Q/LB.□XXXXX-XXXX目次TOC\o"1-1"\h\t"標(biāo)準(zhǔn)文件_一級條標(biāo)題,2,標(biāo)準(zhǔn)文件_附錄一級條標(biāo)題,2,"前言 II1范圍 12規(guī)范性引用文件 13術(shù)語和定義 14縮略語 15系統(tǒng)架構(gòu) 16業(yè)務(wù)安全 26.1登錄辦理類 26.2信息查詢類 46.3信用生成類 46.4業(yè)務(wù)辦理類 46.5頁面展示類 56.6訪問控制 56.7入侵防范 56.8安全審計 56.9剩余信息保護(hù) 66.10通信完整性 66.11通信保密性 66.12抗抵賴 66.13資源控制 67代碼安全 67.1代碼開辟 67.2代碼測試 137.3代碼部署 148數(shù)據(jù)安全 158.1數(shù)據(jù)保密性 158.2數(shù)據(jù)完整性 158.3數(shù)據(jù)可用性 15前言本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本標(biāo)準(zhǔn)的某些內(nèi)容可能涉及專利。本標(biāo)準(zhǔn)的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任。本文件由廣西金融發(fā)展服務(wù)中心提出。本文件由廣西物品編碼與標(biāo)準(zhǔn)化促進(jìn)會歸口。本文件起草單位：廣西金融發(fā)展服務(wù)中心、廣西數(shù)字金服科技有限公司、廣西壯族自治區(qū)標(biāo)準(zhǔn)技術(shù)研究院。本文件主要起草人：滕承仁、陸好劍、李瞬航、唐培松、王勝奇、覃金鈺、嚴(yán)婷、李若琳、施顯俊、高邁、盧藝、趙越、唐景輝、黃文、黃忠勝、李海裴。農(nóng)村信用信息系統(tǒng)安全技術(shù)規(guī)范范圍本文件界定了農(nóng)村信用信息系統(tǒng)（以下簡稱“系統(tǒng)”）安全技術(shù)的術(shù)語和定義，給出了縮略語，規(guī)定了系統(tǒng)架構(gòu)、業(yè)務(wù)安全、代碼安全和數(shù)據(jù)安全的要求。本文件適用于農(nóng)村信用信息系統(tǒng)的業(yè)務(wù)和應(yīng)用設(shè)計、開辟、部署、運(yùn)行、維護(hù)等全生命周期各個環(huán)節(jié)的安全防護(hù)。規(guī)范性引用文件本文件沒有規(guī)范性引用文件。術(shù)語和定義下列術(shù)語和定義適用于本文件。

業(yè)務(wù)business系統(tǒng)支持處理的事務(wù)的業(yè)務(wù)過程，通常包括多步活動，并與用戶、金融機(jī)構(gòu)、運(yùn)行人員等多人間有交互，例如個人信用報告查詢、融資需求發(fā)布、需求關(guān)注、授信、放款業(yè)務(wù)等。

開辟框架framework提供應(yīng)用系統(tǒng)各個功能開辟的最佳實(shí)踐集合，是一組功能實(shí)現(xiàn)套件的結(jié)合體。

緩沖區(qū)溢出攻擊bufferoverflowattack當(dāng)計算機(jī)向緩沖區(qū)內(nèi)填充數(shù)據(jù)時，數(shù)據(jù)位數(shù)超過了緩沖區(qū)本身的容量，溢出的數(shù)據(jù)覆蓋了合法數(shù)據(jù)。如果程序的返回地址被覆蓋，當(dāng)程序返回時，就有可能返回到攻擊者的惡意代碼段，而執(zhí)行惡意代碼。

跨站腳本攻擊cross-sitescripting入侵者在遠(yuǎn)程Web頁面的HTML代碼中插入具有惡意目的的數(shù)據(jù)，用戶認(rèn)為該頁面是可信賴的，但是當(dāng)瀏覽器下載該頁面，嵌入其中的腳本將被解釋執(zhí)行，從而威脅用戶瀏覽過程的安全。

拒絕服務(wù)攻擊denialofserviceattack攻擊者通過向應(yīng)用程序發(fā)送大量請求來使得應(yīng)用程序無法向合法用戶提供服務(wù)，即攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù)或正常用戶的資源訪問，這些資源包括磁盤空間、內(nèi)存、進(jìn)程甚至網(wǎng)絡(luò)帶寬?？s略語下列縮略語適用于本文件BSS：業(yè)務(wù)支撐系統(tǒng)（BusinessSupportSystem）IPS：入侵預(yù)防系統(tǒng)（IntrusionPreventionSystem）IDS：入侵檢測系統(tǒng)（IntrusionDetectionSystem）SSL：安全套接層（SecureSocketsLayer）ECC：錯誤檢查和糾正（ErrorCorrectingCode）系統(tǒng)架構(gòu)系統(tǒng)安全技術(shù)架構(gòu)圖見圖1。業(yè)務(wù)安全防護(hù)技術(shù)要求業(yè)務(wù)安全防護(hù)技術(shù)要求登錄辦理類信息查詢類信用生成類業(yè)務(wù)辦理類頁面展示類應(yīng)用安全防護(hù)技術(shù)要求通信完整性通信保密性抗抵賴資源控制訪問控制入侵防護(hù)安全審計身份鑒別剩余信息保護(hù)代碼安全防護(hù)技術(shù)要求代碼開辟代碼測試代碼部署數(shù)據(jù)保密性數(shù)據(jù)完整性數(shù)據(jù)可用性數(shù)據(jù)安全防護(hù)技術(shù)要求系統(tǒng)安全技術(shù)架構(gòu)業(yè)務(wù)安全登錄辦理類注冊功能模塊口令應(yīng)設(shè)置統(tǒng)一的口令策略，包括：口令設(shè)置者（如：系統(tǒng)頒發(fā)或用戶自行設(shè)置）；如果系統(tǒng)必須頒發(fā)初始口令，應(yīng)該避免使用統(tǒng)一的用戶初始口令，應(yīng)強(qiáng)制要求用戶在初次登錄系統(tǒng)時修改初始口令；口令長度；口令至少包含的特征組（如：小寫字母，數(shù)字，大寫字母以及特殊符號等）；用戶不應(yīng)使用出現(xiàn)在常見列表中的口令類型（如：常見字符、詞組、用戶名作為密碼等）。激活以自助形式首次注冊系統(tǒng)的賬戶應(yīng)使用短信、郵件、手機(jī)號綁定、固話號碼綁定等方式進(jìn)行確認(rèn)激活操作。驗(yàn)證碼應(yīng)設(shè)置強(qiáng)驗(yàn)證碼機(jī)制，驗(yàn)證碼的抗識別強(qiáng)度應(yīng)包含如下要求：包含的特征組；采用符號扭曲、粘連算法；采用的元素（如：字體）間距不規(guī)則分布；加入干擾元素（如：一條干擾斜線，覆蓋所有字符）；一條干擾斜線，覆蓋所有字符。背景色彩與網(wǎng)站整體風(fēng)格一致；后臺驗(yàn)證碼生成算法定期更新；建議每3月更新一次。驗(yàn)證碼設(shè)置超時時限。驗(yàn)證碼5分鐘后失效。必填信息系統(tǒng)賬戶注冊過程應(yīng)設(shè)置用戶必填項(xiàng)信息。手機(jī)號、姓名、身份證號碼等。驗(yàn)證必填項(xiàng)信息以及憑據(jù)找回渠道的有效性和真實(shí)性（如：郵箱、手機(jī)號應(yīng)真實(shí)且為賬戶注冊人持有）。