移动营业厅密保问题设置安全规范指南
一、基本原则与要求
设置密保问题需遵循三项核心原则:独特性、保密性和可追溯性。问题应选择与个人身份强关联但不易被公开获取的信息,例如第一台车辆品牌而非出生城市。答案建议采用组合式短语而非单一名词,避免使用易被社交工程破解的内容。
系统设计层面要求强制验证双重身份,在修改密保设置时必须通过短信验证码+历史行为验证的组合认证方式。用户需每180天主动确认或更新密保设置,确保信息的时效性。
二、设置流程规范
- 登录中国移动网上营业厅后,通过个人中心>安全设置进入安全助手页面
- 选择密保问题模块,系统随机提供30组问题选项,用户需至少选择3组并自定义答案
- 答案输入框需采用遮蔽显示技术,禁止复制粘贴操作
- 提交前强制要求短信动态码验证,并与历史登录设备进行交叉验证
三、安全管理要求
密保数据存储需满足等保2.0三级标准,实施以下保护措施:
- 采用国密SM4算法对答案进行加密存储
- 设置独立于用户数据库的安全存储区
- 操作日志保留周期不少于180天
客户服务人员仅能验证问题匹配度,无法查看具体答案内容。系统应设置异常访问预警机制,同一账号单日密保验证失败超过3次即触发账户保护。
四、技术保障措施
| 项目 | 标准 |
|---|---|
| 传输加密 | TLS 1.3+协议 |
| 存储加密 | AES-256+SM4双算法 |
| 访问控制 | RBAC权限模型 |
系统前端需部署反调试机制,防止开发者工具篡改密保设置流程。后端API接口实施请求签名验证,防范中间人攻击。密码找回环节强制要求密保问题验证与生物特征识别的双重认证。
内容仅供参考,具体资费以办理页面为准。其原创性以及文中表达的观点和判断不代表本网站。如有问题,请联系客服处理。
本文由神卡网发布。发布者:编辑员。禁止采集与转载行为,违者必究。出处:https://www.xnnu.com/271842.html
