freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

項(xiàng)目應(yīng)用系統(tǒng)開(kāi)發(fā)安全管理規(guī)范-全文預(yù)覽

  

【正文】 方法和屬性都有完全的訪問(wèn)權(quán)限。以下為使用中的相關(guān)的規(guī)范: 不應(yīng)在標(biāo)準(zhǔn)輸出上打印消息()()打印日志和錯(cuò)誤消息,原因是當(dāng)消息打印到標(biāo)準(zhǔn)輸出時(shí),無(wú)法立即確定消息發(fā)生的地點(diǎn),且有可能將敏感信息透露給攻擊者。該功能不是針對(duì)安全處理的,但是有助于調(diào)試直接或者間接對(duì)安全有危害的錯(cuò)誤。而saft對(duì)象限制perl代碼只能在perl包結(jié)構(gòu)的某些特定包中運(yùn)行。這種情況下taint驗(yàn)證就不起作用。如果腳本試圖通過(guò)不安全的方式來(lái)使用tainted數(shù)據(jù)會(huì)產(chǎn)生一個(gè)致命錯(cuò)誤(對(duì)這種情況稱為“不安全的依賴”(Insecure dependency)或者其他的說(shuō)法)。一般而言,程序員不能信任輸入腳本和程序的數(shù)據(jù)(叫做Tainted數(shù)據(jù)),因?yàn)闊o(wú)法保證它不會(huì)產(chǎn)生危害(有意或者無(wú)意的)。另外,大多數(shù)CGI腳本有著比一般用戶更高的權(quán)限,導(dǎo)致它更容易受攻擊。攻擊者可以在攻擊應(yīng)用程序時(shí)使用PATH變量,例如試圖執(zhí)行一個(gè)任意的程序?!?統(tǒng)一資源定位(URL)內(nèi)容對(duì)于web應(yīng)用,不要在URL上暴露任何重要信息,例如密碼、服務(wù)器名稱、IP地址或者文件系統(tǒng)路徑(暴露了web服務(wù)器的目錄結(jié)構(gòu))。無(wú)論如何應(yīng)在實(shí)際的環(huán)境中刪除它們來(lái)避免意外的執(zhí)行(一般注釋標(biāo)識(shí)被刪除后就無(wú)法激活休眠的代碼,但還是存在可能性的,所以應(yīng)執(zhí)行這項(xiàng)工作)。使用程序以外的嵌入在代碼中的SQL語(yǔ)句調(diào)用特別危險(xiǎn),難以防止攻擊者使用輸入域或者配置文件(由應(yīng)用程序載入)來(lái)執(zhí)行嵌入式的SQL攻擊。從環(huán)境變量獲得的數(shù)據(jù)也需要進(jìn)行驗(yàn)證。如果輸入中包含無(wú)效的字符,應(yīng)用程序應(yīng)返回錯(cuò)誤頁(yè)面并說(shuō)明輸入中包含無(wú)效字符。 通用規(guī)范 輸入驗(yàn)證在客戶機(jī)/服務(wù)器環(huán)境下,進(jìn)行服務(wù)端的驗(yàn)證而不是客戶端的驗(yàn)證(例如基于Javascript的驗(yàn)證)。其中許多可以應(yīng)用于任何一種編程語(yǔ)言,但某些是針對(duì)特定的語(yǔ)言的。近來(lái),由于互聯(lián)網(wǎng)站的使用以指數(shù)形式增長(zhǎng),容量規(guī)劃的變動(dòng)效果不是非常顯著,有時(shí)甚至毫無(wú)用處。 系統(tǒng)彈性要求和設(shè)計(jì)使用率(峰值,槽值和平均值等)216。 系統(tǒng)的預(yù)期存儲(chǔ)容量和在給定的周期中獲取生成和存儲(chǔ)的數(shù)據(jù)量。 確保日志管理機(jī)制健全應(yīng)建立可根據(jù)情況自由設(shè)置的日志管理機(jī)制,也就是說(shuō)日志記錄的范圍和詳細(xì)程度可以根據(jù)需求自行定制,且可以實(shí)現(xiàn)在應(yīng)用系統(tǒng)的使用過(guò)程中進(jìn)行日志的定制和記錄。同時(shí)應(yīng)確保每個(gè)用戶無(wú)法訪問(wèn)其權(quán)限范圍以外的應(yīng)用系統(tǒng)部分。216。216。這里的業(yè)務(wù)需求不僅僅包括了系統(tǒng)的功能、性能、開(kāi)發(fā)費(fèi)用、開(kāi)發(fā)周期等內(nèi)容,應(yīng)明確系統(tǒng)的安全要求。 安全需求計(jì)劃應(yīng)能夠達(dá)到期望的安全水平。 測(cè)試代碼中往往包含調(diào)試或者查錯(cuò)代碼,大大增加了主機(jī)系統(tǒng)的性能負(fù)擔(dān)。 應(yīng)單獨(dú)編寫安全性設(shè)計(jì)說(shuō)明概要 分離系統(tǒng)開(kāi)發(fā)和運(yùn)作維護(hù)管理層必須確保應(yīng)用系統(tǒng)的開(kāi)發(fā)和運(yùn)作管理從組織人事和權(quán)限職責(zé)上分開(kāi)。 應(yīng)對(duì)重要的敏感信息進(jìn)行加密保護(hù)。 在整個(gè)開(kāi)發(fā)的過(guò)程中必須完整持續(xù)地進(jìn)行代碼錯(cuò)誤處理所規(guī)定的流程。 應(yīng)在日常工作中記錄員工與開(kāi)發(fā)相關(guān)的日志信息。必須嚴(yán)格規(guī)定在為企業(yè)工作期間,所有和工作相關(guān)的開(kāi)發(fā)成果的所屬權(quán)都?xì)w企業(yè)所有。 