網(wǎng)上營(yíng)業(yè)廳脆弱性VulnerabilityofOnlineBusinessHall 網(wǎng)上營(yíng)業(yè)廳中存在的弱點(diǎn)、缺陷與不足，不直接對(duì)資產(chǎn)造成危害，但可能被威脅所利用從而危害資 產(chǎn)的安全。

營(yíng)業(yè)廳災(zāi)難DisasterofOnlineBusinessHall

網(wǎng)上營(yíng)業(yè)廳火難 DisasterofOnlineBusinessHal 由于各種原因，造成網(wǎng)上營(yíng)業(yè)廳故障或癱，使網(wǎng)上營(yíng)業(yè)廳的功能停頓或服務(wù)水平不可接受的突發(fā) 性事件。

建筑工程標(biāo)準(zhǔn)規(guī)范范本網(wǎng)上營(yíng)業(yè)廳災(zāi)難備份BackupforDisasterRecoveryofOnlineBusinessHall 為了網(wǎng)上營(yíng)業(yè)廳災(zāi)難恢復(fù)而對(duì)相關(guān)網(wǎng)絡(luò)要素進(jìn)行備份的過(guò)程。

為了將網(wǎng)上營(yíng)業(yè)廳從災(zāi)難造成 狀態(tài)或部分正常運(yùn)行狀態(tài)、并將其 功能從災(zāi)難造成的不正常狀態(tài)恢復(fù)到可接受狀態(tài)，而設(shè)計(jì)的活動(dòng)和流程。

網(wǎng)上營(yíng)業(yè)廳業(yè)務(wù)流程ServiceProcessofOnlineBusinessHal

網(wǎng)上營(yíng)業(yè)廳業(yè)務(wù)流程ServiceProcessofOnlineBusinessHall 網(wǎng)上營(yíng)業(yè)廳支持的業(yè)務(wù)過(guò)程，通常包括多步活動(dòng)，并與用戶(hù)、客 入網(wǎng)網(wǎng)上辦理信機(jī)業(yè)務(wù)第

網(wǎng)上營(yíng)業(yè)廳業(yè)務(wù)流程ServiceProcessofOnlineBusinessHall

中間件Middleware

一種獨(dú)立的系統(tǒng)軟件或服務(wù)程序，中間件位于客戶(hù)機(jī)/服務(wù)器的操作系統(tǒng)之上，管理計(jì)算機(jī)資 各通訊，是連接兩個(gè)獨(dú)立應(yīng)用程序或獨(dú)立系統(tǒng)的軟件，針對(duì)不同的操作系統(tǒng)和硬件平臺(tái)，中間件 符合接口和協(xié)議規(guī)范的多種實(shí)現(xiàn)。實(shí)現(xiàn)網(wǎng)上營(yíng)業(yè)廳功能的應(yīng)用程序運(yùn)行在中間件之上，此時(shí)中間 Veb服務(wù)器和應(yīng)用服務(wù)器功能模塊。

入侵者在遠(yuǎn)程Web頁(yè)面中插入具有惡意目的的HTML代碼，用戶(hù)認(rèn)為該頁(yè)面是可信賴(lài)的，但是當(dāng)瀏 覽器解析該頁(yè)面時(shí)，嵌入其中的惡意腳本將 解楓 從而威脅用戶(hù)瀏覽過(guò)程的安全。

SQL注入攻擊SQLInjectionAttack 攻擊者構(gòu)造惡意的字符串，欺騙應(yīng)用系統(tǒng)用于構(gòu)造數(shù)據(jù)庫(kù)查詢(xún)語(yǔ)句并執(zhí)行，從而達(dá)到盜取或算改數(shù) 據(jù)庫(kù)中存儲(chǔ)的數(shù)據(jù)的目的。

路徑遍歷攻擊PathTraversalAttack 攻擊者操縱輸入?yún)��?shù)使應(yīng)用系統(tǒng)執(zhí)行或透露任意文件內(nèi)容，或?qū)Ψ��?wù)器任意文件目錄進(jìn)行讀、寫(xiě)、 刪除等操作。

