格尔安全认证网关的Web系统开发规范
基于Web网络安全和统一身份认证中的数据加密技术
龙源期刊网 https://www.360docs.net/doc/006914814.html, 基于Web网络安全和统一身份认证中的数据加密技术 作者:符浩陈灵科郭鑫 来源:《软件导刊》2011年第03期 摘要:随着计算机技术的飞速发展和网络的快速崛起和广泛应用,致使用户在网络应用 中不得不重复地进行身份认证,过程较为繁琐,耗时很大,而且同时存在着用户安全信息泄露的危险。显然,这时用户的数据信息安全就受到威胁。基于Web的网络安全和统一的身份认证系统就是致力解决类似的问题。主要探讨的是当今流行的几种加密算法以及它们在实现网络安全中的具体应用,同时也介绍了在基于Web的网络安全与统一身份认证系统中的数据加密技术。 关键词:信息安全;数据加密;传输安全;加密技术;身份认证 中图分类号:TP393.08 文献标识码:A 文章编号:1672-7800(2011)03-0157- 基金项目:湖南省大学生研究性学习和创新性实验计划项目(JSU-CX-2010-29) 作者简介:符浩(1989-),男,四川达州人,吉首大学信息管理与工程学院本科生,研究方向为信息管理与信息系统、网络安全与统一身份认证系统;陈灵科(1989-),男,湖南衡阳人,吉首大学信息管理与工程学院本科生,研究方向为信息管理与信息系统;郭鑫(1984-),男,湖南张家界人,硕士,吉首大学信息管理与工程学院助教,研究方向为数据挖掘和并行计算。 0 引言 数据加密技术(Data Encryption Technology)在网络应用中是为了提高数据的存储安全、传 输安全,防止数据外泄,保障网络安全的一种十分重要也是十分有效的技术手段。数据安全,不仅要保障数据的传输安全,同时也要保障数据的存储安全。 数据加密技术将信息或称明文经过加密钥匙(Encryption key)及加密函数转换,变成加密后的不明显的信息即密文,而接收方则将此密文经过解密函数、解密钥匙(Decryption key)
网络安全解决方案
网络安全解决方案 网络安全是一项动态的、整体的系统工程,从技术上来说,网络安全由安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件是无法确保信息网络的安全性。 此处重点针对一些普遍性问题和所应采用的相应安全技术,主要包括:建立全面的网络防病毒体系;防火墙技术,控制访问权限,实现网络安全集中管理;应用入侵检测技术保护主机资源,防止内外网攻击;应用安全漏洞扫描技术主动探测网络安全漏洞,进行定期网络安全评估与安全加固;应用网站实时监控与恢复系统,实现网站安全可靠的运行;应用网络安全紧急响应体系,防范安全突发事件。 1.应用防病毒技术,建立全面的网络防病毒体系 随着Internet的不断发展,信息技术已成为促进经济发展、社会进步的巨大推动力。不管是存储在工作站中、服务器里还是流通于Internet上的信息都已转变成为一个关系事业成败关键的策略点,这就使保证信息的安全变得格外重要。 1)采用多层的病毒防卫体系。 网络系统可能会受到来自于多方面的病毒威胁,为了免受病毒所造成的损失,建议采用多层的病毒防卫体系。所谓的多层病毒防卫体系,是指在每台PC 机上安装单机版反病毒软件,在服务器上安装基于服务器的反病毒软件,在网关上安装基于网关的反病毒软件。因为防止病毒的攻击是每个员工的责任,人人都要做到自己使用的台式机上不受病毒的感染,从而保证整个企业网不受病毒的感染。 考虑到病毒在网络中存储、传播、感染的方式各异且途径多种多样,故相应地在构建网络防病毒系统时,应利用全方位的企业防毒产品,实施"层层设防、集中控制、以防为主、防杀结合"的策略。具体而言,就是针对网络中所有可能的病毒攻击设置对应的防毒软件,通过全方位、多层次的防毒系统配置,使网络没有薄弱环节成为病毒入侵的缺口。 2)选择合适的防病毒产品
web网络安全解决方案
web网络安全解决方案 (文档版本号:V1.0) 沈阳东网科技有限公司
一、前言 (1) 二、如何确保web的安全应用 (1) 三、常见部署模式 (2) 四、需求说明 (5) 五、网络拓扑 (6) 六、总结 (6)
一、前言 Web应用处在一个相对开放的环境中,它在为公众提供便利服务的同时,也极易成为不法分子的攻击目标,黑客们已将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。当前,信息安全攻击约有75%都是发生在Web应用而非网络层面上。 Web攻击者针对Web应用程序的可能漏洞、 Web系统软件的不当配置以及http协议本身薄弱之处,通过发送一系列含有特定企图的请求数据,对Web站点特别是Web应用进行侦测和攻击,攻击的目的包括:非法获得站点信息、篡改数据库和网页、绕过身份认证和假冒用户、窃取用户资料和数据、控制被攻击的服务器等。 目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议有深厚理解,即可完成诸如更换Web网站主页、盗取管理员密码、破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。 二、如何确保web的安全应用 在Web系统的各个层面,都会使用不同的技术来确保安全性:为了保护客户端机器的安全,用户会安装防病毒软件;为了保证用户数据传输到Web服务器的传输安全,通信层通常会使用SSL技术加密数据;为了阻止对不必要暴露的端口和非法的访问,用户会使用网络防火墙和IDS/IPS来保证仅允许特定的访问。 但是,对于Web应用而言,Web服务端口即80和443端口是一定要开放的,恶意的用户正是利用这些Web端口执行各种恶意的操作,或者偷窃、或者操控、或者破坏Web应用中的重要信息。而传统安全设备仅仅工作在网络层上,并不能精确理解应用层数据,更无法结合Web系统对请求进行深入分析,针对应用层面的攻击可以轻松的突破传统网络防火墙和IDS/IP 保护的网站。 因此,在大量而广泛的Web网站和Web应用中,需要采用专门的Web 安全防护系统来保护Web应用层面的安全,WAF(Web Application Firewall,WEB应用防火墙)产品开始流行起来。 WAF产品按照形态划分可以分为三种,硬件、软件及云服务。软件WAF 由于功能及性能方面的缺陷,已经逐渐被市场所淘汰。云WAF近两年才刚刚兴起,产品及市场也都还未成熟。与前两种形态相比,硬件WAF经过多
