网站WEB应用安全措施要求规范

网站WEB应用安全措施要求规范

1.安全防范措施要求

(1）数据保密性：数据加密主要是防止非授权用户截获并使用该数据，网站中有保密要求的信息只能供经过授权允许的人员，并且以经过允许的方式使用。

(2）数据完整性：使用一种方案来确认同站上的数据在传输过程中没有被篡改，而造成信息完整性破坏的原因可以分为人为的和非人为的两种：

非人为的因素：如通信传输中的干扰噪声，系统硬件或软件的故障等；

人为因素：包括有意的和无意的两种，前者如黑客对计算机的入侵、合法用户越权对网站内数据的处理，后者如操作失误或使用不当。

(3）数据安全性：数据的安全性就是保证数据库不被故意破坏和非法存取：数据的完整性是防止数据库中存在不符合语义的数据，以及防止由于错误信息的输入、输出而造成无效操作和错误结果：并发控制即数据库是一个共享资源，在多个用户程序并行地存取数据库时，就可能会产生多个用户程序通过网站并发地存取同一数据的情况，若不进行并发控制就会使取出和存入的数据不正确，破坏数据库的一致性。

(4）恶意代码防范：通过代码层屏蔽常见恶意攻击行为，防止非法数据提交；如：SQL注入；

(5）双因子授权认证：应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。

(6）密码复杂度：强制用户首次登录时修改初始口令；口令长度至少为8位，并由数字、大小字母与特殊字符组成。

(7）会话过期与超时：浏览器Cookie过期、无动作过期、强制过期、保持会话等进行限制；

(8）安全审计功能：a)审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计，如：登录、退出、添加、删除、修改或覆盖等；b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

2.安全风险检测要求