智慧校园建设方案(第五章)
5 项目安全保障
5.1 应用安全保障
5.1.1 应用安全功能设计
为保障平台的应用安全,需要在平台开发设计过程中,完善系统自身的安全功能,提升系统自身的安全防护能力。系统在开发过程中,将实现身份鉴别、权限控制、输入输出校验、日志记录等安全功能,确保系统能够更好的防范SQL注入、XSS、跨站请求伪造等常见应用层安全攻击。
1. 身份鉴别
对系统用户进行身份鉴别是保障应用系统安全的重要手段,也是防止非授权访问的一道重要防线。应用系统的身份鉴别模块在设计过程中充分考虑自身的安全需求和国家相关的合规监管要求,通过采用统一身份认证系统实现以下安全功能:
密码复杂度:系统制定了密码复杂度策略,对用户登录密码的长度、密码元素组成进行严格要求。并且,系统对使用默认密码初次登录的用户,强制要求登录后修改密码。
登录失败处理:为防止对用户账户的暴力破解,系统将在身份鉴别模块中采取登录失败锁定的措施,对多次登录失败的账户进行一定时间的锁定。
验证码:系统身份鉴别模块通过提供验证码功能,防范系统被撞库、恶意注册之类的安全风险,同时,为了保障验证码自身的安全,对验证码设置了有效期、错误次数的限制。
错误提示:系统在用户输入错误的用户名或密码时,将使用一致的错误返回信息,如:“错误的用户名或密码”。
原文地址:https://blog.csdn.net/qq_28605843/article/details/142649506
免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!