软件开发安全设计专项方案表.docVIP

海尔集团

软件开发安全设计方案表

威胁类型

消减机制

处理方案

假冒

身份验证

使用强密码；

使用不在网络上传输密码身份验证机制，如Kerberos协议，Windows身份验证机制

确定密码加密或使用加密通道

在固定次数密码重试后对账户进行锁定

考虑只支持当地管理

将管理界面数量减到最少

审核和日志统计

统计关键应用程序操作

审核登陆和注销事件，访问文件系统和失败对象访问尝试

备份日志文件，并定时分析可疑活动统计

篡改

会话管理

利用SSL创建一个安全通信通道；

实现注销功效，许可用户在开启另一个会话时结束身份验证会话；

确保限制会话/cookie使用期；

使用加密技术；

使用散列消息身份验证代码HMAC；

实施关键功效时，重新进行身份验证；

使会话在合适时间后过期，包含全部cookie和会话标识；

不许可用户端存放会话数据；

审核和日志统计

使用受限ACL来保护日志文件

将系统文件从默认位置重新进行定位

敏感数据管理

使用防篡改协议，如散列消息身份验证代码（HMAC）来保护在网络上传输敏感数据；

授权

访问控制

给角色安全策略

抵赖

身份验证

使用强密码；

使用不在网络上传输密码身份验证机制，如Kerberos协议，Windows身份验证机制

确定密码加密或使用加密通道

在固定次数密码重试后对账户进行锁定

不得使用共享管理账户

分配用户、应用程序、服务账户使用账户单一访问源

审核和日志统计

统计关键应用程序操作

审核登陆和注销事件，访问文件系统和失败对象访问尝试

备份日志文件，并定时分析可疑活动统计

信息泄露

加密技术

使用内置加密规程

使用强随机密钥生成函数，并将函数储存在一个受限地方

使用密钥过期

不开发自己定义算法

了解被破解算法和用来破解算法技术

异常管理

在整个应用程序代码库中使用异常处理

处理和统计许可传输到应用程序边界异常

返回给用户端通常错误信息

敏感数据管理

对包含敏感数据数据存放区使用ACL；

对存放数据进行加密；

基于身份和角色授权，确保只有含有合适授权等级用户才许可访问敏感数据；

授权

在访问数据前，进行身份验证

利用强ACL保护系统资源

使用标准加密技术将敏感数据存放到配置文件和数据库中

拒绝服务

审核和日志统计

审核和统计服务器和数据库服务器和应用服务器（如使用）上活动

统计关键事件，如交易，登陆和注销事件

不得使用共享账户

异常管理

根本验证服务器全部输入数据

在整个应用程序代码库中使用异常处理

输入验证

实施完全输入验证

使用最低特权账户和数据库连接

利用参数化存放过程访问数据库，确保不会将输入字符串视为可实施语句

避免使用文件名作为输入，使用最终用户不能更改绝对文件路径

确保文件名正确，并在程序上下文进行验证

确保字符编码设置正确，以限制输入表示方法

特权提升

授权

使用最低特权进程，服务和用户账户

使用合适授权来限制可信代码访问