软件开发安全设计方案表_第1页
软件开发安全设计方案表_第2页
软件开发安全设计方案表_第3页
软件开发安全设计方案表_第4页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、海尔软件开发安全设计方案表威胁的类型削减机制解决办法赝品认证l使用强力密码使用不在网络上传输密码的认证机制,如Kerberos协议、Windows认证等l确认密码加密,或使用加密通道l固定次数密码重试后锁定帐户。l考虑仅支持本地管理l最大限度地减少管理接口的数量审计和日志记录l记录重要的应用程序操作l审计登录和注销事件、对文件系统的访问以及对失败对象的访问尝试l备份日志文件并定期分析可疑活动的记录篡改会话管理利用SSL建立安全的通信信道l实现注销功能,以便用户可以在另一个会话启动时终止认证会话确认限制l会话/cookie的有效期使用l加密技术l使用散列消息认证码HMACl如果执行了重要功能,请

2、重新执行认证l会话在包含所有cookie和会话标记的适当时间后过期l客户端无法保存会话数据审计和日志记录使用l受限制的ACL保护日志文件l从默认位置重新定位系统文件。机密数据管理l使用诸如散列消息认证码(HMAC )之类的防篡改协议来保护在网络上传输的敏感数据认可l访问控制l赋予角色的安全策略搪塞过去认证l使用强力密码使用不在网络上传输密码的认证机制,如Kerberos协议、Windows认证等l确认密码的加密,或使用加密通道l固定次数密码重试后锁定帐户。l不要使用共享管理帐户l用户、应用程序和服务帐户分配了帐户的单一访问源审计和日志记录l记录重要的应用程序操作l审计登录和注销事件、对文件系统

3、的访问和对失败对象的访问尝试l备份日志文件并定期分析可疑活动的记录泄露消息密码技术使用l内置的加密协议l使用强随机密钥生成函数,并将函数存储在有限的位置l使用密钥的有效期l不开发自己定义的算法l理解解密的算法和用于解密算法的技术异常管理l在整个应用程序代码库中使用异常处理l处理和记录允许传输到应用程序边界的异常l返回给客户端的一般错误消息机密数据管理l在包含机密数据的数据存储中使用ACL对l存储数据进行加密l基于身份和角色的授权允许仅具有适当授权级别的用户访问机密数据认可在访问l数据之前进行认证l用强大的ACL保护系统资源使用l标准加密技术将敏感数据存储在配置文件和数据库中拒绝服务。审计和日志记录审计并记录l服务器、数据库服务器、应用服务器(使用等)上的活动l记录交易、注册、取消注册等主要事件l不要使用共享帐户异常管理l完全验证服务器上的所有输入数据l在整个应用程序代码库中使用异常处理输入认证l执行完整的输入验证l使用最低特权帐户连接到数据库使用l参数化的存储过程访问数据库,以避免将输入字符串视为可执行语句。不要使用l文件名作为输入。 使用最终用户无法更改的绝对文件路径。确保l文件名正确,并在程序上下文中进行验证确认字符编码设

人人文库> 全部分类> 应用文书 > 事务文书

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论