【YD通讯标准】 网络交易系统安全防护要求

ICS33.040
中华人民共和国通信行业标准
YD/T3163-2016
网络交易系统安全防护要求
Securityprotectionrequirementsforthenetworktransactionsystem2016-07-11发布
2016-10-01实施
中华人民共和国工业和信息化部发布前言
1范围·
2规范性引用文件·
3术语、定义和缩略语·
4网络交易系统安全防护概述.
5网络交易系统安全防护要求
附录A（规范性附录）网络交易系统风险分析。次
YD/T3163-2016
YD/T3163-2016
本标准是“电信网和互联网安全防护体系”系列标准之一，该系列标准的结构及名称预计如下：1.
《电信网和互联网安全防护管理指南》：《电信网和互联网安全等级保护实施指南》：《电信网和互联网安全风险评估实施指南》：《电信网和互联网灾难备份及恢复实施指南》：《固定通信网安全防护要求》；《固定通信网安全防护检测要求》；《移动通信网安全防护要求》：《移动通信网安全防护检测要求》；《互联网安全防护要求》；
《互联网安全防护检测要求》：11.
《增值业务网一消息网安全防护要求》：《增值业务网一消息网安全防护检测要求》；12.
《增值业务网一智能网安全防护要求》：《增值业务网一智能网安全防护检测要求》：14.
《接入网安全防护要求》；
《接入网安全防护检测要求》：16.
17.《传送网安全防护要求》；
《传送网安全防护检测要求》：18.
《IP承载网安全防护要求》；
《IP承载网安全防护检测要求》：《信令网安全防护要求》；
《信令网安全防护检测要求》：22.
《同步网安全防护要求》；
《同步网安全防护检测要求》：25.《支撑网安全防护要求》：
26.《支撑网安全防护检测要求》；27.《非核心生产单元安全防护要求》；28.《非核心生产单元安全防护检测要求》：29.《电信网和互联网物理环境安全等级保护要求》《电信网和互联网物理环境安全等级保护检测要求》；30.
《电信网和互联网管理安全等级保护要求》；31.
32.《电信网和互联网管理安全等级保护检测要求》：I
HiiKAoNiKAca
33.《域名系统安全防护要求》；34.《域名系统安全防护检测要求》：35.《网上营业厅安全防护要求》；36.《网上营业厅安全防护检测要求》；37.《WAP网关系统安全防护要求》；38.《WAP网关系统安全防护检测要求》；39《电信网和互联网信息服务业务系统安全防护要求》；40.《电信网和互联网信息服务业务系统安全防护检测要求》；《增值业务网即时消息业务系统安全防护要求》；41.
《增值业务网即时消息业务系统安全防护检测要求》：42.
《域名注册系统安全防护要求》；43.
《域名注册系统安全防护检测要求》；44.
《移动互联网应用商店安全防护要求》：《移动互联网应用商店安全防护检测要求》；46.
《互联网内容分发网络安全防护要求》：《互联网内容分发网络安全防护检测要求》；48.
《互联网数据中心安全防护要求》；49.
《互联网数据中心安全防护检测要求》；50.
《移动互联网联网应用安全防护要求》：52.《移动互联网联网应用安全防护检测要求》；53.《公众无线局域网安全防护要求》：54.《公众无线局域网安全防护检测要求》；55.《电信网和互联网安全防护基线配置要求及检测要求网络设备》；56.《电信网和互联网安全防护基线配置要求及检测要求安全设备》：57.《电信网和互联网安全防护基线配置要求及检测要求操作系统》：58.《电信网和互联网安全防护基线配置要求及检测要求数据库》：59.《电信网和互联网安全防护基线配置要求及检测要求中间件》；60.《电信网和互联网安全防护基线配置要求及检测要求Web应用系统》；61.《电信和互联网用户个人电子信息保护通用技术要求和管理要求》；62.《电信和互联网用户个人电子信息保护检测要求》：63.《互联网接入服务安全防护要求》；64.《互联网接入服务安全防护检测要求》；《网络交易系统安全防护要求》：65.
