我国实行网络安全等级保护制度,等级保护对象分为五个级别,由一到五级别逐渐升高,每一个级别的要求存在差异,级别越高,要求越严格。在我国,“三级等保”是对非银行机构的等级保护认证。随着《网络安全》、《数据安全》等相关法律的颁布和执行,越来越多的系统都需要在安全上面多做一些功能。
按照如下要求:
2019-12-01 实施《信息安全技术-网络安全等级保护基本要求》GB/T 22239一2019
其中8、第三级安全要求:
a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并 定期更换;
b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动 退出等相关措施;
c) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
整理出如下功能:
1、连续登录失败 5 次锁定账户 30 分钟,登录超时时长建议为 300-1800 秒;
2、建议对重要业务数据、重要个人信息采用经国家密码管理局认可的密码技术保证存储过程中数据的保密性。
3、平台密码复杂度至少三种字符,最小 8 位且不设置为常用密码
4、接口加密和解密
5、针对 sql 注入进行过滤拦截