对网站系统安全的需求分析Word文件下载.docx
- 文档编号:20197381
- 上传时间:2023-01-17
- 格式:DOCX
- 页数:30
- 大小:36.81KB
对网站系统安全的需求分析Word文件下载.docx
《对网站系统安全的需求分析Word文件下载.docx》由会员分享,可在线阅读,更多相关《对网站系统安全的需求分析Word文件下载.docx(30页珍藏版)》请在冰豆网上搜索。
柜面交易密码常用于POS系统支付时、ATM取款时、凭据柜面取款时,柜面交易密码一个明显的特点是它目前只好是六位的数字,这是因为目前柜面密码输入设施的限制而造成的。
柜面交易密码与上述的网银转账密码的差别在于:
网银转账密码和系统登录密码都产生于网银系统,储藏在网银系统中,仅限网银系统中认证使用;
而柜面交易密码产生于银行柜台,能够在外头渠道如ATM、电话银行、自助终端上改正,它保留在银行中心系统中,供外头各个渠道系统共同使用。
此外网银转账密码能够有非数字字符构成,而柜面交易密码只好是六位的数字。
网银中使用到柜面交易密码的交易包含:
网银开户、加挂账户。
一次性密码由用户的智能卡、令牌卡产生,或由动向密码系统产生通太短信方式发送到用户注册的手机上。
一次性密码的作用与网银转账密码相同,合用的场合也相同。
一次性密码在农商行网银系统中是可选的安全服务,用户需到柜面办理开通手续才能使用,没有开通一次性密码服务的用户一定设定网银交易密码,开通一次性密码服务的用户则无需设定网银交易密码,要求网银系统自动判断并提示用户在某个交易中是要输入网银交易密码仍是提示一次性密码。
B应用系统与其余系统进行数据互换时在特定安全需求下需进行端对端的加解密办理。
这里的数据加密主假如为了防备交易数据被银行内部人士截取利用,详细通信加密方案参照顾用系统的特定需求。
数据完好性需求数据完好性要求防备非受权实体对数据进行非法改正。
用户在跟应用系统进行交互时,其输入设施如键盘、鼠标等有可能被木马程序侦听,输入的数据遇到截取改正后被提交到应用系统中,如本来用户准备向A账户转一笔资本在交易数据遇到改正后就被转到B账户中了。
相同的威迫还存在于交易数据的传输过程中,如在用户向应用系统提交的网络传输过程中或应用系统跟第三方等其余系统的通信过程中,此外储存在应用系统数据库中的数据也有可能遇到非法改正,如SQL注入攻击等。
数据可用性需求数据可用性要求数据关于受权实体是有效、可用的,保证受权实体对数据的合法存取权益。
对数据可用性最典型的攻击就是拒绝式攻击(DoS)和散布式拒绝攻击,二者都是经过大批并发的歹意恳求来占用系统资源,以致合法用户没法正常接见目标系统,如SYNFlood攻击等,将会直接以致其余用户没法登录系统。
此外,应用登录机器人对用户的密码进行穷举攻击也会严重影响系统的可用性。
2.2业务逻辑安全需求业务逻辑安全主假如为了保护应用系统的业务逻辑依照特定的规则和流程被存取及处理。
身份认证需求身份认证就是确立某个个体身份的过程。
系统经过身份认证过程以辨别个体的用户身份,保证个体为所声称的身份。
应用系统中身份认证可分为单向身份认证和双向身份认证,单向身份认证是指应用系统对用户进行认证,而双向身份认证则指应用系统和用户进行互相认证,双向身份认证可有效防备“网络垂钓”等假网站对真切系统的假冒。
应用服务器采纳数字证书,向客户端供给身份认证,数字证书要求由威望、独立、公正的第三方机构颁发;
系统为客户端供给两种可选身份认证方案,服务器端对客户端进行多重身份认证,要求充足考虑到客户端安全问题。
将客户端用户身份认证与账户身份认证分开进行,在用户登录系统时,采纳单点用户身份认证,在用户提交更新类、管理类交易恳求时,再次对用户的操作进行认证或对用户身份进行二次认证,以保证用户信息安全。
接见控制需求接见控制规定了主体对客体接见的限制,并在身份识其余基础上,依据身份对提出资源接见的恳求加以控制。
接见控制是应用系统中的中心安全策略,它的主要任务是保证应用系统资源不被非法接见。
