- 1、本文档共10页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
软件开发安全设计方案表
软件开发安全设计方案表
软件开发安全设计方案表
软件开发安全设计方案表
编号: 360008-02-510-F02
奏效期:
软件开发安全设计方案表
第 0 次改正
密级:公司内部公然
海尔公司
软件开发安全设计方案表
PSI 流程创新经营体第 2 页 共 10 页
编号: 360008-02-510-F02
奏效期:
软件开发安全设计方案表
第 0 次改正
密级:公司内部公然
威迫类消减机
型制
冒充身份验
证
审查和
日记记
录
解决方案
使用强密码;
使用不在网络上传输密码的身份考证体制,如 Kerberos 协议, Windows 身份考证体制确认密码加密或使用加密通道在固定次数密码重试后对账户进行锁定
考虑只支持当地管理
将管理界面的数目减到最少
记录重要的应用程序操作
审查登岸和注销事件,接见文件系统以及失败的对象接见尝
PSI 流程创新经营体第 3 页 共 10 页
编号: 360008-02-510-F02
奏效期:
软件开发安全设计方案表
第 0 次改正
密级:公司内部公然
试
备份日记文件,并按期剖析可
疑活动的记录
窜改会话管利用 SSL 创立一个安全的通讯
理通道;
实现注销功能,同意用户在启
动另一个会话时结束身份考证
会话;
保证限制会话 /cookie的有效
期;
使用加密技术;
使用散列信息身份考证代码
HMAC ;
履行重点功能时,从头进行身
PSI 流程创新经营体第 4 页 共 10 页
编号: 360008-02-510-F02
奏效期:
软件开发安全设计方案表
第 0 次改正
密级:公司内部公然
审查和
日记记
录
敏感数
据管理
受权
份考证;
使会话在适合的时间后过期,包含全部的 cookie 和会话标志;
不同意客户端储存会话数据;
使用受限的 ACL 来保护日记文
件
将系统文件从默认的地点从头进行定位
使用防窜改协议,如散列信息身份考证代码( HMAC )来保护在网络上传输的敏感数据;
接见控制
PSI 流程创新经营体第 5 页 共 10 页
编号: 360008-02-510-F02
奏效期:
软件开发安全设计方案表
第 0 次改正
密级:公司内部公然
狡辩身份验
证
审查和
日记记
录
赐予角色的安全策略
使用强密码;
使用不在网络上传输密码的身份考证体制,如 Kerberos 协议, Windows 身份考证体制确认密码加密或使用加密通道在固定次数密码重试后对账户进行锁定
不得使用共享管理账户
分派用户、应用程序、服务账户使用账户单调的接见源
记录重要的应用程序操作
审查登岸和注销事件,接见文件系统以及失败的对象接见尝
PSI 流程创新经营体第 6 页 共 10 页
编号: 360008-02-510-F02
奏效期:
软件开发安全设计方案表
第 0 次改正
密级:公司内部公然
信息泄加密技
露术
异样管
理
试
备份日记文件,并按期剖析可疑活动的记录
使用内置的加密规程
使用强随机密钥生成函数,并将函数储藏在一个受限的地方使用密钥过期
不开发自己定义的算法
认识被破解的算法和用来破解算法的技术
在整个应用程序代码库中使用异样办理
办理和记录同意传输到应用程
PSI 流程创新经营体第 7 页 共 10 页
编号: 360008-02-510-F02
奏效期:
软件开发安全设计方案表
第 0 次改正
密级:公司内部公然
序界限的异样
返回给客户端一般的错误信息
敏感数对包含敏感数据的数据储存区
据管理使用 ACL ;
对储存数据进行加密;
鉴于身份和角色的受权,保证
只有拥有适合受权级其他用户
才同意接见敏感数据;
受权在接见数据前,进行身份考证
利用强 ACL 保护系统资源
使用标准的加密技术将敏感数
据储存到配置文件和数据库中
拒绝服审查和审查和记录服务器与数据库服
PSI 流程创新经营体第 8 页 共 10 页
编号: 360008-02-510-F02
奏效期:
软件开发安全设计方案表
第 0 次改正
密级:公司内部公然
务日记记
录
异样管
理
输入验
证
务器以及应用服务器(如使用)
上的活动
记录主要事件,如交易,登岸和注销事件
不得使用共享账户
完全考证服务器的全部输入数
据
在整个应用程序代码库中使用异样办理
履行完整的输入考证
使用最低特权账户与数据库连
接
利用参数化储存过程接见数据库,保证不会将输入字符串视
PSI 流程创新经营体第 9 页 共 10 页
编号: 360008-02-510-F02
奏效期:
软件开发安全设计方案表
第 0 次改正
密级:公司内部公然
为可履行语句
防止使用文件名作为输入,使
用最后用户不可以改正的绝对文
件路径
保证文件名正确,并在程序上
下文进行考证
文档评论(0)