5.2 应用安全
针对人为操作造成的风险,必须从系统的应用层进行防范,因此应用系统在建设时需考虑系统的安全性。具体包括以下几个方面:
一、访问控制
加强操作系统的用户管理、权限管理;
限制用户口令规则和长度,禁止用户使用简单口令,强制用户定期修改口令; 按照登录时间、登录方式限制用户的登录请求;
加强文件访问控制管理,根据访问的用户范围,设置文件的读、写、执行权限;
对重要资料设置被访问的时间和日期。 二、权限控制和管理
按照单位、部门、职务、工作性质等对用户进行分类,不同的用户赋予不同的权限、可以访问不同的系统、可以操作不同的功能模块;
应用系统的权限实行分级管理,每个系统的管理员自己定义各类用户对该系统资源的可访问内容。
三、身份验证
通过采用口令识别、数字认证方式,来确保用户的登录身份与其真实身份相符,保证数据的安全性、完整性、可靠性和交易的不可抵赖性、增强顾客、商家、企业等对网上交易的信心。
四、HTTPS协议
在安全性要求高的通讯中使用HTTPS协议,保证数据在网络上传输的通讯安全。
五、数据存储
关联及关键数据加密存储:提取数据库中表间关联数据或重要数据信息,采用HASH算法,生成一加密字段,存放在数据表中,保证数据库中关联数据的一致性、完整性,防止重要数据的非法篡改。
六、日志记载
数据库日志:使得系统发生故障后能提供数据动态恢复或向前恢复等功能,确保数据的可靠性和一致性。
28
应用系统日志:通过记录应用系统中操作日志,通过事后审计功能为将来分析提供数据分析源,确保业务的可追溯性。
29
相关推荐:
loading