移动下一代CRM核心运维&安全总体设计v091.docx

《移动下一代CRM核心运维&安全总体设计v091.docx》由会员分享，可在线阅读，更多相关《移动下一代CRM核心运维&安全总体设计v091.docx（49页珍藏版）》请在三一办公上搜索。

1、 移动下一代CRM核心运维&安全总体设计Security Level: 秘密XX移动下一代CRM核心运维&安全总体设计版本：1.0.0For中国移动通信集团有限公司Revision record 修订记录Date日期Revision Version修订版本CR ID / Defect IDCR号Section Number修改章节Change Description修改描述Author作者2014.10.290.81、核心运维&安全总体设计评审稿 ZX2014.11.30.91、补充灰度发布需求及专题目标 ZX2014.11.110.911、 补充数据一致性需求2、 补充现网情况说明 ZXDi

2、stribution LIST 分发记录Copy No.Holders Name & Role 持有者和角色Issue Date 分发日期1234 移动下一代CRM架构设计说明书 DFX安全部分Security Level: 秘密Catalog 目 录移动下一代CRM核心运维&安全总体设计1REVISION RECORD 修订记录2概述41总体描述51.1项目范围51.2关键场景分析51.2.1安全威胁分析51.2.2部署、发布71.2.3监控管理81.2.4故障处理91.2.5数据一致性检查101.2.6灰度发布112下一代CRM核心运维建设思路132.1总体架构132.2设计目标142.2

3、.1运维设计目标142.2.2灰度发布设计目标172.2.3安全设计目标182.2.4业务功能安全设计目标203专项流程及方案说明313.1安全性方案说明313.1.1安全总体架构313.1.2个人数据模糊化场景及设计说明323.1.3安全管理中心场景及设计说明363.1.4权限管理方案说明393.1.5与4A系统对接方案说明403.1.6程序帐号口令管理方案说明413.2运维流程及方案说明423.2.1部署、发布流程及方案说明423.2.2监控管理方案方案说明423.2.3考核保障方案说明433.2.4故障处理流程及方案说明453.3灰度发布流程及方案说明473.3.1总体设计原则473.3

4、.2灰度发布方案483.3.3灰度发布总体流程49概述移动下一代CRM项目主要基于现有 ZXCRM系统进行架构优化，整体项目按“小步快跑，平滑演进”的原则，新版本支持按渠道、按业务快速上线进行验证，新老版本支持并行运行；按照整体背景，下一代CRM系统需要在继承现有能力的前提下，进行架构能力的优化。本分册主要就安全性、监控、运维、应急容灾等方案进行介绍。1 总体描述1.1 项目范围本分册中主要描述的设计及要求主要覆盖本项目中的范围，即上图中的新交易中心、新产品中心、新资源中心、新客户中心、以及统一接入中心；同时，由于部分要求与之前系统能力发生变化，会引起该部分部件与周边组件配合方式发生变化，该部

5、分内容在具体的方案设计中描述。1.2 关键场景分析1.2.1 安全威胁分析应用安全威胁u 输入验证：缓冲区溢出，跨站点脚本编写，SQL 注入。u 身份验证：网络窃听，暴力破解，词典攻击，重放 cookie，盗窃凭据。u 授权：提高特权，泄漏机密数据，篡改数据，引诱攻击。u 配置管理：未经授权访问管理接口，未经授权访问配置存储器，检索明文配置数据，缺乏个人可记帐性，越权进程和服务帐户。u 敏感数据：访问存储器中的敏感数据；窃听网络；篡改数据。u 会话管理：会话劫持；会话重放；中间人。u 加密技术：密钥生成或密钥管理差；脆弱的或者自定义的加密术。u 参数操作：查询字符串操作；窗体字段操作；cook

6、ie 操作；HTTP 标头操作。u 异常处理：信息泄漏；拒绝服务。u 安全审计：用户拒绝执行某项操作；攻击者利用没有跟踪记录的应用程序；攻击者掩饰他或者她的跟踪记录。系统安全威胁u 病毒、特洛伊木马和蠕虫：病毒就是一种设计的程序，它进行恶意的行为，并破坏操作系统或者应用程序。除了将恶意的代码包含在表面上是无害的数据文件或者可执行程序中外，特洛伊木马很像一种病毒。除了可以从一个服务器自我复制到另一个服务器，蠕虫类似于特洛伊木马。蠕虫很难检测到，因为它们不是定期创建可以看见的文件。通常只有当它们开始消耗系统资源时，才能注意到它们，因为这时系统运行缓慢或者其他执行的程序停止运行。u 足迹：足迹的示例