EN71玩具安全认证规范标准
EN71玩具安全认证规范标准 第1部分:物理和机械性能 该部分主要包括跌落测试、小零件测试、锐利边缘测试、拉力测试、压力测试、线缝测试、耳鼻眼拉力、扭力测试等。 EN71-2:2006玩具安全认证-第2部分:阻燃性能 该部分规定了所有玩具禁止使用的易燃材料种类及对某些小型火源的玩具的燃烧性能要求。要求被测试材料的燃烧速度不得超过标准规定的限值。涉及到戴在头上的玩具、玩具化装服饰和供儿童在玩耍中穿戴的玩具、供儿童进入的玩具、含毛绒或纺织面料的软填充玩具。 EN71-3:2001/AC:2002玩具安全认证-第3部分:某些元素的转移 该部分规定了玩具的可触及部件或材料中可迁移元素(锑、砷、钡、镉、铬、铅、汞、锡)的最大限值。其测试原理是:可溶性元素是模拟材料在吞咽后与胃酸持续接触一段时间的条件下,从玩具材料中提取出的溶出物。采用检出限适当的方法定量测定可溶性元素的含量。 EN71-4:1990+A1:1998玩具安全认证-第4部分:化学和有关活动用的试验装置 EN71-4规定了在化学试验装置及相关活动设备中使用的化学物质的限值,也包括化学、生物学、物理学、微生物和环境科学等领域中的试验玩具,同时也规定了标签、化学物质使用清单及使用说明书的相关要求。 EN71-5:1993玩具安全认证-第5部分:化学玩具(试验装置除外) EN71-5规定了化学玩具中有害物质使用的限制及要求,主要应用于模制和浇铸装置中的石膏、灰泥;微型台装置中的陶瓷和玻璃制品上色材料;造型粘土装置中的烤箱可塑PVC料;塑胶浇铸装置;嵌入装置;照相洗印装置;模具中使用的粘合剂、油漆、清漆、稀释剂和清洁剂。 EN71-6:1994玩具安全认证-第6部分:年龄标志的图形表示 该部分指出了对不适合3岁以下儿童使用但可能对3岁以下儿童有危险的玩具应加贴年龄警告标识。警告标识可用文字说明或图示符号,如果使用警告说明,它必须符合EN71 Part 1的要求,无论是用英文或是用其他国家的语言文字都必须清晰地显示警示语。 EN71-7:指画颜料的要求
WEB安全编程技术规范(V1.0)
1.范围 本规范从应用开发安全管理要求出发,给出了WEB编码安全的具体要求。供浙江公司IT系统内部和厂商使用,适用于省市公司IT系统项目建设WEB工作。 本规范明确定义了JA V A、PHP应用开发中和WEB编码安全相关的技术细节。 与JA V A编码安全相关的内容包括:跨站脚本攻击及解决方法、SQL注入及解决方法、恶意文件执行及解决方法、不安全的直接对象引用及解决方法、跨站请求伪造及解决方法、信息泄露和错误处理不当及解决方法、残缺的认证和会话管理及解决方法、不安全的加密存储及解决方法、不安全的通信及解决方法、限制URL 访问实效解决方法。 与PHP编码安全相关的内容包括:变量滥用及解决方法、文件打开漏洞及解决方法、文件包含漏洞及解决方法、文件上传漏洞及解决方法、命令执行漏洞及解决方法、变量类型缺陷及解决方法、警告及错误信息处理解决方法、PHP与MYSQL 组合的SQL注入解决方法、跨站脚本解决方法。 2.1.规范概述 Web应用程序为结构设计人员、设计人员和开发人员提出一系列复杂的安全问题。最安全、最有能力抵御攻击的Web应用程序是那些应用安全思想构建的应用程序。 在设计初始阶段,应该使用可靠的体系结构和设计方法,同时要结合考虑程序部署以及企业的安全策略。如果不能做到这一点,将导致在现有基础结构上部署应用程序时,要不可避免地危及安全性。 本规范提供一系列安全的体系结构和设计指南,并按照常见的应用程序漏洞类别进行组织。这些指南是Web应用程序安全的重要方面,并且是经常发生错误的领域。
2.实现目标 使用本规范可以实现: 1.确定安全Web应用程序的重要体系结构和设计问题。 2.设计时考虑重要部署问题。 3.制定能增强Web应用程序输入验证的策略。 4.设计安全的身份验证和会话管理机制。 5.选择适当的授权模型。 6.实现有效的帐户管理方法,并保护用户会话。 7.对隐私、认可、防止篡改和身份验证信息进行加密。 8.防止参数操作。 9.设计审核和记录策略。 3.安全编码原则 1.程序只实现你指定的功能 2.永不要信任用户输入,对用户输入数据做有效性检查 3.必须考虑意外情况并进行处理 4.不要试图在发现错误之后继续执行 5.尽可能使用安全函数进行编程 6.小心、认真、细致地编程 4.安全背景知识 本规范主要提供设计应用程序时应该遵循的一些指南和原则。为充分理解本规范内容,请:了解应用程序将会受到的威胁,以确保通过程序设计解决这些问题。解需要考虑的威胁。在程序设计阶段应该考虑到这些威胁。 在应用程序易受攻击的重要环节应用系统的方法。将重点放在程序部署、输入验证、身份验证和授权、加密及数据敏感度、配臵、会话、异常管理以及适当的审核和记录策略上,以确保应用程序具有责任性。
安全认证网关的Web系统开发规范
