專用安全要求
口令要求
設計要求說明
要求
是否滿足
密碼長度至少 8位字元,密碼複雜性要求至少包含以下4種類別中的2種:大寫字母、小寫字母、數字、特殊符號
必選滿足
系統應具備對口令強度檢測的能力,並對使用者進行提示(盡量不要以姓名、**號碼以及出生日期等作為密碼或者密碼的組成部分),且不允許常見弱口令的配置
必選不滿足
應以hash或者加密技術儲存密碼,不得以明文方式儲存或者傳輸
必選不滿足
採用hash演算法認證過程中,每次認證時,需由服務端對隨機生成salt參與運算
可選密碼至少每90天更換一次。修改密碼時,須保留密碼修改記錄,包含帳號、修改時間、修改原因等,以備審計
必選不滿足
由於員工離職等原因,原帳號不能刪除或者需要重新賦予另乙個人時,應修改相應帳號的密碼
必選滿足
對內服務系統,若開放公網直接訪問,應加強從公網直接訪問的認證強度,如增加動態簡訊驗證碼或使用與從內網訪問訪問的不同密碼等方式
必選滿足
連續5次以內不得設定相同的密碼
可選驗證碼要求
設計要求說明
要求
是否滿足
驗證碼的長度要求:
ÿ 1、英文本元+數字類:不少於4位;
ÿ 2、 中文字元類:不少於3個字;
ÿ 3、 選擇類:一般不少於4個選項;
必選滿足
應在中完全顯示驗證碼內容
必選滿足
驗證碼字元庫範圍要求:
ÿ 1、英文本元+數字類:英文本母大小寫、0~9數字
ÿ 2、中文字元類:不少於1000個中文字
必選不滿足
驗證碼動態生成且滿足隨機性
ÿ 1、字元類:驗證碼中的每個字元必須隨機從字元庫中隨機挑選
ÿ 2、選擇/答題類:選項、干擾項需隨機挑選
必選滿足
字元類隨機驗證碼需使用一種或多種抗ocr識別技術,包括:隨機間距、干擾線、背景變化、旋轉、扭曲等
必選滿足
同乙個字元應具備不少於5種形態,包括通過旋轉、字型變化、扭曲等方式實現,但不應影響字元識別
必選不滿足
同一張驗證碼中,字元的大小、位置差異不應太大(一般不超過20%)
必選滿足
不得在頁面指令碼中出現驗證碼中的字元
必選滿足
避免使用一些容易混淆的字元如0和o,1、l和i,2、z和z,5和s
可選驗證碼字型檔中的字母需包含大寫與小寫
可選為保證使用者體驗,使用者輸入時,不區分大小寫
可選設計要求說明
要求
是否滿足
動態簡訊驗證碼要求
簡訊驗證碼的長度要求:
ÿ 1、純數字類類:不少於6個位;
ÿ 2、英文本元+數字類:不少於4位;
必選滿足
單位時間內,應限制使用者可獲取動態簡訊驗證碼可獲取次數/頻率,對於超過可獲取次數/頻率的使用者,暫停下發動態簡訊驗證碼
必選不滿足
隨機生成的簡訊驗證碼應至少與之前的n個不相同(n建議為1000以上)
必選滿足
每條簡訊驗證碼僅能被驗證1次(無論驗證成功或失敗)
必選滿足
使用者輸入的驗證碼識別結果應在伺服器端進行正確性驗證
必選滿足
驗證碼具備超時時限(例如60秒),超時後驗證碼失效
必選不滿足
簡訊內容中還應包含:業務名稱/業務簽名,業務操作型別,業務操作產生的後果。
必選滿足
為保證使用者體驗,使用者輸入含英文本母的驗證碼時,不區分大小寫
可選
通用安全要求
異常登入限制要求
設計要求說明
要求
是否滿足
注:要求中的次數、閾值等引數應依據業務具體的應用要求確定。
設定使用者業務認證登入策略,限定失敗登入次數(如5次)、鎖定時間(如1小時)、解鎖方式
必選不滿足
應配置當同一使用者連續認證失敗次數超過限定次數(如5次),鎖定該使用者使用的賬號
必選不滿足
應配置當來自同一終端/ip的不同賬號連續認證失敗次數超過限定次數(如5次),鎖定來自該終端/ip的登入請求
必選不滿足
應配置當來自同一終端/ip的不同賬號在一段時間內累計認證失敗次數超過限定次數(如50次),鎖定來自該終端/ip的登入請求
