安全技术规范.pptx

2019/11/26Inspurgroup目录一、序言二、技术安全保障1、客户端安全2、专用辅助设备安全3、网络通信安全4、服务器端安全三、业务运作安全保障四、管理安全保障五、,例如防范采用挂钩windows键盘消息等方式进行键盘窃听,并应具有对通过挂钩窃听键盘信息进行预警的功能。防范措施:一般采用密码输入控件和软键盘客户端程序应采用反屏幕录像技术,防止非法程序获取敏感信息2019/11/26Inspurgroup防篡改客户端程序应防范恶意程序获取或篡取敏感信息,例如用户使用浏览器访问商务页面时,接口读取输入框数据、表单等页面内容,获取如登录账号、密码等信息,并可提取篡改客户端的脚本代码防范措施:对象访问及客户端脚本注入进行防范客户端程序的临时文件(不限于cookies),防止信息泄露2019/11/26Inspurgroup反汇编客户端程序应具有抗逆向分析、抗反汇编等安全性保护措施,防范攻击者对客户端程序的调试、分析和篡改。防范措施:一般采用混淆加壳的方式来打乱程序的结构2019/11/26Inspurgroup评测客户端程序上线前应进行严格的代码安全测试,如果客户端程序时外包给第三方机构开发的,应要求开发商进行代码安全测试。应建立定期对客户端程序的安全检测机制客户端程序应通过指定的第三方中立测试机构的安全检测2019/11/26Inspurgroup密码策略禁止明文显示密码,应使用相同位数的同一特殊字符(例如*和#)代替密码应有复杂度要求密码长度至少6位、支持数字和字母共同组成客户设置密码时,应提示客户不用简单密码如有初始密码,首次登录时应强制客户修改初始密码2019/11/26Inspurgroup