業(yè)務(wù)系統(tǒng)開發(fā)、上線信息安全要求_第1頁
業(yè)務(wù)系統(tǒng)開發(fā)、上線信息安全要求_第2頁
業(yè)務(wù)系統(tǒng)開發(fā)、上線信息安全要求_第3頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、精選優(yōu)質(zhì)文檔-傾情為你奉上業(yè)務(wù)系統(tǒng)信息安全開發(fā)、上線要求一、身份鑒別a)應(yīng)提供專用的登錄控制模塊對登錄用戶進(jìn)行身份標(biāo)識和鑒別;b)未來可以擴(kuò)展支持?jǐn)?shù)字證書實(shí)現(xiàn)用戶身份鑒別; c)應(yīng)提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能,保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識,身份鑒別信息不易被冒用; d)應(yīng)提供登錄失敗處理功能,可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施; e)應(yīng)啟用身份鑒別、用戶身份標(biāo)識唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能,并根據(jù)安全策略配置相關(guān)參數(shù)。 二、訪問控制 a)應(yīng)提供訪問控制功能,依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問; b)訪問控制的覆蓋

2、范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作; c)應(yīng)由授權(quán)主體配置訪問控制策略,并嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限; d)應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限,并在它們之間形成相互制約的關(guān)系。 三、安全審計(jì)a)應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能,對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì); b)應(yīng)保證無法單獨(dú)中斷審計(jì)進(jìn)程,無法刪除、修改或覆蓋審計(jì)記錄; c)審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等; d)應(yīng)提供對審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表的功能。 四、通信安全 a)應(yīng)采用密碼技術(shù)保證系統(tǒng)通信過程中數(shù)據(jù)的完整性。 b)在通信雙方建立連接之前,

3、應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會話初始化驗(yàn)證; c)應(yīng)對通信過程中的整個(gè)報(bào)文或會話過程進(jìn)行加密。 d)涉及用戶信息、辦公信息、業(yè)務(wù)信息等關(guān)鍵信息應(yīng)當(dāng)在數(shù)據(jù)庫加密存儲。五、軟件容錯a)應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能,保證通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求,同時(shí)支持非法格式禁止上傳; b)應(yīng)提供自動保護(hù)功能,當(dāng)故障發(fā)生時(shí)自動保護(hù)當(dāng)前所有狀態(tài),保證系統(tǒng)能夠進(jìn)行恢復(fù)。 六、資源控制a)當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng),另一方應(yīng)能夠自動結(jié)束會話; b)應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會話連接數(shù)進(jìn)行限制; c)應(yīng)能夠?qū)蝹€(gè)帳戶的多重并發(fā)會話進(jìn)行限制; d)應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水

4、平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報(bào)警; 七、軟件開發(fā)管理a)應(yīng)確保開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開,開發(fā)人員和測試人員分離,測試數(shù)據(jù)和測試結(jié)果受到控制; b)應(yīng)制定軟件開發(fā)管理制度,明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則; c)應(yīng)制定代碼編寫安全規(guī)范,要求開發(fā)人員參照規(guī)范編寫代碼,禁止留有程序后門。 d)應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南,并由專人負(fù)責(zé)保管; e)應(yīng)確保對程序資源庫的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)。 八、通用要求a) 輸入驗(yàn)證:在客戶機(jī)/服務(wù)器環(huán)境下,系統(tǒng)需進(jìn)行服務(wù)端的驗(yàn)證而禁止客戶端的驗(yàn)證(如基于Javascript的驗(yàn)證),并在字符有效性檢查之前設(shè)置邊界檢查驗(yàn)證以及環(huán)境變量提取數(shù)據(jù)驗(yàn)證。b) 命名規(guī)范:規(guī)范變量、函數(shù)的命名;規(guī)范程序的書寫格式等。c) SQL語句:如果應(yīng)用程序需要連接后端數(shù)據(jù)庫,使用存儲過程而不能在代碼中使用SQL語句。d) 注釋代碼:當(dāng)應(yīng)用程序在實(shí)際環(huán)境中開始應(yīng)用時(shí),應(yīng)該刪除所有的注釋代碼。e) 錯誤信息:所有為用戶顯示的錯誤信息不應(yīng)暴露任何關(guān)于系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用程序的敏感信息。f) URL內(nèi)容:對于web應(yīng)用,不能在

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論