信息系统安全技术规范v1.0选读.docVIP

目次 前言 II 第一章 范围 1 第二章 规范引用性文件 1 第三章 缩略语和术语定义 1 第四章 电子渠道安全技术规范概述 3 4.1 电子渠道安全技术规范范围 3 4.2 电子渠道安全技术规范内容 3 第五章 电子渠道信息系统整体安全技术架构 3 第六章 电子渠道安全技术要求 4 6.1 业务安全 4 6.1.1 登陆办理类 4 6.1.2 信息查询类 5 6.1.3 电子商城类 6 6.1.4 缴费充值类 6 6.1.5 页面展示类 7 6.2 应用安全 7 6.2.1 身份鉴别 7 6.2.2 访问控制 8 6.2.3 入侵防范 9 6.2.4 安全审计 9 6.2.5 剩余信息保护 9 6.2.6 通信完整性 9 6.2.7 通信保密性 9 6.2.8 抗抵赖 10 6.2.9 资源控制 10 6.3 代码安全 10 6.3.1 代码开发 10 6.3.2 代码测试 18 6.3.3 代码部署 19 6.4 数据安全 20 6.4.1 数据保密性 20 6.4.2 数据完整性 20 6.4.3 数据可用性 20 前言 为了规范中国联通电子渠道系统的安全防护建设，中国联通制定了以下安全规范: 《中国联通电子渠道安全技术规范》 《中国联通电子渠道安全测试规范》 本标准是其中的《中国联通电子渠道安全技术规范》。 本标准是在充分了解中国联通ECS、ESS系统的安全建设情况以及未来规划，参考相关行业标准的基础上，编制而成。 本标准由中国联通公司电子渠道中心提出，并由中国联通公司技术部统一归口管理。 本标准主要起草单位：中国联通公司电子渠道中心。 本标准主要起草人：刘江林、金波、吴盛博、陈晓光、刘宇航等。 本标准的修改和解释权属中国联通公司。 中国联通电子渠道安全技术规范 范围 本规范规定了电子渠道ECS、ESS系统的安全技术规范，适用于中国联通总部电子渠道中心，是中国联通ECS、ESS系统的应用安全技术规范和依据。本规范为总部电子渠道ECS、ESS系统提供安全技术规范。 规范引用性文件 《173-2010中国联通电子渠道技术规范v1.0》 《YD/T 2092-2010 网上营业厅安全防护要求》 《YD/T 1752-2008 支撑网安全防护要求》 《YD/T 1728-2008 电信网和互联网安全防护管理指南》 《YD/T 1729-2008 电信网和互联网安全等级保护实施指南》 《YD/T 1730-2008 电信网和互联网安全风险评估实施指南》 《YD/T 1731-2008 电信网和互联网灾难备份及恢复实施指南》 缩略语和术语定义 本规范所涉及的缩略语定义如下： 缩略语 英文全称 中文全称 ECS Electronic Channel System 电子渠道系统 ESS Electronic Sales Services Management System 电子化销售服务管理系统 BSS Business Support System 业务支撑系统 IPS Intrusion Prevention System 入侵预防系统 IDS Intrusion Detection System 入侵检测系统 SSL Secure Sockets Layer 安全套接层 ECC Error Correcting Code 错误检查和纠正 本规范所涉及的术语定义如下： 术语 解释与说明 电子渠道信息系统 中国联通电子渠道信息系统直接面向互联网开放，通过Web、短信、WAP等多种渠道，提供话费积分查询、业务定制、充值交费、销售管理等创新型业务应用，在本规范中则限指ECS、ESS两大系统。 组织 由不同作用的个体为实施共同的业务目标而建立的结构，组织的特性在于为完成目标而分工、合作。一个单位是一个组织，某个业务部门也可以是一个组织。 业务 电子渠道信息系统支持的业务过程，通常包括多步活动，并与用户、客服等多人间有交互，例如话费积分查询、业务定制、充值交费、销售管理业务等。 开发框架 开发框架即framework，是一组功能实现套件的结合体，提供了应用系统各个功能开发的最佳实践集合，使开发更具工程性、简便性和稳定性 缓冲区溢出攻击 缓冲区溢出攻击是指当计算机向缓冲区内填充数据时，数据位数超过了缓冲区本身的容量，溢出的数据覆盖了合法数据。如果程序的返回地址被覆盖，当程序返回时，就有可能返回到攻击者的恶意代码段，而执行恶意代码。 整数溢出攻击 因为计算机表示数据的局限性，对有符号整数，无符号整数或是指针等类型的变量做运算时，返回的结果数过大或者过小超出了变量类型所能表示的最大或最小范围，就会导致整数溢出。如果程序不考虑整数溢出问题会导致逻辑错误或缓冲区溢出等风险。 跨站脚本攻