A.系统互联应仅通过接口设备(前置机、接口机、通信服务器、应用服务器等设备)进行,特殊情况下可以直接访问核心数据库
B.接口设备上的应用只能包含实现系统互联所必须的业务功能,不包含信息系统的所有功能
C.禁止明文传输,传输的敏感数据必须经过加密,可以采用加密传输协议,如HTTPS,对于密码、密钥必须在传输进行加密
D.各种收发数据、消息的日志都应予以保存,以备审计与核对
A.软件开发商在开发应用软件期间,应充分考虑应用软件的安全设计,设计应保证用户名和口令不以明文的形式存放在配置文件、注册表或数据库中
B.访问数据库的用户名和口令能直接以明文的形式写入配置文件或应用软件中
C.口令必须能方便地配置、修改和加密。按人员进行口令分配和认证,不能仅按角色进行口令的分配
D.对不同用户共享的资源进行访问必须进行用户身份的控制和认证
A.禁止明文传输用户登录信息及身份凭证
B.应采用SSL加密隧道确保用户密码的传输安全
C.禁止在数据库或文件系统中明文存储用户密码
D.可将用户名和密码保存在Cookis中
A.只访问经过授权的逻辑视图
B.用户可以修改其访问配置文件
C.用只读方式访问数据库文
D.特权软件对数据进行更新
A.使用密码的加盐密码散列。
B.使用存储过程验证密码。
C.只允许应用程序访问密码字段以验证用户身份验证。
D.加密整个数据库并在应用程序中嵌入一个加密密钥。
A.避免在WEB目录使用配置文件,以防止可能出现的服务器配置漏洞导致配置文件被下载
B.避免以纯文本形势存储重要配置,如数据库连接字符串或帐户凭据
C.通过加密确保配置的安全,并限制对包含加密数据的注册表项、文件或表的访问权限
D.确保对配置文件的修改、删除和访问等权限的变更,都验证授权并且详细记录
A.避免所有的应用使用相同的账号和密码
B.如果可能,应使用两种身份验证方法,如手机动态密码、ukey
C.设置密码保护问题,增强账号的安全性
D.对于重要的应用账号,应将账号与手机号、邮箱进行绑定
E.定期修改密码