白城师范学院应用安全管理制度


第一章 总 则

第一条 为加强白城师范学院信息系统应用安全的管理工作,规范应用系统开发、测试和实施过程,降低应用系统漏洞带来的安全风险,提高信息系统的抗攻击能力,特制定本管理制度。

第二条 本管理制度适用于白城师范学院各业务应用系统和各系统的使用部门。

第二章 管理规定

第三条 应用系统身份鉴别开发安全要求:

(一)应用系统应提供专用的登录控制模块对登录用户进行身份标识和鉴别;

(二)应用系统应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识;

(三)应用系统应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。

第四条 应用系统访问控制开发安全要求:

(一)应用系统应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;

(二)应用系统访问控制功能的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;

(三)应用系统应具有对重要信息资源设置敏感标记的功能。

第五条 应用系统安全审计开发安全要求:

(一)应用系统应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;

(二)应用系统应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录;

(三)审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等。

第六条 通信完整性和通信保密性开发安全要求:

(一)应用系统应能够采取措施保证通信过程中数据的完整性;

(二)在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证。

第七条 应用系统资源控制开发安全要求:

(一)应用系统应提供当通信双方的一方在一段时间内未作任何响应,另一方能够自动结束会话的功能;

(二)应用系统应提供对系统的最大并发会话连接数进行限制的功能;

(三)应用系统应提供对单个账户的多重并发会话进行限制的功能;

(四)应用系统应能够对一个访问账户或一个请求进程占用的资源分配最大限额和最小限额;

(五)有特殊需求时,应用系统应提供服务优先级设定功能,能够根据优先级分配系统资源。

第八条 应用系统测试要求:

(一)在上线前,相关负责部门应根据开发需求检测软件质量,生成《软件质量检测记录》;

(二)应在软件安装之前检测软件包中可能存在的恶意代码,生成《软件恶意代码检测记录》;

(三)应在软件安装之前检测软件中存在的漏洞,生成《软件漏洞检测记录》,并要求开发单位对发现的漏洞进行及时修复;

(四)应要求开发单位提供软件源代码,并审查软件中可能存在的后门,生成《源代码检测记录》,若不能提供的,应要求开发单位提供软件中不存在后门的有效声明;

(五)应要求开发单位提供软件设计的相关文档和使用指南。

第三章 附 则

第九条 本管理制度的解释和修改权属于网络安全与信息化委员会。

第十条 本管理制度自发布之日起执行。