1、企業(yè)應(yīng)用軟件通用安全規(guī)范Application Software Common Security Requirements of SGCC PAGE * ROMAN I目錄 HYPERLINK l _TOC_250008 前言II HYPERLINK l _TOC_250007 目的和范圍1 HYPERLINK l _TOC_250006 規(guī)范性引用文件1 HYPERLINK l _TOC_250005 術(shù)語和定義2 HYPERLINK l _TOC_250004 適用對象3 HYPERLINK l _TOC_250003 信息系統(tǒng)安全目標(biāo)3 HYPERLINK l _TOC_250002 應(yīng)

2、用軟件通用安全管理要求4 HYPERLINK l _TOC_250001 應(yīng)用軟件通用安全技術(shù)要求5 HYPERLINK l _TOC_250000 8附則13 PAGE 2目的和范圍國家電網(wǎng)公司應(yīng)用軟件通用安全要求（以下簡稱通用安全要求）作為一個指導(dǎo)框架，列出了國家電網(wǎng)公司系統(tǒng)內(nèi)應(yīng)用軟件在全生命周期各階段需要滿足的信息安全要求。通過遵循和使用通用安全要求，達(dá)到以下目的：明確應(yīng)用軟件的安全目標(biāo)；指導(dǎo)應(yīng)用軟件前期設(shè)計中的安全考慮；指導(dǎo)應(yīng)用軟件開發(fā)階段的安全實現(xiàn)；指導(dǎo)應(yīng)用軟件安全性測評的實施和評定；指導(dǎo)應(yīng)用軟件安全部署，以及制定運維和廢棄階段的管理要求。通用安全要求應(yīng)用到具體的應(yīng)用軟件時，應(yīng)根據(jù)其

3、業(yè)務(wù)使命、運行環(huán)境和安全等級等因素進(jìn)行綜合考慮，抽取一個能夠保證其安全目標(biāo)的子集，并予以實現(xiàn)。抽取安全要求的子集時必須給出充分的依據(jù)，沒有充分依據(jù)證明應(yīng)用軟件不需要或者不涉及某安全要求時，應(yīng)用軟件應(yīng)該實現(xiàn)該安全要求。通用安全要求適用于國家電網(wǎng)公司范圍內(nèi)信息系統(tǒng)中所有承載業(yè)務(wù)的應(yīng)用軟件，不包括這些應(yīng)用軟件運行所依賴的網(wǎng)絡(luò)、主機(jī)和操作系統(tǒng)。通用安全要求可作為：信息安全風(fēng)險評估結(jié)果符合性的參考；軟件安全性測評結(jié)果符合性的參考；應(yīng)用軟件安全設(shè)計評價的依據(jù)。通用安全要求不包括密碼算法固有質(zhì)量評價準(zhǔn)則。規(guī)范性引用文件下列標(biāo)準(zhǔn)所包含的條文，通過在通用安全要求中引用而成為通用安全要求的條文。通用安全要求正式實

4、施時，所示版本均為有效。GB/T 18336-2001 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估指南GB/T 17544-1998 信息技術(shù) 軟件包 質(zhì)量要求和測試ISO/IEC 17799:2000 信息安全管理體系術(shù)語和定義應(yīng)用軟件 Application Software本標(biāo)準(zhǔn)中聲明的應(yīng)用軟件，專指國家電網(wǎng)公司范圍內(nèi)各單位信息系統(tǒng)中借助網(wǎng)絡(luò)和計算機(jī)系統(tǒng)實現(xiàn)特定業(yè)務(wù)功能的軟件。應(yīng)用軟件生命周期 Application Software Lifecycle應(yīng)用軟件從生成到消亡的整個過程，包括規(guī)劃、設(shè)計開發(fā)、建設(shè)、維護(hù)和廢棄五個生存階段。威 脅 Threat一種對信息系統(tǒng)構(gòu)成潛在破壞的因素，它是