7、有端口扫描、ping 扫描以及 NetBIOS 枚举，它可以被攻击者用来收集系统级的有价值信息，有助于准备更严重的攻击。足迹揭示的潜在信息类型包括帐户详细信息、操作系统和其他软件的版本、服务器的名称和数据库架构的详细信息。u 破解口令：如果攻击者不能够与服务器建立匿名连接，他或者她将尝试建立验证连接。为此，攻击者必须知道一个有效的用户名和口令组合。如果您使用默认的帐户名称，您就给攻击者提供了一个顺利的开端。然后，攻击者只需要破解帐户的口令即可。使用空白或者脆弱的口令可以使攻击者的工作更为轻松。u 拒绝服务：可以通过多种方法实现拒绝服务，针对的是基础结构中的几个目标。在主机上，攻击者可以通过强力

8、攻击应用程序而破坏服务，或者攻击者可以知道应用程序在其上寄宿的服务中或者运行服务器的操作系统中存在的缺陷。u 任意执行代码：如果攻击者可以在您的服务器上执行恶意的代码，攻击者要么就会损害服务器资源，要么就会更进一步攻击下游系统。如果攻击者的代码所运行的服务器进程被越权执行，任意执行代码所造成的危险将会增加。常见的缺陷：允许遍历路径和缓冲区溢出攻击的未打补丁的服务器，这种情况可能导致任意执行代码。u 未授权访问：不足的访问控制可能允许未授权的用户访问受限制信息或者执行受限制操作。网络安全威胁u 信息收集：可以用与其他类型系统相同的方法发现网络设备并对其进行剖析。通常，攻击者最初是扫描端口。识别出

9、开放端口后，他们利用标题抓取与枚举的方法检测设备类型，并确定操作系统和应用程序的版本。具有这些信息后，攻击者可以攻击已知的缺陷，这些缺陷可能没有更新安全补丁。u 嗅探：嗅探查或者窃听 就是监视网络上数据（例如明文密码或者配置信息）传输信息的行为。利用简单的数据包探测器，攻击者可以很轻松地读取所有的明文传输信息。同时，攻击者可以破解用轻量级散列算法加密的数据包，并解密您认为是安全的有用负荷。探查数据包需要在服务器/客户端通信的通道中安装数据包探测器。u 欺骗：欺骗就是一种隐藏某人在网上真实身份的方式。为创建一个欺骗身份，攻击者要使用一个伪造的源地址，该地址不代表数据包的真实地址。可以使用欺骗来隐

10、藏最初的攻击源，或者绕开存在的网络访问控制列表（ACL，它根据源地址规则限制主机访问）。u 会话劫持：也称为中间人攻击，会话劫持欺骗服务器或者客户端接受：上游主机就是真正的合法主机。相反，上游主机是攻击者的主机，它操纵网络，这样攻击者的主机看上去就是期望的目的地。u 拒绝服务（DoS/DDoS）：拒绝服务就是拒绝合法用户访问服务器或者服务。管理安全威胁u 缺乏安全管理规章制度，或者没有严格执行安全管理规章制度。u 人员安全意识不足。u 没有及时进行系统及应用安全补丁的安装，导致系统存在安全漏洞。u 多人共用帐号，责任无法追溯。u 安全资料不全，无法有效指导安全生产。违背标准法规u 违背安全相关

11、的法律、法规（如：SOX、DPA等）。u 违背安全相关的标准（如：ISO27001、PCI等）1.2.2 部署、发布场景使用者：现场维护工程师部署、发布流程：步骤1：获取版本；步骤2（可选）：定制脚本调用逻辑；在现网CRM系统发布时，主要依赖于现网的统一发布平台，定制统一发布平台对各个子系统的部署脚本调用逻辑；步骤3：部署前资源准备；在不使用虚拟化时，由现场人员准备物理机并安装好操作系统；在使用虚拟化时，由现场基于CloundView创建一个符合要求的虚拟机并准确获知该虚拟机的IP地址；步骤4：部署任务执行；现场人员指定要部署的目标机器，使用发布发布平台完成应用的部署。应用系统技术点：统一部署

