**
如果有需要,请联系:http://www.mydsx.com/#/
**
集成开发平台:安全模块
信息化系统安全涵盖多个关键方面:
(1)身份认证:通过账号密码、验证码和浙征订扫码登录方式验证用户合法性。
(2)访问控制:基于RBAC的方式角色绑定用户和资源,限制访问范围,防止越权操作。
(3)操作审计:记录用户关键操作,追踪分析安全事件。
(4)运行日志:记录详细运行信息,辅助运维排查问题。
(5)登录日志:对用户登录、登出的行为进行记录。
(6)日志脱敏:处理敏感信息脱敏,保护用户隐私。
(7)数据存储:数据加密存储,确保数据安全。
(8)数据传输:数据加密传输及接口签名,防止数据被截获。
(9)接口限流:防止恶意攻击和系统过载,保障系统稳定运行。
3.1.1身份认证
通过账户密码、浙征订扫码、用户信息安全存储、密码管理策略、令牌管理策略和登录日志记录策略进行认证。
3.1.1.1 账户密码认证实现方式
使用账户密码验证码进行身份认证的实现方式如下:
a)集成开发平台使用初始化脚本,初始化默认超级管理账户密码。
b)使用超级管理员账户登录系统,按实际需求创建组织架构(部门)、用户、角色,并对用户进行访问控制授权。
c)用户使用账户、默认密码、验证码进行系统登录,完成身份认证
d)密码管理。
e)密码强度,系统可配置。根据等保要求配置密码强度(含有字母、数字、特殊字符及其组合)、密码最短长度。
f)密码有效期,系统可配置。根据等保要求配置密码过期时长。
g)默认密码首次登录时,必须修改,修改完成后方可使用系统。
h)超级管理员有密码重置的功能。
i)验证码,单次有效。验证码输入错误超过三次,账户锁定一分钟。
3.1.1.2 浙政钉统一身份认证实现方式
使用浙政钉扫码进行身份认证的实现方式如下:
a)申请浙政钉账号后,在登录界面,用手机扫描浙政钉登录二维码进行扫码登录。
b)根据用户的手机号或工号作为唯一凭证,若用户不存在则创建用户并初始化部门和角色,完成系统登录。
c)若用户存在则使用该用户账号进行系统登录。
d)浙政钉登录二维码有效期一分钟,一分钟后将刷新二维码。
3.1.1.3用户信息安全存储策略
对于用户的敏感信息字段如:手机号、浙政钉工号、身份证号、密码,在数据存储方面采用AES进行加密存储,数据传输方面采用RSA进行加密传输。
3.1.1.4密码管理策略
用户密码管理策略实现如下:
a)用户的密码需要符合三级等保安全要求,即密码长度大于等于8位且包含大小写字母+数字+特殊字符进行组合。
b)用户密码到期时间为90天,提前10天会给出密码即将到期的提示,提示用户修改新的密码,从而保证账户安全性。
c)当用户忘记密码时,可填写手机号发送短信验证码,填写验证码校验通过后会重置用户的密码为初始密码,用户使用初始密码登录系统后会会被要求修改密码。
3.1.1.5令牌管理策略
Token(令牌)管理策略实现如下:
a)前后端以Token作为用户的唯一识别和凭证,Token的生成策略为:
b)将登录用户的Id +用户名 +登录ip使用对称加密算法进生成Token字符串。
c)用户的任意操作行为均需要对Token进行校验,校验通过后会解析Token中的用户信息,从而进行权限控制。
d)用户在2小时内(时长可配置)无任何操作,用户Token将会过期,此时用户将退出系统,重新登录,生成新的Token字符串。
3.1.1.6登录日志记录策略
记录用户的名称、账号、登录时间、登录状态(是否登录成功)、登录客户端IP、登出时间。
3.1.2访问控制
基于角色的权限访问控制(Role-Based Access Control),通过给用户分配角色,控制用户对系统资源的访问,防止水平越权和垂直越权,提升系统安全性。
3.1.2.1用户授权
用户授权的实现方式如下:
a)当角色分配好相应的系统资源时,可将该角色与某个用户进行绑定,这样该用户就拥有了该角色下的所属系统资源,从而完成了对用户的访问授权。
3.1.2.2功能访问控制
功能访问控制实现如下:
a)当用户完成授权时,用户登录时,只会加载出该用户所属角色上绑定的相应的系统资源,对于未绑定的系统资源登录后是看不到该资源,从而完成了功能访问控制。
3.1.2.3操作访问控制
操作访问控制实现如下:
a)对于系统资源类型为按钮的资源,需要配置相应的按钮code,其每一个code不能重复,用户登录系统后,会获取用户的操作code集合,对于未拥有的code,在相应的操作会被隐藏,用户无法访问
3.1.2.4数据访问控制
数据访问控制实现方式:
a)对于存在上下级的数据时,同级数据不能访问上级的数据,同级数据只能访问自身以及所有该级别下的子级别的数据。
3.1.2.5黑白名单配置
黑白名单的配置实现方式:
1.在信息系统的配置文件中存在访问控制的相关配置
2.tokenIgnores:
a)tokenIgnores是以英文逗号分割的字符串,该字符串为系统的接口url,在此处配置的url将不用携带token就可进行访问
3.authIgnores:
a)authIgnores是以英文逗号分割的字符串,该字符串为系统的接口url,在此处配置的url将不用对其进行鉴权
3.1.2.6水平越权控制
水平越权控制的实现方式:
a)水平越权的实现体现在组织机构,及某一个组织机构只能访问自身及其子机构下的所有数据,对于同级别和父级别的组织机构是无权进行访问的。
3.1.2.7垂直越权控制
垂直越权控制的实现方式:
a)垂直越权的实现体现在角色,及某一个角色只能访问自身及其子角色下的所有系统资源,对于同级别和父级别的角色是无权进行访问的。
3.1.3操作审计
记录用户的对系统的操作行为,更新用户操作前后的状态。
3.1.4系统日志记录
详细记录了用户名、登录渠道、登录状态、IP、登录和登出时间。
3.1.5日志脱敏
记录系统日志时,对包含的敏感信息如:用户名、手机号、身份证号等进行处理和转换,保护数据的安全。
3.1.3数据加密传输
用户密码、联系方式等进行加密存储。同时提供相应的对称加密和非对称加密工具
3.1.3数据安全传输
通过接口签名以及验签的方式,在传输过程中防止数据泄露以及被篡改,保证数据传输的安全性。
3.1.3接口限流
通过设定访问频率阈值,在一定时间内拦截超过阈值的请求,防止接口被频繁访问,避免资源浪费。
3.2集成开发平台:流程引擎
流程引擎是一种工具软件,广泛应用于政企行业信息化领域。
其核心功能为流程自定义与流程驱动。流程引擎在行政审批、行政申报、金融科技、工业自动化、办公自动化(OA)等领域有着广泛的应用。
丹羽集成开发平台的流程引擎组件是一款融合20年业务沉淀、可插拔、轻量级、易集成、易扩展的最佳实践。是同类产品佼佼者!
扫一扫
1452
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
