软件系统安全设计(软件系统安全设计规范)

2023-02-16 17:54:01舞蹈085

今天给各位分享软件系统安全设计的知识，其中也会对软件系统安全设计规范进行解释，如果能碰巧解决你现在面临的问题，别忘了关注本站，现在开始吧！

本文目录一览：

1、如何确保OA系统的安全性？
2、Windows操作系统安全加固设置有哪些？
3、怎样为信息系统构建安全防护体系？
4、OA软件的设计九大要点
5、软件设计文档都包括哪几部分？

如何确保OA系统的安全性？

针对企业对于OA系统安全性要求，泛微OA系统在解决系统安全性方面有如下措施：

1、准入层面安全

认证体系方面：CA认证体系，可支持证书认证等多种强安全身份认证方式，解决弱口令所存在的安全隐患。

登录安全体系方面：双音子体系支撑（Ukey支撑、动态密码支撑、短信支撑）和硬件对接支撑（指纹、面部识别等硬件支撑）

密码要求体系方面：可以自定义密码安全要求级别（密码复杂性要求、密码变更周期要求、强制密码修改要求、密码锁定要求）；登录策略要求（对于设备的重复登录管理、对于网断的重复登录管理、对于时间控制的登录管理）

2、传输层面安全

DMZ区域：DMZ区域+端口映射——将移动应用服务器放置在DMZ区域，PC应用服务器放置在服务器区域，通过端口向外映射的方式进行对外通讯。

优点：较为安全，仅开放一个端口；多重防火墙保护；策略设置方便；带宽占用相对较小；

缺点：仍然有一处端口对外；仍然承受扫描风险和DDOS风险；一般数据不加密传输；

建议在中间件端开启Https，增强传输安全性；

VPN区域：通过VPN设备构建内网统一环境

优点：安全性高，通过VPN拨入形成统一的内网环境；数据通过Https加密保证传输安全；

缺点：需要进行一步VPN拨号操作；需要额外的VPN开销；需要额外的带宽开销

SSL中间件生成：通过resin设置，在不增加VPN硬件的情况下实现外部线路的SSL加密。

3、数据层面安全

结构化数据方面：分库、加密、审计

非结构化数据方面：加密、切分、展现层控制

文件切分、加密存储方式——所有数据通过切分、加密技术保证：文件服务器不存在由于文件有毒而中毒情况；文件服务器所有数据不可以直接从后台读取；所有数据必须通过应用服务器才可以展现

当然也支持不加密方式以方便对于文件有独立访问要求的客户

4、硬件层面安全

三层次部署结构：最常见的OA系统集中部署方式，我们建议采用DMZ+服务器区+数据区

三层结构，以保证数据的安全性；

防火墙体系：各区域中间通过硬体或软体防火墙进行边界防护和区域防护，保证DDOS攻击和入侵的防控。

5、实施运营运维层面安全

实施层面的安全操守与运营层面的数据和权限保证：稳定团队、专业操守、工作详细记录和确认、对于敏感数据可以进行虚拟数据实施

运维层面的响应和记录要求：通过变更评估流程形成统一的问题提交窗口，减少直接修正造成的权限错误和管控缺失；减少直接修正造成的部门间管理冲突；明确变更成本（IT成本和运营成本）；有章可循、有迹可查。

