1.2
适用范围
本规范适用于我司所有在线 Java 业务系统、测试系统的 WEB 应用。
本规范可作为其他非 WEB 应用的编码和部署安全办法参考。
2
范围
本规范中列出的是常见安全措施和高风险的漏洞,在系统开发与系
统部署的过程中,对本规范未能尽述的必要安全措施,仍应予以采用。
本规范每年复审一次,其它时候也可以根据需要进行修订并发布。
本规范的解释权和修改权归属信息技术部。
3
名词解释
验证:通讯实体(例如,客户端和服务器)彼此验证,以经过访问授权
的特定标识为依据。
资源的访问控制:资源的交互仅限于某些用户或程序的集合,其目的
是对完整性,保密性或可用性实施强制约束。
数据完整性:检验信息是否被第三方(非信息源的其它实体)修改。例
如,处于开放网络环境中的数据接收方必须能够检测并丢弃那些在传
递过程中被修改过的消息。
机密性或数据隐私:确保信息仅对经过访问授权的用户可用。
不可否认:对用户进行检验,让他无法否认自己进行过的活动。