安全认证网关Web系统开发规范 v1.1 电子政务外网电子认证办公室 2010年12月
目录 1规范描述 (1) 2开发常见问题 (2) 2.1如何保证应用用户与SSL连接用户的一致性? (2) 2.2http与https进行切换时应用如何保持用户session? (2) 2.3采用可选验证时,应用如何判断用户是否提交了证书? (3) 3应用接口 (4) 3.1接口描述 (4) 3.2接口实例 (5) 3.2.1Asp脚本示例 (5) 3.2.2JSP脚本示例 (6) https://www.360docs.net/doc/006914814.html,的示例 (8) https://www.360docs.net/doc/006914814.html,的C#脚本示例 (11)
SSL安全网关能够对用户的数字证书进行验证,在浏览器与Web服务器之间建立安全加密通道,可以为Web应用系统提供用户身份认证和数据保密的功能。为了充分利用SSL安全网关的安全功能,保证系统可操作性和性能,实现系统与安全网关的顺利结合,在Web应用系统的开发过程中应注意以下几点: ?系统中的用户标志设置必须以用户数字证书中的标志为基础。 ?用户身份的获取必须以安全网关提供为准,用户身份从cookie中获取,系统 可以去掉登录页面。 ?在使用超级连接时尽可能使用相对链接,禁止使用HTTP的绝对链接本地服 务,否则无法访问,本地服务用户只能通过HTTPS访问。 ?避免使用协议的特有功能,保持HTTP与HTTPS的通用性。 ?不得使用KOAL_开头的cookie作为有用信息,否则会被过滤。 ?避免使用过多的cookie信息,建议不要超过1000字节。 ?对于网页中参数的传递尽可能以POST方式,避免GET方式。 ?在网页美观的前提下,保证网页的简洁性,尽量减少网页中的帧数和资源数 目(图片等),提高SSL的连接性能。 ?减少使用重定向功能,避免使用多重重定向功能。 ?系统提供统一的固定端口对外提供服务,避免使用动态及多个端口。 ?对每个网页都必须对获取的用户身份cookie与应用保存的用户session值进 行对比,防止另一个用户使用未关闭的IE进行访问。 ?若网页包含多框架或多窗口,则网页内容的获取应统一由HTTPS方式获取, 避免混用其他方式(HTTP,about:blank空页面等)获取,否则会提示网页包含不安全内容。
食品安全管理体系认证基本要求标准范本
操作规程编号:LX-FS-A96683 食品安全管理体系认证基本要求标 准范本 In The Daily Work Environment, The Operation Standards Are Restricted, And Relevant Personnel Are Required To Abide By The Corresponding Procedures And Codes Of Conduct, So That The Overall Behavior Can Reach The Specified Standards 编写:_________________________ 审批:_________________________ 时间:________年_____月_____日 A4打印/ 新修订/ 完整/ 内容可编辑
食品安全管理体系认证基本要求标 准范本 使用说明:本操作规程资料适用于日常工作环境中对既定操作标准、规范进行约束,并要求相关人员共同遵守对应的办事规程与行动准则,使整体行为或活动达到或超越规定的标准。资料内容可按真实状况进行条款调整,套用时请仔细阅读。 1. 组织应建立符合标准要求的文件化食品安全管理体系,在申请认证之前应完成内部审核和管理评审,并保证管理体系的有效、充分运行三个月以上; 2. 组织应向WIT提供基于食品安全管理体系运行的充分信息,对于多现场应说明各现场的认证范围、地址及人员分布等情况,WIT将以抽样的方式对多现场进行审核; 3. 组织自建立食品安全管理体系始,应保持对法律法规符合性的自我评价,在不符合相关法律法规要求时应及时采取必要的纠正措施;
Web安全系统测试要求规范
DKBA DKBA 2355-2009.7 .2cto.红黑联盟收集整理 Web应用安全测试规V1.2 2009年7月5日发布2009年7月5日实施 所有侵权必究 All rights reserved
修订声明Revision declaration 本规拟制与解释部门: 安全解决方案部电信网络与业务安全实验室、软件公司安全TMG、软件公司测试业务管理部 本规的相关系列规或文件: 《Web应用安全开发规》 相关国际规或文件一致性: 《OWASP Testing Guide v3》 《信息安全技术信息安全风险评估指南》 《Information technology Security techniques Management of information and communications technology security》-ISO 13335 替代或作废的其它规或文件: 无 相关规或文件的相互关系: 本规以《Web应用安全开发规》为基础、结合Web应用的特点而制定。
