安全管理是建設應用系統建設的重中之重。當前，公司網(wǎng)絡(luò )安全事故層(′?_?`)出不窮，需解特別是全知在重大活動(dòng)或節假日期間，應用系統容易受到黑客攻擊。網(wǎng)站同時(shí)，建設因為內部的公司安全管理等問(wèn)題，也容易造成??系統的(de)需解安全隱患。作為售前工(gong)程師，全知需要了解和系統相關(guān)的網(wǎng)站安全知識。

1、建設了解應用系統的公司安全等級

2001年1月1日開(kāi)始實(shí)(′Д` )施的《計算機信息系統安全保護等級劃分準則》，將信息系統安全分為5個(gè)等級，需解分別是全知：

用(yong)戶(hù)自主保護級（第一級）

信息系統受(shou)到破壞后，會(huì )對公民、法人(′▽?zhuān)?和其他組織的合法權益造成損害，但不損害國家(jia)安全、社會(huì )秩序和公共利益。適用于普通內??聯(lián)網(wǎng)用戶(hù)。

系統審計保護級（第(di)二級）

信息系統受到破壞后，會(huì )對公民、法人和其他組織的合法權益產(chǎn)生嚴重損害，或者對社會(huì )秩序和公共利益造成損害，但不損害國家安全。適用于通過(guò)內聯(lián)網(wǎng)或互聯(lián)網(wǎng)進(jìn)行商務(wù)活動(dòng)(dong)，需要保密的非重要單位。

信息系統受到破壞后，會(huì )對社會(huì )秩序和公共利益造成嚴(?⊿?)重損害，或者對國家安全造成損害，適用于地方各級國家機關(guān)、金融機構、郵電通信、交通運輸、重點(diǎn)工程建ヾ(′?｀)?設等單位。

結構化保護級（第四級）

信息系統受到破壞后，會(huì )對社會(huì )秩??序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。適用于中央級國家機關(guān)(guan)、廣電部門(mén)、社會(huì )應急保障部門(mén)、國家重點(diǎn)科研機構和國防建設部門(mén)等單位。

訪(fǎng)問(wèn)驗證保護級（第五級）

信息系統受到破壞后，會(huì )對國家安全造成特別嚴重損害。適用于國防、軍隊等關(guān)鍵部門(mén)和依法需要對應用系統實(shí)施特殊隔離(′?｀*)的單位。

可以看到，從第一級(??ヮ?)?*:???到第五級，安全標準越來(lái)越高，越來(lái)越嚴格。

2、應用系統應如何定級

應用(′?_?`)系統的安全等級定級，并不是越高越好，要根據( ?ヮ?)系統本身來(lái)定級?，F在有不少客戶(hù)，對運行在互聯(lián)網(wǎng)的應用??系統安全提等級要求時(shí)，經(jīng)常說(shuō)的就是系統安全要達到等保三級。但是從信息系統安全等級劃分可以看到，其實(shí)這是一對矛盾體，因為在互聯(lián)網(wǎng)端運行的應用系統原則上不能超過(guò)三級。對??于這個(gè)問(wèn)題，可以這樣理解：

1、對于運行在互??聯(lián)網(wǎng)上的一般應用系統，不需??要???定為等保三級，但是可以按照等保三級的要┐(′д｀)┌求建設，以提高系統的安全性。

2、對于政府機構和金融行業(yè)的重要應用系統，如網(wǎng)上銀行等，如果確實(shí)需要定為等保三級，可以采用https協(xié)議（默認訪(fǎng)問(wèn)端口為443），對重要信息進(jìn)行加密傳輸。目前很多銀行的業(yè)務(wù)系統，以及一些電商平臺都是采用這種方式。??