下列縮略語(yǔ)適用于本文件： BOSS Business and Operation SupportSystem DDoS Distributed Denial of Service HTML Hyper Text Markup Language SQL StructuredQueryLanguage

Secure Sockets Layer

Secure Sockets Layer

4網(wǎng)上營(yíng)業(yè)廳安全防護(hù)概述

4.1網(wǎng)上營(yíng)業(yè)廳安全防護(hù)范圍

網(wǎng)上營(yíng)業(yè)廳的安全包括網(wǎng)上營(yíng)業(yè)廳自身安全（如物理設(shè)備安全、應(yīng)用安全、網(wǎng)絡(luò)安全等）；網(wǎng)上營(yíng)業(yè) 寧與BOSS系統(tǒng)間的接口安全（預(yù)防通過(guò)網(wǎng)上營(yíng)業(yè)廳非法獲取網(wǎng)上營(yíng)業(yè)廳用戶(hù)信息或BOSS系統(tǒng)敏感信息， 低御來(lái)自互聯(lián)網(wǎng)并通過(guò)網(wǎng)上營(yíng)業(yè)廳對(duì)BOSS系統(tǒng)構(gòu)成的安全威脅）；網(wǎng)上營(yíng)業(yè)廳與互聯(lián)網(wǎng)之間的接口安全； 以及與網(wǎng)上營(yíng)業(yè)廳相關(guān)聯(lián)的運(yùn)維、管理、監(jiān)測(cè)等輔組IT系統(tǒng)的安全

4.2網(wǎng)上營(yíng)業(yè)廳安全風(fēng)險(xiǎn)分析

網(wǎng)上營(yíng)業(yè)廳的重要資產(chǎn)至少應(yīng)包括： a）網(wǎng)上營(yíng)業(yè)廳關(guān)鍵業(yè)務(wù)系統(tǒng)服務(wù)器及操作維護(hù)終端：如Web服務(wù)器、接口服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、 維護(hù)終端。 b）網(wǎng)上營(yíng)業(yè)廳關(guān)鍵數(shù)據(jù)：如用戶(hù)訂單、業(yè)務(wù)辦理記錄等。 c）網(wǎng)上營(yíng)業(yè)廳關(guān)鍵網(wǎng)絡(luò)設(shè)備：如交換機(jī)、路由器、防火墻等。 網(wǎng)上營(yíng)業(yè)廳其他資產(chǎn)見(jiàn)附錄A表A.1對(duì)資產(chǎn)的分類(lèi)及舉例。 網(wǎng)上營(yíng)業(yè)廳的脆弱性可以從技術(shù)脆弱性和管理脆弱性?xún)蓚�(gè)方面考慮。脆弱性識(shí)別對(duì)象應(yīng)以資產(chǎn)為核 心。網(wǎng)上營(yíng)業(yè)廳的脆弱性分析應(yīng)包括但不限于附錄A表A.2所列范圍。 網(wǎng)上營(yíng)業(yè)廳的威脅根據(jù)來(lái)源可分為技術(shù)威脅、環(huán)境威脅和人為威脅。環(huán)境威脅包括自然界不可抗的 威脅和其他物理威脅。根據(jù)威脅的動(dòng)機(jī)，人為威脅又可分為惡意和非惡意兩種。網(wǎng)上營(yíng)業(yè)廳的威脅分析 應(yīng)包括但不限于附錄A表A.3所列范圍。 網(wǎng)上營(yíng)業(yè)廳可能存在的安全脆弱性被利用后會(huì)產(chǎn)生很大的安全風(fēng)險(xiǎn)，除了面臨傳統(tǒng)信息系統(tǒng)的安全 風(fēng)險(xiǎn)，網(wǎng)上營(yíng)業(yè)廳還可能面臨如下典型安全風(fēng)險(xiǎn)： a）由于操作權(quán)限隔離等問(wèn)題導(dǎo)致的用戶(hù)隱私泄露。 b）由于DDOS攻擊等向題導(dǎo)致的業(yè)務(wù)應(yīng)用無(wú)法訪問(wèn)。 c）由于網(wǎng)頁(yè)被篡改等問(wèn)題導(dǎo)致的惡意訂購(gòu)或辦理業(yè)務(wù)。 d）由于用戶(hù)賬號(hào)被竊取造成的關(guān)聯(lián)賬戶(hù)（如呼叫轉(zhuǎn)移業(yè)務(wù)）業(yè)務(wù)損失。