主体、客体和主体对客体操作的权限构成接见控制体制的三因素。
接见控制策略能够区分为自主接见控制、强迫接见控制和鉴于角色的接见控制三种。
交易重复提交控制需求交易重复提交就是同一个交易被多次提交给应用系统。
查问类的交易被重复提交将会无故占用更多的系统资源,而管理类或金融类的交易被重复提交后,结果则会严重的多,比如一笔转账交易被提交两次则将以致用户的账户被转出两笔相同额的资本,明显用户只想转出一笔。
交易被重复提交可能是无心的,也有可能是成心的:
A用户的误操作。
在B/S构造中,从客户端来看,服务器端对客户端的响应总有必定的延缓,这在某些交易办理上表现的更加明显,特别是那些波及多个系统交互、远程接见、数据库全表扫描、页面数据署名等交易,这类延缓往常都会在5至7秒以上。
这时用户有可能在页面已提交的状况下,再次点击了提交按钮,这时将会造成交易被重复提交。
B被提交的交易数占有可能被拿来作重放攻击。
应用系统一定对管理类和金融类交易提交的次数进行控制,这类控制即要有效的根绝用户的误操作,还不可以影响用户正常状况下对某个交易的多次提交。
比方说:
当某个用户在10秒内提交了两笔相同的转账业务,则系统一定对此进行控制;
另一方面,当用户在第一笔转账业务达成后,再作另一笔数据相同的转账时,则系统不可以对此进行误控制。
这里判断的依照就是交易重复提交的控制因子a,当交易提交的间隔小于a时,系统以为这是重复提交,提交间隔大于a的则不作办理,控制因子的大小由应用系统业务人员决定,系统应可对其进行配置化管理。
异步交易办理需求所谓异步交易就是指那些录入与提交不是同时达成的交易,这里的同时是指客户端在录入交易数据与提交交易的过程中,应用系统服务器端并无对录入的数据进行长久化保留,而异步交易在系统办理过程中,录入与提交时间上发生在两个相分其余阶段,在两阶段之间,应用系统对录入的数据进行了长久化保留。
因为异步交易是被系统分两阶段受理的,这就波及到以下三个方面的问题:
A录入与提交的关系管理。
B怎样保证提交的数据就是用户当初录入的数据。
C怎样记录交易在两阶段的日记状态。
录入与提交的关系定义不妥将会以致交易录入与提交被同时达成而违犯了业务办理流程,录入的数据被系统保留后有可能遇到非法窜改,非异步交易履行后的日记状态不会被更新而异步交易在提交后日记状态将会被更新。
应用系统中需要定义成异步的交易往常有以下两类:
需要受权的交易。
出于业务管理和业务安全方面的考虑,大多数管理类和金融类的交易都需要经过必定的受权流程后方能被提交。
部分准时交易,如预定转账等。
预定一笔在周三转账的预定转账有可能是周一被录入的,用户在录入后,预定转账的数据将被网银系统保留直到周三这笔转账才会真切发生。
应用系统一定定义简单、清楚、易保护的录入与提交关系模型,保证被保留的录入数据不会被非法窜改,同时要求异步交易的日记状态是明确的,不该出现录入与提交相矛盾的日记状态。
交易数据不行否定性需求交易数据不行否定性是指应用系统的客户不行否定其所署名的数据,客户对交易数据的署名是经过应用系统使用客户的数字证书来达成的。
数字证书的应用为交易数据不行否认性供给了技术支持,而电子署名法的公布为交易数据不行否定性供给了法律基础。
在应用系统中往常要求对所有管理类与金融类的交易进行数字署名,以防客户过后对交易或交易数据的狡辩。
应用系统需同时保留客户录入的原始数据和署名后的数据,保留限期依业务部门的详细要求而定。
考虑到系统性能和对用户的响应问题,应用系统可只签与交易有关的重点数据,支付类的交易只应付款人账号、付款金额、收款人姓名、收款人账号、收款人开户行五个字段进行数字署名就能够了。
监控与审计需求安全级别要求高的应用系统应供给对系统进行及时监控的功能,监控的内容包含系统目前登录的用户、用户种类、用户正在接见的交易、用户登录的IP等。
对金融类、管理类的交易以及应用系统登录交易需要完好地记录取户的接见过程,记录的重点元素包含:
用户登录名、登录IP、交易日期及时间、交易名称、交易有关数据等,对有受权流程的交易要求完好记录受权的经过,受权记录与交易记录分开寄存。
