專用安全要求	口令要求	設計要求說明			要求	是否滿足
		密碼長度至少 8位字符，密碼復雜性要求至少包含以下4種類別中的2種：大寫字母、小寫字母、數字、特殊符號			必選	滿足
		系統應具備對口令強度檢測的能力，并對用戶進行提示（盡量不要以姓名、電話號碼以及出生日期等作為密碼或者密碼的組成部分），且不允許常見弱口令的配置			必選	不滿足
		應以HASH或者加密技術保存密碼，不得以明文方式保存或者傳輸			必選	不滿足
		采用HASH算法認證過程中，每次認證時，需由服務端對隨機生成Salt參與運算			可選
		密碼至少每90天更換一次。修改密碼時，須保留密碼修改記錄，包含帳號、修改時間、修改原因等，以備審計			必選	不滿足
		由于員工離職等原因，原帳號不能刪除或者需要重新賦予另一個人時，應修改相應帳號的密碼			必選	滿足
		對內服務系統，若開放公網直接訪問，應加強從公網直接訪問的認證強度，如增加動態短信驗證碼或使用與從內網訪問訪問的不同密碼等方式			必選	滿足
		連續5次以內不得設置相同的密碼			可選
	圖片驗證碼要求	設計要求說明			要求	是否滿足
		驗證碼的長度要求： ? 1、英文字符+數字類：不少于4位； ? 2、 中文字符類：不少于3個字； ? 3、 選擇類：一般不少于4個選項；			必選	滿足
		應在圖片中完全顯示驗證碼內容			必選	滿足
		驗證碼字符庫范圍要求： ? 1、英文字符+數字類：英文字母大小寫、0~9數字 ? 2、中文字符類：不少于1000個中文字			必選	不滿足
		驗證碼動態生成且滿足隨機性 ? 1、字符類：驗證碼中的每個字符必須隨機從字符庫中隨機挑選 ? 2、選擇/答題類：選項、干擾項需隨機挑選			必選	滿足
		字符類隨機驗證碼需使用一種或多種抗OCR識別技術，包括：隨機間距、干擾線、背景變化、旋轉、扭曲等			必選	滿足
		同一個字符應具備不少于5種形態，包括通過旋轉、字體變化、扭曲等方式實現，但不應影響字符識別			必選	不滿足
		同一張圖片驗證碼中，字符的大小、位置差異不應太大（一般不超過20%）			必選	滿足
		不得在頁面腳本中出現圖片驗證碼中的字符			必選	滿足
		避免使用一些容易混淆的字符如0和O，1、l和I，2、z和Z，5和S			可選
		驗證碼字庫中的字母需包含大寫與小寫			可選
		為保證用戶體驗，用戶輸入時，不區分大小寫			可選
		設計要求說明			要求	是否滿足
	動態短信驗證碼要求	短信驗證碼的長度要求： ? 1、純數字類類：不少于6個位； ? 2、英文字符+數字類：不少于4位；			必選	滿足
		單位時間內，應限制用戶可獲取動態短信驗證碼可獲取次數/頻率，對于超過可獲取次數/頻率的用戶，暫停下發動態短信驗證碼			必選	不滿足
		隨機生成的短信驗證碼應至少與之前的N個不相同（N建議為1000以上）			必選	滿足
		每條短信驗證碼僅能被驗證1次（無論驗證成功或失敗）			必選	滿足
		用戶輸入的驗證碼識別結果應在服務器端進行正確性驗證			必選	滿足
		驗證碼具備超時時限（例如60秒），超時后驗證碼失效			必選	不滿足
		短信內容中還應包含：業務名稱/業務簽名，業務操作類型，業務操作產生的后果。			必選	滿足
		為保證用戶體驗，用戶輸入含英文字母的驗證碼時，不區分大小寫			可選
通用安全要求	異常登錄限制要求	設計要求說明			要求	是否滿足
		注：要求中的次數、閾值等參數應依據業務具體的應用要求確定。
		設置用戶業務認證登錄策略，限定失敗登錄次數（如5次）、鎖定時間（如1小時）、解鎖方式			必選	不滿足
		應配置當同一用戶連續認證失敗次數超過限定次數（如5次），鎖定該用戶使用的賬號			必選	不滿足
		應配置當來自同一終端/IP的不同賬號連續認證失敗次數超過限定次數（如5次），鎖定來自該終端/IP的登錄請求			必選	不滿足
		應配置當來自同一終端/IP的不同賬號在一段時間內累計認證失敗次數超過限定次數（如50次），鎖定來自該終端/IP的登錄請求			可選
		應配置當來自同一終端/IP的不同賬號在一段時間內認證成功率低于限定閾值（如50%），鎖定來自該終端/IP的登錄請求			可選
		支持在異常登錄行為發生后，支持用戶主動凍結賬號特定功能，例如：通過上行短信、客服電話等方式			可選
	異常登錄提醒要求	設計要求說明			要求	是否滿足
		設置用戶業務認證登錄失敗提醒策略，當用戶登錄失敗超過限定次數時發送短信，提醒用戶是否為本人操作			必選	不滿足
		如果不為用戶本人操作，在提醒短信中應該提醒用戶修改登錄密碼或凍結賬號			可選
		同一時間同一賬號在多終端進行嘗試登錄，應下發短信進行提醒			必選	不滿足
	傳輸加密要求	設計要求說明			要求	是否滿足
		現網系統中存在https，http同時可以訪問的情況，建議關閉http傳輸端口			必選	滿足
		使用httponly屬性提升cookie安全性			可選
		密碼在傳輸前使用安全的算法加密后傳輸，可采用的算法包括： ? 1、不可逆hash算法加鹽（4位及以上隨機數，由服務器端產生）； ? 2、安全對稱加密算法，如AES(128、192、256位)，且必須保證客戶端密鑰安全，不可被破解或讀出； ? 3、非對稱加密算法，如RSA(不低于1024位)、SM2等。			必選	不滿足
	登錄日志審計要求	設計要求說明			要求	是否滿足
		應配置登錄日志留存，對用戶登錄進行記錄，登錄日志內容至少包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的IP地址			必選	不滿足
		審計登錄日志，如果在限定時間內（例如5分鐘），同一用戶名產生的登錄日志條數超過限定數量，則報告賬號異常			必選	不滿足
		審計登錄日志，如果在限定時間內（例如5分鐘），登錄失敗的日志條數超過限定數量，則報告登錄行為異常			必選	不滿足
		審計登錄日志，如果在限定時間內（例如5分鐘），同一IP地址產生的登錄日志條數超過限定數量，則報告登錄行為異常			必選	不滿足
	防止萬能密碼攻擊	設計要求說明			要求	是否滿足
		對用戶的輸入進行校驗，可以通過正則表達式，或限制長度；對單引號和雙引號進行過濾或轉換等			必選	不滿足
		不要使用SQL動態生成機制，可以使用參數化的SQL或者直接使用存儲過程進行數據查詢存取			必選	滿足
		普通用戶與系統管理員用戶的權限要有嚴格的區分			必選	滿足
		應用的異常信息應該給出盡可能少的提示，最好使用自定義的錯誤信息對原始錯誤信息進行包裝			必選	滿足
	登錄地點變化提醒要求（可選）	設計要求說明			要求	是否滿足
		短時間內用戶登錄地點變化較大，可通過短信等方式提醒用戶登錄地點異常			可選
		用戶登錄地點變化頻繁（具體閾值由業務設定），可通過短信等方式提醒用戶登錄地點異常			可選