Web安全原則

• 1.認證模塊必須采用防暴力破解機制，例如：驗證碼或者多次連續(xù)嘗試登錄失敗后鎖定帳號或IP。

說明：如采用多次連續(xù)嘗試登錄失敗后鎖定帳號或IP的方式，需支持連續(xù)登錄失敗鎖定策略的“允許連續(xù)失敗的次數(shù)”可配置，支持在鎖定時間超時后自動解鎖。

• 2.對于每一個需要授權(quán)訪問的頁面或servlet的請求都必須核實用戶的會話標識是否合法、用戶是否被授權(quán)執(zhí)行這個操作，以防止URL越權(quán)。

說明：防止用戶通過直接輸入URL，進行URL越權(quán)，請求并執(zhí)行一些頁面或servlet；建議通過過濾器實現(xiàn)。

• 3.登錄過程中，往服務(wù)器端傳遞用戶名和口令時，必須采用HTTPS安全協(xié)議（也就是帶服務(wù)器端證書的SSL）。只提供本機接入、登錄，做設(shè)備管理使用的場景暫時不要求。

說明：如果在客戶端和服務(wù)器間傳遞如帳號、口令等敏感數(shù)據(jù)，必須使用帶服務(wù)器端證書的SSL。由于SSL對服務(wù)端的CPU資源消耗很大，實施時必須考慮服務(wù)器的承受能力。

• 4.對用戶的最終認證處理過程必須放到服務(wù)器進行。

• 5.用戶產(chǎn)生的數(shù)據(jù)必須在服務(wù)端進行校驗；數(shù)據(jù)在輸出到客戶端前必須先進行HTML編碼，以防止執(zhí)行惡意代碼、跨站腳本攻擊。對于不可信的數(shù)據(jù)，輸出到客戶端前必須先進行 HTML 編碼。

• 6.使用主流Web安全掃描工具掃描Web服務(wù)器和Web應(yīng)用，不存在“高”級別的漏洞。

• 7.非嵌入式產(chǎn)品的Web應(yīng)用，應(yīng)使用預(yù)編譯語句PreparedStatement代替直接的語句執(zhí)行Statement，以防止SQL注入。

數(shù)據(jù)庫安全

外購數(shù)據(jù)庫、開源數(shù)據(jù)庫、華為自研數(shù)據(jù)庫都應(yīng)進行安全配置，保證不出現(xiàn)安全漏洞。

1.數(shù)據(jù)庫口令禁止使用數(shù)據(jù)庫廠商的缺省口令，且口令復(fù)雜度需滿足“口令安全要求”。數(shù)據(jù)庫若存在多個默認帳號，須將不使用的帳號禁用或刪除。

2.使用單獨的操作系統(tǒng)帳號來運行數(shù)據(jù)庫；數(shù)據(jù)庫中的敏感文件（如：Oracle數(shù)據(jù)庫的init.ora、listener.ora等）需要嚴格控制訪問權(quán)限，只能被數(shù)據(jù)庫進程運行帳戶和DBA帳戶讀寫；對數(shù)據(jù)庫帳戶授予的權(quán)限進行嚴格清晰的劃分，所有數(shù)據(jù)庫帳戶只能具備執(zhí)行其任務(wù)的最小權(quán)限；對于有監(jiān)聽器功能的數(shù)據(jù)庫（如Oracle的listener.ora）需要設(shè)置監(jiān)聽器密碼或者設(shè)置為本地操作系統(tǒng)驗證。

3.使用主流或華為指定的系統(tǒng)掃描軟件進行安全掃描，不存在“高”級別的漏洞。

敏感數(shù)據(jù)保護

系統(tǒng)對敏感數(shù)據(jù)的存儲、傳輸和處理需保證數(shù)據(jù)安全，并遵從適用國家和地區(qū)的法律和法規(guī)要求。

敏感數(shù)據(jù)定義：包括但不限于口令、銀行賬號、個人數(shù)據(jù)（單獨使用該數(shù)據(jù)或者結(jié)合其他信息可以識別某個活著的自然人的數(shù)據(jù)，包括：最終用戶姓名、帳號、主叫和被叫號碼、通信記錄、話單、通信時間、定位數(shù)據(jù)等）。

• 1.口令不允許明文存儲在系統(tǒng)中，應(yīng)該加密保護。在不需要還原口令的場景，必須使用不可逆算法加密。對銀行賬號等敏感數(shù)據(jù)的訪問要有認證、授權(quán)和加密機制?？诹钗募仨氃O(shè)置訪問權(quán)限控制，普通用戶不能讀取或拷貝加密的內(nèi)容。如果帳戶文件/數(shù)據(jù)中含有口令又必須所有用戶可訪問，則需將帳戶文件/數(shù)據(jù)與口令文件/數(shù)據(jù)分開。