登錄認(rèn)證功能模塊基本要求應(yīng)設(shè)置農(nóng)村信用信息系統(tǒng)應(yīng)分應(yīng)用場景制定多因素、多方式的登錄認(rèn)證功能。多因素認(rèn)證包括口令+電子鑰匙。多方式認(rèn)證包括手機(jī)號/服務(wù)密碼，手機(jī)短信隨機(jī)密碼，用戶名/口令。應(yīng)設(shè)置強(qiáng)驗(yàn)證碼機(jī)制，驗(yàn)證碼的抗識別強(qiáng)度按要求設(shè)置。用戶成功登錄后，應(yīng)顯示上一次的登錄信息。登錄信息包括登錄時間、地點(diǎn)、認(rèn)證結(jié)果等。應(yīng)禁用“自動登錄”或“記住密碼”等功能。登錄認(rèn)證失敗的提示內(nèi)容不應(yīng)指明具體錯誤的部分。登錄信息錯誤時都提示“無效的用戶名和/或密碼”而不是“無效的用戶名”或“密碼無效”。應(yīng)按用戶登錄農(nóng)村信用信息系統(tǒng)的不同方式，實(shí)現(xiàn)用戶操作功能權(quán)限的橫向、縱向隔離，不但應(yīng)保證用戶登錄后只能訪問該用戶的相關(guān)信息，不能非法訪問其他用戶相關(guān)信息，而且只能實(shí)現(xiàn)該方式下開放給用戶的系統(tǒng)功能。系統(tǒng)客戶端頁面應(yīng)隱藏標(biāo)志業(yè)務(wù)辦理流程步驟的變量及參數(shù)值。系統(tǒng)服務(wù)器端應(yīng)保證同一業(yè)務(wù)流程中各個數(shù)據(jù)交互環(huán)節(jié)中客戶端先后操作的身份一致性及合法性。系統(tǒng)應(yīng)具備登錄辦理類業(yè)務(wù)審計（日志）功能，并覆蓋到每一個用戶，對重要業(yè)務(wù)信息（登錄信息、認(rèn)證結(jié)果、業(yè)務(wù)操作、數(shù)據(jù)信息、業(yè)務(wù)結(jié)果等）有詳細(xì)記錄。二次認(rèn)證系統(tǒng)應(yīng)為賬戶號的密碼重置功能采用二次認(rèn)證機(jī)制。二次認(rèn)證要求如下：與手機(jī)號綁定的賬戶，應(yīng)采用手機(jī)短信動態(tài)口令驗(yàn)證，并應(yīng)設(shè)置動態(tài)口令超時時限為小于或等于1?min；不與手機(jī)號綁定的賬戶，應(yīng)要求其提供可用郵箱地址，并通過郵箱激活郵件驗(yàn)證用戶身份的真實(shí)有效性。系統(tǒng)應(yīng)對關(guān)鍵業(yè)務(wù)的辦理執(zhí)行嚴(yán)格的二次認(rèn)證，認(rèn)證要求如下：與手機(jī)號綁定的賬戶，應(yīng)采用手機(jī)短信動態(tài)口令驗(yàn)證，并應(yīng)設(shè)置動態(tài)口令超時時限為小于或等于1?min；不與手機(jī)號綁定的賬戶，應(yīng)要求其提供可用郵箱地址，并通過郵箱激活郵件驗(yàn)證用戶身份的真實(shí)有效性；農(nóng)村信用信息系統(tǒng)應(yīng)具備嚴(yán)格的防篡改機(jī)制，保證業(yè)務(wù)辦理過程中數(shù)據(jù)的完整性；農(nóng)村信用信息系統(tǒng)業(yè)務(wù)辦理類申請應(yīng)具有二次確認(rèn)機(jī)制，二次確認(rèn)應(yīng)采用多種方式進(jìn)行；農(nóng)村信用信息系統(tǒng)應(yīng)具備完善的權(quán)限控制機(jī)制，保障用戶在業(yè)務(wù)辦理流程的每一步所具有的權(quán)限應(yīng)受到功能級別細(xì)粒度的控制；農(nóng)村信用信息系統(tǒng)每一個業(yè)務(wù)辦理流程應(yīng)生成隨機(jī)業(yè)務(wù)流水號，防止攻擊者猜測標(biāo)識或依據(jù)當(dāng)前標(biāo)識推導(dǎo)后續(xù)的標(biāo)識；農(nóng)村信用信息系統(tǒng)每一個業(yè)務(wù)辦理流程應(yīng)生成時間戳，防止重放攻擊；農(nóng)村信用信息系統(tǒng)每一個業(yè)務(wù)辦理流程應(yīng)具備自動退出機(jī)制，業(yè)務(wù)辦理過程中，如果用戶退出或會話意外中斷、超時等情況，應(yīng)重新進(jìn)行認(rèn)證。信息查詢類信用生成類應(yīng)具備完善的權(quán)限控制機(jī)制，保障金融機(jī)構(gòu)、農(nóng)戶、涉農(nóng)企業(yè)等信用報告生成流程的每一步都應(yīng)查詢其當(dāng)前認(rèn)證狀態(tài)，并嚴(yán)格檢查其權(quán)限。系統(tǒng)信用報告生成業(yè)務(wù)流程中各個數(shù)據(jù)交互環(huán)節(jié)，如果存在會對后續(xù)流程環(huán)節(jié)內(nèi)容有影響的操作，應(yīng)存在防篡改機(jī)制，對必須從客戶端獲取的參數(shù)采用加密傳輸機(jī)制，并在服務(wù)器端對該類參數(shù)進(jìn)行合法性驗(yàn)證，使得業(yè)務(wù)流程設(shè)計時設(shè)定為不應(yīng)篡改的數(shù)據(jù)其完整性得到保證。系統(tǒng)應(yīng)為信用報告生成功能提供強(qiáng)驗(yàn)證碼機(jī)制，驗(yàn)證碼的抗識別強(qiáng)度按要求設(shè)置。系統(tǒng)每一個信用報告生成流程應(yīng)生成隨機(jī)訂單號。系統(tǒng)應(yīng)對單個信用報告生成動作以及單個用戶信用報告生成頻率進(jìn)行控制。系統(tǒng)應(yīng)對信用報告生成行為進(jìn)行二次認(rèn)證。信用報告生成成功后應(yīng)進(jìn)行短信通知。系統(tǒng)客戶端應(yīng)對信用報告類業(yè)務(wù)中需要接納用戶輸入的數(shù)據(jù)接口，添加針對輸入數(shù)據(jù)的合法性進(jìn)行驗(yàn)證。身份證輸入框，應(yīng)對輸入的字符種類和長度做相應(yīng)合法性驗(yàn)證，過濾有害字符。系統(tǒng)信用報告類模塊應(yīng)對第三方系統(tǒng)接口數(shù)據(jù)進(jìn)行加密傳輸及附加數(shù)字摘要，以保障數(shù)據(jù)的機(jī)密性和完整性。系統(tǒng)信用報告類業(yè)務(wù)中，報告管理（如：生成報告、查詢報告）應(yīng)記錄強(qiáng)類型用戶身份關(guān)聯(lián)信息（如：手機(jī)號、身份證、姓名、機(jī)構(gòu)名稱等）。系統(tǒng)應(yīng)對查詢信用類業(yè)務(wù)中被具體報告鎖定設(shè)定超時時限，有效時間過期后將不能再次查詢信用報告。系統(tǒng)應(yīng)具備信用報告類業(yè)務(wù)審計（日志）功能，并覆蓋到每一個用戶，對重要報告生成、查詢、時限等有詳細(xì)記錄。審計記錄內(nèi)容中不應(yīng)包含應(yīng)用系統(tǒng)非必需的交易信息。系統(tǒng)應(yīng)具備信用報告類生成查詢對賬機(jī)制，定期核對報告生成查詢情況。業(yè)務(wù)辦理類系統(tǒng)應(yīng)為業(yè)務(wù)辦理類辦理功能提供強(qiáng)驗(yàn)證碼機(jī)制，驗(yàn)證碼的抗識別強(qiáng)度要求按本規(guī)范6.1.1節(jié)第3）條執(zhí)行。