★禁止繞過系統(tǒng)安全機(jī)制的功能

1、?禁止存在繞過正常認(rèn)證機(jī)制直接進(jìn)入到系統(tǒng)的隱秘通道，如：組合鍵、鼠標(biāo)特殊敲擊、連接特定接口，使用特定客戶端、使用特殊URL等。

2、 禁止不可管理的認(rèn)證/訪問方式：包括用戶不可管理的帳號，人機(jī)接口以及可遠(yuǎn)程訪問的機(jī)機(jī)接口的硬編碼口令，不經(jīng)認(rèn)證直接訪問系統(tǒng)的接 口等。

3、 除上述隱秘、不可管理的認(rèn)證/訪問方式外， 不得含有其它任何形式的后門、木馬、惡意廣告、 吸費(fèi)陷阱、惡意消耗用戶數(shù)據(jù)流量等惡意代碼或未知功能。

4、 所有帳戶都必須被用戶可見，禁止存在用戶未知的帳戶，在物料資料中提供所有帳號及管理 操作說明。（僅用于物料內(nèi)部通信，且外部無法訪問的帳號，可以例外。）

5、 未文檔化的命令/參數(shù)、端口等接入方式（包括但不限于物料的生產(chǎn)、調(diào)測、維護(hù)用途），提供資料進(jìn)行說明。

請?zhí)峁很浖斜砗蛙浖δ芮鍐?、相關(guān)命令列表和外部開放接口列表、對外訪問資源列表、系統(tǒng)進(jìn)程白名單（包括進(jìn)程名稱和進(jìn)程的功能描述）

★禁止存在未 文檔化的命令/?參數(shù)、端口等

1、不得存在客戶資料（含通信矩陣）中沒有公開的協(xié)議端口?/服務(wù)；

2、不得存在未文檔化的命令、參數(shù)等（包括但不限于產(chǎn)品的生產(chǎn)、調(diào)測、維護(hù)用途）。

★軟件完整性

1、對于涉及軟件包分發(fā)的物料應(yīng)提供完整性校驗機(jī)制（如：數(shù)字簽名或者哈希值），并提供文檔說明驗證方法。

注：a、CRC不能用于完整性校驗。b、必須用其公司郵箱將完整性校驗值發(fā)送給甲方PET的公司郵箱。

2、涉及軟件包分發(fā)的物料應(yīng)經(jīng)過業(yè)界至少兩款知名殺毒軟件掃描，不存在病毒、木馬、惡意程序，并提供掃描報告結(jié)果。

3、與移動終端相關(guān)的軟件，升級時必須通過界面或者資料讓的形式用戶知情且可控。

安全編碼使用靜態(tài)代碼檢查工具Coverity對物料源代碼進(jìn)行掃描（可只掃描高風(fēng)險模塊），并對掃描的告警進(jìn)行分析，確認(rèn)告警的實(shí)際風(fēng)險等級，對于實(shí)際風(fēng)險為“高”的漏洞（CVSS 7分及以上）必須解決，提供掃描分析報告。

高風(fēng)險模塊識別參考標(biāo)準(zhǔn)：

物料對外提供的所有管理和控制接口相關(guān)的代碼（如網(wǎng)管配置管理接口、Telnet/SSH、MML、路由協(xié)議、信令接口等）

對不可信來源的數(shù)據(jù)進(jìn)行解析或處理的代碼（如，用戶面數(shù)據(jù)處理、網(wǎng)絡(luò)或應(yīng)用協(xié)議解析、

文件解析等模塊、計費(fèi)策略或者邏輯處理）

安全相關(guān)類代碼（如，認(rèn)證、授權(quán)、接入控制、加解密、密鑰管理、日志審計、軟件完整性保護(hù)等模塊）

集中處理個人數(shù)據(jù)或者敏感數(shù)據(jù)的代碼（如，敏感數(shù)據(jù)匿名化）

WEB模塊（如：HTTP協(xié)議頭處理處理模塊、文件/圖片上傳處理模塊、SQL語句處理模塊、Response HTML?輸出模塊）

說明：敏感數(shù)據(jù)的具體范圍取決于產(chǎn)品具體的應(yīng)用場景，產(chǎn)品應(yīng)根據(jù)風(fēng)險進(jìn)行分析和判斷。典型的敏感數(shù)據(jù)包括認(rèn)證憑據(jù)（如口令、動態(tài)令牌卡）、銀行帳號、大批量個人數(shù)據(jù)和用戶通信內(nèi)容等。