目录Table of Contents 1概述 (7) 1.1背景简介 (7) 1.2适用读者 (7) 1.3适用围 (7) 1.4安全测试在IPD流程中所处的位置 (8) 1.5安全测试与安全风险评估的关系说明 (8) 1.6注意事项 (9) 1.7测试用例级别说明 (9) 2测试过程示意图 (10) 3WEB安全测试规 (11) 3.1自动化W EB漏洞扫描工具测试 (11) 3.1.1AppScan application扫描测试 (12) 3.1.2AppScan Web Service 扫描测试 (13) 3.2服务器信息收集 (13) 3.2.1运行权限测试 (13) 3.2.2Web服务器端口扫描 (14) 3.2.3HTTP方法测试 (14) 3.2.4HTTP PUT方法测试 (15) 3.2.5HTTP DELETE方法测试 (16) 3.2.6HTTP TRACE方法测试 (17) 3.2.7HTTP MOVE方法测试 (17) 3.2.8HTTP COPY方法测试 (18) 3.2.9Web服务器版本信息收集 (18) 3.3文件、目录测试 (20) 3.3.1工具方式的敏感接口遍历 (20) 3.3.2Robots方式的敏感接口查找 (21)
格尔安全认证网关产品白皮书
格尔安全认证网关产品白皮书 上海格尔软件股份有限公司 2007年8月
目录
1.1您的网络应用安全吗? 随着网络的快速发展,网络应用以其高效、便捷的特点得到广泛应用,如网上证券、网上银行、电子政务、电子商务、企业远程办公等。越来越多的重要业务在网上办理,越来越多的重要信息在网络中传输,如何保护这些重要资源的安全访问以及重要数据的安全流转是网络应用面临的重要问题,但通常的网络应用都存在以下安全隐患: ●没有有效的身份认证机制:一般都采用用户名+口令的弱认证方式,这种认证用户 的模式,存在极大的隐患,具体表现在:(a)口令易被猜测;(b)口令在公网 中传输,容易被截获;(c)一旦口令泄密,所有安全机制即失效;(d)后台服 务系统需要维护庞大的用户口令列表并负责口令保存的安全,管理非常困难。 ●数据传输不安全:当前大多网络应用所发放的数据包均是按照TCP/IP协议为明文 方式传输,而Internet的开放性造成传输信息存在着被窃听、被篡改的安全问题。 ●操作抵赖:网络应用将现实世界的实体操作转化为虚拟世界的信息流,信息流的 可复制性对操作的唯一性和可信性提出了挑战,操作可以被抵赖成为网络应用亟 需解决的一个严重问题。 1.2解决网络应用安全您要考虑 信任是安全的基础,在缺乏信任的环境下,实现信息系统的安全是不可想象的,因此解决网络应用安全的一个核心问题是解决信任问题,信任主要体现在以下几方面: ●强身份认证。建立信任首先要确认参与者的身份,即身份认证。身份认证是安全 保障的第一道门槛,也是后续安全措施的依据和基础,如果第一道门槛被攻破, 系统“认错人”,则后续的无论多么严密的安全措施基本实效,因此,身份认证 机制强度的高低很大程度决定了安全系统的安全级别高低,对于一个直接面对互 联网,如果身份认证机制的强度不够,根本无法起到屏障作用,无异于将网资源
Web应用安全项目解决方案
××Web应用安全解决方案 一、应用安全需求 1.针对Web的攻击 现代的信息系统,无论是建立对外的信息发布和数据交换平台,还是建立内部的业务应用系统,都离不开Web应用。Web应用不仅给用户提供一个方便和易用的交互手段,也给信息和服务提供者构建一个标准技术开发和应用平台。 网络的发展历史也可以说是攻击与防护不断交织发展的过程。目前,全球网络用户已近20 亿,用户利用互联网进行购物、银行转账支付和各种软件下载,企业用户更是依赖于网络构建他们的核心业务,对此,Web 安全性已经提高一个空前的高度。 然而,随着黑客们将注意力从以往对网络服务器的攻击逐步转移到了对Web 应用的攻击上,他们针对Web网站和应用的攻击愈演愈烈,频频得手。根据Gartner的最新调查,信息安全攻击有75%都是发生在Web应用而非网络层面上。同时,数据也显示,三分之二的Web站点都相当脆弱,易受攻击。 另外,据美国计算机安全协会(CSI)/美国联邦调查局(FBI)的研究表明,在接受调查的公司中,2004年有52%的公司的信息系统遭受过外部攻击(包括系统入侵、滥用Web应用系统、网页置换、盗取私人信息及拒绝服务等等),这些攻击给269家受访公司带来的经济损失超过1.41亿美元,但事实上他们之中有98%的公司都装有防火墙。早在2002年,IDC就曾在报告中认为,“网络防火墙对应用层的安全已起不到什么作用了,因为为了确保通信,网络防火墙内的Web端口都必须处于开放状态。” 目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议深厚理解,即可完成诸如更换Web网站主页、盗取管理员密码、破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。
中国玩具安全CCC认证及技术标准
中国玩具安全CCC认证及技术标准 一、中国与玩具有关法律法规介绍 中国与玩具产品安全有关的法律法规包括了《质量监督法》、《进出口商品检验法》、《强 制性认证产品管理规定》和《玩具产品强制性认证实施规则(六项)》等。我国目前对六大类 玩具产品实行强制认证的市场准入制度。其余玩具视情况逐步推进。 二、我国对玩具实行的强制性产品认证(CCC认证) 1.什么是CCC认证 CCC认证的名称为“中国强制认证”,英文名称是“China Compulsory Certification”,英文缩写为“CCC”。C(无上认证是中国政府为保护消费者的人身健康和安全,保护环境、保护国家安全,依照法律法规实施的一种产品评价制度,它要求产品必须符合国家标准和相关技术规范。 2.玩具CCC认证简介 根据国家质检总局、国家认监委2005年第198号联合公告,国家已明确对在国内销售的童车、电玩具、塑胶玩具、金属玩具、娃娃玩具、弹射玩具六类产品实施强制性认证,从2006年3月1日起受理申请,2007年6月1日强制实施。国家认监委在其网站(www.cnca.gov.cn)上发布了2006年第6号和第8号公告,分别公布了六类玩具产品强制性认证的实施规则和其指定的认证机构和检测机构。 被纳入首批玩具CCC认证范围的玩具产品只有上述六类,而承载儿童体重的玩具、软体填充玩具、竹木玩具、口动玩具、纸及纸板玩具、类似文具玩具、软性造型玩具等七类玩具产品没有被纳入首批玩具CCC认证范围,国家认监委拟对没被纳入范围的这七类玩具产品推行自愿认证制度,待时机成熟后再纳入CCC范围。 3.认证单元的概念 根据认监委公布的玩具产品强制性认证实施规则的规定,同一委托人申请、同一工厂生 产且符合实施规则中规定的单元划分原则的产品视为同一认证单元。 实施规则中的单元划分原则,用于指导认证和检测机构将满足一定条件(如
