安全技术规范课件.pptx

上传人:小飞机 文档编号:1463415 上传时间:2022-11-28 格式:PPTX 页数:55 大小:1.39MB
返回 下载 相关 举报
安全技术规范课件.pptx_第1页
第1页 / 共55页
安全技术规范课件.pptx_第2页
第2页 / 共55页
安全技术规范课件.pptx_第3页
第3页 / 共55页
安全技术规范课件.pptx_第4页
第4页 / 共55页
安全技术规范课件.pptx_第5页
第5页 / 共55页
点击查看更多>>
资源描述

《安全技术规范课件.pptx》由会员分享,可在线阅读,更多相关《安全技术规范课件.pptx(55页珍藏版)》请在三一办公上搜索。

1、2022/11/28,Inspur group,目录,一、序言二、技术安全保障 1、客户端安全 2、专用辅助设备安全 3、网络通信安全 4、服务器端安全三、业务运作安全保障四、管理安全保障五、安全保障评估,2022/11/28,Inspur group,目录,一、序言二、技术安全保障 1、客户端安全 2、专用辅助设备安全 3、网络通信安全 4、服务器端安全三、业务运作安全保障四、管理安全保障五、安全保障评估,1.客户端安全,2022/11/28,Inspur group,客户端程序,2022/11/28,Inspur group,客户端程序安全,窃听和截屏,客户端程序应防范键盘窃听敏感信息,例

2、如防范采用挂钩windows键盘消息等方式进行键盘窃听,并应具有对通过挂钩窃听键盘信息进行预警的功能。防范措施:一般采用密码输入控件和软键盘客户端程序应采用反屏幕录像技术,防止非法程序获取敏感信息,2022/11/28,Inspur group,防篡改,客户端程序应防范恶意程序获取或篡取敏感信息,例如用户使用浏览器访问商务页面时,恶意木马程序通过IE COM接口读取输入框数据、表单等页面内容,获取如登录账号、密码等信息,并可提取篡改客户端的脚本代码 防范措施:采用接口脚本安全保护控件对IE浏览器核心的 COM对象访问及客户端脚本注入进行防范客户端程序的临时文件(不限于cookies)中不应出现

3、敏感信息.禁止在身份认证结束后存储敏感信息,防止信息泄露,2022/11/28,Inspur group,反汇编,客户端程序应具有抗逆向分析、抗反汇编等安全性保护措施,防范攻击者对客户端程序的调试、分析和篡改。防范措施:一般采用混淆加壳的方式来打乱程序的结构,2022/11/28,Inspur group,评测,客户端程序上线前应进行严格的代码安全测试,如果客户端程序时外包给第三方机构开发的,应要求开发商进行代码安全测试。应建立定期对客户端程序的安全检测机制客户端程序应通过指定的第三方中立测试机构的安全检测,2022/11/28,Inspur group,1.客户端安全,2022/11/28,

4、Inspur group,密码策略,禁止明文显示密码,应使用相同位数的同一特殊字符(例如*和#)代替密码应有复杂度要求密码长度至少6位、支持数字和字母共同组成客户设置密码时,应提示客户不用简单密码如有初始密码,首次登录时应强制客户修改初始密码,2022/11/28,Inspur group,防暴力破解,应具有防范暴力破解静态密码的保护措施,例如在登录和交易时使用图形认证码,2022/11/28,Inspur group,密码保护,使用软键盘方式输入密码时,应对整体键盘布局进行随机干扰应保证密码加密密钥的安全采用辅助安全设备(如USB Key)输入并保护密码密码输入后立即加密,敏感信息在应用层保

