面的关键操作)
YD/T2694-2014
b)应禁止在后台以及客户端日志中记录用户密码等敏感信息,如果确实需要记录敏感信息,则应进行模糊化处理。
c)应防止日志欺骗,如果在生成后台日志时需要引入来自非受信源的数据,则需要进行严格校验,防止日志欺骗攻击。
d)应确保后台日志数据的安全存储并严格限制日志数据的访问权限,可对后台日志记录进行签名来实现防算改。
5.2.1.2.6其他
a)应用软件不应含有移动互联网恶意程序。移动互联网恶意程序的判定依据见YD/T2439-2012的相关要求。
b)应确保软件内存管理不存在逻辑缺陷,如未释放资源、敏感信息驻留内存等。c)应确保软件不非法操作与自身功能不相关的文件(如图片。通信录、其他应用软件等)d)客户端软件应进行代码变量隐藏。5.2.1.3Web应用及后台系统安全5.2.1.3.1输入验证
a)应对输入数据(如文件路径,URL地址等)做安全验证,默认所有输入都可能包含恶意信息,并尽量使用白名单验证方法。
b)应在服务器端进行输入验证,避免客户端输入验证被绕过c)关键参数应直接从服务器端提取,避免从客户端输入,防止关键参数被算改。5.2.1.3.2身份认证
a)应禁止明文传输用户密码,可采用SSL/TLS加密隧道确保用户密码的传输安全。b)应禁止在数据库或文件系统中明文存储用户密码,可采用单向散列值在数据库中存储用户密码,降低存储的用户密码被字典攻击的风险。c)应禁止在COOKIE中保存明文用户密码。d)应采取措施防止暴力破解、恶意注册、恶意占用资源等行为。e)应对关键业务操作进行二次鉴权,例如修改用户认证鉴权信息(如密码、密码取回问题及答案、绑定手机号码等),避免用户身份被冒用。f)应避免认证错误提示泄露信息,在认证失败时,应向用户提供通用的错误提示信息(如不应区分是账号错误还是密码错误),避免这些错误提示信息被攻击者利用。g)应支持密码策略设置,从业务系统层面支持强制的密码策略,包括密码长度、复杂度、更换周期等,特别是业务系统的管理员密码。h)应支持账号锁定功能,系统应限制连续登录失败次数,在客户端多次尝试失败后,服务器端需要对用户账号进行短时锁定,且锁定策略支持配置解锁时长。)应确保用户不能访问到未授权的功能和数据,未经授权的用户试图访问受限资源时,系统应予以拒绝或提示用户进行身份鉴权。5.2.1.3.3会话管理
a)应确保会话的安全创建。在用户认证成功后,应为用户创建新的会话并释放原有会话:创建的会话标识应满足随机性和长度要求,避免被攻击者猜测:会话与IP地址可绑定,降低会话被盗用的风险。7
YD/T2694-2014
b)应确保会话数据的存储安全。用户登录成功后所生成的会话数据应存储在服务器端,并确保会话数据不能被非法访问:当更新会话数据时,要对数据进行严格的输入验证,避免会话数据被非法靠改。c)应确保会话数据的传输安全,防止泄露会话标识。d)应确保会话的安全终止。当用户登录成功并成功创建会话后,应在Web应用系统的各个页面提供用户登出功能,登出时应及时删除服务器端的会话数据:当处于登录状态的用户直接关闭浏览器时,需要提示用户执行安全登出或者自动为用户完成登出过程,从而安全的终止本次会话。e)应设置合理的会话超时阅值,在合理范围内尽可能减小会话超时阅值,可以降低会话被劫持和重复攻击的风险,超过会话超时阅值后立刻销毁会话,清除会话的信息。f)应限制会话并发连接数,限制同一用户的会话并发连接数,避免恶意用户创建多个并发的会话来消耗系统资源,影响业务的可用性。g)在涉及到关键业务操作的Web页面,应为当前Web页面生成一次性随机令牌,作为主会话标识的补充。在执行关键业务前,应确保用户提交的一次性随机令牌与服务器端保存的一次性随机令牌匹配,以避免跨站请求伪造等攻击。
5.2.1.3.4数据存储
a)对于不同类别的数据,比如日志记录和业务数据,应采取相应的隔离措施和安全保护措施。b)禁止在客户端本地存储用户敏感数据,如用户密码、身份信息等。c)应避免在代码中硬编码密码(即在代码中直接联入密码,会导致密码修改困难,甚至密码的泄露),可从配置文件载入密码。
d)在配置文件中禁止明文存储数据库连接密码、FTP服务密码、主机密码、外部系统接口认证密码等。
5.2.1.3.5数据传输
