freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

項目應(yīng)用系統(tǒng)開發(fā)安全管理規(guī)范-wenkub.com

2025-04-16 01:14 本頁面
   

【正文】 它幾乎可以建立原子級的操作。另外權(quán)限低的程序也存在安全風(fēng)險,因為攻擊者可能會等待有較高權(quán)限的用戶執(zhí)行那個程序(例如root),然后進(jìn)行攻擊。 如果可用,就訪問該資源,否則它等到資源不再使用為止再去訪問它當(dāng)另一個進(jìn)程在步驟1和2之間想要訪問同一個資源時將出現(xiàn)問題,導(dǎo)致不可預(yù)測的結(jié)果。而exec()函數(shù)只保證第一個參數(shù)被執(zhí)行:execl(usr/bin/emacs, usr/bin/emacs, filename, NULL)。snprintf(buffer, sizeof(buffer), emacs %s, filename)。snprintf(buffer, sizeof(buffer), “%s”, string) 進(jìn)行格式字符串攻擊不太容易。這些攻擊通過直接將格式說明符(format specifiers)(%d,%s,%n等)傳遞到輸出函數(shù)接收緩沖區(qū)來進(jìn)行。最后一個函數(shù)的“f”,表示格式,它允許用戶指定期望的輸入的格式。 不使用strcpy(),使用strncpy()216。 緩沖區(qū)溢出避免使用不執(zhí)行邊界檢查的字符串函數(shù),因為它們可能被用來進(jìn)行緩沖區(qū)溢出攻擊。 C/C++語言C本質(zhì)上是不安全的編程語言。這是通過Java政策文件實現(xiàn)的。 Sealed: true 216。 另一個方法是使用JAR密封(sealing) 。 =sun.216。 defineClassInPackage 216。216。 封裝216。一般推薦總是使用w參數(shù)。如何使用安全模式超出了本文的范圍,但程序員應(yīng)在任何時候使用這一功能。安全模塊讓程序員可以在Perl腳本中將不同的代碼模塊與安全對象相聯(lián)系。啟用tainted驗證在有些情況下會導(dǎo)致腳本停止運行,常常是由于Perl解釋器要求所有腳本引用的外部程序的完全路徑必須在PATH環(huán)境變量中列出,同時PATH中包含的每個目錄除了目錄的所有者及相應(yīng)的所有者用戶組外無法修改。Taint驗證可以通過在命令行參數(shù)加入“T”來開啟。下面列舉了一些開發(fā)者(特別是CGI程序員)可以使用的主動的預(yù)防性的措施來增強Perl代碼的整體安全性(請注意:這不是web服務(wù)器CGI腳本安全性的指導(dǎo)原則)。這些也可以應(yīng)用于大多數(shù)其他的語言。這些信息可以在攻擊時使用。 錯誤消息所有對用戶顯示的錯誤信息都不應(yīng)暴露任何關(guān)于系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用程序的敏感信息。而輸入驗證有助于緩解這種風(fēng)險。同時避免在環(huán)境變量中存放敏感數(shù)據(jù)(例如密碼)。這樣進(jìn)行驗證的原因是定義無效的字符集比較困難,并且一些不應(yīng)有效的字符通常不會被指出。通過在客戶端和服務(wù)器之間放置一個代理服務(wù)器,可以很容易繞過客戶端驗證。特定語言的指導(dǎo)規(guī)范主要集中在Perl,Java和C/C++語言。原因在于很難估計實際的負(fù)載。 安全措施如加密解密數(shù)據(jù)對系統(tǒng)的影響。216。保留所有與系統(tǒng)開發(fā)相關(guān)的程序庫的更新審核記錄。 確保敏感系統(tǒng)的安全性將應(yīng)用系統(tǒng)中敏感的信息保存在服務(wù)器端以進(jìn)行集中的加密的安全管理,確保客戶端系統(tǒng)本身并不能存儲任何敏感的數(shù)據(jù)。 