12、平台。1.2.3 监控管理场景使用者：现场维护工程师、一级BOSS监控管理处理过程：步骤1、现场维护工程师登陆到BOMC；步骤2、在BOMC中查看应用系统的运行情况；监控范围：物理主机、数据库、虚拟机、网络设备、CRM、磁阵监控内容：1、 异常时的告警信息；2、 关键性能指标；3、 集团需要获取的CAPES信息，CPES信息监控呈现：维护工程师通过BOMC查看设备层、应用层的告警及监控指标。应用系统技术点：统一监控管理平台；采集指标内容的完备性。1.2.4 故障处理场景使用者现场维护工程师操作步骤：步骤1、操作员、投诉、告警监控发现问题；步骤2、维护工程师确认故障，并根据错误提示信息自修复；如

13、不能修复，收集到对应的故障信息，提交开发、维护联合定位；步骤3、开发、维护联合定位；步骤4、配置类问题直接在一线完成问题解决或方案实施，版本类问题提交研发；步骤5、新版本发布、部署应用系统技术点故障信息准确收集；问题原因快速定位。1.2.5 数据一致性检查场景使用者数据一致性比对平台(现网)数据一致性检查步骤步骤1、数据一致性比对平台从下一代CRM系统中获取到业务数据，业务数据包括：a.下一代CRM系统与业务平台的数据一致性 检查内容：用户状态，订购关系 b.下一代CRM与HLR的数据一致性 检查内容：用户功能一致性(服务) c.下一代CRM与BOSS系统的数据一致性 检查内容：用户状态，订购

14、关系各子系统按照集团公司制定的统一格式，将数据内容以文件方式存放在数据比对平台中，由统一比对平台对两个系统之间的数据进行比对。步骤2、数据一致性从对端系统获取业务数据；步骤3、比对及后续处理、维护工程师通过数据一致性比对平台查看各个子系统的数据内容，并在数据不一致时出现提示异常。应用系统技术点：统一数据一致性比对平台；应用系统提供数据的完整性。1.2.6 灰度发布灰度发布对象：1) 最终用户2) 营业厅操作人员灰度发布场景：1) Bug修改2) 页面展示修改3) 增加新功能或者变更灰度发布策略：1) 按用户灰度：灰度发布规则配置灰度用户信息并同步到分发部件，分发部件根据相应信息解析后发送到对应

15、版本。 2) 按营业厅操作员灰度：灰度发布规则配置营业厅操作员id信息，用户到营业厅办理业务时，灰度操作员办理的业务路由到灰度版本，非灰度操作员办理的业务路由到非灰度版本。 灰度发布内容：灰度发布包含四个模块：灰度发布管理门户、灰度发布引擎、部署以及监控。1) 灰度发布管理门户：提供灰度发布规则定义、监控度指标对比、一键式发布/回退能力。 2) 灰度发布引擎：解析灰度发布规则，根据消息中携带的参数信息进行路由分发。 3) 监控：灰度版本和正式版本的健康健康指标的收集与可视化界面展示。 部署：灰度版本的部署与回退能力。2 下一代CRM核心运维建设思路2.1 总体架构2.2 设计目标2.2.1 运

16、维设计目标专题建设目标2015年项目目标监控管理统一通过BOMC进行设备管理应用系统中物理设备信息通过BOMC直接进行监控，监控内容如：硬件故障，CPU/内存/IO等 使用率异常等；本次新建系统网元节点需要同时分类型呈现在BOMC中，呈现时按照网元类型分类展示；在 ZXCRM与现有BOMC系统对接时，尽量减少对周边系统的影响，如：BOMC与CRM之间对接时支持采用现网系统使用的XML文件格式接口。统一将系统告警、性能指标信息上报到BOMC在业务故障时将告警信息上报到BOMC，业务故障包含如下场景：a.业务监控告警：响应时长，请求成功率； QPS-同类业务短时间内受理量（如果短时间内激增会引起下

