?

七寶SEO七寶SEO七寶SEO

濟南SEO優化:怎么進行安全的信息系統構建

  安全事故層出不窮的今天,系統安全受到前所未有的關注和重視,所以德州網站優化七寶SEO今天就來說一說。

  一、信息系統安全的重要性

  信息系統安全本身包括的范圍很大。小到用戶密碼被盜個人信息外泄、網頁內容被篡改無法訪問等,大到網上支付被劫持、國家軍事政治等機密信息泄露等,各種信息系統安全事故每年造成重大經濟損失,并給個人、機構帶來嚴重影響。2018年4月20日至21日,全國網絡安全和信息化工作會議在北京召開,習近平總書記出席會議并發表重要講話。他指出,沒有網絡安全就沒有國家安全,就沒有經濟社會穩定運行,廣大人民群眾利益也難以得到保障。要樹立正確的網絡安全觀,加強信息基礎設施網絡安全防護,加強網絡安全信息統籌機制、手段、平臺建設,加強網絡安全事件應急指揮能力建設,積極發展網絡安全產業,做到關口前移,防患于未然。

向日葵app下载安装  網絡環境下的信息安全體系是保證信息安全的關鍵,包括計算機安全操作系統、各種安全協議、安全機制(數字簽名、信息認證、數據加密等),直至安全系統,其中任何一個安全漏洞便可以威脅全局安全。

  近年來,信息系統安全事故層出不窮,各種網頁內容被黑客篡改、重要網站被掛馬、旅客住房信息被泄露等新聞頻頻見諸互聯網。基于此,構建信息系統時,安全就變得尤為重要了。

  二、了解安全等級保護要求

  2019年5月13日下午,《網絡安全等級保護制度》2.0標準(以下簡稱“等保2.0標準”)正式發布,實施時間為2019年12月1日。相較于2007年實施的《信息安全等級保護管理辦法》所確立的等級保護1.0體系(以下簡稱“等保1.0標準”),為了適應現階段網絡安全的新形勢、新變化以及新技術、新應用發展的要求,2018年公安部正式發布《網絡安全等級保護條例(征求意見稿)》,國家對信息安全技術與網絡安全保護邁入2.0時代。其中,GB/T22239-2019《信息安全技術網絡安全等級保護基本要求》將替代原來的GB/T2239-2008《信息安全技術信息系統安全等級保護基本要求》。

  在近日舉行的等保2.0國家標準宣貫會上,說起等保2.0標準的特點,公安部信息安全等級保護評估中心測評部主任、等級保護國家標準的主要起草者,馬力副研究員表示,相比等保1.0標準,主要體現在以下三個方面:

向日葵app下载安装  一是,對象范圍擴大。新標準將云計算、移動互聯、物聯網、工業控制系統等列入標準范圍,構成了“安全通用要求+新型應用安全擴展要求”的要求內容。

  二是,分類結構統一。新標準“基本要求、設計要求和測評要求”分類框架統一,形成了“安全通信網絡”、“安全區域邊界”、“安全計算環境”和“安全管理中心”支持下的三重防護體系架構。

  三是,強化可信計算。新標準強化了可信計算技術使用的要求,把可信驗證列入各個級別并逐級提出各個環節的主要可信驗證要求。

  等保2.0標準在對等保1.0標準基本要求進行優化的同時,針對云計算、物聯網、移動互聯網、工業控制、大數據新技術提出了新的安全擴展要求。也就是說,使用新技術的信息系統需要同時滿足“通用要求+安全擴展”的要求。

向日葵app下载安装  關于等保2.0標準,網上有一篇《權威解讀|絡安全等級保護2.0標準體系以及主要標準》,更詳細的內容感興趣的朋友可參看:

  http://netsecurity.51cto.com/art/201905/596905.htm

  三、信息系統建設的幾個安全原則

向日葵app下载安装  在信息系統建設過程中,需要遵循以下幾個原則:

  1、木桶原則

  假如系統中有10個漏洞,攻擊者總是尋找最容易攻破的漏洞進行攻擊,這個最容易被攻破的漏洞就是木桶上最短的那塊木板。其它的安全措施做的再好,但是只要有這一個漏洞被攻破,系統就不安全了。好比即使買了最安全的防盜門,但是如果主人出門時忘了鎖門,防盜門也就形同虛設了。

向日葵app下载安装  2、性價比適中原則

  一般來說,在系統安全建設上投入越多,信息系統越安全。但是,安全投入并不是越多越好,在信息系統建設費用一定的情況下,需要考慮安全和應用系統建設投入的合理分配,即找到最合適的性價比,既不能影響應用系統的使用,又要最大限度地保證系統安全。

  3、動態更新原則

  信息系統安全建設并不是一勞永逸的,它是一項長期的、動態的工作。各種網絡病毒、系統漏洞、黑客攻擊手段等每天都在發生變化,安全建設需要隨著外部安全環境的變化,動態持續更新,這樣才能及時發現信息系統中的安全漏洞,并及時采取補救措施。

安全信息系統構建

  四、信息系統建設過程中的安全措施

向日葵app下载安装  現在,越來越多的客戶已經充分認識到信息系統安全的重要性,但是還有一些客戶在信息系統曾經出現過安全事故后,“一朝被蛇咬十年怕井繩”,對新系統的建設畏手畏腳,或者提出近乎苛刻的安全要求,其實這都是非常不可取的,也大可不必。市場上有很多專業的安全軟硬件設備,從物理層、網絡層、主機層、數據層等層面,以及通過安全服務(安全評估、安全檢測等),為信息系統的安全穩定運行保駕護航。拋開這些不談,從信息系統軟件本身,在建設過程中,七寶SEO認為可以采取以下安全措施。