6、灾难回复层面安全

数据的保存：

①数据备份内容

a.程序文件：不需要自动周期备份，只需要在安装或升级后将服务器的程序安装的文件夹手动备份到其他服务器或电脑中；

b.数据文件：一般可通过服务器的计划执行命令来备份；

c.数据库内容：可直接使用数据库的定期备份功能进行备份；

②备份周期频率

a.数据备份保留周期

b.备份频率：数据文件—每日增量备份、每周全备份；数据库—每日全备份；

c.取备份的时间表：数据短期保留周期14日；数据中、长期保留周期-抽取每月最后一周全备份进行中、长期保留；

d.备份保留周期的要求：年度全备份需永久保留；保留最近12个月的月度全备份；保留最近1个月内的周全备份；保留最近1个月内的日增量备份；

e.针对不需要双机热备的运行状态，还需要对e-cology日常运行的数据和程序周期进行备份，以便系统或服务器出现异样时可快速还原正常状态。

系统的快速恢复：程序文件、数据文件、数据库内容已损坏的数据都可以快速恢复

数据权限的终端：若终端不慎遗失，系统管理员可直接进行销号操作，并绑定新设备

软件系统安全设计(软件系统安全设计规范),第1张

Windows操作系统安全加固设置有哪些？

账户安全】

1、修改默认管理员账户名称。Windows操作系统安装后，默认的管理员用户名为administrator，只要知道了该账户的密码，就掌握了系统的更高权限，若将管理员名称更改为其它名称，对于入侵者而言，是提高了入侵的门槛。

2、密码管理。密码长度和强度，建议设置密码长度为10位以上，并采用大写字母、小写字母、数字、字符混合使用；定期修改密码，比如1个月、3个月修改一次，根据系统的重要性确定修改周期。

3、禁用不需要的用户。禁用GUEST账号，以及其它不使用的账号。

【安装杀毒软件】

安装杀毒软件后，定期、及时更新到最新版本的特征库，提升系统反病毒的能力。

【开启防火墙】

在控制面板中，开启windows防火墙，可根据具体情况，进行细化配置。

【禁用不用的服务】

在控制面板的管理工具中，找到服务，打开后，根据具体情况，禁用不必要的服务。

【关闭常被入侵的端口】

开放的端口是 *** 入侵的部分前提，所以关闭常被入侵的端口，减少安全事件发生的概率，比如：139、445等。

【关闭默认共享】

删除盘符下的默认共享，比如要删除C盘下的默认共享，在命令提示符中，输入以下命令：net share c$/del。

怎样为信息系统构建安全防护体系？

1、结构化及纵深防御保护框架

系统在框架设计时应从一个完整的安全体系结构出发，综合考虑信息 *** 的各个环节，综合使用不同层次的不同安全手段，为核心业务系统的安全提供全方位的管理和服务。

在信息系统建设初期，考虑系统框架设计的时候要基于结构化保护思想，覆盖整体 *** 、区域边界、计算环境的关键保护设备和保护部件本身，并在这些保护部件的基础上系统性地建立安全框架。使得计算环境中的应用系统和数据不仅获得外围保护设备的防护，而且其计算环境内的操作系统、数据库自身也具备相应的安全防护能力。同时要明确定义所有访问路径中各关键保护设备及安全部件间接口，以及各个接口的安全协议和参数，这将保证主体访问客体时，经过 *** 和边界访问应用的路径的关键环节，都受到框架中关键保护部件的有效控制。

在进行框架设计时可依据IATF（信息保护技术框架）深度防护战略的思想进行设计，IATF模型从深度防护战略出发，强调人、技术和操作三个要素，基于纵深防御架构构建安全域及边界保护设施，以实施外层保护内层、各层协同的保护策略。该框架使能够攻破一层或一类保护的攻击行为无法破坏整个信息基础设施。在攻击者成功地破坏了某个保护机制的情况下，其它保护机制仍能够提供附加的保护。

在安全保障体系的设计过程中，必须对核心业务系统的各层边界进行全面分析和纵深防御体系及策略设计，在边界间采用安全强隔离措施，为核心业务系统建立一个在 *** 层和应用层同时具备较大纵深的防御层次结构，从而有效抵御外部通过 *** 层和应用层发动的入侵行为。

2、全生命周期的闭环安全设计

在进行信息系统的安全保障体系建设工作时，除设计完善的安全保障技术体系外，还必须设计建立完整的信息安全管理体系、常态化测评体系、集中运维服务体系以及应急和恢复体系，为核心信息系统提供全生命周期的安全服务。

