軟件開發(fā)安全設(shè)計(jì)專項(xiàng)方案表_第1頁
軟件開發(fā)安全設(shè)計(jì)專項(xiàng)方案表_第2頁
軟件開發(fā)安全設(shè)計(jì)專項(xiàng)方案表_第3頁
軟件開發(fā)安全設(shè)計(jì)專項(xiàng)方案表_第4頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

海爾集團(tuán)軟件開發(fā)安全設(shè)計(jì)方案表

威脅類型消減機(jī)制處理方案假冒身份驗(yàn)證使用強(qiáng)密碼;使用不在網(wǎng)絡(luò)上傳輸密碼身份驗(yàn)證機(jī)制,如Kerberos協(xié)議,Windows身份驗(yàn)證機(jī)制確定密碼加密或使用加密通道在固定次數(shù)密碼重試后對(duì)賬戶進(jìn)行鎖定考慮只支持當(dāng)?shù)毓芾韺⒐芾斫缑鏀?shù)量減到最少審核和日志統(tǒng)計(jì)統(tǒng)計(jì)關(guān)鍵應(yīng)用程序操作審核登陸和注銷事件,訪問文件系統(tǒng)和失敗對(duì)象訪問嘗試備份日志文件,并定時(shí)分析可疑活動(dòng)統(tǒng)計(jì)篡改會(huì)話管理利用SSL創(chuàng)建一個(gè)安全通信通道;實(shí)現(xiàn)注銷功效,許可用戶在開啟另一個(gè)會(huì)話時(shí)結(jié)束身份驗(yàn)證會(huì)話;確保限制會(huì)話/cookie使用期;使用加密技術(shù);使用散列消息身份驗(yàn)證代碼HMAC;實(shí)施關(guān)鍵功效時(shí),重新進(jìn)行身份驗(yàn)證;使會(huì)話在合適時(shí)間后過期,包含全部cookie和會(huì)話標(biāo)識(shí);不許可用戶端存放會(huì)話數(shù)據(jù);審核和日志統(tǒng)計(jì)使用受限ACL來保護(hù)日志文件將系統(tǒng)文件從默認(rèn)位置重新進(jìn)行定位敏感數(shù)據(jù)管理使用防篡改協(xié)議,如散列消息身份驗(yàn)證代碼(HMAC)來保護(hù)在網(wǎng)絡(luò)上傳輸敏感數(shù)據(jù);授權(quán)訪問控制給角色安全策略抵賴身份驗(yàn)證使用強(qiáng)密碼;使用不在網(wǎng)絡(luò)上傳輸密碼身份驗(yàn)證機(jī)制,如Kerberos協(xié)議,Windows身份驗(yàn)證機(jī)制確定密碼加密或使用加密通道在固定次數(shù)密碼重試后對(duì)賬戶進(jìn)行鎖定不得使用共享管理賬戶分配用戶、應(yīng)用程序、服務(wù)賬戶使用賬戶單一訪問源審核和日志統(tǒng)計(jì)統(tǒng)計(jì)關(guān)鍵應(yīng)用程序操作審核登陸和注銷事件,訪問文件系統(tǒng)和失敗對(duì)象訪問嘗試備份日志文件,并定時(shí)分析可疑活動(dòng)統(tǒng)計(jì)信息泄露加密技術(shù)使用內(nèi)置加密規(guī)程使用強(qiáng)隨機(jī)密鑰生成函數(shù),并將函數(shù)儲(chǔ)存在一個(gè)受限地方使用密鑰過期不開發(fā)自己定義算法了解被破解算法和用來破解算法技術(shù)異常管理在整個(gè)應(yīng)用程序代碼庫(kù)中使用異常處理處理和統(tǒng)計(jì)許可傳輸?shù)綉?yīng)用程序邊界異常返回給用戶端通常錯(cuò)誤信息敏感數(shù)據(jù)管理對(duì)包含敏感數(shù)據(jù)數(shù)據(jù)存放區(qū)使用ACL;對(duì)存放數(shù)據(jù)進(jìn)行加密;基于身份和角色授權(quán),確保只有含有合適授權(quán)等級(jí)用戶才許可訪問敏感數(shù)據(jù);授權(quán)在訪問數(shù)據(jù)前,進(jìn)行身份驗(yàn)證利用強(qiáng)ACL保護(hù)系統(tǒng)資源使用標(biāo)準(zhǔn)加密技術(shù)將敏感數(shù)據(jù)存放到配置文件和數(shù)據(jù)庫(kù)中拒絕服務(wù)審核和日志統(tǒng)計(jì)審核和統(tǒng)計(jì)服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器和應(yīng)用服務(wù)器(如使用)上活動(dòng)統(tǒng)計(jì)關(guān)鍵事件,如交易,登陸和注銷事件不得使用共享賬戶異常管理根本驗(yàn)證服務(wù)器全部輸入數(shù)據(jù)在整個(gè)應(yīng)用程序代碼庫(kù)中使用異常處理輸入驗(yàn)證實(shí)施完全輸入驗(yàn)證使用最低特權(quán)賬戶和數(shù)據(jù)庫(kù)連接利用參數(shù)化存放過程訪問數(shù)據(jù)庫(kù),確保不會(huì)將輸入字符串視為可實(shí)施語句避免使用文件名作為輸入,使用最終用戶不能更改絕對(duì)文件路徑確保文件名正確,并在程序上下文進(jìn)行驗(yàn)證確保

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論