应确保通信信道的安全,在客户端与Web服务器之间使用并正确配置SSL/TLS,应使用SSL3.0/TLS1.0以上版本,对称加密密钥长度不少于128位,非对称加密密钥长度不少于1024位,单向散列值位数不小于128位。
5.2.1.3.6日志记录
a)后台日志记录范围应覆盖到每个用户的关键操作、重要行为、业务资源使用情况等重要事件。如普通用户异常登录、发布恶意代码、异常修改账号信息等行为,以及管理员在业务功能及账号控制方面的关键操作。
b)应禁止在后台日志中记录用户密码等敏感信息,如果确实需要记录敏感信息,则应进行模糊化处理。
c)应防止日志欺骗,如果在生成后台日志时需要引入来自非受信源的数据,则需要进行严格校验,防止日志欺骗攻击。
d)应禁止将后台日志保存到Web目录下,确保日志数据的安全存储并严格限制日志数据的访问权限,可对日志记录进行签名来实现防算改。5.2.1.3.7其他
a)应有技术手段检测和避免Web业务系统域名、访间链路的异常、访问延迟,解析错误等情况,并有应急处理能力。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T2694-2014
移动互联网联网应用安全防护要求SecurityProtectionRequirementsforNetworked Application over Mobile Internet2014-10-14发布
2014-10-14实施
中华人民共和国工业和信息化部发布前言·
1范围
2规范性引用文件:
3术语、定义和缩略语·
3.1术语和定义..
3.2缩略语*
4移动互联网联网应用安全防护概述4.1移动互联网联网应用安全防护范围4.2移动互联网联网应用安全风险分析·4.3移动互联网联网应用安全防护内容5移动互联网联网应用安全防护要求5.1第1级要求
5.2第2级要求
5.3第3级要求*
5.4第4级要求*
5.5第5级要求*
附录A(规范性附录)移动互联网联网应用风险分析次
YD/T2694-2014
YD/T26942014
本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准预计结构及名称如下1.《电信网和互联网安全防护管理指南》2.《电信网和互联网安全等级保护实施指南》3.《电信网和互联网安全风险评估实施指南》4.《电信网和互联网灾难备份及恢复实施指南》5.《固定通信网安全防护要求》6.《移动通信网安全防护要求》7.《互联网安全防护要求》
8.《增值业务网一消息网安全防护要求》9.《增值业务网一智能网安全防护要求》10.《接入网安全防护要求》
11.《传送网安全防护要求》
12.《IP承载网安全防护要求》
13.《信令网安全防护要求》
14.《同步网安全防护要求》
15.《支撑网安全防护要求》
《非核心生产单元安全防护要求》16.
17.《电信网和互联网物理环境安全等级保护要求》18.《电信网和互联网管理安全等级保护要求》《固定通信网安全防护检测要求》19.
《移动通信网安全防护检测要求》20.
21.《互联网安全防护检测要求》22.《增值业务网一消息网安全防护检测要求》23.《增值业务网一智能网安全防护检测要求》24.《接入网安全防护检测要求》25.《传送网安全防护检测要求》26.《IP承载网安全防护检测要求》27.《信令网安全防护检测要求》28.《同步网安全防护检测要求》29.《支撑网安全防护检测要求》30.《非核心生产单元安全防护检测要求》31。《电信网和互联网物理环境安全等级保护检测要求》32.《电信网和互联网管理安全等级保护检测要求》33.《域名系统安全防护要求》
34.《域名系统安全防护检测要求》35.《网上营业厅安全防护要求》36.《网上营业厅安全防护检测要求》37.《WAP网关系统安全防护要求》38.《WAP网关系统安全防护检测要求》39.《电信网和互联网信息服务业务系统安全防护要求》40.《电信网和互联网信息服务业务系统安全防护检测要求》41《增值业务网即时消息业务系统安全防护要求》42.《增值业务网即时消息业务系统安全防护检测要求》43.《域名注册系统安全防护要求》44.《域名注册系统安全防护检测要求》45.《移动互联网应用商店安全防护要求》46.《移动互联网应用商店安全防护检测要求》47。《互联网内容分发网络安全防护要求》48。《互联网内容分发网络安全防护检测要求》49.(互联网数据中心安全防护要求》(互联网数据中心安全防护检测要求》50.
