标准摘要
【主要技术内容】 4 缩略语 下列缩略语适用于本文件。 ID 标识符(IDentifier) ISS 互联网信息服务(Internet Information Services) 5 安全管理要求 数据传输安全管理 数据传输过程中采用数据加密,也可采用IIS自带的安全加密措施。 应用系统安全管理 5.2.1 身份认证 登录应用系统时,应对人员身份ID进行认证,支持单种认证方式或多种认证方式的组合,认证方式包含但不限于: a)静态密码; b)动态密码; c)数字证书。 5.2.2 系统授权 平台系统授权应由管理员统一负责。授权管理包括授权主体、授权客体和授权关系三个元素,应用系统应设置授权策略。 a)授权主体: 1)人员身份ID、人员身份ID 组或者二者的组合; 2)管理员为临时授权所创建的临时人员身份ID。 b)授权客体:平台系统、平台系统组、访问权限或者三者的组合。 c)授权关系:支持任意授权主体对任意授权客体的授权,在授权时效上支持有固定时效的长期授权和一次性临时授权。 d)授权策略: 1)时间策略(包括时间周期、时间段,可精确到秒); 2)IP 策略(包括单个 IP 地址、IP 地址段和多个 IP 地址段的组合); 3)命令策略(包括指令、指令参数和执行频次三个维度)。 e)对应用系统的临时操作或关键操作要获得管理员的审批后才可运维。 5.2.3 信息加密 应用系统中密码采用MD5不可逆加密技术,程序文件以只读形式存储,防止恶意篡改,文件夹访问设置权限,文件上传检查合法性,同时,上传文件所存地址与系统不在同一个地方,以保证文件安全,不被窃取。 数据存储安全管理 数据传入数据库之前,首先进行判断验证,将错误数据阻挡在数据库之外是最常见的一般措施,对通用输入检验采用公用函数,统一保证程序检验的完备性,统一测试。 数据存储采用参数化方式,防止SQL注入等方式非法入侵。 数据库管理员密码增加复杂度。