5、持端到端加密,2022/11/28,Inspur group,1.客户端安全,2022/11/28,Inspur group,登录控制,设置连续失败登陆次数为10次以下,超过限定次数锁定登录权限退出登录或客户端程序、浏览器关闭后,应立即终止会话,保证无法通过后退、直接输入访问地址等方式重新进入登录后的页面退出登录时应提示客户取下专用辅助安全设备,2022/11/28,Inspur group,2022/11/28,Inspur group,目录,一、序言二、技术安全保障 1、客户端安全 2、专用辅助设备安全 3、网络通信安全 4、服务器端安全三、业务运作安全保障四、管理安全保障五、安全保障评估

6、,2.专用辅助设备安全,2022/11/28,Inspur group,USB Key动态密码卡其它,USB Key,应使用指定的第三方中立测试机构安全检测通过的USB Key应在安全环境下完成USB Key的个人化过程USB Key应采用具有密钥生成和数字签名运算能力的智能卡芯片,保证敏感操作在USB Key内进行USB Key的主文件应受到COS安全机制保护,保证客户无法对其进行删除和重建应保证私钥在生成、存储和使用等阶段的安全,2022/11/28,Inspur group,USB Key,参与密钥、PIN码运算的随机数应在USB Key内生成,其随机指标应符合国际通用标准的要求应保证P

7、IN码和密钥的安全应设计安全机制保证USB Key驱动的安全在外部环境发生变化时,USB Key不应泄露敏感信息或影响安全功能USB Key能自动识别待签名数据的格式,识别后在屏幕上显示签名数据或语音提示,2022/11/28,Inspur group,动态密码卡,动态口令长度不少于6位服务器随机产生口令位置坐标应设定动态密码卡使用有效期,超过有效期作废新卡使用涂层覆盖等方法保护口令动态密码卡与客户唯一绑定,2022/11/28,Inspur group,其它,指纹识别手机短信动态密码开通手机动态密码时,应使用人工参与控制的可靠手段验证客户身份并登记手机号码。更改手机时,应对客户的身份进行有效

8、验证手机动态密码应随即产生,长度不应少于6位应设定手机动态密码的有效时间,最长不超过10分钟,超过有效期立即作废交易的关键信息应与动态密码一起发给客户,并提示客户确认,2022/11/28,Inspur group,2022/11/28,Inspur group,目录,一、序言二、技术安全保障 1、客户端安全 2、专用辅助设备安全 3、网络通信安全 4、服务器端安全三、业务运作安全保障四、管理安全保障五、安全保障评估,3.网络通信安全,通讯协议安全认证方式,2022/11/28,Inspur group,通讯协议,使用强壮的加密算法和安全协议保护客户端和服务器端的链接,例如SSL/TLS 使用

9、SSL协议,应使用3.0级以上高版本协议客户端到服务器的SSL加密密钥长度不低于128位;签名的RSA密钥长度不低于1024位;签名的ECC密钥长度不低于160位防止报文的重复攻击,防范措施:加入时间戳,2022/11/28,Inspur group,SSL/TLS使用示意,2022/11/28,Inspur group,客户端,浏览器安全管理,加密模块,SSL/TLS 通道,HTTPS(SSL),对称加密保证传输信息的私密性,身份认证及访问控制管理,服务器,HTTPS服务器,加密模块,工作站,安全认证方式,服务器和客户端应进行双向身份认证整个通讯期间,经过认证的通讯线路一直保持安全链接状态服

10、务器端系统判定客户端的空闲状态,当空闲超过一定时间后,可自动关闭连接,客户再次操作必须重新登录能判定同一次登录后的所有操作必须使用同一IP和MAC地址,否则服务器自动关闭可使用国家主管部门认定的具有电子认证服务许可证的CA证书及认证服务,2022/11/28,Inspur group,客户端和服务器通过SSL双向认证,2022/11/28,Inspur group,2022/11/28,Inspur group,目录,一、序言二、技术安全保障 1、客户端安全 2、专用辅助设备安全 3、网络通信安全 4、服务器端安全三、业务运作安全保障四、管理安全保障五、安全保障评估,4.服务器端安全,2022