系統(tǒng)業(yè)務(wù)辦理類業(yè)務(wù)流程中各個數(shù)據(jù)交互環(huán)節(jié)，如果存在會對后續(xù)流程環(huán)節(jié)內(nèi)容有影響的操作，應(yīng)存在防篡改機(jī)制，對必須從客戶端獲取的參數(shù)采用加密傳輸機(jī)制，并在服務(wù)器端對該類參數(shù)進(jìn)行合法性驗(yàn)證，使得業(yè)務(wù)流程設(shè)計時設(shè)定為不應(yīng)篡改的數(shù)據(jù)其完整性得到保證。系統(tǒng)應(yīng)對單個金融業(yè)務(wù)額度以及單個用戶交易頻率進(jìn)行控制。系統(tǒng)金融業(yè)務(wù)辦理類模塊應(yīng)對第三方系統(tǒng)接口數(shù)據(jù)進(jìn)行加密傳輸，以保障金融業(yè)務(wù)數(shù)據(jù)的機(jī)密性。系統(tǒng)金融業(yè)務(wù)辦理類模塊應(yīng)對第三方系統(tǒng)接口數(shù)據(jù)附加數(shù)字摘要，以保障交易數(shù)據(jù)的完整性。系統(tǒng)金融業(yè)務(wù)辦理類交易中，應(yīng)記錄強(qiáng)類型用戶身份關(guān)聯(lián)信息（如：手機(jī)號、身份證、姓名、金融機(jī)構(gòu)信息等）。系統(tǒng)應(yīng)提供必要的校驗(yàn)措施，進(jìn)行金融業(yè)務(wù)申請辦理時強(qiáng)制校驗(yàn)辦理用戶的合法性。系統(tǒng)應(yīng)具備足夠的審計措施，實(shí)現(xiàn)對內(nèi)部人員使用內(nèi)部系統(tǒng)接口偽造金融業(yè)務(wù)請求等行為的監(jiān)控，并設(shè)定賬目對賬機(jī)制，定期核對金融業(yè)務(wù)賬目收支情況。系統(tǒng)服務(wù)器端應(yīng)保證同金融業(yè)務(wù)流程中各個數(shù)據(jù)交互環(huán)節(jié)中客戶端先后操作的身份一致性及合法性。系統(tǒng)應(yīng)對金融類業(yè)務(wù)中被具體辦理過程設(shè)定超時時限，對于長期未辦理成功的定單行自動釋放。系統(tǒng)應(yīng)具備金融類業(yè)務(wù)審計（日志）功能，并覆蓋到每一個用戶，對重要信息（用戶信息、期望融資金額、期望利率、機(jī)構(gòu)信息等）有詳細(xì)記錄。審計記錄內(nèi)容中不應(yīng)包含應(yīng)用系統(tǒng)非必需的信息。系統(tǒng)應(yīng)具備金融業(yè)務(wù)類辦理賬目對賬機(jī)制，定期核對金融賬目辦理情況。頁面展示類系統(tǒng)展示類業(yè)務(wù)應(yīng)提供必要的保障機(jī)制，保證向用戶展示信息（如：金融產(chǎn)品信息、信用報告）的正確性。系統(tǒng)展示類業(yè)務(wù)應(yīng)提供必要的保障機(jī)制。系統(tǒng)應(yīng)限制每頁最大顯示查詢結(jié)果條目數(shù)量。訪問控制通信控制應(yīng)對從互聯(lián)網(wǎng)進(jìn)入系統(tǒng)的流量進(jìn)行過濾，實(shí)現(xiàn)對應(yīng)用層HTTP協(xié)議命令級的控制。系統(tǒng)應(yīng)具備會話超時機(jī)制，用戶通過互聯(lián)網(wǎng)與農(nóng)村信用信息系統(tǒng)Web服務(wù)器建立的會話處于非活躍一定時間后，農(nóng)村信用信息系統(tǒng)Web服務(wù)器設(shè)備應(yīng)自動終止會話。如果系統(tǒng)啟用了SSL加密，其版本應(yīng)不低于3.0。系統(tǒng)不應(yīng)將SSL設(shè)置為可選的方案，不應(yīng)在使用443端口（SSL通信端口）的同時也接受80端口（普通的HTTP服務(wù)端口）請求，不應(yīng)允許用戶選擇安全級別。賬戶管理應(yīng)至少6個月進(jìn)行一次對管理賬戶的回顧檢查，確認(rèn)每一個管理賬號的使用人員。應(yīng)限制默認(rèn)賬戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)賬戶，修改這些賬戶的默認(rèn)口令。應(yīng)及時刪除多余的、過期的賬戶，避免共享賬戶的存在。應(yīng)根據(jù)農(nóng)村信用信息系統(tǒng)管理賬戶的角色分配權(quán)限，實(shí)現(xiàn)管理賬戶的權(quán)限分離，僅授予管理賬戶所需的最小權(quán)限。敏感標(biāo)記應(yīng)對重要信息資源（如：充值卡密、個人信息等）設(shè)置敏感標(biāo)記。應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對具有敏感標(biāo)記的重要信息資源所進(jìn)行的操作。入侵防范直接面向互聯(lián)網(wǎng)為用戶提供服務(wù)的系統(tǒng)設(shè)備（如Web服務(wù)器設(shè)備）僅開放為登錄系統(tǒng)用戶提供服務(wù)所必需的服務(wù)端口（如：HTTP、HTTPS對應(yīng)端口及向BSS系統(tǒng)開放的端口），并采用技術(shù)手段監(jiān)控端口通信情況。系統(tǒng)功能模塊應(yīng)遵循最小建設(shè)原則，僅建設(shè)必要的組件和功能模塊。應(yīng)在系統(tǒng)與互聯(lián)網(wǎng)的網(wǎng)絡(luò)邊界處部署IDS或IPS設(shè)備，檢測、謹(jǐn)防以下攻擊行為：端口掃描；木馬后門攻擊；拒絕服務(wù)攻擊；緩沖區(qū)溢出攻擊；IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。應(yīng)能夠檢測到對系統(tǒng)中主機(jī)進(jìn)行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴(yán)重入侵事件時進(jìn)行告警。安全審計審計建立應(yīng)對系統(tǒng)重要安全事件（如：攻擊行為、非法操作等）進(jìn)行審計。審計記錄應(yīng)提供覆蓋到農(nóng)村信用信息系統(tǒng)每一個用戶的安全審計功能。應(yīng)對農(nóng)村信用信息系統(tǒng)用戶的登錄過程進(jìn)行審計。應(yīng)對農(nóng)村信用信息系統(tǒng)重要頁面（購卡、充值、付款）操作進(jìn)行審計。審計記錄內(nèi)容應(yīng)至少包括事件日期、時間、發(fā)起者信息、類型、描述和結(jié)果等。審計記錄內(nèi)容中不應(yīng)包含應(yīng)用系統(tǒng)非必需的用戶身份信息（如：身份證號碼）及交易信息（如：充值卡卡密、信用卡信息）。審計記錄內(nèi)容中不應(yīng)包含應(yīng)用系統(tǒng)非必需的交易信息（如：充值卡卡密、信用卡信息）。審計管理應(yīng)提供對審計記錄數(shù)據(jù)進(jìn)行統(tǒng)計、查詢、分析及生成審計報表的功能。應(yīng)保護(hù)審計進(jìn)程，避免受到未預(yù)期的中斷。應(yīng)保證無法刪除、修改或覆蓋審計記錄。應(yīng)采用技術(shù)手段（如：定期運(yùn)行文件完整性監(jiān)控軟件），能夠發(fā)現(xiàn)應(yīng)用系統(tǒng)關(guān)鍵數(shù)據(jù)或文件被非授權(quán)更改并通知相關(guān)人員，應(yīng)至少每周對關(guān)鍵文件進(jìn)行比較。