安全補(bǔ)丁發(fā)布提供物料的安全預(yù)警以及安全補(bǔ)丁發(fā)布渠道。

開源軟件安全1、 提供給甲方的產(chǎn)品如含有開源軟件，則須對其開源軟件的漏洞進(jìn)行及時檢測，并對存在的安全漏洞進(jìn)行修復(fù)或升級到無漏洞的新開源軟件版本。

2、 提供開源軟件名稱、版本號列表

★通信矩陣

1、 提供清單列舉物料所有功能/特性所使用到的端口（包括系統(tǒng)的監(jiān)聽端口、系統(tǒng)作為客戶端對外連接請求的所有端口）；

2、 如存在動態(tài)偵聽端口，偵聽范圍必須限定在確定的必要的范圍內(nèi)；

3、 未在通信矩陣中描述的端口應(yīng)關(guān)閉。

具體可參考附件3.1.3作為通信矩陣交付件。

協(xié)議安全1、 系統(tǒng)的管理平面和近端維護(hù)終端、網(wǎng)管維護(hù)終端間，支持使用合適的安全協(xié)議（如SSH V2/TLS1. l/IPSec/SFTP/SNMPv3?等）

2、 對于不安全協(xié)議（如FTP、Telnet、SSHvl）,?支持關(guān)閉，建議缺省關(guān)閉。產(chǎn)品資料中應(yīng)建議用戶使用安全協(xié)議，如需使用不安全協(xié)議，應(yīng)提示風(fēng)險。

加密算法清單提供物料所使用的加密算法清單，說明加密算法的應(yīng)用場景。

★私有密碼算法

禁止使用私有算法實(shí)現(xiàn)加解密，包括但不限于：

1.????自行定義的通過變形/字符移位/替換等方式執(zhí)行的數(shù)據(jù)轉(zhuǎn)換算法；

2.????用編碼的方式（如Base64編碼）實(shí)現(xiàn)數(shù)據(jù)加密的目的的偽加密實(shí)現(xiàn)。

常見密碼算法的生命周期請參見3.1.2。請?zhí)峁┚唧w的算法清單（包括本算法使用目的）。

不安全密碼算法禁止使用業(yè)界已知不安全的加密算法，如，DES/3DES?（除密鑰K1≠K2≠K3外的場景）?/SKIPJACK/RC2/RSA（1024?位及以下）/MD2/MD4?等。因標(biāo)準(zhǔn)協(xié)議定義且沒有替代算法、需要與第三方系統(tǒng)對接、兼容老系統(tǒng)等情況需要使用不安全密碼算法的，應(yīng)在加密算法清單中說明。

★敏感數(shù)據(jù)存儲

安全認(rèn)證憑據(jù)（如口令/私鑰等）不允許明文存儲在系統(tǒng)中，應(yīng)該加密保護(hù)。對于認(rèn)證憑據(jù)的安全存儲，在不需要還原明文的場景，必須使用不可逆算法加密。對敏感數(shù)據(jù)的訪問，需采取適當(dāng)?shù)陌踩珯C(jī)制（如認(rèn)證、授權(quán)或加密等）。

說明：敏感數(shù)據(jù)的具體范圍取決于產(chǎn)品具體的應(yīng)用場景，產(chǎn)品應(yīng)根據(jù)風(fēng)險進(jìn)行分析和判斷。典型的敏感數(shù)據(jù)包括認(rèn)證憑據(jù)（如口令、動態(tài)令牌卡）、銀行帳號、大批量個人數(shù)據(jù)和用戶通信內(nèi)容等。

敏感數(shù)據(jù)傳輸安全在非信任網(wǎng)絡(luò)之間進(jìn)行敏感數(shù)據(jù)（包括口令，銀行帳號，批量個人數(shù)據(jù)等）的傳輸須采用安全輸通道或者加密后傳輸，有標(biāo)準(zhǔn)協(xié)議規(guī)定除外。?請?zhí)峁┚唧w的敏感數(shù)據(jù)請單（包括每種敏感數(shù)據(jù)通過什么方式保護(hù)）。

提供應(yīng)用權(quán)限列表如果物料為Android應(yīng)用，請參照3.1.5提供應(yīng)用權(quán)限列表。

提供測試報告請?zhí)峁┑臏y試驗證報告或第三方認(rèn)證報告。

其它安全需求根據(jù)產(chǎn)品業(yè)務(wù)安全需要定制的，可以歸類到上述分類的需求，請在相應(yīng)的分類中補(bǔ)充，不能歸類到上述分類的其它需求，可以增加類別，在此處補(bǔ)充。

增加的安全需求，如：客戶需求、行業(yè)標(biāo)準(zhǔn)、產(chǎn)品的其它安全需求等。