66.《网络交易系统安全防护检测要求》：67.《邮件系统安全防护要求》；68.《邮件系统安全防护检测要求》：69.《公有云服务安全防护要求》；YD/T3163-2016
TiiKAoNiKAca
YD/T3163-2016
70.《公有云服务安全防护检测要求》。随着电信网和互联网的发展，将不断补充和完善电信网和互联网安全防护体系的相关标准。本标准按照GB/T1.1-2009给出的规则起草。本标准由中国通信标准化协会提出并归口。本标准起草单位：中国信息通信研究院、国家计算机应急技术处理协调中心、北京新浪互联信息服务有限公司、奇虎360、中国移动通信集团公司、中国联合网络通信集团有限公司。奇、金波。
本标准主要起草人：许子先、陈禹、章毅、刘小雄、廖IV
HiiKAoNiKAca
1范围
网络交易系统安全防护要求
YD/T3163-2016
本标准规定了网络交易系统分安全保护等级的安全防护要求，涉及到业务及应用安全、网络安全、设备及软件系统安全、物理安全和管理安全。本标准适用于公众电信网和互联网中的网络交易业务系统。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。YD/T1754-2008
YD/T1756-2008
电信网和互联网物理环境安全等级保护要求电信网和互联网管理安全等级保护要求YD/T2692-2014电信网和互联网用户个人电子信息保护通用技术要求和管理要求YD/T2698-2014电信网与互联网安全防护基线配置要求及检测要求网络设备YD/T2699-2014电信网与互联网安全防护基线配置要求及检测要求安全设备YD/T2700-2014电信网与互联网安全防护基线配置要求及检测要求数据库YD/T2701-2014电信网与互联网安全防护基线配置要求及检测要求操作系统YD/T2702-2014电信网与互联网安全防护基线配置要求及检测要求中间件YD/T2703-2014电信网与互联网安全防护基线配置要求及检测要求Web应用系统3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。3.1.1
网络交易系统安全等级SecurityClassificationofNetworkTransactionSystem网络交易系统安全重要程度的表征。重要程度可从网络交易系统受到破坏后，对国家安全、社会秩序、经济运行、公共利益、业务运营企业造成的损害来衡量，3.1.2
网络交易系统安全风险SecurityRiskofNetworkTransactionSystem人为或自然的威胁，可能利用网络交易系统中存在的脆弱性导致安全事件的发生及造成的影响。3.1.3
网络交易系统资产AssetofNetworkTransactionSystem网络交易系统中具有价值的资源，是安全防护保护的对象。网络交易系统中的资产可能是以多种形式存在，无形的、有形的、硬件、软件，包括网络布局、服务器、物理线路、数据、软件、文档、规程、业务、人员、管理等各种类型的资源，如网络交易系统的主机、数据库等，1
HiiKANiKAca
YD/T3163-2016
网络交易系统威胁ThreatofNetworkTransactionSystem可能导致对网络交易系统产生危害的不希望事件潜在起因，它可能是人为的，也可能是非人为的：可能是无意失误，也可能是恶意攻击。常见的网络交易系统威胁有信息窃取、交易篡改等等。3.1.5
网络交易系统灾难恢复DisasterRecoveryofNetworkTransactionSystem为了将网络交易系统从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程。3.2缩略语
下列缩略语适用于本文件。
Business to Business
Business to Consumer
Consumer to Consumer
Distributed Denial of ServiceDomain Name System
Denial of Service