4.3網(wǎng)上營(yíng)業(yè)廳安全防護(hù)內(nèi)容

網(wǎng)上營(yíng)業(yè)廳安全防護(hù)內(nèi)容及要求可劃分為業(yè)務(wù)及應(yīng)用安全、網(wǎng)絡(luò)安全、主機(jī)安全、中間件安全、數(shù) 據(jù)安全及備份恢復(fù)、物理環(huán)境安全和管理安全七個(gè)部分。其中： 一一業(yè)務(wù)及應(yīng)用安全。主要包括業(yè)務(wù)安全及應(yīng)用安全中的身份鑒別、訪間控制、安全審計(jì)、通信完 整性、通信保密性、軟件質(zhì)量、資源控制等。 一網(wǎng)絡(luò)安全。主要包括結(jié)構(gòu)安全、網(wǎng)絡(luò)安全監(jiān)測(cè)、訪問(wèn)控制、安全審計(jì)、網(wǎng)絡(luò)設(shè)備防護(hù)等。 一主機(jī)安全。主要包括身份鑒別、訪問(wèn)控制、安全審計(jì)、入侵防范、惡意代碼防范、資源控制等。 一中間件安全。主要包括身份鑒別、訪問(wèn)控制、安全審計(jì)、入侵防范等。 一數(shù)據(jù)安全及備份恢復(fù)。主要包括數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復(fù)等。 物理環(huán)境安全。主要包括系統(tǒng)所處的物理環(huán)境在機(jī)房位置、電力供應(yīng)、防火、防水、防靜電、 溫濕度控制等方面的安全防護(hù)要求。

一管理安全。管理安全主要包括管理制度、人員和技術(shù)支持能力、運(yùn)行維護(hù)管理能力、災(zāi)難恢復(fù) 預(yù)案等方面的安全防護(hù)要求。

5網(wǎng)上營(yíng)業(yè)廳安全防護(hù)要求

5.1 第 1 級(jí)要求

5.1.1業(yè)務(wù)及應(yīng)用安全

5.1.1.1訪問(wèn)控制

應(yīng)具有網(wǎng)上營(yíng)業(yè)廳登錄失敗處理功能，如結(jié)束會(huì)話、限制非法登錄次數(shù)等。

5.1.2.1網(wǎng)絡(luò)安全監(jiān)測(cè)

a）應(yīng)在互聯(lián)網(wǎng)與網(wǎng)上營(yíng)業(yè)廳設(shè)備之間部署網(wǎng)絡(luò)監(jiān)測(cè)設(shè)備，監(jiān)控開(kāi)放服務(wù)端口的通信情況。 b）應(yīng)在網(wǎng)上營(yíng)業(yè)廳設(shè)備與BOSS系統(tǒng)之間部署網(wǎng)絡(luò)監(jiān)測(cè)設(shè)備，監(jiān)控網(wǎng)上營(yíng)業(yè)廳發(fā)起的到BOSS系統(tǒng) 的通信情況。

1.2.2數(shù)據(jù)安全及備份

a）網(wǎng)上營(yíng)業(yè)廳不應(yīng)存儲(chǔ)BOSS系統(tǒng)的敏感信息。 b）應(yīng)對(duì)用戶(hù)登錄記錄、交易記錄、充值卡密碼等網(wǎng)上營(yíng)業(yè)廳數(shù)據(jù)在本機(jī)進(jìn)行備份。 c）應(yīng)對(duì)網(wǎng)上營(yíng)業(yè)廳存儲(chǔ)的，重要信息如：用戶(hù)登錄口令、充值卡密碼等進(jìn)行加密存儲(chǔ)。

a）網(wǎng)上營(yíng)業(yè)廳不應(yīng)存儲(chǔ)BOSS系統(tǒng)的敏感信息。 b）應(yīng)對(duì)用戶(hù)登錄記錄、交易記錄、充值卡密碼 c）應(yīng)對(duì)網(wǎng)上營(yíng)業(yè)廳存儲(chǔ)的，重要信息如：用戶(hù)