基于WEB的应用系统安全方案
第二章系统安全的需求分析 本章从数据安全和业务逻辑安全两个角度对应用系统的安全进行需求分析,主要包括保密性需求、完整性需求、可用性需求三部分;随后对业务逻辑安全需求进行了分析,包括身份认证、访问控制、交易重复提交控制、异步交易处理、交易数据不可否认性、监控与审计等几个方面;最后还分析了系统中一些其它的安全需求。 2.1 数据安全需求 2.1.1 数据保密性需求 数据保密性要求数据只能由授权实体存取和识别,防止非授权泄露。从目前国内应用的安全案例统计数据来看,数据保密性是最易受到攻击的一个方面,通常表现为客户端发生的数据泄密,包括用户的基本信息、账户信息、登录信息等的泄露。在应用系统中,数据保密性需求通常主要体现在以下几个方面:A.客户端与系统交互时输入的各类密码:包括系统登录密码、转账密码、凭证查询密码、凭证交易密码等必须加密传输及存放,这些密码在应用系统中只能以密文的方式存在,其明文形式能且只能由其合法主体能够识别。 以网银系统为例,在网银系统中,通常存有四种密码:系统登录密码、网银转账密码、柜面交易密码及一次性密码。系统登录密码用来认证当前登录者为指定登录名的合法用户,网银用户的登录密码和网银转账密码由用户在柜面开户时指定,用户在首次登录网银系统时,系统必须强制用户修改初始密码,通常要求长度不得少于六位数,且不能是类似于111111、1234567、9876543等的简单数字序列,系统将进行检查。 网银转账密码是指网银系统为巩固用户资金安全,在涉及资金变动的交易中对用户身份进行了再认证,要求用户输入预设的密码,网银交易密码仅针对个人用户使用,企业用户没有网银交易密码。建立多重密码机制,将登录密码与网银转账密码分开管理,有利于加强密码的安全性。由于用户在使用网银时每次都必须先提供登录密码,故登录密码暴露的机会较多,安全性相对较弱;但登录网银的用户并不是每次都会操作账户资金的,所以专门设定网银转账密码可加强账户
IT产品信息安全认证实施规则物联网感知层网关
编号:CCRC-IR-042:2019 IT产品信息安全认证实施规则 物联网感知层网关 2019-04-26发布 2019-04-30实施中国网络安全审查技术与认证中心发布
目录 1.适用范围 (1) 2.认证模式 (1) 3.认证的基本环节 (1) 3.1认证申请及受理 (1) 3.2文档审核 (1) 3.3型式试验委托及实施 (1) 3.4认证结果评价与批准 (1) 3.5获证后监督 (1) 4.认证实施 (1) 4.1认证流程 (1) 4.2认证申请及受理 (1) 4.3文档审核 (2) 4.4型式试验委托及实施 (2) 4.5认证结果评价与批准 (3) 4.6获证后监督 (3) 5.认证时限 (5) 6.认证证书 (5) 6.1认证证书的保持 (5) 6.2认证证书的变更 (5) 6.3认证证书覆盖产品的扩展 (5) 6.4认证证书的暂停、注销和撤销 (6) 6.5获证产品名录的发布 (6) 7认证标志的使用 (6) 7.1认证标志的样式 (6) 7.2认证标志的使用 (6) 7.3加施位置 (6) 8收费 (7) 附件1: (8) 附件2: (10)
1.适用范围 本规则适用于中国网络安全审查技术与认证中心(CCRC)针对物联网感知层网关开展的信息安全认证。 感知层网关是指实现感知网络与通信网络、不同类型感知网络之间的协议转换和互联,部署于物联网感知层的网络连接设备。 2.认证模式 型式试验 + 获证后监督 3.认证的基本环节 3.1认证申请及受理 3.2文档审核 3.3型式试验委托及实施 3.4认证结果评价与批准 3.5获证后监督 4.认证实施 4.1认证流程 申请方向认证机构申请认证,认证机构在接收到申请方的认证申请后,审查申请资料,确认合格后向申请方选择的实验室安排检测任务,并通知申请方根据要求送样。实验室依据相关标准和/或技术规范进行检测,并在完成检测后向认证机构提交检测报告。认证机构对检测报告审查合格后,需要时由认证机构组织进行初始工厂检查。认证机构对型式试验、相关安全保障能力文档进行综合评价,并在认证决定评价合格后向申请方颁发认证证书。认证机构组织对获证后的产品进行定期的监督。 4.2认证申请及受理 申请方向认证机构递交认证申请,并按要求提交相关资料,认证机构对资料进行初审,确定申请方提交资料满足要求后,受理该申请。 4.2.1认证的单元划分
身份认证E网关_3.0产品白皮书
JIT 身份认证网关G v3.0产品白皮书 Version 1.0 有意见请寄:info@https://www.360docs.net/doc/006914814.html, 中国·北京市海淀区知春路113号银网中心2层 电话:86-010-******** 传真:86-010-******** 吉大正元信息技术股份有限公司