Central Processing Unit
Internet Protocol
Media Access Control
File Transfer Protocol
4网络交易系统安全防护概述
4.1网络交易系统安全防护范围
企业之间
企业和消费者之间
消费者与消费者之间
分布式拒绝服务
域名系统
拒绝服务
中央处理器
网际协议
物理地址
文件传输协议
网络交易系统是指利用公众电信网和互联网，面向社会公众提供电子商务有关商品与服务的交易处理平台。
网络交易系统主要包括用户账户管理模块、业务处理模块、业务安全管理模块、系统安全管理模块支付接口模块等。系统功能架构图如图1所示。各模块的功能描述如下：
1）用户账户管理模块主要包括用户注册、认证、权限等子模块，主要是实现用户的注册、登录认证以及用户权限鉴别及管理
2）业务处理模块主要包括商品发布、检索、订单管理、厂告管理等子模块，主要实现商品发布、商品及店铺等信息的检索、用户交易订单的管理（加入购物车、创建订单、取消订单等）以及系统中广告信息的管理功能。
3）业务安全管理模块主要包括恶意代码监控和过滤模块，主要实现对用户上传数据、系统发布数据中的恶意代码进行扫描，及时有效地发现恶意代码并能对其进行过滤，确保上传数据安全。4）系统安全管理模块主要包括设备配置管理和设备运行状态监控，主要实现对网络交易系统中网络安全、主机设备的安全配置管理及日常运行状态监控，及时有效地发现系统运行异常，确保系统运行稳定。
HiiKAoNiKAca
YD/T3163-2016
5）支付接口模块要实现网络交易系统与第三方合作支付系统的数据通信，以完成在线支付功能。PC用户
用户账户管理模块
业务安全管理模块
恶意代码监控
通信网络
过滤，
支付接口模块
第三方合作系统
智能终端用户
业务处理模块
订单管理
系统安全管理模块
广告管理
运行状态监控
等模块
图1网络交易系统功能架构图
4.2网络交易系统安全风险分析
网络交易系统中的重要资产主要包括：1）网络交易关键业务系统及操作维护终端：如用户账户管理模块、业务处理模块、业务安全管理模块、系统安全管理模块、支付接口模块等涉及的服务器、数据库、中间件和操作维护终端等；2）网络交易系统关键数据：如用户身份认证、权限及个人隐私信息，用户发布的商品信息、订单信息，系统发布的广告信息，网络交易系统中配置及管理认证信息（各业务系统、各服务器、各网络设备及安全设备配置及管理认证信息）、支付接口的配置及认证管理信息等。网络交易系统中的相关代表性资产的类别划分见附录A表A.1。网络交易系统面临来自公众互联网和内部网络的各种安全威胁，包括黑客发起DDoS攻击服务器，通过网络渗透手段改、重定向网站内容，上传、传播恶意代码，不法分子窃取信息（如，系统配置信息、用户敏感信息等），内部人员操作失误等。网络交易系统安全威胁可分为技术威胁、环境威胁和人为威胁。环境威胁包括自然界不可抗的威胁和其他物理威胁。根据威胁的动机，人为威胁又可分为恶意和非恶意两种。网络交易系统的安全威胁分析应包括但不限于附录A表A.3所列范围。网络交易系统在用户账户管理、业务处理、业务安全管理、系统安全管理、支付接口等模块的功能实现、部署、配置、管理等环节上均可能引入安全脆弱点。网络交易系统的脆弱性可以从技术脆弱性和管理脆弱性两个方面考虑。脆弱性识别对象应以资产为核心。网络交易系统的脆弱性分析应包括但不限于附录A表A.2所列范围。
网络交易系统可能存在的安全脆弱性被利用后会产生很大的安全风险，例如：用户账户管理模块控制不严格，可产生认证绕过、越权操作等安全隐患；业务处理模块安全措施不到位，可产生敏感数据泄漏、恶意代码上传及传播、虚假交易等安全隐患：业务安全管理模块安全功能不到位，可产生用户请求3
HiiKAoi KAca
YD/T3163-2016
被劫持或重定向、商品及交易数据被篡改等安全风险：系统安全管理模块安全功能不到位，配置审计、保护措施不到位，攻击者可能从外网渗透进内网系统，窃取或者被纂改系统及业务数据：支付接口模块安全措施不到位，可产生支付数据被劫持或被篡改等安全隐患。由于涉及到金融交易，因此这些安全隐患会对网络交易系统的业务运行、用户利益构成严重安全威胁4.3网络交易系统安全防护内容
