返回
【9A文】应用系统安全规范制定建议

【9A文】应用系统安全规范制定建议

ID:47082532

大小:62.50 KB

页数:12页

时间:2019-07-19

【9A文】应用系统安全规范制定建议_第1页
【9A文】应用系统安全规范制定建议_第2页
【9A文】应用系统安全规范制定建议_第3页
【9A文】应用系统安全规范制定建议_第4页
【9A文】应用系统安全规范制定建议_第5页
资源描述:

《【9A文】应用系统安全规范制定建议》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、【MeiWei_81重点借鉴文档】应用系统安全规范制定建议应用系统安全是当前众多大型企业要重点关注的问题,但这块有好多工作要做,现状是现在很多做安全的人,不怎么太做开发,做开发的人懂安全的人又少之又少,这里我从应用系统安全,提出几点自己的建议,当然不足之处还请大家讨论和指正。1应用系统安全类别划分具体划分准则,需要根据自己单位实际规模和业务特征去定位,我这里把具体的分类细则隐去了,有兴趣的可以讨论.2.1网络安全性2.1.1网络接入控制未经批准严禁通过电话线、各类专线接到外网;如确有需求,必须申请备案后先进行与内网完全

2、隔离,才可以实施。2.1.2网络安全域隔离如果有需要与公司外部通讯的服务器,应在保证自身安全的情况下放入公司防火墙DMZ区,该应用服务器与公司内部系统通讯时,应采用内部读取数据的方式。其他类应用系统服务器放置在公司内部网中。2.2系统平台安全性2.2.1病毒对系统的威胁各应用系统WINDOWS平台应关闭掉服务器的完全共享,并安装防毒客户端软件,启用实时防护与接受管理,进行周期性对系统全机病毒扫描。2.2.2黑客破坏和侵入对各应用系统应及时进行系统补丁的升级和安全配置,并配合进行入侵检测和漏洞扫描等安全检查工作。对于重点

3、系统可以考虑部署主机入侵检测系统来保证主机的安全性。2.3应用程序安全性2.3.1在应用系统的生命周期中保证安全应用系统的设计和管理者要在不同的阶段采用相应的工作方法和工作步骤,设计出一个把安全贯穿始终、切实可行的安全方案。对应用系统应能提供书面可行的安全方案。【MeiWei_81重点借鉴文档】【MeiWei_81重点借鉴文档】2.3.2在应用系统启始设计阶段实施安全计划在应用系统启始设计阶段进行充分的安全可行性分析,对应用系统应该进行专门的安全可行性分析。启始设计阶段同时还要进行风险的最初评估,在被选方案之间权衡效费

4、比关系时,应该参照这个估计值,尤其在重点应用系统项目中应特别注重这方面的考虑。2.3.3在应用系统开发阶段建立安全机制安全需求定义:在软件开发之前,需要了解相关的安全规定和软件运行的环境要求,并对此产生的安全需求做出定义。安全设计:安全设计不能简单依附于系统设计的控制而了事,安全的内容必须渗透到整个设计阶段。当然,也不必对每项设计决定都采取安全方法。通常,有各种方法使其达到必要的安全级别,需要考虑的是如何选择一种折衷方案给安全以适当的地位。良好的安全设计能明显的减少应用系统的脆弱性并减少在系统运行时安全的强制性。对于重

5、点类系统应能够提供这方面的细节说明,以证实安全性设计的有效性。安全的编程方法:(1)所有应用系统都应正确选择程序设计语言和其它程序设计工具,从而提高最终产品的可靠性和正确性;为提高整个系统的安全性,要恰当地选择并利用这些工具帮助防止程序错误进入源编码。(2)对于重点应用系统应该严格采用软件工程的方法编制程序,对编码至少由一名未参与程序设计的程序员检查程序编码,全面了解它的安全要点,他与原设计者对程序遗留问题应负有同样的责任。(3)对于重点应用系统程序库应有仅允许授权人存取程序模块功能,以及记录所有对程序模块存取的安全控

6、制功能。软件安全性的检测和评估:公司所有类应用系统综合运用静态和动态检测技术,进行全面认真的检测和评估,发现在应用系统设计和编码中的错误、疏忽和其它缺陷。2.3.4在操作运行中保障安全数据控制:重点应用系统应从输入准备、数据媒介存储、输出传播各个阶段所需的控制入手,保证数据安全成功处理。对安全变异的响应:重点应用系统中,一切与现行安全规定抵触的每一件事或不能解释的结果以及其它异常事件都应视为安全变异现象,应该给予足够【MeiWei_81重点借鉴文档】【MeiWei_81重点借鉴文档】的重视,并尽快报告管理员或其他负责人

7、采取必要措施,以减少或消除不安全隐患。报告方式要保密、过程要简单。安全记账与审计:重点应用系统中,应利用应用系统审计日志进行监控,并作为一种主动的监督管理形式和一种检测触犯安全规定事件的手段。同时必须加强对应用系统的审计日志类信息的保护,对审计日志和监控功能的使用也必须做审计记录。2.4接口安全性2.4.1接口安全性要求职责分隔:应用系统接口是易受攻击的脆弱点,重点应用系统中,应从职责管理上加强,将责任实现最佳分离。明确敏感客体和操作规定:重点应用系统中,应能够根据可靠性、保密性和可用性三者定义每个数据客体(数据输入、

8、数据存储和数据输出等)的安全需求,并通过系统实施时的培训来落实。错误容限规定:公司各类应用系统对错误的容限度和在可接受的限度内维护错误级别的需求必须被定义在安全需求中。可用性需求:公司各类应用系统为避免因为系统不能有效使用而产生的严重危害,必须制定可用性需求,然后根据需求采取措施来保证系统的可用性。2.4.2接口扩展性要求接口标准

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。