在项目开展的全过程中，还应该遵循SSE-CMM（信息安全工程能力成熟度模型）所确定的评价安全工程实施综合框架，它提供了度量与改善安全工程学科应用情况的 *** ，也就是说，对合格的安全工程实施者的可信性，是建立在对基于一个工程组的安全实施与过程的成熟性评估之上的。SSE-CMM将安全工程划分为三个基本的过程域：风险、工程、保证。风险过程识别所开发的产品或系统的危险性，并对这些危险性进行优先级排序。针对危险性所面临的问题，工程过程要与其他工程一起来确定和实施解决方案。由安全保证过程来建立对最终实施的解决方案的信任，并向顾客转达这种安全信任。因此，在安全工程实施过程中，严格按照SSE-CMM体系来指导实施流程，将有效地提高安全系统、安全产品和安全工程服务的质量和可用性。

3、信息系统的分域保护机制

对信息系统进行安全保护设计时，并不是对整个系统进行同一级别的保护，应针对业务的关键程度或安全级别进行重点的保护，而安全域划分是进行按等级保护的重要步骤。

控制大型 *** 的安全的一种 *** 就是把 *** 划分成单独的逻辑 *** 域，如内部服务 *** 域、外部服务 *** 域及生产 *** 域，每一个 *** 域由所定义的安全边界来保护，这种边界的实施可通过在相连的两个 *** 之间的安全网关来控制其间访问和信息流。网关要经过配置，以过滤两个区域之间的通信量，并根据访问控制方针来堵塞未授权访问。

根据信息系统实际情况划分不同的区域边界，重点关注从互联网→外部 *** →内部 *** →生产 *** ，以及以应用系统为单元的从终端→服务器→应用→中间件→数据库→存储的纵向各区域的安全边界，综合采用可信安全域设计，从而做到纵深的区域边界安全防护措施。

实现结构化的 *** 管理控制要求的可行 *** 就是进行区域边界的划分和管理。在这种情况下，应考虑在 *** 边界和内部引入控制措施，来隔离信息服务组、用户和信息系统，并对不同安全保护需求的系统实施纵深保护。

一般来说核心业务系统必然要与其它信息系统进行交互。因此，应根据防护的关键保护部件的级别和业务特征，对有相同的安全保护需求、相同的安全访问控制和边界控制策略的业务系统根据管理现状划分成不同的安全域，对不同等级的安全域采用对应级别的防护措施。根据域间的访问关系和信任关系，设计域间访问策略和边界防护策略，对于进入高等级域的信息根据结构化保护要求进行数据规划，对于进入低等级域的信息进行审计和转换。

4、融入可信计算技术

可信计算技术是近几年发展起来的一种基于硬件的计算机安全技术，其通过建立信任链传递机制，使得计算机系统一直在受保护的环境中运行，有效地保护了计算机中存储数据的安全性，并防止了恶意软件对计算机的攻击。在信息系统安全保障体系设计时，可以考虑融入可信计算技术，除重视安全保障设备提供的安全防护能力外，核心业务系统安全保障体系的设计将强调安全保障设备的可靠性和关键保护部件自身安全性，为核心业务系统建立可信赖的运行环境。

以可信安全技术为主线，实现关键业务计算环境关键保护部件自身的安全性。依托纵深防御架构应用可信与可信计算技术（含密码技术）、可信操作系统、安全数据库，确保系统本身安全机制和关键防护部件可信赖。在可信计算技术中，密码技术是核心，采用我国自主研发的密码算法和引擎，通过TCM模块，来构建可信计算的密码支撑技术，最终形成有效的防御恶意攻击手段。通过系统硬件执行相对基础和底层的安全功能，能保证一些软件层的非法访问和恶意操作无法完成，可信计算技术的应用可以为建设安全体系提供更加完善的底层基础设施，并为核心业务系统提供更强有力的安全保障。

