T/SDBDA 15-2021 农技推广信息化应用示范平台安全管理规范

主要技术内容:4缩略语下列缩略语适用于本文件。ID 标识符（IDentifier）ISS 互联网信息服务(Internet Information Services)5安全管理要求数据传输安全管理数据传输过程中采用数据加密，也可采用IIS自带的安全加密措施。应用系统安全管理5.2.1身份认证登录应用系统时，应对人员身份ID进行认证，支持单种认证方式或多种认证方式的组合，认证方式包含但不限于：a)静态密码；b)动态密码；c)数字证书。5.2.2系统授权平台系统授权应由管理员统一负责。授权管理包括授权主体、授权客体和授权关系三个元素，应用系统应设置授权策略。a)授权主体：1)人员身份ID、人员身份ID 组或者二者的组合；2)管理员为临时授权所创建的临时人员身份ID。b)授权客体：平台系统、平台系统组、访问权限或者三者的组合。c)授权关系：支持任意授权主体对任意授权客体的授权，在授权时效上支持有固定时效的长期授权和一次性临时授权。d)授权策略：1)时间策略（包括时间周期、时间段，可精确到秒）；2)IP 策略（包括单个 IP 地址、IP 地址段和多个 IP 地址段的组合）；3)命令策略（包括指令、指令参数和执行频次三个维度）。e)对应用系统的临时操作或关键操作要获得管理员的审批后才可运维。5.2.3信息加密应用系统中密码采用MD5不可逆加密技术，程序文件以只读形式存储，防止恶意篡改，文件夹访问设置权限，文件上传检查合法性，同时，上传文件所存地址与系统不在同一个地方，以保证文件安全，不被窃取。数据存储安全管理数据传入数据库之前，首先进行判断验证，将错误数据阻挡在数据库之外是最常见的一般措施，对通用输入检验采用公用函数，统一保证程序检验的完备性，统一测试。数据存储采用参数化方式，防止SQL注入等方式非法入侵。数据库管理员密码增加复杂度