软件开发安全设计专项方案表_第1页
软件开发安全设计专项方案表_第2页
软件开发安全设计专项方案表_第3页
软件开发安全设计专项方案表_第4页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

海尔集团软件开发安全设计方案表

威胁类型消减机制处理方案假冒身份验证使用强密码;使用不在网络上传输密码身份验证机制,如Kerberos协议,Windows身份验证机制确定密码加密或使用加密通道在固定次数密码重试后对账户进行锁定考虑只支持当地管理将管理界面数量减到最少审核和日志统计统计关键应用程序操作审核登陆和注销事件,访问文件系统和失败对象访问尝试备份日志文件,并定时分析可疑活动统计篡改会话管理利用SSL创建一个安全通信通道;实现注销功效,许可用户在开启另一个会话时结束身份验证会话;确保限制会话/cookie使用期;使用加密技术;使用散列消息身份验证代码HMAC;实施关键功效时,重新进行身份验证;使会话在合适时间后过期,包含全部cookie和会话标识;不许可用户端存放会话数据;审核和日志统计使用受限ACL来保护日志文件将系统文件从默认位置重新进行定位敏感数据管理使用防篡改协议,如散列消息身份验证代码(HMAC)来保护在网络上传输敏感数据;授权访问控制给角色安全策略抵赖身份验证使用强密码;使用不在网络上传输密码身份验证机制,如Kerberos协议,Windows身份验证机制确定密码加密或使用加密通道在固定次数密码重试后对账户进行锁定不得使用共享管理账户分配用户、应用程序、服务账户使用账户单一访问源审核和日志统计统计关键应用程序操作审核登陆和注销事件,访问文件系统和失败对象访问尝试备份日志文件,并定时分析可疑活动统计信息泄露加密技术使用内置加密规程使用强随机密钥生成函数,并将函数储存在一个受限地方使用密钥过期不开发自己定义算法了解被破解算法和用来破解算法技术异常管理在整个应用程序代码库中使用异常处理处理和统计许可传输到应用程序边界异常返回给用户端通常错误信息敏感数据管理对包含敏感数据数据存放区使用ACL;对存放数据进行加密;基于身份和角色授权,确保只有含有合适授权等级用户才许可访问敏感数据;授权在访问数据前,进行身份验证利用强ACL保护系统资源使用标准加密技术将敏感数据存放到配置文件和数据库中拒绝服务审核和日志统计审核和统计服务器和数据库服务器和应用服务器(如使用)上活动统计关键事件,如交易,登陆和注销事件不得使用共享账户异常管理根本验证服务器全部输入数据在整个应用程序代码库中使用异常处理输入验证实施完全输入验证使用最低特权账户和数据库连接利用参数化存放过程访问数据库,确保不会将输入字符串视为可实施语句避免使用文件名作为输入,使用最终用户不能更改绝对文件路径确保文件名正确,并在程序上下文进行验证确保

人人文库> 全部分类> 应用文书 > 作业报告

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论