YD/T 2092-2015 网上营业厅安全防护要求

  • YD/T 2092-2015  网上营业厅安全防护要求为pdf格式
  • 文件大小:23.6M
  • 下载速度:极速
  • 文件评级
  • 更新时间:2020-06-12
  • 发 布 人: 13648167612
  • 文档部分内容预览:
  • 网上营业厅脆弱性VulnerabilityofOnlineBusinessHall 网上营业厅中存在的弱点、缺陷与不足,不直接对资产造成危害,但可能被威胁所利用从而危害资 产的安全。

    营业厅灾难DisasterofOnlineBusinessHall

    网上营业厅火难 DisasterofOnlineBusinessHal 由于各种原因,造成网上营业厅故障或瘫,使网上营业厅的功能停顿或服务水平不可接受的突发 性事件。

    建筑工程标准规范范本网上营业厅灾难备份BackupforDisasterRecoveryofOnlineBusinessHall 为了网上营业厅灾难恢复而对相关网络要素进行备份的过程。

    为了将网上营业厅从灾难造成 状态或部分正常运行状态、并将其 功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。

    网上营业厅业务流程ServiceProcessofOnlineBusinessHal

    网上营业厅业务流程ServiceProcessofOnlineBusinessHall 网上营业厅支持的业务过程,通常包括多步活动,并与用户、客 入网网上办理信机业务第

    网上营业厅业务流程ServiceProcessofOnlineBusinessHall

    中间件Middleware

    一种独立的系统软件或服务程序,中间件位于客户机/服务器的操作系统之上,管理计算机资 各通讯,是连接两个独立应用程序或独立系统的软件,针对不同的操作系统和硬件平台,中间件 符合接口和协议规范的多种实现。实现网上营业厅功能的应用程序运行在中间件之上,此时中间 Veb服务器和应用服务器功能模块。

    入侵者在远程Web页面中插入具有恶意目的的HTML代码,用户认为该页面是可信赖的,但是当浏 览器解析该页面时,嵌入其中的恶意脚本将 解枫 从而威胁用户浏览过程的安全。

    SQL注入攻击SQLInjectionAttack 攻击者构造恶意的字符串,欺骗应用系统用于构造数据库查询语句并执行,从而达到盗取或算改数 据库中存储的数据的目的。

    路径遍历攻击PathTraversalAttack 攻击者操纵输入参数使应用系统执行或透露任意文件内容,或对服务器任意文件目录进行读、写、 删除等操作。

    下列缩略语适用于本文件: BOSS Business and Operation SupportSystem DDoS Distributed Denial of Service HTML Hyper Text Markup Language SQL StructuredQueryLanguage

    Secure Sockets Layer

    Secure Sockets Layer

    4网上营业厅安全防护概述

    4.1网上营业厅安全防护范围

    网上营业厅的安全包括网上营业厅自身安全(如物理设备安全、应用安全、网络安全等);网上营业 宁与BOSS系统间的接口安全(预防通过网上营业厅非法获取网上营业厅用户信息或BOSS系统敏感信息, 低御来自互联网并通过网上营业厅对BOSS系统构成的安全威胁);网上营业厅与互联网之间的接口安全; 以及与网上营业厅相关联的运维、管理、监测等辅组IT系统的安全

    4.2网上营业厅安全风险分析

    网上营业厅的重要资产至少应包括: a)网上营业厅关键业务系统服务器及操作维护终端:如Web服务器、接口服务器、数据库服务器、 维护终端。 b)网上营业厅关键数据:如用户订单、业务办理记录等。 c)网上营业厅关键网络设备:如交换机、路由器、防火墙等。 网上营业厅其他资产见附录A表A.1对资产的分类及举例。 网上营业厅的脆弱性可以从技术脆弱性和管理脆弱性两个方面考虑。脆弱性识别对象应以资产为核 心。网上营业厅的脆弱性分析应包括但不限于附录A表A.2所列范围。 网上营业厅的威胁根据来源可分为技术威胁、环境威胁和人为威胁。环境威胁包括自然界不可抗的 威胁和其他物理威胁。根据威胁的动机,人为威胁又可分为恶意和非恶意两种。网上营业厅的威胁分析 应包括但不限于附录A表A.3所列范围。 网上营业厅可能存在的安全脆弱性被利用后会产生很大的安全风险,除了面临传统信息系统的安全 风险,网上营业厅还可能面临如下典型安全风险: a)由于操作权限隔离等问题导致的用户隐私泄露。 b)由于DDOS攻击等向题导致的业务应用无法访问。 c)由于网页被篡改等问题导致的恶意订购或办理业务。 d)由于用户账号被窃取造成的关联账户(如呼叫转移业务)业务损失。

