安全管理是應(yīng)用系統(tǒng)建設(shè)的重中之重。當前,網(wǎng)絡(luò)安全事故層出不窮,特別是在重大活動或節(jié)假日期間,應(yīng)用系統(tǒng)容易受到黑客攻擊。同時,因為內(nèi)部的安全管理等問題,也容易造成系統(tǒng)的安全隱患。作為售前工程師,需要了解和系統(tǒng)相關(guān)的安全知識。
1、了解應(yīng)用系統(tǒng)的安全等級
2001年1月1日開始實施的《計算機信息系統(tǒng)安全保護等級劃分準則》,將信息系統(tǒng)安全分為5個等級,分別是:
用戶自主保護級(第一級)
信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益。適用于普通內(nèi)聯(lián)網(wǎng)用戶。
系統(tǒng)審計保護級(第二級)
信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。適用于通過內(nèi)聯(lián)網(wǎng)或互聯(lián)網(wǎng)進行商務(wù)活動,需要保密的非重要單位。
安全標記保護級(第三級)
信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害,適用于地方各級國家機關(guān)、金融機構(gòu)、郵電通信、交通運輸、重點工程建設(shè)等單位。
結(jié)構(gòu)化保護級(第四級)
信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。適用于中央級國家機關(guān)、廣電部門、社會應(yīng)急保障部門、國家重點科研機構(gòu)和國防建設(shè)部門等單位。
訪問驗證保護級(第五級)
信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴重損害。適用于國防、軍隊等關(guān)鍵部門和依法需要對應(yīng)用系統(tǒng)實施特殊隔離的單位。
可以看到,從第一級到第五級,安全標準越來越高,越來越嚴格。
2、應(yīng)用系統(tǒng)應(yīng)如何定級
應(yīng)用系統(tǒng)的安全等級定級,并不是越高越好,要根據(jù)系統(tǒng)本身來定級?,F(xiàn)在有不少客戶,對運行在互聯(lián)網(wǎng)的應(yīng)用系統(tǒng)安全提等級要求時,經(jīng)常說的就是系統(tǒng)安全要達到等保三級。但是從信息系統(tǒng)安全等級劃分可以看到,其實這是一對矛盾體,因為在互聯(lián)網(wǎng)端運行的應(yīng)用系統(tǒng)原則上不能超過三級。對于這個問題,可以這樣理解:
1、對于運行在互聯(lián)網(wǎng)上的一般應(yīng)用系統(tǒng),不需要定為等保三級,但是可以按照等保三級的要求建設(shè),以提高系統(tǒng)的安全性。
2、對于政府機構(gòu)和金融行業(yè)的重要應(yīng)用系統(tǒng),如網(wǎng)上銀行等,如果確實需要定為等保三級,可以采用https協(xié)議(默認訪問端口為443),對重要信息進行加密傳輸。目前很多銀行的業(yè)務(wù)系統(tǒng),以及一些電商平臺都是采用這種方式。
3、三級等保的安全要求
計算機信息系統(tǒng)三級等保的安全要求包括技術(shù)要求和管理要求兩個方面,如圖所示。
其中:
技術(shù)要求包括物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全;管理要求包括安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理。
物理安全
主要指物理位置的選擇和滿足機房建設(shè)的相關(guān)標準。包括:
應(yīng)避免設(shè)在建筑物的高層或地下室,以及用水設(shè)備的下層或隔壁
對機房進行區(qū)域管理,設(shè)置過渡區(qū)域、安裝門禁
按照基本要求進行建設(shè)配置光、電等防盜報警系統(tǒng)
設(shè)置防雷保安器,消防、耐火、隔離等措施
安裝防靜電地板,配備空調(diào)系統(tǒng)、穩(wěn)壓器、UPS、冗余供電系統(tǒng)等
網(wǎng)絡(luò)安全
網(wǎng)絡(luò)安全主要指系統(tǒng)部署方面需要采取的相關(guān)措施,包括:
合理規(guī)劃路由,避免將重要網(wǎng)段直接連接外部系統(tǒng),在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間建立安全路徑、帶寬優(yōu)先級管理
防火墻配置包括:端口級的控制力度;常見應(yīng)用層協(xié)議命令過濾;會話控制;流量控制;連接數(shù)控制;防地址欺騙等策略
部署網(wǎng)絡(luò)安全審計系統(tǒng),部署日志服務(wù)器進行審計記錄的保存
部署終端安全管理系統(tǒng)
部署入侵檢測系統(tǒng),配置入侵檢測系統(tǒng)的日志模塊
對主要網(wǎng)絡(luò)設(shè)備實施雙因素認證手段進行身份鑒別等
主機安全
主要指對系統(tǒng)的安全進行身份鑒別和訪問控制等進行管理,包括:
對主機管理員登陸時進行雙因素身份鑒別(USBkey+密碼)
管理員進行分級權(quán)限控制,重要設(shè)定訪問控制策略進行訪問控制
部署主機審計系統(tǒng)審計范圍擴大到重要客戶端
部署終端防惡意代碼軟件
部署應(yīng)用安全管理系統(tǒng)進行資源監(jiān)控、檢測報警等
應(yīng)用安全
主要指對應(yīng)用系統(tǒng)的應(yīng)用、管理等提供安全策略,包括:
進行雙因素認證或采用CA系統(tǒng)進行身份鑒別
通過安全加固措施制定嚴格用戶權(quán)限策略,保證帳號、口令等符合安全策略
開發(fā)應(yīng)用審計功能,部署數(shù)據(jù)庫安全審計系統(tǒng)
采用PKI體系中的完整性校驗功能進行完整性檢查,保障通信完整性
應(yīng)用系統(tǒng)自身開發(fā)數(shù)據(jù)加密功能;采用VPN或PKI體系的加密功能保障通信保密性等
數(shù)據(jù)安全
對數(shù)據(jù)的完整性、保密性、備份與恢復(fù)等采取相關(guān)策略,包括:
配置存儲系統(tǒng)傳輸采用VPN
應(yīng)用系統(tǒng)針對存儲開發(fā)加密功能,利用VPN實現(xiàn)傳輸保密性
重要數(shù)據(jù)本地備份與異地備份,關(guān)鍵設(shè)備線路冗余設(shè)計等
其實,等級保護從一級到五級,級別越高,要求越高是肯定的。但是不管是等保幾級的系統(tǒng),它所要求防護的5個方面都是一樣的,只是這5個方面的要求細節(jié),會根據(jù)安全級別的不同,具體要求有所不同,級別越高,防護措施要求越嚴格。
4、了解有哪些安全設(shè)備和服務(wù)
隨著客戶對應(yīng)用系統(tǒng)安全的重視,市場上有很多安全廠商和安全設(shè)備,這些設(shè)備又包括軟件和硬件,還有的軟件、硬件相結(jié)合。同時,除了采購安全設(shè)備,日常的安全管理及服務(wù)也是必不可少的。為了便于大家了解、記憶,我們對常見的安全設(shè)備進行歸納、分類。主要包括:
安全接入類
包括VPN、數(shù)字證書系統(tǒng)、安全接入網(wǎng)關(guān)等。
安全防護類
包括防病毒軟件、網(wǎng)頁防篡改系統(tǒng)、Web應(yīng)用防火墻、上網(wǎng)行為管理系統(tǒng)、網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)、抗DDOS設(shè)備等。
安全檢測類
包括入侵防御系統(tǒng)(IPS)、入侵檢測系統(tǒng)(IDS)、網(wǎng)絡(luò)審計系統(tǒng)、數(shù)據(jù)庫安全審計系統(tǒng)、漏洞掃描系統(tǒng)等。
安全服務(wù)類
包括安全等級評估、系統(tǒng)安全測試、日常安全巡檢等。
網(wǎng)站題目:網(wǎng)站建設(shè)公司需要了解的安全知識!
網(wǎng)頁路徑:http://jinyejixie.com/news/205527.html
網(wǎng)站建設(shè)、網(wǎng)絡(luò)推廣公司-創(chuàng)新互聯(lián),是專注品牌與效果的網(wǎng)站制作,網(wǎng)絡(luò)營銷seo公司;服務(wù)項目有網(wǎng)站建設(shè)等
廣告
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源:
創(chuàng)新互聯(lián)