17、游接口阻塞，需要提前预警），不同业务的时间颗粒度可配置；可简单枚举为1分钟、3分钟、五分钟等； b.应用监控告警：应用程序Coredoump，进程僵死(通过接口/页面探测)，线程数以及连接数，JVM Full GC频率，JVM内存；在 ZXCRM与现有BOMC系统对接时，尽量减少对周边系统的影响，如：BOMC与CRM之间对接时支持采用现网系统使用的XML文件格式接口。考核保障CAPES采集继承本次项目组件中CAPES采集的现有能力，支撑集团公司对CAPES的采集；采集方式为：文件上报(CRM传给BOMC，BOC汇总上报集团)支持每项CAPES采集周期不同（30分钟，小时，天，月）关键考核指标监

18、控具备可靠的监控机制，针对关键考核指标进行监控，在指标异常时及时预警；考核指标的监控范围需要涵盖与 ZXCRM业务范围的交集。运维管理故障信息获取提供常用故障信息的记录能力，在故障发生时快速获取信息支撑问题定位，需要获取的信息包括：故障上下文（包括发出去的报文，收到的报文，工单信息）获取，工单信息指该条订单订购的业务信息等。日志追踪能力支持、所有业务功能（业务办理、业务查询、后台管理功能），可以做到按照业务、地市、营业员指定日志输出，分别用开关控制，需支持在应用不重启的情况下生效。日志类型包括交易日志、步骤日志、请求客户端日志、请求服务端日志。平时建议关闭服务日志：请求客户端日志、请求服务端日

19、志。日常只开启交易日志、步骤日志（或根据实际运营情况开启相关日志）。一、业务在每笔交易开始和结束时分别输出交易开始和交易结束日志：日志要记录日志类别（开始还是结束）、日志时间、交易流水号、操作员工号、渠道、地市、手机号、用户ID，结束日志还要记录处理结果、错误代码等。处理结果要能正确反映交易的成功、失败、未完成等情况，中途退出操作关闭窗口要记录为交易未完成。需要梳理交易日志的业务错误编码字典表提供给日志接收方；对于同一类业务，如个人产品变更、家庭产品变更等要能通过业务编码字段区分，或者提供其他字段来区分。二、在业务的步骤开始和步骤结束输出步骤日志：日志要记录业务编码、步骤编码、日志类别（开始还

20、是结束）、日志时间、交易流水号、渠道、地市、手机号，结束日志还要记录处理结果、错误代码等；需要梳理步骤日志的错误编码字典表提供给日志接收方；处理结果要能正确反映步骤的成功、失败、未完成等情况，中途退出操作关闭窗口要记录为步骤未完成。能通过交易日志或步骤日志识别一个业务从哪个页面入口进行办理的。每个步骤页面能详细记录营业员的主要操作事件，分别用开关控制，需支持在应用不重启的情况下生效。三、在服务的客户端和服务端的开始和结束输出服务日志。日志要记录业务编码、日志类别（开始还是结束）、日志时间、交易流水号、渠道、地市、手机号，结束日志还要记录处理结果、错误代码等；梳理业务编码、步骤编码、渠道编码、地

21、市编码，形成字典表提供给日志接收方；为了避免对现网系统的改造影响，这个需求实现只能覆盖到本次项目范围内的业务功能以组件范围。知识库建设保持现有基于BOMC建设的故障知识库；本次新增套件按维护场景提供故障处理文档，作为BOMC知识库的填充内容。由于主要方案未发生变化，本文档中不再详细描述。例行检查保持现有基于BOMC实现的主机、数据库巡检能力；同时针对本次新增套件中使用的开源组件，需要提供对应的例行巡检项清单。由于主要方案未发生变化，本文档中不再详细描述。数据一致性数据一致性下一代CRM继承现网CRM的能力，将下一代CRM的业务数据按照集团的统一文件格式提供给业务比对平台中；比对场景包括：1.C

22、RM与业务平台的数据一致性 用户状态，订购关系 2.CRM与HLR的数据一致性 用户功能一致性(服务)3.CRM与BOSS的数据一致性(已有能力) 用户状态，订购关系 灰度发布支持按用户灰度发布灰度用户13800000001-13800000009a.用户自办理场景：那么属于灰度用户范围的用户路由到灰度环境。其他用户路由到非灰度用户。b.营业厅办理场景：营业员办理的所有用户均路由到非灰度环境。支持按操作员灰度发布灰度操作员0001，0002，0003a.用户自办理场景：用户路由到非灰度环境。b.营业厅办理场景：0001办理的用户全部路由到灰度环境，0004(非灰度操作员)办理的用户全部路由到非

