(略)IP-guard:终端安全管理软件采购项目单一来源采购公告,(
(略):DCCWZC-FWKJ-
(略)),项目所
(略)被Pending,连续登录异常,,密码到期需重设密码)。只有合法的用户才认证通过。,验证码强,不少于4位,度,密码重置要求根据客户注册时设定的安全问题进行回答验,证;,密码重置,重置的临时密码分为两部分,一部分是页面显示,一部分,通过邮件发送;,重置后的临时登录时,系统强制要求修改密码;,1.应核查是否由授权主体(如管理用户)负责配置访问,控制策略;,授权策略,2.,应核查授权主体是否依据安全策略配置了主体对客体,的访问规则:,3.应测试验证用户是否有可越权访问情形,5.授权,
(略)中的菜单,操作,以及数据需要访问授权控制,与访,问控,对下列资,访问受保护的URL:,制,源进行访,访问受保护的用户、数据属性和其策略信息;,问授权控,授权控制应用服务器以及数据库服务器的相关操作权限;,制,应核查访问控制策略的控制粒度是否达到主体为用户级别,或进程级,客体为文件、数据库表、记录或字段级:,应核查是否对主体、客体设置了安全标记:,第12页共20页,6.通信,涉及到数据传输使用https传输;,通信安全,安全,严格控制服务器的防火墙设定;,灵活强大的异常处理机制,友好的异常信息展示。,1.,系统提供统一的异常处理handler,所有异常按照相同,的异常格式来抛出异常:,2.可以根据不同的业务模块,封装其对应的Exception实,7.异常,异常处理,现类,做针对的定制处理;,处理,3.区分RuntimeException以及NonCheck,Exception,确保数据库事务的完整性和正确性;,4.定义异常信息中的异常Code,对应其业务意义上的异,常信息。避免底层的错误信息直接抛到前台;,完善的日志记录:,8.,日志,1.记录每个对外部接口的调用信息:,审计,日志审计,2.用户登录时间以及用户操作的日志:,功能记录,3.,对关键请求,记录其操作人员,操作内容,操作时间,类型,4.,对日志进行定期的归档操作;,异常报错时,封装为业务异常,避免出现底层的信息,对应用服务器和数据库服务器,进行严格的授权。保证数,据库的安全:,基本原则,应用服务器上为编译后的文件,源码不可放在服务器上,,避免源码泄露;,敏感和隐私数据不能用通过HTTPGET方式:
(略)
关注微信公众号 免费查看免费推送
|
上文为隐藏信息仅对会员开放,请您登录会员账号后查看, 如果您还不是会员,请点击免费注册会员
【咨询客服】 |
孟娟 |
|
【联系电话】 |
18156835198 |
【客服微信】 |
18156835198 |
|