5、客觀存在的。脆弱性 Vulnerability信息系統(tǒng)在安全方面的不足，通常也稱為漏洞。脆弱性可能被威脅利用，并對信息系統(tǒng)運行造成損害。安全風(fēng)險 Security Risk安全風(fēng)險是威脅利用信息系統(tǒng)中存在的脆弱性，對信息系統(tǒng)產(chǎn)生影響的潛在可能性和潛在影響的結(jié)合。安全目標(biāo) Security Target安全目標(biāo)是意在對抗信息系統(tǒng)面臨的安全威脅，使信息系統(tǒng)達(dá)到特定安全等級的要求描述。安全需求 Security Requirements為保證信息系統(tǒng)正常運作，在信息安全防護(hù)措施方面提出的系列要求。安全設(shè)計 Security Design為確保信息系統(tǒng)能夠符合安全需求而提出的開發(fā)設(shè)計方案，能夠明確的指

6、導(dǎo)開發(fā)人員實施開發(fā)。機(jī)密性 Confidentiality信息系統(tǒng)的機(jī)密性是指信息系統(tǒng)軟件本身及其處理的信息在時間、范圍和強度上的保密特性。完整性 Integrity信息系統(tǒng)的完整性既包含了數(shù)據(jù)的完整性，即保證數(shù)據(jù)不被非法地改動和銷毀，也包含了系統(tǒng)的完整性，即保證系統(tǒng)不被有意或無意的非法操作所破壞?？捎眯?Availability信息系統(tǒng)的可用性是指應(yīng)用在不降低使用的情況下仍能根據(jù)授權(quán)實體的需要提供資源服務(wù)，保證授權(quán)實體在需要時可以正常地訪問和使用系統(tǒng)。 PAGE 4可控性 Controllability信息系統(tǒng)的可控性是指能夠?qū)π畔⑾到y(tǒng)安全狀態(tài)、數(shù)據(jù)信息及其使用者的所有行為進(jìn)行安全監(jiān)控。認(rèn)證

7、數(shù)據(jù) Authentication Data信息系統(tǒng)中用于驗證用戶所聲稱身份的機(jī)密數(shù)據(jù)。系統(tǒng)數(shù)據(jù) System Data信息系統(tǒng)本身的程序文件、配置文件、客戶端組件和源代碼等，該類數(shù)據(jù)同業(yè)務(wù)沒有直接關(guān)系， 不會隨業(yè)務(wù)運作而頻繁變化。業(yè)務(wù)數(shù)據(jù) Business Data信息系統(tǒng)中由于業(yè)務(wù)操作所輸入、修改、刪除的數(shù)據(jù)，業(yè)務(wù)運行過程中需要頻繁訪問該類數(shù)據(jù)?；A(chǔ)主機(jī)環(huán)境 Basic Environment信息系統(tǒng)的基礎(chǔ)主機(jī)環(huán)境包括了硬件平臺、操作系統(tǒng)和附加的應(yīng)用支撐系統(tǒng)。信息安全風(fēng)險評估 Information Security Risk Assessment依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)

8、（包括信息系統(tǒng)及其運行環(huán)境）及由其處理、傳輸和存儲的信息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行評價的過程。應(yīng)用安全性測評 Application Security Test and Evaluation應(yīng)用安全性測評是以用戶的安全需求和相關(guān)安全標(biāo)準(zhǔn)為依據(jù)對應(yīng)用軟件的安全性進(jìn)行專項測試與評估的活動。適用對象通用安全要求主要適用于以下人員：應(yīng)用軟件系統(tǒng)建設(shè)和管理人員應(yīng)用軟件系統(tǒng)使用和維護(hù)人員應(yīng)用軟件系統(tǒng)設(shè)計和開發(fā)人員應(yīng)用軟件系統(tǒng)測試和評估人員信息系統(tǒng)安全目標(biāo)消除水信息系統(tǒng)的安全目標(biāo)是在威脅分析的基礎(chǔ)上，通過規(guī)范化的要求，利用技術(shù)手段減小或部分威脅給信息系統(tǒng)帶來的安全風(fēng)險，最終確保信息系統(tǒng)的安全防護(hù)

