应用安全. 具备应用系统身份识别和访问控制功能,充分考虑数据访问传输加密机制和应用服务的安全机制。
应用安全. 通过对平台业务需求调研,需要通过外网与医院业务系统进行数据传输,因此对数据传输的保密性和完整性有较高要求。本方案对业务服务器区的所有数据做了有效的备份,同时采用数字签名验证服务器对业务关键环节进行数字签名及验签,保证了数据的完整性。 平台的各类业务数据经过一定的加密算法进行存储和传输,在与政务外网的信息系统进行数据交换时,将加密后的数据通过安全交换区和省市信息资源共享交换平台进行。
应用安全. 疫情现场处置作业系统应用级安全包括统一身份认证、统一权限管理等。系统软件和应用软件应具有访问控制功能,包括用户登录访问控制、角色权限控制、目录级安全控制、文件属性安全控制等;系统软件(包括操作系统,数据库等)和应用软件等应定期进行完全备份,系统软件配置修改和应用软件的修改应及时备份,并做好相应的记录文档;及时了解系统软件和应用软件厂家公布的软件漏洞并进行更新修正;应用软件的开发应有完整的技术文档,源代码应有详尽的注释。 疫情现场处置作业系统,以网络连通国家、省、地市各节点。系统必须通过安全可靠的网络接口来获取、传输信息数据。通过对获取和传输的数据进行加密、检查、过滤、保留审计日志备查等手段来保障数据交换安全。 对各类数据存储和备份严格管理,以保障应用系统的正常运行,保存完整的历史数据。定期对存储和备份的数据进行优化,以提高系统运行和数据处理的效率。根据不同类型数据的更新频率、数据量、重要程度、保存时间,制定相应备份、恢复策略和操作规范。备份数据与原始数据不能存放于同一设备上,备份数据保管人员应对备份件应进行定期的测试,确保备份信息可以及时有效的恢复,备份信息处理设施可以按要求及时投入使用。当系统发生故障及灾难时,应具备利用备份在 24 小时内恢复系统正常运行的能力。
应用安全. 应用安全是每个系统与业务最紧密的部分,根据应急广播系统设计和等级保护相关安全要求,需要从身份鉴别、访问控制、应急广播内容的使用与存储、安全审计、通信完整性与保密性、软件容错以及资源控制等方面进行安全加固,保障系统应用层面的安全。同时,在应用安全方面应实现与国家应急广播系统卫星信号对接过程中的应用安全对接,在村村响的乡镇、村两级前端部署的应急广播适配器,应支持国家应急广播系统卫星信号和无线广播信号的应用安全体系接入。
应用安全. 网络传输设施的安全监控与审计; 总局和省级节点VPN接入认证; 主机及应用环境中的总局的数据库访问控制与审计、 WEB页面防篡改、抵御垃圾邮件、漏洞扫描、数据备份等。 网络安全监控与审计:恶意/无意识的网络破坏行为将破坏系统环境,没有网络安全监控与审计,将制止、追踪这类破坏行为。 AAA认证管理:为远程VPN用户提供用户身份的鉴别。没有相应的高强度远程身份认证管理服务将无法保证远程访问的合法性。 垃圾邮件:作为重要的一个业务系统,垃圾邮件、病毒邮件的传播将极大的损害电子邮件系统。 数据库系统操作审计:数据库是系统中最重要的信息资产,没有审计机制,就无法及时发现、追查由于系统漏洞或程序设计引起的各类违规操作行为。 数据备份:公积金管理信息系统存在大量关键业务信 息,缺乏有效的数据备份将可能导致这些关键数据的损毁,造成巨大的损失。需要建立本地数据备份系统,如果时机成熟的话可以建立异地灾备中心进行存储备份。系统漏洞:服务器以及大量的终端设备的操作系统可能存在不同的安全漏洞,这些安全漏洞随时构成信息系统的致命威胁。 主页篡改:系统中的WEB网站所使用的操作系统以及软件的漏洞使WEB网站有被黑客攻击篡改的风险,被篡改的网页将给业务系统带来很大的安全隐患,造成信息丢 失、泄露等安全事件。
应用安全. API 访问控制、安全审计、通信完整性、通信保密性、端口安全检测;
应用安全. 本项目须具备应用系统安全访问控制功能。在应用层提供系统的安全访问控制,是信息系统安全的主要安全策略。必须对整个应用层提供一个完整的安全解决方案,提供一个对系统资源进行完全控制的安全平台,所有用户访问该系统的任何资源必须且只能通过这个安全平台的控制来进行。 在系统中,应用软件是非常关键的一部分。如何做好应用软件的安全设 计工作,是系统安全设 计的重中之重。结合《信息安全技术信息安全等级保护基本要求》,应用软件安全设 计旨在通过对身份识别与认证、数据传输安全、数据访问控制、代码安全等几个方面进行设 计来实现应用软件的安全。 主要的应用安全措施包括: (1)以基于角色的授权原则,建立与福州市行政(市民)服务中心综合信息化提升项目系统、平台管理人员、部门管理人员岗位职责相对应的权限管理机制及统一的安全登陆机制。 (2)以密码技术为基础的数据完整与保密机制。 (3)对安全事件进行审计机制以及根据政务服务系统不同的业务、数据应用需求而采用标准的安全协议。 (4)对应用进行严格的监控,实时掌握个应用系统资源的消耗、运行的状况,保障服务的连续性和可用性。 1.1.1应用软件的基本要求 1套 / 本次针对所有在政务网及互联网网络上的应用软件,包括购买与自主开发的软件,应满足以下要求: 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。 应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。 未经授权,不得用开发、管理工具直接远程连接到实际运行的网络设备、远操作系统、数据库、中间件服务器等;授权连接操作结束后,必须尽快断开。 1.1.2身份识别与认证 验证码:本次针对应用系统中需要登陆的环节,本系统采用将一串随机产生的数字上英文字每,生成一幅图片,图片里加上一些干扰象素(防止 OCR),由用户肉眼识别其中的验证码信息,输入表单提交验证,验证成功后才能使用某项功能。每次请求会重新生成验证码,如果验证码输入错误系统重新进行生成。