5.1.2.3網(wǎng)絡(luò)設(shè)備防護(hù)

5.1.2.4主機(jī)安全

5.1.2.5中間件安全

5.1.3物理環(huán)境安全

5.2.1業(yè)務(wù)及應(yīng)用安全

5.2.1.1身份鑒別

除滿足第1級(jí)要求以外，還應(yīng)滿足： 除登錄密碼外還應(yīng)支持圖片驗(yàn)證碼或其他防暴力猜測(cè)賬號(hào)密碼的措施，并對(duì)嘗試登錄次數(shù)進(jìn)行限制。

5.2.1.2 訪問(wèn)控制

除滿足第1級(jí)要求以外，還應(yīng)滿足： 用戶(hù)登錄網(wǎng)上營(yíng)業(yè)廳辦理相關(guān)業(yè)務(wù)時(shí)，若需要網(wǎng)上營(yíng)業(yè)廳通過(guò)應(yīng)用層接口向BOSS系統(tǒng)調(diào)用敏感功能 時(shí)，辦理業(yè)務(wù)用戶(hù)應(yīng)再次輸入服務(wù)密碼或其他 可信憑證，進(jìn)行二次驗(yàn)證。

5.2.1.3安全審計(jì)

a）應(yīng)確保審計(jì)記錄無(wú)法被刪除、修改或覆蓋。 b）審計(jì)范圍應(yīng)覆蓋到每個(gè)用戶(hù)的關(guān)鍵操作、重要行為、業(yè)務(wù)資源使用情況等重要事件。如普通用 戶(hù)異常登錄、發(fā)布惡意代碼、異常修改賬號(hào)信息等行為，以及管理員在業(yè)務(wù)功能及賬號(hào)控制方面的關(guān)鍵 操作。 C）應(yīng)提供對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢(xún)、分析及生成審計(jì)報(bào)表的功能

5.2.1.4通信完整性

應(yīng)采用數(shù)字證書(shū)等技術(shù)確保通信過(guò)程中數(shù)據(jù)的完整性

5.2.1.5通信保密性

a）應(yīng)確保網(wǎng)上營(yíng)業(yè)廳內(nèi)部主機(jī)之間、網(wǎng)上營(yíng)業(yè)廳與BOSS系統(tǒng)之間沒(méi)有可被竊聽(tīng)的物理旁路。 b）應(yīng)對(duì)通信過(guò)程中的敏感信息進(jìn)行加密處理

5.2.1.6軟件質(zhì)量

應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，確保通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符 業(yè)廳應(yīng)用程序設(shè)定要求，

5.2.1.7資源控制

應(yīng)能夠?qū)�單個(gè)用戶(hù)賬戶(hù)的多重并發(fā)會(huì)話進(jìn)行限制 網(wǎng)上營(yíng)業(yè)廳向用戶(hù)提供相關(guān)服務(wù)的可用性不低于

5.2.2.1結(jié)構(gòu)安全

a）應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。 b）應(yīng)確保網(wǎng)上營(yíng)業(yè)廳關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備幾余空間，滿足業(yè)務(wù)高峰期需至

5.2.2.2網(wǎng)絡(luò)安全監(jiān)測(cè)

除滿足第1級(jí)要求以外，還應(yīng)滿足： a）應(yīng)對(duì)從互聯(lián)網(wǎng)進(jìn)入網(wǎng)上營(yíng)業(yè)廳的流量進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、SMTP、POP3等協(xié)議命令 級(jí)的控制。 b）應(yīng)限制網(wǎng)上營(yíng)業(yè)廳與互聯(lián)網(wǎng)接口處的網(wǎng)絡(luò)流量不超出接口帶寬的60%，自互聯(lián)網(wǎng)發(fā)起的會(huì)話并發(fā) 連接數(shù)不應(yīng)該超出網(wǎng)上營(yíng)業(yè)廳設(shè)計(jì)容量的80%。 c）應(yīng)在網(wǎng)上營(yíng)業(yè)廳與互聯(lián)網(wǎng)的網(wǎng)絡(luò)邊界處監(jiān)測(cè)、防御以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬 后門(mén)攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、中間人攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲(chóng)攻擊等。 d）應(yīng)在網(wǎng)上營(yíng)業(yè)廳與BOSS的網(wǎng)絡(luò)邊界處監(jiān)測(cè)、防御非法調(diào)用BOSS系統(tǒng)未開(kāi)放功能的行為。