23、灰度环境。2.2.2 灰度发布设计目标专题建设目标2015年项目目标灰度发布支持按用户灰度发布灰度用户13800000001-13800000009a.用户自办理场景：那么属于灰度用户范围的用户路由到灰度环境。其他用户路由到非灰度用户。b.营业厅办理场景：营业员办理的所有用户均路由到非灰度环境。支持按操作员灰度发布灰度操作员0001，0002，0003a.用户自办理场景：用户路由到非灰度环境。b.营业厅办理场景：0001办理的用户全部路由到灰度环境，0004(非灰度操作员)办理的用户全部路由到非灰度环境。2.2.3 安全设计目标专题建设目标2015年项目目标安全性个人数据模糊化支持在界面中模糊

24、化显示个人数据，支持对接口调用方提供模糊化的个人数据，模糊化的个人数据字段支持可配置；个人数据在后台加密存储，算法使用AES128（密钥由移动密钥管理系统提供），口令使用HAMC-Sha256算法实现，支持随机扰码参与加密安全管理中心在下一代CRM中提供安全管理中心模块，该模块有单独的界面，界面包括：安全管理员界面、业务员界面、用户界面；安全管理员界面中可以展现全部的安全信息，用户界面中展现用户登录信息、个人相关告警信息，安全知识学堂（提供安全只是展现页面，页面可编辑、支持图片展现）。安全管理中心在管理员界面集成：安全配置（CRM所有安全配置相关菜单）、业务流控（与现网保持一致）、外挂监控（与

25、现网保持一致）、越权展现（包括：Url越权、参数越权、接口越权的内容）、安全监控（业务流控、外挂检测、越权监控、高危操作监控、角色和菜单和按钮的使用情况统计功能。 权限管理下一代CRM需要支持基于角色的授权模型，以角色关联系统权限，帐号与角色管理获得角色权限，暂不支持对帐号单独授权。但需要考虑兼容目前现网已授予的所有权限，包括角色权限和帐号权限。权限管理的操作日志需求：u 修改操作员信息时，仅显示修改的内容，对于没有修改的信息不显示在日志中；u 单个角色可配置多个权限，存在新增、删除权限等同时操作，日志中需要记录多条操作，并仅记录变更内容，不变的不记录在日志中；u 操作员角色授权，一个帐号配置

26、多角色、多个工号配置一个角色（模板导入场景），对多个操作写多条日志；批量授权：支持批量导入帐号角色关系，帐号原有角色保持不变，仅为帐号追加角色；如果批量导入时有互斥角色，则导入不成功。登录Session权限：同一个账号在不同IP登陆，后登陆的踢掉前面登陆的session；登陆后发一条手机短信到用户手机，提示用户登录成功；支持角色相似度分析，以页面形式展现；支持菜单与令牌的层次关系展现与4A系统对接下一代CRM系统与4A系统支持对接，保持现网系统的接口对接能力和功能。包括帐号同步接口、登录接口、权限管理接口和日志采集接口。4A管理业务系统权限，并负责细粒度权限授予角色，角色授予账号。下一代CRM

27、支持界面操作可配置为金库认证、金库认证需要支持开关，在4A不可用时关闭金库认证功能、支持场景开关（例如：操作员缴费少于100元，则不进行金库认证，而缴费大于100元以上，则进行金库认证）。金库认证的功能由4A系统提供，下一代CRM仅提供界面菜单、按钮可配置为金库认证，并提供金库认证开关功能和金库认证接口。自助终端账号，需要在系统中特别标识，在系统管理模块中控制不允许操作员等人员使用自助终端帐号登录；操作日志支持以Session关联，可查询一次session的所有操作；服务器时间统一与局点时间服务器同步，保持日志时间的统一性程序帐号口令管理支持定期修改程序帐号口令功能。业务系统安全性设计参见下文

