应用安全 控制点9个 控制项31个
身份鉴别:和主机一样密码复杂度,双因子认证登陆失败功能。账户同时需要唯一性
访问控制:各个用户之间的权限需要进行限定;根据职权分配不同的权限。权限最小化是通用原则。铭感信息标记一般难以实现
安全审计:审计这块有关删除的需要没有删除修改按钮。需要对审计记录分析统计查询,生成报表功能,审计的记录需要具体到人,所做的所有事情需要记录包括登出事件
剩信息很难完成一般不做要求
通信完整性;采用HTTPS即可但是最好发送前进行密码进行算法加密一般来https即可
通信保密性也是https即可
抗抵赖一般来说数字水印即可,但是可以采用日志功能完全记录发送内容时间也行但是能给部分分数
软件容错:一般根据渗透a)对输入格式长度进行要求b)自动回复功能
资源控制:会话超时;最大并发数限制通过中间件进行限制,单个用户多重并发最好完成;一个时间段内并发数一般很难完成,对用户资源分配不做要求优先级一样难以完成
数据安全与恢复 控制点3个 控制项8个
数据完整性:传输过程加密(数据进行校验数据包验证保证不被篡改)若被篡改有机制可以重发。存储加密通过需要进行校验检查。
数据保密性:重要业务进行加密存储,比如加密算法
备份和恢复:硬件网络相关备份;异地备份>30km