WEB应用系统安全规范文档

应用系统建设标准和规范1标准体系信息系统建设的核心目标是互联互通、信息共享、业务协同，而实现这些功能的关键是技术标准的科学确定。

标准不仅是信息系统建设的指针，也是信息系统建设效果评估的依据。

应用系统建设是一个复杂的系统工程，它涵盖从操作系统、数据库系统、中间软件、支撑软件及多个应用软件等各个方面的内容，包括系统信息安全、处理流程定义、信息内容格式、数据交换格式等各个方面的问题。

它要求达到充分利用数字虚拟空间，跨越各职能部门间的限制，使各职能部门互联互通与跨部门协同办公的目标。

要做到这一点，就必须对职能部门的各个层次、各个方面制定一系列的标准和规范。

按照此标准化体系，能够对政务数据和信息进行灵活、有效、多元化的管理，实现以政务信息驱动横向/纵向政务流程。

行业信息化标准体系，涉及以下几个方面：总体标准、业务应用标准、信息资源标准、应用支撑标准、网络基础设施标准、信息安全标准和信息化管理标准等方面。

1.1总体标准包括术语标准、标准化指南和总技术要求等。

术语标准主要包括与烟草行业信息化相关的术语标准，以统一烟草行业信息化建设中遇到的主要名词、术语和技术词汇，避免引起对它们的歧义性理解。

术语标准可分为烟草行业专用术语、基础术语和专业术语。

标准化指南包括标准化工作的工作导则、编制指南以及实施细则等。

总技术要求包括烟草行业信息化建设统一技术平台要求以及计算机网络和信息安全技术管理规范等。

1.2应用标准应用标准分体系包括文档交换格式和应用系统等。

文档交换格式标准主要是指为了实现应用系统之间文档交换的兼容性而制定的标准和规范。

应用系统主要包括烟草行业管理信息系统、烟草行业工/商企业管理信息系统以及相应的子系统的相关标准。

其中，烟草行业管理信息系统包括电子政务、电子商务、卷烟生产经营决策管理系统和其它应用系统。

1.3信息资源标准信息资源标准分体系包括数据元、信息分类与编码和数据库等。

数据元标准包括烟草行业专用数据元以及数据元的通用规则、贸易数据元和电子政务数据元等方面的相关标准。

1.范围本规范从应用开发安全管理要求出发，给出了WEB编码安全的具体要求。

供浙江公司IT系统内部和厂商使用，适用于省市公司IT系统项目建设WEB工作。

本规范明确定义了JA V A、PHP应用开发中和WEB编码安全相关的技术细节。

与JA V A编码安全相关的内容包括：跨站脚本攻击及解决方法、SQL注入及解决方法、恶意文件执行及解决方法、不安全的直接对象引用及解决方法、跨站请求伪造及解决方法、信息泄露和错误处理不当及解决方法、残缺的认证和会话管理及解决方法、不安全的加密存储及解决方法、不安全的通信及解决方法、限制URL 访问实效解决方法。

与PHP编码安全相关的内容包括：变量滥用及解决方法、文件打开漏洞及解决方法、文件包含漏洞及解决方法、文件上传漏洞及解决方法、命令执行漏洞及解决方法、变量类型缺陷及解决方法、警告及错误信息处理解决方法、PHP与MYSQL 组合的SQL注入解决方法、跨站脚本解决方法。

