应用系统安全建设需求分析

【摘要】：本文以下内容将对应用系统安全建设需求进行研究和探讨，以供参考。

【关键词】：应用系统；安全；建设；需求分析

中图分类号：F014文献标识码： A

1、前言

一个信息系统的安全策略类似于一个国家的外交政策：它定义了该系统在安全方面要达到的目的和目标。当一个政府被指责为没有一致的外交政策的时候，是因为其行动没有统一性，即没有全面的策略。同样，一个没有统一的安全策略的信息系统，就如同实施各种对策的大杂烩，长期运行过程中，必然会产生这样那样的问题，本文以下内容将对应用系统安全建设需求进行研究和探讨，以供参考。

2、应用系统安全建设需求分析

2.1、物理安全风险分析

应用系统网络在建设时，遵照了《电子计算机机房设计规范》、《计算站场地技术条件》、《计算站场地安全要求》等规定。对高密级的计算机网络系统与其他网络部分实行物理隔离；做好物理场所的电源、消防、防雷接地等环境保障工作，保证机房、设备和线路无电磁辐射泄露。地面系统中分布着大小不一，功能不同的机房场所，有数据中心、网络中心、网络配线间、高保密等级用户区域等，各中心内部又分为不同的功能区域，对于这些机房或区域的非授权接触，使攻击者更轻易进入关键业务系统或网络，容易造成直接的、严重的安全事故。

2.2、网络平台的安全风险分析

应用系统的网络的安全机制主要是通过网络管理和虚拟LAN 设置和管理实现用户网络与应用系统网络的用户通信。各分系统建立各自的VLAN。用户终端和用户服务工作站或服务器划分到一个VLAN 中，以限制用户终端非法进入其它系统之中。同一部门或类型的用户为了支持特定的业务，划分到一个VLAN 中。由多个用户群共享的资源型用户，同时加入到多个VLAN 中，确保用户群之间的隔离与资源共享。在系统中采用HP OpenView 负责对整个应用系统的网络管理，监视安全审核记录；监视安全相关资源的用户和使用情况；维护并检查安全日志。

2.3、操作系统的安全风险分析

目前应用系统中使用的SGI 工作站、HP 微机以及Fore 网络交换机，全部是进口产品，我们无法检测机器中是否安装了逻辑炸弹。但是，我们可以对现有的操作平台进行安全配置，对操作和访问权限进行严格控制，提高系统的安全性。因此，不但要选用尽可能可靠的操作系统和硬件平台，而且，必须加强登录过程的认证，确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。

2.4、应用的安全风险分析

应用系统不断发展且应用类型不断增加，其结果是安全漏洞不断增加且越藏越深。因此，保证应用系统的安全也是一个随网络发展不断完善的过程。应用的安全性涉及到信息、数据的安全性。信息的安全包括机密信息泄露、未经授权的访问、破坏信息的完整性、假冒、破坏系统的可用性等。目前“黑客”常用的攻击手段是：把扫描器作为探路工具试探某一区域内的主机系统开放了哪些服务端口，是否存在目前已公开的系统漏洞，并且没有打上相应的补丁。在获取这些重要信息之后，他们可以选择攻击的目标。同样，我们也可以利用扫描器，发现所用系统和网络的安全漏洞，据此，找出相应的堵塞和防范措施。

2.5、管理的安全风险分析

应用系统建成以后，必须要有十分严格的管理，以防止任何失泄密事件发生。同时，作为一个完整的安全策略，应用系统也不能有一丝漏洞，为了防患于未然，制定更完善的管理解决方案也是十分必要的。

2.6、口令安全风险分析

上面对操作系统及应用的安全性进行风险分析时，描述了近期较为流行的漏洞和攻击方法，看起来实现入侵是非常方便的。值得注意的是，“黑客”们常常将扫描器与口令破解技术结合起来攻击一个系统。由此看来，正确的给系统加设密码，对提高系统的安全率是十分重要的。

2.7、 安全需求分析

通过对应用系统网络结构、应用及安全威胁分析，可以看出：尽管应用系统目前是封闭的，但是在其内部还是存在着安全隐患的，其安全问题主要集中在对服务器的保护、防病毒、重要网段的保护以及管理安全上。因此我们必须采取相应的安全措施杜绝安全隐患，其中应该做到：大幅度提高系统的安全性；保持网络原有的特点，即对网络的协议和传输具有很好的透明性，能透明接入，无需更改网络设置；易于操作、维护，并便于自动化管理，而不增加或少增加附加操作；尽量不影响原网络的拓扑结构，同时便于系统及系统功能的扩展；安全产品具有合法性，及经过国家有关管理部门的认可或认证。

3、结尾

基于以上的分析，我们应用系统网络的安全可以实现以下目标：加强对各种应用的审计工作，详细记录对重要服务器的访问行为，形成完整的系统日志；强化系统备份，实现系统快速灾难恢复加强网络安全管理，提高系统全体人员的网络安全意识和防范技术。

【参考文献】

[1]《面向21 世纪网络安全与防护》胡昌振等，北京希望电子出版社

[2] 《网络安全与实用防护技术》董玉格等，人民邮电出版社

[3] 《网络安全》何德全等，清华大学出版社