2.3其余安全需求登录控制需求登录往常是应用系统的重点交易,系统经过登录交易对用户身份进行认证。
针对不一样角色的用户指定不一样的登录策略:
最小权限集用户,可使用用户登录名+静态登录密码+图形辨别码方式登录。
低安全性。
一般权限集用户,可使用用户登录名+动向登录密码+数图形辨别码方式登录。
高权限集用户,可使用用户登录名+数字证书+静态密码+数图形辨别码方式登录。
所有权限集用户,可使用用户登录名+数字证书+动向密码+数图形辨别码方式登录。
应用系统可供给客户端加密控件对用户输入的密码域进行加密办理后再提交。
连续登录多次失败的用户,其IP将被应用系统锁定,24小时后系统将自动对锁定的IP进行解锁。
这里登录失败的次数和IP锁准时长依据业务需求说明应由配置文件进行设定。
关于初次登录系统的用户,系统将强拟订位到改正密码的页面,要求用户改正初始密码从头登录方可使用系统。
关于密码种类和长度,系统将规则检查。
关于成功登录的用户,应用系统自动消除其连续登录失败的次数,同时初始化用户的有关数据并同时对登录数据进行记录,以备审计。
会话控制需求经过应用服务器自己的会话管理或应用程序的会话管理都能够控制会话的时长设定,设置过久的会话将给客户端带来安全风险,而设置太短则影响用户的正常使用。
该体制使在应用层无状态的HTTP/HTTPS协议,能够支持需要状态记录的互联网应用,实现用户登录后在新的状态下从事交易、超时断路等功能。
被接见对象控制需求应用系统对用户的重点资源或信息,供给操作权限设置支持,权限分为:
查问和更新两类。
权限为查问的资源或信息只好对其进行查问操作,不可以进行更新。
资源权限由开户时指定,为增强安全性,权限分派可经过落地办理开通。
交易提示需求交易提示是指将客户的账号与客户手机号、电子邮件等关系起来,当客户信息发生改动时,向客户的手机发送一条短信或电话通知或发送一封电子邮件,及时正确的见告客户。
另经过通知提示功能,系统应按期向用户发送统计、明细、确认等信息。
第三章应用系统安全的整体解决方案3.1安全技术安全技术是安全子系统的理论基础,安全子系统中主要波及的安全技术包含:
密码技术、PKI技术系统、一次性口令技术等,此外考虑到目前实质应用中,大多数WEB应用系统是鉴于J2EE平台的,J2EE平台自己也对系统安全供给了许多内置的支持,如JAAS技术等,所以本章中关于J2EE平台的安全技术特征也有少许的议论。
密码技术密码技术是保护信息系统安全的基础技术之一,密码技术能够保证数据的保密性和完整性,同时它还拥有身份认证和数字署名的功能。
从密码系统方面来说,密码技术可分为对称密钥密码技术和非对称密钥密码技术两大类。
在应用系统中常用的密码技术主要有以下几种:
A加密解密技术加密(Encryption)就是指经过特定的加密算法对数据进行变换,将明文(Plaintext)变换成密文(Cryptograph);
解密(Decryption)是加密的逆过程,解密的过程就是将密文复原为明文。
设明文为P,密文为C,E为加密算法,D为解密算法,则加密解密的过程能够记为:
CE(P)PD(C)(3.1)上述的加密与解密过程没有使用到密钥,往常称之为无密钥密码系统。
无密钥密码主要依靠加密算法供给保密性,在应用系统中这类密码极少用到,主要使用仍是有密钥的密码系统,在有密钥的密码系统中,密文的保密性依靠于密钥而不依靠于算法,算法能够公然。
此中,只有一个密钥K的密码系统称为单钥系统(One-keySystem),又称对称加密系统(SymmetricalEncryption);
有加密密钥KE和解密密钥KD两个密钥的密码系统称为双钥系统(Two-keySystem),又称非对称加密系统(DissymmetricalEncryption),有时也叫公然密钥算法(PublicKeyAlgorithm)。
应用系统中常常使用最宽泛的对称加密算法是DES算法(DataEncryptionStandard),非对称加密算法是RSA算法(Receive,Shamir,Adelman)。