  1、合理的軟件系統架構

  所謂的合理的軟件系統架構,其實就是軟件開發過程中遵循的一種基本規范。比如MVC框架、微服務架構等就是其中很好的體現之一。一般來說,我們需要遵循“展示和應用分離,靜態文件和動態交互分離,應用系統和數據庫分離”等軟件開發理念。

向日葵app下载安装  2、重要信息進行加密處理

  有數據表明,用戶個人信息泄露,很大一部分是由于密碼被盜用,而密碼被盜用的主要原因是密碼設置過于簡單或加密算法簡單被破解。所以,對于諸如密碼等重要信息,需要采用單向加密算法進行存儲,并要求長度不少于8位,且應由字符、數字、下劃線等組成。同時,對于需要傳輸的信息,應基于SSL等方式進行加密傳輸,保證用戶密碼、傳輸信息的安全。

  3、對特殊字符進行處理,防止SQL注入

  SQL注入,就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務器執行惡意的SQL命令。我們經常在網上看到:輸入某個字符進行查詢時,查詢結果中將很多其它信息顯示出來,就是通過這一方式實現的。

  針對這一問題,程序員要養成良好的編程習慣,保證代碼的規范性,對于在表單中輸入的特殊字符,如<>、%、*、單引號等,在提交時,要進行轉換處理。同時,對于存放在數據庫中的重要信息,要進行加密處理。

  4、通過細顆粒度權限體系規范人員操作

  很多安全事故的調查結果表明,由于內部人員的一些操作,導致信息被修改或刪除。造成這一結果的主要原因是,操作人員的權限過大,無意操作。因此,應該通過更細顆粒度的權限體系,為不同的操作人員設置相應的操作權限。

  5、加強信息發布審核操作

向日葵app下载安装  對于重要信息的發布,應加強審核操作。通過設置審批工作流程,嚴格進行層層審批審核,只有達到可發布狀態的信息,才能正式對外發布。通過設置敏感詞庫、涉密詞庫等措施,對信息發布過程中涉及的敏感詞內容進行事前監控,避免將敏感、涉密信息發布到互聯網上。

向日葵app下载安装  6、建立事后審計制度

向日葵app下载安装  通過事后審計制度,將系統使用人員的重要操作進行記錄,一旦發生安全事故,通過查看日志等措施,追蹤事故發生的原因和相關行為人。

  7、持續地進行安全巡檢服務

  前面說過,信息系統安全建設并不是一勞永逸的,因此需要經常進行安全巡檢,及時發現系統中存在的安全漏洞,并通過更新補丁包、升級軟件系統等方式,對應用系統進行安全加固。

  8、制定安全管理制度

向日葵app下载安装  在信息系統的使用過程中,要制定安全管理制度,嚴格遵循“上網不涉密,涉密不上網”等原則,通過不定期組織信息系統安全管理培訓,加強系統使用人員的安全意識,自覺地將安全管理制度深深植入到思想意識中,并在實際工作中加以應用。

向日葵app下载安装  五、安全管理工作的痛點、難點

向日葵app下载安装  (1)工作點多面廣,不易層層推進落實。

  涉及直接從事安全信息化管理操作的專(兼)職安全管理人員和作業崗位人員較多,對這些人員組織集中性專業知識培訓,難度大、費用高、掌握難。

向日葵app下载安装  (2)專職管理隊伍不健全。

  現在一般企業未設專門安全組織機構,安全工作主要由綜合辦等科室兼管,而安全管理員又兼任其他崗位工作,難以將時間和精力都用在安全專業管理方面。安全員是安全信息化數據主要信息源的直接責任人,如果他們的信息源不能確保準確、完整,那么將直接影響到信息的準確性,易使安全管理的預測預警工作偏離方向。

  (3)安全管理隊伍不穩定。

向日葵app下载安装  部分企業安全隊伍存在聘用人員不穩定、老齡化、流動更換頻繁等問題。如何讓熟知安全管理法律法規、了解掌握安全管理專業知識的人,即使換崗退休,也不影響崗位職責的履行,是企業安全管理信息化工作需要解決的難點問題。

  (4)安全巡檢工作量大。

  部分企業專業化程度較高,企業生產線自動化水平高、線路長,暴露在外的風險點較多,檢查點多,面臨的安全工作更加繁重,主要包括特種作業管理、危險作業審批、易燃易爆有毒有害物品管理、危化品管理、防火制度以及各生產崗位、大量各工種機械設備的安全巡檢。靠現有管理水平,想在檢查區域實現視頻化、遠程化、自動化管理非常難。

  (5)專業知識技能要求高。

  工業企業的安全工作人員,除了要深刻理解企業安全生產標準化規范外,還要非常熟悉設備本身的安全操作規程,把設備維保臺賬電子化、自動化,把流程歸類簡化,把所有檢查根據區域、設備、人員職能等要素進行分類,做到安全責任網格化、管理網格化。只有把這些問題都梳理清楚,安全管理信息化工作才能真正落到實處。

  最后,七寶還想說一句,沒有百分之百安全的信息系統,安全問題也不應被視作洪水猛獸。信息系統出現了安全問題,在系統產生重大影響之前,及時把問題解決并且在以后不再出現同樣的問題就可以了。如果要保證系統百分之百安全,那就只能不建設系統了,或者即使建了也不要使用。雖然防盜門不能百分之百保證住所安全,但是如果沒有防盜門,住所安全性將大大降低。相信通過以上各種不同的安全措施,可以大大提高信息系統的安全性。


未經允許不得轉載:七寶SEO » 濟南SEO優化:怎么進行安全的信息系統構建