理主要是由管理员进行资源分类配置、用户角色定义及授权等操作;权限认证主要是根据用户身份对其进行权限判断,以决定该用户是否具有访问相应资源的权限。Р授权管理系统与统一认证系统相结合,为本系统提供方便、简单的、可靠的授权服务,从而对来自内网用户进行整体的、有效的访问控制,保护系统内的资源不被非法或越权访问,防止信息泄漏。Р授权管理系统应与统一认证系统相结合,由统一认证系统进行严格的身份认证,保证用户身份的真实性。Р授权管理系统应采用基于角色的访问控制策略,能够对用户和角色进行灵活授权。在定义角色时,可以采用职称、职务、部门等多种形式,灵活反映各种业务模式的管理需求。Р1.3.7.3安全审计Р统计结果表明,65%的攻击来自网络系统内部,如来自内部的非法窃取或非授权访问,一般内部人员违规有两种形式:一种是内部人员的违规操作,造成的后果是影响整个系统安全;另一种是违法,有目的地窃取资源。随着内外网物理隔离以后,在安全设施的设置上,必须考虑这个因素。解决内部人员违规的一个重要手段是对信息系统实行高强度的安全审计,它不仅是简单的日志记录,而且是全方位、多层次、分布式的安全审计,它覆盖网络系统、操作系统、各类应用系统,对系统的登录、业务数据的查询、内容发布等行为进行强制审计,对各种未授权或非法的活动实时报警、阻断等。Р在安全审计建设中主要考虑以下建设要点:Р(1)需要考虑数据来源的问题。Р建设过程中尤其需要考虑强制获取数据的机制,即:有数据源的,通过审计系统来获取;无审计源的,设法生成数据进行审计。Р(2)考虑审计系统的分析机制。Р审计系统具备评判异常、违规的能力,分析机制是做出这样判断的依据。Р(3)考虑如何保证审计功能不被绕过。Р(4)考虑对审计数据的有效利用。Р1.3.8数据及数据库安全Р业务数据是系统正常运行的基础,必须确保业务数据在传输、处理、存储过程中的机密性、完整性和可用性。
全文预览
