应用系统安全管理

应用系统的安全管理

1 身份鉴别

1.1 应用系统采用专用的登录控制模块对登录用户进行身份标识和鉴别，具有用户身份唯一标识和鉴别信息复杂度检查功能，保证应用系统中不存在重复的用户身份标识，身份鉴别信息不易被冒用。

1.2登录失败采取结束会话方式，根据非法登录次数为4次，当网络登录连接超时自动退出等。

1.3系统应有“退出”功能，允许用户终止当前会话。

1.4系统应启用身份鉴别，用户身份唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数。

1.5用户身份鉴别信息中的密码信息，应符合以下要求：

 1）每半年修改一次密码；

2）不包含全部或部分用户名（任意连续3个字符）；

3）长度至少为8个字符；

4）至少包含有英文大写字母、小写字母、数字、特殊字符这四种类型字符中的3种字符。

5）有效期最长为6个月。

1.6应对同一个用户采用2种或2种以上组合鉴别技术实现用户身份鉴别。

2 访问控制

2.1应提供访问控制功能，依据安全策略控制用户对文件、数据库等客体的访问。

2.2访问控制的覆盖范围应包括与资源访问相关的主体、客体及他们之间的操作。

2.3应由授权主体配置访问控制策略，并严格限制默认账号的访问权限。

2.4应授予不同账号为完成各自承担任务所需的最小权限，并在他们之间形成相互制约的关系。

2.5应具有对重要信息资源设置敏感标记的功能。

2.6应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。

3安全审计

应保存业务日志，保证业务操作不被抵赖，并通过日志安全分析操作行为，发现安全问题。安全日志审计应达到以下要求：

1）在服务器端日志记录客户端的IP地址、认证者身份、操作时间、操作类别和操作结果等信息；

2）在服务器端记录程序错误信息日志；

3）对日志信息的访问权限要做访问控制策略；

4）对重要日志进行专门的采集、备份、管理，定期对日志进行安全分析，生成审计报表。

4剩余信息保护

4.1应保护用户鉴别信息所在的存储空间被释放或在分配给其他用户前得到完全清除，无论这些信息是存放在硬盘还是内存上。包括但不限于应用系统内存中的剩余用户信息，FTP剩余用户信息，数据库剩余用户信息，均应该先清除或改写后在进行删除。

4.2应保证系统内的文件、目录、数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除，包括但不限于应用系统内产生的剩余文件资源、关联的FTP资源和数据库记录资源、均应该先清除或者改写后在进行安全删除，防止数据恢复工具对其进行恢复。

5通信完整性和保密性

5.1 主要通过VPN或者绑定IP地址来保证通信过程中数据的保密性。WEB程序对于重要数据及指令的传输应进行通信加密和校验。另外用户通过HTTPS访问应用系统，对传输的数据内容进行双向加密。

5.2对于应用系统数据的通信和传输，各系统均应采取如下的方式来确保通信的完整性：

发送端应使用MD5或级别更高的散列算法作为指纹，将数据加密，然后在接收端进行比对。

6抗抵赖性

6.1 对系统用户的每一次登录和其对系统重要模块的操作均记录日志，因此能够实现抗抵赖性。

6.2应具有在请求的情况下为数据原发者或接受者提供数据原发证据的功能。

6.3应具有在请求的情况下为数据原发者或接受者提供数据接收证据的功能。

7软件容错

7.1 对于系统用户错误性操作，系统需能给出提示或提供自动纠正功能，为校验数据输入的准确性，系统需采取代码校验，数据逻辑关系校验等方法。对于系统用户的非法操作，系统需具备自我保护能力，自动处理此类问题，让非法输入不能对系统运行造成任何影响。另外系统需具有对错误类型进行分类的能力，且需要根据不同的错误类型给予用户不同的错误提示信息。

7.2在故障发生时，系统能够继提供一部分功能，并实施必要的措施将故障影响降到最低。应提供自动保护功能，当故障发生时自动保护当前所有的状态，保证系统能够进行恢复。

8资源控制

8.1当系统通信双方中的一方在60s内未作出任何响应，另一方会自动结束会话。可以手工配置参数，对系统的最大并发连接数进行限制，并禁止单个账户的多重并发会话。

8.2限制系统多个最大并发会话数，对一个时间段内可能的并发会话连接数进行限制。

8.3应能够对一个访问账户或一个请求进程占用的资源分配最大限额和最小限额。

8.4应能够对系统服务水平降低到预先规定的最小值进行检测和报警。

8.5应提供服务优先级设定功能，并在安装后根据安全策略设定访问账户或请求进程的优先级，根据优先级分配系统资源。