版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
ICS
35.080
67 T/HMSJRXH
001—2023哈密市法人银行业金融机构软件开发安全需求规范Hami
City
Legal
Person
Banking
Financial
Institutions
Software
Requirements
Specification2023-11-20发布 2023-11-20实施哈 密市 金 融 学会 发 布
19
本标准按照GB/T
II
开发人员在软件开发整个生命周期中,规范软件安全需求分析、安全设计、安全编码以及安全测试等工IV
本规范规定了软件开发人员在软件开发整个生命周期中,软件安全需求分析、安全设计、安全编码
GB/T
GB/T
GB/T
GB/T
GB/T
ISO/IEC
ISO/IEC
ISO/IEC
ISO/IEC
3.1
application
软件的最上层是应用程序和API,以下是中间件层,最低的基础设施层包括底层基础设施的逻辑表现和物理表现层。应用可能运行DMZ(demilitarized
3.2
application
001-20233.3
application
programming
[来源:JR/T
0185-2020,3.1]3.4
middleware3.5
infrastructure3.6
log3.7
3.8用户ID
User
ID
Password3.9
analysis3.10
policy3.11
requirements3.12
safety
testing3.13
confidential3.14
data
001-20233.15
data
Availability3.16
non-repudiation3.17
access
control3.18
access
control
3.19
access
management3.20
authentication3.21
authentication
3.22
3.23
strong
password3.24
scan
依据该规范,软件开发人员在软件开发整个生命周期中,规范软件安全需求分析、安全设计、安全编码
001-2023
6.1
员等);软件服务对象是指该软件最终服务的客户(如网上银行的客户、通过桌面设备、自助设备自行操
户的创建、注销、冻结/解冻、修改、查询等功能,同时还应该具备检测出长期不动用户,并自动将长
制修改。口令最长有效期限:30/60/90
天,可根据系统重要性和用户权限采取不同的有效期;口令使
根据业务需要,提供限制用户的登录时间和IP地址的机制,软件具有控制用户登录的能力(如IP
001-2023在连续登录失败次数超过5次的情况下,软件应提供警示和暂停用户登录的机制,避免非法用户恶
联网外联台应开发要对内部户使用的证信中用信息口令不同据包6.2
ATM
市法人银行业金融机构提供的对称算法主要包括:DES、3DES、AES、SM1和SM4等算法,并且支持ECB、CBC等多种模式;使用的非对称算法主要包括:RSA、SM2和SM3算法,支持模长为1024/2048的运算。提
6.3
001-2023
10
开发时应尽量使代码简单、最小化和易于修改。使用结构化的编程语言,避免使用递归和Go
to声
软件在传输重点保护数据时,应该对重点保护数据进行加密后再传输,也可使用SSL/TLS等安全、01
001-202 4 5
12
HTTP
SQL
URL
URL
6.4
13
001-20
14
IP
ID
ID
格式:YYYYMMDDHH:MM:SS
IP
ID
ID
格式:HH:MM:SS:HH:MM:SS表1
表1
15
001-2023
盘、移动硬盘等)拷贝的方法。
志记应采只读式归保存档案存年限按在哈市法银行金融构相要求SEC+“_”+应用系统简称+“_”归档日期(YYYYMMDD).evt。对于不是单个文件形式的日志,在对6.5
WEB
上线部署前必须清理
html
web
程序源代码中出现的与软件设计、Web
服务器环境、文件系统结16
(2)Web
(4)Cookie
6.6
(1)在安全需求中要求考虑开发环境变更对软件开发的影响。开发环境变更后视变更情况对已发
17
001-2023
18信息泄漏类攻击者在实施攻击前收集应用ASP.
NET、PHP
Java
a)b)1.
2.
4.信息泄漏类攻击者操纵输入参数使应用系对服务器任意文件目录进行访应对用户输入的合法性进行用户向应用系统提
攻击者通过猜测不在正常网站
以前曾经公开过但后来被隐藏a)b)用户向应用系统提命令执行类攻击者向应用程序提交可在服a)b)应限制应用软件访问数据用户向应用系统提
URL、a)b)c)用户向应用系统提
A.1攻击者通过向字符串格式化函致攻击者非法访问内存中任意应对用户输入数据的合法性用户向应用系统提命令执行类攻击者向应用系统提交经过构a)b)用户向应用系统提逻辑攻击类应防止业务关键功能被短时1.
2.
a)b)用户向应用系统提攻击者通过操纵客户端与服务访问/修改应用程序的数据或改常,攻击者会篡改存储在cookie
a)
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 怎样辩别肾结石种类
- 弱电劳务维护合同范例
- 小区监控维护合同范例
- 房子翻新合同范例
- 拆旧免责合同范例
- 光纤服务类合同范例
- 2024年重庆c1客运从业资格证考试题库
- 2024年威海货运从业资格证考试题
- 2024年呼伦贝尔客运从业资格证到期换证考试
- 专业师徒传授合同
- DZ/T 0462.3-2023 矿产资源“三率”指标要求 第3部分:铁、锰、铬、钒、钛(正式版)
- 备战2024年高考英语考试易错点12 名词性从句(4大陷阱)(解析版)
- 公务员历史常识100题及一套完整答案
- 信息技术与高中英语教学融合的途径
- 花篮拉杆式悬挑脚手架.计算书及相关图纸
- 职业道德与法律说课稿市公开课一等奖省赛课微课金奖课件
- 复习一元一次方程省公开课金奖全国赛课一等奖微课获奖课件
- 史学概论完整版本
- 供水管网抢修管理课件
- 信访维稳工作培训
- 25道医院重症医学科医生岗位高频面试问题附考察点及参考回答
评论
0/150
提交评论