单钥系统的加密解密过程能够记为:
CE(P,K)PD(C,K)(3.2)上式用图示能够表示为:
密钥K密钥K明文密文明文加密解密图5单钥系统加密解密过程图双钥系统的加密解密过程能够记为:
CE(P,KE)PD(C,KD)(3.3)上式用图示能够表示为:
密钥KE密钥KD明文密文明文加密解密图6双钥系统加密解密过程图还有一种应用系统中常常用到的加密技术是数据纲要,数据纲要就是应用单向散列函数算法,将输入的随意长度明文变换成固定长度的密文,而将此密文再转换成明文在数学上来说是困难的。
应用系统中应用最宽泛的数据纲要算法主要有MD5和SHA两种,MD5输出压缩值为128bits,SHA输出压缩值为160bits。
设Hash表示单向散列函数,则数据纲要的过程能够记为:
CHash(P)(3.4)上式用图示能够表示为:
明文密文Hash图7数据纲要的过程图B数字署名。
数字署名是指经过密码算法对原始数据信息进行加密办理后,生成一段原始数据信息的信息表记,这段信息表记称为原始数据信息的数字署名。
往常数字署名和原始数据信息是放在一同发送的,这样便于信息的接受者对其进行考证,数字署名是对现实中手写署名和印章的模拟,数字署名只有信息发送方一人能产生,这类独一性对应了原始数据信息的根源。
数字署名拥有考证数据完好性和信息根源不行否定性的功能,这正是PKI系统供给的中心功能。
在应用系统中,较小的数据能够直接署名,而较大的数据或文件往常先对其作数据摘要后再对数据纲要作数字署名。
下式表达了对一段原始数据信息进行署名的过程:
原始数据信息OriginalMsg先是被单向散列函数Hash作数据纲要生成纲要信息DigestMsg,而后应用非对称加密算法DissymmetricalEncrypt及其私钥Keyprivate对数据纲要进行署名(私钥仅有发送方拥有,公钥需发散给接收方),最后将署名结果DigitalSignature与原始数据信息一同发送给接受方:
DigestMsgHash(OriginalMsg)DigitalSignatureDissymmetricalEncrypt(DigestMsg,Keyprivate)(3.4)上式用图示能够表示为:
OriginalMsgHashDigestKeyprivavteDissymmetricalEncrytDigitalSignatureOriginalMsg+DigitalSignature图8数字署名的过程图信息接受方在接遇到原始数据信息OriginalMsg与其数字署名DigitalSignature后,能够对数字署名进行考证。
第一分别出二者,而后对原始数据信息应用相同的单向散列函数Hash对其作数据纲要获取Digest2,再对接收到的数字署名应用非对称加密算法DissymmetricalEncrypt及其公钥Keypublic对其进行解密,获取Digest1。
比较Digest1与Digest2,假如二者相同则证明:
1信息OriginalMsg及其数字署名DigitalSignature是真切的,的确来自于私钥Keyprivate的拥有方。
2信息OriginalMsg及其数字署名DigitalSignature在发送过程中是完好的,不曾遇到窜改。
3私钥Keyprivate的拥有方发送了信息OriginalMsg及其数字署名DigitalSignature这件事是不行否定的。
上述数字署名的考证过程能够表达为:
DigestMsg2Hash(OriginalMsg)DigestMsg1DissymmetricalEncrypt(DigitalSignature,Keypublic)DigestMsg2DigestMsg1?
(3.5)用图形表示以下:
OriginalMsg+DigitalSignatureOriginalMsgDigitalSignatureHashKeypublicDissymmetricalEncrytDigest2二者相同?
