【其它国内标准】 国家电网公司应用软件系统通用安全要求

ICS29.240
国家电网公司企业标准
Q/GDW1597-—2015
代替Q/GDW597—2011
国家电网公司应用软件系统通用安全要求Common securityrequirementforapplication software systemofStateGrid CorporationofChina2016-11-09发布
国家电网公司
2016-11-09实施
范围…
2规范性引用文件·
3术语和定义.
4概述..
通用安全技术要求
5.1基本型安全技术要求.
5.2增强型安全技术要求
6通用安全保障要求
编制说明.
Q/GDW1597—2015
Q/GDW1597—2015
为规范国家电网公司应用软件系统的安全性，实现信息安全与软件系统同步规划、同步建设、同步运行，结合当前国内外信息安全形势及国家电网公司对应用软件系统提出的安全要求，对Q/GDW597-2011《国家电网公司应用软件通用安全要求》进行修订形成本标准。本标准代替Q/GDW597—2011，与Q/GDW597—2011相比，主要技术性差异如下：增加了第4章“概述”：
增加了第6章“通用安全保障要求”一在“基本型安全技术要求”和“增强型安全技术要求”中分别增加了关于会话管理、安全漏洞和外部接口的要求。
删除了原标准第4章“适用对象”：一删除了原标准第5章“应用软件系统安全目标”；删除了原标准第6章“通用安全管理要求”；删除了原标准第8章“附则”；
删除了“通用安全技术要求”中关于与基础环境的交互和安全实施的内容：删除了“基本型安全技术要求”中关于资源控制、备份和恢复的内容：删除了“增强型安全技术要求”中关于备份和恢复的内容；修改了“范围”：
修改了“术语和定义”；
对“通用安全技术要求”中各条款的描述进行了修改和细化。本标准由国家电网公司信息通信部提出并解释。本标准由国家电网公司科技部归口。本标准起草单位：中国电力科学研究院、国网湖北省电力公司本标准主要起草人：陈艳红、刘楠、李凌、严敏辉、单松玲、罗宾、刘莹、宋小芹、黄杰、赵莹陈文秀、王杰、方晓文、郭旭、邱意民、张翎、毛澍、黄伟、张盈、陈刚、吕苏、李文静、张志伟、李让岐、徐亮、范永、刘强、欧阳利剑、仓甜。本标准2011年5月首次发布，2015年11月第次修订。本标准在执行过程中的意见或建议反馈至国家电网公司科技部。Ⅱ
1范围
Q/GDW1597—2015
国家电网公司应用软件系统通用安全要求本标准规定了国家电网公司应用软件系统投运前需要满足的安全技术要求和安全保障要求本标准适用于国家电网公司管理信息大区的应用软件系统。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T18336.1一2008信息技术安全技术信息技术安全性评估准则第1部分：简介和一般模型GB/T22240一2008信息安全技术信息系统安全等级保护定级指南GB/T25069—2010信息安全技术术语GB/T28452-2012信息安全技术应用软件系统通用安全技术要求Q/GDW1929.3-2013信息系统应用安全第3部分：安全编码3术语和定义
GB/T250692010、GB/T28452-2012界定的以及下列术语和定义适用于本文件。3.1
应用软件系统
applicationsoftwaresystem
信息系统的重要组成部分，是指信息系统中对特定业务进行处理的软件系统。[GB/T28452-2012，定义3.1.1]
基本型basicmodel
安全级别为二级的应用软件系统。应用软件系统安全等级定义参见GB/T222402008。3.3
增强型enhancedmodel
安全级别为三级的应用软件系统。应用软件系统安全等级定义参见GB/T2224020083.4
用户user
通过应用软件系统提供的操作界面对软件系统进行操作控制的人、账号、进程等3.5
