6.4.2.2 访问控制 6.4.2.2.1 访问控制范围
应启用访问控制功能,依据安全策略控制用户对资源的访问。
应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限。 应实现操作系统和数据库系统特权用户的权限分离。 增强要求为:在系统对用户进行身份鉴别时,系统与用户之间应能够建立一条安全的信息传输路径; 在用户对系统进行访问时,系统与用户之间应能够建立一条安全的信息传输路径。 6.4.2.2.2 主机信任关系
应避免不必要的主机信任关系。 6.4.2.2.3 默认过期用户
应及时删除多余的、过期的用户,避免共享用户的存在。
应严格限制默认用户的访问权限,重命名系统默认用户,修改这些用户的默认口令。 6.4.2.3 安全审计 6.4.2.3.1 日志信息
审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。
审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。 增强要求为:应能够根据信息系统的统一安全策略,实现集中审计。 6.4.2.3.2 日志权限和保护
应保护审计记录,避免受到未预期的删除、修改或覆盖等。 宜保护审计进程,避免受到未预期的中断。
增强要求为:应保护审计进程,避免受到未预期的中断。 6.4.2.3.3 系统信息分析
应能够根据记录数据进行分析,并生成审计报表。 6.4.2.4 系统保护 6.4.2.4.1 系统备份
应具有系统备份或系统重要文件备份。 6.4.2.4.2 故障恢复策略
应具备各种主机故障恢复策略。 6.4.2.4.3 磁盘空间安全
应对主机磁盘空间进行合理规划,确保磁盘空间使用安全。 6.4.2.4.4 主机安全加固
13
应对主机进行安全加固。 6.4.2.5 剩余信息保护 6.4.2.5.1 剩余信息保护
应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中。
应确保系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。 6.4.2.6 入侵防范 6.4.2.6.1 入侵防范记录
宜能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警。
宜能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施。
增强要求为:应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;
应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施。 6.4.2.6.2 关闭服务和端口
应关闭系统不必要的服务和端口。 6.4.2.6.3 最小安装原则
操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。 6.4.2.7 恶意代码防范 6.4.2.7.1 防范软件安装部署
应至少在生产系统中的服务器安装防恶意代码软件。 6.4.2.7.2 病毒库定时更新
应及时更新防恶意代码软件版本和恶意代码库。 6.4.2.7.3 防范软件统一管理
应支持防范软件的统一管理。 6.4.2.8 资源控制 6.4.2.8.1 连接控制
应通过设定终端接入方式、网络地址范围等条件限制终端登录。 应根据安全策略设置登录终端的操作超时锁定。 6.4.2.8.2 资源监控和预警
应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况。
14
应限制单个用户对系统资源的最大或最小使用限度。
应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。 6.4.2.9 主机安全管理 6.4.2.9.1 主机运维手册
应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面做出具体规定。
6.4.2.9.2 漏洞扫描
应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补。 6.4.2.9.3 系统补丁
应具有主机系统补丁安装方案或制度,并根据方案或制度及时更新系统补丁,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装。 6.4.2.9.4 操作日志管理
应依据操作手册对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置和修改等内容,严禁进行未经授权的操作。
应定期对运行日志和审计数据进行分析,以便及时发现异常行为。 6.4.2.10 主机相关人员安全管理 6.4.2.10.1 主机安全管理人员配备
应指定专人对系统进行管理,划分系统管理员角色,明确各个角色的权限、责任和风险,权限设定应当遵循最小授权原则。
6.4.2.10.2 主机安全管理人员责任划分规则
应制定文件明确主机管理岗位的职责、分工和技能要求。 6.4.2.10.3 主机安全关键岗位人员管理
应从内部人员中选拔从事关键岗位的人员,并签署岗位安全协议。 应对关键岗位的人员进行全面、严格的安全审查和技能考核。 6.4.3 应用安全性要求
对支付服务业务系统应用安全性检测,主要检测应用系统对非法访问及操作的控制能力,基本要求如下:
6.4.3.1 身份鉴别
6.4.3.1.1 系统与普通用户设置
应提供专用的登录控制模块对登录用户进行身份标识和鉴别,提供系统管理员和普通用户的设置功能。
6.4.3.1.2 系统与普通用户口令安全性
15
系统与普通用户口令应具有一定的复杂度。 6.4.3.1.3 登录访问安全策略
应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。 增强要求为:应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别,其中一种是不可伪造的。
6.4.3.1.4 非法访问警示和记录
应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。 6.4.3.1.5 客户端鉴别信息安全
客户端鉴别信息应不被窃取和冒用。 6.4.3.1.6 口令有效期限制
应提示客户定期修改口令。
应限制系统管理用户的口令有效期。 6.4.3.1.7 限制认证会话时间
应对客户端认证会话时间进行限制。 6.4.3.1.8 身份标识唯一性
应提供用户身份标识唯一性和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用。
应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。 6.4.3.1.9 及时清除鉴别信息
会话结束后应及时清除客户端鉴别信息。 6.4.3.2 WEB页面安全 6.4.3.2.1 登录防穷举
应提供登录防穷举的措施,如图片验证码等。 6.4.3.2.2 安全控件
登录应使用安全控件,并提供第三方检测机构的检测报告。 6.4.3.2.3 使用数字证书
应使用服务器证书。 6.4.3.2.4 独立的支付密码
应提供独立的支付密码。 6.4.3.2.5 网站页面SQL注入防范
16
网站页面应采取防范SQL注入风险的措施。 6.4.3.2.6 网站页面跨站脚本攻击防范
网站页面应采取防范跨站脚本攻击风险的措施。 6.4.3.2.7 网站页面源代码暴露防范
网站页面应采取防范源代码暴露的措施。 6.4.3.2.8 网站页面黑客挂马防范
应采取防范网站页面黑客挂马的机制和措施。 6.4.3.2.9 网站页面防篡改措施
应采取网站页面防篡改措施。 6.4.3.2.10 网站页面防钓鱼
网站页面应提供防钓鱼网站的防伪信息验证。 6.4.3.3 访问控制 6.4.3.3.1 访问权限设置
应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问。 应由授权主体配置访问控制策略,并严格限制默认用户的访问权限。
应授予不同用户为完成各自承担任务所需的最小权限,并在它们之间形成互相制约的关系。 6.4.3.3.2 自主访问控制范围
访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作。 6.4.3.3.3 业务操作日志
应具有所有业务操作日志。 6.4.3.3.4 关键数据操作控制
应严格控制用户对关键数据的操作。关键数据如:敏感数据、重要业务数据、系统管理数据等。 6.4.3.3.5 异常中断防护
用户访问异常中断后,应具有防护手段,保证数据不丢失。 6.4.3.3.6 数据库安全配置
应具有数据库安全配置手册,并对数据库进行安全配置。 6.4.3.4 安全审计 6.4.3.4.1 日志信息
审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等。 6.4.3.4.2 日志权限和保护
17