目录 1前言 (2) 1.1应用场景描述 (2) 1.2需求分析 (3) 1.3术语和缩略语 (4) 2产品概述 (4) 2.1实现原理 (4) 2.1产品体系架构组成 (5) 2.1.1工作模式和组件描述 (6) 3产品功能 (8) 3.1身份认证 (8) 3.1.1数字证书认证 (8) 3.1.2终端设备认证 (9) 3.1.3用户名口令认证 (10) 3.2鉴权和访问控制 (10) 3.2.1应用访问控制 (10) 3.2.2三方权限源支持 (11) 3.3应用支撑 (11) 3.3.1支持的应用协议和类型 (11) 3.4单点登录 (12) 3.5高可用性 (12) 3.5.1集群设定 (12) 3.5.2双网冗余 (13) 3.5.3双机热备 (13) 3.5.4负载均衡 (13) 4部署方式 (14) 4.1双臂部署模式 (14) 4.2单臂部署模式 (14) 4.3双机热备部署 (15) 4.4负载均衡部署 (16) 4.5多ISP部署方式 (17) 5产品规格 (17) 5.1交付产品和系统配置 (17) 5.1.1交付产品形态 (17) 5.1.2系统配置和特性 (18) 6典型案例 (19) 6.1某机关行业 (19)
6.2 .................................................................................................................... 电子通讯行业 20 1 前言 1.1 应用场景描述 随着信息化的快速发展,网络内信息应用以其高效、便捷的特点得到广泛应用,如网上证券、网上银行、电子政务、电子商务、企业远程办公等。越来越多的重要业务在网上办理,越来越多的重要信息在网络中传输,如何保护这些重要资源的安全访问以及重要数据的安全流转是网络应用面临的重要问题,但通常的网络应用都存在以下安全隐患: 一.没有有效的身份认证机制:一般都采用用户名+口令的弱认证方式,这种认证用户的模式,存在极大的隐患,具体表现在: ●口令易被猜测; ●口令在公网中传输,容易被截获; ●一旦口令泄密,所有安全机制即失效; ●后台服务系统需要维护庞大的用户口令列表并负责口令保存的安全,管 理非常困难。 二.数据传输不安全:当前大多网络应用所发放的数据包均是按照TCP/IP 协议为明文方式传输,而Internet 的开放性造成传输信息存在着被窃听、被篡改的安全问题。 三.操作抵赖:网络应用将现实世界的实体操作转化为虚拟世界的信息流,信息流的可复制性对操作的唯一性和可信性提出了挑战,操作可以被抵赖成为网络应用亟需解决的一个严重问题
深信服NGAF_Web安全解决方案
一站式Web 安全解决方案文档密级:公开 深信服 Web 业务安全解决方案 一、Web 安全的挑战 随着互联网技术的高速发展,绝大部分客户都已经将自身业务迁移到互联网上开展,而这当中又主要是以Web 服务为载体进行相关业务的开展,Web 成为当前互联网应用最为广泛的业务。而针对 Web 业务的安全问题也越来越多。如 2016 年 4 月底的 Struts2 S2-032 让 网站的安全问题又引发了业界普遍的关注,很多网站纷纷中招,被黑客入侵造成了严重损失。从历史 Struts2 漏洞爆发数据看,此前每次漏洞公布都深度影响到了政府、金融等行业。网站作为主要的对外门户,已经成为黑客发起攻击的首要目标,网站一旦遭遇攻击,将有可能导致严重的后果: 网站被篡改,直接影响对公众树立的社会形象; 网站业务被攻击导致瘫痪,影响效率和经济利益; 网站敏感数据被窃取,影响单位信誉; 网站被攻陷后成为跳板,渗透到内部网络,造成更大面积的破坏; 被第三方监管机构,漏洞报告平台通报,带来负面影响; 二、Web 安全的问题 针对Web 的攻击往往隐藏在正常访问业务行为中,导致传统防火墙、入侵防御系统无法发现和阻止这些攻击。Web 业务系统面临的安全问题是不是单方面的,概括起来主要有以下四个方面: 1)开发时期遗留问题 由于Web 应用程序的编写人员,在编程的过程中没有考虑到安全的因素,使得黑客能够利用这些漏洞发起对网站的攻击,比如SQL 注入、跨站脚本攻击等。 2)系统底层漏洞问题 Web系统包括底层的操作系统和Web业务常用的发布系统(如IIS、Apache),这些系 统本身存在诸多的安全漏洞,利用好这些漏洞,可以给入侵者可乘之机。 3)运维管理中的问题 业务系统中由于管理的问题也存在诸多安全隐患,如弱口令、管理员界面等等,导致黑客、病毒可以利用这些缺陷对网站进行攻击。 4)破坏手段多样问题 Web 系统所处的环境的网络安全状况也影响着Web 系统的安全,比如网络中存在的DoS 攻击,或者存在感染病毒木马的终端,给黑客提供可利用的跳板等,这些内网自身的安全问题同样会影响到Web 系统的稳定运行。 三、NGAF 解决之道 深信服NGAF 提供对Web 业务系统的三维立体防护解决方案,深入分析黑客攻击的时机和动机。从事件周期、攻击过程、防护对象三个维度出发,并可以结合云端安全服务,提供全面的安全防护体系,保护web 业务系统不受来自各方的侵害。
各国电子产品认证标准