51.《移动互联网联网应用安全防护要求》(本标准)52.《移动互联网联网应用安全防护检测要求》53.《公众无线局域网安全防护要求》54.《公众无线局域网安全防护检测要求》55.《电信网和互联网安全防护基线配置要求及检测要求网络设备》
56.《电信网和互联网安全防护基线配置要求及检测要求安全设备》57.《电信网和互联网安全防护基线配置要求及检测要求操作系统》58.《电信网和互联网安全防护基线配置要求及检测要求数据库》59.《电信网和互联网安全防护基线配置要求及检测要求中间件》60.《电信网和互联网安全防护基线配置要求及检测要求web应用系统》61.《电信和互联网用户个人电子信息保护通用技术要求和管理要求》62.《电信和互联网用户个人电子信息保护检测要求》本标准与YD/T2695一2014《移动互联网联网应用安全防护检测要求》配套使用。YD/T2694-2014
随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准。本标准按照GB/T1.1-2009给出的规则起卓,本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院、中国电信集团公司、中国移动通信集团公司、深圳腾讯计算机系统有限公司北京新浪互联信息服务有限公司本标准主要起草人:封莎、崔涛、许子先、魏藏、张彦超、杨丁宁、杨正军、王新峰、陈军、杨晓光、陈洋、龚雪、许章毅。m
1范围
移动互联网联网应用安全防护要求YD/T2694-2014
本标准规定了移动互联网联网应用相关的业务系统分安全保护等级的安全防护要求,涉及到业务及应用安全、网络安全、设备及软件系统安全,物理安全和管理安全。本标准适用于移动互联网联网应用相关业务系统。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD/T1754-2008
YD/T1756-2008
YD/T1734-2009
YD/T2052-2009
YD/T2587-2013
YD/T2439-2012
YD/T2584-2013
YD/T2589-2013
YD/T2698-2014
YD/T2699-2004
YD/T2701-2014
YD/T2670-2014
YD/T2702-2014
《电信网和互联网物理环境安全防护要求》《电信网和互联网管理安全防护要求》《移动通信网安全防护要求》
《域名系统安全防护要求》
《移动互联网应用商店安全防护要求》《移动互联网恶意程序描述格式”《互联网数据中心安全防护要求》《互联网内容分发网络安全防护要求》《电信网和互联网安全防护基线配置要求及检测要求网络设备》《电信网和互联网安全防护基线配置要求及检测要求安全设备》《电信网和互联网安全防护基线配置要求及检测要求操作系统》《电信网和互联网安全防护基线配置要求及检测要求数据库》《电信网和互联网安全防护基线配置要求及检测要求中间件》3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。3.1.1
移动互联网联网应用安全等级SecurityClassificationofNetworkedApplicationOverMobileInternet移动互联网联网应用重要程度的表征。电要程度从移动互联网联网应用受到破环后,对国家安全社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.1.2
移动互联网联网应用安全等级保护ClassifiedSecurityProtectionofNetworkedApplicationOverMobile Internet
对移动互联网联网应用分等级实施安全保护。3.1.3
移动互联网联网应用安全风险SecurityRiskofNetworkedApplicationOverMobileInternet1
YD/T2694-2014
人为或自然的威胁可能利用移动互联网联网应用存在的脆弱性导致安全事件的发生及造成的影响。3.1.4
移动互联网联网应用资产AssetofNetworkedApplicationOverMobileInternet移动互联网联网应用具有价值的资源,是安全防护体系保护的对象。移动互联网联网应用的资产可能以多种形式存在,无形的、有形的、硬件、软件,包括客户端软件、后台系统及操作维护终端硬件及相关软件、关键数据等各种类型的资源。3.1.5
