信息系统应用安全设计标准XXX 公司2025.03目录信息系统应用安全设计标准 11 编写目的 22 适用范围 23 法律规范性引用文件 24 术语和定义 25 概述 36 安全设计要求 36.1 用户(终端)安全设计 36.2 网络安全设计 36。3 主机安全设计 36.4 应用安全设计 46。4。1 应用安全功能设计 46。4.2 应用交互安全设计 86。5 数据安全设计 96.5.1 机密性要求 96.5.2 完整性要求 96.5.3 可用性要求 91 编写目的本标准依据国家信息系统技术标准的要求编写.用于指导信息系统设计人员进行安全设计,进而开发符合公司信息安全要求的高质量信息系统2 适用范围本标准规定了公司开发的信息系统在设计阶段应遵循的主要安全原则和技术要求.本标准适用于本公司开发的宁夏商务云系统安全开发过程。3 法律规范性引用文件下列文件中的条款通过本部分的引用而成为本部分的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分,凡是不注日期的引用文件,其新版本适用于本部分。4 术语和定义中间件 middleware 是指位于硬件、操作系统平台和应用程序之间的通用服务系统具有标准的程序接口和协议可实现不同硬件和操作系统平台上的数据共享和应用互操作。回退 Rollback 由于某种原因而撤销上一次/一系列操作,并返回到该操作以前的已知状态的过程。符号、代号和缩略语下列缩略语适用于本部分.HTTP HyperText Transfer Protocol 超文本传输协议SSL Secure Sockets Layer 安全套接层协议HTTPS Hypertext Transfer Protocol over Secure Socket Layer 使用 SSL 的超文本传输协议 IP Internet Protocol 网络之间连接的协议VPN Virtual Private Network 虚拟专用网络SQL Structured Query Language 结构化查询语言XML Extensible Markup Language 可扩展标记语言SFTP Secure File Transfer Protocol 安全文件传送协议MIB Management Information Base 管理信息库5 概述一个信息系统通常可以划分为终端用户、网络、主机、应用程序、数据这五个层次。终端用户是请求系统的访问主体,包括终端设备或访问用户等;网络层为信息系统提供基础网络访问能力,包含边界、网络设备等元素;主机系统层为应用软件、数据的承载系统;应用程序层提供信息系统的业务逻辑控制,为用户提供各种服务,包含应用功能模块、接口等元素;数据层是整个信息系统的核心,提供业务数...