各国认证标准-图标 进入欧盟国家产品强制性标准符合标志,包括EMC 和LVD 两条指令。 TUV 是德国技术监护委员会的简称,产品除了需符合TUV-EMC 和TUV-GS ,同时要求生产体系亦需符合一定的规范。 美国联邦通讯委员会对电子产品EMC 的认证标志。 澳大利亚C-Tick 对电子产品EMC 的国家标准认证标志。 Voluntary Control Council for Interference1 [6 J! z: T5 O 日本国内的EMI 标准,VCCI 主要监管信息技术设备,其规定与CISPR 的标准相对应,目前没有抗 扰度方面的标准。 德国电气工程师协会(Verband Deutscher Elektrotechniker ),简称VDE ,是德国著名的测试机构,VDE 标志只有VDE 公司才能授权使用。VDE 测试除传统的电器零部件,电线电缆,插头等认证之 外同样也可核发EMC 标志以及VDE-GS 标志。 中国3C ,从2003年8月1日开始实施第一批强制性认证19类132种产品。 美国****标准认证标志,非强制性,产品除了需符合有关的安全标准以外,同时也对生产体系有一定的要求,尤其对生产的一致性跟踪。 挪威NEMKO****标准认证标志。 E/e-Mark 欧洲对于机动车整车及涉及安全的零部件和系统有安全认证,具体体现为E-Mark 和e-Mark 认证。FDA 美国食品药物管理署的英文缩写,英文全称为 Food and Drug Administration 。 CB 制度是国际电工委员会(IECEE )建立的一套全球性的相互认可制度,以英文CERTIFICTION BODY 缩写表示,CB 检验为一个全球性相互认证。 澳大利亚****标准认证标志。
网站WEB应用安全措施要求规范
网站WEB应用安全措施要求规范 1.安全防范措施要求 (1)数据保密性:数据加密主要是防止非授权用户截获并使用该数据,网站中有保密要求的信息只能供经过授权允许的人员,并且以经过允许的方式使用。 (2)数据完整性:使用一种方案来确认同站上的数据在传输过程中没有被篡改,而造成信息完整性破坏的原因可以分为人为的和非人为的两种: 非人为的因素:如通信传输中的干扰噪声,系统硬件或软件的故障等; 人为因素:包括有意的和无意的两种,前者如黑客对计算机的入侵、合法用户越权对网站内数据的处理,后者如操作失误或使用不当。 (3)数据安全性:数据的安全性就是保证数据库不被故意破坏和非法存取:数据的完整性是防止数据库中存在不符合语义的数据,以及防止由于错误信息的输入、输出而造成无效操作和错误结果:并发控制即数据库是一个共享资源,在多个用户程序并行地存取数据库时,就可能会产生多个用户程序通过网站并发地存取同一数据的情况,若不进行并发控制就会使取出和存入的数据不正确,破坏数据库的一致性。 (4)恶意代码防范:通过代码层屏蔽常见恶意攻击行为,防止非法数据提交;如:SQL注入; (5)双因子授权认证:应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。 (6)密码复杂度:强制用户首次登录时修改初始口令;口令长度至少为8位,并由数字、大小字母与特殊字符组成。 (7)会话过期与超时:浏览器Cookie过期、无动作过期、强制过期、保持会话等进行限制; (8)安全审计功能:a)审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计,如:登录、退出、添加、删除、修改或覆盖等;b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
格尔SSL安全认证网关产品白皮书
格尔SSL安全认证网关 产品白皮书 V2.0 上海格尔软件股份有限公司 2004年12月
上海格尔软件股份有限公司 1 保密事宜: 本文档包含上海格尔软件股份有限公司的专有商业信息和保密信息。 接受方同意维护本文档所提供信息的保密性,承诺不对其进行复制,或向评估小组以外、非直接相关的人员公开此信息。对于以下三种信息,接受方不向格尔公司承担保密责任: 1 ) 接受方在接收该文档前,已经掌握的信息。 2 ) 可以通过与接受方无关的其它渠道公开获得的信息。 3 ) 可以从第三方,以无附加保密要求方式获得的信息。
上海格尔软件股份有限公司 2 目 录 1系统概述.............................................................................................31.1信息传输的安全需求.................................................................31.2一般SSL连接存在的问题..........................................................32系统原理.............................................................................................52.1SSL简介..................................................................................52.2格尔SSL安全代理系统原理......................................................53格尔SSL安全认证网关系统结构...........................................................73.1网络拓朴结构...........................................................................73.2格尔SSL安全认证网关系统组成和结构......................................84格尔SSL安全认证网关功能................................................................115第三方产品兼容.................................