应用软件开发安全规范

应用软件开发安全规范需求阶段规范建议1应用系统应该包含身份认证功能，或者使用外部的集中身份认证系统的要求，并且明确对用户身份认证体系强度的要求，以及认证失败后的处理方式。2应用系统应该包含用户权限分配

应用软件开发安全规范 需求阶段 规范 建议 应用系统应该包含身份认证功能，或者使用外部的集中身份认证系统的要求，并 1 且明确对用户身份认证体系强度的要求，以及认证失败后的处理方式。 2 应用系统应该包含用户权限分配和管理功能，应该根据系统所处理的业务数据的 保 密性、完整性要求，确定系统用户权限访问控制模型和权限的颗粒度要求,同 时体现 职责分离的原则。 应用系统应该考虑到数据安全和冗余恢复相关功能需求。 3 应用系统应该包含安全日志审计功能，并明确对于日志内容的要求。 4 应用系统审计的事件应该包括但不限于以下类型： ● 审计功能的启动和关闭 ● 修改审计功能的配置 ● 登录和退出的时间 ● 各种违例行为 ● 对重要数据的变更操作 ● 对应用系统的维护操作，包括参数修改 日志应该至少记录以下信息： ● 事件的发起源 • 用户标识（终端用户实体或系统内部调用用户） • 事件类型