1,訪問級別安全性
認證系統:CA認證系統可以支持證書認證等多種強安全認證方式,解決弱口令中的安全隱患。
登錄安全系統:雙音子系統支持(Ukey支持、動態密碼支持、短信支持)和硬件對接支持(指紋、面部識別等硬件支持)
密碼要求系統:可以自定義密碼安全要求的等級(密碼復雜度要求、密碼更改周期要求、強制密碼修改要求、密碼鎖定要求);登錄策略要求(設備重復登錄管理、斷網重復登錄管理、時間控制登錄管理)
2、傳輸級安全
DMZ區:DMZ區+端口映射——移動應用服務器放在DMZ區,PC應用服務器放在服務器區,通過端口映射對外通信。
優點:相對安全,只開放壹個端口;多重防火墻保護;方便的策略設置;帶寬占用相對較小;
缺點:還是有壹個通往外界的端口;還是要承擔掃描和DDOS的風險;壹般數據傳輸不加密;
建議在中間件端開啟Https,增強傳輸安全性;
VPN區域:通過VPN設備搭建統壹的內網環境。
優點:安全性高,通過VPN撥入形成統壹的內網環境;數據通過Https加密,保證傳輸安全;
缺點:需要壹步VPN撥號操作;需要額外的VPN開銷;需要額外的帶寬開銷。
SSL中間件的生成:通過resin的設置,可以在不增加VPN硬件的情況下實現對外線路的SSL加密。
3.數據級安全性
結構化數據:子數據庫、加密和審計。
非結構化數據:加密、分段和表示層控制。
文件分段加密存儲模式——所有數據均由分段加密技術保證:文件服務器不會因文件中毒而中毒;文件服務器的所有數據都不能直接從後臺讀取;所有數據必須通過應用服務器顯示。
當然也支持不加密的方法,方便對文件有獨立訪問需求的客戶。
4.硬件級安全性
三層部署結構:OA系統最常見的集中式部署模式,我們建議使用DMZ+服務器區+數據區。
三層結構,確保數據安全;
防火墻系統:通過硬件或軟件防火墻在各個區域中間進行邊界保護和區域保護,確保對DDOS攻擊和入侵的防控。
5、運行維護等級安全的實施
執行層面的安全倫理和運營層面的數據和權限保障:穩定的團隊、職業道德、工作的詳細記錄和確認、敏感數據的虛擬數據實現。
運維層面的響應和記錄要求:通過變更評估流程形成統壹的問題提交窗口,以減少直接修正帶來的權限錯誤和管控缺失;減少直接糾正造成的部門間管理沖突;明確變更成本(IT成本和運營成本);有章可循,有跡可查。
6.災難恢復級別的安全性
數據保存:
①數據備份內容
A.程序文件:不需要自動定期備份,只需要在安裝或升級後,將服務器上安裝程序的文件夾手動備份到其他服務器或電腦上即可;
B.數據文件:壹般可以通過服務器的計劃執行命令進行備份;
C.數據庫內容:可以直接使用數據庫的定期備份功能進行備份;
②備份周期頻率
A.數據備份保留期
B.備份頻率:數據文件——每日增量備份,每周完整備份;數據庫-每日完整備份;
C.備份時間表:短期數據保存期為14天;數據中長期保留期——每月最後壹周進行完整備份,進行中長期保留;
d .備份保存期限要求:年度完整備份應永久保存;保留最近12個月的每月完整備份;保留最近1個月的綜合備份;保留最近1個月的每日增量備份;
E.對於不需要熱備的運行狀態,還需要備份e-cology的日常數據和程序周期,以便系統或服務器在出現異常時能夠快速恢復正常狀態。
系統快速恢復:程序文件、數據文件和數據庫內容損壞的數據可以快速恢復。
有數據權限的終端:如果終端意外丟失,系統管理員可以直接註銷號碼,綁定新設備。