ICS 35.080 L70/84 HS 中华人民共和国海关行业标准 HS/T33-2011 .NET安全编码规范 Securecoding specificationfor.NET 2011-08-12发布 2011-10-01实施 中华人民共和国海关总署 发布
HS/ZXXXX 目次 4代码安全性声明要求 5中间结果和状态信息处理要求 6限制方法调用要求 7遗留系统代码封装要求 8敏感数据操作异常要求 9其他. 附录A(资料性附录)安全编码示例 A.1代码访问安全性示例. A.2中间结果和状态信息处理示例 A.3限制方法调用示例 A.4越权访问敏感信息的示意过程 A.5遗留系统代码封装要求示例 A.6敏感数据操作异常示例 参考文献........
HS/ZXXXX 前言 本标准按照GB/T1.1-2009给出的规则起草.
本标准由中华人民共和国海关总署科技发展司提出.
本标准由中华人民共和国海关总署政策法规司归口.
本标准起草单位:中华人民共和国海关总署科技发展司、全国海关信息中心(全国海关电子通关中 心).
本标准主要起草人:***、***.
本标准是第一次制定.
HS/ZXXXX 引言 随着海关信息化的深入,.NET应用编码中的安全问题受到普遍关注.
现阶段,.NET开发技术已在中 国海关普遍应用,在稳步推进等级保护、分级保护的过程中,.NET编码的安全问题日益受到重视.
安全编码方法是指运用科学的编码技巧和手段,稳妥的实现应用功能,并针对主要编码漏洞提出有 针对性的防护对策和整改措施,进而防范和化解应用编码安全风险,将风险控制在可接受的水平,为最 大限度的保障信息系统安全提供技术保障.
安全编码方法作为信息安全保障工作的基础性工作和重要手段,应贯穿于海关信息系统建设、维护 过程,是海关信息系统实现安全开发的重要科学方法之一.
本标准是以海关既有.NET项目的开发、使用情况为基础,确定.NET应用编写过程中需要遵循并沿革 的相关安全规范.
本标准编制遵循通用性原则,确定.NET安全编码的基本原则、方法、要求,而不对具体实现技巧和 编码细节进行过于详尽的描述.
II1I
HS/Z XXXXXX .NET安全编码规范 1范围 本标准给出了海关信息系统实施中安全编码的原则性要求,适用于海关自建、合建、委托外部单位 建设的信息系统或相关模块的开发工作.
注:本标准所指“代码”包括生产代码、测试程序代码、工具代码以及用于调试和维护的其他代码.
如没有特别说 明,本标准中提及的“应用”其含义均为“.NET应用”,本标准中提及的“项目”其含义均为“.NET项目”.
本标准提及的“敏感信息”的界定应依据海关相关管理规定.
2术语和定义 下列术语和定义适用于本文件.
2.1 公共库代码mon 1ibrary 专门用于项目间共享使用的程序库代码.
2. 2 程序集assembly NET应用程序编译结果的存储形式.
托管类型和资源都包含在某个程序集内,并被标记为只能 在该程序集的内部访问,或者被标记为可以从其他程序集中的代码访问.
2.3 安全策略securitypolicy 规定如何在组织或系统中管理、保护、分发包括敏感信息在内的资产的规则、命令、条例.
[HS/T22-2009 定义3.5.10] 2. 4 代码访间安全性code access security (CAS) 公共语言运行时提供的一种机制,通过该机制,安全策略授予托管代码权限,并且这些权限是强制 的,从而帮助限制允许代码执行的操作.
2.5 视窗通信基础windowsmunicationfoundation(WCF) 一种Windows托管技术,用于生成并管理面向服务的系统.
2.6 序列化serialization