9、能力達(dá)到保障業(yè)務(wù)安全可接受的平。信息系統(tǒng)的安全目標(biāo)體現(xiàn)在以下四個方面：機(jī)密性保障、完整性保障、可用性保障和可控性保障。應(yīng)用軟件通用安全管理要求規(guī)劃階段安全管理安全需求設(shè)計業(yè)務(wù)或信息系統(tǒng)管理部門應(yīng)負(fù)責(zé)需求文檔的編寫、論證、變更和定稿，需求文檔除了包含常規(guī)的功能、性能需求定義外，還應(yīng)同等包含信息安全需求和法律需求。安全需求設(shè)計應(yīng)基于通用安全要求，明確定義應(yīng)用系統(tǒng)必須滿足的安全要求，并完成包含安全需求的應(yīng)用軟件需求說明書。開發(fā)階段安全管理安全方案設(shè)計應(yīng)對應(yīng)用軟件的建設(shè)情況進(jìn)行總體規(guī)劃，包括相應(yīng)的安全規(guī)劃。應(yīng)根據(jù)安全需求，統(tǒng)一考慮信息系統(tǒng)安全保障體系的總體策略、技術(shù)框架和詳細(xì)設(shè)計方案。在設(shè)計方案確定后

10、，基于通用安全要求完成詳細(xì)、明確的包含安全設(shè)計內(nèi)容的應(yīng)用軟件設(shè)計說明書。系統(tǒng)開發(fā)和安全性保證應(yīng)用軟件的開發(fā)應(yīng)嚴(yán)格按照系統(tǒng)的需求說明書和設(shè)計說明書進(jìn)行，同時參考通用安全要求， 確保滿足相關(guān)的安全技術(shù)要求。應(yīng)用軟件的開發(fā)應(yīng)該在專用的開發(fā)環(huán)境中進(jìn)行，開發(fā)人員不得對外泄漏開發(fā)內(nèi)容、程序及數(shù)據(jù)結(jié)構(gòu)。對于處于運維階段的應(yīng)用軟件，在進(jìn)行二次開發(fā)時，需要考慮開發(fā)時對于現(xiàn)有系統(tǒng)的影響，在系統(tǒng)升級時，應(yīng)該制定相應(yīng)的安全預(yù)案，保證系統(tǒng)升級時不能影響原有系統(tǒng)的正常運行。上線運行階段安全管理安全性測試和評估在系統(tǒng)上線投運前，應(yīng)進(jìn)行軟件產(chǎn)品最終的安全性測試和評估，檢查軟件產(chǎn)品是否滿了安全需求。在軟件安全性測試前，應(yīng)根據(jù)安

11、全需求、合同要求、設(shè)計方案和通用安全要求制訂測試方案和測試實施計劃，并進(jìn)行充分的測試準(zhǔn)備。整安全性測試后測試單位應(yīng)出具詳細(xì)的測評報告，不符合相應(yīng)安全技術(shù)要求的應(yīng)用軟件須及時改。 PAGE 7系統(tǒng)驗收在應(yīng)用軟件測試全面完成后，應(yīng)組織相關(guān)部門和相關(guān)人員對系統(tǒng)驗收測試報告進(jìn)行審定。系統(tǒng)上線交付應(yīng)用軟件上線前要對用戶、內(nèi)部操作人員及維護(hù)人員進(jìn)行必要的培訓(xùn)，包括安全功能方面的培訓(xùn)。系統(tǒng)上線交付前，應(yīng)該制定安全預(yù)案，包括相關(guān)系統(tǒng)的回退措施。應(yīng)用軟件上線后由開發(fā)單位進(jìn)行服務(wù)承諾，并提交服務(wù)承諾書，支持相應(yīng)的軟件后續(xù)維護(hù)工作和對安全事故的應(yīng)急響應(yīng)。用戶文檔用戶文檔應(yīng)包含有關(guān)軟件安全配置的使用說明和推薦配置。外

