Web系统安全开发与改造规范.doc

胜利石油管理局企业标准Q/SL TEC-d2002WEB系统安全开发和改造规范1规范解释权胜利油田信息中心网络标准和规范小组2范围本标准规定了局胜利石油管理局WEB系统的开发与改造规范。本标准适用于胜利油田（企业内部）WEB开发与改造的全过程。如果没有特别说明，这里所说的安全措施将适用于胜利油田所有（两种）安全级别的要求。3引用标准下列标准包含的条文，通过本标准中引用而构成本标准的条文。所有标准都会被修订。使用本标准的各方应探讨使用本标准最新版本的可能性。4术语定义4.1 Web安全风险分类：一般可以分为三类： 1) 对Web服务器及其相连LAN的威胁 2) 对服务器和客户机之间的通信信道的威胁3) 对Web客户机的威胁 但我们这里所指的安全,主要讨论前两部分，对客户机的威胁，我们这里不做论述。在此基础上，我们对胜利油田相应的WEB服务器端安全做出分类级别，如下：1) 保密级别在这种WEB服务器中，其内容涉及胜利油田的一些重要机密，或者其内容一旦外泄，可能对胜利油田造成重大损失，还有一些可能在政策上不应让外人知道的内容。主要包括了党政办工中有重要信息不能外泄的WEB服务。还包括一些单位的电子商务应用。2) 非保密级别其中的内容没有上面所说的任何方面，或者其外泄或损坏不会造成人力、物力或财力等方面的重大损失的应用。在我们的规范中，对相应的级别做了以下分类，具体应用中，各单位应根据单位实际加以采用。基于应用现状,初步将应用划分为以下类别: 党政Web应用类: 有严格的保密要求，有关文件是否上网具体由党委保密办决定。 财务Web应用类: 有保密、抗毁要求，通常不做WEB应用。 生产专业Web应用类:关系到油田生产、运营决策，很重要，高可用性，有一定保密要求。 电子商务Web应用类：三流合一（如供应处的电子商务），要求高可用性，保密。 其他类:指不在以上分类的WEB应用。以上各类WEB应用有不同的保密要求，在以后的WEB应用开发和改造时，需根据他们所受到的安全威胁、可能产生的风险进行分析，制定相应的安全目标，对涉及每个应用类内的客体，可根据需要保护的程度，划分不同的子类或保护等级，受保护程度要求高的需设置敏感性标记，并规定与之相关联的主体或主体等级，对主体规定严格的鉴别机制，并规定相适应的自主访问控制或强制访问控制策略。4.2 SHTTP/HTTPSHTTP/HTTP可以采用多种方式对信息进行封装。封装的内容包括加密、签名和基于MAC的认证。并且一个消息可以被反复封装加密。此外，SHTTP还定义了包头信息来进行密钥传输、认证传输和相似的管理功能。SHTTP可以支持多种加密协议。4.3 SSL（Secure Sockets Layer）协议 SSL是netscape用来在应用协议（如http、telnet、nntp或者ftp）和更低的TCP/IP 层之间提供数据安全的协议。它提供三种基本的安全特征： 保密性 保密是通过对进程加密来实现的。根据连接双方的秘密协商，对称加密的密钥对每个连接都是唯一的 。 服务器认证 客户端要检查一个有效服务器的X.509 v3证明，不论是一个RSA公开密钥证明，一个数字签名标准（DSS）证明，还是一个Diffie-Hellman证明。证明一般是由可信的证明代理发出的。 信息完整性 信息完整性（不被改动或者丢失）是由MAC（Message Authentication Code）保护的，它是一个根据信息和秘密数据进行计算的单项哈希函数。另外，SSL提供一个可选的客户端认证。SSL的其他功能以及特殊的服务器认证被广泛应用于电子商务。4.4 TLS (Transport Layer Security)TLS(Transport Layer Security)是由Transport Layer Security Working Group起草 的，产生了一个RFC文档。TLS用来建立一个安全的“会话”它是一个客户机和一个服务器之间的关联，用来避免进行昂贵的协商来为每个新的安全参数建立一个额外的连接。该协议分为上层的TLS Handshake协议和下层的TLS Record协议。TLS Handshake协议为一个安全的会话建立加密参数。当使用TLS的客户端和服务器建立通信时，他们对协议版本达成一致，选择加密算法，还可以互相进行认证，并使用公开密钥加密技术来产生共享的秘密。 4.5 SET协议 SET是由Visa和MasterCard两大信用卡组织联合开发的电子商务安全协议。它是一种基于消息流的协议，用来保证公共网络上银行卡支付交易的安全性，因而成为Internet上进行在线交易的电子付款系统规范。目前SET协议已在国际上被大量实验性地使用并经受了考验，成了事实上的工业标准。 5规范主体内容 5.1 WEB系统(门户)的基本概念、结构web系统（门户）是多种网络应用具有统一用户交互界面的系统。它实际上是b/s模式的系统。