1
产品安全功能设计规范
XXX 信息技术有限公司
文档编号
版 本 号
密 级 内部公开
2
文档信息
发布版本:
最后发布时间:
编写人:
审核人:
版本控制
编号 修订人 修订时间 版本号 修订内容说明
1
2
3
4
第 3 页 共 13 页
目 录
1. 目标、范围与术语定义....................................................................................................5
. 目的............................................................................................................................5
. 适用范围....................................................................................................................5
. 部门/人员职责 ..........................................................................................................5
2. 安全功能基本要求............................................................................................................5
. 身份认证....................................................................................................................5
. 身份认证基本策略............................................................................................5
. 用户登录失败/超时处理 ..................................................................................6
. 账户信息输入防护............................................................................................7
. 接口身份认证....................................................................................................7
. 访问控制....................................................................................................................7
. 用户权限设置....................................................................................................8
. 产品本身访问控制............................................................................................8
. 产品资源访问控制............................................................................................8
. 客户端输入安全........................................................................................................9
. 输入内容校验功能............................................................................................9
. 输入校验方式....................................................................................................9
. 日志审计..................................................................................................................10
. 日志内容要求..................................................................................................10
. 日志数据保护..................................................................................................10
. 数据传输安全..........................................................................................................11
. 数据完整性保护..............................................................................................11
. 数据加密传输..................................................................................................11
. 敏感数据显示安全..................................................................................................12
. 数据存储安全..........................................................................................................12
. 存储加密要求..................................................................................................12
