欢迎来到天天文库
浏览记录
ID:52360029
大小:235.74 KB
页数:3页
时间:2020-03-26
《新闻网站内容管理系统安全防护策略体系.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、2.内容管理系统的安全防护策略体系需求分析图1内容管理系统安全防护策略体系内容管理系统基于B/S的架构并提供一个简洁集成的操作界面编辑能够灵活地制作模板、方便地组织网站内容,完成其中,技术体系是通过安全策略和技术的部署来达到安稿件的组织、选用、编辑、传送、签发等一系列网站新闻的制作全管理目标,包括身份安全控制、访问权限控制、备份恢复机流程,方便快捷。但同时网络开放共享的特点,使得该系统处制;管理体系是以管理制度为核心实施管理的过程,包括审计于一种高风险状态,任何获取了系统权限或者操作权限分配日志监
2、控、安全管理制度和人员培训。不当的情况都会造成新闻信息被纂改、捏造,并被发布到web4.内容管理系统安全防护机制的详细设计站点上,从而造成严重社会、政治影响。针对以上内容管理系统在新闻网站的运行状况,通常要4.1技术体系设计考虑以下几个方面的需求:4.1.1身份安全控制(1)能够对用户身份进行仅鉴别和认证,保证系统用户的在技术体系上为了区别系统合法用户与系统外用户,内合法性。容管理系统应利用身份安全控制机制,严格限制系统用户的(2)保证系统中的数据安全,防止新闻稿件被删除、被纂登陆行为。身份安全控
3、制机制通过密码控制、HTTPS技术及身改发布。份重鉴别策略来实现。(3)能够严格的控制登录者的操作权限,将其完成的操作(1)密码控制限制在最小的范围内。用户登录系统时,通过加强系统用户口令管理,对其进行(4)能够对管理员及普通编辑等用户的操作行为进行记严格的身份认证的。在密码的长度、复杂度以及更换时间上进录,为事后审查提供依据,防止违规越权行为发生。行严格限制。密码长度不应小于8位,且必须是大小写字母、数字和特殊字符中任意三种或以上的组合,并且强制定期进3.内容管理系统安全防护机制的设计思路行密码
4、更改。为满足上述内容管理系统安全防护的需求,必须制定相(2)HTTPS技术应的安全策略,使用可靠的安全机制与安全技术以及有效的新闻网站编辑登陆内容管理系统分两种情况,一种是直管理才能解决。安全不单纯是技术问题,而是技术与管理的有接从内网登陆,一种是从远程登陆。默认情况下,该系统采用一80一HTTP的登陆方式,由于HTTP协议采用明文数据传输,帐号、志监控、安全管理制度和人员培训。密码容易被网络侦听嗅探而截获,远程登陆变得极不安全。为4.2.1审计日志监控安全登录考虑,应采用HTTPS的登录方式,H
5、TTPS作为一种充分利用内容管理系统的系统审计模块,实现对登陆系具有安全性的SSL加密协议,将数据进行加密后在互联网上统用户的行为以及所进行操作的监督。审计日志详细记录了传输,而不再是明文传输,避免了信息在传输过程中被纂改、用户、时问、登陆IP、写稿、发稿及删稿等信息,系统管理员可被截取,保证各远程终端在访问内容管理系统时的帐号、密码对审计日志的分析查看相关用户操作有无危险越权行为,为安全。在发生系统安全后实现有效的取证。(3)身份重鉴别策略4.2.2安全管理制度为了防止用户通过多次尝试登陆获得他
6、人密码,系统对应用系统的安全仅仅靠技术手段是无法达到的,必须依输入密码的次数要进行严格控制。如在登录系统的过程中,用照安全需求制定一系列的内部安全管理制度,从责任、人员、户在输入5次错误密码情况下,用户的帐号将被系统临时锁部位、行为等多方面对保护系统的安全工作进行具体规定,并定,锁定时间一般为10分钟。锁定时间内只可通过系统管理通过全面推行,使之贯穿到日常具体工作中。员解除锁定。内容管理系统的安全管理制度应从以下几方面进行考此外,还可以利用会话保持的有效时间进行用户身份认虑:证重鉴别。将会话保持的
7、空闲状态超过10分钟的,自动断开①明确系统的管理机构和职责,明确系统的使用机构和系统连接。再次使用时必须重新登录。职责。在新闻网站,一般技术部门作为系统的管理机构,负责4.1.2访问权限控制保障系统的正常运行,规范指导系统的安全使用;组织对系统访问控制是进行授权、管理和监控的基础。网站内容发布的学习培训;对业务部门的使用、操作进行技术指导。业务部系统中常用权限分为写稿权、编稿权、发布权、模板权、栏目管门作为系统的使用机构,必须学习系统相关业务,贯彻执行系理权,权限可组合使用,同时拥有系统管理员、总
8、编辑、责任编统管理办法规定的使用规范。辑和普通编辑的角色区分。各个角色对应相应的权限,如总编②账户授权管理。必须明确用户开通帐号并获取相应权辑拥有采编稿件、发布、各个栏目管理等所有编务管理流程的限的手续、条件及流程。如可规定用户必须通过培训考试方可一套权限,而普通编辑拥有写稿权,只能对稿件进行录入,稿件被授权使用内容管理系统;用户申请使用权限,必须清晰完整的编辑及审核则由拥有编稿权的责任编辑来完成。必须严格的的填写申请单,内容必须准确描述权限及权限所对应的栏目对用户帐号进行授权,只
此文档下载收益归作者所有