安全管理是應用系統建設的重中之重。當前,網絡安全事故層出不窮,特別是在重大活動或節假日期間,應用系統容易受到黑客攻擊。同時,因為內部的安全管理等問題,也容易造成系統的安全隱患。作為售前工程師,需要了解和系統相關的安全知識。
1、了解應用系統的安全等級
2001年1月1日開始實施的《計算機信息系統安全保護等級劃分準則》,將信息系統安全分為5個等級,分別是:
用戶自主保護級(第一級)
信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。適用于普通內聯網用戶。
系統審計保護級(第二級)
信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。適用于通過內聯網或互聯網進行商務活動,需要保密的非重要單位。
安全標記保護級(第三級)
信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害,適用于地方各級國家機關、金融機構、郵電通信、交通運輸、重點工程建設等單位。
結構化保護級(第四級)
信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。適用于中央級國家機關、廣電部門、社會應急保障部門、國家重點科研機構和國防建設部門等單位。
訪問驗證保護級(第五級)
信息系統受到破壞后,會對國家安全造成特別嚴重損害。適用于國防、軍隊等關鍵部門和依法需要對應用系統實施特殊隔離的單位。
可以看到,從第一級到第五級,安全標準越來越高,越來越嚴格。
2、應用系統應如何定級
應用系統的安全等級定級,并不是越高越好,要根據系統本身來定級。現在有不少客戶,對運行在互聯網的應用系統安全提等級要求時,經常說的就是系統安全要達到等保三級。但是從信息系統安全等級劃分可以看到,其實這是一對矛盾體,因為在互聯網端運行的應用系統原則上不能超過三級。對于這個問題,可以這樣理解:
1、對于運行在互聯網上的一般應用系統,不需要定為等保三級,但是可以按照等保三級的要求建設,以提高系統的安全性。
2、對于政府機構和金融行業的重要應用系統,如網上銀行等,如果確實需要定為等保三級,可以采用https協議(默認訪問端口為443),對重要信息進行加密傳輸。目前很多銀行的業務系統,以及一些電商平臺都是采用這種方式。
3、三級等保的安全要求
計算機信息系統三級等保的安全要求包括技術要求和管理要求兩個方面,如圖所示。
其中:
技術要求包括物理安全、網絡安全、主機安全、應用安全和數據安全;管理要求包括安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理。
物理安全
主要指物理位置的選擇和滿足機房建設的相關標準。包括:
應避免設在建筑物的高層或地下室,以及用水設備的下層或隔壁
對機房進行區域管理,設置過渡區域、安裝門禁
按照基本要求進行建設配置光、電等防盜報警系統
設置防雷保安器,消防、耐火、隔離等措施
安裝防靜電地板,配備空調系統、穩壓器、UPS、冗余供電系統等
網絡安全
網絡安全主要指系統部署方面需要采取的相關措施,包括:
合理規劃路由,避免將重要網段直接連接外部系統,在業務終端與業務服務器之間建立安全路徑、帶寬優先級管理
防火墻配置包括:端口級的控制力度;常見應用層協議命令過濾;會話控制;流量控制;連接數控制;防地址欺騙等策略
部署網絡安全審計系統,部署日志服務器進行審計記錄的保存
部署終端安全管理系統
部署入侵檢測系統,配置入侵檢測系統的日志模塊
對主要網絡設備實施雙因素認證手段進行身份鑒別等
主機安全
主要指對系統的安全進行身份鑒別和訪問控制等進行管理,包括:
對主機管理員登陸時進行雙因素身份鑒別(USBkey+密碼)
管理員進行分級權限控制,重要設定訪問控制策略進行訪問控制
部署主機審計系統審計范圍擴大到重要客戶端
部署終端防惡意代碼軟件
部署應用安全管理系統進行資源監控、檢測報警等
應用安全
主要指對應用系統的應用、管理等提供安全策略,包括:
進行雙因素認證或采用CA系統進行身份鑒別
通過安全加固措施制定嚴格用戶權限策略,保證帳號、口令等符合安全策略
開發應用審計功能,部署數據庫安全審計系統
采用PKI體系中的完整性校驗功能進行完整性檢查,保障通信完整性
應用系統自身開發數據加密功能;采用VPN或PKI體系的加密功能保障通信保密性等
數據安全
對數據的完整性、保密性、備份與恢復等采取相關策略,包括:
配置存儲系統傳輸采用VPN
應用系統針對存儲開發加密功能,利用VPN實現傳輸保密性
重要數據本地備份與異地備份,關鍵設備線路冗余設計等
其實,等級保護從一級到五級,級別越高,要求越高是肯定的。但是不管是等保幾級的系統,它所要求防護的5個方面都是一樣的,只是這5個方面的要求細節,會根據安全級別的不同,具體要求有所不同,級別越高,防護措施要求越嚴格。
4、了解有哪些安全設備和服務
隨著客戶對應用系統安全的重視,市場上有很多安全廠商和安全設備,這些設備又包括軟件和硬件,還有的軟件、硬件相結合。同時,除了采購安全設備,日常的安全管理及服務也是必不可少的。為了便于大家了解、記憶,我們對常見的安全設備進行歸納、分類。主要包括:
安全接入類
包括VPN、數字證書系統、安全接入網關等。
安全防護類
包括防病毒軟件、網頁防篡改系統、Web應用防火墻、上網行為管理系統、網絡安全隔離與信息交換系統、抗DDOS設備等。
安全檢測類
包括入侵防御系統(IPS)、入侵檢測系統(IDS)、網絡審計系統、數據庫安全審計系統、漏洞掃描系統等。
安全服務類
包括安全等級評估、系統安全測試、日常安全巡檢等。
本文標題:網站建設公司需要了解的安全知識!
文章轉載:http://m.newbst.com/news27/205527.html
網站建設、網絡推廣公司-創新互聯,是專注品牌與效果的網站制作,網絡營銷seo公司;服務項目有網站建設等
廣告
聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源:
創新互聯