移动互联网联网应用威励ThreatofNetworkedApplicationOverMobileInternet可能导致对移动互联网联网应用产生危害的不希望事故潜在起因,它可能是人为的,也可能是非人为的:可能是无意失误,也可能是恶意攻击。3.1.6
移动互联网联网应用脆弱性VulnerabilityofNetworkedApplicationOverMoblleInternet移动互联网联网应用的资产中存在的弱点、缺陷与不足,不直接对移动互联网联网应用资产造成危害,但可能被移动互联网联网应用威胁所利用从而危害移动互联网联网应用资产的安全。3.1.7
移动互联网联网应用灾难DisasterofNetworkedApplicationOverMobileInternet由于各种原因,造成移动互联网联网应用故障或摊疾,使移动互联网联网应用支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.1.8
移动互联网联网应用灾难备份BackupforDisaster Recoveryof Networked ApplicationOverMobile Internet
为了移动互联网联网应用灾难恢复而对相关网络要素进行备份的过程。3.1.9
移动互联网联网应用灾难恢复DisasterRecoveryofNetworkedApplicationOverMobileIntemet为了将移动互联网联网应用从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。3.1.10
移动互联网联网应用安全评测SecurityTestingofNetworkedApplicationOverMobileInternet对移动互联网联网应用的安全保护能力是否达到相应安全等级的安全防护要求进行衡量。3.1.11
原生应用NativeApplication
使用C、Java等编程语言编写的,运行于移动通信终端操作系统的应用软件。3.1.12
Web应用WebApplication
使用HTML5等Web语言编写的,运行于移动通信终端浏览器等Web运行环境中的应用软件。3.1.13
会话Session
在客户端和服务器端之间创建关联,从而起到交换数据包作用的机制。3.2缩略语
下列缩略语适用于本文件。
DistributedDenial of ServiceDenial of Service
Domain Name System
HyperText Mark-up Language
Secure Sockets Layer
Transport Layer Security
4移动互联网联网应用安全防护概述4.1移动互联网联网应用安全防护范围分布式拒绝服务
拒绝服务
域名系统
超文本标记语言
安全套接层协议层
传输层加密
YD/T2694-2014
移动互联网联网应用泛指以移动互联网智能终端为载体,通过应用软件客户端调用后台系统功能为用户提供各种类型移动服务的应用软件及后台系统。按照实现形式,移动互联网联网应用可分为原生应用和Web应用。原生应用是指使用C、Java等编程语言编写的,运行于移动通信终端操作系统的应用软件。Web应用是指使用HTML5等Web语言编写的,运行于移动通信终端浏览器等Web运行环境中的应用软件。移动互联网联网应用包含移动互联网联网应用客户端和移动互联网应用后台系统。移动互联网联网应用安全防护是针对联网应用客户端、联网应用后台系统以及应用客户端和后台系统在联网交互中的联网行为和交互数据进行安全防护,其系统架构如图1所示。通情网络:
移动互联网联网
虚用客户端
移动通信网互联网内睿分发网络域名解析服务系统互联网数据中心图1移动互联网联网应用系统架构白Www.bzxZ.net
移动互联网联网
应用后台系统
本标准主要针对移动互联网联网应用系统提出安全防护要求,与移动互联网联网应用系统相关的其他业务平台安全防护要求不属于本标准规定范畴,如移动互联网应用商店见YD/T2587-2013《移动互联网应用商店安全防护要求》,移动通信网见YD/T1734-2009《移动通信网安全防护要求》,域名解析服务系统见YD/T2052-2009《域名系统安全防护技术要求》,与互联网相关的互联网数据中心见YD/T2584-2013《互联网数据中心安全防护要求》,互联网内睿分发网络见YD/T2589-2013《互联网内容分发网络安全防护要求》。
