精选优质文档-倾情为你奉上应用软件开发安全规范需求阶段规范建议1应用系统应该包含身份认证功能,或者使用外部的集中身份认证系统的要求,并且明确对用户身份认证体系强度的要求,以及认证失败后的处理方式。2应用系统应该包含用户权限分配和管理功能,应该根据系统所处理的业务数据的保密性、完整性要求,确定系统用户权限访问控制模型和权限的颗粒度要求,同时体现职责分离的原则。3应用系统应该考虑到数据安全和冗余恢复相关功能需求。4应用系统应该包含安全日志审计功能,并明确对于日志内容的要求。 应用系统审计的事件应该包括但不限于以下类型: l 审计功能的启动和关闭 l 修改审计功能的配置 l 登录和退出的时间 l 各种违例行为 l 对重要数据的变更操作 l 对应用系统的维护操作,包括参数修改 日志应该至少记录以下信息: l 事件的发起源 l 用户标识(终端用户实体或系统内部调用用户) l 事件类型 l 事件的日期和时间 l 事件的结果:成功或失败 l 受影响的数据或资源 5明确应用系