剩余信息保護(hù)應(yīng)采用技術(shù)手段保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到徹底清除，無論這些信息是存放在硬盤上還是在內(nèi)存中。應(yīng)采用技術(shù)手段保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到徹底清除。通信完整性應(yīng)采用約定通信會話方式的方法保證通信過程中數(shù)據(jù)的完整性。通信保密性在通信雙方建立連接之前，農(nóng)村信用信息系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會話初始化驗(yàn)證。應(yīng)對通信過程中的敏感信息字段（如：個人信息等）進(jìn)行加密?？沟仲囖r(nóng)村信用信息系統(tǒng)應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能。資源控制系統(tǒng)應(yīng)提供訪問控制功能控制用戶組/用戶對系統(tǒng)功能和用戶數(shù)據(jù)的訪問。系統(tǒng)應(yīng)配置訪問控制策略，并嚴(yán)格限制默認(rèn)用戶的訪問權(quán)限。訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的用戶、信息及它們之間的操作。應(yīng)能夠?qū)蝹€用戶賬戶的多重并發(fā)會話進(jìn)行限制。應(yīng)能夠?qū)σ粋€時間段內(nèi)可能的并發(fā)會話連接數(shù)進(jìn)行限制。當(dāng)用戶無效登錄次數(shù)超過閾值（如：5次），應(yīng)對賬戶進(jìn)行鎖定，且鎖定時間應(yīng)當(dāng)足以阻撓暴力的憑據(jù)猜測（如：30?min）。應(yīng)能夠?qū)σ粋€訪問賬戶或一個請求進(jìn)程占用的資源分配最大限額和最小限額。應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報警。應(yīng)用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未做任何響應(yīng)，另一方應(yīng)能夠自動結(jié)束會話。代碼安全代碼開辟通用規(guī)則系統(tǒng)應(yīng)確保開辟環(huán)境與生產(chǎn)運(yùn)行環(huán)境間具備隔離措施。系統(tǒng)應(yīng)對來自客戶端的重要數(shù)據(jù)（如：用戶信息）進(jìn)行認(rèn)證，包括那些不容易被客戶修改的值（如cookies，隱藏域）。系統(tǒng)程序的邏輯處理與驗(yàn)證不應(yīng)依賴訪問請求到達(dá)的順序，防止攻擊者隨意控制訪問請求到達(dá)的順序來適合自己的需要（如：程序通過不同頁面來搜集信息，且在較早的表單里驗(yàn)證了信息，而在修改信息的表單則沒有進(jìn)行驗(yàn)證，則末攻擊者就可以利用后者來繞過輸入驗(yàn)證）。輸入驗(yàn)證系統(tǒng)應(yīng)對所有數(shù)據(jù)來源的可信度進(jìn)行分類（如：可信/非可信），要求在程序中定義清晰的可信邊界，代碼中用于保存可信數(shù)據(jù)（如：服務(wù)器端數(shù)據(jù)）的數(shù)據(jù)結(jié)構(gòu)，不能被用來存儲不可信（如：客戶端、網(wǎng)絡(luò)端）。系統(tǒng)應(yīng)對所有屬于非可信類別數(shù)據(jù)源進(jìn)行驗(yàn)證（如：用戶輸入、客戶端文件流等），不能通過驗(yàn)證的數(shù)據(jù)將會被拒絕或丟棄，以確保在輸入驗(yàn)證之前，輸入的數(shù)據(jù)不能進(jìn)入程序代碼中被執(zhí)行。系統(tǒng)應(yīng)維護(hù)一個可信的邊界，不可信數(shù)據(jù)應(yīng)單獨(dú)存放在專門存放不可信數(shù)據(jù)的數(shù)據(jù)結(jié)構(gòu)內(nèi)，在經(jīng)過驗(yàn)證之后才被放在可信區(qū)域。系統(tǒng)收到無法處理的或錯誤的輸入應(yīng)進(jìn)行統(tǒng)一的失敗控制，默認(rèn)策略應(yīng)對輸入進(jìn)行拒絕或丟棄。系統(tǒng)應(yīng)拒絕所有驗(yàn)證失敗的輸入行為，不應(yīng)試圖修復(fù)一個未能通過輸入驗(yàn)證的數(shù)據(jù)請求，應(yīng)直接拒絕掉該請求。系統(tǒng)應(yīng)對所有由客戶端提交的數(shù)據(jù)在處理前進(jìn)行檢查，包括所有的參數(shù)、URL、HTTP頭內(nèi)容（如：Cookie，Get，Post，Referr）、JavaScript、Flash、或其他的嵌入代碼。系統(tǒng)應(yīng)對來源于網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行校驗(yàn)，保證數(shù)據(jù)包的大小和內(nèi)容都是與預(yù)期要求相符的，這些威脅體現(xiàn)在網(wǎng)絡(luò)通信的一切行為中（如：從DNS返回的信息可能被假冒，數(shù)據(jù)包中非負(fù)荷數(shù)據(jù)也可能被偽造，攻擊者可以專門構(gòu)造數(shù)據(jù)包用于進(jìn)行某些攻擊等等）。系統(tǒng)應(yīng)確保請求和響應(yīng)頭中的值僅包含ASCII字符。系統(tǒng)應(yīng)避免通過用戶控制的參數(shù)來重定向或包含此外一個網(wǎng)站的內(nèi)容。系統(tǒng)應(yīng)驗(yàn)證輸入數(shù)據(jù)類型是否合規(guī)。系統(tǒng)應(yīng)驗(yàn)證輸入數(shù)組范圍是否合規(guī)。系統(tǒng)應(yīng)驗(yàn)證整數(shù)輸入的邊界值是否合規(guī)。系統(tǒng)應(yīng)驗(yàn)證輸入數(shù)據(jù)長度是否合規(guī)，驗(yàn)證時，應(yīng)該檢查輸入的最小和最大長度。系統(tǒng)中應(yīng)對輸入中的危險字符進(jìn)行過濾，常見的危險字符包括：‘|’（豎線符號）；‘&’（&符號）；‘;’（分號）；‘$’（美元符號）；‘%’（百分比符號）；‘@’（at符號）；‘'’（單引號）；‘"’（引號）；‘\'’（反斜杠轉(zhuǎn)義單引號）；‘\"’（反斜杠轉(zhuǎn)義引號）；‘<>’（尖括號、‘（）’（括號）；‘+’（加號）；‘CR’（回車符，ASCII0x0d）；‘LF’（換行，ASCII0x0a）；‘,’（逗號）；‘\’（反斜杠）。農(nóng)村信用信息系統(tǒng)中應(yīng)對變種輸入進(jìn)行過濾，常見的變種輸入包括：空字節(jié)（%00）；換行符（%0d,%0a,\r,\n）；反斜線和點(diǎn)（../或..\以及%c0%ae%c0%ae/）。