网络交易系统安全防护内容具体包括：1）业务及应用安全：包括向用户提供的相关业务及应用在实现技术、逻辑、管理和控制等方面的安全要求，主要包括业务逻辑安全、Web安全、对外能力开放接口安全、客户端安全、用户信息安全防护等。
2）网络安全：包括网络交易系统在网络结构安全、入侵防范、安全审计等方面的安全要求，3）设备及软件系统安全：包括网络交易系统的网络及安全设备、操作系统、数据库、中间件在身份鉴别、访问控制、安全审计、入侵防范、资源控制等方面的安全要求。4）物理环境安全：包括网络交易系统所处的物理环境在机房位置、电力供应、防火、防水、防静电、温湿度控制等方面的安全要求。5）管理安全：包括管理制度、人员和技术支持能力、运行维护管理能力、灾难恢复预案等方面的安全要求。
5网络交易系统安全防护要求
5.1第1级要求
5.1.1业务及应用安全
5.1.1.1业务逻辑安全
业务逻辑安全应符合以下要求：a）应具备身份鉴别模块；
b）应具备访问控制模块：
c）应具备信息保护模块；
d）应具备交易安全模块：
e）应具备恶意代码防范模块；
f）应满足YD/T2692-2014要求。5.1.1.2Web安全
Web安全应符合以下要求：
a）应具备输入验证模块：
b）应具备身份认证模块；
c）应具备访问控制模块：
d）应具备会话管理模块：
e）应满足YD/T2703-2014要求
5.1.2网络安全
网络安全应符合以下要求：
a）应具备网络监测模块；
HiiKAoNiKAca
b）应具备入侵防范模块。
5.1.3设备及软件系统安全
5.1.3.1网络及安全设备
网络及安全设备应符合以下要求：a）应具备网络安全设备：
b）应满足YD/T2698-2014要求：c）应满足YD/T2699-2014要求。5.1.3.2操作系统
操作系统应符合以下要求
a）应具备身份鉴别模块：
b）应具备访问控制模块：
c）应具备入侵防范模块；
d）应具备恶意代码防范模块；
e）应满足YD/T2701-201要求。
5.1.3.3数据库
数据库应符合以下要求：
a）应具备身份鉴别模块：
b）应具备访问控制模块：
c）应具备入侵防范模块：
d）应满足YD/T2700-2014要求。5.1.3.4中间件
中间件应符合以下要求：
a）应具备身份鉴别模块：
b）应具备访问控制模块：
c）应具备入侵防范模块；
d）应满足YD/T2702-2014要求。5.2第2级要求
5.2.1业务及应用安全
5.2.1.1业务逻辑安全
5.2.1.1.1身份鉴别
除符合第1级要求以外，还应符合以下要求：应采用加密方式存储业务用户的账号和口令信息。5.2.1.1.2访问控制
除符合第1级要求以外，还应符合以下要求：YD/T3163-2016
应严格设置登录策略，按安全策略要求具备防范账户暴力破解攻击措施的能力。如限定用户连续错误输入密码次数，超过设定岗值，对用户进行锁定，并设定锁定时间，在锁定时间内被锁定的用户需通过注册时的标志信息进行密码重新设定或者凭有效证件进行设定。5
YD/T3163-2016
5.2.1.1.3安全审计
安全审计应符合以下要求：
a）审计范围应覆盖到每个用户的关键操作、重要行为、业务资源使用情况等重要事件。如普通用户异常登录、发布恶意代码、异常修改账号信息等行为，以及管理员在业务功能及账号控制方面的关键操作：
b）业务相关审计记录应包括事件日期、时间、发起者信息、类型、描述和结果等；c）应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。5.2.1.1.4资源控制
当用户和业务系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话。5.2.1.1.5信息保护
信息保护除符合第1级要求以外，还应符合以下要求a）应保护业务相关信息的安全，避免相关数据和页面被篡改和破坏；b）应建立对业务及应用关键数据（如业务数据、应用配置数据、管理员操作维护记录、用户信息等和重要信息进行备份和恢复的管理和控制机制。5.2.1.1.6交易安全
