應按照《網上辦稅系統信息安全基本技術規范》(稅總函〔2014〕13號)和《稅務移動應用安全開發和評估規范V1.0》(稅總辦發〔2016〕60號)的有關規定對客戶端的運行環境安全、軟件自身安全、密碼保護、登錄控制以及信息保護進行安全檢測。
1客戶端運行環境安全
【基本要求】
(1)針對客戶端自身運行安全的要求,在登錄頁面時應提醒終端用戶,告知用戶運行時需安裝個人防火墻、病毒防殺軟件及防釣魚控件等。
2客戶端軟件自身安全
【基本要求】
(1)客戶端程序安裝壓縮包應包含客戶端軟件的安裝及身份鑒別數據導入的使用說明。
(2)客戶端程序的臨時文件(包括但不限于Cookies)應禁止存儲敏感信息,防止敏感信息泄露。
(3)客戶端程序應通過第三方中立測試機構(具有省級以上安全測評資質)的安全檢測,在提交第三方測試文檔時,應同時對其資質進行備案。
(4)客戶端程序自身應具備完整性檢測,當程序完整性受到破壞后,客戶端將無法正常使用。
(5)客戶端程序在開發階段應啟用安全編譯選項,安全編譯選項應包括但不限于NX,Shared,ASLR,GS,SSEH。
(6)客戶端程序在開發過程中應限定對Banned API 的使用。
(7)客戶端程序在某些特殊情況下需顯示敏感信息時,應采用隱藏部分信息內容等手段,防止諸如屏幕錄像技術等竊取信息的非法程序。
(8)客戶端程序應具有抗逆向分析、抗反匯編等安全性防護措施,防范攻擊者調試、分析和篡改客戶端程序。
(9)移動客戶端的安全規范,應參照《稅務移動應用安全開發和評估規范V1.0》(稅總辦發〔2016〕60號)的有關規定。
3客戶端密碼保護
【基本要求】
(1)如果有初始密碼,應強制客戶在首次登錄時修改初始密碼。
(2)禁止明文顯示密碼,應使用相同位數的特殊字符(例如,*和#)代替。
(3)應確保密碼不能明文存儲在數據庫中。
(4)密碼長度應不少于8位,且為數字、字母和特殊字符中至少兩種形式的組合。
(5)系統應有自動檢驗弱口令的能力,當密碼輸入不符合復雜度要求時,不允許注冊成功或修改密碼。
4客戶端登錄控制
【基本要求】
(1)應設置在一定時間內連續失敗登錄次數,并在接近限定次數時,提示客戶。超過限定次數后應立即鎖定電子稅務局該客戶的賬號至少30分鐘,此期間禁止該賬號的登錄和使用。
(2)退出登錄或關閉客戶端程序后,應立即終止會話。
(3)退出登錄時應提示客戶取下專用輔助安全設備,如USB KEY。
(4)設置會話超時機制,當用戶登錄某時間段內無任何操作時,應終止會話。
5用戶敏感信息保護
【基本要求】
(1)系統提示不得泄露敏感信息,例如,登錄失敗時精確提示錯誤原因。
(2)客戶端代碼不得泄露敏感信息,例如,代碼注釋不得包含敏感信息、用戶私鑰或加密密鑰不得嵌入客戶端程序中。
(3)敏感信息在客戶端存儲或傳輸前必須經過加密處理,禁止明文存儲或傳輸。