................................................135.1第三方CA兼容......................................................................135.2第三方设备厂商兼容...............................................................136格尔SSL安全认证网关产品特点.........................................................137运行环境...........................................................................................158产品相关特性....................................................................................158.1硬件特性...............................................................................158.2物理特性...............................................................................158.3电气特性...............................................................................168.4工作环境...............................................................................16
产品安全性监督与产品安全认证(1).doc
产品安全性监督与产品安全认证 产品安全认证是目前国际上通行的一种产品安全性监督形式。 1 产品安全认证的类别 产品安全认证可以从下述不同角度加以分类。 1.适用范围和认证依据 按产品安全认证的适用范围及认证的依据可分为: (1)国际认证:以国际有关组织发布的规定及标准为认证依据,并适用于该国际组织成员国范围。 (2)区域认证:以区域法规和标准为认证依据,并适用于该区域组织成员国范围。 (3)国家认证:以国家法规和标准为认证依据,并适用于该国家范围。 2.认证对象 按产品安全认证的对象可分为:电工产品安全认证;机械安全认证;汽车产品安全认证等。 3.认证的约束性 根据产品安全认证的约束性可分为强制与自愿两类。 2 强制性安全认证类型 强制性安全认证是产品安全性监督的一种重要方式,一般有以下几种类型。 (1)对产品的安全性在国家立法的基础上,建立统一的市场准入制度,包括完善的法规一标准体系和完备的合格评定制度。 该类型的典型代表是欧盟目前推行的“CE标志”市场准入制度(包括了部分强制性认证的内容),其特征如下。
1)以立法为核心。欧盟(前身为欧共体委员会),通过颁布一些“指令”(即:对成员国有约束力的欧共体法律),规定了要求在欧洲统一市场中实行强制性管理的产品范围、基本安全卫生要求及评价方法。欧共体各成员国须将“指令”转化成本国有关法律并予以实施。至2000年欧盟已发布涉及产品安全、卫生与环境等方面的指令约17项。 2)以“协调标准”为技术支持。1985年欧共体理事会通过了《技术协调与标准化新方法决议》,确定了技术立法与标准之间的关系。根据这一方法,欧共体通过采用“标准化委托书”的形式委托欧洲标准经组织(欧洲标准化委员会——CEN、欧洲电工标准化委员会(CENLEC和欧洲电信标准化委员会——ETSI)制订与“指令相配套的标准——“协调标准”,作为产品进入欧洲市场的具体技术要求。这些标准是根据某一个指令的要求,并覆盖指令中一项或数项基本要求的具体技术要求。各成员国颁布的相应国家标准必须与“协调标准”一致。 3)统一合格评定的评价方法。欧共体理事会于1989年通过了《关于合格评定全球性方针》指令,该指令中提出了法规领域及非法规领域中的测试活动应使用同样的技术和方法的要求,规定了法规领域中各“指令”中涉及的产品的安全、卫生等性能评价应选择该“指令”中规定的一个或一组合格评定方式进行评价。 1993年欧共体理事会又发布了《关于技术协调不同阶段的合格评定程序的模式及加贴和使用CES标志的规则》的决定,规定了以“制造者自我声明”和第三方评价为主体的8种合格评定模式及程序。这种以第三方评定为主体的评价方法实质上就是“安全认证”。 4)“指定机构”为执行“指令”的第三方实体。欧共体指令中规定了执行“指令”的第三方机构条件。执行“指令”的第三方机构统称为指定机构(或检验机构),经欧共体确认并在欧共体公报上公布。其主要职责是对需加贴“CE”标志的产品按选定类型进行合格评定(或审查),出具技术(检验)报告或接受其递交的技术资料(报告)进行备案。 5)采用统一的辨识和管理标志。欧共体规定只有通过合格评定以后的产品,才可能在产品上加贴“CE标志”,以此作为准入市场的象征。 (2)通过国家立法,以强制性标准为依据,对产品实施强制认证。这种类型主要用于俄罗斯及中亚三国(乌兹别克斯坦、吉尔吉斯和哈萨克斯坦)和蒙古、土耳其、以色列等一些发展中国家。其特征如下: 1)国家建立了强制性标准体系(即:国家内自愿性标准体系和强制性标准体系并存)。1993年俄罗斯颁布了《俄罗斯联邦标准化法》,其中规定俄罗斯的标准化规范文件分4类,对涉及保证产品、工作和服务有利于保障环境、生命、健康和财产安全的要求和涉