所谓B/S是指Browser/Server（浏览器/服务器），即客户端是标准的浏览器（如Internet Explore，Netscape Navigator等），服务器端为标准的WEB服务器协同应用服务器响应浏览器的请求。 B/S模式是一种三层结构的系统。第一层客户机是用户与整个系统的接口。客户的应用程序精简到一个通用的浏览器软件，如Netscape Navigator，微软公司的IE等。浏览器将HTML代码转化成图文并茂的网页。网页还具备一定的交互功能，允许用户在网页提供的申请表上输入信息提交给后台，并提出处理请求。这个后台就是第二层的Web服务器。第二层Web服务器将启动相应的进程来响应这一请求，并动态生成一串HTML代码，其中嵌入处理的结果，返回给客户机的浏览器。如果客户机提交的请求包括数据的存取，Web服务器还需与数据库服务器协同完成这一处理工作。第三层数据库服务器的任务类似于C/S模式，负责协调不同的Web服务器发出的SQ请求，管理数据库。5.2 WEB系统的应用技术分类WEB系统的应用技术分为：CGI技术、ASP技术、JSP技术、XML技术。5.3 WEB服务器、客户端分类目前市场上web服务器主要有这几类：微软提供的IIS(Internet Information Service)，netscape公司提供的iPlanet web sever，还有apache。客户端软件主要有两类：IE浏览器、NETSCAPE浏览器。5.4 针对各种WEB应用类型的改造与开发方式三层架构：第一层前端接入（Frond-end）,被称为Web Servers，第二层中间层（Mid-Tier）也叫做应用服务器（Application Servers），第三层就是大家熟知的后端数据库服务器（Backend Database Server）。五类应用模块新架构： 通讯模块：提供用户提供一个进入网络的通道和与其它服务器设备通讯的功能；典型应用包括：DNS、Proxy、VPN、防火墙、安全服务，身份识别，负载均衡，目录服务等应用； 表现模块：为最终用户提供内容表现的界面设备；目前常用的应用是WEB应用和打印服务、Cache加速、Mail服务等，在Internet或Intranet中提供给用户的使用界面； 存储模块：为最终使用者或其它服务器提供数据、文件存取的数据存储设备；典型应用为现在NAS或SAN应用，要求服务器内置磁盘存储容量较大； 应用模块：承载用户应用程序的模块，并不关注数据存储在何处；这一模块承载用户复杂多样的应用程序，包括在线事务处理类：ERP、CRM等，中间件应用服务：BEA的WebLogic、IBM的WebSphere和其它各类用户自行开发的各类应用程序； 数据库模块：作为最后端的核心应用平台，数据库模块负担着用户最核心的数据库管理系统，或者为用户提供高性能计算的动力源泉。此模块是一个完整信息系统的最核心计算量所在，对服务器的配置要求较高，往往由4路或8路等高端服务器来承载。需要逐步将三层架构改造为五类应用模块新架构。5.5 关于胜利WEB系统开发与改造的保密管理的说明由于在胜利油田中的WEB应用数据库中的数据可能包括敏感数据，它的泄露与破坏可能对胜利油田甚至对国家、社会造成重大的人力、物力、财力损失，所以，在涉密WEB系统的开发与改造过程中，应该对数据的保密性有特殊的要求。1) 涉密WEB系统的开发与改造项目，必须经胜利油田信息安全中心与WEB应用单位的主管部门的联合批准立项，同时要求对开发与改造过程中的安全风险做出评估。对于这种评估与要求应做出相应的存档备案。2) 系统在设计与开发时不应留有“后门”，即不应以维护、支持或操作需要为借口，设计有违反或绕过安全规则的任何类型的入口和文档中未说明的任何模式的入口。如有发现，应用方有权对系统设计与开发方追究责任。3) 在WEB系统的运行维护过程中，技术维护人员不应得到系统的最高权限。同时为了防止由于系统管理人员或特权用户的权限过于集中所带来的安全隐患，应将WEB系统的常规管理、与安全有关的管理以及审计管理，分别由系统管理员、系统安全员和系统审计员来承担，并按最小授权原则分别授予它们各自为完成自己所承担任务所需的最小权限，还应在三者之间形成相互制约的关系。4) 对于涉密WEB系统，我们要求相应要求保密的数据不能以明文的形式存储在物理介质上。这可以采用两种办法: 一种是由数据库系统本身提供的加密方法（如果具体采用的产品提供）； 另一种是经过应用系统加密之后再交数据库系统操作。5) 对于涉密WEB系统，我们要求相应要求保密的数据不能以明文的形式在网络介质上传输。其目的是防止被动攻击。所采用的方法如下: 可以是对数据进行软件应用层加密后再传输； 可以在相应的网络硬件中加入加解密设施； 可以在服务中采用安全的传输协议以保证传输安全。