安全管理是应用系统建设的重中之重。当前,网络安全事故层出不穷,特别是在重大活动或节假日期间,应用系统容易受到黑客攻击。同时,因为内部的安全管理等问题,也容易造成系统的安全隐患。作为售前工程师,需要了解和系统相关的安全知识。
1、了解应用系统的安全等级
2001年1月1日开始实施的《计算机信息系统安全保护等级划分准则》,将信息系统安全分为5个等级,分别是:
用户自主保护级(第一级)
信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。适用于普通内联网用户。
系统审计保护级(第二级)
信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。适用于通过内联网或互联网进行商务活动,需要保密的非重要单位。
安全标记保护级(第三级)
信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害,适用于地方各级国家机关、金融机构、邮电通信、交通运输、重点工程建设等单位。
结构化保护级(第四级)
信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。适用于中央级国家机关、广电部门、社会应急保障部门、国家重点科研机构和国防建设部门等单位。
访问验证保护级(第五级)
信息系统受到破坏后,会对国家安全造成特别严重损害。适用于国防、军队等关键部门和依法需要对应用系统实施特殊隔离的单位。
可以看到,从第一级到第五级,安全标准越来越高,越来越严格。
2、应用系统应如何定级
应用系统的安全等级定级,并不是越高越好,要根据系统本身来定级。现在有不少客户,对运行在互联网的应用系统安全提等级要求时,经常说的就是系统安全要达到等保三级。但是从信息系统安全等级划分可以看到,其实这是一对矛盾体,因为在互联网端运行的应用系统原则上不能超过三级。对于这个问题,可以这样理解:
1、对于运行在互联网上的一般应用系统,不需要定为等保三级,但是可以按照等保三级的要求建设,以提高系统的安全性。
2、对于政府机构和金融行业的重要应用系统,如网上银行等,如果确实需要定为等保三级,可以采用https协议(默认访问端口为443),对重要信息进行加密传输。目前很多银行的业务系统,以及一些电商平台都是采用这种方式。
3、三级等保的安全要求
计算机信息系统三级等保的安全要求包括技术要求和管理要求两个方面,如图所示。
其中:
技术要求包括物理安全、网络安全、主机安全、应用安全和数据安全;管理要求包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。
物理安全
主要指物理位置的选择和满足机房建设的相关标准。包括:
应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁
对机房进行区域管理,设置过渡区域、安装门禁
按照基本要求进行建设配置光、电等防盗报警系统
设置防雷保安器,消防、耐火、隔离等措施
安装防静电地板,配备空调系统、稳压器、UPS、冗余供电系统等
网络安全
网络安全主要指系统部署方面需要采取的相关措施,包括:
合理规划路由,避免将重要网段直接连接外部系统,在业务终端与业务服务器之间建立安全路径、带宽优先级管理
防火墙配置包括:端口级的控制力度;常见应用层协议命令过滤;会话控制;流量控制;连接数控制;防地址欺骗等策略
部署网络安全审计系统,部署日志服务器进行审计记录的保存
部署终端安全管理系统
部署入侵检测系统,配置入侵检测系统的日志模块
对主要网络设备实施双因素认证手段进行身份鉴别等
主机安全
主要指对系统的安全进行身份鉴别和访问控制等进行管理,包括:
对主机管理员登陆时进行双因素身份鉴别(USBkey+密码)
管理员进行分级权限控制,重要设定访问控制策略进行访问控制
部署主机审计系统审计范围扩大到重要客户端
部署终端防恶意代码软件
部署应用安全管理系统进行资源监控、检测报警等
应用安全
主要指对应用系统的应用、管理等提供安全策略,包括:
进行双因素认证或采用CA系统进行身份鉴别
通过安全加固措施制定严格用户权限策略,保证帐号、口令等符合安全策略
开发应用审计功能,部署数据库安全审计系统
采用PKI体系中的完整性校验功能进行完整性检查,保障通信完整性
应用系统自身开发数据加密功能;采用VPN或PKI体系的加密功能保障通信保密性等
数据安全
对数据的完整性、保密性、备份与恢复等采取相关策略,包括:
配置存储系统传输采用VPN
应用系统针对存储开发加密功能,利用VPN实现传输保密性
重要数据本地备份与异地备份,关键设备线路冗余设计等
其实,等级保护从一级到五级,级别越高,要求越高是肯定的。但是不管是等保几级的系统,它所要求防护的5个方面都是一样的,只是这5个方面的要求细节,会根据安全级别的不同,具体要求有所不同,级别越高,防护措施要求越严格。
4、了解有哪些安全设备和服务
随着客户对应用系统安全的重视,市场上有很多安全厂商和安全设备,这些设备又包括软件和硬件,还有的软件、硬件相结合。同时,除了采购安全设备,日常的安全管理及服务也是必不可少的。为了便于大家了解、记忆,我们对常见的安全设备进行归纳、分类。主要包括:
安全接入类
包括VPN、数字证书系统、安全接入网关等。
安全防护类
包括防病毒软件、网页防篡改系统、Web应用防火墙、上网行为管理系统、网络安全隔离与信息交换系统、抗DDOS设备等。
安全检测类
包括入侵防御系统(IPS)、入侵检测系统(IDS)、网络审计系统、数据库安全审计系统、漏洞扫描系统等。
安全服务类
包括安全等级评估、系统安全测试、日常安全巡检等。
以上讲解了关于安全的基础知识,至于信息系统建设过程中应该如何保证安全,前几天老杨(微信公众号:老杨说售前,欢迎关注)写了一篇原创文章《我们应该如何构建安全的信息系统》,欢迎点击链接查看。
主题测试文章,只做测试使用。发布者:佰搜SEM,转转请注明出处:https://www.geoaiseo.com/4553.html
