您的位置:360文档中心› 《安全技术规范》PPT课件

《安全技术规范》PPT课件

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

精选PPT
2020/10/9
22
目录
精选PPT
2020/10/9
一、序言
二、技术安全保障
1、客户端安全 2、专用辅助设备安全 3、网络通信安全 4、服务器端安全
三、业务运作安全保障
四、管理安全保障
五、安全保障评估
23
3.网络通信安全
通讯协议 安全认证方式
精选PPT
2020/10/9
24
通讯协议
2
密码保护
3
登录控制
精选PPT
2020/10/9
11
密码策略
禁止明文显示密码,应使用相同位数的同一特殊字符( 例如*和#)代替 密码应有复杂度要求
密码长度至少6位、支持数字和字母共同组成 客户设置密码时,应提示客户不用简单密码
如有初始密码,首次登录时应强制客户修改初始密码
精选PPT
2020/10/9
Inspur group
安全技术规范
2020/10/9
2
目录
精选PPT
2020/10/9
一、序言
二、技术安全保障
1、客户端安全 2、专用辅助设备安全 3、网络通信安全 4、服务器端安全
三、业务运作安全保障
四、管理安全保障
五、安全保障评估
3
目录
精选PPT
2020/10/9
一、序言
二、技术安全保障
1、客户端安全 2、专用辅助设备安全 3、网络通信安全 4、服务器端安全
精选PPT
2020/10/9
9
评测
客户端程序上线前应进行严格的代码安全测试,如果客 户端程序时外包给第三方机构开发的,应要求开发商进 行代码安全测试。应建立定期对客户端程序的安全检测 机制 客户端程序应通过指定的第三方中立测试机构的安全检 测
精选PPT
2020/10/9
10
1.客户端安全
1
客户端程序
12
防暴力破解
应具有防范暴力破解静态密码的保护措施,例如在登录 和交易时使用图形认证码
精选PPT
2020/10/9
13
密码保护
使用软键盘方式输入密码时,应对整体键盘布局进行随 机干扰 应保证密码加密密钥的安全 采用辅助安全设备(如USB Key)输入并保护密码 密码输入后立即加密,敏感信息在应用层保持端到端加 密
精选PPT
2020/10/9
20
动态密码卡
动态口令长度不少于6位 服务器随机产生口令位置坐标 应设定动态密码卡使用有效期,超过有效期作废 新卡使用涂层覆盖等方法保护口令 动态密码卡与客户唯一绑定
精选PPT
2020/10/9
21
其它
指纹识别 手机短信动态密码
开通手机动态密码时,应使用人工参与控制的可靠手段验证客 户身份并登记手机号码。更改手机时,应对客户的身份进行有 效验证 手机动态密码应随即产生,长度不应少于6位 应设定手机动态密码的有效时间,最长不超过10分钟,超过有 效期立即作废 交易的关键信息应与动态密码一起发给客户,并提示客户确认
202wk.baidu.com/10/9
25
SSL/TLS使用示意
HTTPS (SSL)
客户端
浏览器 安全管理
使用强壮的加密算法和安全协议保护客户端和服务器端 的链接,例如SSL/TLS 使用SSL协议,应使用3.0级以上高版本协议 客户端到服务器的SSL加密密钥长度不低于128位;签名 的RSA密钥长度不低于1024位;签名的ECC密钥长度不低 于160位 防止报文的重复攻击,防范措施:加入时间戳
精选PPT
18
USB Key
应使用指定的第三方中立测试机构安全检测通过的USB Key 应在安全环境下完成USB Key的个人化过程 USB Key应采用具有密钥生成和数字签名运算能力的智能 卡芯片,保证敏感操作在USB Key内进行 USB Key的主文件应受到COS安全机制保护,保证客户无 法对其进行删除和重建 应保证私钥在生成、存储和使用等阶段的安全
客户端程序的临时文件(不限于cookies)中不应出现敏 感信息.禁止在身份认证结束后存储敏感信息,防止信息 泄露
精选PPT
2020/10/9
8
反汇编
客户端程序应具有抗逆向分析、抗反汇编等安全性保护 措施,防范攻击者对客户端程序的调试、分析和篡改。 防范措施:一般采用混淆加壳的方式来打乱程序的结构
精选PPT
2020/10/9
16
目录
精选PPT
2020/10/9
一、序言
二、技术安全保障
1、客户端安全 2、专用辅助设备安全 3、网络通信安全 4、服务器端安全
三、业务运作安全保障
四、管理安全保障
五、安全保障评估
17
2.专用辅助设备安全
USB Key 动态密码卡 其它
精选PPT
2020/10/9
精选PPT
2020/10/9
14
1.客户端安全
1
客户端程序
2
密码保护
3
登录控制
精选PPT
2020/10/9
15
登录控制
设置连续失败登陆次数为10次以下,超过限定次数锁定 登录权限 退出登录或客户端程序、浏览器关闭后,应立即终止会 话,保证无法通过后退、直接输入访问地址等方式重新 进入登录后的页面 退出登录时应提示客户取下专用辅助安全设备
客户端程序应采用反屏幕录像技术,防止非法程序获取 敏感信息
精选PPT
2020/10/9
7
防篡改
客户端程序应防范恶意程序获取或篡取敏感信息,例如 用户使用浏览器访问商务页面时,恶意木马程序通过IE COM接口读取输入框数据、表单等页面内容,获取如登录 账号、密码等信息,并可提取篡改客户端的脚本代码 防 范措施:采用接口脚本安全保护控件对IE浏览器核心的 COM对象访问及客户端脚本注入进行防范
精选PPT
2020/10/9
19
USB Key
参与密钥、PIN码运算的随机数应在USB Key内生成,其 随机指标应符合国际通用标准的要求 应保证PIN码和密钥的安全 应设计安全机制保证USB Key驱动的安全 在外部环境发生变化时,USB Key不应泄露敏感信息或影 响安全功能 USB Key能自动识别待签名数据的格式,识别后在屏幕上 显示签名数据或语音提示
三、业务运作安全保障
四、管理安全保障
五、安全保障评估
4
1.客户端安全
1 2 3 2020/10/9
客户端程序 密码保护 登录控制
精选PPT
5
客户端程序
客户端程序安全
窃听和截屏
防篡改
精选PPT
2020/10/9
反汇编
评测
6
窃听和截屏
客户端程序应防范键盘窃听敏感信息,例如防范采用挂 钩windows键盘消息等方式进行键盘窃听,并应具有对通 过挂钩窃听键盘信息进行预警的功能。防范措施:一般 采用密码输入控件和软键盘
相关文档
最新文档