5.2.2.3訪問(wèn)控制

用戶(hù)通過(guò)互聯(lián)網(wǎng)與網(wǎng)上營(yíng)業(yè)廳Web服務(wù)器建立的會(huì)話處于非活躍一定時(shí)間后，網(wǎng)上營(yíng)業(yè)廳Web服務(wù) 器設(shè)備應(yīng)自動(dòng)終止會(huì)話：

5.2.2.4安全審訊

a）應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶(hù)行為等進(jìn)行日志記錄。 b）審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功及其他與審計(jì)相關(guān)的

5.2.2.5網(wǎng)絡(luò)設(shè)備防護(hù)

除滿足第1級(jí)要求以外，還應(yīng)滿足： a）應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制。 b）當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)。

除滿足第1級(jí)要求以外，還應(yīng)滿足：

除滿足第1級(jí)要求以外，還應(yīng)滿足：

5.2.3.1身份鑒別

當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)。

5.2.3.2訪問(wèn)控制

5.2.3.3安全審計(jì)

審計(jì)范圍應(yīng)覆蓋到主機(jī)上的每個(gè)操作系統(tǒng)用戶(hù)和數(shù)據(jù)庫(kù)用

審計(jì)范圍應(yīng)覆蓋到主機(jī)上的每個(gè)操作系統(tǒng)用戶(hù)和數(shù)據(jù)庫(kù)月

5.2.3.4入侵防范

操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，通過(guò)安全的方式（如設(shè)置升 器）確保系統(tǒng)補(bǔ)丁及時(shí)得到更新

5.2.3.5惡意代碼防范

5.2.3.6資源控制

a）應(yīng)通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件控制終端對(duì)資源的訪問(wèn)。 b）應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定。 c）應(yīng)限制單個(gè)用戶(hù)對(duì)系統(tǒng)資源的最大或最小使用限度。

5.2.4.1身份鑒別

a）應(yīng)實(shí)現(xiàn)操作系統(tǒng)和中間件用戶(hù)的權(quán)限分離，中間件應(yīng)使用獨(dú)立用戶(hù)。 b）應(yīng)實(shí)現(xiàn)中間件用戶(hù)和網(wǎng)上營(yíng)業(yè)廳應(yīng)用

5.2.4.2訪問(wèn)控制

a）如果中間件啟用了SSL，應(yīng)采用不低于3.0版本的SSL，且應(yīng)采用經(jīng)國(guó)家密碼管理局認(rèn)可的密 b）中間件使用的操作系統(tǒng)級(jí)別的服務(wù)用戶(hù)的權(quán)限應(yīng)遵循最小權(quán)限原則。

5.2.4.3安全審訊

a）應(yīng)采用技術(shù)手段（如定期運(yùn)行文件完整性監(jiān)控軟件），及時(shí)發(fā)現(xiàn)中間件關(guān)鍵系統(tǒng)數(shù)據(jù)或文件被 非授權(quán)更改并通知相關(guān)人員；應(yīng)至少每周對(duì)關(guān)鍵文件進(jìn)行比較。 b）審計(jì)中間件安全日志。

5.2.4.4入侵防范

a）中間件的安裝應(yīng)遵循最小安裝的原則。應(yīng)關(guān)閉或限制與系統(tǒng)正常運(yùn)行無(wú)關(guān)，但可能造成安全隱 患的默認(rèn)擴(kuò)展功能，例如示例程序、后臺(tái)管理、不必要的存儲(chǔ)過(guò)程等。 b）應(yīng)禁用中間件的目錄列出功能。 c）協(xié)議級(jí)的配置時(shí)應(yīng)禁用中間件的不必要的HTTP方法，例如PUT，TRACE，DELETE等，若啟用 了HTTPS則應(yīng)禁用HTTP。 d）應(yīng)啟用必要的語(yǔ)言安全設(shè)置，例如PHP語(yǔ)言設(shè)置，JAVA語(yǔ)言設(shè)置。 e）對(duì)安裝時(shí)自動(dòng)生成的賬號(hào)（如演示賬號(hào)）須做清理或者修改密碼。 f）配置HTTP服務(wù)標(biāo)識(shí)（servicebanner），使其不泄露Web服務(wù)器以及操作系統(tǒng)的版本

