软件系统应用安全.doc

应用安全包括身份鉴别、访问控制、安全日志记录、剩余信息保护、通信完整性、通信保密性、软件容错、资源控制等几个方面。 身份鉴别：系统具有统一的权限管理，提供统一身份认证和统一授权的服务接口。 访问控制：使用基于角色的权限控制方式对系统资源的访问进行授权。支持根据业务角色不同赋予权限；支持到功能模块、报表的细颗粒度权限控制。 安全日志记录:对用户登录、重要行为、资源异常使用、执行重要系统功能等活动全过程记录。安全日志包括时间、类型、身份标识、敏感标记、事件结果等。 剩余信息保护:（1）应用的数据库记录、文件所使用的存储空间与其他应用所使用存储空间进行隔离区分，防止相互干扰。（2）用户成功登录后，将以动态加密的Token标识身份信息。（3）保证在业务操作后，所申请的内存空间、临时文件会在完全完成后释放；（4）保证在程序退出后，重要信息所在的内存空间、临时文件会立即释放。 通信完整性：该平台与其他系统之间、应用系统前后端之间的数据通信使用事务传输机制，在数据传输异常中断时，进行多次重试，保证数据完整性。 通信保密性 用户访问数据平台的数据通信支持非对称加密技术。在会话初始化时以Token互传公钥，并在通信过程中对整个会话过程使用公钥加密，私钥解密。 主流程如下： 客户端通过微信账号登录小程序自动生成OpenID密钥，加密后请求登录。 服务端接收到登录请求后，使用约定算法生成密钥解密加密信息，得到客户端登录信息和客户端公钥。 登录验证成功后，服务端签发一个Token给客户端。Token信息里面含有用客户端公钥加密的服务端公钥。 客户端收到Token后，用自己的私钥解密密文，得到服务端公钥。 此时服务端和客户端都有对方的公钥。 客户端准备好要传送的明文信息，对明文信息进行哈希运算，得到信息摘要。客户端用自己的私钥对信息摘要进行加密得到客户端的数字签名，并将其附在数字信息上。 客户端随机产生一个DES密钥，并用此密钥对要发送的信息进行加密，形成密文。 客户端用服务端公钥对刚才随机产生的DES密钥进行加密，将加密后的DES密钥（Token）连同密文一起传送给服务端。 服务端收到客户端传送过来的密文和加过密的DES密钥（Token），先用自己的私钥对加密的DES密钥进行解密，得到DES密钥。 服务端然后用DES密钥对收到的密文进行解密，得到明文的数字信息。 服务端用客户端公钥对客户端的数字签名进行解密，得到信息摘要。服务端用相同的哈希算法对收到的明文再进行一次哈希运算，得到一个新的信息摘要。 服务端将收到的信息摘要和新产生的信息摘要进行比较，如果一致，说明收到的信息没有被修改过。 所有接口的报文在业务发起和业务接收时保留日志。 软件容错 在人工输入或通过接口进行输入时提供对输入数据的有效性检验；防SQL注入；在功能实现上支持事务回退的功能，事务中断时允许按照操作序列进行回退。 资源控制 对单个用户的并发会话数和系统同时并发会话连接数进行限制，禁止同一账号在同一时间内并发登录。设置登录终端的操作超时锁定和鉴别失败锁定。支持对部分高级用户的访问、全景展示的应用以及监测分析数据的流转过程采用优先服务机制。支持限定机构对本机构或非本机构诊断患者的访问权限。