应用系统安全开发技术规范V1.3【参考】.docx

应用系统安全开发技术规范（版本号 V1.3）朗新科技股份有限公司二〇一五年十二月更改履历版本号修改编号更改时间更改的图表和章节号更改简要描述更改人批准人0.52013-11-24初稿施伟施伟1.02015-11-19修改宋月欣陈志明1.12015-11-30修改宋月欣陈志明1.22015-12-3修改宋月欣施伟1.32015-12-3修改施伟注：更改人除形成初稿，以后每次修改在未批准确认前均需采用修订的方式进行修改。目录1背景与目标12安全编程概念12.1安全编程12.2结构化编程22.3脆弱性22.4可信计算22.5安全可信模块32.6不可信任模块32.7敏感信息32.8特权32.9信息隐藏32.10中间件32.11死锁42.12可信边界42.13元字符42.14参数化查询42.15UNIX JAIL环境42.16临时文件42.17信息熵52.18SSL52.19TLS52.20HTTPS52.21Http会话52.22Cookie62.23HttpOnly Cookie63安全编程原则63.1统一的安全规范63.2模块划分63.3最小化功能73.4最小化特权73.5对多任务、多进程加以关注73.6界面输出最小化73.7使代码简单、最小化和易于修改83.8避免高危的服务、协议83.9数据和代码分离83.10关键数据传输保护83.11禁止赋予用户进程特权83.12使用适当的数据类型93.13使用经过验证的安全代码93.14使用应用中间件93.15设计错误、异常处理机制93.16提供备份机制93.17检查传递变量的合法性93.18检查所有函数返回代码93.19修改面向用户的操作的反馈缺省描述93.20文件操作的要求103.21其他编码原则104应用安全分析114.1安全需求114.2安全威胁114.2.1Web安全漏洞114.2.2拒绝服务攻击124.2.3嗅探攻击124.2.4中间人攻击124.3安全约束135安全编程要求135.1输入处理135.1.1建立可信边界135.1.2验证各种来源的输入145.1.3保证所有的输入信息是被验证过的145.1.4对输入内容进行规范化处理后再进行验证155.1.5选择合适的数据验证方式155.1.6防范元字符攻击155.1.7拒绝验证失败的数据155.1.8在服务端进行验证155.1.9建立统一的输入验证接口165.1.10控制写入日志的信息165.1.11从服务器端提取关键参数165.2输出处理165.2.1限制返回给客户的信息165.2.2建立错误信息保护机制165.3数据库访问165.3.1合理分配数据库访问权限165.3.2合理存放数据库连接帐号和密码信息175.3.3使用参数化请求方式175.3.4对 SQL 语句中来自于不可信区域的输入参数进行验证185.3.5对数据库操作的返回数据进行验证185.3.6分次提取数据185.3.7通过 row（行）级别的访问控制来使用数据库185.3.8确保数据库资源被释放185.4文件操作195.4.1对上传文件进行限制195.4.2把文件名以及文件内容作为不可信的输入对待195.4.3安全的使用文件名195.4.4使用文件系统访问控制195.4.5注意文件访问竞争条件195.4.6安全使用临时文件205.4.7确保文件系统资源被释放206安全特征206.1关注应用的对象重用206.2用户访问控制信息的机密性206.3不要在客户端存放敏感数据206.4避免内存溢出216.5可配置数据保护216.6禁止在源代码中写入口令216.7随机数216.8使用可信的密码算法226.9异常管理227应用安全设计规范237.1应用安全规划237.2数据安全等级划分237.3数据库规划237.3.1用户权限237.3.2数据源设计237.3.3外部系统访问237.4角色划分247.5URL规划247.6程序文件目录规划247.6.1数据及程序分离247.6.2静态程序资源247.6.3程序文件分类247.7Cookie247.8文件安全257.8.1文件存储257.8.2文件操作257.8.3文件类型257.9第三方组件安全257.9.1组件兼容性257.9.2组件安全及成熟度257.9.3组件配置257.10Web Service257.11RESTful Web Service267.12应用安全关注点277.13应用安全限制应对方案297.13.1外网隔离297.13.2外网文件操作297.13.3正向和反向隔离装置（国网系统）298应用安全开发规范308.1Java及Web安全编程规范308.1.1不信任未知308.1.2数据层开发308.1.3会话管理328.1.4Cookie338.1.5输入验证338.1.6输入文件名的验证348.1.7输出