注：對于業(yè)界第三方主流軟硬件（如操作系統(tǒng)、數(shù)據(jù)庫、Web容器）自身提供的口令功能，不受本條限制。

• 2.在非信任網(wǎng)絡(luò)之間進行敏感數(shù)據(jù)（包括口令，銀行帳號，批量個人數(shù)據(jù)等）的傳輸須采用安全傳輸通道或者加密后傳輸，有標準協(xié)議規(guī)定除外。
• 3.禁止使用私有加密算法。

說明：

1. 對稱加密算法建議使用：AES192及以上強度；
2. 密鑰交換算法建議使用：DH1024；
3. 數(shù)字簽名算法建議使用：DSA1024、ECDSA192；
4. 非對稱算法建議使用：RSA2048、ECC192；
5. HASH（哈希）算法建議使用：SHA256及以上強度；
6. HMAC（基于哈希的消息驗證碼）算法建議使用：HMAC-SHA256；

• 4.用于敏感數(shù)據(jù)傳輸加密的密鑰，不能硬編碼在代碼中。
  在敏感數(shù)據(jù)的安全傳輸上，優(yōu)先使用業(yè)界的標準安全協(xié)議（如SSH v2/TLS1.0/SSL3.0/IPSec/SFTP/HTTPS等），并確保密鑰可配置；如果是由產(chǎn)品自身實現(xiàn)安全傳輸過程，則優(yōu)先使用Diffie-Hellman密鑰交換算法，如果使用預(yù)置共享密鑰等其他方法，也必須保證該密鑰可配置和可替換。
• 5.禁止在日志、話單等文件中記錄口令、銀行賬號、通信內(nèi)容等敏感數(shù)據(jù)；
• 6.盡量避免在日志、話單中記錄個人數(shù)據(jù)，如果必須記錄個人數(shù)據(jù)，則所有數(shù)據(jù)必須進行結(jié)構(gòu)化存儲或適合于進行匿名化提取；

1）盡量避免在日志中記錄個人數(shù)據(jù)，如果必須記錄，在個人數(shù)據(jù)之前或之后加統(tǒng)一的標記，以區(qū)別于其他非個人數(shù)據(jù)。
2）盡量避免在話單中記錄個人數(shù)據(jù)，如果必須記錄，則話單必須進行結(jié)構(gòu)化存儲，字段間必須由統(tǒng)一的分隔符分開，每行的字段按列嚴格對應(yīng)。

• 7.有個人數(shù)據(jù)導(dǎo)出功能的產(chǎn)品發(fā)布時必須同時提供對個人數(shù)據(jù)進行過濾或匿名化處理和功能或工具；
• 8.嚴格限制導(dǎo)出功能的權(quán)限，對導(dǎo)出功能的使用必須有日志記錄。
• 9.涉及個人數(shù)據(jù)的采集/處理的功能須提供安全保護機制（如認證、權(quán)限控制、日志記錄等），并通過產(chǎn)品資料向客戶公開。
• 10.在正常業(yè)務(wù)流程和標準協(xié)議之外，禁止出于故障定位目的進行用戶精確位置信息定位。如需處理用戶精確位置數(shù)據(jù)，應(yīng)有華為的明確需求，并在方案設(shè)計時，給予用戶隨時撤回同意的機會。

口令安全策略管理

• 1. 設(shè)置口令時，默認檢測口令復(fù)雜度，口令至少滿足如下要求：

1. 口令長度至少6個字符（特權(quán)用戶至少8個字符）；

2. 口令必須包含如下至少兩種字符的組合:
   －至少一個小寫字母；
   －至少一個大寫字母；
   －至少一個數(shù)字；
   －至少一個特殊字符：`~!@#$%^&*()-_=+|[{}];:’”,<.>/? 和空格
3. 口令不能和帳號或者帳號的逆序相同；
   若設(shè)置的口令不符合上述規(guī)則，必須進行警告。

• 2.系統(tǒng)必須提供鎖定用戶的機制?？蛇x擇如下兩種方式之一：

方式一：當重復(fù)輸入錯誤口令次數(shù)（默認3次，次數(shù)系統(tǒng)可以設(shè)置）超過系統(tǒng)限制時，系統(tǒng)要鎖定該用戶。
方式二：系統(tǒng)還可以設(shè)置下次允許輸入口令的間隔時間加倍，采用這種方式時，用戶可以不設(shè)置自動鎖定。

