移动互联网应用安全手册（执行版）.docx

移动互联网应用安全手册（执行版）

第1章通用安全原则

1.1安全策略与管理制度

安全策略必须遵循“零信任”架构，严禁默认开放所有端口，所有外部访问请求需通过身份验证网关（IAMGateway）进行严格鉴权，确保只有经过授权的用户才能发起连接请求。建立分级分类管理制度，将系统资源划分为核心、重要、一般三个等级，对核心业务数据实施最高级别的加密存储与传输，防止因中间人攻击导致数据泄露。

实施严格的代码安全审计流程，在版本发布前必须运行动态静态代码分析工具（如SonarQube、SAST），识别并阻断已知的高危漏洞，确保代码库符合OWASP安全编码标准。推行容器化安全基线，所