您现在的位置: 精品资料网 >> 生产管理 >> 技术规范标准 >> 资料信息

职业健康监护技术规范培训资料(doc 112页)

所属分类:
技术规范标准
文件大小:
185 KB
下载地址:
相关资料:
职业健康监护,技术规范,规范培训,培训资料
职业健康监护技术规范培训资料(doc 112页)内容简介

目录
1 背景与目标 1
2 安全编程概念 1
2.1 安全编程 1
2.2 结构化编程 2
2.3 脆弱性 2
2.4 可信计算 2
2.5 安全可信模块 3
2.6 不可信任模块 3
2.7 敏感信息 3
2.8 特权 3
2.9 信息隐藏 3
2.10 中间件 3
2.11 死锁 4
2.12 可信边界 4
2.13 元字符 4
2.14 参数化查询 4
2.15 UNIX JAIL环境 4
2.16 临时文件 4
2.17 信息熵 5
2.18 SSL 5
2.19 TLS 5
2.20 HTTPS 5
2.21 HTTP会话 5
2.22 COOKIE 6
2.23 HTTPONLY COOKIE 6
3 安全编程原则 6
3.1 统一的安全规范 6
3.2 模块划分 6
3.3 最小化功能 7
3.4 最小化特权 7
3.5 对多任务、多进程加以关注 7
3.6 界面输出最小化 7
3.7 使代码简单、最小化和易于修改 8
3.8 避免高危的服务、协议 8
3.9 数据和代码分离 8
3.10 关键数据传输保护 8
3.11 禁止赋予用户进程特权 8
3.12 使用适当的数据类型 9
3.13 使用经过验证的安全代码 9
3.14 使用应用中间件 9
3.15 设计错误、 异常处理机制 9
3.16 提供备份机制 9
3.17 检查传递变量的合法性 9
3.18 检查所有函数返回代码 9
3.19 修改面向用户的操作的反馈缺省描述 9
3.20 文件操作的要求 10
3.21 其他编码原则 10
4 应用安全分析 11
4.1 安全需求 11
4.2 安全威胁 11
4.2.1 Web安全漏洞 11
4.2.2 拒绝服务攻击 12
4.2.3 嗅探攻击 12
4.2.4 中间人攻击 12
4.3 安全约束 13
5 安全编程要求 13
5.1 输入处理 13
5.1.1 建立可信边界 13
5.1.2 验证各种来源的输入 14
5.1.3 保证所有的输入信息是被验证过的 14
5.1.4 对输入内容进行规范化处理后再进行验证 15
5.1.5 选择合适的数据验证方式 15
5.1.6 防范元字符攻击 15
5.1.7 拒绝验证失败的数据 15
5.1.8 在服务端进行验证 15
5.1.9 建立统一的输入验证接口 16
5.1.10 控制写入日志的信息 16
5.1.11 从服务器端提取关键参数 16
5.2 输出处理 16
5.2.1 限制返回给客户的信息 16
5.2.2 建立错误信息保护机制 16
5.3 数据库访问 16
5.3.1 合理分配数据库访问权限 16
5.3.2 合理存放数据库连接帐号和密码信息 17
5.3.3 使用参数化请求方式 17
5.3.4 对 SQL 语句中来自于不可信区域的输入参数进行验证 18
5.3.5 对数据库操作的返回数据进行验证 18
5.3.6 分次提取数据 18
5.3.7 通过 row(行)级别的访问控制来使用数据库 18
5.3.8 确保数据库资源被释放 18
5.4 文件操作 19
5.4.1 对上传文件进行限制 19
5.4.2 把文件名以及文件内容作为不可信的输入对待 19
5.4.3 安全的使用文件名 19
5.4.4 使用文件系统访问控制 19
5.4.5 注意文件访问竞争条件 19
5.4.6 安全使用临时文件 20
5.4.7 确保文件系统资源被释放 20
6 安全特征 20
6.1 关注应用的对象重用 20
6.2 用户访问控制信息的机密性 20
6.3 不要在客户端存放敏感数据 20
6.4 避免内存溢出 21
6.5 可配置数据保护 21
6.6 禁止在源代码中写入口令 21
6.7 随机数 21
6.8 使用可信的密码算法 22
6.9 异常管理 22
7 应用安全设计规范 23
7.1 应用安全规划 23
7.2 数据安全等级划分 23
7.3 数据库规划 23
7.3.1 用户权限 23
7.3.2 数据源设计 23
7.3.3 外部系统访问 23
7.4 角色划分 24
7.5 URL规划 24
7.6 程序文件目录规划 24
7.6.1 数据及程序分离 24
7.6.2 静态程序资源 24
7.6.3 程序文件分类 24
7.7 COOKIE 24
7.8 文件安全 25
7.8.1 文件存储 25
7.8.2 文件操作 25
7.8.3 文件类型 25
7.9 第三方组件安全 25
7.9.1 组件兼容性 25
7.9.2 组件安全及成熟度 25
7.9.3 组件配置 25
7.10 WEB SERVICE 25
7.11 RESTFUL WEB SERVICE 26
7.12 应用安全关注点 27
7.13 应用安全限制应对方案 29
7.13.1 外网隔离 29
7.13.2 外网文件操作 29
7.13.3 正向和反向隔离装置(国网系统) 29
8 应用安全开发规范 30
8.1 JAVA及WEB安全编程规范 30
8.1.1 不信任未知 30
8.1.2 数据层开发 30
8.1.3 会话管理 32
8.1.4 Cookie 33
8.1.5 输入验证 33
8.1.6 输入文件名的验证 34
8.1.7 输出处理 34
8.1.8 敏感信息处理 36
8.1.9 异常信息处理 37
8.1.10 特殊页面跳转 37
8.1.11 文件操作 37
8.1.12 资源释放 38
8.1.13 内存控制 38
8.1.14 外部程序调用漏洞 38
8.1.15 整数溢出 39
8.2 C++安全编程规范 39
8.2.1 不信任未知 39
8.2.2 免缓存区溢出 40
8.2.3 免缓整数溢出 42
8.2.4 域名合法性检查 45
8.2.5 检查返回值 46
8.2.6 产生随机数 47
8.2.7 验证输入文件名 48
8.2.8 类设计注意事项 48
8.2.9 外部程序调用漏洞 50
8.2.10 临时文件处理 50

 


..............................

上一篇:应用系统安全开发技术规范培训资料(doc 5

下一篇:中国电信云南公司超高清4K智能机顶盒技术