輸出驗(yàn)證總體要求農(nóng)村信用信息系統(tǒng)中對來源于外部的數(shù)據(jù)（包括用戶輸入、文件、網(wǎng)絡(luò)、數(shù)據(jù)庫等）輸出時，應(yīng)對輸出信息進(jìn)行轉(zhuǎn)義，過濾其中的元字符，從而阻撓輸出的數(shù)據(jù)中夾帶的惡意代碼（例如XSS攻擊）對終端用戶的威脅。認(rèn)證及密碼管理系統(tǒng)應(yīng)對所有網(wǎng)頁和資源的訪問進(jìn)行身份認(rèn)證，除了設(shè)定為對公眾開放的資源（如：網(wǎng)廳首頁）。系統(tǒng)的所有身份認(rèn)證過程應(yīng)在可信系統(tǒng)上進(jìn)行（如：服務(wù)器端），防止攻擊者繞過請求頁面和瀏覽器，直接與應(yīng)用服務(wù)器進(jìn)行通信（如：不應(yīng)使用JavaScript的驗(yàn)證邏輯，JavaScript可以匡助合法的用戶對不正常的輸入信息進(jìn)行檢測，但是不能確保服務(wù)器接收到數(shù)據(jù)的安全性）。系統(tǒng)應(yīng)拒絕所有認(rèn)證失敗的訪問并提示錯誤。系統(tǒng)應(yīng)采用足夠強(qiáng)度添加隨機(jī)值的單向哈希算法來保證密鑰和憑據(jù)的存儲（應(yīng)盡量避免使用MD5算法），同時，應(yīng)只能通過農(nóng)村信用信息系統(tǒng)能夠?qū)Υ鎯γ艽a的表或文件進(jìn)行寫操作。系統(tǒng)的所有密鑰和憑據(jù)哈希過程應(yīng)當(dāng)在可信系統(tǒng)上進(jìn)行（如：服務(wù)器端）。系統(tǒng)的身份認(rèn)證過程，應(yīng)僅在完成所有的認(rèn)證信息（如：密鑰和憑據(jù)）輸入后才開始。系統(tǒng)應(yīng)采用統(tǒng)一的口令策略，包括：用戶應(yīng)自己設(shè)置口令；如果系統(tǒng)必須頒發(fā)初始口令，應(yīng)該避免使用統(tǒng)一的用戶初始口令，應(yīng)強(qiáng)制要求用戶在初次登錄系統(tǒng)時修改初始口令；口令必須包含至6個字符；口令至少包含2個特征組：小寫字母，數(shù)字，大寫字母以及特殊符號（服務(wù)密碼除外）；用戶不應(yīng)使用浮現(xiàn)在常見列表中的口令；用戶不應(yīng)使用與其用戶名類似的口令；農(nóng)村信用信息系統(tǒng)認(rèn)證失敗的提示內(nèi)容不應(yīng)該指明具體錯誤的部分（如：登錄信息錯誤時都提示“無效的用戶名和/或密碼”而不是“無效的用戶名”或“密碼無效”）。應(yīng)使用安全的方法存儲口令，包括：不應(yīng)明文存儲口令；口令在存儲前應(yīng)通過安全的單向hash函數(shù)轉(zhuǎn)化為不可還原的形式；不應(yīng)在通信內(nèi)容中包含口令；不應(yīng)在錯誤信息中包含口令。系統(tǒng)對與涉及敏感信息或功能的外部系統(tǒng)（如：BSS）連接進(jìn)行二次認(rèn)證（如：手機(jī)短信動態(tài)口令驗(yàn)證）。系統(tǒng)應(yīng)通過郵箱、短信形式發(fā)送暫時驗(yàn)證碼，進(jìn)行口令找回，設(shè)置新密碼。系統(tǒng)應(yīng)只使用HTTPPOST請求發(fā)送身份驗(yàn)證憑據(jù)。系統(tǒng)應(yīng)采用加密連接或數(shù)據(jù)加密發(fā)送認(rèn)證信息（如：密鑰和憑據(jù)）。系統(tǒng)各個身份驗(yàn)證頁面，應(yīng)使用相同位數(shù)的同一特殊字符（如：*和#）代替以明文方式顯示密碼（如：服務(wù)密碼）。農(nóng)村信用信息系統(tǒng)賬戶注冊過程應(yīng)驗(yàn)證其憑據(jù)找回渠道的有效性和真實(shí)性（如：郵箱、手機(jī)號必須真實(shí)且為賬戶注冊人持有）。系統(tǒng)賬戶密碼的更改及重新設(shè)定，應(yīng)具備二次認(rèn)證機(jī)制。其安全控制措施不應(yīng)少于賬戶的注冊及認(rèn)證。應(yīng)使用其它方式確認(rèn)并通知用戶信息的修改，包括：應(yīng)在用戶改變其帳號信息時（如修改口令或重置口令），對當(dāng)前用戶口令進(jìn)行校驗(yàn)；應(yīng)要求用戶通過email等方式來確認(rèn)其改變的行為；不應(yīng)在確認(rèn)郵件中包含認(rèn)證信息；當(dāng)用戶改變其聯(lián)系信息時，應(yīng)將改變通知同時發(fā)送給舊的email地址和新的email地址。系統(tǒng)應(yīng)執(zhí)行口令重置策略，包括：口令重置應(yīng)是一個自動過程，在正常操作流程下，不應(yīng)有人為的干涉；用戶應(yīng)在其第一次創(chuàng)建口令的時候建立一個安全問題以及對應(yīng)的答案；如果用戶的身份不能通過用戶名、安全問題以及答案來確定，用戶應(yīng)提供其身份的證明。系統(tǒng)賬戶密碼的更改及重新設(shè)定操作如果使用基于短信或電子郵件的復(fù)位，應(yīng)只發(fā)送含有一個暫時的驗(yàn)證碼的短信或電子郵件至預(yù)先登記的郵件地址。系統(tǒng)賬戶的暫時驗(yàn)證碼，應(yīng)設(shè)置一個短的過期時限（如：5?min）。當(dāng)用戶賬戶發(fā)生密碼重置或修改行為，應(yīng)及時通知用戶（如：短信或郵件）。系統(tǒng)應(yīng)禁用“自動登錄”或“記住密碼”等功能。系統(tǒng)應(yīng)將用戶預(yù)留信息（防釣魚），在用戶登錄成功后進(jìn)行提示。系統(tǒng)應(yīng)將用戶最后一次登錄賬戶的結(jié)果（如：成功或不成功），在用戶下一次登錄成功后進(jìn)行提示。系統(tǒng)應(yīng)對開辟過程中內(nèi)置默認(rèn)賬戶或密碼的通信采用加密機(jī)制。會話管理系統(tǒng)應(yīng)使用會話管理控制程序，系統(tǒng)應(yīng)只響應(yīng)被控制程序標(biāo)識為有效的會話。創(chuàng)建會話標(biāo)識符的過程應(yīng)始終在可信任的系統(tǒng)上進(jìn)行（如：服務(wù)器端）。會話標(biāo)識應(yīng)足夠隨機(jī)，防止攻擊者猜測標(biāo)識或依據(jù)當(dāng)前標(biāo)識推導(dǎo)后續(xù)的標(biāo)識，應(yīng)使用一種生成代價小并滿足安全需求的隨機(jī)數(shù)生成方法來生成應(yīng)用程序需要的隨機(jī)數(shù)，目前有如下三類生成方案：不安全的隨機(jī)數(shù)生成器，這是一種非密碼學(xué)的偽隨機(jī)數(shù)生成器，攻擊者可以知道生成器能夠輸出的數(shù)值；密碼學(xué)的偽隨機(jī)數(shù)生成器，這是一種使用一個單一的安全種子來產(chǎn)生許多不可猜測的隨機(jī)數(shù)的方法，該方案在多數(shù)情況下是安全的，最重要的是其使用的安全種子；信息熵采集器，該方案在一些時候是“真正的”隨機(jī)數(shù)生成器，其主要工作是采集來自其它源以及自身的信息熵。但是其產(chǎn)生數(shù)據(jù)的速度過慢。根據(jù)以上方案具體要求如下：不應(yīng)使用不安全的隨機(jī)數(shù)生成器；應(yīng)使用信息熵作為密碼學(xué)偽隨機(jī)數(shù)生成器的種子，但在生成長期的密鑰的情況下，不使用這種方法；若需要相同的數(shù)據(jù)流，就不能修改生成器的種子，因?yàn)樵谑褂霉潭ǖ姆N子時密碼學(xué)偽隨機(jī)數(shù)生成的輸出流也是固定的；使用能夠獲取好的隨機(jī)數(shù)的方案。