可選應配置當來自同一終端/ip的不同賬號在一段時間內認證成功率低於限定閾值(如50%),鎖定來自該終端/ip的登入請求
可選可選
異常登入提醒要求
設計要求說明
要求
是否滿足
設定使用者業務認證登入失敗提醒策略,當使用者登入失敗超過限定次數時傳送簡訊,提醒使用者是否為本人操作
必選不滿足
如果不為使用者本人操作,在提醒簡訊中應該提醒使用者修改登入密碼或凍結賬號
可選同一時間同一賬號在多終端進行嘗試登入,應下發簡訊進行提醒
必選不滿足
傳輸加密要求
設計要求說明
要求
是否滿足
現網系統中存在https,http同時可以訪問的情況,建議關閉http傳輸埠
必選滿足
使用httponly屬性提公升cookie安全性
可選密碼在傳輸前使用安全的演算法加密後傳輸,可採用的演算法包括:
ÿ 1、不可逆hash演算法加鹽(4位及以上隨機數,由伺服器端產生);
ÿ 2、安全對稱加密演算法,如aes(128、192、256位),且必須保證客戶端金鑰安全,不可被破解或讀出;
ÿ 3、非對稱加密演算法,如rsa(不低於1024位)、sm2等。
必選不滿足
登入日誌審計要求
設計要求說明
要求
是否滿足
應配置登入日誌留存,對使用者登入進行記錄,登入日誌內容至少包括使用者登入使用的賬號,登入是否成功,登入時間,以及遠端登入時,使用者使用的ip位址
必選不滿足
審計登入日誌,如果在限定時間內(例如5分鐘),同一使用者名稱產生的登入日誌條數超過限定數量,則報告賬號異常
必選不滿足
審計登入日誌,如果在限定時間內(例如5分鐘),登入失敗的日誌條數超過限定數量,則報告登入行為異常
必選不滿足
審計登入日誌,如果在限定時間內(例如5分鐘),同一ip位址產生的登入日誌條數超過限定數量,則報告登入行為異常
必選不滿足
防止萬能密碼攻擊
設計要求說明
要求
是否滿足
對使用者的輸入進行校驗,可以通過正規表示式,或限制長度;對單引號和雙引號進行過濾或轉換等
必選不滿足
不要使用sql動態生成機制,可以使用引數化的sql或者直接使用儲存過程進行資料查詢訪問
必選滿足
普通使用者與系統管理員使用者的許可權要有嚴格的區分
必選滿足
應用的異常資訊應該給出盡可能少的提示,最好使用自定義的錯誤資訊對原始錯誤資訊進行包裝
必選滿足
登入地點變化提醒要求(可選)
設計要求說明
要求
是否滿足
短時間內使用者登入地點變化較大,可通過簡訊等方式提醒使用者登入地點異常
可選使用者登入地點變化頻繁(具體閾值由業務設定),可通過簡訊等方式提醒使用者登入地點異常
可選
重寫的基本要求
訪問控制許可權 下級的訪問控制許可權應該不低於上級的訪問控制許可權 上級 public 下級 只能public 上級 protected 下級 protected,public 上級 private 下級 private protected public 實際此情況無意義。私有的不能覆蓋,而是完全當...
開題報告基本要求
畢業設計已經進入了開題階段,要多謝謝指導老師的認真指導了。開題報告基本要求 一 開題報告的主要內容 1.課題背景及意義 依託教學站管理的實際需要,根據具體需求定製管理系統。2.國內外研究現狀綜述 現有教務管理商業軟體調研,也可以結合cai,cscw作些介紹。對於每個商業軟體最好總結一下它的優缺點,最...
助教 作業基本要求
注 針對遲交的作業,建議先倒扣本次作業分數,學生需要補交完以後聯絡助教方能修改分數。如 部落格位址 或 顯示鏈結為 實際跳轉的鏈結卻是 如果是針對某個作業提交的部落格,需要在部落格開頭註明作業的位址,格式為 作業的要求來自於 如果涉及 還需要在部落格開頭給出存放 的倉庫位址 格式為 不是專案中所有檔...