12、包開發(fā)的安全管理與外部開發(fā)商簽訂的開發(fā)合同，應(yīng)包括對軟件安全和信息保密的要求。對外包開發(fā)的軟件要執(zhí)行全面的安全性測試，關(guān)鍵程序應(yīng)檢查源代碼，以有效的防止和杜絕條件觸發(fā)的、內(nèi)嵌的、潛在不安全程序的存在。運維和廢棄階段安全管理應(yīng)用軟件正式投入運行后，應(yīng)指定專人對應(yīng)用軟件進(jìn)行管理，刪除或者禁用不使用的系統(tǒng)缺省賬戶，更改缺省口令。應(yīng)根據(jù)業(yè)務(wù)需求和安全分析確定應(yīng)用軟件的訪問控制策略，用于控制分配數(shù)據(jù)、信息、文件及服務(wù)的訪問權(quán)限。應(yīng)對應(yīng)用軟件賬戶進(jìn)行分類管理，權(quán)限設(shè)定應(yīng)當(dāng)遵循最小授權(quán)要求。應(yīng)對應(yīng)用軟件的安全策略、授權(quán)訪問、最小服務(wù)、升級與補丁加載、維護(hù)記錄、日志以及配置文件的生成、備份、變更審批、符合性檢

13、查等方面做出具體規(guī)定。應(yīng)用軟件廢棄時，應(yīng)確保系統(tǒng)中的所有數(shù)據(jù)被有效轉(zhuǎn)移或可靠銷毀，并確保系統(tǒng)更新過程是在一個安全、系統(tǒng)化的狀態(tài)下完成。應(yīng)用軟件通用安全技術(shù)要求通用安全技術(shù)要求定義了應(yīng)用軟件全生命周期中應(yīng)該考慮和實現(xiàn)的安全要素的集合。在應(yīng)用到具體信息系統(tǒng)時，應(yīng)結(jié)合應(yīng)用軟件的具體要求確定必須滿足的要求子集。與基礎(chǔ)環(huán)境的交互本部分安全要求定義了應(yīng)用軟件同基礎(chǔ)主機(jī)環(huán)境間的安全交互。安全機(jī)制獨立性應(yīng)用軟件的安全設(shè)計和實現(xiàn)應(yīng)該具有獨立性，不能完全依賴當(dāng)前基礎(chǔ)主機(jī)環(huán)境提供的安全機(jī)制來確保應(yīng)用本身和它的數(shù)據(jù)不受到破壞或拒絕服務(wù)。安全控制有效性應(yīng)用軟件應(yīng)該防止用戶繞過其安全控制機(jī)制直接嘗試訪問基礎(chǔ)主機(jī)環(huán)境。應(yīng)用

14、軟件應(yīng)該能夠進(jìn)行對以上安全功能的自檢，這些檢測可在啟動時進(jìn)行，或周期性地進(jìn)行，或應(yīng)授權(quán)用戶的請求進(jìn)行，或滿足其他條件時進(jìn)行。安全策略可配置應(yīng)用軟件應(yīng)該能夠被配置（或通過自動配置）為在特定的環(huán)境中進(jìn)行恰當(dāng)?shù)陌踩僮鳎⑶夷軌驁蟾嫒毕?。外部環(huán)境完整性在應(yīng)用軟件運行期間，應(yīng)該不執(zhí)行、并且應(yīng)該不能被用于執(zhí)行任何可能改變主機(jī)安全配置、安全文件、操作環(huán)境或平臺安全程序的功能；也不能破壞或試圖破壞屬于基礎(chǔ)主機(jī)環(huán)境的文件和功能。外部環(huán)境檢測應(yīng)用軟件應(yīng)該能夠確認(rèn)它的操作環(huán)境是被恰當(dāng)配置了的，并且能夠?qū)θ魏斡绊懶畔⑾到y(tǒng)正常運行或安全狀態(tài)的環(huán)境因素的缺乏進(jìn)行報告。外部環(huán)境失敗的處理應(yīng)用軟件應(yīng)該可以探測到主機(jī)運行環(huán)境

