YD_T 2703-2014电信网和互联网安全防护基线配置要求及检测要求 web应用系统.pdf

YD_T 2703-2014电信网和互联网安全防护基线配置要求及检测要求 web应用系统.pdf

  1. 1、本文档共20页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
ICS 33.040.40M 32YD中华人民共和国通信行业标准YD/T2703-2014电信网和互联网安全防护基线配置要求及检测要求Web应用系统Baseline and test requirements of security configuration fortelecom network and internetWebapplicationsystem2014-10-14发布2014-10-14实施中华人民共和国工业和信息化部发布 YD/T号:wcbAP—通用一会话管理一04(可选)要求内容:当用户退出时,应清除该用户的会话信息,防止遗留在内存中的会话信息被窃取操作指南:在相关配置中设定用户退出时清除该用户会话信息检测方法:1,创建测试账号,并保证账号功能正常;2.使用测试账号登录系统:3.观察web应用系统的各个页面是否提供用户登出功能:4,使用测试账号登出时,验证系统是否立即删除服务器端的会话数据:5.使用测试账号重新登录后,直接关闭浏览器:6.验证系统是否提示用户执行安全登出或者自动为用户完成登出操作判定条件:1,当用户登录成功并成功创建会话后,在web应用系统的各个页面提供用户登出功能:2.登出时会立即删除服务器端的会话数据:3.当处于登录状态的用户直接关闭测览器时,提示用户执行安全登出或者自动为用户完成登出操作补充说明:编号:webAP—通用—会话管理—05(可选)要求内容:应设置会话超时机制,在超过设定的阅值后应清除该会话信息。操作指南:在相关配置中设置会话超时机制检测方法:1.询间系统是否设置了合理的会话超时阔值;2.创建测试账号,并保证账号功能正常:3.使用测试账号创建会话:4.长时间不进行操作,达到系统设置的会话超时阀值后,验证系统是否立刻清除会话判定条件:1.系统设置了合理的会话超时阀值:2.达到系统设置的会话超时涡值后,系统自动退出,且再次登录后,上次会话信息已清除补充说明: YD/T 270320144.3权限管理编号:webAP—通用—权限管理—01(可选)要求内容:用户权限最小化和职责分离。一个账号只能拥有必需的角色和必需的权限操作指南:为且仅为每个账号分配必需的角色和必需的权限检测方法:1.检查系统安全策略配置选项,是否含有严格限制各用户的访间权限的各项内容:2.创建测试账号,并保证账号功能正常;3.验证是否可以配置有效测试账号对系统管理、审计、业务维护、业务操作等的访间权限:4.使用测试账号对系统资源进行访间:5.验证测试账号是否能够访间权限以内的资源:6.验证测试账号是否能够访问权限以外的资源判定条件:1.系统安全策略配置选项中,含有严格限制各用户访间权限的各项内容;2.系统能够有效的配置测试账号对业务、数据、网络资源等的访间权限;3.测试账号能够访间权限以内的资源;4.测试账号不能访间权限以外的资源补充说明:编号:webAP—通用—权限管理—02(可选)要求内容:授权和用户角色数据应存放在服务器端,不能存放在客户端,鉴权处理也应在服务器端完成。禁止将授权和角色数据存放在客户端中(比如cookie或隐藏域中),以防止被筹改操作指南:在相关配置中设置授权和角色数据存放位置检测方法:访谈系统管理人员,询间是否设置授权和角色数据存放位置和鉴权处理位置判定条件:相关技术人员确认授权和角色路径存放在服务器端,而非客户端补充说明: YD/T 270320144.4敏感数据保护编号:webAP—通用一敏感数据保护01要求内容:密钥或账号的口令应经过加密存储操作指南:在口令相关配置中对口令进行加密存储配置检测方法:1.要求相关技术人员提供密钥、口令配置文件或者数据库存储位置,确认系统是否对密钥或口令等敏感数据采用了加密方式存储;2.查看系统中的密钥或口令等敏感数据;3.验证敏感数据是否存在明文形式判定条件:1.系统配置文件中或数据库中,对密钥或口令等敏感数据采用了加密方式存储:2.密钥或口令等敏够数据以密文形式存储补充说明:编号:webAP—通用敏感数据保护—02要求内容:禁止在隐藏域中存放明文形式的故够数据操作指南:在相关配置中禁止在隐赢城中存放明文形式的敏感数据检测方法:1.检查设计/验收文档,确认系统是否禁止在隐藏域中存放明文形式的数感数据:2.查看隐藏域,验证是否存在明文形式的敏感数据判定条件:1,系统设计时,配置了禁止在隐藏域中存放明文形式的敏感数据:2.贮激域中不存在明文形式的敏感数据补充说明: YD/T号:webAP—通用—数感数据保护—03要求内容:对输入的账号密码等敏够数据进行严格校验,如所有数据要到服务器端验证。由于客户端校验不可信,所以客户端的校验只能作为辅助手段操作指南:配置数据检验方式检测方法:1.创建测试账号,并保证账号

文档评论(0)

consult + 关注
官方认证
内容提供者

consult

认证主体山东持舟信息技术有限公司
IP属地山东
统一社会信用代码/组织机构代码
91370100MA3QHFRK5E

1亿VIP精品文档

相关文档