開(kāi)發(fā)人員必須負(fù)責(zé)其開(kāi)發(fā)內(nèi)容的保密性,不得私自將開(kāi)發(fā)的相關(guān)信息泄漏出去,即使對(duì)家人或開(kāi)發(fā)團(tuán)隊(duì)中的其他開(kāi)發(fā)人員也不得泄漏。 系統(tǒng)審核人員:對(duì)整個(gè)開(kāi)發(fā)的過(guò)程進(jìn)行審核和監(jiān)督,確保開(kāi)發(fā)的質(zhì)量和開(kāi)發(fā)的安全。 項(xiàng)目負(fù)責(zé)人員:確保在整個(gè)系統(tǒng)開(kāi)發(fā)的各個(gè)階段都實(shí)施了相關(guān)的安全措施,同時(shí)在整個(gè)系統(tǒng)開(kāi)發(fā)的過(guò)程中負(fù)責(zé)整個(gè)項(xiàng)目的開(kāi)發(fā)安全管理。 投資可行性分析根據(jù)業(yè)務(wù)需求和技術(shù)手段的分析,確認(rèn)實(shí)現(xiàn)系統(tǒng)開(kāi)發(fā)所需的投資,并確認(rèn)投資的數(shù)額是否在可控制和可承受的范圍內(nèi)。 計(jì)算機(jī)軟件和硬件分析,指公司現(xiàn)有的軟件和硬件的性能是否足夠滿足開(kāi)發(fā)相應(yīng)的系統(tǒng)的要求??尚行匝芯恳藦募夹g(shù)、需求面、投入和影響四個(gè)方面進(jìn)行考慮: 技術(shù)可行性分析根據(jù)業(yè)務(wù)上提出的需求,從技術(shù)開(kāi)發(fā)的角度分析現(xiàn)有的技術(shù)手段和技術(shù)能力是否能夠?qū)崿F(xiàn)業(yè)務(wù)上所要求的系統(tǒng)功能。216。 系統(tǒng)開(kāi)發(fā)必須具有一定的前瞻性,符合主流系統(tǒng)的發(fā)展方向。216。 系統(tǒng)開(kāi)發(fā)應(yīng)從業(yè)務(wù)需求的角度出發(fā),不得盲目追求系統(tǒng)的先進(jìn)性而忽略了系統(tǒng)的實(shí)用性。216。216。 后門代碼 trapdoor 通常為測(cè)試或查找故障而設(shè)置的一種隱藏的軟件或硬件機(jī)制,它能避開(kāi)計(jì)算機(jī)安全。216。216。216。216。 應(yīng)用系統(tǒng) application system216。 RU Secure安全技術(shù)標(biāo)準(zhǔn)216。 NIST信息安全系列——美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)院216。 GB178591999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則216。主要規(guī)定了應(yīng)用系統(tǒng)開(kāi)發(fā)過(guò)程的安全保密,軟件的質(zhì)量的要求,系統(tǒng)和業(yè)務(wù)需求的符合性,保證敏感信息的安全,系統(tǒng)本身的穩(wěn)定性和兼容性問(wèn)題。具體地說(shuō)就是保護(hù)應(yīng)用系統(tǒng)開(kāi)發(fā)過(guò)程免受未經(jīng)授權(quán)的訪問(wèn)和更改,保護(hù)系統(tǒng)開(kāi)發(fā)中系統(tǒng)軟件和信息的安全,確保開(kāi)發(fā)項(xiàng)目順利正確的實(shí)施并對(duì)開(kāi)發(fā)環(huán)境進(jìn)行嚴(yán)格的控制。因此如果在系統(tǒng)的開(kāi)發(fā)設(shè)計(jì)階段沒(méi)有對(duì)系統(tǒng)的安全性給予充分的考慮,那么系統(tǒng)本身一定會(huì)存在許多先天不足,系統(tǒng)就會(huì)漏洞百出。 32第1章 概述信息系統(tǒng)的許多的安全控制或其他安全性保證是通過(guò)系統(tǒng)的開(kāi)發(fā)設(shè)計(jì)予以實(shí)現(xiàn)的。 目標(biāo)保護(hù)應(yīng)用系統(tǒng)開(kāi)發(fā)過(guò)程的安全。包括了系統(tǒng)開(kāi)發(fā)可行性和需求分析階段的安全,系統(tǒng)設(shè)計(jì)階段的安全,系統(tǒng)開(kāi)發(fā)階段的安全,系統(tǒng)測(cè)試階段的安全,系統(tǒng)培訓(xùn)和文檔階段的安全以及系統(tǒng)開(kāi)發(fā)外包的安全規(guī)范。216。 ISO/IEC TR 13355 信息技術(shù)安全管理指南216。 BearingPoint Consulting 內(nèi)部信息安全標(biāo)準(zhǔn)216。216。 授權(quán)authorization 給予權(quán)利,包括信息資源訪問(wèn)權(quán)的授予。 緩沖器溢出 buffer overflow指通過(guò)往程序的緩沖區(qū)寫超出其長(zhǎng)度的內(nèi)容,造成緩沖區(qū)的溢出,從而破壞程序的堆棧,使程序轉(zhuǎn)而執(zhí)行其它指令,以達(dá)到攻擊的目的。 隱藏通道 covert
點(diǎn)擊復(fù)制文檔內(nèi)容
公司管理相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
備案圖鄂ICP備17016276號(hào)-1