,采取输入用户名和用户口令方式(或双因素认证方式:使用磁卡、IC卡、动态密码卡、动态口令设别、手机短信动态密码、指纹识别、非对称密钥KEY)对用户进行身份标识和鉴别。系统提供用户身份标识唯一和鉴别复杂度检查功能,保证系统中不存在重复用户身份标识,身份鉴别信息不易被冒用。系统口令设置符合行内有关口令长度和复杂度、定期修改等制度规定。系统采取结束会话、限制非法登录次数和自动退出等措施提供登录失败处理功能。系统能在指定的闲置时间间隔到期后,自动锁定客户端的使用。对于系统自动分配或者预设的强度较弱的初始密码,系统强制限制用户首次登录时修改初始密码。修改密码时,不允许新设定的密码与旧密码相同。。系统通过角色分配、权限分配、用户组等管理模块对用户权限进行管理和控制。增加、删除用户、设定用户权限的操作需要复核员用户进行复核。,包括重要的安全相关操作或事件:用户标识与鉴别、访问控制的所有操作记录(比如系统管理员身份改变用户权限,增加或删除用户);用户的行为(如删除数据、多次登录失败等)。日志记录的内容至少包括事件的日期、时间、发起者信息、类型、描述和结果等,但不能包含用户密码、关键的敏感信息数据。日志信息定期备份,并至少保存2年。(比如用户鉴别信息、交易密码、卡的磁道信息、CVN、CVN2等)。。。在通信过程中对敏感信息(如交易密码)进行加密。,原发证据应包括应用系统操作与管理记录,至少包括操作时间、操作人员及操作类型、操作内容等。交易系统还应包括用户合规交易数据,如业务流水号、账户名、IP地址、交易指令等。
银行应用系统安全性需求模版 来自淘豆网www.taodocs.com转载请标明出处.