11、/11/28,Inspur group,网络架构安全,2022/11/28,Inspur group,基本的网络防护架构示意图,2022/11/28,Inspur group,增强的网络防护架构示意图,2022/11/28,Inspur group,合理部署网络架构,合理划分网络区域,交易网络与办公网及其他网络进行隔离维护与运行情况相符的网络拓扑图,并区分可信区域与不可信区域采用IP伪技术隐藏内部IP,防止内部网络非法被访问部署入侵检测系统/入侵防御系统,对网络异常流量进行监控在所有互联网入口及隔离区(DMZ)与内部网络间部署防火墙,对非业务必须的网络数据进行过滤采取措施保障关键服务器时间同步

12、核心层、汇聚层的设备和重要的接入层设备均应双机热备,例如核心交换机、服务器群接入交换机、核心路由器、防火墙等相关重要设备保证网络带宽和网络设备的业务处理能力具备冗余控件,满足业务高峰期和业务发展需要,2022/11/28,Inspur group,访问控制,在网络结构上实现网间的访问控制,采取技术手段控制网络访问权限应对重要主机的IP地址与MAC地址进行绑定禁止将管理终端主机直接接入核心交换机、汇聚层交换机、网间互联边界接入交换机和其他专用交换机明确业务必需的服务和端口,不应开放多余服务和端口禁止开发远程拨号访问,2022/11/28,Inspur group,网络设备的管理规范和安全策略,将

13、关键或敏感的网络设备存放在安全区域,应使用相应的安全防护设备和准入控制手段以及有明确标志的安全隔离带进行保护应更改网络安全设备的初始密码和默认设置在业务终端与服务器之间通过路由控制建立安全的访问途径指定专人负责防火墙、路由器和IDS/IPS的配置和管理,按季定期审核配置规则所有设备的安全配置都必须经过审批在变更防火墙、路由器和IDS/IPS配置规则前,确保更改已进行验证和审批,2022/11/28,Inspur group,安全审计和日志,应对网络设备的运行情况、网络流量、管理员行为等信息进行日志记录,日志至少保存3个月审计记录应包括但不限于:事件发生的时间、相关操作人员、事件类型、事件是否成

14、功及其他与审计相关的信息应根据记录进行安全分析,并生成审计报表应对审计记录进行保护,避免被未授权删除、修改或覆盖,2022/11/28,Inspur group,入侵检测,应严格限制下载和使用免费软件或共享软件,应确保服务器系统安装的软件来源可靠,且在使用前进行测试所有外设在使用前应进行病毒扫描制定合理的IDS/IPS的安全配置策略,并指定专人定期进行安全事件分析和安全配置策略优化应在网络边界出监视并记录以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标和攻击时间,在发生严重入侵事件时

15、应提供报警或自动采取防御措施,2022/11/28,Inspur group,4.服务器端安全,2022/11/28,Inspur group,系统设计安全,敏感客户参数修改应在一次登录过程中进行二次认证系统应具有保存和显示客户历史登录信息(例如时间、IP地址、MAC地址等)的功能,支持客户查询登录、交易等历史操作系统应根据业务必须原则向客户提供数据,禁止提供不必要的数据在显示经认证成功后的客户身份证件信息时,应屏蔽部分关键内容系统应具有账户信息变动提供功能,可使用手机短信、电子邮件等方式实时告知客户其账户的密码修改等重要信息系统应具有防网络钓鱼的功能,例如显示客户预留信息等,2022/11/

16、28,Inspur group,4.服务器端安全,2022/11/28,Inspur group,WEB应用安全,资源控制系统最大并发会话连接数进行限制单个用户的多重并发会话数进行限制一个时间段内可能的并发会话连接数进行限制通信双方的一方在指定时间内未作响应,另一方自动结束会话编码规范依据安全规范编码 例如不允许在程序中写入固定密钥应用上线前,做好代码审查,识别后门程序、恶意代码及安全漏洞,2022/11/28,Inspur group,WEB应用安全,会话安全会话标识随机并唯一会话维持认证状态,防止直接输入登录后的地址访问登录后的页面交易后,防止使用浏览器的“后退”功能查看上一交易页面的重要

