?

大綱：

1.????? 身份鑒別-設(shè)置口令復(fù)雜度、口令過(guò)期30天、錯(cuò)誤口令5次鎖定、會(huì)話超時(shí)設(shè)置為5min，超時(shí)自動(dòng)退出，口令更換周期要求

2.????? 訪問控制-系統(tǒng)默認(rèn)賬戶名更改要求，設(shè)置超級(jí)管理員、系統(tǒng)管理員、安全管理員角色，系統(tǒng)管理員僅可操作系統(tǒng)服務(wù)本身，安全管理員僅可查看云安全中心

3.????? 安全審計(jì)-開啟信息系統(tǒng)日志審計(jì)，配置日志服務(wù)器或第三方審計(jì)系統(tǒng)對(duì)審計(jì)記錄進(jìn)行收集和保存，實(shí)行日志定期備份，備份周期為每30天一次，建議日志服務(wù)器代替手工備份

4.????? 入侵防范-信息系統(tǒng)公網(wǎng)開放訪問必須白名單化，開發(fā)人員功能代碼中必須增加數(shù)據(jù)校驗(yàn)、登錄身份驗(yàn)證、SQL注入語(yǔ)句校驗(yàn)，系統(tǒng)輸入必須增加數(shù)據(jù)安全校驗(yàn)

5.????? 數(shù)據(jù)備份恢復(fù)-進(jìn)行重要數(shù)據(jù)識(shí)別，定義為哪幾類數(shù)據(jù)；制定數(shù)據(jù)備份周期，；制定數(shù)據(jù)備份方式。

6.????? 開發(fā)安全要求：惡意代碼管理，應(yīng)部署代碼檢測(cè)工具，功能上線前進(jìn)行檢測(cè)，并定期進(jìn)行檢查；漏洞管理，應(yīng)部署漏洞檢測(cè)工具，定期進(jìn)行系統(tǒng)漏洞檢測(cè)，并要求“高”級(jí)別漏洞必須修復(fù)。