• 3.可設(shè)置自動解鎖時間（只適用于由于口令嘗試被鎖定的用戶）

1. 對于口令嘗試N次失敗被鎖定的用戶，系統(tǒng)要能夠設(shè)置自動解鎖時間，建議默認解鎖時間為5分鐘。

2. 用戶被鎖時間達到預(yù)定義時間，可自動解鎖該用戶，或者也可通過安全管理員手工解鎖該用戶。
3. 在鎖定時間內(nèi)，僅能允許應(yīng)用安全管理員角色所屬帳號手動解鎖該用戶。

• 4.操作界面中的口令不能明文顯示，鍵入口令時不能明文顯示出來(操作界面中的輸入口令可不顯示或用*代替)，包括在終端上打印或存儲在日志中時也不能明文顯示口令，即使是內(nèi)存中的明文口令（如登錄期間），也應(yīng)在使用后立即覆蓋。

• 5.口令輸入框不支持拷貝功能。

• 6.對于系統(tǒng)內(nèi)置帳號的缺省口令，口令應(yīng)符合復(fù)雜度的要求，并在客戶資料中提醒用戶修改。

• 7.用戶可修改自己的口令，需滿足如下要求：

1. 用戶修改自己口令時必須驗證舊口令；

2. 不允許修改除自身帳號以外的帳號的口令（管理員除外）

• 8.口令不能在網(wǎng)絡(luò)中明文傳輸，口令等認證憑證在傳輸過程中必須加密，使用高安全等級的加密算法。

**說明：

1. 對稱加密算法建議使用：AES192及以上強度；
2. 密鑰交換算法建議使用：DH1024；
3. 數(shù)字簽名算法建議使用：DSA1024、ECDSA192；
4. 非對稱算法建議使用：RSA2048、ECC192；
5. HASH（哈希）算法建議使用：SHA256及以上強度；
6. HMAC（基于哈希的消息驗證碼）算法建議使用：HMAC-SHA256；**

• 9.口令在本地存儲時必須加密，需滿足如下要求：

1. 口令不能夠明文寫入日志文件、配置文件以及cookie中；

2. 口令文件必須設(shè)置訪問控制，普通用戶不能讀取或拷貝加密的內(nèi)容。

• 10.產(chǎn)品配套資料提供清晰的帳號、口令清單。
  **說明：華為提供用戶清單模板 **

安全資料

針對售前、開局、現(xiàn)網(wǎng)運維幾個階段，提供配套安全方案、資料。

• 1.在產(chǎn)品描述中對產(chǎn)品安全特性進行描述。
• 2.產(chǎn)品發(fā)布前提供產(chǎn)品通信矩陣。描述機器/網(wǎng)元/模塊間的通信關(guān)系，包括：通信使用的端口、協(xié)議、IP地址、認證方式、端口用途信息等。
  說明：華為提供通信矩陣模板。
• 3.產(chǎn)品發(fā)布前提供防病毒軟件部署指南。描述防病毒軟件部署前的準備、流程、執(zhí)行步驟、失敗后回退處理，以及病毒特征庫升級配置指導(dǎo)（Windows系統(tǒng)平臺必選）。
• 4.產(chǎn)品發(fā)布前提供安全配置/加固指南。
  ** 描述如下內(nèi)容：**

• 安全加固及檢查，主要包括操作系統(tǒng)、數(shù)據(jù)庫或WEB服務(wù)器等加固內(nèi)容，需要包含具體的加固內(nèi)容和操作步驟（必選）。
• 應(yīng)用的安全配置，針對產(chǎn)品業(yè)務(wù)安全應(yīng)用，需要啟用哪些安全選項，配置哪些內(nèi)容。（對于需要通過對產(chǎn)品開局時進行安全策略配置才能生效的安全功能，需要提供此部分內(nèi)容）。如果沒有應(yīng)用的安全配置，命名為安全加固指南。安全加固指南是必須的。

5.產(chǎn)品發(fā)布前提供安全維護手冊。從解決方案角度提供業(yè)務(wù)日常安全維護方面的指導(dǎo)，包括安全補丁、安全配置、防病毒軟件例行檢查等，指導(dǎo)維護人員例行進行安全維護。

操作系統(tǒng)安全

** 無論是使用通用操作系統(tǒng)（Windows、Linux、Unix等）還是嵌入式操作系統(tǒng)（如VxWorks、pSOS等)，系統(tǒng)都應(yīng)該保證軟件及軟件運行環(huán)境的安全**
** 注：系統(tǒng)指交付給客戶運行的整體系統(tǒng)，包括自研的軟件、軟件運行的操作系統(tǒng)及應(yīng)用服務(wù)在內(nèi)。**

• 1.使用主流漏洞掃描軟件進行安全掃描，不存在高風險級別的漏洞。
• 2.基于通用操作系統(tǒng)的新發(fā)貨產(chǎn)品“操作系統(tǒng)加固+操作系統(tǒng)補丁”預(yù)裝率=100%；對于不在生產(chǎn)環(huán)節(jié)預(yù)安裝的產(chǎn)品，需要在正式發(fā)布的版本中包含默認的安全策略文件，并在產(chǎn)品資料中說明加固要求和操作步驟。
  說明：

