《網(wǎng)上辦稅系統(tǒng)信息安全基本技術(shù)規(guī)范》(稅總函〔2014〕13號(hào))和《稅務(wù)移動(dòng)應(yīng)用安全開(kāi)發(fā)和評(píng)估規(guī)范V1.0》(稅總辦發(fā)〔2016〕60號(hào))的有關(guān)規(guī)
時(shí)間:2018-03-25 22:1331 來(lái)源:國(guó)家稅務(wù)總局
數(shù)據(jù)轉(zhuǎn)換工具客戶端安全要求
應(yīng)按照《網(wǎng)上辦稅系統(tǒng)信息安全基本技術(shù)規(guī)范》(稅總函〔2014〕13號(hào))和《稅務(wù)移動(dòng)應(yīng)用安全開(kāi)發(fā)和評(píng)估規(guī)范V1.0》(稅總辦發(fā)〔2016〕60號(hào))的有關(guān)規(guī)定對(duì)客戶端的運(yùn)行環(huán)境安全�����、軟件自身安全�、密碼保護(hù)�����、登錄控制以及信息保護(hù)進(jìn)行安全檢測(cè)���。
1客戶端運(yùn)行環(huán)境安全
【基本要求】
(1)針對(duì)客戶端自身運(yùn)行安全的要求�����,在登錄頁(yè)面時(shí)應(yīng)提醒終端用戶����,告知用戶運(yùn)行時(shí)需安裝個(gè)人防火墻����、病毒防殺軟件及防釣魚(yú)控件等。
2客戶端軟件自身安全
【基本要求】
(1)客戶端程序安裝壓縮包應(yīng)包含客戶端軟件的安裝及身份鑒別數(shù)據(jù)導(dǎo)入的使用說(shuō)明���。
(2)客戶端程序的臨時(shí)文件(包括但不限于Cookies)應(yīng)禁止存儲(chǔ)敏感信息���,防止敏感信息泄露��。
(3)客戶端程序應(yīng)通過(guò)第三方中立測(cè)試機(jī)構(gòu)(具有省級(jí)以上安全測(cè)評(píng)資質(zhì))的安全檢測(cè)�,在提交第三方測(cè)試文檔時(shí)��,應(yīng)同時(shí)對(duì)其資質(zhì)進(jìn)行備案�。
(4)客戶端程序自身應(yīng)具備完整性檢測(cè),當(dāng)程序完整性受到破壞后�����,客戶端將無(wú)法正常使用�����。
(5)客戶端程序在開(kāi)發(fā)階段應(yīng)啟用安全編譯選項(xiàng)���,安全編譯選項(xiàng)應(yīng)包括但不限于NX,Shared�,ASLR,GS�����,SSEH。
(6)客戶端程序在開(kāi)發(fā)過(guò)程中應(yīng)限定對(duì)Banned API 的使用�。
(7)客戶端程序在某些特殊情況下需顯示敏感信息時(shí),應(yīng)采用隱藏部分信息內(nèi)容等手段���,防止諸如屏幕錄像技術(shù)等竊取信息的非法程序����。
(8)客戶端程序應(yīng)具有抗逆向分析�、抗反匯編等安全性防護(hù)措施,防范攻擊者調(diào)試���、分析和篡改客戶端程序�。
(9)移動(dòng)客戶端的安全規(guī)范��,應(yīng)參照《稅務(wù)移動(dòng)應(yīng)用安全開(kāi)發(fā)和評(píng)估規(guī)范V1.0》(稅總辦發(fā)〔2016〕60號(hào))的有關(guān)規(guī)定�����。
3客戶端密碼保護(hù)
【基本要求】
(1)如果有初始密碼����,應(yīng)強(qiáng)制客戶在首次登錄時(shí)修改初始密碼。
(2)禁止明文顯示密碼,應(yīng)使用相同位數(shù)的特殊字符(例如�����,*和#)代替����。
(3)應(yīng)確保密碼不能明文存儲(chǔ)在數(shù)據(jù)庫(kù)中。
(4)密碼長(zhǎng)度應(yīng)不少于8位���,且為數(shù)字��、字母和特殊字符中至少兩種形式的組合����。
(5)系統(tǒng)應(yīng)有自動(dòng)檢驗(yàn)弱口令的能力�,當(dāng)密碼輸入不符合復(fù)雜度要求時(shí)��,不允許注冊(cè)成功或修改密碼�。
4客戶端登錄控制
【基本要求】
(1)應(yīng)設(shè)置在一定時(shí)間內(nèi)連續(xù)失敗登錄次數(shù),并在接近限定次數(shù)時(shí)��,提示客戶�。超過(guò)限定次數(shù)后應(yīng)立即鎖定電子稅務(wù)局該客戶的賬號(hào)至少30分鐘,此期間禁止該賬號(hào)的登錄和使用�����。
(2)退出登錄或關(guān)閉客戶端程序后,應(yīng)立即終止會(huì)話����。
(3)退出登錄時(shí)應(yīng)提示客戶取下專用輔助安全設(shè)備,如USB KEY���。
(4)設(shè)置會(huì)話超時(shí)機(jī)制���,當(dāng)用戶登錄某時(shí)間段內(nèi)無(wú)任何操作時(shí),應(yīng)終止會(huì)話����。
5用戶敏感信息保護(hù)
【基本要求】
(1)系統(tǒng)提示不得泄露敏感信息,例如�����,登錄失敗時(shí)精確提示錯(cuò)誤原因����。
(2)客戶端代碼不得泄露敏感信息,例如,代碼注釋不得包含敏感信息�����、用戶私鑰或加密密鑰不得嵌入客戶端程序中�����。
(3)敏感信息在客戶端存儲(chǔ)或傳輸前必須經(jīng)過(guò)加密處理�,禁止明文存儲(chǔ)或傳輸。
