HS∕T 33-2011 .NET安全编码规范(海关)
|
ID: |
DED2D3DC92F24CB394F407FD87A5AE85 |
|
文件大小(MB): |
0.44 |
|
页数: |
22 |
|
文件格式: |
|
|
日期: |
2021-12-30 |
|
购买: |
文本摘录(文本识别可能有误,但文件阅览显示及打印正常,pdf文件可进行文字搜索定位):
ICS 35.080,L70/84,HS,中华人民共和国海关行业标准,HS/T 33—2011,.NET安全编码规范,Secure coding specification for .NET,2011 - 08 - 12发布,2011 - 10 - 01实施,中华人民共和国海关总署 发布,HS/Z —XXXX,I,目 次,前言 .. II,引言 . III,1 范围 1,2 术语和定义 1,3 代码安全性分类 .. 2,4 代码安全性声明要求 . 3,5 中间结果和状态信息处理要求 .. 3,6 限制方法调用要求 4,7 遗留系统代码封装要求 .. 4,8 敏感数据操作异常要求 .. 5,9 其他 5,附录A(资料性附录) 安全编码示例 . 7,A.1 代码访问安全性示例 7,A.2 中间结果和状态信息处理示例 . 9,A.3 限制方法调用示例 . 10,A.4 越权访问敏感信息的示意过程 12,A.5 遗留系统代码封装要求示例 .. 13,A.6 敏感数据操作异常示例 14,参考文献 . 18,HS/Z —XXXX,II,前 言,本标准按照GB/T 1.1-2009给出的规则起草,本标准由中华人民共和国海关总署科技发展司提出,本标准由中华人民共和国海关总署政策法规司归口,本标准起草单位:中华人民共和国海关总署科技发展司、全国海关信息中心(全国海关电子通关中心),本标准主要起草人:***、***,本标准是第一次制定,HS/Z —XXXX,III,引 言,随着海关信息化的深入,.NET应用编码中的安全问题受到普遍关注。现阶段,.NET开发技术已在中国海关普遍应用,在稳步推进等级保护、分级保护的过程中,.NET编码的安全问题日益受到重视,安全编码方法是指运用科学的编码技巧和手段,稳妥的实现应用功能,并针对主要编码漏洞提出有针对性的防护对策和整改措施,进而防范和化解应用编码安全风险,将风险控制在可接受的水平,为最大限度的保障信息系统安全提供技术保障,安全编码方法作为信息安全保障工作的基础性工作和重要手段,应贯穿于海关信息系统建设、维护过程,是海关信息系统实现安全开发的重要科学方法之一,本标准是以海关既有.NET项目的开发、使用情况为基础,确定.NET应用编写过程中需要遵循并沿革的相关安全规范,本标准编制遵循通用性原则,确定.NET安全编码的基本原则、方法、要求,而不对具体实现技巧和编码细节进行过于详尽的描述,HS/Z XX—XXXX,1,.NET安全编码规范,1 范围,本标准给出了海关信息系统实施中安全编码的原则性要求,适用于海关自建、合建、委托外部单位建设的信息系统或相关模块的开发工作,注:本标准所指“代码”包括生产代码、测试程序代码、工具代码以及用于调试和维护的其他代码。如没有特别说明,本标准中提及的“应用”其含义均为“.NET应用”,本标准中提及的“项目”其含义均为“.NET项目”。本标准提及的“敏感信息”的界定应依据海关相关管理规定,2 术语和定义,下列术语和定义适用于本文件,2.1,公共库代码 common library,专门用于项目间共享使用的程序库代码,2.2,程序集 assembly,.NET应用程序编译结果的存储形式。所有托管类型和资源都包含在某个程序集内,并被标记为只能在该程序集的内部访问,或者被标记为可以从其他程序集中的代码访问,2.3,安全策略 security policy,规定如何在组织或系统中管理、保护、分发包括敏感信息在内的资产的规则、命令、条例,[HS/T 22-2009, 定义3.5.10],2.4,代码访问安全性 code access security (CAS),公共语言运行时提供的一种机制,通过该机制,安全策略授予托管代码权限,并且这些权限是强制的,从而帮助限制允许代码执行的操作,2.5,视窗通信基础 windows communication foundation(WCF),一种 Windows 托管技术,用于生成并管理面向服务的系统,2.6,序列化 serialization,HS/Z XX—XXXX,2,将对象的状态信息转换为可以存储或传输的格式的过程,注:在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象,2.7,方法 method,描述行为的函数,2.8,证据 evidence,标识代码所用安全策略的属性,注:如数字签名或其原位置的区域或站点,安全策略使用其为代码授予权限,2.9,信息系统 information system,由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统,典型的信息系统由三部分组成:硬件系统(计算机硬件系统和网络硬件系统);系统软件(计算机系统软件和网络系统软件);应用软件(包括由其处理、存储的信息),[GB/T 20984-2007,定义3.8],2.10,托管代码 managed code,由公共语言运行库环境执行的代码,2.11,非托管代码 unmanaged code,直接由操作系统执行的代码,2.12,遗留系统 legacy system,采用旧版本技术或.NET异构平台技术建设的信息系统,3 代码安全性分类,根据安全性要求,海关.NET项目代码划分如下:,a) 安全性无关的代码(N类:Neutral):技术上可以运行于任何系统权限的代码;,b) 普通的应用逻辑描述性代码(B类:Business):实现业务逻辑、业务实体、业务流……
……