YD_T 2703-2014电信网和互联网安全防护基线配置要求及检测要求 web应用系统.pdf

ICS 33.040.40M 32YD中华人民共和国通信行业标准YD/T2703-2014电信网和互联网安全防护基线配置要求及检测要求Web应用系统Baseline and test requirements of security configuration fortelecom network and internetWebapplicationsystem2014-10-14发布2014-10-14实施中华人民共和国工业和信息化部发布 YD/T号：wcbAP—通用一会话管理一04（可选）要求内容：当用户退出时，应清除该用户的会话信息，防止遗留在内存中的会话信息被窃取操作指南：在相关配置中设定用户退出时清除该用户会话信息检测方法：1，创建测试账号，并保证账号功能正常；2.使用测试账号登录系统：3.观察web应用系统的各个页面是否提供用户登出功能：4，使用测试账号登出时，验证系统是否立即删除服务器端的会话数据：5.使用测试账号重新登录后，直接关闭浏览器：6.验证系统是否提示用户执行安全登出或者自动为用户完成登出操作判定条件：1，当用户登录成功并成功创建会话后，在web应用系统的各个页面提供用户登出功能：2.登出时会立即删除服务器端的会话数据：3.当处于登录状态的用户直接关闭测览器时，提示用户执行安全登出或者自动为用户完成登出操作补充说明：编号：webAP—通用—会话管理—05(可选)要求内容：应设置会话超时机制，在超过设定的阅值后应清除该会话信息。操作指南：在相关配置中设置会话超时机制检测方法：1.询间系统是否设置了合理的会话超时阔值；2.创建测试账号，并保证账号功能正常：3.使用测试账号创建会话：4.长时间不进行操作，达到系统设置的会话超时阀值后，验证系统是否立刻清除会话判定条件：1.系统设置了合理的会话超时阀值：2.达到系统设置的会话超时涡值后，系统自动退出，且再次登录后，上次会话信息已清除补充说明： YD/T 270320144.3权限管理编号：webAP—通用—权限管理—01(可选）要求内容：用户权限最小化和职责分离。一个账号只能拥有必需的角色和必需的权限操作指南：为且仅为每个账号分配必需的角色和必需的权限检测方法：1.检查系统安全策略配置选项，是否含有严格限制各用户的访间权限的各项内容：2.创建测试账号，并保证账号功能正常；3.验证是否可以配置有效测试账号对系统管理、审计、业务维护、业务操作等的访间权限：4.使用测试账号对系统资源进行访间：5.验证测试账号是否能够访间权限以内的资源：6.验证测试账号是否能够访问权限以外的资源判定条件：1.系统安全策略配置选项中，含有严格限制各用户访间权限的各项内容；2.系统能够有效的配置测试账号对业务、数据、网络资源等的访间权限；3.测试账号能够访间权限以内的资源；4.测试账号不能访间权限以外的资源补充说明：编号：webAP—通用—权限管理—02(可选)要求内容：授权和用户角色数据应存放在服务器端，不能存放在客户端，鉴权处理也应在服务器端完成。禁止将授权和角色数据存放在客户端中（比如cookie或隐藏域中），以防止被筹改操作指南：在相关配置中设置授权和角色数据存放位置检测方法：访谈系统管理人员，询间是否设置授权和角色数据存放位置和鉴权处理位置判定条件：相关技术人员确认授权和角色路径存放在服务器端，而非客户端补充说明： YD/T 270320144.4敏感数据保护编号：webAP—通用一敏感数据保护01要求内容：密钥或账号的口令应经过加密存储操作指南：在口令相关配置中对口令进行加密存储配置检测方法：1.要求相关技术人员提供密钥、口令配置文件或者数据库存储位置，确认系统是否对密钥或口令等敏感数据采用了加密方式存储；2.查看系统中的密钥或口令等敏感数据；3.验证敏感数据是否存在明文形式判定条件：1.系统配置文件中或数据库中，对密钥或口令等敏感数据采用了加密方式存储：2.密钥或口令等敏够数据以密文形式存储补充说明：编号：webAP—通用敏感数据保护—02要求内容：禁止在隐藏域中存放明文形式的故够数据操作指南：在相关配置中禁止在隐赢城中存放明文形式的敏感数据检测方法：1.检查设计/验收文档，确认系统是否禁止在隐藏域中存放明文形式的数感数据：2.查看隐藏域，验证是否存在明文形式的敏感数据判定条件：1，系统设计时，配置了禁止在隐藏域中存放明文形式的敏感数据：2.贮激域中不存在明文形式的敏感数据补充说明： YD/T号：webAP—通用—数感数据保护—03要求内容：对输入的账号密码等敏够数据进行严格校验，如所有数据要到服务器端验证。由于客户端校验不可信，所以客户端的校验只能作为辅助手段操作指南：配置数据检验方式检测方法：1.创建测试账号，并保证账号