17、信息、防范措施:运用客户端脚本禁止显示浏览器工具条,或者自动显示错误页面应用程序设置允许客户登录后的空闲时间,当超过指定时间,自动终止会话,2022/11/28,Inspur group,WEB应用安全,源代码管理备份在只读介质,例如光盘严格控制对生产版本源的访问生产源代码加强版本控制,保证运行期版本的稳定防止敏感信息的泄露删除Web目录下的测试脚本和程序与Web应用无关的文件需要隔离存储,并进行严格的访问控制设置严格的目录访问权限,防止未授权访问统一目录访问的出错提示信息禁止目录浏览,2022/11/28,Inspur group,WEB应用安全,防止SQL注入攻击应用程序对客户提交的表单、

18、参数进行有效合法性判定和非法字符过滤,防止攻击者恶意构造SQL语句实施注入攻击禁止仅在客户端以脚本形式对客户输入进行合法性判定和参数过滤数据库尽量使用存储过程或参数化查询,并严格定义用户的角色和权限防止拒绝服务攻击,2022/11/28,Inspur group,4.服务器端安全,2022/11/28,Inspur group,数据安全,要保证客户的数据安全,需要做到数据隔离(例如数据分区等),尤其是在SaaS的应用体现尤为明显,还要保证数据库访问的安全性,对敏感数据进行加密等,2022/11/28,Inspur group,数据安全,2022/11/28,Inspur group,身份鉴别,

19、登录系统或数据库的用户进行身份标识和鉴别,严禁匿名登录应用系统提供登录失败处理功能,如结束会话、限制非法登录次数和自动退出等措施为访问用户分配不同账号并设置不同初始密码,不建议共享账号和密码首次登录应用系统强制修改密码,并提供定期修改密码功能要能灵活定义密码强度及有效期对密码进行强制密码保护,不允许明文密码用户重置密码时,要先对用户身份进行核实然后进行后续操作通信时采用加密通信方式,以免认证信息被窃听,2022/11/28,Inspur group,访问控制,根据“业务所需”原则授权不同用户为完成各自承担任务所需的最小权限,并在它们间形成相互制约的关系明确系统中各类用户的级别及权限,操作系统和

20、数据库特权用户应进行权限分离严格限制默认用户的访问权限,重命名系统默认用户,修改默认用户密码,及时删除多余的、过期的用户严格控制操作系统重要目录及文件的访问权限,2022/11/28,Inspur group,访问控制,技术实现,一般采用国家标准推荐的基于角色的访问控制标准(RBAC)模型访问控制组成,2022/11/28,Inspur group,安全审计,审计范围覆盖到服务器和终端上的每个用户审计内容包括重要的用户行为、系统资源的异常使用以及重要操作相关的安全事件审计记录包括时间、类型、访问者、访问对象和事件结果能对记录进行安全分析并生成审计报表保护审计记录,避免未授权的删除、修改或覆盖,

21、2022/11/28,Inspur group,日志管理,记录系统管理员登录的时间、登录系统的方式、失败的访问尝试、系统管理员的操作以及涉及数据安全的访问记录严格控制系统日志的访问权限,只有经过审批的岗位人员才能查看定期检查日志,对可疑记录进行分析审核配备专有日志服务器,及时备份到日志服务器或安全介质中,2022/11/28,Inspur group,灾难备份和恢复,建立重要数据的定期数据备份机制,至少每天进行一次完整的数据增量备份,并将备份介质存放在安全区域内应对关键数据进行同城和异地的实时备份,保证业务应用能够实现实时切换应制定灾难恢复计划并定期进行测试,确保各个恢复程序的正确性和技术整体的有效性,2022/11/28,Inspur group,2022/11/28,Inspur group,谢谢大家!,更多精品资请访问,更多品资源请访问,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号