应用系统安全规范-自己想到和网络搜索到的点子记录整合一下_互联网应用系统安全规范

应用系统安全是当前众多大型企业要重点关注的问题,但这块有好多工作要做,现状是现在很多做安全的人,不怎么太做开发,做开发的人懂安全的人又少之又少,这里我从应用系统安全,提出几点自己的建议,当然不足之处还请大家讨论和指正。

1 应用系统安全类别划分

  具体划分准则,需要根据自己单位实际规模和业务特征去定位,具体的分类不好界定，后续的文章会考虑单独进行讨论.

2.1 网络安全性

2.1.1 网络接入控制

未经批准严禁通过电话线、各类专线接到外网；如确有需求，必须申请备案后先进行与内网完全隔离，才可以实施。

2.1.2 网络安全域隔离

如果有需要与公司外部通讯的服务器，应在保证自身安全的情况下放入公司防火墙DMZ区，该应用服务器与公司内部系统通讯时，应采用内部读取数据的方式。其他类应用系统 服务器放置在公司内部网中。

2.2 系统平台安全性

2.2.1 病毒对系统的威胁

各应用系统 WINDOWS平台应关闭掉服务器的完全共享，并安装防毒客户端软件，启用实时防护与接受管理，进行周期性对系统全机病毒扫描。

2.2.2 黑客破坏和侵入

对各应用系统 应及时进行系统补丁的升级和安全配置，并配合进行入侵检测和漏洞扫描等安全检查工作。对于重点系统可以考虑部署主机入侵检测系统来保证主机的安全性。

2.3 应用程序安全性

2.3.1 在应用系统的生命周期中保证安全

应用系统的设计和管理者要在不同的阶段采用相应的工作方法和工作步骤，设计出一个把安全贯穿始终、切实可行的安全方案。对应用系统应能提供书面可行的安全方案。

2.3.2 在应用系统启始设计阶段实施安全计划

在应用系统启始设计阶段进行充分的安全可行性分析，对应用系统应该进行专门的安全可行性分析。

启始设计阶段同时还要进行风险的最初评估，在被选方案之间权衡效费比关系时，应该参照这个估计值，尤其在重点应用系统项目中应特别注重这方面的考虑。

2.3.3 在应用系统开发阶段建立安全机制

安全需求定义：在软件开发之前&#