28、：业务系统安全设计目标2.2.4 业务功能安全设计目标编号名称描述备注帐号管理1帐号唯一性系统中的帐号名称具有唯一性。适用于：操作员帐号、程序帐号、最终用户帐号。2帐号不能写死在代码中任何帐号不能写死在代码中，须提供可管理（或配置）机制。身份认证3认证基本要求当用户访问受限资源、第三方接口调用或请求需要鉴权的操作时，必须先对提出该操作请求的用户成功地进行认证。4认证在服务端进行对用户的最终认证处理过程必须放到服务器进行。5认证失败不能提示详细错误原因认证失败后，不能提示给用户详细以及明确的错误原因，可以给出一般性的提示。6使用验证码在 B/S 应用中，网页上的登录/认证表单必须加入验证码。验证

29、码5验证码是单一图片验证码必须是单一图片，且只能采用 JPEG、PNG 或 GIF 格式。6验证码字符串要求是随机生成验证码字符串要求是随机生成，生成的随机数必须是安全的。7验证码内容不能与客户端提交信息相关联验证码内容不能与客户端提交的任何信息相关联。8验证码模块生成的随机数不能在客户端的静态页面中的网页源代码里出现验证码模块生成的随机数不能在客户端的静态页面中的网页源代码里出现。9验证码在一次使用后立即失效验证码在一次使用后要求立即失效，新的请求需要重新生成验证码。10验证码及验证信息同时发送给服务器验证码和验证信息（如：用户名和口令）必须同时发送给服务器，而且只有当验证码检验通过后才能进

30、行验证信息的检验。强口令策略11口令长度最终用户帐号的口令至少6个字符，其他类型帐号（如：操作员帐号和程序帐号）的口令至少8个字符）；若设置的口令不符合规则，则设置不成功，并给出提示。说明：建议口令的最小长度建议做成可配置，默认配置值符合符合以上要求。12口令包含的字符口令必须包含如下至少两种字符的组合: 至少一个小写字母； 至少一个大写字母； 至少一个数字； 至少一个特殊字符：!#$%&*()-_=+|;:,/? 和空格若设置的口令不符合规则，则设置不成功，并给出提示。13修改自己的口令需验证旧口令用户修改自己的口令时，必须提供旧口令进行验证，必须要二次输入新口令以确认没有输入错误，并且新口

31、令须满足“口令长度”、“口令包含的字符”等要求。不允许修改除自身账号以外的账号的口令（管理员除外）。14界面上的口令不能明文显示键入口令时不能明文显示出来(操作界面中的输入口令可不显示或用*代替)，包括在终端上打印或存储在日志中时也不能明文显示口令，即使是内存中的明文口令（如登录期间），也应在使用后立即覆盖。15口令输入框不支持拷贝功能口令输入框不支持拷贝功能。说明：这里指的是不能从口令输入框“拷出”数据，能否“拷入”（粘贴）是不限制的。16口令在本地存储时必须加密口令不允许明文存储在系统中（如：配置文件、日志文件、cookie中），应该加密保护。在不需要还原口令的场景，必须使用不可逆算法加密

32、。17存储口令的文件的访问权限控制口令文件必须设置访问控制，普通用户不能读取或拷贝加密的内容。18提供帐号口令清单产品配套资料提供必须的帐号、口令清单，非必要的帐号需要删除。19从服务器端的会话信息中获取修改口令的用户帐号在 B/S 应用中，修改口令的帐号只能从服务器端的会话信息中获取，而不能由客户端指定。20口令不能和用户名相同口令不能和账号或账号的逆序相同。若设置的口令不符合规则，则设置不成功，并给出提示。21内置账号口令要求对于系统内置帐号的缺省口令，口令应符合复杂度的要求，并在客户资料中提醒修改。会话管理22防止会话固定在 B/S 应用中，用户名和口令认证通过后，必须更换会话标识，以防

33、止会话固定（session fixation）漏洞。23会话中不允许修改的信息作为会话状态的一部分在服务器端存储和维护在 B/S 应用中，会话过程中不允许修改的信息，必须作为会话状态的一部分在服务器端存储和维护。认证失败策略24连续登录失败锁定帐号客户端在限定的时间段内有多次连续尝试登录失败时，可以执行如下策略中的一种：策略一：锁定帐号策略二：锁定IP25连续登录失败锁定策略的“允许连续失败的次数”可配置连续登录失败锁定策略的“允许连续失败的次数”可配置，取值范围：0-99 次，当取值为 0 时，表示不执行锁定策略，建议默认：3 次。26锁定时长可配置锁定时长可配置，取值范围：0-999 分钟