身份标识identityidentification用于标识软件系统用户身份的信息，可为用户名、账号、用户ID等。3.6
号anonymousaccount
匿名账号
应用软件系统内置的且无法与具体用户相关联的账号。注：如guest、anonymous等账号。3.7
permanentaccount
长期使用账号
为满足日常工作而建立的账号，此类账号一般无时间限制，仅在对应的实体用户发生变更时，账号1
Q/GDW1597—2015
状态才会发生相应的变更
临时使用账号
temporaryaccount
为满足临时工作需要对专用人员开通的账号，该类账号有时间限制，到期应转为休眠状态。3.9
激活账号activatedaccount
目前处于可使用状态的账号。
休眠账号inactivatedaccount
目前处于休眠状态的账号，此类账号无法实现系统登录，仅在系统中保留其角色和权限，休眠账号的休眠期限最长为一年，在期限内经审批后可转为激活账号，达到期限系统应进行告警3.11
号cancelledaccount
已注销账号
自前己被删除的账号，此类账号无法登录系统，仅在系统中保留其原始登录和操作轨迹日志3.12
敏感操作sensitiveoperation
涉及用户隐私或其他敏感信息的操作。注：常见的敏感操作包括交易操作、查询敏感数据操作等3.13
务mutual exclusion
互斥业务
不能有交叉且必须由不同的用户完成的业务。注：如财务岗位中的会计和出纳，各自负责的业务不能有交叉。3.14
授权用户authorizeduser
依据应用软件系统安全策略可以执行某项操作的用户。注：改写GB/T18336.12008，定义2.7。3.15
客体object
应用软件系统的功能、文件或者数据库表等。3.16
手unusual incident
异常事件
潜在侵害事件。
注：一般将连续登录失败、同一用户多点登录、越权访问、登录IP异常、连接超时等定义为异常事件。3.17
校验码checkcode
通常是一组数学的最后一位，由前面的数字通过某种算法得出：用以检验该组数据的正确性3.18
密码技术cryptography
一种混淆技术，可将正常（可识别）的信息转变为无法识别的信息。3.19
居businessdata
业务数据
应用软件系统中由于业务操作所输入、修改、删除的数据，业务运行过程中需要频繁访问该类数据，一般将财务相关的数据、个人私密信息等定义为重要业务数据。2
保密性confidentiality
使信息不泄露给未授权的个人、实体、进程，或不被其利用的特性。[GB/T25069—2010，定义2.1.1]3.21
完整性integrality
数据没有适受以未授权方式所作的更改或破环的特性[GB/T25069—2010，定义2.1.36]3.22
动态口令dynamicpassword
根据特殊算法生成，个不可预测的随机数学组合，每个密码只能使用一次3.23
系统服务水平systemservicelevel计算机的CPU、内存、磁盘等硬件资源的使用情况。3.24
威胁threat
对资产或组织可能导致负面结果的一个事件的潜在源。［GB/T250692010，定义2.3.94]3.25
安全需求securityrequirements为保证应用软件系统正常运作，在信息安全防护措施方面提出的系列要求。3.26
安全设计securitydesign
Q/GDW1597—2015
为确保应用软件系统能够符合安全需求而提出的开发设计方案，能够明确的指导开发人员实施开发。
4概述
本标准定义了应用软件系统投运前应实现的安全技术要求和安全保障要求的集合。在实际应用中应基于应用软件系统的运行环境、主要威胁、安全等级和业务功能特性等因素确定要求子集，并对选择的依据进行明确说明。
5通用安全技术要求
5.1基本型安全技术要求
5.1.1标识和鉴别
本项要求包括：
a）应用软件系统应提供专用的或采用统一的登录控制模块对用户进行身份标识和鉴别，鉴别过程应在服务端完成；