交易安全除符合第1级要求以外，还应符合以下要求a）应限制用户在商品发布、交易过程中上传文件的大小、类型及路径，避免上传过大文件、恶意脚本或应用程序，并关闭Web服务器对上传目录的脚本执行权限与文件可执行权限：b）网络交易系统应对交易数据进行严格校验，防止交易数据被篡改。5.2.1.2Web安全
5.2.1.2.1输入验证
输入验证除符合第1级要求以外，还应符合以下要求：a）应对所有来源的输入进行验证，默认所有输入都可能包含恶意信息，只要其来源不在可信任的范围之内，就应对输入进行验证并尽量使用白名单验证方法：b）应在服务器端进行输入验证，避免客户端输入验证被绕过。5.2.1.2.2身份认证
身份认证除符合第1级要求以外，还应符合以下要求：a）应禁止明文传输用户密码；
b）应禁止在COOKIE中保存用户密码：c）应采用图形验证码来增强身份认证安全，防止恶意脚本自动发送身份认证请求来猜测用户认证鉴权性质的信息。要求图形验证码能够抵抗工具的自动识别；d）应对关键业务操作，例如修改用户认证鉴权信息（如密码、密码取回问题及答案、绑定手机号码等），需要经过二次鉴权，以避免因用户身份被冒用，给用户造成损失：e）应避免认证错误提示泄露信息，在认证失败时，应向用户提供通用的错误提示信息，不应区分是账号错误还是密码错误，避免这些错误提示信息被攻击者利用：f）应支持密码策略设置，从业务系统层面支持强制的密码策略，包括密码长度、复杂度等，特别是业务系统的管理员密码：
YD/T3163-2016
g）应支持账号锁定功能，系统应限制连续登录失败次数，在客户端多次尝试失败后，服务器端需要对用户账号进行短时锁定，且锁定策略支持配置解锁时长5.2.1.2.3会话管理
会话管理除符合第1级要求以外，还应符合以下要求：a）应确保会话的安全创建，在用户认证成功后，应为用户创建新的会话并释放原有会话，创建的会话标识应满足随机性和长度要求，避免被攻击者猜测。如会话与网络地址绑定，降低会话被盗用的风险：bzxz.net
b）在涉及到关键业务操作的Web页面，以避免跨站请求伪造等攻击。如为当前Web页面生成一次性随机令牌，作为主会话标识的补充。在执行关键业务前，应确保用户提交的一次性随机令牌与服务器端保存的一次性随机令牌匹配。5.2.1.2.4数据存储
数据存储应符合以下要求：
a）对于不同安全级别的数据，比如日志记录和业务数据，应采取相应的隔离措施和安全保护措施：b）应禁止存储非必要的用户敏感数据（如用户个人身份信息等）：c）应避免在代码中硬编码密码，即在代码中直接嵌入密码，会导致密码修改困难，甚至密码的泄露，建议从配置文件载入密码：d）在配置文件中禁止明文存储数据库连接密码、FTP服务密码、主机密码、外部系统接口认证密码等。
5.2.1.2.5日志记录
日志记录应符合以下要求：
a）应禁止在日志中记录非必要的用户密码等敏感信息，如果确实需要记录敏感信息，则应进行模糊化处理：
b）应禁止将日志保存到Web目录下，确保日志数据的安全存储并严格限制日志数据的访问权限，建议对日志记录进行签名来实现防篡改。5.2.1.3支付接口安全
支付接口安全应符合以下要求：a）应提供数据有效性检验功能，保证通过Web接口输入或通过通信接口输入的数据格式或长度符合系统设定要求；
b）接口均应分别设置专门服务器，通过服务器的接口应用实现内外系统的交互：c）接口数据传输应进行校验，确保数据在传输过程中的完整性：d）接口认证信息应以密文的形式单独存储在配置文件中；5.2.1.4客户端安全
客户端安全应符合以下要求：
a）软件运行时应对能提供对自身完整性校验的功能，及时有效的发现是否被恶意修改：b）应确保软件配置信息、用户认证信息等敏感数据采用加密方式存储：c）应确保软件内存管理不存在逻辑缺陷，如未释放资源、敏感信息驻留内存等；d）客户端软件的用户身份鉴别模块应提供防止键盘记录攻击的功能：7
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。