网站建设系统程序安全什么是一级安全域边界防护?根据安全域等级划分原则,不同等级间必须采取相应的安全防护策略。对于可控子域之间的互访,安全设施的部署尽量在高安全等级侧。对于不可控子域间的互访,不同等级侧均须部署安全防护措施。在进行等级保护的同时,要定期对各子域进行风险评估并及时更新安全防护措施。深圳网站建设公司安全工程师现就网站程序的安全问题以及防护策略整理归纳如下,希望能给您的网站建设上线后的安全运行有所帮助。
1.网站建设程序核心安全区边界防护
总体上看,核心安全区与半安全区、安全区及内部业务区都有边界。对于从半安全区、安全区及内部业务区到核心安全区的数据访问,在边界整合的基础上,结合安全域的威胁可能性和保护等级,在核心安全区边界统一部署防火墙,也可根据实际需求,给不同核心安全子区部署防火墙。在安全策略的设置上,要确保各个核心子区的安全,只允许向特定的半安全子区、安全子区、内部子区开放必须对其提供的业务访问需求,对各子区按照最小授权原则设置安全策略,不允许其他安全域直接访问核心域,必须通过特定子区访问核心安全区,要求考虑各种安全防护手段,并对安全策略最大化。
在核心安全区边界网络层访问控制上,必须细化到某个子区对外提供业务的IP地址和服务端口范围。在保护方式上可以采取接口服务器与路由策略控制、防火墙策略控制和物理隔离的方式。在技术实现上,可以在核心安全区与半安全区、安全区及内部业务区之间部署路由模式或透明模式的单层双机防火墙,具体视网络结构改造的复杂程度而定,尽量减少对业务系统的影响。
在系统层面上,对核心安全区必须进行定期的安全评估和系统加固,规范并建立统一账号管理、严格的认证和授权管理机制,只允许来自半安全区的运维终端子区的运维终端对系统进行维护管理操作。在技术实现上,可以采用4A技术。
在完整性方面,必须考虑核心安全区各系统主机、数据库的完整性检查和保护,数据传输的完整性保护,定期稽核应用系统数据的一致性和完整性。
在内容安全上,考虑部署入侵检测或入侵防护设备,对核心安全区内的主机系统安装防病毒软件,并进行集中的防病毒管理。
在安全审计上,必须记录主机系统、数据库、网络设备、应用软件以及数据交互的日志信息,并对日志信息进行安全审计。在技术实现上,可以使用Syslog、SNMP、入侵检测、网络流量监控、内容审计等手段进行日志收集,在安全管理平台上进行安全审计和风险分析。
同时,也可在管理区部署漏洞扫描系统和安全基线检查系统,作为等级保护的补充安全措施。
2.网站建设程序安全区边界防护
安全区的安全等级仅次于核心安全区。它与半安全区和核心安全区都有边界。如图9-4所示。
图9-4 电子商务平台边界安全示意图
对于半安全区与安全区之间的数据访问,可参看后面半安全区各子区与安全区之间的防护策略。对于安全区边界10的安全防护,建议部署以下的策略和防护手段。
①在边界处部署网络流量管理系统,实时监控网络中的异常流量,进行带宽限制。
②内部Windows或Linux主机应该部署主机防病毒软件。
③部署防火墙隔离开发测试区。
④部署终端管理软件,实现对终端的安全防护。
⑤在该接口边界核心安全区和半安全区侧的网络设备上部署IDS,并及时进行策略更新,监控异常网络行为,实现安全内容审计。好了,深圳网站建设公司本文关于“网站建设系统程序安全什么是一级安全域边界防护?”知识就分享到这里。如果您需要深圳网站建设公司为您定制开发web系统,联系我们网站在线客服,为您量身定制高端网站安全防护解决方案。谢谢关注,博纳网络编辑整理。
当前文章链接:/construction/design/14904.html
如果您觉得案例还不错请帮忙分享:
[声明]本网转载网络媒体稿件是为了传播更多的信息,此类稿件不代表本网观点,本网不承担此类稿件侵权行为的连带责任。故此,如果您发现本网站的内容侵犯了您的版权,请您的相关内容发至此邮箱【qin@198bona.com 】,我们在确认后,会立即删除,保证您的版权。