应用软件系统应提供用户身份标识唯一性检查功能，保证系统中不存在重复标识的用户：b）
应用软件系统不应内置诺名账号，应按实名制原则创建账号，保证账号具有可追溯性：d)
应用软件系统应根据用户账号使用周期分为长期使用账号和临时使用账号：应用软件系统应根据用户账号使用状态分为激活账号、休眠账号和已注销账号：应用软件系统应仅允许授权的管理员配置账号扫描策略，依据策略定期自动扫描账号，并对3个月及以上未使用的账号进行锁定或将其转为休眠账号；3
Q/GDW1597-—2015
应用软件系统应提供对用户鉴别信息复杂度进行检查和配置的功能：g
应用软件系统应禁止用户口令与用户名相同或包含用户名：h）
应用软件系统应保证用户口令长度不小于8位字符，应为大写字母、小写字母、数字、特殊字符中三种或三种以上的组合：
应用软件系统应强制要求用户定期（至少3个月一次）修改口令，且修改前后不能完全一样：j
应用软件系统应保证使用的一次性动态口令长度至少为6位，有效期最长为6分钟：k）
应用软件系统应保证使用的数字证书为国家电网公司CA系统签发的数字证书或国家权威机构签发的第三方数字证书：
m）应用软件系统应保证使用的图形验证码为随机生成的长度不少于4位的字符，应包含字母与数字，并在显示时对其进行扭曲等处理，提高识别的难度：应用软件系统应具备连续登录失败处理机制，对24小时内连续登录失败次数达到设定值（应n）
在1-10次之内）的用户账号进行锁定，至少锁定20分钟或由授权的管理员解锁；应用软件系统应仅允许授权的管理员对登录失败限制次数和锁定策略进行设置0
应用软件系统应为每个用户创建独立且满足复杂度要求的初始口令，并通过邮件或其他安全渠p）
道告知用户：
应用软件系统应强制要求新建用户首次登录系统时必须先修改初始口令：q
应用软件系统应保证除系统管理员外的用户只能修改自已的口令，不能修改其他用户的口令：
应用软件系统应保证已登录系统的用户在执行敏感操作时被重新鉴别。5.1.2访问控制
本项要求包括：
应用软件系统应提供专用的或采用统一的权限管理模块实现访问控制功能，并依据安全策略控a)
制用户对客体的访问权限：
应用软件系统应仅允许授权的管理员配置访问控制策略，并根据访问控制策略限制用户对客体b）
的访问权限：
应用软件系统应仅允许未授权用户具有最低级别的权限，如修改自身信息的权限和有限的查询c
权限；
应用软件系统应设置独立的系统管理员角色、审计管理员角色、业务配置员角色，其中系统管d)
理员角色、审计管理员角色应为系统内置角色：应用软件系统应保证系统管理员角色仅具有用户管理、角色管理、权限管理、配置定制等系统e)
管理权限：
应用软件系统应保证审计管理员角色仅具有监控其他各类用户的操作轨迹及对审计数据进行f)
管理、监视和运行维护的权限：应用软件系统应保证业务配置员角色仅具有系统组织架构管理及对各类参数、主数据、功能项g）
等基础配置的权限；
应用软件系统应设置独立的业务操作员角色，该类角色为系统的最终业务用户，不具有任何管理权限：
i）在有互斥业务要求的情况下，应用软件系统应保证有互斥业务的权限不能授予同一个业务用户：
应用软件系统可设置业务管理员角色和业务审计员角色，其中，业务管理员仪能对业务类用户的权限进行管理，业务审计员仅能够监控业务类用户的操作轨迹及对业务日志进行管理、监视和运行维护操作：
k）应用软件系统应保证不同角色间权限互斥，且不能将不同的角色授予同一用户：4
Q/GDW1597—2015
1）应用软件系统应根据访问时间、访问客户端地址等条件对用户登录进行访问控制。5.1.3安全审计
本项要求包括：
a）应用软件系统应提供覆盖所有用户的安全审计功能，对系统重要安全事件（包括用户和权限的增删改、配置定制、审计日志维护、用户登录和退出、越权访问、连接超时、密码重置、数据的备份和恢复等系统级事件，及业务数据增删改、业务流程定制、交易操作中断等业务级事件）进行审计：
