软件应用程序安全开发指南(SDLC)(3)
2023-06-18 来源:飞速影视
· 安全审计;
· 通讯安全(此部分内容在架构中进行了设计);
· 数据保护;
· 认证与授权;
· 资源保障。
2.2.1.认证与授权功能的设计
1、 应用软件应包含用户身份认证体系的强度设计,重要系统应使用双因素认证措施,加强系统安全性:
· 用户名、口令认证;
· 一次性口令、动态口令认证;
· 证书认证;(可选)
· 生物特征的认证(签名、声音、指纹、虹膜、视网膜等)。(可选)
2、 应用软件应包含认证失败后的处理方式设计
· 连续失败3次,将锁定登录账号一个小时。账号锁定后可以由系统管理员解锁,也可以在一段时间后自动解锁;
· 通知用户认证失败,防止黑客暴力猜测;
· 验证码的功能;
· 账号复杂度提醒功能。
3、 应用软件应包含用户权限分配和管理功能设计。
· 系统编码中要实现读、写、执行三个权限的分离设计;
· 系统查看、配置、修改、删除、登录、运行等权限设计;
· 数据访问范围的权限设计;
· 应用功能模块使用权限的设计。
4、 应用软件应包含接口设计,应明确系统的内部结构和外部接口,对于每一个对外接口应详细说明:
· 需要通信的对方系统的安全状况和可信程度;
· 需传送的数据的保密性和完整性要求;
· 对传送数据的合法性检验规则;
· 对通信可靠性的要求;
· 与外部系统的互相认证方面的需求。
2.2.2.数据安全功能
1、 应用系统的数据安全功能,应当根据安全需求进行功能设计,内容涉及:数据库的安全、数据采集、数据传输、数据处理、数据存储、数据备份和恢复的安全。对重要的敏感数据应进行加密和完整性保护。
2、 应用软件应包含输入的安全性设计,主要指对错误输入、恶意输入进行处理。
3、 应用软件应包含输出的安全性设计。
2.2.3.安全审计功能
1、 应用系统具备如下安全审计功能:
· 审计功能的启动和关闭;
· 变更审计功能的配置信息;
· 至少应进行审计的事件:进入和退出的时间(登录、退出系统)、异常的系统使用行为(失败登录)、系统维护行为、敏感行为和其它安全功能要求的审计内容;
本站仅为学习交流之用,所有视频和图片均来自互联网收集而来,版权归原创者所有,本网站只提供web页面服务,并不提供资源存储,也不参与录制、上传
若本站收录的节目无意侵犯了贵司版权,请发邮件(我们会在3个工作日内删除侵权内容,谢谢。)
www.fs94.org-飞速影视 粤ICP备74369512号