5.6 WEB系统安全开发与改造后的功能要求5.6.1胜利油田WEB系统应具备如下功能：1) 身份验证功能，防止非法用户随意进入系统；2) 访问控制功能，防止系统中出现越权访问；3) 故障恢复功能，能够自动或在人工干预下从故障状态恢复到正常状态而不致造成系统混乱和WEB数据丢失；4) 安全保护功能，对WEB后台数据库的交换、传输、存储提供安全保护；5) 安全审计功能，便于WEB系统建立访问用户资源的审计记录；6) 分权制约功能，支持对操作员和管理员的权限分离与相互制约；7) 安全预警功能，对来自外部的恶意代码和违规操作进行识别、跟踪、记录、和报警。5.6.2 WEB服务器安全功能5.6.2.1 开发与改造要求选用安全的服务器软件 在胜利油田下的WEB系统中运行的服务器软件,至少应该满足以下要求:1) 应用程序并发扩展要求 应支持会话管理服务以跟踪特定用户信息； 应支持服务器端的Javascript，它可以在服务器执行； 应可以用native方法访问Oracle、Sybase等数据库，应在Windows NT上支持ODBC的连接； 支持传统的服务器扩展，如CGI，NSAPI； CGI可执行程序能在拥有者的UID下执行 支持基于SMTP的消息服务。2) 性能和可用性扩展要求 服务器应包含SHTML、NSAPI缓存和模块式地编码以增强动态内容的性能； 应使用多进程模式以提高多CPU机器的可扩展性； 支持HTTP1.0和1.1； 支持SSL硬件加速设备。3) 可靠性和有效性要求 应通过多进程模式和进程监控确保服务器能稳定运行； 应提供系统容错功能； 提供对Servlet技术的多进程支持； 应提供动态滚动日志前滚功能; 应能够不重启服务器就可管理存取控制表；4) 管理要求 应可以与基于LDAP的目录服务器集成； 基于目录文档的权限是分层的; 支持密码策略和动态组； 通过集群和管理简化对多台服务器的分散管理； 应支持委托管理； 用户应可以修改自已文件的访问权限而无需管理员干预； 应支持SNMP； 应支持HTAccess; 可以配置用户分组（而不是单独一个用户列表）；5) 安全要求 应支持SSL v3和X.509数字认证； 应支持PKCS#11； 应支持使用certificate-to-LDAP映射的集中式的基于认证的安全性； 可以通过域名、IP地址、用户和分组来禁止访问 一个文档的一部分可以根据安全规则被隐藏 支持SSL2.0和3.0 可以基于URL制定安全规则6) 内容管理服务要求 应能通过网站发布的Applet进行文档管理； 应提供全文搜索功能，可以对多种格式的文件进行搜索； 5.6.2.2 服务器配置的一般要求 应限制在web服务器开帐户，定期删除不再使用的用户。 对在web服务器上开的帐户，在口令长度及定期更改方面作出要求，防止被盗用。 尽量使ftp, mail等服务器与之分开，去掉ftp,sendmail,tftp,NIS, NFS，finger,netstat等一些无关的应用。 在web服务器上去掉一些绝对不用的shell等之类解释器。 定期查看服务器中的日志logs文件，分析一切可疑事件。 设置好web服务器上系统文件的权限和属性： 对可让人访问的文档分配一个公用的组，并只分配它只读的权利。 把所有的HTML文件归属一个组，由WEB管理员管理该组。 对于WEB的配置文件仅对WEB管理员有写的权利。 不要把FTP的目录与CGI-BIN指定在一个目录之下。 在WEB接入网络之前，应采用防火墙，限制许可访问用户的IP或DNS。 对相应有保密要求的WEB站点，对用户在访问之前作相应的授权控制。5.6.3 WEB服务传输安全（对保密级别的WEB应用适用）对于有保密要求的WEB应用，我们对其相关的应用提出传输上的安全技术要求：1)采用数据传输加密技术 目的是对传输中的数据流加密，以防止通信线路上的窃听、泄漏、篡改和破坏。如果以加密实现的通信层次来区分，加密可以在通信的三个不同层次来实现，即链路加密（位于OSI网络层以下的加密），节点加密，端到端加密（传输前对文件加密，位于OSI网络层以上的加密）。2)采用数据完整性鉴别技术 目前，对于动态传输的信息，许多协议确保信息完整性的方法大多是收错重传、丢弃后续包的办法，但黑客的攻击可以改变信息包内部的内容，所以应采取有效的措施来进行完整性控制。3)采用报文鉴别与数据链路层的CRC控制类似，将报文名字段（或域）使用一定的操作组成一个约束值，称为该报文的完整性检测向量ICV（Integrated CheckVector）。然后将它与数据封装在一起进行加密，接收方收到数据后解密并计算ICV，若与明文中的ICV不同，则认为此报文无效。 4)采用防抵赖技术 它包括对源和目的地双方的证明，常用方法是数字签名，另外实现防抵赖的途径还有：采用可信第三方的权标、使用时戳、采用一个在线的第三方、数字签名与时戳相结合等。对于还有更高安全级别的WEB应用（如电子商务），可以在应用传输中采用SET协议，以保证传输过程中的数据安全。6相关文档和材料RFC 2084 Considerations for Web Transaction SecurityRFC 2068Hypertext Transfer Protocol - HTTP/1.1SSL V3.07生效日期