应用软件系统应对审计事件类型进行划分，至少应包括系统级事件和业务级事件：应用软件系统审计记录至少应包括事件的日期、时间、事件类型、用户身份、事件描述和事件结果，用户身份应包括用户名和IP地址，且应具有唯一性标识：应用软件系统应对审计记录中涉及的用户私密信息（通常包括用户口令、银行卡号、身份证号、d
薪酬信息等）采用非明文或部分非明文的方式进行显示；e
应用软件系统应具有对审计记录进行分类、查询、排序、统计的功能，f)
应用软件系统应对异常事件根据严重程度进行等级划分，当异常事件发生时依据安全策略采用弹出告警窗、声光报警、短信通知、邮件通知等方式进行告警：应用软件系统应提供对审计数据进行手动或自动备份的功能：g）
应用软件系统应至少保证近3个月的审计记录无法被修改、删除和覆盖，3个月或更早之前的h）
审计记录可依据安全策略进行覆盖应用软件系统宜设置审计记录存储的容量上限，在容量即将达到上限时应进行告警D
5.1.4数据完整性
应用软件系统应采用校验码技术或密码技术保证鉴别信息和重要业务数据等敏感信息在传输过程中的完整性。
5.1.5数据保密性
本项要求包括：
a）应用软件系统应采用密码技术保证鉴别信息和重要业务数据等敏感信息在文件系统、数据库中存储的保密性：
应用软件系统应采用密码技术保证鉴别信息和重要业务数据等敏感信息在传输过程中的保密b）
5.1.6软件容错
本项要求包括：
a）应用软件系统应提供对输入的数据进行自动校验的功能，保证通过人机接口输入的数据类型、长度、数值范围符合系统要求：b）应用软件系统应禁止返回与业务无关的信息。5.1.7会话管理
本项要求包括：
应用软件系统应具备会话终止机制，当用户在一段时间内（大于0且小于或等于30分钟）未a)
作任何响应时，服务端应自动结束会话：应用软件系统应在注销或关闭客户端时自动结束会话：b）
应用软件系统应在用户成功登录后创建新的会话，会话数据应存储在服务端：e
应用软件系统应对最大并发会话连接数进行限制；d
应用软件系统应禁止同一用户重复登录。e)
5.1.8安全漏洞
应用软件系统应不存在越权访问、SQL注入攻击、跨站脚本攻击、会话重放攻击、明文传输、敏感5
Q/GDW1597—2015
信息泄露、文件上传漏洞等已知安全漏洞。5.1.9外部接口
不同的软件系统（或服务）发生数据交五时，要求通过接口方式进行，对接口的基本安全要求包括：
应用软件系统应限制对外开放接口的应用范围，应只包含互联系统所需的最小业务功能集：a）
应用软件系统应对允许接入的系统（或服务）进行唯一性标识：b)
应用软件系统应对请求连接的系统（或服务）进行身份鉴别，禁止将鉴别信息存储在源代码中：
应用软件系统应具有对允许接入系统（或服务）身份鉴别信息的复杂度进行检否的功能，保证d)
口令长度不小于6位字符，应为字母、数字、特殊字符中两种或两种以上的组合：e)
应用软件系统应根据接口访问控制策略限制接入系统（或服务）对客体的访问权限f
应用软件系统应提供接口审计功能，对其他系统（或服务）的接入请求和接入后的操作轨迹进行记录，对接口审计日志要求参照本标准4.1.1.3c）应用软件系统应采用校验码技术或密码技术保证与其他系统（或服务）交互的鉴别信息和重要g
业务数据在传输过程中的完整性：h）应用软件系统应采用密码技术保证与其他系统（或服务）交互的鉴别信息和重要业务数据在传输过程中的保密性；
应用软件系统应根据安全策略限制同一时间内并发访问的接口数。5.2增强型安全技术要求
5.2.1标识和鉴别
本项要求包括本标准5.1.1的全部内容，并增加如下要求：a）应用软件系统身份鉴别过程应具备防重放机制：b）应用软件系统应对同一用户采用静态口令、动态口令、数字证书、生物特征等两种或两种以上组合技术实现用户身份鉴别：
c）在具有交易或其他敏感操作的情况下，应用软件系统应支持服务器与客户端间的双向鉴别。5.2.2访问控制
