軟件開發(fā)安全設(shè)計(jì)方案表Haier信息門戶系統(tǒng)_第1頁
軟件開發(fā)安全設(shè)計(jì)方案表Haier信息門戶系統(tǒng)_第2頁
軟件開發(fā)安全設(shè)計(jì)方案表Haier信息門戶系統(tǒng)_第3頁
軟件開發(fā)安全設(shè)計(jì)方案表Haier信息門戶系統(tǒng)_第4頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、海爾集團(tuán)軟件開發(fā)安全設(shè)計(jì)方案表威脅類型消減機(jī)制解決方案假冒 身份驗(yàn)證 l 使用強(qiáng)密碼; l 使用不在網(wǎng)絡(luò)上傳輸密碼的身份驗(yàn)證機(jī)制,如Kerberos協(xié)議,Windows身份驗(yàn)證機(jī)制 l 確認(rèn)密碼加密或使用加密通道 l 在固定次數(shù)密碼重試后對(duì)賬戶進(jìn)行鎖定 l 考慮只支持本地管理 l 將管理界面的數(shù)量減到最少 審核和日志記錄 l 記錄重要的應(yīng)用程序操作 l 審核登陸和注銷事件,訪問文件系統(tǒng)以及失敗的對(duì)象訪問嘗試 l 備份日志文件,并定期分析可疑活動(dòng)的記錄 篡改 會(huì)話管理 l 利用SSL創(chuàng)建一個(gè)安全的通信通道; l 實(shí)現(xiàn)注銷功能,允許用戶在啟動(dòng)另一個(gè)會(huì)話時(shí)結(jié)束身份驗(yàn)證會(huì)話; l 確保限制會(huì)話/coo

2、kie的有效期; l 使用加密技術(shù); l 使用散列消息身份驗(yàn)證代碼HMAC; l 執(zhí)行關(guān)鍵功能時(shí),重新進(jìn)行身份驗(yàn)證; l 使會(huì)話在適當(dāng)?shù)臅r(shí)間后過期,包括所有的cookie和會(huì)話標(biāo)記; l 不允許客戶端存儲(chǔ)會(huì)話數(shù)據(jù); 審核和日志記錄 l 使用受限的ACL來保護(hù)日志文件 l 將系統(tǒng)文件從默認(rèn)的位置重新進(jìn)行定位 敏感數(shù)據(jù)管理 l 使用防篡改協(xié)議,如散列消息身份驗(yàn)證代碼(HMAC)來保護(hù)在網(wǎng)絡(luò)上傳輸?shù)拿舾袛?shù)據(jù); 授權(quán) l 訪問控制 l 給予角色的安全策略 抵賴 身份驗(yàn)證 l 使用強(qiáng)密碼; l 使用不在網(wǎng)絡(luò)上傳輸密碼的身份驗(yàn)證機(jī)制,如Kerberos協(xié)議,Windows身份驗(yàn)證機(jī)制 l 確認(rèn)密碼加密或使

3、用加密通道 l 在固定次數(shù)密碼重試后對(duì)賬戶進(jìn)行鎖定 l 不得使用共享管理賬戶 l 分配用戶、應(yīng)用程序、服務(wù)賬戶使用賬戶單一的訪問源 審核和日志記錄 l 記錄重要的應(yīng)用程序操作 l 審核登陸和注銷事件,訪問文件系統(tǒng)以及失敗的對(duì)象訪問嘗試 l 備份日志文件,并定期分析可疑活動(dòng)的記錄 信息泄露 加密技術(shù) l 使用內(nèi)置的加密規(guī)程 l 使用強(qiáng)隨機(jī)密鑰生成函數(shù),并將函數(shù)儲(chǔ)存在一個(gè)受限的地方 l 使用密鑰過期 l 不開發(fā)自己定義的算法 l 了解被破解的算法和用來破解算法的技術(shù) 異常管理 l 在整個(gè)應(yīng)用程序代碼庫中使用異常處理 l 處理和記錄允許傳輸?shù)綉?yīng)用程序邊界的異常 l 返回給客戶端一般的錯(cuò)誤信息 敏感數(shù)

4、據(jù)管理 l 對(duì)包含敏感數(shù)據(jù)的數(shù)據(jù)存儲(chǔ)區(qū)使用ACL; l 對(duì)存儲(chǔ)數(shù)據(jù)進(jìn)行加密; l 基于身份和角色的授權(quán),確保只有具有適當(dāng)授權(quán)級(jí)別的用戶才允許訪問敏感數(shù)據(jù); 授權(quán) l 在訪問數(shù)據(jù)前,進(jìn)行身份驗(yàn)證 l 利用強(qiáng)ACL保護(hù)系統(tǒng)資源 l 使用標(biāo)準(zhǔn)的加密技術(shù)將敏感數(shù)據(jù)存儲(chǔ)到配置文件和數(shù)據(jù)庫中 拒絕服務(wù) 審核和日志記錄 l 審核和記錄服務(wù)器與數(shù)據(jù)庫服務(wù)器以及應(yīng)用服務(wù)器(如使用)上的活動(dòng) l 記錄主要事件,如交易,登陸和注銷事件 l 不得使用共享賬戶 異常管理 l 徹底驗(yàn)證服務(wù)器的所有輸入數(shù)據(jù) l 在整個(gè)應(yīng)用程序代碼庫中使用異常處理 輸入驗(yàn)證 l 執(zhí)行完全的輸入驗(yàn)證 l 使用最低特權(quán)賬戶與數(shù)據(jù)庫連接 l 利用參數(shù)化存儲(chǔ)過程訪問數(shù)據(jù)庫,確保不會(huì)將輸入字符串視為可執(zhí)行語句 l 避免使用文件名作為輸入,使用最終用戶不能更改的絕對(duì)文件路徑 l 確保文件名正確,并在程序上下文進(jìn)行驗(yàn)證 l 確

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論