应用开发安全指南.docx

应用开发安全指南1. 概述本指南的编制是在《CTG-MBOSS IT 总体规范 V1.0》的总体框架体系指导下，参考了《中国电信CTG-MBOSS IT 安全规范 V1.0》及近年来发布的其他安全政策和指导意见相关内容，继承和吸收了原有安全管理实践的经验成果，并充分考虑了各省电信公司的现状和行业最佳实践与安全新技术的引入。本指南是IT 安全保障体系建设规范的一个组成部分，全面阐述了IT 系统应用开发整个软件生命周期所必须遵照的设计、编码、测试方面的安全要求，阐述了不同开发环境和编码语言条件下安全开发的相关规范要求。1.1.目的本指南针对中国电信IT 应用系统应当遵循的应用开发安全标准进行了规范性说明，旨在指导应用系统设计人员、代码开发人员和安全检查管理人员进行应用安全开发的安全配置，以提高应用系统的安全防护能力。1.2.适用范围本指南适用于中国电信IT 系统代码开发项目，作为中国电信集团公司、各省公司在IT 系统开发、设计环节中所遵照执行的依据。1.3.适用对象本配置指南的适用人员包括：中国电信IT 系统应用开发人员及安全检查管理人员。1.4.规范文档《应用开发安全指南》在中国电信集团公司IT 安全保障体系建设规范中的位置如下图所示：策略规范指南管理分册技术分册中国电信IT安全保障体系建设规范要求规范指南规范总册2. 应用系统设计安全2.1. 应用系统架构安全设计要求在应用系统设计阶段，应充分考虑该架构的安全性,包括B/S、C/S 等形式的安全，主要体现在应用数据和用户会话的安全，还应当考虑应用系统自身体系架构内部的安全，以及与外系统接口的安全。针对某些特殊应用，还需考虑恢复、抗攻击等安全机制。2.1.1. 应用系统自身架构安全1、 自身结构中各组件之间通讯过程的安全机制组件之间的通讯包括命令级的和数据级的，应充分考虑：??传输命令和数据所采用的协议的安全性。应根据组件之间通讯内容安全性要求程度的不同选择不同安全性要求的协议；??考虑程序的模块之间的安全通讯机制；??不应使用标准的服务端口或者常见病毒、蠕虫等使用的服务端口。2、 认证与访问控制机制，应考虑：??组件之间的信任机制；??用户的身份认证机制；??对于组件资源的访问控制机制。3、 组件内重要文件和数据的安全防护机制：??存在于组件内部的重要数据资源应当考虑其相应的安全防护机制，这些重要的数据资源包括：??配置文件；??用户数据，包括文件数据及数据库中的数据；??临时文件和数据；??与外系统或者系统内部其他组件接口用的数据文件。??对这些重要数据的存取安全性设计，包括:??文件和数据存放是否加密及采用的加密方式。2.1.2.应用系统与外系统接口的安全应用系统与外系统的接口安全设计，主要应考虑以下几个要素：1、 与外系统的之间通讯中的安全机制。应充分考虑：?传输命令和数据所采用的协议的安全性。应根据系统之间通讯内容安全性要求程度的不同选择不同安全性要求的协议；?建议不使用默认的服务端口或者常见病毒、蠕虫等使用的服务端口。2、 与外系统的认证与访问控制机制，应考虑：?系统之间的信任机制；?对于系统之间资源的访问控制机制。3、 对外系统安全机制的符合性，应考虑：??如果外系统采用的接口方式经评估认为是安全的，本系统应当沿用其接口规范进行设计开发；??如果外系统采用的接口方式经评估认为存在安全缺陷，应商定采用更加安全的接口方式；??在考虑接口安全性的同时，也应当注意接口方式对双方系统性能、磁盘、连接数等各种性能指标和资源的影响。2.1.3.应用系统其他的安全机制除了上述基本的安全架构设计内容外，针对不同的应用，以及应用系统的重要程度，可以补充考虑以下几种安全机制：1、 针对Web应用的页面保护与恢复机制。利用专用的安全产品，或者系统自身设计时就考虑到了对于Web 页面进行静态保护和监控问题，当监控到网页被篡改时能够实时恢复页面。2、 针对特殊数据的完整性检查和监控机制。应用系统自身的审计机制。这一点也可算作是应用系统的安全功能设计的一部分，参见相关章节的要求。3、 应用系统安全性分析。任何系统都会存在一定的安全缺陷，关键在于风险和缺陷是否可以被容忍，因此，在应用系统设计完成后，应当就其安全性问题进行自我分析和评价。2.2. 应用系统软件功能安全设计要求除了在架构上考虑的安全机制外，这些安全机制及相关的安全功能也应当分配在应用系统软件的各部件中。应用系统在开发中应该考虑如下五个方面的安全功能：??安全审计；??通讯安全（此部分内容在架构中进行了设计）；??数据保护；??认证与授权；??资源保障。2.2.1.认证与授权功能的设计1、 应用软件应包含用户身份认证体系的强度设计,重要系统(例如2.2级别以上系统)应使用双因素认证措施，加强系统安全性：??用户名、口令认证；??一次性口