不應(yīng)使用熵很低或容易被猜到的種子，例如時間、日期或空種子；在Java中，使用SecureRandom類，不要使用Random類，SecureRandom類的默認(rèn)構(gòu)造方法可以正確選種，Java會自動獲取一個信息熵比較平均的值；最好使用硬件的隨機(jī)數(shù)生成器，要求其在沒有采集到足夠的真實(shí)隨機(jī)序列來生成種子時，就會中斷。如果使用的是不會中斷的，要求在使用之前仔細(xì)測試是否有足夠的種子；使用操作系統(tǒng)或其使用的加密庫的一個真正的隨機(jī)源；在Unix平臺上，從/dev/urandom讀取16字節(jié)可以給出相當(dāng)高質(zhì)量的隨機(jī)序列；在Linux中，/dev/urandom是不中斷的，并且總會返回請求的字節(jié)數(shù)，但/dev/random在沒有足夠的真實(shí)隨機(jī)序列時則會中斷。用戶登錄后必須分配新的會話標(biāo)識，不能繼續(xù)使用用戶未登錄前所使用的標(biāo)識。用戶退出登錄后應(yīng)徹底終止相關(guān)的會話或連接。所有被身份認(rèn)證機(jī)制保護(hù)頁面都應(yīng)提供賬戶退出功能。農(nóng)村信用信息系統(tǒng)會話ID長度不應(yīng)低于64位，建議使用128位長度的會話ID。在確定會話ID的長度以及生成ID的隨機(jī)種子之前，不應(yīng)相信web程序的容器，因?yàn)闀扞D太短很容易被暴力猜解，如果攻擊者能猜到授權(quán)用戶的會話ID就可以接管用戶的會話。農(nóng)村信用信息系統(tǒng)應(yīng)禁止相同的用戶ID同時登錄。不應(yīng)在url中顯示會話標(biāo)識符、錯誤信息或日志，會話標(biāo)識符應(yīng)只包含于HTTPokie頭中（如：不應(yīng)通過GET參數(shù)傳遞會話標(biāo)識符）。農(nóng)村信用信息系統(tǒng)應(yīng)采用實(shí)施適當(dāng)?shù)脑L問控制措施，防止服務(wù)器上的其他用戶未經(jīng)授權(quán)訪問服務(wù)器端的會話數(shù)據(jù)。農(nóng)村信用信息系統(tǒng)應(yīng)規(guī)定一個會話最大空暇時間，具體要求如下：應(yīng)強(qiáng)制執(zhí)行一個會話最大空暇時間，建議將超時時間設(shè)置為小于30?min以縮短那些未能及時注銷的用戶暴露在外的時間，減少可供攻擊者猜解的會話ID平均數(shù)目；應(yīng)將應(yīng)用程序框架將會話最大空暇時間設(shè)置為可配置的參數(shù)，并提示相關(guān)人員如何進(jìn)行正確的設(shè)置。農(nóng)村信用信息系統(tǒng)應(yīng)允許用戶主動注銷或結(jié)束當(dāng)前會話。訪問控制系統(tǒng)應(yīng)限制未授權(quán)的用戶訪問受保護(hù)的URL（如：系統(tǒng)管理界面）。系統(tǒng)應(yīng)限制未授權(quán)的用戶訪問受保護(hù)的功能（如：系統(tǒng)管理功能）。系統(tǒng)應(yīng)限制未授權(quán)的用戶引用受保護(hù)的對象（如：系統(tǒng)內(nèi)部接口）。系統(tǒng)應(yīng)限制未授權(quán)的用戶引用受保護(hù)的接入服務(wù)。系統(tǒng)應(yīng)限制未授權(quán)的用戶引用受保護(hù)的應(yīng)用數(shù)據(jù)。系統(tǒng)應(yīng)限制對用于訪問控制的相關(guān)數(shù)據(jù)和策略的訪問和操作。系統(tǒng)應(yīng)限制未授權(quán)的用戶訪問安全相關(guān)的配置信息。"referer"頭應(yīng)只作為輔助檢查手段，不應(yīng)作為唯一授權(quán)檢查手段。系統(tǒng)應(yīng)定期重新驗(yàn)證用戶的授權(quán)，以確保其權(quán)限沒有改變，對于所有的權(quán)限變更行為，應(yīng)注銷登錄，并迫使用戶重新進(jìn)行認(rèn)證。系統(tǒng)應(yīng)支持當(dāng)授權(quán)終止時自動鎖定賬戶及終止當(dāng)前會話（如：角色變更、權(quán)限變更、策略變更、業(yè)務(wù)流程變更等）。系統(tǒng)應(yīng)對文件系統(tǒng)進(jìn)行訪問控制，具體要求如下：文件只能被指定的用戶訪問，并且該用戶的權(quán)限被限制為最小權(quán)限；當(dāng)應(yīng)用程序使用被其控制的已存在文件時，必須首先驗(yàn)證是否存在防止文件被篡改的許可權(quán)限，并且不能將許可權(quán)限的管理交給系統(tǒng)管理員一個人處理；為了安全地使用暫時文件，要求在程序初始化時創(chuàng)建一個只能被該程序讀寫的文件夾，不能將該文件夾放在用戶可訪問到的地方，并將所有的暫時文件都放在其中，這樣就可以防止攻擊者猜測被使用的暫時文件的名字，提前創(chuàng)建該文件來進(jìn)行內(nèi)容控制或拒絕服務(wù)攻擊。系統(tǒng)應(yīng)建立文件訪問競爭條件，具體要求如下：確保在程序?qū)δ澄募M(jìn)行一系列操作之后，不應(yīng)能被替換或修改，在C語言中，避免使用操作文件名的函數(shù)，應(yīng)該首先打開該文件獲得文件句柄，然后通過使用操作文件句柄的函數(shù)來進(jìn)行操作，因?yàn)椴荒軌虮ＷC在函數(shù)調(diào)用域之外的空間上，它指向的仍是硬盤上同一文件；當(dāng)用戶可以訪問本地文件時，不應(yīng)使用Java來實(shí)現(xiàn)具有特定權(quán)限的程序。系統(tǒng)應(yīng)使用驗(yàn)證碼以防止惡意登錄、破解嘗試行為，驗(yàn)證碼的抗識別強(qiáng)度應(yīng)按照如下要求：應(yīng)采用大小寫字母、數(shù)字組合，去掉歧義字符，0和o、l和1、z和2、q和9；應(yīng)采用符號扭曲、粘連算法；應(yīng)采用字體間距不規(guī)則分布；應(yīng)加入一條干擾斜線，覆蓋所有字符；背景色彩應(yīng)使用與網(wǎng)站整體風(fēng)格一致的顏色；后臺驗(yàn)證碼生成算法應(yīng)定期更新（建議每3月更新一次）；驗(yàn)證碼超時時限應(yīng)小于等于5?min。數(shù)據(jù)加密系統(tǒng)中所有涉及敏感信息（如：卡密、詳單、個人信息）的加密過程應(yīng)始終在可信任的系統(tǒng)上進(jìn)行（如：服務(wù)器端）。系統(tǒng)應(yīng)建立和執(zhí)行加密憑據(jù)管理流程。系統(tǒng)應(yīng)減小無用隱私信息的存活時間，保存隱私信息的時間應(yīng)盡量的短（如：在認(rèn)證后，不允許保留用戶口令，包括在內(nèi)存里），要求高安全級別的系統(tǒng)鎖定內(nèi)存分頁，防止操作系統(tǒng)將這些數(shù)據(jù)緩存到磁盤的交換文件中。系統(tǒng)應(yīng)盡量少地共享私密信息，不允許在客戶端長期保存私密信息，在選擇了數(shù)據(jù)發(fā)送到客戶端的時候，要假設(shè)任何通過客戶端共享的數(shù)據(jù)都是不安全的。