5、细化安全保护策略与保障措施

在核心业务系统不同区域边界之间基本都以部署防火墙为鲜明特点，强化 *** 安全策略，根据策略控制进出 *** 的信息，防止内部信息外泄和抵御外部攻击。

在区域边界处部署防火墙等逻辑隔离设备实施访问控制，设置除因数据访问而允许的规则外，其他全部默认拒绝，并根据会话状态信息（如包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息，并应支持地址通配符的使用）对数据流进行控制；对进出 *** 的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、 *** TP、POP3等协议命令级的控制；自动终止非活跃会话连接；限制 *** 更大流量及 *** 连接数，防止DOS等攻击行为；使用IP与MAC绑定技术，防范地址欺骗等攻击行为；使用路由器、防火墙、认证网关等边界设备，配置拨号访问控制列表对系统资源实现单个用户的允许或拒绝访问，并限制拨号访问权限的用户数量。

在核心业务系统内网的核心交换边界部署 *** 入侵检测系统，对 *** 边界处入侵和攻击行为进行检测，并在最重要的区域和易于发生入侵行为的 *** 边界进行 *** 行为监控，在核心交换机上部署双路监听端口IDS系统，IDS监听端口类型需要和核心交换机对端的端口类型保持一致。在 *** 边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和 *** 蠕虫攻击等；当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。

在区域边界处部署防病毒网关，对进出 *** 的数据进行扫描，可以把病毒拦截在外部，减少病毒渗入内网造成危害的可能。防病毒网关是软硬件结合的设备，通常部署在防火墙和中心交换机之间，可以在病毒进入 *** 时对它进行扫描和查杀。防病毒网关可以采用全透明方式，适用于各种复杂的 *** 环境，通过多层过滤、深度内容分析、关联等技术策略，对 *** 数据进行高效过滤处理，可以提升 *** 环境的安全状况。防病毒网关需要具备以下特性：

（1）防病毒、防木马以及针对操作系统、应用程序漏洞进行的攻击。

（2）防蠕虫攻击，防病毒网关根据自有的安全策略可以拦截蠕虫的动态攻击，防止蠕虫爆发后对 *** 造成的阻塞。

（3）过滤垃圾邮件功能，防病毒过滤网关通过检查邮件服务器的地址来过滤垃圾邮件。防病毒网关通过黑名单数据库以及启发式扫描的数据库，对每封邮件进行判断并且识别，提高了对垃圾邮件的检测力度，实现了垃圾邮件网关的功能。

边界设备等作为区域边界的基础平台，其安全性至关重要。由于边界设备存在安全隐患（如：安装、配置不符合安全需求；参数配置错误；账户/口令问题；权限控制问题；安全漏洞没有及时修补；应用服务和应用程序滥用等）被利用而导致的安全事件往往是最经常出现的安全问题，所以对这些基础设施定期地进行安全评估、安全加固与安全审计，对增强区域边界的安全性有着重要的意义。

6、常态化的安全运维

信息系统的安全不仅依赖于增加和完善相应的安全措施，而且在安全体系建设完成之后，需要通过相应的安全体系运行保障手段，诸如定期的评估、检查加固、应急响应机制及持续改进措施，以确保安全体系的持续有效性。

（1）定期进行信息安全等级保护测评。根据国家要求，信息系统建设完成后，运营、使用单位或者其主管部门应当选择具有信息安全测评资质的单位，依据相关标准定期对信息系统开展信息安全等级保护测评。通过测评可以判定信息系统的安全状态是否符合等级保护相应等级的安全要求，是否达到了与其安全等级相适应的安全防护能力。通过对信息系统等级符合性检验，最终使系统达到等级保护的相关要求，降低信息安全风险事件的发生概率。

（2）定期进行安全检查及整改。确定安全检查对象，主要包括关键服务器、操作系统、 *** 设备、安全设备、主要通信线路和客户端等，通过全面的安全检查，对影响系统、业务安全性的关键要素进行分析，发现存在的问题，并及时进行整改。

（3）对于互联网系统或与互联网连接的系统，定期进行渗透测试。渗透测试是一种信息系统进行安全检测的 *** ，是从攻击者的角度来对信息系统的安全防护能力进行安全检测的手段，在对现有信息系统不造成任何损害的前提下，模拟入侵者对指定系统进行攻击测试。渗透测试通常能以非常明显、直观的结果来反映出系统的安全现状。