15、中的錯誤情況。對主機(jī)環(huán)境狀態(tài)的檢驗應(yīng)貫穿于應(yīng)用程序的整個執(zhí)行過程，在探測到外部環(huán)境錯誤的時候可以以一個有序的過程實施關(guān)閉。即首先在外部環(huán)境中終止其獲得組件的意圖，同時終止需要那個組件完成的功能。鑒別和認(rèn)證機(jī)制本部分安全要求規(guī)定了應(yīng)用軟件應(yīng)該如何進(jìn)行實體的鑒別和認(rèn)證，或者利用外部認(rèn)證系統(tǒng)和設(shè)備實現(xiàn)該安全機(jī)制所要到達(dá)的要求。身份鑒別和認(rèn)證應(yīng)用軟件應(yīng)該能夠?qū)λ邢到y(tǒng)使用者進(jìn)行有效鑒別，并且應(yīng)該確保使用者在授予敏感權(quán)限之前已經(jīng)被認(rèn)證。應(yīng)用軟件應(yīng)該能夠鑒別和認(rèn)證應(yīng)用中所有代表用戶與系統(tǒng)進(jìn)行交互的進(jìn)程、程序以及其他活動實體或?qū)ο?。身份認(rèn)證提示在鑒別過程和授予已鑒別用戶使用應(yīng)用軟件資源的權(quán)限前，應(yīng)用軟件應(yīng)當(dāng)

16、提供必要的信息給使用者，這類信息應(yīng)該能夠幫助使用者完成認(rèn)證過程，并明確其應(yīng)承擔(dān)的責(zé)任。認(rèn)證技術(shù)使用應(yīng)用軟件在授予使用者權(quán)限前，所執(zhí)行的鑒別和認(rèn)證功能應(yīng)該具備防篡改和防重放機(jī)制，在有明確需求的情況下，應(yīng)用軟件也應(yīng)該能夠支持服務(wù)器與客戶端間的雙向認(rèn)證。應(yīng)用軟件的鑒別和認(rèn)證機(jī)制可以包含以下一個或多個安全技術(shù)，用來替代或者作為用戶名靜態(tài)口令方式的補充：公鑰基礎(chǔ)設(shè)施（PKI）硬件令牌、生物識別認(rèn)證一次性動態(tài)口令其它技術(shù)非法認(rèn)證請求的識別應(yīng)用軟件的鑒別和認(rèn)證機(jī)制應(yīng)該具有對非正常鑒別和認(rèn)證嘗試（登錄、權(quán)限獲?。┑淖R別功能， 并可根據(jù)安全策略啟動對失敗鑒別和認(rèn)證嘗試的鎖定。非法認(rèn)證請求的處理應(yīng)用軟件應(yīng)該能夠允

17、許系統(tǒng)管理員用戶隨時更改失敗次數(shù)（允許連續(xù)的失敗登錄而不進(jìn)行鎖定的最大次數(shù)）和鎖定時間（超過失敗次數(shù)后鎖定登錄持續(xù)的時間）?？蛻舳说卿浵拗茟?yīng)用軟件應(yīng)該能夠允許系統(tǒng)管理員用戶根據(jù)需要設(shè)置允許在客戶端登錄系統(tǒng)的用戶屬性，包括用戶登錄的時間段、用戶登錄的 IP 地址等。會話鑒別和認(rèn)證。對應(yīng)用軟件對客戶端用戶每一次初始的會話連接請求，都應(yīng)當(dāng)要求其完成鑒別和認(rèn)證過程，并且在應(yīng)用軟件的各組成部分中都不能存儲明文的口令數(shù)據(jù)，以及其他可以被利用進(jìn)行會話重放的信息 PAGE 9鑒別成功的每個會話都要維持其連接和中斷的狀態(tài)，在會話超時后，應(yīng)使會話進(jìn)入休眠狀態(tài)或中斷連接。會話的管理應(yīng)用軟件應(yīng)該向系統(tǒng)管理員提供監(jiān)視工

