应用系统安全规范制定建议

应用系统安全规制定建议 应用系统安全是当前众多大型企业要重点关注的问题,但这块有好多工作要做,现状是现在很多做安全的人,不怎么太做开发,做开发的人懂安全的人又少之又少,这里我从应用系统安全,提出几点自己的建议,当然不足之处还请大家讨论和指正。1 应用系统安全类别划分 具体划分准则,需要根据自己单位实际规模和业务特征去定位,我这里把具体的分类细则隐去了,有兴趣的可以讨论.2.1 网络安全性2.1.1 网络接入控制未经批准严禁通过线、各类专线接到外网；如确有需求，必须申请备案后先进行与网完全隔离，才可以实施。2.1.2 网络安全域隔离假如有需要与公司外部通讯的服务器，应在保证自身安全的情况下放入公司防火墙 DMZ 区，该应用服务器与公司部系统通讯时，应采纳部读取数据的方式。其他类应用系统 服务器放置在公司部网中。2.2 系统平台安全性2.2.1 病毒对系统的威胁各应用系统 WINDOWS 平台应关闭掉服务器的完全共享，并安装防毒客户端软件，启用实时防护与接受管理，进行周期性对系统全机病毒扫描。2.2.2 黑客破坏和侵入对各应用系统 应与时进行系统补丁的升级和安全配置，并配合进行入侵检测和漏洞扫描等安全检查工作。对于重点系统可以考虑部署主机入侵检测系统来保证主机的安全性。2.3 应用程序安全性2.3.1 在应用系统的生命周期中保证安全应用系统的设计和管理者要在不同的阶段采纳相应的工作方法和工作步骤，设计出一个把安全贯穿始终、切实可行的安全方案。对应用系统应能提供书面可行的安全方案。2.3.2 在应用系统启始设计阶段实施安全计划在应用系统启始设计阶段进行充分的安全可行性分析，对应用系统应该进行专门的安全可行性分析。启始设计阶段同时还要进行风险的最初评估，在被选方案之间权衡效费比关系时，应该参照这个估量值，尤其在重点应用系统项目中应特别注重这方面的考虑。2.3.3 在应用系统开发阶段建立安全机制安全需求定义：在软件开发之前，需要了解相关的安全规定和软件运行的环境要求，并对此产生的安全需求做出定义。安全设计：安全设计不能简单依附于系统设计的控制而了事，安全的容必须渗透到整个设计阶段。当然，也不必对每项设计决定都实行安全方法。通常，有各种方法使其达到必要的安全级别，需要考虑的是如何选择一种折衷方案给安全以适当的地位。良好的安全设计能明显的减少应用系统的脆弱性并减少在系统运行时安全的强制性。对于重点类系统应能够提供这方面的细节说明，以证实安全...