专用安全要求	口令要求	设计要求说明			要求	是否满足
		密码长度至少 8位字符，密码复杂性要求至少包含以下4种类别中的2种：大写字母、小写字母、数字、特殊符号			必选	满足
		系统应具备对口令强度检测的能力，并对用户进行提示（尽量不要以姓名、电话号码以及出生日期等作为密码或者密码的组成部分），且不允许常见弱口令的配置			必选	不满足
		应以HASH或者加密技术保存密码，不得以明文方式保存或者传输			必选	不满足
		采用HASH算法认证过程中，每次认证时，需由服务端对随机生成Salt参与运算			可选
		密码至少每90天更换一次。修改密码时，须保留密码修改记录，包含帐号、修改时间、修改原因等，以备审计			必选	不满足
		由于员工离职等原因，原帐号不能删除或者需要重新赋予另一个人时，应修改相应帐号的密码			必选	满足
		对内服务系统，若开放公网直接访问，应加强从公网直接访问的认证强度，如增加动态短信验证码或使用与从内网访问访问的不同密码等方式			必选	满足
		连续5次以内不得设置相同的密码			可选
	图片验证码要求	设计要求说明			要求	是否满足
		验证码的长度要求： Ÿ 1、英文字符+数字类：不少于4位； Ÿ 2、 中文字符类：不少于3个字； Ÿ 3、 选择类：一般不少于4个选项；			必选	满足
		应在图片中完全显示验证码内容			必选	满足
		验证码字符库范围要求： Ÿ 1、英文字符+数字类：英文字母大小写、0~9数字 Ÿ 2、中文字符类：不少于1000个中文字			必选	不满足
		验证码动态生成且满足随机性 Ÿ 1、字符类：验证码中的每个字符必须随机从字符库中随机挑选 Ÿ 2、选择/答题类：选项、干扰项需随机挑选			必选	满足
		字符类随机验证码需使用一种或多种抗OCR识别技术，包括：随机间距、干扰线、背景变化、旋转、扭曲等			必选	满足
		同一个字符应具备不少于5种形态，包括通过旋转、字体变化、扭曲等方式实现，但不应影响字符识别			必选	不满足
		同一张图片验证码中，字符的大小、位置差异不应太大（一般不超过20%）			必选	满足
		不得在页面脚本中出现图片验证码中的字符			必选	满足
		避免使用一些容易混淆的字符如0和O，1、l和I，2、z和Z，5和S			可选
		验证码字库中的字母需包含大写与小写			可选
		为保证用户体验，用户输入时，不区分大小写			可选
		设计要求说明			要求	是否满足
	动态短信验证码要求	短信验证码的长度要求： Ÿ 1、纯数字类类：不少于6个位； Ÿ 2、英文字符+数字类：不少于4位；			必选	满足
		单位时间内，应限制用户可获取动态短信验证码可获取次数/频率，对于超过可获取次数/频率的用户，暂停下发动态短信验证码			必选	不满足
		随机生成的短信验证码应至少与之前的N个不相同（N建议为1000以上）			必选	满足
		每条短信验证码仅能被验证1次（无论验证成功或失败）			必选	满足
		用户输入的验证码识别结果应在服务器端进行正确性验证			必选	满足
		验证码具备超时时限（例如60秒），超时后验证码失效			必选	不满足
		短信内容中还应包含：业务名称/业务签名，业务操作类型，业务操作产生的后果。			必选	满足
		为保证用户体验，用户输入含英文字母的验证码时，不区分大小写			可选
通用安全要求	异常登录限制要求	设计要求说明			要求	是否满足
		注：要求中的次数、阈值等参数应依据业务具体的应用要求确定。
		设置用户业务认证登录策略，限定失败登录次数（如5次）、锁定时间（如1小时）、解锁方式			必选	不满足
		应配置当同一用户连续认证失败次数超过限定次数（如5次），锁定该用户使用的账号			必选	不满足
		应配置当来自同一终端/IP的不同账号连续认证失败次数超过限定次数（如5次），锁定来自该终端/IP的登录请求			必选	不满足
		应配置当来自同一终端/IP的不同账号在一段时间内累计认证失败次数超过限定次数（如50次），锁定来自该终端/IP的登录请求			可选
		应配置当来自同一终端/IP的不同账号在一段时间内认证成功率低于限定阈值（如50%），锁定来自该终端/IP的登录请求			可选
		支持在异常登录行为发生后，支持用户主动冻结账号特定功能，例如：通过上行短信、客服电话等方式			可选
	异常登录提醒要求	设计要求说明			要求	是否满足
		设置用户业务认证登录失败提醒策略，当用户登录失败超过限定次数时发送短信，提醒用户是否为本人操作			必选	不满足
		如果不为用户本人操作，在提醒短信中应该提醒用户修改登录密码或冻结账号			可选
		同一时间同一账号在多终端进行尝试登录，应下发短信进行提醒			必选	不满足
	传输加密要求	设计要求说明			要求	是否满足
		现网系统中存在https，http同时可以访问的情况，建议关闭http传输端口			必选	满足
		使用httponly属性提升cookie安全性			可选
		密码在传输前使用安全的算法加密后传输，可采用的算法包括： Ÿ 1、不可逆hash算法加盐（4位及以上随机数，由服务器端产生）； Ÿ 2、安全对称加密算法，如AES(128、192、256位)，且必须保证客户端密钥安全，不可被破解或读出； Ÿ 3、非对称加密算法，如RSA(不低于1024位)、SM2等。			必选	不满足
	登录日志审计要求	设计要求说明			要求	是否满足
		应配置登录日志留存，对用户登录进行记录，登录日志内容至少包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址			必选	不满足
		审计登录日志，如果在限定时间内（例如5分钟），同一用户名产生的登录日志条数超过限定数量，则报告账号异常			必选	不满足
		审计登录日志，如果在限定时间内（例如5分钟），登录失败的日志条数超过限定数量，则报告登录行为异常			必选	不满足
		审计登录日志，如果在限定时间内（例如5分钟），同一IP地址产生的登录日志条数超过限定数量，则报告登录行为异常			必选	不满足
	防止万能密码攻击	设计要求说明			要求	是否满足
		对用户的输入进行校验，可以通过正则表达式，或限制长度；对单引号和双引号进行过滤或转换等			必选	不满足
		不要使用SQL动态生成机制，可以使用参数化的SQL或者直接使用存储过程进行数据查询存取			必选	满足
		普通用户与系统管理员用户的权限要有严格的区分			必选	满足
		应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装			必选	满足
	登录地点变化提醒要求（可选）	设计要求说明			要求	是否满足
		短时间内用户登录地点变化较大，可通过短信等方式提醒用户登录地点异常			可选
		用户登录地点变化频繁（具体阈值由业务设定），可通过短信等方式提醒用户登录地点异常			可选