    4.3网上营业厅安全防护内容

    网上营业厅安全防护内容及要求可划分为业务及应用安全、网络安全、主机安全、中间件安全、数 据安全及备份恢复、物理环境安全和管理安全七个部分。其中: 一一业务及应用安全。主要包括业务安全及应用安全中的身份鉴别、访间控制、安全审计、通信完 整性、通信保密性、软件质量、资源控制等。 一网络安全。主要包括结构安全、网络安全监测、访问控制、安全审计、网络设备防护等。 一主机安全。主要包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制等。 一中间件安全。主要包括身份鉴别、访问控制、安全审计、入侵防范等。 一数据安全及备份恢复。主要包括数据完整性、数据保密性、备份和恢复等。 物理环境安全。主要包括系统所处的物理环境在机房位置、电力供应、防火、防水、防静电、 温湿度控制等方面的安全防护要求。

    一管理安全。管理安全主要包括管理制度、人员和技术支持能力、运行维护管理能力、灾难恢复 预案等方面的安全防护要求。

    5网上营业厅安全防护要求

    5.1 第 1 级要求

    5.1.1业务及应用安全

    5.1.1.1访问控制

    应具有网上营业厅登录失败处理功能,如结束会话、限制非法登录次数等。

    5.1.2.1网络安全监测

    a)应在互联网与网上营业厅设备之间部署网络监测设备,监控开放服务端口的通信情况。 b)应在网上营业厅设备与BOSS系统之间部署网络监测设备,监控网上营业厅发起的到BOSS系统 的通信情况。

    1.2.2数据安全及备份

    a)网上营业厅不应存储BOSS系统的敏感信息。 b)应对用户登录记录、交易记录、充值卡密码等网上营业厅数据在本机进行备份。 c)应对网上营业厅存储的,重要信息如:用户登录口令、充值卡密码等进行加密存储。

    a)网上营业厅不应存储BOSS系统的敏感信息。 b)应对用户登录记录、交易记录、充值卡密码 c)应对网上营业厅存储的,重要信息如:用户

    5.1.2.3网络设备防护

    5.1.2.4主机安全

    5.1.2.5中间件安全

    5.1.3物理环境安全

    5.2.1业务及应用安全

    5.2.1.1身份鉴别

    除满足第1级要求以外,还应满足: 除登录密码外还应支持图片验证码或其他防暴力猜测账号密码的措施,并对尝试登录次数进行限制。

    5.2.1.2 访问控制

    除满足第1级要求以外,还应满足: 用户登录网上营业厅办理相关业务时,若需要网上营业厅通过应用层接口向BOSS系统调用敏感功能 时,办理业务用户应再次输入服务密码或其他 可信凭证,进行二次验证。

    5.2.1.3安全审计

    a)应确保审计记录无法被删除、修改或覆盖。 b)审计范围应覆盖到每个用户的关键操作、重要行为、业务资源使用情况等重要事件。如普通用 户异常登录、发布恶意代码、异常修改账号信息等行为,以及管理员在业务功能及账号控制方面的关键 操作。 C)应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能

    5.2.1.4通信完整性

    应采用数字证书等技术确保通信过程中数据的完整性

    5.2.1.5通信保密性

    a)应确保网上营业厅内部主机之间、网上营业厅与BOSS系统之间没有可被窃听的物理旁路。 b)应对通信过程中的敏感信息进行加密处理

    5.2.1.6软件质量

    应提供数据有效性检验功能,确保通过人机接口输入或通过通信接口输入的数据格式或长度符 业厅应用程序设定要求,

    5.2.1.7资源控制

    应能够对单个用户账户的多重并发会话进行限制 网上营业厅向用户提供相关服务的可用性不低于

    5.2.2.1结构安全

    a)应绘制与当前运行情况相符的网络拓扑结构图。 b)应确保网上营业厅关键网络设备的业务处理能力具备几余空间,满足业务高峰期需至

    5.2.2.2网络安全监测

    除满足第1级要求以外,还应满足: a)应对从互联网进入网上营业厅的流量进行过滤,实现对应用层HTTP、SMTP、POP3等协议命令 级的控制。 b)应限制网上营业厅与互联网接口处的网络流量不超出接口带宽的60%,自互联网发起的会话并发 连接数不应该超出网上营业厅设计容量的80%。 c)应在网上营业厅与互联网的网络边界处监测、防御以下攻击行为:端口扫描、强力攻击、木马 后门攻击、拒绝服务攻击、缓冲区溢出攻击、中间人攻击、IP碎片攻击和网络蠕虫攻击等。 d)应在网上营业厅与BOSS的网络边界处监测、防御非法调用BOSS系统未开放功能的行为。

