数据安全

1)   要为密码和审计记录提供专门的安全存储，此服务器为专门服务器，没有其他任何第三方程序。

2)   密码所在的服务器，必须经过安全加固，对远程访问只能开放有限的端口，并且具有防火墙。

3)   产品所需数据库能够自动管理，不依赖任何DBA的介入，以防止DBA对数据库的审计信息进行篡改。

4)   产品具有独立的数据备份与恢复软件，不依赖于第三方数据库产品。

5)   所有密码信息应以加密形式保存,加密后的密码无法被普通的文件系统打开，只可以被自身应用访问。

6)   每个客户都具有唯一的加密密钥。

7)   密码只存储在系统中，不会以邮件等其他方式对外发送

应用安全

1)   密码的传输应使用安全的加密协议。

2)   用户连续输错若干次密码后，用户即被锁，需要管理员方能开锁。

3)   使用Web界面获取或管理密码的用户必须支持SSL加密。

4)   用户失效时间，可以配置用户在某日后自动锁住，不再对系统具有访问权限。

5)   服务器间组件通信所使用的密码也必须定期自动修改，以确保安全。