安全技术规范.pptx

2019/12/26
Inspur group
安全技术规范
2019/12/26
Inspur group
目录
一、序言
二、技术安全保障
1、客户端安全
2、专用辅助设备安全
3、网络通信安全
4、服务器端安全
三、业务运作安全保障
四、管理安全保障
五、安全保障评估
客户端程序
2019/12/26
Inspur group
客户端程序安全
窃听和截屏
防篡改
反汇编
评测
窃听和截屏
客户端程序应防范键盘窃听敏感信息，例如防范采用挂钩windows键盘消息等方式进行键盘窃听，并应具有对通过挂钩窃听键盘信息进行预警的功能。防范措施：一般采用密码输入控件和软键盘
客户端程序应采用反屏幕录像技术，防止非法程序获取敏感信息
2019/12/26
Inspur group
防篡改
客户端程序应防范恶意程序获取或篡取敏感信息，例如用户使用浏览器访问商务页面时，恶意木马程序通过IE COM接口读取输入框数据、表单等页面内容，获取如登录账号、密码等信息，并可提取篡改客户端的脚本代码 防范措施：采用接口脚本安全保护控件对IE浏览器核心的 COM对象访问及客户端脚本注入进行防范
客户端程序的临时文件（不限于cookies)，防止信息泄露
2019/12/26
Inspur group
反汇编
客户端程序应具有抗逆向分析、抗反汇编等安全性保护措施，防范攻击者对客户端程序的调试、分析和篡改。防范措施：一般采用混淆加壳的方式来打乱程序的结构
2019/12/26
Inspur group
评测
客户端程序上线前应进行严格的代码安全测试，如果客户端程序时外包给第三方机构开发的，应要求开发商进行代码安全测试。应建立定期对客户端程序的安全检测机制
客户端程序应通过指定的第三方中立测试机构的安全检测
2019/12/26
Inspur group

2019/12/26
Inspur group
客户端程序
1
密码保护
2
登录控制
3
密码策略
禁止明文显示密码，应使用相同位数的同一特殊字符（例如*和#）代替
密码应有复杂度要求
密码长度至少6位、支持数字和字母共同组成
客户设置密码时，应提示客户不用简单密码
如有初始密码，首次登录时应强制客户修改初始密码
2019/12/26
Inspur group
防暴力破解
应具有防范暴力破解静态密码的保护措施，例如在登录和交易时使用图形认证码
2019/12/26
Inspur group