网络安全防护措施.pptx

6.7.1应用安全关注范围主讲教师：陈雪松

1身份鉴别身份鉴别的主要内容01应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。02应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。03当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。04应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

2可信验证可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。

3访问控制01应对登录的用户分配账户和权限02应重命名或删除默认账户，修改默认账户的默认口令03应及时删除或停用多余的、过期的账户，避免共享账户的存在04应授予管理用户所需的最小权限，实现管理用户的权限分离05应由授权主体配置访问控制策略，访间控制策略规定主体对客体的访间规则06访间控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级07应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问

4安全审计01应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计02审计记录应包括事件的H期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息03应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等04应对审计进程进行保护，防止未经授权的中断

5入侵防范01应遵循最小安装的原则，仅安装需要的组件和应用程序02应关闭不需要的系统服务、默认共享和高危端口03应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制04应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求05应能发现可能存在的已知浦洞，并在经过充分测试评估后，及时修补漏洞06应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警

6恶意代码防范应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。

7数据完整性应采用校验技术或密码技术保证重要数据在传输过程中的完整性。数据类型鉴别数据重要配置数据重要视频数据重要审计数据重要业务数据重要个人信息

谢谢大家！主讲教师：陈雪松