34、，当取值为 0 时，表示无限期锁定，建议默认：30 分钟。27连续登录失败锁定策略执行并在锁定时间超时后自动解锁连续登录失败锁定策略执行并在锁定时间超时后，系统支持自动解锁功能，同时支持管理员手动解锁功能，并提供管理员对服务器锁定其它用户帐号或者 IP 进行解锁的功能界面。权限鉴别28纵向越权防范在 B/S 应用中，对于每一个需要授权访问的页面或servlet的请求都必须核实用户的会话标识是否合法、用户是否被授权执行这个操作，以防止URL越权。禁用未公开接口29禁止留有后门禁止存在可绕过系统安全机制（认证、权限控制、日志记录）对系统或数据进行访问的功能。30禁止隐秘访问方式禁止隐秘访问方式：包

35、括隐藏账号、隐藏口令、无鉴权的隐藏模式命令/参数、隐藏组合键访问方式；隐藏的协议/端口/服务；隐藏的生产命令/端口、调试命令/端口；不记录日志的非查询操作等。31禁止不可管理的认证/访问方式禁止不可管理的认证/访问方式：包括用户不可管理的帐号，人机接口以及可远程访问的机机接口的硬编码口令，不经认证直接访问系统的接口等。32隐藏或未文档化接入方式公开未文档化的命令/参数、端口等接入方式（包括但不限于产品的生产、调试、维护用途），需通过产品资料等向运营商或监管机构公开或受限公开。权限管理33采用基于角色的帐号权限管理模型系统采用基于角色的帐号权限管理模型。34授权和用户角色数据存放在服务器端授权和

36、用户角色数据必须存放在服务器端，不能存放在客户端，鉴权处理也必须在服务器端完成。敏感数据保护35禁止在代码中存储明文的敏感数据禁止在代码中存储明文的敏感数据。说明：禁止在代码中存储如数据库连接字符串、口令等的敏感数据，这样容易导致泄密。例外：初始密钥（请参考“说明”中的名词解释）不遵循该规则，但必须遵循本基线中“加密解密”相关的要求。36敏感数据加密传输在非信任网络之间进行敏感数据（包括口令、银行帐号、批量个人数据等）的传输须采用安全传输通道或者加密后传输；有标准协议规定除外。采用加密通道即可，如：https协议37使用带服务器端证书的 SSL 传递敏感数据对于Web应用，登录过程中，往服务器

37、端传递用户名和口令时，必须采用HTTPS安全协议（也就是带服务器端证书的SSL）。只提供本地接入、登录，做设备管理使用的场景暂时不要求。说明：如果在客户端和服务器间传递如帐号、口令等敏感数据，必须使用带服务器端证书的SSL。由于SSL对服务端的CPU资源消耗很大，实施时必须考虑服务器的承受能力。38禁止在 URL 中携带会话标识在 B/S 应用中，禁止在 URL 中携带会话标识（如 jessionid）。说明：由于浏览器会保存 URL 历史记录，如果 URL 中携带会话标识，则在多人共用的 PC 上会话标识容易被其他人看到，一旦该会话标识还在其生命有效期，则恶意用户可以冒充受害用户访问 Web

38、 应用系统。39对敏感信息的访问对银行账号等敏感数据的访问要有认证、授权和加密机制。隐私保护37个人数据过滤或匿名化处理禁止将个人数据转移出生产网络，产品出于定位问题目的从客户网络导出的包含个人数据的数据时应对个人数据进行过滤或匿名化处理。38个人数据处理功能公开涉及个人数据的采集/处理的功能须提供安全保护机制（如认证、权限控制、日志记录等），并通过产品资料向客户公开。加密解密39使用没有专利的安全标准加密算法禁止使用私有加密算法。对于对称加密，采用AES128加密算法实现，对于不可逆加密算法，采用hamc-sha256算法实现。根据移动加解密规范实现。40禁止写死传输密钥用于敏感数据传输加密

