认识达内从这里开始

对于大多数消费者来说，在预防信息泄露方面主要依靠的是应用本身的安全以及网络方面的安全这两方面。今天，我们就针对这些安全内容来做一个简单的分析，一起来了解下吧。

应用安全从身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制和代码安全等几方面考虑。

1.身份鉴别

与统一权限管理系统进行集成，实现统一身份认证、单点登录和统一授权，并应用PKI/CA系统进行强身份认证。

2.访问控制

使用基于角色的权限控制方式对系统资源的访问进行授权，支持根据业务角色不同赋予权限，支持到功能模块、文件、报表的细颗粒度权限控制;严格限制默认账户的访问权限;权限分离应采用小授权原则，授予用户完成承担任务所需的小权限;系统支持对特权用户的权限分离，如将管理与审计赋予不同用户;具备对重要信息资源设置敏感标记的功能，并制定统一安全策略严格控制用户对有敏感标记的重要信息资源的操作访问。

3.安全审计

对用户的登录、重要用户行为、系统资源的异常使用和重要系统功能的执行等进行审计;审计的日志应包括日期和时间、类型、主体标识、客体标识、客体敏感标记、事件的结果等;系统支持对审计记录进行分析，生成审计报表，并可对特定事件提供实时报警。

4.剩余信息保护

大数据平台相关的文件、目录和数据库记录等所使用的存储空间与其他系统所使用存储空间进行隔离区分，在分配给其他系统使用前将存储的信息进行完全清除。

5.通信完整性

大数据平台与其他应用之间以及两级大数据平台之间的数据通信应使用事务传输机制，在数据传输异常中断时，进行事务的回滚和重传，保证数据完整性。

6.通信保密性

用户访问大数据平台以及两级大数据平台之间的数据通信应支持使用加密技术，在会话初始化时进行认证，并在通信过程中对整个会话过程进行加密。

7.抗抵赖

在协调控制相关功能实现中充分考虑数据的抗抵赖，提供业务发起和业务接收时保留证据的功能。

8.软件容错

在人工输入或通过接口进行输入时提供对输入数据的有效性检验;在功能实现上应支持回退的功能，允许按照操作序列进行回退;系统的支撑硬件和软件应具备故障状态监测和自动保护能力，在故障发生时自动保护当前所有状态并迅速恢复原来的工作状态。

9.资源控制

对单个用户的并发会话数和系统同时并发会话连接数进行限制，禁止同一用户帐号在同一时间内并发登录;设置登录终端的操作超时锁定和鉴别失败锁定策略;系统应支持对用户身份、访问地址、时间单位的细颗粒度访问控制措施;支持对部分高级用户的访问、全景展示的应用以及监测分析数据的流转过程采用优先服务机制。

10.代码安全

开发人员应参照应用程序代码编写安全规范编写代码，并在开发过程中对代码进行复审;在系统上线前对代码进行安全脆弱性分析和渗透性测试。

网络安全从结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范和网络设备防护等几方面进行考虑。

1.结构安全

为满足业务高峰期需求，主要网络设备的处理能力、带宽需要具备冗余空间;大数据平台核心服务器应划分独立的网段，采用统一的隔离技术进行隔离;对于总部和省(市)两级大数据平台之间的带宽、大数据平台与其它业务应用系统之间的带宽分配较高优先级别，保证小带宽。

2.访问控制

按照统一要求，与信息内网之间使用防火墙等逻辑访问控制设备进行访问控制，对于其他网络使用信息安全网络隔离装置进行访问控制;应支持粒度至端口级的会话状态控制，支持对HTTP、TELNET等应用层协议命令级的控制，支持对大流量数和网络连接数的控制;应采取技术手段防止地址欺骗;在用户和系统之间，设置至用户粒度的访问控制规则。

3.安全审计

应用IMS系统对网络中的网络设备的运行状态、网络流量、用户行为等进行记录，并根据记录进行分析，定期生成审计报表。

4.边界完整性检查

访问大数据平台的全部内网终端部署非法外连监测系统，对内网终端非法外连和外网终端私自接入内网的行为进行检测，并对其进行有效阻断。

5.入侵防范

通过网络入侵检测/网络入侵防护设备对端口扫描、暴力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击等行为进行检测，在检测到攻击行为时进行记录和报警。

6.恶意代码防范

网络边界应用防病毒过滤网关对恶意代码进行过滤，及时更新恶意代码库和检测系统。

7.网络设备防护

对登录网络设备的用户进行身份鉴别，限制网络管理员登录地址;不同网络设备用户应使用不同的用户;对于核心网络设备应采用多因素身份鉴别技术进行身份鉴别，同时口令应满足一定复杂度要求并定期更换;系统应具备登录失败处理功能，在鉴别会话结束、登录连接超时后自动退出，限制非法登录尝试次数等方式;网络远程管理应采取必要措施防止鉴别信息在网络传输过程中被窃听;应实现设备特权用户的权限分离。

【免责声明】本文系本网编辑部分转载，转载目的在于传递更多信息，并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题，请在30日内与管理员联系，我们会予以更改或删除相关文章，以保证您的权益!