【正文】 ................................. 2 物理安全需求分析 ...................................................................................... 3 網(wǎng)絡(luò)安全需求分析 ...................................................................................... 4 主機(jī)安全需 求分析 ...................................................................................... 5 應(yīng)用安全需求分析 ...................................................................................... 6 數(shù)據(jù)安全需求 .............................................................................................. 7 安全管理需求分析 ...................................................................................... 7 信息安全目標(biāo) .............................................................................................. 8 3 亞洲大藥房 網(wǎng)站代碼安全防護(hù)方案 ................................................................... 9 網(wǎng)站對于 .......................................................................................................... 9 驗(yàn)證登陸方式 .................................................................................................. 9 系統(tǒng)加密方式 .................................................................................................. 9 4 安全設(shè)計(jì)規(guī)劃 ....................................................................................................... 10 安全設(shè)計(jì)目 標(biāo) ............................................................................................ 10 設(shè)計(jì)原則 .................................................................................................... 10 需求、風(fēng)險(xiǎn)、代價平衡分析的原則 .............................................. 10 綜合性、整體性原則 ...................................................................... 10 一致性原則 .......................................................................................11 易操作性原則 ...................................................................................11 適應(yīng)性原則 .......................................................................................11 多重保護(hù)原則 .................................................................................. 12 設(shè)計(jì)依據(jù) .................................................................................................... 12 5 安全系統(tǒng)實(shí)現(xiàn) ....................................................................................................... 12 安全網(wǎng)絡(luò)系統(tǒng) ............................................................................................ 12 防病毒 ........................................................................................................ 13 防火墻 ........................................................................................................ 17 入侵檢測系統(tǒng) ............................................................................................ 20 漏洞掃描系統(tǒng) ............................................................................................ 26 應(yīng)急響應(yīng)服務(wù)機(jī)制 .................................................................................... 27 備份還原系統(tǒng) ............................................................................................ 28 6 運(yùn)營安全 ............................................................................................................... 29 風(fēng)險(xiǎn)管理 .................................................................................................... 29 管理目標(biāo) .......................................................................................... 33 管理程序 .......................................................................................... 33 7 安全服務(wù)體系建設(shè) ............................................................................................... 35 1 系統(tǒng)概述 系統(tǒng)應(yīng)用領(lǐng)域及建設(shè)目標(biāo) 亞洲大藥房網(wǎng)上藥品交易平臺，能通 過 互聯(lián)網(wǎng)給用戶提供用藥 咨詢，產(chǎn)品銷售。 軟件資產(chǎn)： Windows 2020 r2 操作系統(tǒng) ,亞洲大藥房網(wǎng)上交易平臺 業(yè)務(wù)信息：客戶檔案信息、客戶操作記錄、安全信息和交易業(yè)務(wù)數(shù)據(jù)等； 系統(tǒng)業(yè)務(wù)描述 通過互聯(lián)網(wǎng)向個人用戶提供藥品信息及對其進(jìn)行網(wǎng)上藥品銷售。） (3) 后臺管理員。 根據(jù)安全策略的要求 ,我們協(xié)助選擇相應(yīng)的安全機(jī)制和安全技術(shù) ,實(shí)施安全防御系統(tǒng) ,進(jìn)行監(jiān)控與檢測 .我們認(rèn)為 亞洲大藥房網(wǎng)上藥品交易平臺 平臺 安全防御系統(tǒng)必須包括技術(shù)和管理兩方面 ,涵蓋物理層 ,系統(tǒng)層 ,網(wǎng)絡(luò)層 ,應(yīng)用層和管理層各個層面上的諸多風(fēng)險(xiǎn)類 .安全防御系統(tǒng)搭建得完善與否 ,直接決定了 亞洲大藥房網(wǎng)上藥品交易平臺 的安全程度 ,無論哪個層面上的安全措施不到位 ,都可能是很大的安全隱患 ,都有可能造成業(yè)務(wù)網(wǎng)絡(luò)中的后門 。 (6) 采用以防為主的信息安全策略，把發(fā)生信息安全事件的可能性降到最低。 (3) 電源故障：包括電力供應(yīng)的突然中斷或電壓的波動。 (7) 物理安全的威脅可以直接造成設(shè)備的損壞，系統(tǒng)和網(wǎng)絡(luò)的不可用，數(shù)據(jù)的直接損壞或丟失等等。攻擊者利用猜測的序列號來組織攻擊。許多 TCP/IP協(xié)議實(shí)現(xiàn)中的缺點(diǎn)都能被用來實(shí)施拒絕服務(wù)攻擊，如郵件炸彈、 TCP SYN flooding、 ICMP echo floods等。 9) 局域網(wǎng)內(nèi)子網(wǎng)間的直接物理連接： 局域網(wǎng)內(nèi)各物理 /邏輯子網(wǎng)之間存在著安全策略的差異，直接連接可能導(dǎo)致非授權(quán)訪問或非法入侵。 3) 口令獲?。喊ㄍㄟ^偷竊、猜測、字典攻擊和轉(zhuǎn)讓等手段獲取系統(tǒng)口令，非法獲 得對系統(tǒng)的操作特權(quán)，導(dǎo)致信息系統(tǒng)的管理權(quán)轉(zhuǎn)移。 應(yīng)用安全需求分析 對計(jì)算中的各系統(tǒng)成員 ,要共同完成任務(wù) .一般而言 ,管理員需要最高的可信度 ,他可以定義系統(tǒng)成員之間的信任關(guān)系策略 ,計(jì)算用戶必須信任管理員的管理和服務(wù)。 1) 數(shù)據(jù)篡改：數(shù)據(jù)遭受以未授權(quán)方式所做的修改或未授權(quán)的使用，包括對數(shù)據(jù)值的刪除、修改和插入另外的數(shù)據(jù)；改變數(shù)據(jù)存在的方式，包括數(shù)據(jù)的創(chuàng)建或刪除。安全管理的不健全，同樣可以影響整個系統(tǒng)的安全。這些漏洞和疏忽可導(dǎo)致人為操作錯誤，有意破壞信息和信息系統(tǒng)的可用性，以及直接竊取信息等安全事故。 信息安全目標(biāo) 我 們 知 道 傳 統(tǒng) 的 信 息 安 全 有 7 個 屬 性 ， 即 保 密 性Confidentiality）、完整性（ Integrity）、可用性（ Availability）、真實(shí)性（ Authenticity）、不可否認(rèn)性（ Nonreputiation）、可追究性（ Accountability ） 和 可 控 性 / 可 治 理 性（ Controllability/Governability）。全局預(yù)警就是要建立全局性的安全狀況收集系統(tǒng)，對于新的安全漏洞和攻擊方法的及時了解，針對體系內(nèi)局部發(fā)生的安全入侵等事件進(jìn)行響應(yīng)。 3 亞洲大藥房網(wǎng)上藥品交易平臺 網(wǎng)站代碼安全防 護(hù)方案 網(wǎng)站對于 跨站腳本攻擊 命令注入 防護(hù) 非法輸入 本系統(tǒng)采用 自主研發(fā) TPag