（4）定期进行安全教育培训。技术培训主要是提高员工的安全意识和安全技能，使之能够符合相关信息安全工作岗位的能力要求，全面提高自身整体的信息安全水平。针对不同层次、不同职责、不同岗位的员工，进行有关信息安全管理的理论培训、安全管理制度教育、安全防范意识宣传和专门安全技术训练，确保信息安全策略、规章制度和技术规范的顺利执行，从而更大限度地降低和消除安全风险。

OA软件的设计九大要点

伴随着产品线的丰富和客户数量的增加，我们发现烂尾项目也与日俱增，客户和OA公司之间的矛盾日益尖锐，一套好OA系统远非增加几个特色功能这么简单，套用孔子“君子有九思”的话，好的OA系统设计也有九思！

1.“可行性和适应性”

所谓可行性，是指需求提炼时，应该吻合适合核心需要，满足主要功能，而不是超越当前技术水平放卫星！　所谓适应性，是指产品的实施条件和应用条件，要吻合企业当前的环境，超越环境搞亩产万斤粮的大跃进是注定要失败的。

核心需求的吻合度，是OA价值兑现的保障，用户在工作流程、公文管理等方面的核心需求的满足度是项目成功的基础。

2.“前瞻性和实用性”

OA系统的开发设计，即要考虑到更大限度的增加系统的价值，更大限度的吻合各应用者的需求，充分考虑系统今后功能扩展、应用扩展、集成扩展多层面的延伸，实施过程应始终贯彻面向应用，围绕应用，依靠应用部门，注重实效的方针。同时又要兼顾到成本控制、项目周期控制等因素，因此在功能的部署上也需要遵循实用主义。

3.“先进性和成熟性”

先进的管理理念、技术和 *** ，可以提升企业的竞争力，延长系统的生命周期，但同时，任何创新都意味着小白兔实验，风险较大，因此又要注意软件系统、硬件设备、开发工具、软件产品的是否成熟，在先进性和成熟性之间找到平衡点，成为价值更大化的关键。

4.“开放性和标准性”

数据孤岛、信息孤岛、应用孤岛，已经成为多年信息化建设后的后遗症，而解决这些孤岛的关键因素在于开放，解决这些孤岛的效率取决于标准化。

如同我们的插座和插头的关系、如同我们的外设和u *** 口的关系，OA系统是否足够开放和标准化，成为架构设计时首要考虑的问题。

5.“可靠性和稳定性”

OA系统里流转了大量的管理数据，因此必须是可靠的，一般的人为和外部的异常事件不应该引起系统的崩溃；当系统出现问题后能在较短的时间内恢复，而且系统的数据是完整的，不会引起数据的不一致。

我们曾对OA系统组织过压力测试，在负载均衡的情况下，3000人同时在线时，系统登陆（包括整个主界面加载）不大于8秒。数据浏览不大于8秒；数据查询不大于8秒；数据统计不大于15秒。

我们还对OA，运行在IBM服务器上的稳定性做过测试，基本上可以做到以下几点：平均无故障运行时间：大于10000小时；可用率：系统总体平均可用率在99.99%以上；稳定性：主机系统能够保持7*24稳定的不间断运行

6.“安全性和保密性”

OA系统的开发设计既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用、不同的 *** 通信环境和不同的存储设备，采取不同的措施，包括系统安全机制、数据存取的权限控制等以确保系统的安全性。

其中，采取的措施包括但不限于以下

平台安全：架构设计考虑安全性要求，平台软件达到安全设计标准。

应用安全：权限控制、支持身份认证接口、防篡改、防暴力破解等措施完善，并且可以跟USBkey、CA、IP地址限制等各种安全措施进行方案组合。

数据安全：支持文档安全软件整合技术，从而做到数据传输加密、远程安全访问、数据存储加密，并且可以VPN等各种安全方式进行绑定，支持入侵检测与防御系统、防火墙的应用。