5.2.5數(shù)據(jù)安全及備份恢復(fù)

應(yīng)能夠檢測(cè)到鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中完整性是否被破壞。 5.2.5.2數(shù)據(jù)保密性 a）系統(tǒng)應(yīng)當(dāng)加密存儲(chǔ)敏感信息，如管理員密碼等。 b）系統(tǒng)應(yīng)當(dāng)避免將重要文件（如日志文件、代碼備份文件、數(shù)據(jù)庫(kù)文件等）存放在Web內(nèi)容目錄下， 防止被攻擊者直接下載，

5.2.5.2數(shù)據(jù)保密性

5.2.5.3備份和恢復(fù)

a）應(yīng)提供關(guān)鍵網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件穴余，確保網(wǎng)上營(yíng)業(yè)廳的可用性。 b）網(wǎng)上營(yíng)業(yè)廳重要信息數(shù)據(jù)應(yīng)提供本地備份。 c）網(wǎng)上營(yíng)業(yè)廳的數(shù)據(jù)備份范圍和時(shí)間間隔、數(shù)據(jù)恢復(fù)能力應(yīng)符合行業(yè)管理、網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商應(yīng) 急預(yù)案的相關(guān)要求。 d）網(wǎng)上營(yíng)業(yè)廳應(yīng)具備一定的抗災(zāi)難以及災(zāi)難恢復(fù)能力，重要服務(wù)器、重要部件、重要數(shù)據(jù)庫(kù)應(yīng)當(dāng) 采用本地雙機(jī)備份的方式進(jìn)行容災(zāi)保護(hù)。

5.2.6物理環(huán)境安全

5.2.7.1人員和技術(shù)支持能力

）網(wǎng)上營(yíng)業(yè)廳應(yīng)有安全管理人員和客類(lèi)技未人員。 b）相關(guān)技術(shù)人員定期進(jìn)行災(zāi)難備份及恢復(fù)方面的技能培訓(xùn)。

5.2.7.2備份管理和災(zāi)難恢復(fù)能力

5.2.7.3風(fēng)險(xiǎn)評(píng)估要求

5.3.1業(yè)務(wù)及應(yīng)用安全

5.3.1.1業(yè)務(wù)流程

a）網(wǎng)上營(yíng)業(yè)廳同一業(yè)務(wù)流程中每個(gè)數(shù)據(jù)交互環(huán)節(jié)，服務(wù)器端應(yīng)確�？蛻�(hù)端前后操作的身份一致并 經(jīng)過(guò)授權(quán)。 b）網(wǎng)上營(yíng)業(yè)廳同一業(yè)務(wù)流程中每個(gè)數(shù)據(jù)交互環(huán)節(jié)，如果存在寫(xiě)操作（或會(huì)對(duì)后續(xù)流程環(huán)節(jié)內(nèi)容有 影響），應(yīng)確保業(yè)務(wù)流程設(shè)計(jì)時(shí)限制的、不應(yīng)算改的數(shù)據(jù)（如產(chǎn)品金額）在程序?qū)崿F(xiàn)中的完整性不被破 環(huán)。 c）網(wǎng)上營(yíng)業(yè)廳業(yè)務(wù)流程應(yīng)該有必要的流程安全控制，確保流程銜接正確，防止關(guān)鍵鑒別步驟被繞 過(guò)、重復(fù)、亂序。

