web系统设计安全性基本要求

接口设计安全

身份鉴别	独立的登录模块：为社会用户和平台运营管理用户提供独立的登录地址、登录界面和身份认证模块，通过防火墙等设备严格限制能够登录WEB应用的用户地址、身份； 双因素认证： 平台运营管理人员：采用用户名/口令+数字证书方式进行身份鉴别； 商户：采用用户名/口令+数字证书方式进行身份鉴别； 在执行支付业务时采取独立的支付密码，以保证资金支付安全。
访问控制	最小权限：在服务端设计用户应用操作权限及关键资源访问权限，应用权限按照功能模块、应用界面、操作细化至菜单级，控制用户权限粒度，并授予其完成各自承担任务所需的最小权限； 关键数据和业务操作控制：对关键资源访问按照数据库表、关键记录、数据字段级别进行控制。关键数据有账户信息，用户敏感信息等，对关键数据采用加密存储，采用加密算法进行加密。 限制涉及批量查询和数据导出操作的授权。
安全审计	对用户登录、登出、业务授权、涉及敏感数据的批量查询和数据导出操作及重要业务操作行为进行日志记录，记录信息系统操作全过程，确保操作行为可追溯； 具备业务授权许可使用监督功能，记录信息平台操作全过程，确保操作行为可追溯，并对越权使用、非常规登录等异常行为进行告警； 对连续失败登录、越权使用、非常规登录等异常行为进行告警； 日志记录独立存储，由审计管理员查询、统计、导出； 提供运行监控功能，通过监控界面，日志和审核信息，对关键信息进行监控，界面无法操作编辑日志，无法删除、修改或覆盖审计记录。
加密技术	数据加密：在应用中采用国际标准加密算法/国产加密算法对数据进行加解密处理，以保障应用和数据的存储、传输和使用安全： 用户鉴别信息：将用户密码与其它用户识别信息（如用户帐号或其它注册信息）采用哈希算法进行处理后作为用户鉴别信息的哈希值存储，以保证每个用户的鉴别信息不同； 重要业务数据的保密性：采用对称算法（对数据进行加密处理后进行传输或存储，算法处理中使用的对称算法密钥通过其它安全方式进行传输或存储； 上述加解密过程采用国家密码管理局认证的密码设备提供的密码算法接口，并由密码设备提供密钥生成、分发、验证、更新、存储、备份、销毁等管理功能。 通信报文：在访问重要的业务应用（如提交支付等信息的页面）时，在对数据进行加密处理的基础上，强制使用HTTPS安全协议对整个通信报文进行加密传输； 集成服务：使用HTTPS安全协议传输，采用数字签名进行安全防护。 全网使用https协议传输以确保数据的安全。
软件容错	服务端应用程序对客户端提交的所有数据、表单进行有效性合法性判断和非法字符过滤。 对客户端输入的参数严格限制类型和长度。 限制可接受用户输入的字段，并对来自客户端的所有值进行修改和验证。 程序发生异常时使用通用错误信息，并在日志中记录详细的错误消息。 系统提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复。
配置管理	使用基于角色的授权策略控制配置管理角色，控制配置权限粒度，配置管理功能只能由经过授权的操作员和管理员访问； 配置文件存放在非Web目录下，防止出现的服务器配置漏洞导致配置文件被下载； 对配置文件中的重要信息进行加密确保配置安全。
抗抵赖	使用第三方数字证书进行数字签名，保证业务关键数据传输的保密性和抗抵赖性。 详细记录重要业务操作的日志并提供日志查询功能，在用户请求时，为业务操作发起方或接收方提供数据发送或接收的证据；
应用接口安全	统一输入及输出数据验证接口，保障验证逻辑的一致性。 按照各接口数据格式，对输入数据进行格式化，例如URL、日期、数字、字符串等，确保数据格式正确； 针对特殊字符进行检测，例如单引号、1=1、CDATA，分号、for、loop等，防止XML注入、SQL注入及脚本注入攻击且服务器端和客户端都进行验证； 采用正则表达式验证数据结果； 对图片或文档等上传文件类型漏洞进行防护。 内部不同应用接口之间按照双方约定的报文规范对敏感数据进行加密，接口访问需要验证秘钥，对数据做签名校验，采用HTTPS协议进行机密性和完整性保护；对交易日志进行详细记录。

数据安全

一、用户账号数据

1、保密性措施

存储安全：

用户鉴别信息只允许在服务器端数据库存储；禁止在服务器端其它区域和客户端存储；

用户鉴别信息采用用户口令+用户账号的哈希值+加盐处理的方式存储，以保证其保密性和唯一性。

传输安全：

采用加密算法在客户端对用户输入口令和账号处理生成哈希值，再将其与随机验证码进行哈希处理和加盐处理的方式后，与用户账号一起使用HTTPS

2、完整性措施

存储安全：

通过数据库约束条件实现完整性保护；

同存储保密性措施，对用户鉴别信息采用哈希值和加盐处理的方式存储，可以保证其完整性。

传输安全：

同传输保密性措施，采用哈希处理和加盐处理的方式，使用HTTPS协议保证用户鉴别信息数据在传输过程中的完整性。

3、可用性措施

进行定期数据备份。

进行数据级灾备，进行本地数据和异地数据备份与恢复，完全数据备份至少每天一次，备份介质场外存放。

二、配置性数据

1、保密性措施

存储安全：

只允许在服务器端数据库存储；禁止在服务器端其它区域和客户端存储；

重要配置数据采用对称算法SM4加密后存储。

传输安全：

使用HTTPS协议加密传输。

2、完整性措施

存储安全：

通过数据库约束条件实现完整性保护；

采用哈希算法生成数字摘要，在读取数据时进行验证。

传输安全：

使用HTTPS协议保证数据传输过程不被篡改。

3、可用性措施

进行定期数据备份。

进行数据级灾备，进行本地数据备份与恢复，完全数据备份至少每天一次

三、业务性数据

1、保密性措施

存储安全：

只允许服务器端数据库存储；禁止在服务器端其它区域和客户端存储；

传输安全：

平台与内容服务商系统、短信服务系统和第三方支付平台交互的业务数据使用HTTPS协议加密传输；

2、完整性措施

存储安全：

通过数据库约束条件实现完整性保护；

使用HTTPS协议和SM1算法加密保证数据传输过程不被篡改。

3、可用性措施

 进行定期数据备份。