应用系统安全防护方案建议书.pdfVIP

其身正，不令而行；其身不正，虽令不从。——《论语》

应用系统安全防护方案建议书

其身正，不令而行；其身不正，虽令不从。——《论语》

目录

第1章应用系统安全防护解决方案2

1.1安全风险分析2

1.2安全解决方案2

其身正，不令而行；其身不正，虽令不从。——《论语》

第1章应用系统安全防护解决方案

1.1安全风险分析

8.1.1物理安全风险

物理安全风险主要包括环境安全风险、设备安全风险、记录介质安全风险等。环境安全风险

主要指物理设备所处环境的安全风险，例如：机房周边环境的安全风险、机房火险、机房水险、

供配电异常、空调系统失灵、电磁干扰、地震、雷击、静电等等。设备安全风险主要是指设备的

被盗、被损和不可用的安全风险。记录介质安全风险主要是指各类记录介质被盗、被损、非法拷

贝等等。这些安全隐患都可能导致系统崩溃、数据丢失、信息泄漏等等，造成无法挽回的损失。

8.1.2网络安全风险

由于我们搭建在内部网络上，这里的风险主要是指内部网络用户基于内部的局域网环境，非

法访问主机系统和业务应用系统引起的系统工作异常甚至崩溃、信息数据泄密和破坏等风险。

8.1.3系统安全风险

操作系统本身的漏洞和缺陷、用户权限设置不合理、一些不安全协议的使用等等这些因素都

构成对系统的威胁；应用系统漏洞及其设计缺陷等等也会引起系统的安全风险问题；病毒是威胁

系统安全的一个主要方面；此外，系统备份认识不足也是系统安全隐患。

8.1.4数据安全风险

数据安全风险主要包括防止数据被破坏、窃取和非法使用等。数据安全风险和系统安全风险

往往具有相关性。

8.1.5管理安全风险

安全意识淡薄、管理制度不健全等等都可能构成安全隐患。种种事件表明，多数公司机密泄

漏事件是由于公司内部相关人员对个人密码的保护上重视程度不够，甚至在利益的驱使下直接将

内部信息泄漏出去。

1.2安全解决方案

8.2.1完善强大的系统管理功能

系统管理是整个系统运行的基础，提供了操作员管理、用户组管理、权限管理、上机日志管

理、系统维护等功能。

可以建立一个或多个系统管理员，按照分工或者职责的不同，对系统的不同的部分进行维

护。

可以针对一个单位增加操作员，也可以先增加操作员后与各单位建立关联。这样一个操作员

就可以对多个单位的数据进行操作，并且只能对被赋予权限的单位的数据进行操作。

用户组的建立为操作员的管理和权限分配带来很大方便。

其身正，不令而行；其身不正，虽令不从。——《论语》

上机日志记载了每个操作员每一次操作的时间、操作的内容等数据。完整的上机日志为系统

安全的管理提供了保证。

8.2.2高度的安全性应用

1）系统软件安全保障

数据传递采用RSA+DES算法，并且可以在传输层绑定各种协议。

客户认证，全部在服务器上认证。并且每个用户的密码在数据库内加密存放。密码存放对一

般用户不是透明的。

系统从功能权限、数据权限、字段权限三个层次管理使用者，保证机密数据的安全。

系统数据是放在数据库中的，大型的数据库本身有一套比较完善的安全体系。产品代码全部

放于服务器上，只有服务器管理人员才能更改代码。客户端的代码是动态地下载到客户端的，动

态下载意味着谁也无法在客户端修改客户端的运行代码。数据库的管理只在服务器上，数据库的

访问权