5.3.1.2身份鑒別

除滿足第2級(jí)的要求之外，還應(yīng)滿足： a）會(huì)話標(biāo)識(shí)應(yīng)足夠隨機(jī)，防止攻擊者猜測(cè)標(biāo)識(shí)或依據(jù)當(dāng)前標(biāo)識(shí)推導(dǎo)后續(xù)的標(biāo)識(shí)。 b）用戶(hù)登錄后應(yīng)分配新的會(huì)話標(biāo)識(shí)，不能繼續(xù)使用用戶(hù)未登錄前所使用的標(biāo)識(shí)。

5.3.1.3訪問(wèn)控制

5.3.1.4安全審計(jì)

5.3.1.5通信完整性

5.3.1.6通信保密性

5.3.1.7軟件質(zhì)量

除滿足第2級(jí)的要求之外，還應(yīng)滿足： a）網(wǎng)上營(yíng)業(yè)廳上線前或升級(jí)后，應(yīng)進(jìn)行對(duì)網(wǎng)上營(yíng)業(yè)廳進(jìn)行代碼審核，形成報(bào)告，并對(duì)審核出的問(wèn) 題進(jìn)行代碼升級(jí)完善。 b）網(wǎng)上營(yíng)業(yè)廳應(yīng)能預(yù)防用戶(hù)通過(guò)惡意調(diào)整輸入?yún)��?shù)發(fā)起攻擊，例如跨站腳本攻擊、SQL注入攻擊、 路徑遍歷攻擊、命令注入攻擊、代碼注入攻擊等等。 c）若網(wǎng)上營(yíng)業(yè)廳為用戶(hù)提供了下載功能，要防止用戶(hù)通過(guò)路徑遍歷漏洞下載敏感資源文件；若網(wǎng) 上營(yíng)業(yè)廳為用戶(hù)提供了文件上傳功能，要對(duì)用戶(hù)上傳的文件類(lèi)型進(jìn)行限制（最小化原則），防止用戶(hù)上 傳后門(mén)腳本，并對(duì)上傳文件的路徑加以限制（最小化原則）。 d）網(wǎng)上營(yíng)業(yè)廳應(yīng)當(dāng)避免通過(guò)用戶(hù)控制的參數(shù)來(lái)重定向或包含另外一個(gè)網(wǎng)站的內(nèi)容。 e）網(wǎng)上營(yíng)業(yè)廳應(yīng)當(dāng)避免使用存在已公開(kāi)安全漏洞的組件（如第三方開(kāi)源庫(kù)）。 f）不應(yīng)向訪向登錄網(wǎng)上營(yíng)業(yè)廳的用戶(hù)提示過(guò)多的技未細(xì)節(jié)，以避免被攻擊者利用，例如錯(cuò)誤提示信 息中不應(yīng)包含SQL語(yǔ)句，否則有利于攻擊者構(gòu)造合法的攻擊字串；HTML中不應(yīng)含有技術(shù)性的注釋語(yǔ)句 等。

5.3.1.8資源控制

除滿足第2級(jí)的要求之外，還應(yīng)滿足： a）應(yīng)能夠?qū)σ粋�(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)進(jìn)行限制。 b）應(yīng)能夠?qū)σ粋�(gè)訪問(wèn)帳戶(hù)或一個(gè)請(qǐng)求進(jìn)程占用的資源分配最大限額和最小限額。 c）應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警。 d）應(yīng)提供服務(wù)優(yōu)先級(jí)設(shè)定功能，并在安裝后根據(jù)安全策略設(shè)定訪問(wèn)賬戶(hù)或請(qǐng)求進(jìn)程的優(yōu)先級(jí)，根 據(jù)優(yōu)先級(jí)分配系統(tǒng)資源。

5.3.1.9數(shù)據(jù)備份

保存網(wǎng)上營(yíng)業(yè)廳重要信息數(shù)據(jù)應(yīng)當(dāng)在異址（同城不同地點(diǎn)的機(jī)房或異地）進(jìn)行備份。對(duì)網(wǎng)上營(yíng)業(yè)廳 業(yè)務(wù)數(shù)據(jù)和操作維護(hù)日志數(shù)據(jù)進(jìn)行備份，備份介質(zhì)采用磁盤(pán)/磁帶方式，備份頻率為每周做全量備份，備 份數(shù)據(jù)保存期限至少1個(gè)月以上，并定期對(duì)備份數(shù)據(jù)進(jìn)行有效性檢查；對(duì)網(wǎng)上營(yíng)業(yè)廳系統(tǒng)及網(wǎng)絡(luò)配置、性 能檢測(cè)、告警等相關(guān)數(shù)據(jù)進(jìn)行備份，備份介質(zhì)采用硬盤(pán)方式，備份頻率為每月做全量備份，備份數(shù)據(jù)保 存期限至少1年。