Digest2图9数字署名考证的过程图C报文辨别码应用系统跟其余系统通信时多数是经过发送接收报文方式进行的,除比较常用的ISO8583,sop报文等,还有比许多的就是自定义的报文格式,自定义报文需要解决报文的保密性和完好性问题,报文的完好性能够经过加密算法生成原始报文的报文表记来辨别,这个加密后的报文表记称为原始报文的辨别码,也叫报文校验码MAC(MessageAuthenticationCode)。
而报文的保密性能够经过对整个报文及其辨别码进行加密办理来达成,实质应用中辨别码往常能够经过单向散列函数对原始报文作数据纲要获取,而后对原始报文和数据纲要作对称加密,这样既保证了报文的完好性,同时也保证了报文的保密性,这里对称加密算法的密钥发散是主要问题。
D数字信封数字信封DE(DigitalEnvelope)是指信息发送方在通信双发初次通信时,使用对方的公钥对两方的通信密钥SK(SymmentricKey)进行加密,形成一个数字信封,而后发给接收方,接收方收到数字信封后进行拆封操作,用自己的私钥对信封进行解密获取通信密钥,而后两方能够用通信密钥对自己发送的信息进行对称加密2。
这样既解决了对称加密的密钥分派问题又提升了两方通信加密的效率,毕竟非对称加密算法比对称加密算法效率要低下。
3.1.2PKI系统PKI系统是由政策机构、认证机构和注册机构构成的,经过使用单向散列函数、非对称加密系统等加密解密技术,安全套接字协议SSL,LDAP协议(LightweightDirectoryAccessProtocol),X.509证书标准等技术,实现数据加密、身份认证和数字署名等功能,进而保证数据保密性、完好性、真切性和不行否定性的一种技术系统。
PKI系统很好的解决了网上银行的大多数安全需求,对网上银行的数据安全和业务逻辑安全供给了有力的支持。
CA是PKI系统的主要实体,数字证书是CA的主要产品,CA经过数字证书的应用来实现PKI系统所供给的功能。
1PKI的构成PKI由政策同意机构PAA、政策CA机构PCA、认证机构CA和注册机构RA构成。
PAA创建整个PKI系统的目标、政策,同意本PAA部下的PCA的政策,为部下PCA签发公钥证书,成立整个PKI系统的安全策略,并拥有监控个PCA行为的责任。
PCA拟订自己的详细政策,包含密钥的产生、密钥的长度、证书的有效期规定及CRL的办理等,同时PCA为其部下CA签发公钥证书。
CA依照上司PCA拟订的政策,为详细用户签发、生成并公布数字证书,负责CRL的管理与保护。
RA负责接收用户的证书申请,考证用户的身份,向CA提交证书申请,考证接收CA签发的数字证书,并将证书发放给申请者。
PKI的构成图示以下:
PAAPCA1PCAnCA1CAnCA1CAnRA1RAnRA1RAn图10PKI的系统构造图2PKI的操作功能证书的生成及发散。
在用户向RA提交数字证书申请后,RA负责对申请者的身份进行认证,认证经过后RA将向CA转发证书申请。
CA负责生成用户的数字证书,数字证书的公私密钥对能够由用户产生,也能够由CA产生。
用户自己产生的公钥需提交给CA,CA对公钥强度考证后将依据用户提交的公钥产生用户的数字证书;
假如是CA产生用户的公私密钥对,则CA不保留用户的私钥,私钥需经过安全的方式发放给用户。
CA生成证书后将其公布到相应的目录服务器上。
证书的获取。
在PKI系统中,要获取某个用户的数字证书,能够RA处获取,也能够查问CA的证书目录服务器,此外用户也能够将自己的证书发送给他人。
证书的取消。
数字证书的持证人假如发生证书丢掉、密钥泄漏时,持证人能够向CA或RA提交证书取消恳求,CA将会把用户的证书加入到取消列表中。
取消列表CRL的获取与查问。
因为CRL往常都比较大,在线查问效率比较低下,所以此刻往常在RA端成立一个CRL的镜像,按期将CA端的CRL同步到当地,同步又分所有CRL同步和增量同步两种,所有CRL同步的利处能保证CRL数据一致,弊端是同步的数据量庞大,往常也没有必需进行全局同步。
增量同步就是每次只同步CA端新增的CRL部分,增量同步的数据量较小,比较切合现实。
CRL的查问能够经过LDAP等接见。
证书恢复。
证书恢复功能为客户在证书储存介质破坏或忘记口令等状况下,供给原证书的恢复,申请者向RA或CA提出证书恢复恳求,CA将会为用户生成新的数字证书,本来的证书将作废,同时还会将其加入CRL中。
证书更新。
证书更新用于解决客户证书到期后的续费问题,也有可能是客户的证书并未抵达有效期而是CA或RA的自己的数字证书抵达了有效期。
这时用户需更新证书,CA将会为用户签发新的数字证书。
3PKI的服务功能PKI供给的服务功能包含:
数据保密性服务、数据完好性服务、数据真切性服务、数据不行否定性服务和身份认证服务。
这些服务都是经过数字证书的应用来实现的,在集成这些服务时,还需要应用系统作部分支持才能真切实现这些服务。
一次性口令技术所谓一次性口令(OTP,OneTimePassword)是指针对传统可重复使用的口令而言的。
一次性口令只好使用一次,不行重复使用。
可重用的口令易受各种攻击:
截取攻击:
当口令以明文方式在网络
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网站 系统安全 需求 分析