18、具，以便實時檢測客戶端用戶的連接狀態(tài)和行為，應(yīng)用軟件也應(yīng)該允許會話發(fā)起的用戶手動終止該會話。應(yīng)用軟件應(yīng)該能夠自動處理會話的異常狀態(tài)，并且能夠提供給系統(tǒng)管理員適當(dāng)?shù)墓芾砉ぞ邔掃M(jìn)行實時控制，包括設(shè)置會話超時時間、最大允許會話數(shù)。多用戶登錄的控制應(yīng)用軟件應(yīng)該能夠確保一個客戶端只能有一個用戶同時登錄到系統(tǒng)中，一個用戶只允許同時在一個客戶端上登錄到系統(tǒng)中。用戶和權(quán)限管理本部分安全要求規(guī)定了應(yīng)用軟件的用戶分類管理、口令管理和授權(quán)管理，同時也包含對存儲和使用到的操作系統(tǒng)用戶、數(shù)據(jù)庫用戶或中間件系統(tǒng)用戶的口令管理。系統(tǒng)管理員帳號（角色）應(yīng)用軟件應(yīng)該將系統(tǒng)的管理權(quán)限（包括用戶管理、權(quán)限管理、配置定制）單獨賦

19、予系統(tǒng)管理員帳號（角色），這類帳號（角色）僅負(fù)責(zé)進(jìn)行系統(tǒng)級的管理，不具備任何業(yè)務(wù)操作的權(quán)限。安全管理員帳號（角色）應(yīng)用軟件應(yīng)該通過設(shè)置特殊的安全管理員帳號（角色），對系統(tǒng)中所有的安全功能進(jìn)行管理或監(jiān)視，以監(jiān)督和查證系統(tǒng)管理員、業(yè)務(wù)員正常行使權(quán)限。應(yīng)用軟件使用中，應(yīng)該保證安全管理員帳號（角色）與系統(tǒng)管理員帳號（角色）不能為同一人。審核管理員帳號（角色）應(yīng)用軟件應(yīng)該能夠通過設(shè)置審核管理員帳號（角色），對關(guān)鍵的系統(tǒng)管理和特殊要求的業(yè)務(wù)操作行為實施不可繞行的審批，沒有經(jīng)過審批的操作將不能生效。應(yīng)用軟件使用中，應(yīng)該保證審核管理員帳號（角色）與系統(tǒng)管理員帳號（角色）不能為同一人。非管理帳號（角色）系統(tǒng)應(yīng)用

20、軟件應(yīng)該將業(yè)務(wù)操作權(quán)限賦予非管理員帳號（角色），這類帳號（角色）不能具備任何級的管理權(quán)限，并且其具有的權(quán)限轉(zhuǎn)移和委托機(jī)制不能違背系統(tǒng)的授權(quán)原則。禁用匿名帳戶除非提供公共信息訪問，應(yīng)用系統(tǒng)不應(yīng)該內(nèi)置匿名賬戶，也不允許匿名用戶的登錄。用戶口令策略應(yīng)用軟件應(yīng)該可以讓系統(tǒng)管理員用戶去分發(fā)用戶的初始口令，同時需要強制用戶在初始登錄時去改變管理員分發(fā)的口令，只有系統(tǒng)管理員用戶和用戶自身能夠修改本人的口令。應(yīng)用軟件在鑒別身份之前，應(yīng)該能夠檢驗用戶口令是否過期，并強制性的要求口令過期的用戶去更新口令。應(yīng)用軟件在用戶更新口令時應(yīng)該能夠檢測用戶的新口令是否已經(jīng)被使用過，并阻止其選擇使用過的最近幾次（管理員定制）的