5.3.2.1結(jié)構(gòu)安全

除滿足第2級(jí)的要求之外，還應(yīng)滿足： 網(wǎng)上營(yíng)業(yè)廳應(yīng)用程序、數(shù)據(jù)庫(kù)等核心程序應(yīng)部署在各自專(zhuān)用的主機(jī)上，應(yīng)避免在同一臺(tái)主機(jī)上安裝 其他核心或非核心程序。

5.3.2.2網(wǎng)絡(luò)安全監(jiān)測(cè)

除滿足第2級(jí)的要求之外，還應(yīng)滿足： 當(dāng)檢測(cè)到攻擊行為時(shí)，記錄并留存攻擊源IP、攻擊類(lèi)型、攻擊目的、攻擊時(shí)間等信息，在發(fā)生嚴(yán)重 入侵事件時(shí)應(yīng)能夠?qū)崟r(shí)報(bào)警。

5.3.2.3訪問(wèn)控制

5.3.2.4安全審訊

除滿足第2級(jí)的要求之外，還應(yīng)滿足： a）應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表。 b）應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等

5.3.2.5網(wǎng)絡(luò)設(shè)備防護(hù)

5.3.2.6惡意代碼防范

a）應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除。 b）應(yīng)維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新。 c）應(yīng)對(duì)主機(jī)防惡意代碼軟件及網(wǎng)絡(luò)設(shè)備防惡意代碼軟件進(jìn)行統(tǒng)一管理。

5.3.3.1身份鑒別

除滿足第2級(jí)的要求之外，還應(yīng)滿足： a）操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶(hù)口令應(yīng)定期更換（更換周期小于30天）。 b）加強(qiáng)口令復(fù)雜度要求，在原基礎(chǔ)上還應(yīng)不含有常用字符組合、數(shù)字組合、鍵盤(pán)順序等可預(yù)測(cè)密 碼組合。

環(huán)境標(biāo)準(zhǔn)5.3.3.2訪問(wèn)控制

除滿足第2級(jí)的要求之外，還應(yīng)滿足： a）應(yīng)根據(jù)管理用戶(hù)的角色分配權(quán)限，實(shí)現(xiàn)管理用戶(hù)的權(quán)限分離，僅授予管理用戶(hù)所需的最小權(quán)限。 b）應(yīng)對(duì)重要信息資源設(shè)置敏感標(biāo)記。 C）應(yīng)依據(jù)安全策略嚴(yán)格控制用戶(hù)對(duì)有敏感標(biāo)記重要信息資源的操作

5.3.3.3安全審計(jì)

除滿足第2級(jí)的要求之外，還應(yīng)滿足： a）應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表。 b）應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中斷。

5.3.3.4入侵防范

除滿足第2級(jí)的要求之外，還應(yīng)滿足： a）應(yīng)能夠檢測(cè)到對(duì)網(wǎng)上營(yíng)業(yè)廳中主機(jī)進(jìn)行入侵的行為，能夠記錄入侵的源IP、攻擊的類(lèi)型、攻擊的 目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。 b）應(yīng)能夠?qū)χ鳈C(jī)上重要應(yīng)用程序的完整性進(jìn)行檢測(cè)，并在檢測(cè)到完整性受到破壞后具有恢復(fù)的措

5.3.3.5惡意代碼防范

除滿足第2級(jí)的要求之外醫(yī)院建設(shè)標(biāo)準(zhǔn)，還應(yīng)滿足： a）應(yīng)對(duì)供用戶(hù)從網(wǎng)上營(yíng)業(yè)廳下載的程序、文件等進(jìn)行掃描，避免傳播病毒。 b）主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫(kù)。