精选优质文档-倾情为你奉上业务系统信息安全开发、上线要求一、身份鉴别a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别;b)未来可以扩展支持数字证书实现用户身份鉴别; c)应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用; d)应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施; e)应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。 二、访问控制 a)应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问; b)访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作; c)应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限; d)应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。 三、安全审计a)应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计; b)应保证无法单独中断审计进程,无法删
