您現在的位置: 18luck新利全站下载 >> 生產管理>> 技術規範標準>> 資料信息

應用係統安全開發技術規範培訓資料(doc 51頁)

所屬分類:
技術規範標準
文件大小:
448 KB
下載地址:
相關資料:
應用係統, 係統安全, 開發技術, 技術規範, 規範培訓, 培訓資料
應用係統安全開發技術規範培訓資料(doc 51頁)內容簡介

目錄
1 背景與目標 1
2 安全編程概念 1
2.1 安全編程 1
2.2 結構化編程 2
2.3 脆弱性 2
2.4 可信計算 2
2.5 安全可信模塊 3
2.6 不可信任模塊 3
2.7 敏感信息 3
2.8 特權 3
2.9 信息隱藏 3
2.10 中間件 3
2.11 死鎖 4
2.12 可信邊界 4
2.13 元字符 4
2.14 參數化查詢 4
2.15 UNIX JAIL環境 4
2.16 臨時文件 4
2.17 信息熵 5
2.18 SSL 5
2.19 TLS 5
2.20 HTTPS 5
2.21 HTTP會話 5
2.22 COOKIE 6
2.23 HTTPONLY COOKIE 6
3 安全編程原則 6
3.1 統一的安全規範 6
3.2 模塊劃分 6
3.3 最小化功能 7
3.4 最小化特權 7
3.5 對多任務、多進程加以關注 7
3.6 界麵輸出最小化 7
3.7 使代碼簡單、最小化和易於修改 8
3.8 避免高危的服務、協議 8
3.9 數據和代碼分離 8
3.10 關鍵數據傳輸保護 8
3.11 禁止賦予用戶進程特權 8
3.12 使用適當的數據類型 9
3.13 使用經過驗證的安全代碼 9
3.14 使用應用中間件 9
3.15 設計錯誤、 異常處理機製 9
3.16 提供備份機製 9
3.17 檢查傳遞變量的合法性 9
3.18 檢查所有函數返回代碼 9
3.19 修改麵向用戶的操作的反饋缺省描述 9
3.20 文件操作的要求 10
3.21 其他編碼原則 10
4 應用安全分析 11
4.1 安全需求 11
4.2 安全威脅 11
4.2.1 Web安全漏洞 11
4.2.2 拒絕服務攻擊 12
4.2.3 嗅探攻擊 12
4.2.4 中間人攻擊 12
4.3 安全約束 13
5 安全編程要求 13
5.1 輸入處理 13
5.1.1 建立可信邊界 13
5.1.2 驗證各種來源的輸入 14
5.1.3 保證所有的輸入信息是被驗證過的 14
5.1.4 對輸入內容進行規範化處理後再進行驗證 15
5.1.5 選擇合適的數據驗證方式 15
5.1.6 防範元字符攻擊 15
5.1.7 拒絕驗證失敗的數據 15
5.1.8 在服務端進行驗證 15
5.1.9 建立統一的輸入驗證接口 16
5.1.10 控製寫入日誌的信息 16
5.1.11 從服務器端提取關鍵參數 16
5.2 輸出處理 16
5.2.1 限製返回給客戶的信息 16
5.2.2 建立錯誤信息保護機製 16
5.3 數據庫訪問 16
5.3.1 合理分配數據庫訪問權限 16
5.3.2 合理存放數據庫連接帳號和密碼信息 17
5.3.3 使用參數化請求方式 17
5.3.4 對 SQL 語句中來自於不可信區域的輸入參數進行驗證 18
5.3.5 對數據庫操作的返回數據進行驗證 18
5.3.6 分次提取數據 18
5.3.7 通過 row(行)級別的訪問控製來使用數據庫 18
5.3.8 確保數據庫資源被釋放 18
5.4 文件操作 19
5.4.1 對上傳文件進行限製 19
5.4.2 把文件名以及文件內容作為不可信的輸入對待 19
5.4.3 安全的使用文件名 19
5.4.4 使用文件係統訪問控製 19
5.4.5 注意文件訪問競爭條件 19
5.4.6 安全使用臨時文件 20
5.4.7 確保文件係統資源被釋放 20
6 安全特征 20
6.1 關注應用的對象重用 20
6.2 用戶訪問控製信息的機密性 20
6.3 不要在客戶端存放敏感數據 20
6.4 避免內存溢出 21
6.5 可配置數據保護 21
6.6 禁止在源代碼中寫入口令 21
6.7 隨機數 21
6.8 使用可信的密碼算法 22
6.9 異常管理 22
7 應用安全設計規範 23
7.1 應用安全規劃 23
7.2 數據安全等級劃分 23
7.3 數據庫規劃 23
7.3.1 用戶權限 23
7.3.2 數據源設計 23
7.3.3 外部係統訪問 23
7.4 角色劃分 24
7.5 URL規劃 24
7.6 程序文件目錄規劃 24
7.6.1 數據及程序分離 24
7.6.2 靜態程序資源 24
7.6.3 程序文件分類 24
7.7 COOKIE 24
7.8 文件安全 25
7.8.1 文件存儲 25
7.8.2 文件操作 25
7.8.3 文件類型 25
7.9 第三方組件安全 25
7.9.1 組件兼容性 25
7.9.2 組件安全及成熟度 25
7.9.3 組件配置 25
7.10 WEB SERVICE 25
7.11 RESTFUL WEB SERVICE 26
7.12 應用安全關注點 27
7.13 應用安全限製應對方案 29
7.13.1 外網隔離 29
7.13.2 外網文件操作 29
7.13.3 正向和反向隔離裝置(國網係統) 29
8 應用安全開發規範 30
8.1 JAVA及WEB安全編程規範 30
8.1.1 不信任未知 30
8.1.2 數據層開發 30
8.1.3 會話管理 32
8.1.4 Cookie 33
8.1.5 輸入驗證 33
8.1.6 輸入文件名的驗證 34
8.1.7 輸出處理 34
8.1.8 敏感信息處理 36
8.1.9 異常信息處理 37
8.1.10 特殊頁麵跳轉 37
8.1.11 文件操作 37
8.1.12 資源釋放 38
8.1.13 內存控製 38
8.1.14 外部程序調用漏洞 38
8.1.15 整數溢出 39
8.2 C++安全編程規範 39
8.2.1 不信任未知 39
8.2.2 免緩存區溢出 40
8.2.3 免緩整數溢出 42
8.2.4 域名合法性檢查 45
8.2.5 檢查返回值 46
8.2.6 產生隨機數 47
8.2.7 驗證輸入文件名 48
8.2.8 類設計注意事項 48
8.2.9 外部程序調用漏洞 50
8.2.10 臨時文件處理 50



..............................

上一篇:消防給水及消火栓係統技術規範(doc 34頁)

下一篇:職業健康監護技術規範培訓資料(doc 112頁

Baidu
map