标准号T/SDBDA 15—2021状态
发布时间:2021年04月09日
实施时间:2021年04月09日
农技推广信息化应用示范平台安全管理规范基本信息
标准号:T/SDBDA 15—2021
团体名称:中国标准化协会
主要技术内容:4 缩略语下列缩略语适用于本文件。ID标识符(IDentifier)ISS互联网信息服务(InternetInformationServices)5 安全管理要求数据传输安全管理数据传输过程中采用数据加密,也可采用IIS自带的安全加密措施。应用系统安全管理5.2.1 身份认证登录应用系统时,应对人员身份ID进行认证,支持单种认证方式或多种认证方式的组合,认证方式包含但不限于:a)静态密码;b)动态密码;c)数字证书。5.2.2 系统授权平台系统授权应由管理员统一负责。授权管理包括授权主体、授权客体和授权关系三个元素,应用系统应设置授权策略。a)授权主体:1)人员身份ID、人员身份ID组或者二者的组合;2)管理员为临时授权所创建的临时人员身份ID。b)授权客体:平台系统、平台系统组、访问权限或者三者的组合。c)授权关系:支持任意授权主体对任意授权客体的授权,在授权时效上支持有固定时效的长期授权和一次性临时授权。d)授权策略:1)时间策略(包括时间周期、时间段,可精确到秒);2)IP策略(包括单个IP地址、IP地址段和多个IP地址段的组合);3)命令策略(包括指令、指令参数和执行频次三个维度)。e)对应用系统的临时操作或关键操作要获得管理员的审批后才可运维。5.2.3 信息加密应用系统中密码采用MD5不可逆加密技术,程序文件以只读形式存储,防止恶意篡改,文件夹访问设置权限,文件上传检查合法性,同时,上传文件所存地址与系统不在同一个地方,以保证文件安全,不被窃取。数据存储安全管理数据传入数据库之前,首先进行判断验证,将错误数据阻挡在数据库之外是最常见的一般措施,对通用输入检验采用公用函数,统一保证程序检验的完备性,统一测试。数据存储采用参数化方式,防止SQL注入等方式非法入侵。数据库管理员密码增加复杂度。
中国标准分类号:I651 软件开发
国际标准分类号:35.020
发证机关:中华人民共和国民政部
行业分类:
标准名称:农技推广信息化应用示范平台安全管理规范