    5.2.2.3访问控制

    用户通过互联网与网上营业厅Web服务器建立的会话处于非活跃一定时间后,网上营业厅Web服务 器设备应自动终止会话:

    5.2.2.4安全审讯

    a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。 b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的

    5.2.2.5网络设备防护

    除满足第1级要求以外,还应满足: a)应对网络设备的管理员登录地址进行限制。 b)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。

    除满足第1级要求以外,还应满足:

    除满足第1级要求以外,还应满足:

    5.2.3.1身份鉴别

    当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。

    5.2.3.2访问控制

    5.2.3.3安全审计

    审计范围应覆盖到主机上的每个操作系统用户和数据库用

    审计范围应覆盖到主机上的每个操作系统用户和数据库月

    5.2.3.4入侵防范

    操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,通过安全的方式(如设置升 器)确保系统补丁及时得到更新

    5.2.3.5恶意代码防范

    5.2.3.6资源控制

    a)应通过设定终端接入方式、网络地址范围等条件控制终端对资源的访问。 b)应根据安全策略设置登录终端的操作超时锁定。 c)应限制单个用户对系统资源的最大或最小使用限度。

    5.2.4.1身份鉴别

    a)应实现操作系统和中间件用户的权限分离,中间件应使用独立用户。 b)应实现中间件用户和网上营业厅应用

    5.2.4.2访问控制

    a)如果中间件启用了SSL,应采用不低于3.0版本的SSL,且应采用经国家密码管理局认可的密 b)中间件使用的操作系统级别的服务用户的权限应遵循最小权限原则。

    5.2.4.3安全审讯

    a)应采用技术手段(如定期运行文件完整性监控软件),及时发现中间件关键系统数据或文件被 非授权更改并通知相关人员;应至少每周对关键文件进行比较。 b)审计中间件安全日志。

    5.2.4.4入侵防范

    a)中间件的安装应遵循最小安装的原则。应关闭或限制与系统正常运行无关,但可能造成安全隐 患的默认扩展功能,例如示例程序、后台管理、不必要的存储过程等。 b)应禁用中间件的目录列出功能。 c)协议级的配置时应禁用中间件的不必要的HTTP方法,例如PUT,TRACE,DELETE等,若启用 了HTTPS则应禁用HTTP。 d)应启用必要的语言安全设置,例如PHP语言设置,JAVA语言设置。 e)对安装时自动生成的账号(如演示账号)须做清理或者修改密码。 f)配置HTTP服务标识(servicebanner),使其不泄露Web服务器以及操作系统的版本

    5.2.5数据安全及备份恢复

    应能够检测到鉴别信息和重要业务数据在传输过程中完整性是否被破坏。 5.2.5.2数据保密性 a)系统应当加密存储敏感信息,如管理员密码等。 b)系统应当避免将重要文件(如日志文件、代码备份文件、数据库文件等)存放在Web内容目录下, 防止被攻击者直接下载,

    5.2.5.2数据保密性

    5.2.5.3备份和恢复

    a)应提供关键网络设备、通信线路和数据处理系统的硬件穴余,确保网上营业厅的可用性。 b)网上营业厅重要信息数据应提供本地备份。 c)网上营业厅的数据备份范围和时间间隔、数据恢复能力应符合行业管理、网络和业务运营商应 急预案的相关要求。 d)网上营业厅应具备一定的抗灾难以及灾难恢复能力,重要服务器、重要部件、重要数据库应当 采用本地双机备份的方式进行容灾保护。

    5.2.6物理环境安全

    5.2.7.1人员和技术支持能力

    )网上营业厅应有安全管理人员和客类技未人员。 b)相关技术人员定期进行灾难备份及恢复方面的技能培训。

    5.2.7.2备份管理和灾难恢复能力

    5.2.7.3风险评估要求

    5.3.1业务及应用安全

    5.3.1.1业务流程

    a)网上营业厅同一业务流程中每个数据交互环节,服务器端应确保客户端前后操作的身份一致并 经过授权。 b)网上营业厅同一业务流程中每个数据交互环节,如果存在写操作(或会对后续流程环节内容有 影响),应确保业务流程设计时限制的、不应算改的数据(如产品金额)在程序实现中的完整性不被破 环。 c)网上营业厅业务流程应该有必要的流程安全控制,确保流程衔接正确,防止关键鉴别步骤被绕 过、重复、乱序。