1）華為提供的操作系統(tǒng)，產(chǎn)品版本應(yīng)基于最新的操作系統(tǒng)安全補丁進行開發(fā)和兼容性測試。
2）合作方提供的操作系統(tǒng)，合作方需在版本交付前對操作系統(tǒng)安全補丁進行兼容性測試并隨版本發(fā)布，并根據(jù)CIS標準對操作系統(tǒng)進行加固并隨版本發(fā)布。

• 3.使用Windows操作系統(tǒng)的產(chǎn)品，產(chǎn)品需要使用主流防病毒軟件進行進行兼容性測試。

** 說明：**
1）華為提供的Windows操作系統(tǒng)，合作方需使用主流防病毒軟件或華為指定的防病毒軟件進行兼容性測試；
2）合作方提供的Windows操作系統(tǒng)，產(chǎn)品需要缺省配套華為指定的防病毒軟件，并對防病毒軟件進行兼容性測試。

協(xié)議與接口防攻擊

系統(tǒng)應(yīng)具備基本的防攻擊能力，對影響自身的常見攻擊具備防御能力等。注：系統(tǒng)指交付給客戶運行的整體系統(tǒng)，包括自研的軟件、軟件運行的操作系統(tǒng)及應(yīng)用服務(wù)在內(nèi)

• 1.系統(tǒng)所有的對外通信連接必須是系統(tǒng)運行和維護必需的，對使用到的通信端口在產(chǎn)品通信矩陣文檔中說明，動態(tài)偵聽端口必須限定確定的合理的范圍。通過端口掃描工具驗證，未在通信矩陣中列出的端口必須關(guān)閉。
  說明：

1）華為提供通信矩陣模板。

2.盡量避免使用動態(tài)偵定端口的實現(xiàn)方式，在沒有替代方案的情況下，如果必須使用，需滿足如下要求：

1)、如果使用業(yè)界標準的協(xié)議（如RPC、FTP被動模式），并有一定的安全措施（如NFS安全配置、防火墻支持FTP被動模式等）；
2)、如果自實現(xiàn)的方式，則動態(tài)偵聽端口必須限定確定的合理的范圍。

• 2. 所有能對系統(tǒng)進行管理的通信端口及協(xié)議必須有接入認證機制，標準協(xié)議沒有認證機制的除外。
• 3. 對自研協(xié)議和業(yè)界非主流軟件（包括非主流的開源軟件）實現(xiàn)的協(xié)議要進行協(xié)議畸形報文攻擊測試。
• 4. 設(shè)備外部可見的能對系統(tǒng)進行管理的物理接口必須有接入認證機制。

監(jiān)聽接口及防止非法監(jiān)聽

** 產(chǎn)品開發(fā)合法監(jiān)聽接口應(yīng)遵循國際標準及所在國的法律要求。**

• 1.在沒有華為明確需求的情況下，嚴禁開發(fā)具有監(jiān)聽性質(zhì)的功能和接口，無論該功能和接口是否要遵循相應(yīng)的國家標準和國際標準。

• 2.在華為對合法監(jiān)聽接口有需求的情況下，合作方需根據(jù)華為提供的監(jiān)聽功能或接口的文件中的要求開發(fā)。

說明：對提供合法監(jiān)聽接口的產(chǎn)品版本的要求（二選一）

1）產(chǎn)品提供兩個版本的軟件安裝包：一個支持合法監(jiān)聽，一個不支持合法監(jiān)聽。根據(jù)市場的安全要求，選擇對應(yīng)的軟件安裝包進行部署。
2）產(chǎn)品提供軟件安裝包拆分為：基本軟件安裝包和合法監(jiān)聽插件安裝包。根據(jù)市場的安全要求，選擇是否安裝合法監(jiān)聽插件安裝包。

• 3.在正常業(yè)務(wù)流程和標準協(xié)議之外，禁止提供采集最終用戶原始通信內(nèi)容（語音類、短信/彩信類、傳真類、數(shù)據(jù)業(yè)務(wù)類）的功能，即使出于保障網(wǎng)絡(luò)運營和服務(wù)目的。

注：

1. 除了語音類、短信/彩信類、傳真類、數(shù)據(jù)業(yè)務(wù)類信息屬于通信內(nèi)容外，最終用戶的即時消息、E-Mail信息、URL同樣屬于通信內(nèi)容；

2. 允許使用debug功能，但debug信息中不允許包含口令、銀行賬號、通信內(nèi)容等敏感數(shù)據(jù)。