. 业务相关安全要求..................................................................................................13
第 5 页 共 13 页
1. 目标、范围与术语定义
. 目的
为产品设计人员安全功能设计、编写安全需求文档时提供参考。
. 适用范围
本文档规范的为产品基本安全功能要求,除少量要求显著标明适用范围外,
XXX 自主开发、外包开发均需遵照本规范,对于外购产品,可作为其采购的安
全指标。
. 部门/人员职责
产品设计人员:在产品设计阶段,依据本文档规定的安全功能要求进行产品
安全需求设计,并记录在产品需求设计文档中。
信息安全部:依据本文档要求,在产品需求评审和上线评审阶段进行产品安
全功能评审;
2. 安全功能基本要求
. 身份认证
. 身份认证基本策略
目的
降低账户信息易猜解的风险。
详细要求
第 6 页 共 13 页
用户身份认证可采用数据证书(文件、硬件形式)、动态口令(口令卡、短
信等)和账户/密码形式实现,从用户认证安全程度考虑,推荐使用数据证书、
动态口令或双因素身份认证方式,基于目前各产品线均采用账户/密码方式进行
身份认证的现状,应做到如下基本要求:
易宝内部人员使用的产品强制 90 天修改密码,外部商户/用户使用的产品视
情况可适当延长密码变更周期。
密码长度应不少于 8 位,至少包含数字、字母和特殊字符。
新设置密码不能与前 4 次密码相同。
采用用户名/密码+验证码方式登录,其中验证码可采取在登录失败 1 次后再
加入的方式。
重要业务操作必须进行二次身份认证,如修改密码、转账和支付等业务操作。
如采取预设置或默认密码方式,首次登录需强制修改密码。
同一用户 ID 只允许在同一时间仅允许存在一个会话,多用户使用同一账户
ID 登录时应有信息提示信息功能。
账户不允许提供自动登录功能,禁止自动保存用户名和密码。
. 用户登录失败/超时处理
目的
降低账户信息被暴力破解的风险。
详细要求
登录失败时无可被利用的错误提示信息。
用户 1 小时内(视业务情况可调整)内连续 5 次登录失败的锁定功能,锁定
第 7 页 共 13 页
时间至少为 30 分钟。
依据实际业务需求,可提供手工解锁方式,如通过预设安全提问、邮箱和手
机号码等。
应具有用户登录后 15 分钟无操作的超时退出功能。
. 账户信息输入防护
目的
降低用户账户信息输入时被木马窃取的风险;
详细要求
针对外部商户/外部用户使用的、涉及支付和转账等资金转移功能的产品,
必须强制使用安全控件方式进行登录防护,如登录密码、支付密码的输入。
. 接口身份认证
目的
降低易宝产品接口未授权使用造成的经济损失。
详细要求
外部系统访问易宝产品接口时,必须经过证书、密钥等方式的身份认证。
. 访问控制
. 用户权限设置
目的
第 8 页 共 13 页
降低用户因权限过大或授权不当造成的操作风险。
详细要求
产品具有独立的权限管理功能/模块,能否依据业务需求,对角色和用户细
粒度、灵活地分配用户权限。
采用新建默认角色/用户的方式分配用户权限,并遵守用户权限“最小化”原
则。
遵守用户权限分离和互斥原则,如用户管理员无业务操作权限、操作人和审
批人不能设置为同一用户等。
结算及退款需人工干预的重要业务操作均需要复核功能。
. 产品本身访问控制
目的
降低内部产品或接口对互联网造成的风险。
详细要求
XXX 内部运营、管理后台应禁止对互联网开放,实现方式包括在 webserver
配置、产品代码。
易宝对外开放接口时,应对外部系统的访问 IP、域名进行限制。
. 产品资源访问控制
目的
降低产品资源未授权访问风险;
详细要求
第 9 页 共 13 页
产品资源需区分公共页面和授权访问页面,用户访问授权页面和数据时,须
对用户登录状态、用户权限等进行检查,相关检查必须放在服务器端进行。
严禁产品具有自定义 SQL 语句进行操作数据库的功能,对数据库任何操作
必须通过产品功能实现。
严禁产品具有类似操作系统文件管理的功能。
. 客户端输入安全
. 输入内容校验功能
目的
降低用户非法输入造成的安全风险。
详细要求
依据业务需求,合理定义用户输入的数据类型(字符、数字)、格式(邮箱、
电话)、范围(年龄)、长度和上传文件大小、类型(jpg、txt、excel 等),并在
服务器端进行合法性检查。
特殊字符过滤功能,参见《安全编码规范》的 的“输入验证”章节。
. 输入校验方式
目的
降低数据校验功能被绕过的风险。
详细要求
所有用户传递过来的参数(包括用户输入的和在用户端显示的)必须在服务
器端校验,如在用户端显示的支付/充值金额、用户输入的特殊字符等。
第 10 页 共 13 页
. 日志审计
. 日志内容要求
目的
降低重要操作无法追查的风险;
详细要求
产品应具有独立的审计模块,具有查询、搜索等功能。
日志内容至少包括业务操作(转账、交易、支付等)、用户管理(用户登录/
登出、修改密码、增加/删除用户、权限变更等)和产品配置(数据备份、角色
划分调整等)等。
单条日志记录应包括操作人、时间、IP 地址、操作描述和操作结果等要素。
. 日志数据保护
目的
降低日志被篡改、删除和信息泄露风险。
详细要求
产品无日志删除、修改功能。
日志存储和显示时,应对敏感信息进行部分显示或屏蔽,如银行账户、用户
密码等。
. 数据传输安全
第 11 页 共 13 页
. 数据完整性保护
目的
降低数据被篡改造成的安全风险;
详细要求
对可造成经济损失的支付、订单和交易数据进行完整性校验,如打款账号、
充值手机号等。
完整性校验方式主要通过 MD5、SHA1 等算法实现。
. 数据加密传输
目的
降低敏感数据在传输过程中被窃听的风险。
详细要求
需加密的数据包括用户登录/交易密码、交易数据(银行卡号、账户名、交
易密码和 CVV2 等)和用户重要个人信息(身份证、手机号等)。
传输加密可 https、本地加密后传输方式,加密算法需 128 位以上,如
3DES、AES-256 等。
. 敏感数据显示安全
目的
降低敏感数据未屏蔽显示造成的信息泄露风险。
详细要求
第 12 页 共 13 页
商户/个人用户的银行卡号、银行账户名和身份证号应屏蔽显示,其中卡号
最多可显示前六位和后四位数字。
敏感数据显示的位置包括 WEB 页面、下载文档和日志等。
因业务需求无法屏蔽显示的,必须采取用户权限限制、查询显示数量、数据
下载审核等补偿措施。
. 数据存储安全
. 存储加密要求
目的
降低明文存储的敏感数据被恶意导出的高危安全风险。
详细要求
严禁存储的数据:包括银行卡交易密码(PIN 码)、信用卡 CVV2 和银行卡
完整磁条数据。
必须加密存储的数据:用户登录/支付密码、银行卡信息(卡号、姓名、有
效期)、个人重要信息( 身份证号等)、非银行卡卡密等。
加密算法要求:密钥长度为 128 位以上,其中 HASH 算法(用于用户密码
等不可逆的情况)推荐采用 SHA-1+salt 加密、可解密的加密算法推荐使用 3DES、
AES-256。
. 业务相关安全要求
目的
降低针对支付业务的安全风险。
第 13 页 共 13 页
详细要求
业务相关安全要求视实际需求而定,常见的包括:
针对支付、转账和打款等资金交易的操作,必须具有检查和禁止重复输入或
重复操作的功能。
资金、交易对账功能。