錯誤處理系統(tǒng)不應(yīng)在錯誤響應(yīng)中攜帶敏感信息，包括系統(tǒng)的詳細(xì)信息、會話標(biāo)識符及賬戶信息。系統(tǒng)應(yīng)使用不顯示調(diào)試或堆棧跟蹤信息的錯誤處理程序。系統(tǒng)應(yīng)采用通用的錯誤提示信息，并為HTTP錯誤建立一個默認(rèn)的錯誤頁面，丟棄掉所有的異常，防止攻擊者從應(yīng)用程序的默認(rèn)出錯頁面中得到系統(tǒng)信息。系統(tǒng)應(yīng)構(gòu)造錯誤提示信息來防止諸如用戶id、網(wǎng)絡(luò)、應(yīng)用程序以及服務(wù)器環(huán)境的細(xì)節(jié)等重要的敏感信息的泄漏。包括：不應(yīng)采用Web容器自身的錯誤信息頁面；在返回的錯誤信息中不應(yīng)包含主機(jī)信息、網(wǎng)絡(luò)信息、DNS信息、軟件版本信息、錯誤代碼或其它發(fā)生的錯誤的詳細(xì)信息；不應(yīng)把錯誤的細(xì)節(jié)放在錯誤頁面的注釋里；農(nóng)村信用信息系統(tǒng)自身應(yīng)具備處理應(yīng)用程序錯誤的能力，不應(yīng)依賴于服務(wù)器的配置處理異常和錯誤；農(nóng)村信用信息系統(tǒng)應(yīng)當(dāng)錯誤情況發(fā)生時正確釋放已分配的內(nèi)存空間；錯誤處理流程應(yīng)與訪問控制策略結(jié)合，錯誤處理默認(rèn)策略應(yīng)當(dāng)拒絕默認(rèn)訪問。日志記錄錯誤處理日志記錄過程應(yīng)始終在可信任的系統(tǒng)上進(jìn)行（如：服務(wù)器端），并嚴(yán)格限制對日志記錄的訪問控制。日志記錄應(yīng)同時支持對指定事件（登錄、金融業(yè)務(wù)辦理、信用報告查詢、信用報告生成等）結(jié)果的成功和失敗進(jìn)行記錄。系統(tǒng)應(yīng)確保日志條目中如果存在非信任數(shù)據(jù)（如：記錄用戶輸入的內(nèi)容）不能作為代碼被執(zhí)行。系統(tǒng)應(yīng)限制唯獨(dú)授權(quán)用戶具有訪問日志的權(quán)限。系統(tǒng)日志記錄內(nèi)容中不應(yīng)包含應(yīng)用系統(tǒng)非必需的敏感信息（如：身份證號碼、手機(jī)號碼等信息）。系統(tǒng)應(yīng)在日志中使用時間戳，因?yàn)槿罩局匦聞?chuàng)建了一個已發(fā)生事件的隊(duì)列，在多線程或分布式系統(tǒng)，時間戳可以清晰地反映出事件發(fā)生的時間隊(duì)列。系統(tǒng)應(yīng)使用一個集中化的日志記錄模塊，避免使用System.out.println和System.err.println等異構(gòu)日志。系統(tǒng)應(yīng)具備便于進(jìn)行日志審計的輸出格式，包括：應(yīng)具備審計（日志）功能，并覆蓋到每一個用戶，對重要安全事件（系統(tǒng)管理、用戶管理、授權(quán)管理、重要業(yè)務(wù)操作等）有詳細(xì)記錄；審計（日志）的字段要完整；審計（日志）數(shù)據(jù)可讀性強(qiáng)；審計（日志）數(shù)據(jù)的訪問控制要合理，避免未授權(quán)訪問；應(yīng)合理劃分業(yè)務(wù)系統(tǒng)管理權(quán)限、審計管理權(quán)限、普通業(yè)務(wù)操作權(quán)限用戶權(quán)限。系統(tǒng)應(yīng)創(chuàng)建清晰的日志等級，包括：應(yīng)確保日志等級明確、不重疊，并且在整個系統(tǒng)中只存在一個日志級別；應(yīng)在定義或選擇了一個日志級別時，保證系統(tǒng)會使用規(guī)定的日志級別，當(dāng)系統(tǒng)正在進(jìn)行不同類別的操作時，確保日志等級在特殊場景下可以正確響應(yīng)；日志狀態(tài)應(yīng)分組存儲到清晰定義的日志等級中，這樣有助于理解日志的含義，確保一個統(tǒng)一的系統(tǒng)映像被反映到日志中。系統(tǒng)應(yīng)建立記錄日志的原則，包括：保證一致的日志記錄，其有助于確保查詢結(jié)果的正確性；保證每一種日志級別都能被使用且能避免被錯誤地使用（如：DEBUG級日志不能浮現(xiàn)在系統(tǒng)中）。系統(tǒng)應(yīng)對所有登錄失敗嘗試行為記錄日志。系統(tǒng)應(yīng)對所有訪問控制失敗事件記錄日志。系統(tǒng)應(yīng)記錄所有明顯的篡改事件，包括標(biāo)記狀態(tài)的參數(shù)意外變化。系統(tǒng)應(yīng)對嘗試使用無效或過期的會話令牌的行為記錄日志。系統(tǒng)應(yīng)對所有應(yīng)用程序拋出的異常進(jìn)行日志記錄。系統(tǒng)應(yīng)對所有系統(tǒng)管理功能、安全功能的變更記錄日志。系統(tǒng)應(yīng)對加密模塊異?；蚴∮涗浫罩?。系統(tǒng)應(yīng)采用加密哈希函數(shù)來驗(yàn)證日志條目的完整性。數(shù)據(jù)保護(hù)系統(tǒng)應(yīng)在業(yè)務(wù)流程完成后及時清除包含敏感數(shù)據(jù)的暫時文件或緩存數(shù)據(jù)。系統(tǒng)不應(yīng)將密碼、連接字符串及敏感信息以明文或其他非安全加密的方式（嵌入MSSQL視圖，AdobeFlash或編譯的代碼）在客戶端存儲。系統(tǒng)應(yīng)將用戶可訪問的代碼（前端頁面）中可能揭示后端系統(tǒng)或敏感信息的注釋刪除。系統(tǒng)不應(yīng)在HTTPGET請求參數(shù)中包含未加密的敏感信息（如：卡密、詳單、個人信息）。系統(tǒng)應(yīng)禁用任何形式的表單填寫自動完成功能。系統(tǒng)應(yīng)對包含敏感信息的頁面禁用客戶端緩存，可結(jié)合在HTTP標(biāo)頭的"Pragma:no-cache"參數(shù)進(jìn)行控制。系統(tǒng)應(yīng)對服務(wù)器上存儲的敏感數(shù)據(jù)、緩存和暫時文件實(shí)施恰當(dāng)?shù)脑L問控制措施，只能由授權(quán)用戶進(jìn)行訪問。系統(tǒng)應(yīng)避免用戶隱私信息的暴露，包括：應(yīng)在隱私數(shù)據(jù)浮現(xiàn)以前將其清除。確保當(dāng)安全和隱私?jīng)_突時，隱私的優(yōu)先級高于安全的優(yōu)先級；應(yīng)根據(jù)最小權(quán)限原則，將訪問隱私數(shù)據(jù)的權(quán)限被限制在盡可能小的用戶組中；不應(yīng)在非必要的情況下傳播隱私數(shù)據(jù)。應(yīng)在用戶間建立強(qiáng)的邊界，包括：應(yīng)防止會話中的成員變量泄漏到其它會話或?qū)ο笾校ㄈ纾篠ervlet以及共享池的對象）；不應(yīng)依靠“秘密”值來保護(hù)會話信息（如：一個只為單一用戶提供的隱藏的URL）；設(shè)計系統(tǒng)時不應(yīng)泄漏私有數(shù)據(jù)，包括在出現(xiàn)異常行為的情況下。