信息系统安全开发注意事项（一）

身份认证类：

1、
未提供专用的登录控制模块对登录用户进行身份标识和鉴别

存在风险：系统未对用户提供健全的身份确认机制，无法验证登录用户身份的合法性，容易造成系统被恶意用户入侵破坏。

措施：提供专用的登录控制模块，实现对登录用户进行身份标识和鉴别

2、
未强制要求口令复杂度和口令定期更换，口令明文存储

风险：口令抗暴力破解能力查，容易被恶意用户冒用、盗用，导致信息泄露或违规操作。

措施：系统可检测初始口令或口令强度，要求口令必须具有一定的强度、长度和复杂度。提供定期更改口令机制和弱口令强制更改机制。

3、
未对统一用户采用组合鉴别技术

存在风险：无法有效避免恶意用户针对系统账户进行身份冒用等操作，且无法有效控制系统关键账户公用。

措施：采用动态密码、数字证书等方式，结合“用户名+密码“的身份鉴别形式。

4、
未提供登录失败处理机制

风险：无法避免攻击者针对口令进行暴力破解，导致系统账户被猜解而信息被窃取或系统被恶意操作。

措施：通过采取结束会话，限制非法用户登录次数和自动退出等登录失败处理措施，避免用户反复尝试口令



权限管理类

1、
未严格限制账户的访问权限

风险：存在越权操作的风险，即无访问权限的用户获得高级操作权限后对系统进行风险操作

措施：为用户配置访问控制策略，严格限制账户的访问权限。

2、
未提供特权

风险：未对特权账户进行制约，造成事件发生后无法准确查找原因，无法确定负责人

措施：规范特权账户承担任务时所需要最低权限.

3、
未提供安全审计模块

未提供安全审计模块,或审计内容不全面

风险：对系统误操作、权限滥用或恶意操作等安全时间难以追溯及准确定位

措施：提供覆盖每个用户的安全审计功能，对应用系统的用户登录、用户退出、增加用户、修改用户权限等重要安全时间及系统操作内容进行审计。



数据安全类

1、
重要系统未采用加密数据传输

风险：采用明文传输无法有效防止第三方***和篡改通信内容。恶意用户通过***通信内容，可直接获得系统用户名/密码，对系统进行攻击。

措施：重要业务系统可以通过合理配置中间件实现SSL安全套接字，对通信过程中的用户口令、会话密钥等敏感信息进行加密传输。

2、
系统未进行输入

风险：恶意用户可利用此缺陷输入恶意代码。长传成功后，远程执行脚本，进而对系统进行攻击。

措施：提供输入数据有效性校验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。

3、
系统不具备自动保护功能

风险：当故障发生时无法自动保护当前状态，系统不能进行恢复，造成业务数据丢失，影响业务连续性、可靠性。

措施：通过设计还原点、应用系统自动备份等功能，保证当系统发生故障时，可自动保护当前所有状态，并确保系统能够进行恢复。