软件应用程序安全开发指南(SDLC)(7)
2023-06-18 来源:飞速影视
5、 应及时修改数据库的默认密码或将默认账号锁定、删除。
6、 数据库的账号应根据业务和维护需要进行合理分配,避免账号共用。
2.6.应用系统数据安全设计要求
2.6.1.数据采集安全
应根据数据采集的内容、采集的频率、数据精确度要求、时间特性等来进行数据采集的安全要求设计,数据采集服务器和采集主机应考虑30%的系统开销及冗余。
2.6.2.数据传输安全
1、 应按照数据的类型、数据的重要程度、网络的安全状况等综合因素,对
数据的传输采取不同的安全保护,包括但不限于防火墙、IDS、VPN、病毒防护等安全措施。
2、 应了解数据传输存在安全隐患的网络或设备,对存在安全隐患的网络采取必要的安全技术,包括但不限于安全通信协议、加密算法、完整性检查算法以及抗抵赖攻击方法等。
3、 应制定数据传输安全的检查方式,包括但不限于数据传输安全抗主动攻击能力检查、被动抗攻击的能力检查。
4、 应保障"数据传输安全"有关的重要配置参数安全,包括但不限于口令、加/解密算法、加/解密密钥等。
5、 应采用安全通信协议对数据进行安全传输,如使用SSL/TLS、HTTPS、
SFTP和IPSec等安全协议进行通信。
6、 对传输的信息进行不同等级的加密保护,即根据网络或设备的风险、传输内容安全要求的不同,选择不同安全强度的加密算法对信息进行加密传输。建议使用RSA等高强度的密码算法对非常重要的信息(如口令、加密密钥)进行加密传输;对于普通数据的传输,可以采用DES、3DES
等加密算法进行加密传输。
7、 应防止对所传输数据进行未经授权的任何形式的修改,即对业务的重要数据或敏感数据,建议使用MD5、SHA等算法对数据完整性进行保护。
8、 对重要的交互信息,建议采取抗抵赖技术,包括但不限于数字签名技术。
9、 为了配合网络其它安全设备,建议采用基于用户名/口令的认证技术、
VLAN技术、MPLS技术等安全技术手段。
2.6.3.数据处理安全
1、 应根据数据的类型、数据的处理方式、数据的安全性要求、与其它接口
有关的敏感等级、数据相关业务应用的重要性程度来进行数据处理过程的安全性设计。
2、 应对原始数据进行检错和校验操作,保证原始数据的正确性和完整性。
本站仅为学习交流之用,所有视频和图片均来自互联网收集而来,版权归原创者所有,本网站只提供web页面服务,并不提供资源存储,也不参与录制、上传
若本站收录的节目无意侵犯了贵司版权,请发邮件(我们会在3个工作日内删除侵权内容,谢谢。)
www.fs94.org-飞速影视 粤ICP备74369512号