21、口令。應(yīng)用軟件應(yīng)該能夠?qū)σ陨仙婕暗目诹畈呗赃M(jìn)行配置。用戶授權(quán)管理應(yīng)用軟件應(yīng)該提供給系統(tǒng)管理員用戶一個產(chǎn)生和修改用戶授權(quán)的管理工具，并且保證在每次產(chǎn)生或修改權(quán)限后不需要重啟系統(tǒng)就能立即生效。應(yīng)用軟件應(yīng)該能夠根據(jù)業(yè)務(wù)特性，設(shè)置權(quán)限互斥的原則，保證用戶、權(quán)限合理對應(yīng)關(guān)系，避免任何可能產(chǎn)生安全問題的權(quán)限分配方式或結(jié)果。操作安全本部分安全要求規(guī)定了應(yīng)用軟件的訪問控制機(jī)制，具體表現(xiàn)為用戶操作合法性的驗證方式、操作輸入的安全性以及異常情況的處理機(jī)制。用戶授權(quán)的驗證應(yīng)用軟件應(yīng)該在允許用戶（或代表用戶的進(jìn)程）獲取權(quán)限或者資源之前，已經(jīng)對其進(jìn)行了授權(quán)確認(rèn)。應(yīng)用軟件應(yīng)該能夠確保用戶可以正常執(zhí)行所有授權(quán)操作，同時不能

22、繞過其控制機(jī)制執(zhí)行任何非授權(quán)的操作。輸入/導(dǎo)入數(shù)據(jù)的安全驗證應(yīng)用軟件應(yīng)該對用戶在客戶端輸入或?qū)氲臄?shù)據(jù)進(jìn)行長度、范圍、數(shù)據(jù)類型等屬性的合法性進(jìn)行檢驗，對不合法的數(shù)據(jù)應(yīng)該禁止輸入系統(tǒng)，并且提示明確的錯誤信息。據(jù)應(yīng)應(yīng)用軟件應(yīng)該在服務(wù)器端對將要存儲到后臺數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行合法性檢驗，對不合法的數(shù)該舍棄，并報警。 PAGE 11并發(fā)操作保護(hù)應(yīng)用軟件應(yīng)該能夠允許多用戶同時對同一個系統(tǒng)資源進(jìn)行不相沖突的訪問操作，并且設(shè)定保護(hù)措施，防止相互可能造成的沖突。應(yīng)用軟件應(yīng)該禁止多個客戶端用戶同時執(zhí)行互斥的操作。異常事件的提示和報警應(yīng)用軟件應(yīng)該定義了分級的系統(tǒng)異常事件類型，并且根據(jù)異常的嚴(yán)重程度分別采用不同的方式進(jìn)

23、行通知。異常事件的自動處理應(yīng)用軟件應(yīng)該能夠?qū)Σ糠謬?yán)重故障進(jìn)行自動處理，采取可能使系統(tǒng)恢復(fù)正常狀態(tài)的行為或保護(hù)現(xiàn)存數(shù)據(jù)安全的行為。數(shù)據(jù)安全本部分安全要求定義數(shù)據(jù)在存儲、傳輸過程中的機(jī)密性、完整性和可用性等方面的需求。認(rèn)證數(shù)據(jù)保護(hù)應(yīng)用軟件應(yīng)該對系統(tǒng)內(nèi)認(rèn)證數(shù)據(jù)的存儲和傳輸進(jìn)行保護(hù)，保證對其機(jī)密性、完整性和可用性的保護(hù)強度符合業(yè)務(wù)需求。應(yīng)用軟件應(yīng)該負(fù)責(zé)保證其訪問數(shù)據(jù)庫系統(tǒng)、中間件系統(tǒng)的用戶名和口令的機(jī)密性，并能夠允許系統(tǒng)管理員用戶進(jìn)行該類口令的修改而不影響系統(tǒng)的使用。應(yīng)用軟件應(yīng)該保證臨時出現(xiàn)的認(rèn)證數(shù)據(jù)的機(jī)密性，包括內(nèi)存或緩存文件中口令、密鑰等。業(yè)務(wù)數(shù)據(jù)分級保護(hù)應(yīng)用軟件應(yīng)該允許系統(tǒng)管理員用戶或數(shù)據(jù)創(chuàng)建者