2.1.规范概述Web应用程序为结构设计人员、设计人员和开发人员提出一系列复杂的安全问题。

最安全、最有能力抵御攻击的Web应用程序是那些应用安全思想构建的应用程序。

在设计初始阶段，应该使用可靠的体系结构和设计方法，同时要结合考虑程序部署以及企业的安全策略。

如果不能做到这一点，将导致在现有基础结构上部署应用程序时，要不可避免地危及安全性。

本规范提供一系列安全的体系结构和设计指南，并按照常见的应用程序漏洞类别进行组织。

这些指南是Web应用程序安全的重要方面，并且是经常发生错误的领域。

2.实现目标使用本规范可以实现：1.确定安全Web应用程序的重要体系结构和设计问题。

2.设计时考虑重要部署问题。

3.制定能增强Web应用程序输入验证的策略。

4.设计安全的身份验证和会话管理机制。

5.选择适当的授权模型。

6.实现有效的帐户管理方法，并保护用户会话。

7.对隐私、认可、防止篡改和身份验证信息进行加密。

8.防止参数操作。

9.设计审核和记录策略。

网站WEB应用安全措施要求规范随着互联网的快速发展，Web应用安全越来越重要。

攻击者利用Web应用的漏洞来获取用户的敏感信息或者破坏系统的安全已经成为一种普遍现象。

为了保护网站的安全，必须采取一定的安全措施。

下面是一些常见的网站Web应用安全措施要求规范：1.输入验证：对于用户输入的数据，要进行有效的验证和过滤，防止恶意用户输入恶意代码或者执行攻击。

常见的验证包括长度验证、格式验证、数据类型验证等。

2. 跨站脚本攻击（XSS）防御：XSS是指攻击者通过在Web应用中注入恶意脚本来获取用户信息的一种攻击方式。

要防御XSS攻击，可以对用户输入进行过滤和编码，以及合理设置浏览器的安全相关头部。

3. SQL注入防御：SQL注入是指攻击者通过在Web应用中注入恶意SQL代码来获取敏感信息或者破坏数据库的一种攻击方式。

要防御SQL注入，可以使用参数化查询和绑定变量等方式来构建SQL查询。

4. 跨站请求伪造（CSRF）防御：CSRF是指攻击者通过在Web应用中伪造合法用户的请求来进行非法操作的一种攻击方式。

要防御CSRF攻击，可以使用Token验证、Referer验证等方式来确保请求的合法性。

6.认证和授权：对于涉及用户身份认证和权限控制的功能，必须采用安全的认证和授权机制，以防止非法用户获取权限。

7. 安全配置和漏洞修复：对于Web应用的服务器、数据库、操作系统等，要进行安全配置，关闭不必要的服务和端口，及时更新补丁和漏洞修复。

8. 安全日志和监控：要记录Web应用的安全事件和异常行为，及时监控和响应安全事件，以及进行安全事件的分析和溯源，以便及时发现和应对安全威胁。

9. 安全培训和意识：为所有开发人员、测试人员和维护人员提供相关的安全培训，提高他们对Web应用安全的意识和知识水平。

安全是一个团队的责任，每个人都要有安全意识。

10. 定期安全审计和测试：定期对Web应用进行安全审计和测试，发现和修复潜在的安全漏洞，提高Web应用的安全性。

IT应用系统安全规范与操作规范信息安全管理中心2023年06月目录1 .概述 (4)2 .日常操作规范 (4)3 .系统安全规范♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦♦54 .文件上传规范 (7)5 .日志记录规范 (9)1 .概述随着国家对网络安全重视程度与监督检查力度逐年增大，鞍钢集团信息化所面临的网络安全问题也日趋严峻，不遵守安全规范的应用与终端往往会形成未知的安全风险隐患，经安全运营监测发现，目前鞍钢的各类应用普遍存在较为低级的安全问题，例如系统账户弱口令、系统漏洞、应用逻辑漏洞等问题，因此安全运营中心归纳整理了应用系统、终端层面的安全规范、安全策略及相关管理要求，具体内容如下：2 .日常操作规范在业务系统安全中，用户的日常操作行为是保证系统安全的关键，需要用户在日常工作中遵守以下操作规范：1、访问正规网站：禁止访问来源不明的网站查询、下载资料和软件。