YD/T2694-2014
4.2移动互联网联网应用安全风险分析移动互联网联网应用的重要资产至少应包括:+移动互联网联网应用客户端软件:移动互联网联网应用后台系统及操作维护终端硬件及相关软件:移动互联网联网应用关键数据,如用户身份信息,认证信息,交易信息,位置信息,联系人信息,聊天记录信息等:
移动互联网联网应用其他资产可见附录A表A.1对资产的分类及举例。移动互联网联网应用的脆弱性可以从技术脆弱性和管理脆弱性两个方面考电。脆弱性识别对象应以资产为核心。移动互联网联网应用的脆弱性分析应包括但不限于附录A表A.2所列范围。移动互联网联网应用的威协根据来源可分为技术威胁,环境威胁和人为威胁。环境威胁包括自然界不可抗的威胁和其他物理威胁。根据威胁的动机,人为威胁又可分为恶意和非恶意两种。移动互联网联网应用的威胁分析应包括但不限于附录A表A.3所列范围。移动互联网联网应用可能存在的安全脆弱性被利用后会产生很大的安全风险,主要包含以下几个方面:
1)移动互联网联网应用客户端软件移动互联网联网应用客户端可能面临的安全风险主要包括:一是客户端信息泄露,如用户信息,系统配置信息、访问路径、位置信息等被窃取或上传至后台系统:二是恶意应用未经用户同意私自发送短信、拦裁短信、拨打电话、下载软件等,造成用户信息泄露、资费损失、手机电量消耗等,或客户端软件被恶意卸载。
2)移动互联网联网应用后台系统及操作维护终端硬件及相关软件移动互联网联网应用后台系统及操作维护终端硬件及相关软件可能面临的安全风险主要包括:一是遭受DDOS攻击,导致服务器运行故障或岩机:二是系统被入侵,导致大量用户信息泄露,系统摊痪等。3)移动互联网联网应用客户端与后台系统之间的数据交互移动互联网联网应用客户端与后台系统之间的数据交互可能面临的安全风险主要包括:一是应用升级或联网交互时感染包含病毒、木马,恶意链接等恶意代码:二是未经用户同意上传用户通信录、聊天记录、位置信息等用户信息。
4.3移动互联网联网应用安全防护内容移动互联网联网应用的主要功能是为移动互联网用户提供各种类型的业务,因此保障业务的安全稳定运行和用户信息的安全可靠至关重要。保障移动互联网联网应用的基础设施安全、管理安全等也是安全防护的主要内容。移动互联网联网应用的安全防护内容具体包括:1)业务及应用安全
业务及应用安全包括向用户提供的相关业务及应用在实现技术,逻辑、管理和控制等方面的安全要求,主要包括业务逻辑安全、原生应用及后台系统安全、Web应用及后台系统安全、数据安全、能力开放接口安全等。其中,业务逻辑安全从业务逻辑层面提出身份鉴别。访间控制、安全审计等方面的安全防护要求:原生应用及后台系统安全针对原生应用提出安全防护要求:Web应用及后台系统安全针对Web应用提出安全防护要求:数据安全包含用户信息安全和灾难备份相关安全防护要求:能力开放接口安全针对后台系统能力开放平台提出安全防护要求。4
2)网络安全
YD/T2694-2014
网络安全主要包括移动互联网联网应用系统内部网络结构安全、入侵防范和安全审计方面的安全防护要求,其中,网络结构安全针对网络拓扑结构、子网划分等方面提出安全防护要求:入侵防范针对如何防止网络入侵提出安全防护要求:安全审计针对相关设备审计记录提出安全防护要求。3)设备及软件系统安全
改备及软件系统安全主要包活网络及安全设备,操作系统,数据库,中间件在身份鉴别、访间控制、安全审计、入侵防范和资源控制等方面的安全防护要求。4)物理安全
物理安全主要包括系统所处的物理环境在机房位置,电力供应,防火,防水防静电,温湿度控制等方面的安全防护要求。
5)管理安全
管理安全主要包活管理制度,人员和技术支持能力,运行维护管理能力,灾难恢复预案等方面的安全防护要求。
5移动互联网联网应用安全防护要求5.1第1级要求
5.1.1业务及应用安全
5.1.1.1业务逻辑安全
a)对提供登录功能的业务系统,应对登录用户进行身份标识和鉴别。b)对提供登录功能的业务系统,应提供并启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。