39、的密钥，不能硬编码在代码中。41密钥不能明文存储密钥管理需遵守 移动秘钥管理系统要求，秘钥从系统中获取，不单独生成。根据 移动加解密规范实现。业务运行安全42禁止使用不安全的服务和协议系统的管理功能和近端维护终端、网管维护终端间，支持使用合适的安全协议（如SSH v2/TLS1.0/SSL3.0/IPSec/SFTP/ SNMPv3等）；支持关闭不安全协议（FTP、Telnet）。协议与接口防攻击43关闭非必需端口系统所有的对外通信连接必须是系统运行和维护必需的，对使用到的通信端口在产品通信矩阵文档中说明，动态侦听端口必须限定确定的合理的范围。通过端口扫描工具验证，未在通信矩阵中列出的端口必须

40、关闭。44管理访问接入认证要求所有能对系统进行管理的通信端口及协议必须有接入认证机制，标准协议没有认证机制的除外。45近端访问认证要求设备外部可见的能对系统进行管理的物理接口必须有接入认证机制。46协议畸形报文攻击测试与终端用户有交互、与非信任网络互联、容易受攻击的协议要进行协议畸形报文攻击测试。说明：仅限自研协议栈的攻击测试安全日志47对安全事件及操作事件记录日志所有的管理功能的用户活动、操作指令必须记录日志，日志内容要能支撑事后的审计，记录包括用户ID、时间、事件发起源（如操作者的IP地址、域名）、事件类型、被访问资源的名称、访问结果等；日志要有访问控制,只有管理员才能有删除权限。日志支持

41、以Session关联，可查询一次session的所有操作。日志支持以Session关联，可查询一次session的所有操作。Web 安全开发48输入校验1、对用户产生的输入进行校验，一旦数据不合法，应该告知用户输入非法并且建议用户纠正输入。2、必须对所有服务器产生的输入进行校验。3、不能依赖于客户端校验，必须使用服务端代码对输入数据进行最终校验。4、禁止未经严格输入校验、直接使用客户端提交的参数动态构建xpath语句。5、禁止未经严格输入校验、直接使用客户端提交的参数动态构建LDAP语句。6、 对输入参数进行校验，防止缓冲区溢出。49防止SQL注入非嵌入式产品的Web应用，应使用预编译语句 P

42、reparedStatement 代替直接的语句执行 Statement，或采用外部输入数据校验的方式，以防止SQL注入。50输出编码用户产生的数据必须在服务端进行校验；数据在输出到客户端前必须先进行HTML编码，以防止执行恶意代码、跨站脚本攻击。对于不可信的数据，输出到客户端前必须先进行 HTML 编码。51文件上传限制必须在服务器端采用白名单对上传或下载的文件类型进行严格的限制。说明：防止攻击者上传JSP、PHP等获取WebShell控制服务器。52上传、下载路径限制禁止以用户提交的数据作为读/写/上传/下载文件的路径或文件名，以防止目录跨越攻击。53web可访问的文件约束禁止将敏感文件（

43、如日志文件、配置文件、数据库文件等）存放在Web内容目录下。54删除调试代码归档的程序文件中禁止保留调试用的代码。Web Sevice 安全防护55对 Web Service 接口的调用进行认证对 Web Service 接口的调用必须进行认证。接口认证、鉴权 能力可配置56对 Web Service 提交的参数进行输入校验必须对 Web Service 提交的参数进行输入校验。接口认证、鉴权 能力可配置数据库安全：57数据库安全加固所有的数据库必须进行安全配置，以解决最基本的安全问题。说明：1、数据库口令禁止使用数据库厂商的默认口令，且口令复杂度需满足“强口令策略”的要求；2、数据库若存在多个默认帐号，须将不使用的帐号禁用或删除。3、使用单独的操作系统帐号来运行数据库；4、数据库中的敏感文件（如：Oracle数据库的init.ora、listener.ora等）需要严格控制访问权限，只能被数据库进程运行帐户和DBA帐户读写；5、对数据库帐户授予的权限进行严格清晰的划分，所有数据库帐户只能具备执行其任务的最小权限；6、对于有监听器功能的数据库（如Oracle的listener.ora）需要设置监听器密码或者设置为本地操作系统验证。如非 ZX提供数据库，该需求不涉及58数据库不允许存在高风险级别漏洞使用安全扫描软件扫描，不存在“高”级别的漏洞。如非