正规网站包含以下两个特征：第一，网站域名有ICP备案；第二，可通过国家企业信用信息公示系统查询其工商信息。

2、注意虚假的网站：在输入用户名和密码前注意网站的URL是否合规，防止攻击者构造虚假的URL盗用用户名和密码。

3、合理使用邮箱：建议使用企业内部邮箱，防止出现恶意邮件，钓鱼邮件，进而攻破内网。

发现不明邮件应立即确认邮件来源，切勿轻易点击查看和下载。

4、终端准入系统：办公PC纳入终端准入系统，强制用户安装特定的杀毒软件才能入网，并要求其定期进行病毒查杀。

5、密码管理：要求用户使用强密码并定期更换（最多三个月），密码必须由大、小写字母、数字和特殊字符三者及以上混合八位以上组成（鞍山钢铁管理文件要求），目前安全运营平台判定规则为：密码必须由大、小写字母、数字和特殊字符四者混合八位以上组成为且不能有一定规律或者连续重叠，或伪强口令,例如Aal23456、AaBbOOOO.p@SSWord等，建议参考此规则修改。

软件开发安全管理办法
1.目的 (2)
2.适用范围 (2)
3.依据标准和文件 (2)
4.职责分工 (2)
5.术语和定义 (3)
6. 管理细则 (3)
6.1.开发条件及方式 (3)
6.2.软件开发项目管理 (3)
6.3.开发安全管理 (4)
1.目的
为规范公司的开发管理，进一步加强应用系统软件开发过程及开发交付的安全性，特制定本管理办法。

2. 适用范围
适用于公司软件开发过程的安全管理。

3. 依据标准和文件
GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》
GB/T 22081-2016/ISO/IEC 27002:2013《信息技术安全技术信息安全管理实用规则》
4. 职责分工
信息安全工作小组：负责组织编写并推广本管理办法；
各开发部各产品（项目）或系统开发组：负责软件开发。

测试部：开发完成后的测试和试运行。

系统服务部：正式运行的维护工作。

信息化应用系统开发安全规范1 概述软件不安全的因素主要来源于两个方面，一是软件自身存在错误和缺陷引起的安全漏洞，二是来自外部的攻击。

良好的软件开发过程管理可以很好地减少软件自身缺陷，并有效抵抗外部的攻击。

本规范主要规定了集团信息化应用系统在系统开发的各个阶段所应遵守的各种安全规范，将在不同阶段中所需要注意的安全问题和相关的安全规范进行进一步的描述和规定，以提高集团信息化应用系统的安全性和抵抗外部攻击的能力。

2 可行性计划可行性计划是对项目所要解决的问题进行总体定义和描述，包括了解用户的要求及现实环境，从技术、经济和需求3个方面研究并论证项目的可行性，编写可行性研究报告，探讨解决问题的方案，并对可供使用的资源（如硬件、软件、人力等）成本，可取得的效益和开发进度作出估计，制订完成开发任务的实施计划。

2.1 阶段性成果可行性研究报告。

2.2 可行性研究报告重点如下4个方面：1、设计方案可行性研究报告的需对预先设计的方案进行论证，设计研究方案，明确研究对象。

2、内容真实可行性研究报告涉及的内容以及反映情况的数据，必须绝对真实可靠，不许有任何偏差及失误。

可行性研究报告中所运用资料、数据，都要经过反复核实，以确保内容的真实性。

3、预测准确可行性研究是投资决策前的活动，对可能遇到的问题和结果的估计，具有预测性。

因此，必须进行深入地调查研究，充分地占有资料，运用切合实际的预测方法，科学地预测未来前景。

4、论证严密论证性是可行性研究报告的一个显著特点。

要使其有论证性，必须做到运用系统的分析方法，围绕影响项目的各种因素进行全面、系统的分析，既要作宏观的分析，又要作微观的分析。

3 需求分析软件需求分析就是对开发什么样的软件的一个系统的分析与设想，它是一个对用户的需求进行去粗取精、去伪存真、正确理解，然后把它用软件工程开发语言表达出来的过程。

