应用安全 样本条款

应用安全. 通过应用管控、漏洞扫描、应用审计、运维审计、web应用防护、网页防篡改等技术措施对安全基础管理等应用系统进行安全防护，得2分； 2

应用安全. 疫情现场处置作业系统应用级安全包括统一身份认证、统一权限管理等。系统软件和应用软件应具有访问控制功能，包括用户登录访问控制、角色权限控制、目录级安全控制、文件属性安全控制等；系统软件(包括操作系统，数据库等)和应用软件等应定期进行完全备份，系统软件配置修改和应用软件的修改应及时备份，并做好相应的记录文档；及时了解系统软件和应用软件厂家公布的软件漏洞并进行更新修正；应用软件的开发应有完整的技术文档，源代码应有详尽的注释。

应用安全. 平台集成成熟的应用包解析与应用包安全测评技术，保证应用市场内的应用的完整性，可用性与安全性，确保应用均为安全可靠。

应用安全. 基于云计算的电子政务公共平台管理规范 第5部分：技术服务体系 信息安全技术 大数据安全管理指南 信息技术 大数据 大数据系统基本要求

应用安全. API 访问控制、安全审计、通信完整性、通信保密性、端口安全检测；

应用安全. 等级保护安全配 置核查系统 对操作系统、中间件、网络设备、 安全设备、数据库等系统进行配置 7.2.5.6 网络安全管理 7.2.5.7 系统安全管理 序 号 适用产品 功能 等级保护基本要求三 级 的检查和加固 7 漏洞扫描系统 对操作系统、中间件、网络设备、安全设备、数据库等系统进行漏洞 的扫描检查。 7.2.5.6 网络安全管理 7.2.5.7 系统安全管理

应用安全. 2.4 安全应用场景建设：攻防演练、应急响应、渗透测试安全场景建设。 1 项 2.5 威胁情报云端订阅：支持 Domain、IP 等类型的威胁情报 IOC 关联检测。可根据情报 IOC属性（威胁分值、可信度等）生成相关不同等级的告警。 1 项 2.7 统一认证模块：为业务资源的访问提供统一的身份认证服务，支持多种认证方式，支持基 1 项 于认证策略提供多因子认证服务。

应用安全. 在系统访问部署了双因素认证访问控制机制、自动化代码检查、日志审计等。

应用安全. 支持通过服务治理，熔断、限流等措施来有效防止恶意攻击，保障应用安全。 支持三级等保相关的要求，包括页面输入验证，过滤非法字符，防止注入攻击、缓冲区溢出及其他攻击导致的安全问题。

应用安全. 网络传输设施的安全监控与审计； 总局和省级节点VPN接入认证； 主机及应用环境中的总局的数据库访问控制与审计、 WEB页面防篡改、抵御垃圾邮件、漏洞扫描、数据备份等。 网络安全监控与审计：恶意/无意识的网络破坏行为将破坏系统环境，没有网络安全监控与审计，将制止、追踪这类破坏行为。 AAA认证管理：为远程VPN用户提供用户身份的鉴别。没有相应的高强度远程身份认证管理服务将无法保证远程访问的合法性。 垃圾邮件：作为重要的一个业务系统，垃圾邮件、病毒邮件的传播将极大的损害电子邮件系统。 数据库系统操作审计：数据库是系统中最重要的信息资产，没有审计机制，就无法及时发现、追查由于系统漏洞或程序设计引起的各类违规操作行为。 数据备份：公积金管理信息系统存在大量关键业务信 息，缺乏有效的数据备份将可能导致这些关键数据的损毁，造成巨大的损失。需要建立本地数据备份系统，如果时机成熟的话可以建立异地灾备中心进行存储备份。系统漏洞：服务器以及大量的终端设备的操作系统可能存在不同的安全漏洞，这些安全漏洞随时构成信息系统的致命威胁。 主页篡改：系统中的WEB网站所使用的操作系统以及软件的漏洞使WEB网站有被黑客攻击篡改的风险，被篡改的网页将给业务系统带来很大的安全隐患，造成信息丢 失、泄露等安全事件。