欢迎来到天天文库
浏览记录
ID:28808484
大小:31.91 KB
页数:10页
时间:2018-12-14
《信息系统应用设计安全设计标准[详]》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、范文范例学习指导信息系统应用安全设计标准XXX公司2016.03word完美格式整理范文范例学习指导目录信息系统应用安全设计标准11编写目的22适用范围23规范性引用文件24术语和定义25概述36安全设计要求36.1用户(终端)安全设计36.2网络安全设计36.3主机安全设计36.4应用安全设计46.4.1应用安全功能设计46.4.2应用交互安全设计86.5数据安全设计96.5.1机密性要求96.5.2完整性要求96.5.3可用性要求9word完美格式整理范文范例学习指导1编写目的本标准依据国家信息系统技术标
2、准的要求编写。用于指导信息系统设计人员进行安全设计,进而开发符合公司信息安全要求的高质量信息系统2适用范围本标准规定了公司开发的信息系统在设计阶段应遵循的主要安全原则和技术要求。本标准适用于本公司开发的宁夏商务云系统安全开发过程。3规范性引用文件下列文件中的条款通过本部分的引用而成为本部分的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分,凡是不注日期的引用文件,其新版本适用于本部分。4术语和定义中间件middleware是指位于硬件、操作系统平台和应用程序之间的通用
3、服务系统具有标准的程序接口和协议可实现不同硬件和操作系统平台上的数据共享和应用互操作。回退Rollback由于某种原因而撤销上一次/一系列操作,并返回到该操作以前的已知状态的过程。符号、代号和缩略语下列缩略语适用于本部分。HTTPHyperTextTransferProtocol超文本传输协议SSLSecureSocketsLayer安全套接层协议HTTPSHypertextTransferProtocoloverSecureSocketLayer使用SSL的超文本传输协议IPInternetProtocol
4、网络之间连接的协议VPNVirtualPrivateNetwork虚拟专用网络SQLStructuredQueryLanguage结构化查询语言XMLExtensibleMarkupLanguage可扩展标记语言SFTPSecureFileTransferProtocol安全文件传送协议word完美格式整理范文范例学习指导MIBManagementInformationBase管理信息库1概述一个信息系统通常可以划分为终端用户、网络、主机、应用程序、数据这五个层次。终端用户是请求系统的访问主体,包括终端设备或
5、访问用户等;网络层为信息系统提供基础网络访问能力,包含边界、网络设备等元素;主机系统层为应用软件、数据的承载系统;应用程序层提供信息系统的业务逻辑控制,为用户提供各种服务,包含应用功能模块、接口等元素;数据层是整个信息系统的核心,提供业务数据和日志记录的存储。信息系统在安全防护设计过程中应从这五个层面进行针对性的设计。2安全设计要求2.1用户(终端)安全设计a)终端安全防护是对信息内网和信息外网的桌面办公计算机终端以及接入信息内、外网的各种业务终端进行安全防护;b)根据终端类型,将终端分为办公计算机终端、移动
6、作业终端、信息采集类终端三类,应针对具体终端的类型、应用环境以及通信方式等制定适宜的终端防护措施;c)用户(终端)安全设计应符合《信息系统安全等级保护基本要求》中华人民共和国国家标准GB/T22239—2008的要求。2.2网络安全设计网络安全设计应符合GB/T22239—2008的要求。2.3主机安全设计主机安全设计应符合GB/T22239—2008的要求。2.4应用安全设计2.4.1应用安全功能设计2.4.1.1身份鉴别word完美格式整理范文范例学习指导在身份认证方面,要求如下:a)应采用合适的身份认证
7、方式,等级保护三级及以上系统应至少采用两种认证方式,认证方式如下:用户名、口令认证。一次性口令、动态口令认证。证书认证。b)应设计密码的存储和传输安全策略:禁止明文传输用户登录信息及身份凭证。禁止在数据库或文件系统中明文存储用户密码。COOKIE中保存用户密码。应采用单向散列值在数据库中存储用户密码,并使用强密码,在生成单向散列值过程中加入随机值。c)应设计密码使用安全策略,包括密码长度、复杂度、更换周期等。d)宜设计图形验证码,增强身份认证安全。图形验证码要求长度至少4位,随机生成且包含字母与数字的组合。e
8、)应设计统一错误提示,避免认证错误提示泄露信息。f)应设计帐号锁定功能限制连续失败登录。g)应通过加密和安全的通信通道来保护验证凭证,并限制验证凭证的有效期。h)应禁止同一帐号同时多个在线。1.1.1.1授权在授权方面,要求如下:a)应设计资源访问控制方案,验证用户访问权限:根据系统访问控制策略对受限资源实施访问控制,限制用户不能访问到未授权的功能和数据;未经授权的用户试图访问受限资源时,系统应提示
此文档下载收益归作者所有
![信息系统应用设计安全设计标准[详]_第1页](https://f25.wenku365.com/file-convert/2021/06/28/06/24/92213adc204bcaec8f4e68322aa92f9d/img/1.jpg)
![信息系统应用设计安全设计标准[详]_第2页](https://f25.wenku365.com/file-convert/2021/06/28/06/24/92213adc204bcaec8f4e68322aa92f9d/img/2.jpg)
![信息系统应用设计安全设计标准[详]_第3页](https://f25.wenku365.com/file-convert/2021/06/28/06/24/92213adc204bcaec8f4e68322aa92f9d/img/3.jpg)
![信息系统应用设计安全设计标准[详]_第4页](https://f25.wenku365.com/file-convert/2021/06/28/06/24/92213adc204bcaec8f4e68322aa92f9d/img/4.jpg)
![信息系统应用设计安全设计标准[详]_第5页](https://f25.wenku365.com/file-convert/2021/06/28/06/24/92213adc204bcaec8f4e68322aa92f9d/img/5.jpg)