需求分析阶段主要工作是完成需求对业务的表达，这体现在对需求规格说明书中，包括业务流程，子系统划分，状态图，数据流图等，最终通过用户用例完成业务分析测试。

WEB类应用系统安全防护技术要求Technical Specification of Security for Web Applications版本号： 1.0.0中国移动通信有限网络部目录前言 (1)1适用范围 (2)2引用标准与依据 (2)3相关术语与缩略语 (2)3.1术语 (2)3.1.1注入漏洞 (2)3.1.2SQL注入攻击 (3)3.1.3跨站漏洞 (3)3.1.4跨站攻击 (3)3.1.5非法上传 (3)3.1.6缓冲区溢出 (3)3.1.7非法输入 (3)3.1.8网站挂马 (3)3.1.9拒绝服务攻击 (3)3.1.10跨站请求伪造 (4)3.1.11目录遍历攻击 (4)3.2缩略语 (4)4综述 (4)5WEB类应用系统基本架构 (5)5.1业务逻辑结构 (5)5.2网络结构 (5)6WEB类应用风险分析 (6)6.1主要风险分析 (6)6.2脆弱性分析 (7)6.2.1物理 (7)6.2.2网络 (7)6.2.3设备 (7)6.2.4应用 (8)6.2.5内容 (10)6.2.6管理 (10)6.3威胁分析 (10)6.3.1物理 (10)6.3.2网络 (10)6.3.3设备 (11)6.3.4应用 (11)6.3.5内容 (13)7WEB类应用系统的安全防护需求 (13)7.1物理安全需求 (13)7.2分区防护需求 (13)7.2.1安全域划分要求 (13)7.2.2边界整合及域间互联安全要求 (14)7.3WEB类应用系统自身安全要求 (16)7.3.1操作系统安全要求 (16)7.3.2中间件安全要求 (16)7.3.3数据库安全要求 (17)7.3.4应用软件自身安全要求 (17)7.4专用安全设备部署需求 (20)8WEB类应用系统的安全防护方案 (20)8.1安全域划分及边界访问控制 (20)8.2设备自身安全 (21)8.3防火墙等基础性安全技术防护手段的部署 (21)8.3.1入侵检测设备的部署 (21)8.3.2防病毒系统的部署 (21)8.3.3抗DDOS攻击设备的部署 (21)8.3.4专业性的WEB系统应用层安全防护系统 (23)8.3.5纳入集中安全管控平台管理范围 (25)8.4安全管理 (26)9WEB系统安全实施思路 (26)10编制历史 (26)前言当前，WEB类应用系统部署越来越广泛，与此同时，由于WEB安全事件频繁发生，既损害了WEB系统建设单位的形象，也可能直接导致经济上的损失，甚至产生严重的政治影响。

W e b安全测试规范内部编号：（YUUT-TBBY-MMUT-URRUY-UOOY-DBUYI-0128）D K B A华为技术有限公司内部技术规范DKBAWeb应用安全测试规范2009年7月5日发布 2009年7月5日实施华为技术有限公司Huawei Technologies Co., Ltd.版权所有侵权必究All rights reserved修订声明Revision declaration本规范拟制与解释部门：安全解决方案部电信网络与业务安全实验室、软件公司安全TMG、软件公司测试业务管理部本规范的相关系列规范或文件：《Web应用安全开发规范》相关国际规范或文件一致性：《OWASP Testing Guide v3》《信息安全技术信息安全风险评估指南》《Information technology Security techniques Management of information and communications technology security》－ISO 13335替代或作废的其它规范或文件：无相关规范或文件的相互关系：本规范以《Web应用安全开发规范》为基础、结合Web应用的特点而制定。

目录 Table of ContentsWeb安全测试规范缩略语清单1概述1.1背景简介在Internet大众化、Web技术飞速演变、黑客工具日益普及的今天，针对Web的攻击和破坏不断增多，在线安全面临日益严峻的挑战，安全风险达到了前所未有的高度。

为了规避Web安全风险、规范Web安全开发，公司已经制定并发布了《Web 应用安全开发规范》；但如何系统的进行Web安全性测试，目前缺少相应的理论和方法支撑。

为此，我们制定《Web 安全测试规范》，本规范可让测试人员针对Web 常见安全漏洞或攻击方式，系统的对被测Web 系统进行快速安全性测试。

1.2 适用读者本规范的读者及使用对象主要为Web 相关的测试人员、开发人员、专职的安全测试评估人员等。