數(shù)據(jù)庫交互系統(tǒng)應(yīng)使用強(qiáng)類型的參數(shù)化查詢，包括：開辟者在構(gòu)造SQL請求時，應(yīng)明確區(qū)分?jǐn)?shù)據(jù)部分和命令部分；要正確的使用參數(shù)化的SQL語句，不允許數(shù)據(jù)指向改變的方法；在要求用戶輸入影響SQL語句結(jié)構(gòu)的情況下，增加一個動態(tài)約束（如：where子句），不能把用戶的輸入作為請求語句的一部分。農(nóng)村信用信息系統(tǒng)應(yīng)確保變量是強(qiáng)類型的。使用行級別的訪問控制：應(yīng)通過行級別的訪問控制來防止用戶信息泄露，限制SQL請求只向當(dāng)前認(rèn)證過的用戶返回結(jié)果；應(yīng)對數(shù)據(jù)庫語句自身進(jìn)行訪問控制，這樣攻擊者就很難越過這個限制；連接數(shù)據(jù)庫所用的帳號授權(quán)遵循最小權(quán)限原則，避免使用數(shù)據(jù)庫默認(rèn)的管理員帳號、高權(quán)限帳號。系統(tǒng)的應(yīng)用程序訪問數(shù)據(jù)庫時，應(yīng)使用盡可能低的權(quán)限。系統(tǒng)應(yīng)用程序不應(yīng)相信來自數(shù)據(jù)庫中的數(shù)據(jù)，包括：驗(yàn)證來自數(shù)據(jù)庫的數(shù)據(jù)，要對來自數(shù)據(jù)庫的數(shù)據(jù)進(jìn)行驗(yàn)證，確保其格式正確且能夠安全地使用，不能盲目地信賴數(shù)據(jù)庫；要求返回的單值數(shù)據(jù)在一行浮現(xiàn)，如果存在多行很可能被攻擊者插入了注入語句，而數(shù)據(jù)庫的單值約束很可能不起作用；使用安全可信的內(nèi)容，要使用安全可信的內(nèi)容，不能使用具有惡意的信息（如常用系統(tǒng)或?yàn)g覽器的關(guān)鍵字），如果浮現(xiàn)了這樣的字符，就說明攻擊者很可能已經(jīng)成功地越過了輸入驗(yàn)證，正在試圖發(fā)動注入或跨站腳本攻擊。系統(tǒng)應(yīng)采用數(shù)字證書對數(shù)據(jù)庫的訪問進(jìn)行認(rèn)證。系統(tǒng)連接字符串不應(yīng)在應(yīng)用程序中進(jìn)行硬編碼，應(yīng)加密儲存在服務(wù)器端單獨(dú)的配置文件中。系統(tǒng)應(yīng)在對數(shù)據(jù)庫的訪問結(jié)束后即將關(guān)閉連接。系統(tǒng)應(yīng)建立一個資源管理模塊并且徹底按照規(guī)則對資源進(jìn)行操作，不能依賴Java和.NET的垃圾回收器來回收資源，垃圾回收器在進(jìn)行回收之前還要檢測對象是否適合進(jìn)行垃圾回收，除非虛擬機(jī)的內(nèi)存已經(jīng)很低，才會進(jìn)行垃圾回收，這樣無法保證即將被回收的對象是處于正常的狀態(tài)。文件管理系統(tǒng)不應(yīng)直接將由用戶提供的未經(jīng)過校驗(yàn)的數(shù)據(jù)傳遞給包含動態(tài)功能的函數(shù)或程序。系統(tǒng)所有文件上傳行為應(yīng)進(jìn)行身份認(rèn)證。系統(tǒng)應(yīng)嚴(yán)格限制文件上傳的類型。系統(tǒng)應(yīng)通過文件頭來判斷上傳文件類型，不應(yīng)通過文件擴(kuò)展名來判斷上傳文件類型。系統(tǒng)不應(yīng)相信文件名或文件內(nèi)容：應(yīng)對來自文件系統(tǒng)的所有值都進(jìn)行合適的輸入驗(yàn)證，因?yàn)槲募拇笮『兔趾茈y保證是未經(jīng)篡改的；在C/C++中，開辟者時常會錯誤地認(rèn)為Windows系統(tǒng)的變量MAX_PATH以及Unix/Linux系統(tǒng)的變量PATH_MAX可以限制在文件系統(tǒng)中路徑名的最大長度，而這些變量的實(shí)際作用是限制傳遞給某些操作的最大路徑，而在系統(tǒng)中是可以存在更大長度的路徑名。在C/C++中，時常會浮現(xiàn)過長的文件名導(dǎo)致的緩沖區(qū)溢出，除去這種過長的路徑名的風(fēng)險，根據(jù)操作系統(tǒng)的不同，某些操作系統(tǒng)中正常的文件名還可能包含在其它系統(tǒng)中作為關(guān)鍵字的字符。系統(tǒng)應(yīng)取消文件上傳目錄的執(zhí)行權(quán)限。系統(tǒng)不應(yīng)將絕對路徑傳遞給客戶端。系統(tǒng)應(yīng)確保應(yīng)用程序文件和資源為只讀權(quán)限。系統(tǒng)應(yīng)對掃描用戶上傳文件進(jìn)行惡意代碼掃描。內(nèi)存管理系統(tǒng)應(yīng)對緩沖區(qū)大小與其聲稱值一致性進(jìn)行二次核對。系統(tǒng)在編寫函數(shù)時應(yīng)采取一定措施避免緩沖區(qū)溢出，包括：要求代碼傳遞緩沖區(qū)的長度；探測內(nèi)存；應(yīng)進(jìn)行嚴(yán)格的緩沖區(qū)邊界檢查；應(yīng)將所有傳遞給復(fù)制和串聯(lián)類函數(shù)的參數(shù)截斷到指定長度后再進(jìn)行傳遞；資源釋放不應(yīng)依賴于垃圾回收機(jī)制（如：連接對象，文件處理等）；應(yīng)避免使用已知的危（wei）險函數(shù)（如：printf，strcat，strcpy等）。代碼測試總體要求系統(tǒng)應(yīng)建立檢測程序，對系統(tǒng)代碼進(jìn)行安全性測試驗(yàn)收。系統(tǒng)應(yīng)提供與生產(chǎn)環(huán)境一致的測試環(huán)境進(jìn)行代碼安全性測試。系統(tǒng)在測試驗(yàn)收前應(yīng)根據(jù)設(shè)計方案或合同要求等制訂測試驗(yàn)收方案，在測試驗(yàn)收過程中應(yīng)詳細(xì)記錄測試驗(yàn)收結(jié)果，并形成測試驗(yàn)收報告。系統(tǒng)應(yīng)對系統(tǒng)代碼進(jìn)行獨(dú)立的安全性測試驗(yàn)收，包括審查系統(tǒng)使用端口通信情況是否符合系統(tǒng)說明、使用網(wǎng)絡(luò)偵聽工具審查通訊數(shù)據(jù)包是否符合系統(tǒng)說明和使用惡意代碼軟件檢測軟件包中可能存在的惡意代碼等。審核系統(tǒng)上線前或升級后，應(yīng)進(jìn)行對農(nóng)村信用信息系統(tǒng)進(jìn)行代碼審核，形成報告，并對審核出的問題進(jìn)行代碼升級完善。系統(tǒng)應(yīng)對系統(tǒng)代碼進(jìn)行緩沖區(qū)溢出的代碼審計，審計內(nèi)容主要包括：基于外部輸入的數(shù)據(jù)控制程序自身的行為；代碼基于的函數(shù)的輸入，其長度不是確定的值；代碼過于復(fù)雜以致無法預(yù)測它的行為。系統(tǒng)應(yīng)對系統(tǒng)代碼進(jìn)行整數(shù)溢出的代碼審計，審計內(nèi)容主要包括：對有符號整數(shù)，無符號整數(shù)或是指針等類型的變量做運(yùn)算時，返回的結(jié)果數(shù)過大或過小超出了變量類型所能表示的最大或最小范圍導(dǎo)致的整數(shù)溢出；處理用戶輸入為不定長度的結(jié)構(gòu)體。系統(tǒng)應(yīng)對系統(tǒng)代碼進(jìn)行跨站腳本的代碼審計，審計內(nèi)容主要包括：存儲型XSS：如果對數(shù)據(jù)庫中存儲的所有數(shù)據(jù)沒有一個適當(dāng)?shù)妮斎?/p>