原创力文档- 1、本文档共5页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
附录31
应用安全管理规范
目录
1目的1
2适用范围1
3应用管理1
3.1身份鉴别1
3.2访问控制1
3.3日志审计2
3.4安全传输2
3.5资源利用2
3.6安全管理2
4附则3
1目的
应用系统是业务管理和数据输入输出平台,应用安全即保障应用程序使用过
程和结果安全,就是针对应用程序或工具在使用过程中可能出现计算、传输数据
的泄露和失窃,通过其他安全工具或策略来消除隐患。
本文档规定了我司应用安全管理要求及规范。
2适用范围
本文档适用于我司信息系统中应用系统。
3应用管理
3.1身份鉴别
1)登录应用系统需要通过用户名和密码鉴别认证。
2)应对应用系统中的用户进行标识,用户标识应遵守唯一性原则,并将用
户标识与审计相关联。
3)应对用户标识信息进行管理、维护,确保其不被非授权地访问、修改或
删除。
4)应在登录过程中确保鉴别信息是保密的,不易伪造的。
3.2访问控制
1)应对应用系统的访问设定访问控制规则,减少非授权访问。
2)应用系统应按照最小权限原则对不同用户进行授权,保证各用户权限最
小化。
3)应用系统的安装目录和文件的访问权限应进行最小化设置,防止未授权
用户访问相关资源。
4)应用系统应启用登录失败处理功能,采取结束会话、限制非法登录次数
和自动退出等措施。
1/3
3.3日志审计
1)应为应用系统建立独立的日志审计系统,定义与应用安全相关的日志审
计事件记录。
2)能够生成、维护及保护审计过程,使其免遭修改、非法访问及破坏。保
护审计数据,严格限制未经授权的用户访问。
3.4安全传输
1)对应用系统进行管理时,应采取一定的安全机制,防止鉴别信息和管理
数据在网络传输过程中被窃听。
2)应用系统与第三方系统进行数据交互时,应采用加密措施保护数据信息
传输安全。
3.5资源利用
1)应对应用系统的最大并发会话连接数进行限制,防止受到拒绝服务攻击。
2)应对应用系统内单个帐户的多重并发会话进行限制,并对会话超时进行
重鉴别控制。
3)应对应用系统资源进行监视,并对系统的服务水平降低到预先规定的最
小值进行检测和报警。
3.6安全管理
1)设置应用系统审计管理员、系统管理员角色、系统安全管理员角色,并
且实现不同管理用户的权限分离,仅授予管理用户所需的最小权限,同时系统审
计管理员角色与系统管理员角色、系统安全管理员角色不能是同一人担任。
2)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输
入的数据格式或长度符合系统设定要求。
3)应用系统提供自动保护功能(如守护进程重启故障中断的服务进程等),
确保能够自动保护当前所有状态,保证系统能够进行恢复。
2/3
4)应用系统应定期进行系统版本更新和补丁更新。
4附则
本文件由我司信息中心负责解释与修订。
本文件自颁布之日起发布执行。
3/3
文档评论(0)