業(yè)務(wù)需求是系統(tǒng)更新和改動的基礎(chǔ),因此必須清晰明確地定義業(yè)務(wù)的需求,禁止在業(yè)務(wù)需求未經(jīng)業(yè)務(wù)部門領(lǐng)導(dǎo)和主要負(fù)責(zé)人員認(rèn)可的情況下,盲目地進(jìn)行開發(fā)工作。 應(yīng)確保每一個應(yīng)用系統(tǒng)的用戶都意識到系統(tǒng)的更新或改進(jìn)都與其自身密切相關(guān),所有的更新或改動建議都必須基于業(yè)務(wù)需求,而不是基于所謂的“信息技術(shù)的要求”。應(yīng)用系統(tǒng)的任何一次改進(jìn)或更新都應(yīng)和該業(yè)務(wù)系統(tǒng)的所有者密切相關(guān)。其中包括了成本的預(yù)估,完成各個安全相關(guān)流程所需的時間。216。216。216。216。216。216。但開發(fā)人員有責(zé)任將開發(fā)的相關(guān)信息告訴項目的負(fù)責(zé)人員或開發(fā)小組的負(fù)責(zé)人員。 開發(fā)人員授權(quán)216。216。 影響可行性分析所謂的影響是指社會影響,比如系統(tǒng)開發(fā)是否符合法律法規(guī)上的要求,是否和相關(guān)的管理制度或行業(yè)標(biāo)準(zhǔn)相抵觸,是否符合人文或道德上的約束等。216。通??蓮囊韵氯齻€方面進(jìn)行分析:216。 應(yīng)充分利用現(xiàn)有的資源。216。 應(yīng)保證開發(fā)的進(jìn)度并按時完成。系統(tǒng)的開發(fā)是為了更好地滿足業(yè)務(wù)上的需要,而不是技術(shù)上的需要。 壓力測試 于確定系統(tǒng)的薄弱環(huán)節(jié),確定系統(tǒng)在非正常條件下能夠迅速恢復(fù)到正常的運行狀態(tài)的能力。 驗證 verification 將某一活動、處理過程或產(chǎn)品與相應(yīng)的要求或規(guī)范相比較。而且它能在非常規(guī)時間點或無需常規(guī)檢查的情況下進(jìn)入程序。 系統(tǒng)測試 system testing用于確定系統(tǒng)的安全特征按設(shè)計要求實現(xiàn)的過程。 完整性integrity在防止非授權(quán)用戶修改或使用資源和防止授權(quán)用戶不正確地修改或使用資源的情況下,信息系統(tǒng)中的數(shù)據(jù)與在原文檔中的相同,并未遭受偶然或惡意的修改或破壞時所具的性質(zhì)。 保密性confidentiality 數(shù)據(jù)所具有的特性,即表示數(shù)據(jù)所達(dá)到的未提供或未泄露給未授權(quán)的個人、過程或其他實體的程度。 可用性availability 數(shù)據(jù)或資源的特性,被授權(quán)實體按要求能及時訪問和使用數(shù)據(jù)或資源。 認(rèn)證 authentication a. 驗證用戶、設(shè)備和其他實體的身份; b. 驗證數(shù)據(jù)的完整性。 信息系統(tǒng)安全專家叢書Certificate Information Systems Security Professional 術(shù)語和定義216。 英國國家信息安全標(biāo)準(zhǔn)BS7799216。 GB/T 93871995 信息處理系統(tǒng) 開放系統(tǒng)互連基本參考模型(ISO7498 :1989)216。 規(guī)范引用的文件或標(biāo)準(zhǔn)下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。同時確保應(yīng)用系統(tǒng)開發(fā)外包中的各項安全。為確保應(yīng)用系統(tǒng)的安全,在應(yīng)用系統(tǒng)開發(fā)之前就應(yīng)確認(rèn)系統(tǒng)的安全需求,并以此作為開發(fā)設(shè)計的階段的基礎(chǔ)。:項目應(yīng)用開發(fā)等級保護(hù)規(guī)范密級:項目內(nèi)部項目應(yīng)用系統(tǒng)開發(fā)安全管理規(guī)范
點擊復(fù)制文檔內(nèi)容
公司管理相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號-1