24、定義、修改業(yè)務(wù)數(shù)據(jù)的安全性等級，并且確保該分級標(biāo)記是可以被訪問控制機(jī)制理解的。應(yīng)用軟件應(yīng)該按照已定義的業(yè)務(wù)數(shù)據(jù)安全級別，進(jìn)行分級的存儲保護(hù)和傳輸保護(hù)，對于重要業(yè)務(wù)數(shù)據(jù)應(yīng)該提供備份和恢復(fù)機(jī)制，保證對其機(jī)密性、完整性和可用性的保護(hù)強度符合業(yè)務(wù)需求。系統(tǒng)數(shù)據(jù)保護(hù)應(yīng)用軟件應(yīng)該對程序文件、配置文件和可執(zhí)行代碼等系統(tǒng)數(shù)據(jù)進(jìn)行存儲保護(hù)和傳輸保護(hù)，保證對其機(jī)密性、完整性和可用性的保護(hù)強度符合業(yè)務(wù)需求?？蛻舳朔祷財?shù)據(jù)應(yīng)用軟件應(yīng)該能夠保證其向客戶端提供的數(shù)據(jù)信息（包括不成功的連接嘗試）中不包含會泄漏應(yīng)用軟件安全數(shù)據(jù)的內(nèi)容，也不包含與用戶請求無關(guān)的數(shù)據(jù)?？蛻舳司彺鏀?shù)據(jù)應(yīng)用軟件應(yīng)該避免在客戶端緩存任何重要和敏感的數(shù)據(jù)

25、，如果有必要應(yīng)采取安全措施確保數(shù)據(jù)的機(jī)密性和完整性。輸出數(shù)據(jù)應(yīng)用軟件應(yīng)該在輸出保密數(shù)據(jù)到外部系統(tǒng)或打印時，恰當(dāng)?shù)臉?biāo)記數(shù)據(jù)的保密等級。密碼技術(shù)本部分規(guī)定了應(yīng)用軟件在使用密碼技術(shù)進(jìn)行數(shù)據(jù)加密或完整性保護(hù)時需要滿足的要求。密碼算法的選擇應(yīng)用軟件中選擇的密碼算法在強度上應(yīng)該等于或大于公司規(guī)定和用戶提出的安全強度要求。密鑰的安全管理應(yīng)用軟件需要在密鑰生成、存儲、分配、銷毀的整個生命周期中對其實施保護(hù)，確保密鑰明文不能被其他進(jìn)程、程序和應(yīng)用中非相關(guān)組件訪問到。證書驗證應(yīng)用軟件應(yīng)該確保能夠?qū)ο到y(tǒng)中使用的證書進(jìn)行正確鑒別，而且不會接受或繼續(xù)使用非法的或者無效的證書。審計管理本部分安全要求定義應(yīng)用軟件所應(yīng)具有的審計功能和實現(xiàn)方式，包括利用外部審計系統(tǒng)達(dá)到的審計功能?；緦徲嫻δ軕?yīng)用軟件應(yīng)該能夠?qū)⑺械陌踩嚓P(guān)事件記錄到事件日志中，或者將事件數(shù)據(jù)安全地發(fā)送到外部。完整的審計功能便的應(yīng)用軟件應(yīng)該提供對審計數(shù)據(jù)進(jìn)行查看、分析的管理工具，保證系統(tǒng)管理員或安全管理員方實施安全運維行為。 PAGE 13審計事件的類型應(yīng)用軟件應(yīng)該能夠?qū)λ信c應(yīng)用本身相關(guān)的各類事件進(jìn)行有效記錄，包括但不限于以下事件：系統(tǒng)管理和配置事件業(yè)務(wù)操作事件成功事件失敗事件對審計功能的操作應(yīng)用軟件應(yīng)該能夠