返回
系统安全开发与改造规范 v1.0. doc

系统安全开发与改造规范 v1.0. doc

ID:13412291

大小:65.50 KB

页数:9页

时间:2018-07-22

系统安全开发与改造规范 v1.0. doc_第1页
系统安全开发与改造规范 v1.0. doc_第2页
系统安全开发与改造规范 v1.0. doc_第3页
系统安全开发与改造规范 v1.0. doc_第4页
系统安全开发与改造规范 v1.0. doc_第5页
资源描述:

《系统安全开发与改造规范 v1.0. doc》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、轿途中国信息安全标准WEB系统安全开发和改造规范1规范解释权轿途中国区IT。2范围本标准规定了如新WEB系统的开发与改造规范。本标准适用于如新(企业内部)WEB开发与改造的全过程。如果没有特别说明,这里所说的安全措施将适用于如新所有(两种)安全级别的要求。3引用标准下列标准包含的条文,通过本标准中引用而构成本标准的条文。所有标准都会被修订。使用本标准的各方应探讨使用本标准最新版本的可能性。4术语定义4.1Web安全风险分类:一般可以分为三类:1)对Web服务器及其相连LAN的威胁2)对服务器和客户机之间的通信信道的威胁3)对Web客户机的威胁但我们这里

2、所指的安全,主要讨论前两部分,对客户机的威胁,我们这里不做论述。在此基础上,我们对如新相应的WEB服务器端安全做出分类级别,如下:1)保密级别9在这种WEB服务器中,其内容涉及如新的一些重要机密,或者其内容一旦外泄,可能对如新造成重大损失,还有一些可能在政策上不应让外人知道的内容。主要包括了党政办工中有重要信息不能外泄的WEB服务。还包括一些单位的电子商务应用。1)非保密级别其中的内容没有上面所说的任何方面,或者其外泄或损坏不会造成人力、物力或财力等方面的重大损失的应用。在我们的规范中,对相应的级别做了以下分类,具体应用中,各单位应根据单位实际加以采用

3、。基于应用现状,初步将应用划分为以下类别:Ø党政Web应用类:有严格的保密要求,有关文件是否上网具体由党委保密办决定。Ø财务Web应用类:有保密、抗毁要求,通常不做WEB应用。Ø生产专业Web应用类:关系到油田生产、运营决策,很重要,高可用性,有一定保密要求。Ø电子商务Web应用类:三流合一(如供应处的电子商务),要求高可用性,保密。Ø其他类:指不在以上分类的WEB应用。以上各类WEB应用有不同的保密要求,在以后的WEB应用开发和改造时,需根据他们所受到的安全威胁、可能产生的风险进行分析,制定相应的安全目标,对涉及每个应用类内的客体,可根据需要保护的程

4、度,划分不同的子类或保护等级,受保护程度要求高的需设置敏感性标记,并规定与之相关联的主体或主体等级,对主体规定严格的鉴别机制,并规定相适应的自主访问控制或强制访问控制策略。4.2SHTTP/HTTPSHTTP/HTTP可以采用多种方式对信息进行封装。封装的内容包括加密、签名和基于MAC的认证。并且一个消息可以被反复封装加密。此外,SHTTP还定义了包头信息来进行密钥传输、认证传输和相似的管理功能。SHTTP可以支持多种加密协议。4.3SSL(SecureSocketsLayer)协议SSL是netscape用来在应用协议(如http、telnet、nn

5、tp或者ftp)和更低的TCP/IP层之间提供数据安全的协议。它提供三种基本的安全特征:Ø保密性保密是通过对进程加密来实现的。根据连接双方的秘密协商,对称加密的密钥对每个连接都是唯一的。Ø服务器认证客户端要检查一个有效服务器的X.509v3证明,不论是一个RSA公开密钥证明,一个数字签名标准(DSS)证明,还是一个Diffie-Hellman证明。证明一般是由可信的证明代理发出的。9Ø信息完整性信息完整性(不被改动或者丢失)是由MAC(MessageAuthenticationCode)保护的,它是一个根据信息和秘密数据进行计算的单项哈希函数。另外,S

6、SL提供一个可选的客户端认证。SSL的其他功能以及特殊的服务器认证被广泛应用于电子商务。4.4TLS(TransportLayerSecurity)TLS(TransportLayerSecurity)是由TransportLayerSecurityWorkingGroup起草的,产生了一个RFC文档。TLS用来建立一个安全的“会话”——它是一个客户机和一个服务器之间的关联,用来避免进行昂贵的协商来为每个新的安全参数建立一个额外的连接。该协议分为上层的TLSHandshake协议和下层的TLSRecord协议。TLSHandshake协议为一个安全的会

7、话建立加密参数。当使用TLS的客户端和服务器建立通信时,他们对协议版本达成一致,选择加密算法,还可以互相进行认证,并使用公开密钥加密技术来产生共享的秘密。4.5SET协议SET是由Visa和MasterCard两大信用卡组织联合开发的电子商务安全协议。它是一种基于消息流的协议,用来保证公共网络上银行卡支付交易的安全性,因而成为Internet上进行在线交易的电子付款系统规范。目前SET协议已在国际上被大量实验性地使用并经受了考验,成了事实上的工业标准。5规范主体内容5.1WEB系统(门户)的基本概念、结构web系统(门户)是多种网络应用具有统一用户交互

8、界面的系统。它实际上是b/s模式的系统。所谓"B/S"是指Browser/Server(浏览器

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。