c)对提供登录功能的业务系统,应提供并启用用户身份标识唯一检查功能,保证系统中不存在重复用户身份标识。
d)应由经过授权的主体配置访问控制策略,并严格限制默认用户的访问权限。e)应采用加密方式存储业务用户的密码信息。5.1.2网络安全
不作要求。
5.1.3设备及软件系统安全
不作要求。
5.1.4物理安全
应满足YD/T1754-2008《电信网和互联网物理环境安全等级保护要求》中第1级的相关要求。5.1.5管理安全
应满足YD/T1756-2008《电信网和互联网管理安全等级保护要求》中第1级的相关要求。5.2第2级要求
5.2.1业务及应用安全
5.2.1.1业务逻辑安全
除满足第1级的要求之外,还应满足:5.2.1.1.1身份鉴别
YD/T2694-2014
a)应提供专门的登录控制模块对登录用户进行身份标识和鉴别。b)应提供并启用用户鉴别信息复杂度检查功能,保证身份鉴别信息不易被置用。5.2.1.1.2访问控制
a)应严格限制各用户的访问权限,按安全策略要求控制用户对业务、数据、网络资源等的访问。b)应严格设置登录策略,按安全策略要求具备防范账户暴力破解攻击措施的能力(如,限定用户连续错误输入密码次数,超过设定阅值,对用户进行锁定,并设定锁定时间,在锁定时间内被锁定的用户需通过注册时的标志信息进行密码重新设定或者凭有效证件进行设定)。c)当进行业务权限更改时(如密码重置、密码找回等),应设置相关策略,防止暴力破解攻击。d)业务订购、变更、退订流程应根据实际业务需求,应采用“认证码”或“二次短信认证”等方式加强安全性,应限定同一用户每日业务订购次数。5.2.1.1.3安全审计
a)审计范围应覆盖到每个用户的关键操作、重要行为、业务资源使用情况等重要事件(如普通用户异常登录、发布恶意代码异常修改账号信息等行为,以及管理员在业务功能及账号控制方面的关键操作)。
b)应保护审计记录,保证无法删除、修改或覆盖等。c)业务相关审计记录应包括事件目期、时间、发起者信息、类型、描述和结果等。d)应具备对审计记录数据进行统计、查询、分析及生成审计报表的功能。5.2.1.1.4其他
a)当用户和业务系统的通信双方中的一方在一段时间内未作任何响应,另十方应能够自动结束会话。
b)应能对含有恶意代码链接的信息建立发现和处理机制,防止类似信息的扩散c)软件运行时,未经用户同意,不得擅自为用户自动开启其他服务功能(如定位等)。5.2.1.2原生应用及后台系统安全5.2.1.2.1输入验证
应对输入数据做严格验证,默认所有输入都可能包含恶意信息。5.2.1.2.2身份认证
a)应确保身份认证模块不能被非法绕过。b)软件的用户身份鉴别模块应对用户身份鉴别信息进行保护,防止泄露。5.2.1.2.3会话管理
应采取会话保护措施保障软件与后台服务器之间的会话不可被窃听、算改、伪造、重放等。5.2.1.2.4数据存储
应确保软件配置信息、用户认证信息等感数据采用加密方式存储。5.2.1.2.5日志记录
a)后台日志记录范围应覆盖到每个用户的关键操作、重要行为、业务资源使用情况等重要事件(如普通用户异常登录、发布恶意代码、异常修改账号信息等行为,以及管理员在业务功能及账号控制方面的关键操作)
YD/T2694-2014
b)应禁止在后台以及客户端日志中记录用户密码等敏感信息,如果确实需要记录敏感信息,则应进行模糊化处理。
c)应防止日志欺骗,如果在生成后台日志时需要引入来自非受信源的数据,则需要进行严格校验,防止日志欺骗攻击。
d)应确保后台日志数据的安全存储并严格限制日志数据的访问权限,可对后台日志记录进行签名来实现防算改。
5.2.1.2.6其他
a)应用软件不应含有移动互联网恶意程序。移动互联网恶意程序的判定依据见YD/T2439-2012的相关要求。
b)应确保软件内存管理不存在逻辑缺陷,如未释放资源、敏感信息驻留内存等。c)应确保软件不非法操作与自身功能不相关的文件(如图片。通信录、其他应用软件等)d)客户端软件应进行代码变量隐藏。5.2.1.3Web应用及后台系统安全5.2.1.3.1输入验证
a)应对输入数据(如文件路径,URL地址等)做安全验证,默认所有输入都可能包含恶意信息,并尽量使用白名单验证方法。