本项要求包括本标准5.12的全部内容，并增加如下要求应用软件系统应设置独立的审核管理员角色，该类角色能对系统的关键操作进行审批，没有经a)
过审批的操作将不能生效：
应用软件系统宜具有对重要信息资源设置敏感标记的功能，并根据安全策略严格控制用户对有b）
敏感标记的信息资源的操作。
5.2.3安全审计
本项要求包括本标准5.1.3的全部内容，并增加如下要求：a）应用软件系统应具有对审计记录进行分析并生成审计报表的功能：应用软件系统应保证无法单独中断审计进程：b）
应用软件系统应由授权的管理员根据时间范围、事件类型、用户身份、客体身份等属性配置可审计事件。
5.2.4数据完整性
本项要求包括：
应用软件系统应采用国家密码主管部门要求的国产加密算法保证鉴别信息和重要业务数据等敏感信息在文件系统、数据库中存储的完整性：应用软件系统应采用国家密码主管部门要求的国产加密算法保证鉴别信息和重要业务数据等b）
敏感信息在传输过程中的完整性：6
Q/GDW1597—2015
c）应用软件系统在执行敏感操作时应具有检错功能，并在检测到完整性错误时采取必要的恢复措施，保证处理数据的完整性。
5.2.5数据保密性
本项要求包括：
a）应用软件系统应采用国家密码主管部门要求的国产加密算法保证鉴别信息和重要业务数据等教感信息在文件系统、数据库中存储的保密性：b）
应用软件系统应采用国家密码主管部门要求的国产加密算法保证鉴别信息和要业务数据等敏感信息在传输过程中的保密性：应用软件系统应在通信双方建立连接之前利用密码技术进行会话初始化验证：d）应用软件系统应对通信过程中的整个报文或会话过程进行加密。5.2.6软件容错
本项要求包括本标准5.1.6的全部内容。5.2.7会话管理
本项要求包括本标准5.1.7的全部内容。5.2.8安全漏洞
本项要求包括本标准5.1.8的全部内容。5.2.9外部接口
本项要求包括本标准5.1.9的全部内容。5.2.10抗抵赖bzxZ.net
本项要求包括：
a）应用软件系统应具有在请求的情况下为数据原发者或接受者提供数据原发证据的功能。5.2.11资源控制
本项要求包括：
应用软件系统应提供对系统服务水平的实时检测功能，并在服务水平降低到预先规定的阀值时a)
进行报警：
应用软件系统应提供服务或用户优先级设定功能，根据安全策略设定访问账号或请求进程的优b）
先级，根据优先级分配系统资源。6通用安全保障要求
本部分是结合应用软件系统定级、设计、编码实现、内部测试、交付等阶段的实际工作提出的安全管理方面的要求，为应用软件系统的安全稳定运行提供保障依据。本部分具体要求包括：
应提供应用软件系统的集成方案，明确与其存在交互的其他系统，并确定与其他系统存在交互a)
时所涉及到的业务功能、交互的数据类型、接口方式、涉及的传输协议等信息。b)
应对应用软件系统安全风险进行分析，识别系统可能面临的安全隐惠。应提供包含应用软件系统安全自标和防护策略的总体安全防护方案。应根据应用软件系统总体安全防护方案进行安全需求分析，并提供需求规格说明书（安全部d)
分）。
应根据应用软件系统需求规格说明书（安全部分）进行安全设计，并提供包含安全设计的概要设计说明书
应根据应用软件系统安全架构及Q/GDW1929.3-2013进行编码实现，并以规范化的文档说明该系统在开发环境、代码编写、配置管理、研发人员管理等方面的安全措施应在编码完成后对应用软件系统进行安全自测（包括软件系统安全自测和代码安全自测），并g）
Q/GDW1597-2015
提供软件系统安全自测报告和代码安全自测报告，测试内容应包括已知的安全漏洞。应用软件系统应具有配置管理能力，对开发过程中相关的信息采取一定的控制措施，以减少配h)
置项意外或未经授权修改发生的可能性。D
应提供用户手册、管理员手册等指导性文档，用以指导用户正确使用应用软件系统。应以规范化的文档说明应用软件系统投运后数据备份和恢复策略
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。