容灾备份：支持各种容灾的软硬件设备的使用等。

管理安全：提供完善的日志功能，能够记录系统使用人员的关键操作，保证系统应用的安全

密码策略：初始密码强制更改、启用图形验证码、支持USBkey接口、密码过期控制、密码错误次数控制、密码强度设置等，从而防止暴力破解和恶意攻击。

系统网卡MAC和IP的绑定；支持CA认证、数字签名加密技术；支持电子钥匙（Ukey）技术和指纹Ukey技术；支持安 *** 接（SSL）技术；软件系统严密、灵活的访问安全控制，功能授权与数据范围授权结合；

系统有整体的用户/权限管理体系，可统一进行用户/权限的管理，实现到字段级的查询、修改、管理权限控制；系统提供用户认证、数据传输、数据存储、数字签名等安全手段接口，可在各个环节提供对第三方安全认证系统的支持。

7.“可扩展性和易维护性”

为了适应未来的业务拓展和项目的功能扩展，必须充分考虑以最简便的 *** 、更低的投资，实现软件系统的扩展和维护扩展。

因此，在OA软件系统的开发设计中，需要考虑到应用及系统不断扩展的要求，以形成一个易于管理、可持续发展的体系结构。未来业务的扩展只须在现有机制的基础上，增加新的应用与服务模块。一方面当应用量增加，用户数增加时系统可以平滑增加服务器的方式来支撑新的压力要求发；一方面，当新的技术和产品出现进行升级时，系统能够平滑过渡而不影响用户的使用；另一方面，产品有新的功能增加时，可以通过插件和模块定制平台的方式，轻松实现业务的扩展。

在设备选择及 *** 方案上坚持开放性原则，使系统对各种硬件设备的互连互通；在软件上支持跨平台和开放数据接口，便于与其它系统软件互相集成，未来支持与业务系统、门户等系统的单点登录集成，在可获得相应系统的数据结构情况下，实现与这些系统的应用、门户、数据等各层面上无缝连接。

系统的管理和维护，应该采用集权和分权相平衡的思想，如九思设置了系统管理、应用管理和个人管理对系统进行分层授权和分层维护。

利用系统提供的工具，无须编写代码，方便用户自行进行客户化功能改造，方便用户自行定制界面数据项的显示；同时在 *** 或系统出现问题时能及时、快速地恢复系统的正常运行，保证系统的可恢复性，具有较高 *** 系统的抗干扰能力。

采用各种免代码的模块定制平台，帮助用户实现功能的DIY设计等。

8.“美观性和易用性”

系统用户界面的设计采用Web2.0用户界面设计技术，界面根据用户需求灵活更改（增强标签分类特性），注重用户体验，使系统各项功能易见、易学、易用、易维护、易管理。

作为全员应用系统，易用性和用户体验是项目成败的关键要素。所提供的产品采用B/S的登录方式、可以采用电脑、手机等各种方式下登录，采用了AJAX、图形化编辑器等各种新技术，并且易读、易理解、易操作，用户界面简洁、美观、友好，易于用户掌握、操作和使用；系统管理的使用及管理也以简便、易于操作、方便实用为准则。

严格遵循易用性六原则，实现从产品的部署、登录、使用、维护、升级、扩展的全方位易用，从而提升系统的黏着度；提供统一的访问地址，便于用户使用。在登录页为用户提供加入收藏、设为首页等操作，方便用户以后快速访问系统；具备风格一致的友好的用户界面，图形显示直观，工作流程从设计到使用全程图形化；

美观性，相比易用性来讲并不是很重要，这如同一个美丽的姑娘，之一眼打动你的可能是表象，然后持续感动你的往往是她的内在。

9.“大并发能力支撑”

作为集团化、多组织、大用户的单位，OA软件系统的开发设计，应该支持应用和数据库等多重负载均衡能力，支持附件服务器和数据库服务器分离技术，从而支持数万用户同时在线和同时操作的能力，不会因为用户数的增长或者信息量的增长，而导致系统响应能力下降。

系统并发能力：通过集群方式，在技术上没有并发上限，因此能完全保障用户未来的人员扩张需要。