b)应在服务器端进行输入验证,避免客户端输入验证被绕过c)关键参数应直接从服务器端提取,避免从客户端输入,防止关键参数被算改。5.2.1.3.2身份认证
a)应禁止明文传输用户密码,可采用SSL/TLS加密隧道确保用户密码的传输安全。b)应禁止在数据库或文件系统中明文存储用户密码,可采用单向散列值在数据库中存储用户密码,降低存储的用户密码被字典攻击的风险。c)应禁止在COOKIE中保存明文用户密码。d)应采取措施防止暴力破解、恶意注册、恶意占用资源等行为。e)应对关键业务操作进行二次鉴权,例如修改用户认证鉴权信息(如密码、密码取回问题及答案、绑定手机号码等),避免用户身份被冒用。f)应避免认证错误提示泄露信息,在认证失败时,应向用户提供通用的错误提示信息(如不应区分是账号错误还是密码错误),避免这些错误提示信息被攻击者利用。g)应支持密码策略设置,从业务系统层面支持强制的密码策略,包括密码长度、复杂度、更换周期等,特别是业务系统的管理员密码。h)应支持账号锁定功能,系统应限制连续登录失败次数,在客户端多次尝试失败后,服务器端需要对用户账号进行短时锁定,且锁定策略支持配置解锁时长。)应确保用户不能访问到未授权的功能和数据,未经授权的用户试图访问受限资源时,系统应予以拒绝或提示用户进行身份鉴权。5.2.1.3.3会话管理
a)应确保会话的安全创建。在用户认证成功后,应为用户创建新的会话并释放原有会话:创建的会话标识应满足随机性和长度要求,避免被攻击者猜测:会话与IP地址可绑定,降低会话被盗用的风险。7
YD/T2694-2014
b)应确保会话数据的存储安全。用户登录成功后所生成的会话数据应存储在服务器端,并确保会话数据不能被非法访问:当更新会话数据时,要对数据进行严格的输入验证,避免会话数据被非法靠改。c)应确保会话数据的传输安全,防止泄露会话标识。d)应确保会话的安全终止。当用户登录成功并成功创建会话后,应在Web应用系统的各个页面提供用户登出功能,登出时应及时删除服务器端的会话数据:当处于登录状态的用户直接关闭浏览器时,需要提示用户执行安全登出或者自动为用户完成登出过程,从而安全的终止本次会话。e)应设置合理的会话超时阅值,在合理范围内尽可能减小会话超时阅值,可以降低会话被劫持和重复攻击的风险,超过会话超时阅值后立刻销毁会话,清除会话的信息。f)应限制会话并发连接数,限制同一用户的会话并发连接数,避免恶意用户创建多个并发的会话来消耗系统资源,影响业务的可用性。g)在涉及到关键业务操作的Web页面,应为当前Web页面生成一次性随机令牌,作为主会话标识的补充。在执行关键业务前,应确保用户提交的一次性随机令牌与服务器端保存的一次性随机令牌匹配,以避免跨站请求伪造等攻击。
5.2.1.3.4数据存储
a)对于不同类别的数据,比如日志记录和业务数据,应采取相应的隔离措施和安全保护措施。b)禁止在客户端本地存储用户敏感数据,如用户密码、身份信息等。c)应避免在代码中硬编码密码(即在代码中直接联入密码,会导致密码修改困难,甚至密码的泄露),可从配置文件载入密码。
d)在配置文件中禁止明文存储数据库连接密码、FTP服务密码、主机密码、外部系统接口认证密码等。
5.2.1.3.5数据传输
应确保通信信道的安全,在客户端与Web服务器之间使用并正确配置SSL/TLS,应使用SSL3.0/TLS1.0以上版本,对称加密密钥长度不少于128位,非对称加密密钥长度不少于1024位,单向散列值位数不小于128位。
5.2.1.3.6日志记录
a)后台日志记录范围应覆盖到每个用户的关键操作、重要行为、业务资源使用情况等重要事件。如普通用户异常登录、发布恶意代码、异常修改账号信息等行为,以及管理员在业务功能及账号控制方面的关键操作。
b)应禁止在后台日志中记录用户密码等敏感信息,如果确实需要记录敏感信息,则应进行模糊化处理。
c)应防止日志欺骗,如果在生成后台日志时需要引入来自非受信源的数据,则需要进行严格校验,防止日志欺骗攻击。
d)应禁止将后台日志保存到Web目录下,确保日志数据的安全存储并严格限制日志数据的访问权限,可对日志记录进行签名来实现防算改。5.2.1.3.7其他
a)应有技术手段检测和避免Web业务系统域名、访间链路的异常、访问延迟,解析错误等情况,并有应急处理能力。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。