    5.3.1.2身份鉴别

    除满足第2级的要求之外,还应满足: a)会话标识应足够随机,防止攻击者猜测标识或依据当前标识推导后续的标识。 b)用户登录后应分配新的会话标识,不能继续使用用户未登录前所使用的标识。

    5.3.1.3访问控制

    5.3.1.4安全审计

    5.3.1.5通信完整性

    5.3.1.6通信保密性

    5.3.1.7软件质量

    除满足第2级的要求之外,还应满足: a)网上营业厅上线前或升级后,应进行对网上营业厅进行代码审核,形成报告,并对审核出的问 题进行代码升级完善。 b)网上营业厅应能预防用户通过恶意调整输入参数发起攻击,例如跨站脚本攻击、SQL注入攻击、 路径遍历攻击、命令注入攻击、代码注入攻击等等。 c)若网上营业厅为用户提供了下载功能,要防止用户通过路径遍历漏洞下载敏感资源文件;若网 上营业厅为用户提供了文件上传功能,要对用户上传的文件类型进行限制(最小化原则),防止用户上 传后门脚本,并对上传文件的路径加以限制(最小化原则)。 d)网上营业厅应当避免通过用户控制的参数来重定向或包含另外一个网站的内容。 e)网上营业厅应当避免使用存在已公开安全漏洞的组件(如第三方开源库)。 f)不应向访向登录网上营业厅的用户提示过多的技未细节,以避免被攻击者利用,例如错误提示信 息中不应包含SQL语句,否则有利于攻击者构造合法的攻击字串;HTML中不应含有技术性的注释语句 等。

    5.3.1.8资源控制

    除满足第2级的要求之外,还应满足: a)应能够对一个时间段内可能的并发会话连接数进行限制。 b)应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额。 c)应能够对系统服务水平降低到预先规定的最小值进行检测和报警。 d)应提供服务优先级设定功能,并在安装后根据安全策略设定访问账户或请求进程的优先级,根 据优先级分配系统资源。

    5.3.1.9数据备份

    保存网上营业厅重要信息数据应当在异址(同城不同地点的机房或异地)进行备份。对网上营业厅 业务数据和操作维护日志数据进行备份,备份介质采用磁盘/磁带方式,备份频率为每周做全量备份,备 份数据保存期限至少1个月以上,并定期对备份数据进行有效性检查;对网上营业厅系统及网络配置、性 能检测、告警等相关数据进行备份,备份介质采用硬盘方式,备份频率为每月做全量备份,备份数据保 存期限至少1年。

    5.3.2.1结构安全

    除满足第2级的要求之外,还应满足: 网上营业厅应用程序、数据库等核心程序应部署在各自专用的主机上,应避免在同一台主机上安装 其他核心或非核心程序。

    5.3.2.2网络安全监测

    除满足第2级的要求之外,还应满足: 当检测到攻击行为时,记录并留存攻击源IP、攻击类型、攻击目的、攻击时间等信息,在发生严重 入侵事件时应能够实时报警。

    5.3.2.3访问控制

    5.3.2.4安全审讯

    除满足第2级的要求之外,还应满足: a)应能够根据记录数据进行分析,并生成审计报表。 b)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等

    5.3.2.5网络设备防护

    5.3.2.6恶意代码防范

    a)应在网络边界处对恶意代码进行检测和清除。 b)应维护恶意代码库的升级和检测系统的更新。 c)应对主机防恶意代码软件及网络设备防恶意代码软件进行统一管理。

    5.3.3.1身份鉴别

    除满足第2级的要求之外,还应满足: a)操作系统和数据库系统管理用户口令应定期更换(更换周期小于30天)。 b)加强口令复杂度要求,在原基础上还应不含有常用字符组合、数字组合、键盘顺序等可预测密 码组合。

    环境标准5.3.3.2访问控制

    除满足第2级的要求之外,还应满足: a)应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限。 b)应对重要信息资源设置敏感标记。 C)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作

    5.3.3.3安全审计

    除满足第2级的要求之外,还应满足: a)应能够根据记录数据进行分析,并生成审计报表。 b)应保护审计进程,避免受到未预期的中断。

    5.3.3.4入侵防范

    除满足第2级的要求之外,还应满足: a)应能够检测到对网上营业厅中主机进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的 目的、攻击的时间,并在发生严重入侵事件时提供报警。 b)应能够对主机上重要应用程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措

    5.3.3.5恶意代码防范

    除满足第2级的要求之外医院建设标准,还应满足: a)应对供用户从网上营业厅下载的程序、文件等进行扫描,避免传播病毒。 b)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库。

    ....
  • 相关专题: 安全防护  

相关下载

常用软件