关于平台安全性整改方案

pikachu

我司主要从事公安行业应用开发，目前公安开始开展“应用安全评测”活动，所有应用系统上线前需通过安全评测，若不能通过安全评测则应用不允许上线；对已上线应用也需进行安全评测，对不符合项必须限期整改，在规定期限内未完成整改的应用将被强制下线，因此我司先面临新项目不能接、以上线应用也面临强制下线的尴尬局面。目前应用安全评测不符合项有几点需贵司提供解决方案或提供补丁。
版本：2.7
测试不通过项：

1、通信数据安全性：前后端进行通信时目前平台都是明文交互，比如在调用后端Action时，所有xml数据均是明文，如设备名称、操作人、IP地址等信息，要求必须对交互信息进行编码或加密，设计范围包括平台所有功能。
2、用户单点登录：同一个帐号之允许在一个终端（电脑）上登录，因我司开发的应用都是运行在公安网，不存在手机、平板等终端，只能通过电脑登录，目前平台同一个帐号可以在多台电脑登录进行操作，按照要求只能在一台电脑上执行登录操作。
3、在通信双方建立连接之前，应用系统应利用密码技术进行回话初始化验证，平台在登录后获取到sessionID，拿到该sessionID后可以按照系统URL格式访问系统资源（其他浏览器或电脑终端）。

麻烦平台组大牛能够根据以上不符合项提供解决方案或补丁，万分感谢！！

XiaoQLuo

1、通信数据安全性：前后端进行通信时目前平台都是明文交互，比如在调用后端Action时，所有xml数据均是明文，如设备名称、操作人、IP地址等信息，要求必须对交互信息进行编码或加密，设计范围包括平台所有功能。-----------------这个可以使用新2.7版本,已经增加加密能力,同时可以配合https
2、用户单点登录：同一个帐号之允许在一个终端（电脑）上登录，因我司开发的应用都是运行在公安网，不存在手机、平板等终端，只能通过电脑登录，目前平台同一个帐号可以在多台电脑登录进行操作，按照要求只能在一台电脑上执行登录操作。-----------需要你们自己开发,可以在登录前进行判断,如果已经登录,不再允许登录
3、在通信双方建立连接之前，应用系统应利用密码技术进行回话初始化验证，平台在登录后获取到sessionID，拿到该sessionID后可以按照系统URL格式访问系统资源（其他浏览器或电脑终端）-----------这个点你们可以查找一下相关通用方案

pikachu

XiaoQLuo 发表于 2016-11-29 17:13
1、通信数据安全性：前后端进行通信时目前平台都是明文交互，比如在调用后端Action时，所有xml数据均是明文 ...

研究了一下，其实第一点、点三点采用https通信协议就可以解决了，第二点也已明确如何修改，但有一点不明确，在2.7版本中如何根据用户名判断用户是否登录呢？

jishuang

如果是前端控制，可以调用平台的/UI/system/service/common/queryOnlineUsers.j的，从返回的结果中判断，可以参考/UI/SA/online/mainActivity.js中的实现

或者参考
http://bbs.wex5.com/forum.php?mo ... 2&pid=165176362

pikachu

jishuang 发表于 2016-11-30 09:56
如果是前端控制，可以调用平台的/UI/system/service/common/queryOnlineUsers.j的，从返回的结果中判断，可 ...

测试环境测试通过，请结贴，谢谢！