我國實行網(wǎng)絡安全等級保護制度，等級保護對象分為五個級別，由一到五級別逐漸升高，每一個級別的要求存在差異，級別越高，要求越嚴格。在我國，“三級等保”是對非銀行機構(gòu)的等級保護認證。隨著《網(wǎng)絡安全》、《數(shù)據(jù)安全》等相關法律的頒布和執(zhí)行，越來越多的系統(tǒng)都需要在安全上面多做一些功能。

按照如下要求：

2019-12-01 實施《信息安全技術(shù)-網(wǎng)絡安全等級保護基本要求》GB/T 22239一2019
其中8、第三級安全要求：
a) 應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并 定期更換；
b) 應具有登錄失敗處理功能，應配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當?shù)卿涍B接超時自動 退出等相關措施；
c) 當進行遠程管理時，應采取必要措施防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽；

整理出如下功能：

1、連續(xù)登錄失敗 5 次鎖定賬戶 30 分鐘，登錄超時時長建議為 300-1800 秒；

2、建議對重要業(yè)務數(shù)據(jù)、重要個人信息采用經(jīng)國家密碼管理局認可的密碼技術(shù)保證存儲過程中數(shù)據(jù)的保密性。

3、平臺密碼復雜度至少三種字符，最小 8 位且不設置為常用密碼

4、接口加密和解密

5、針對 sql 注入進行過濾攔截

本文鏈接：http://fangxuan.com.cn/article/597.html