3、三級等保(bao)的安全要求

計??算機信息系統三級等保的安全要求包括技術(shù)要求和管理要求兩個(gè)方面，如圖所示。

其中：

技術(shù)要求包括物理安全、網(wǎng)絡(luò )安全、主機安全、應用安全和數據安(′ω｀)全；管理要求包括安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理。

物理安全

主要指物理位置的選擇和滿(mǎn)足機房建設的相關(guān)標準。包括：

對機房進(jìn)行區域管理，設置過(guò)渡區域、安裝(╯°□°）╯︵ ┻━┻門(mén)禁

按照基本要求進(jìn)行建設配置光、電等防盜報警系統

設置防雷保安器，消防、耐??火、隔離等措施

安裝防靜電地板，配備空調系統、穩壓器、UPS、冗余供電系統等

網(wǎng)絡(luò )安全主??要指系統部署方面需要采取的相關(guān)措施，包括：

合理規劃路由，避免將重要網(wǎng)段直接連接外部系統，在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間建立安全路徑、帶寬優(yōu)先級管理

部署網(wǎng)絡(luò )安全審計系統，部署日志服務(wù)器進(jìn)行審計記錄的保存

部署終端安全管理系統

部署入侵檢測系統，配置入侵檢測系統的(de)日志模塊

對(dui)主要網(wǎng)絡(luò )設備實(shí)施雙因素認證手段進(jìn)行身份鑒別等

主要指對系統的安全進(jìn)行身份鑒別和訪(fǎng)??問(wèn)控制等進(jìn)行管理，包括：

對主機管理員登陸時(shí)進(jìn)行雙因素身份鑒別（USBkey+密碼）

管理員進(jìn)行分級權限控制(zhi)，重要設定訪(fǎng)問(wèn)控制策略進(jìn)行訪(fǎng)問(wèn)控制

部署主機審計系統審計范圍(╯°□°）╯︵ ┻━┻擴大到重要客戶(hù)端

部署終端防惡意代(dai)碼軟件

部署應用安全管理系統進(jìn)行資源監控、檢測報警等

應用安全

主要指對應用系統的應用、管理等提供安全策略，包括：

進(jìn)行雙因素認證或采用CA系統進(jìn)行身份鑒別

開(kāi)發(fā)應用審計功能，部署數據庫安全審計系統

采用PKI體系中的完整性校驗功能進(jìn)行完??整性檢查，保障通信完整性

應用系統自身開(kāi)發(fā)數據加密功能；采用V(′▽?zhuān)?)PN或PKI體系的加密功能保障通信保密性等

數據安全

對數據的完整性、保密性、備份與恢復等采取相關(guān)策略，包括：

配置存儲系統傳輸采用VPN

應用系統針對存儲開(kāi)發(fā)加密功能，利用VP┐(′д｀)┌N實(shí)現傳輸保密性

重要數據本地備份與異地備份，關(guān)鍵設備線(xiàn)路冗余設計等

其實(shí)，等級保護從一級到五級，級別越高，要求越高是肯??定的。但是不管ヽ(′▽?zhuān)?ノ是等保幾級的系統，它所要求防護的5個(gè)方面都是一樣的，只是這5個(gè)方面的要求細節，會(huì )根據安全(quan)級別的不同，具體要求有所不同，級別越高，防護措施要求越(yue)嚴格。

4、了解有哪些安全設備和服務(wù)

隨??著(zhù)客戶(hù)對應用系統安全的重視，市場(chǎng)上有很多安全廠(chǎng)商和安全設備，這些設備又包括軟件和硬件，還有的軟件、硬件相結合。同??時(shí)，除了采購安全設備，日常的安全管理及服務(wù)也是必不可少的。為了便于大家了解、記憶，我們對常見(jiàn)的安全設備進(jìn)行歸納、分類(lèi)。主要包括：

安全接入類(lèi)

包括VPN、數字證書(shū)系統、安全接入網(wǎng)關(guān)等。

安全防護類(lèi)

包括防病毒軟件、網(wǎng)頁(yè)防篡改系統、Web應用防火墻、上網(wǎng)行為管理系統、網(wǎng)絡(luò )安全隔離與信息交換系統、抗DDOS設備等。

包括入侵防御系統（IPS）(′?ω?`)、入侵檢測系統（IDS）、網(wǎng)絡(luò )審計系統、數據庫安全審計系統、漏洞掃(′?｀*)描系統等。

安全服務(wù)類(lèi)

包括安全等級評估、系統安全測試、日常安全(quan)巡檢等。