數據安全
1) 要為密碼和審計記錄提供專門的安全存儲�,此服務器為專門服務器�,沒有其他任何第三方程序�����。
2) 密碼所在的服務器����,必須經過安全加固�����,對遠程訪問只能開放有限的端口��,并且具有防火墻��。
3) 產品所需數據庫能夠自動管理���,不依賴任何DBA的介入�,以防止DBA對數據庫的審計信息進行篡改���。
4) 產品具有獨立的數據備份與恢復軟件���,不依賴于第三方數據庫產品���。
5) 所有密碼信息應以加密形式保存,加密后的密碼無法被普通的文件系統打開�,只可以被自身應用訪問��。
6) 每個客戶都具有唯一的加密密鑰���。
7) 密碼只存儲在系統中��,不會以郵件等其他方式對外發送
應用安全
1) 密碼的傳輸應使用安全的加密協議�����。
2) 用戶連續輸錯若干次密碼后����,用戶即被鎖����,需要管理員方能開鎖�。
3) 使用Web界面獲取或管理密碼的用戶必須支持SSL加密��。
4) 用戶失效時間����,可以配置用戶在某日后自動鎖住���,不再對系統具有訪問權限�����。
5) 服務器間組件通信所使用的密碼也必須定期自動修改����,以確保安全���。
