系统安全解决方案.docVIP

系统安全解决方案 目 录 TOC \o 1-3 \h \z \u 1 系统概述 1 1.1 系统应用领域及建设目标 1 1.2 系统资产描述 1 1.3 系统业务描述 1 1.4 系统用户描述 1 2 安全需求分析 2 2.1 总体安全需求 2 2.2 物理安全需求分析 3 2.3 网络安全需求分析 4 2.4 主机安全需求分析 5 2.5 应用安全需求分析 6 2.6 数据安全需求 7 2.7 安全管理需求分析 7 2.8 信息安全目标 8 3 亚洲大药房 网站代码安全防护方案 9 3.1网站对于 9 3.2验证登陆方式 9 2.3系统加密方式 9 4 安全设计规划 10 4.1 安全设计目标 10 4.2 设计原则 10 4.2.1 需求、风险、代价平衡分析的原则 10 4.2.2 综合性、整体性原则 10 4.2.3 一致性原则 11 4.2.4 易操作性原则 11 4.2.5 适应性原则 11 4.2.6 多重保护原则 12 4.3 设计依据 12 5 安全系统实现 12 5.1 安全网络系统 12 5.2 防病毒 13 5.3 防火墙 17 5.4 入侵检测系统 20 5.5 漏洞扫描系统 26 5.6 应急响应服务机制 27 5.7 备份还原系统 28 6 运营安全 29 6.1 风险管理 29 6.1.1 管理目标 33 6.1.2 管理程序 33 7 安全服务体系建设 35 系统概述 系统应用领域及建设目标 亚洲大药房网上药品交易平台，能通过互联网给用户提供用药咨询，产品销售。并致力打造中国健康方便的网上药品交易平台，给消费带来更多的选择。 系统资产描述 亚洲大药房网上药品交易平台目前的资产如下： 硬件设备：IBM服务器一台。(CPU Xeon X3430 2.4GHz 4G内存，146G SAS硬盘2块)，同时做了raid 1 技术处理，保证数据的安全。 软件资产：Windows 2003 r2操作系统,亚洲大药房网上交易平台 业务信息：客户档案信息、客户操作记录、安全信息和交易业务数据等； 系统业务描述 通过互联网向个人用户提供药品信息及对其进行网上药品销售。 系统用户描述 亚洲大药房网上药品交易平台平台的用户分为四类： 前台管理员。（权限：查看所有交易信息的记录和日志） 前台用户。（权限：包括下订单和修改、查询订单信息。） 后台管理员。（权限：包括前台管理员的所有功能，并且有随时增加、修改和停止用户某些权限的功能。） 监管员。(权限：查询所有订单记录和日志) 安全需求分析 总体安全需求 安全需求和风险评估是制定网络系统安全策略的依据.风险分析,是指确定网络资产的安全威胁和脆弱性,并估计可能由此造成的损失或影响的过程.风险分析有两种基本方法:定性分析和定量分析.我们协助制订业务网络安全策略的时候,是从全局进行考虑,基于风险分析的结果进行决策,建议究竟是加大投入,采取更强有力的保护措施,还是可以容忍一些小的风险存在而不采取措施.因此,我们采取了科学的风险分析方法对亚洲大药房网上药品交易平台平台的安全进行风险分析,风险分析的结果作为制定安全策略的重要依据之一。 根据安全策略的要求,我们协助选择相应的安全机制和安全技术,实施安全防御系统,进行监控与检测.我们认为亚洲大药房网上药品交易平台平台安全防御系统必须包括技术和管理两方面,涵盖物理层,系统层,网络层,应用层和管理层各个层面上的诸多风险类.安全防御系统搭建得完善与否,直接决定了亚洲大药房网上药品交易平台的安全程度,无论哪个层面上的安全措施不到位,都可能是很大的安全隐患,都有可能造成业务网络中的后门。 响应与恢复系统是保障网络系统安全性的重要手段.我们协助采取检测手段,制订紧急事件响应的方法与技术.根据检测和响应的结果,可以发现防御系统中的薄弱环节,或者安全策略中的漏洞,进一步进行风险分析,修改安全策略,根据技术的发展和业务的变化,逐步完善安全策略,加强业务网安全措施。 药品交易系统有以下几个主要特点： [有待补充] 根据以上分析，亚洲大药房网上药品交易平台平台总体安全需求为： 保证传输安全； 保证数据存取安全；有效的机房管理； 要具备大量并发处理能力； 交易操作及数据要抗抵赖； 保证数据不能被篡改，对交易的有效性要有严格的手段控制（多于两种措施）。在保证交易有效的前提下尽可能的保证业务不中断。 采用以防为主的信息安全策略，把发生信息安全事件的可能性降到最低。 物理安全需求分析 物理安全是指各