【正文】 ....................................... 2 總體安全需求 .............................................................................................. 2 物理安全需求分析 ...................................................................................... 3 網(wǎng)絡(luò)安全需求分析 ...................................................................................... 4 主機(jī)安全需 求分析 ...................................................................................... 5 應(yīng)用安全需求分析 ...................................................................................... 6 數(shù)據(jù)安全需求 .............................................................................................. 7 安全管理需求分析 ...................................................................................... 7 信息安全目標(biāo) .............................................................................................. 8 3 亞洲大藥房 網(wǎng)站代碼安全防護(hù)方案 ................................................................... 9 網(wǎng)站對于 .......................................................................................................... 9 驗證登陸方式 .................................................................................................. 9 系統(tǒng)加密方式 .................................................................................................. 9 4 安全設(shè)計規(guī)劃 ....................................................................................................... 10 安全設(shè)計目 標(biāo) ............................................................................................ 10 設(shè)計原則 .................................................................................................... 10 需求、風(fēng)險、代價平衡分析的原則 .............................................. 10 綜合性、整體性原則 ...................................................................... 10 一致性原則 .......................................................................................11 易操作性原則 ...................................................................................11 適應(yīng)性原則 .......................................................................................11 多重保護(hù)原則 .................................................................................. 12 設(shè)計依據(jù) .................................................................................................... 12 5 安全系統(tǒng)實現(xiàn) ....................................................................................................... 12 安全網(wǎng)絡(luò)系統(tǒng) ............................................................................................ 12 防病毒 ........................................................................................................ 13 防火墻 ........................................................................................................ 17 入侵檢測系統(tǒng) ............................................................................................ 20 漏洞掃描系統(tǒng) ............................................................................................ 26 應(yīng)急響應(yīng)服務(wù)機(jī)制 .................................................................................... 27 備份還原系統(tǒng) ............................................................................................ 28 6 運(yùn)營安全 ............................................................................................................... 29 風(fēng)險管理 .................................................................................................... 29 管理目標(biāo) .......................................................................................... 33 管理程序 .......................................................................................... 33 7 安全服務(wù)體系建設(shè) ............................................................................................... 35 1 系統(tǒng)概述 系統(tǒng)應(yīng)用領(lǐng)域及建設(shè)目標(biāo) 亞洲大藥房網(wǎng)上藥品交易平臺，能通 過 互聯(lián)網(wǎng)給用戶提供用藥 咨詢，產(chǎn)品銷售。并致力打造中國健康方便的網(wǎng)上藥品交易平臺，給 消費 帶來 更多的選擇。 (CPU Xeon X3430 4G 內(nèi)存，146G SAS 硬盤 2 塊 )，同時做了 raid 1 技術(shù)處理，保證數(shù)據(jù)的安全。 系統(tǒng)用戶描述 亞洲大藥房網(wǎng)上藥品交易平臺 平臺的用戶分為四類： (1) 前臺管理員。（權(quán)限：包括下訂單和修改、查詢訂單信息 。（權(quán)限：包括前臺管理員的所有功能，并且有隨時增加、修改和停止用戶某些權(quán)限的功能。 (權(quán)限：查詢所有訂單記錄和日志 ) 2 安全需求分析 總體安全需求 安全需求和風(fēng)險評估是制定網(wǎng)絡(luò)系統(tǒng)安全策略的依據(jù) .風(fēng)險分析 ,是指確定網(wǎng)絡(luò)資產(chǎn)的安全威脅和脆弱性 ,并估計可能由此造成的損失或影響的過程 .風(fēng)險分析有兩種基本方法 :定性分析和定量分析 .我們協(xié)助制訂業(yè)務(wù)網(wǎng)絡(luò)安全策略的時候 ,是從全局進(jìn)行考慮 ,基于風(fēng)險分析的結(jié)果進(jìn)行決策 ,建議究竟是加大投入 ,采取更強(qiáng)有力的保護(hù)措施 ,還是可以容忍一些小的風(fēng)險存在而不采取措 施 .因此 ,我們采取了科學(xué)的風(fēng)險分析方法對 亞洲大藥房網(wǎng)上藥品交易平臺 平臺 的安全進(jìn)行風(fēng)險分析 ,風(fēng)險分析的結(jié)果作為制定安全策略的重要依據(jù)之一 。 響應(yīng)與恢復(fù)系統(tǒng)是保障網(wǎng)絡(luò)系統(tǒng)安全性的重要手段 .我們協(xié)助采取檢測手段 ,制訂緊急事件響應(yīng)的方法與技術(shù) .根據(jù)檢測和響應(yīng)的結(jié)果 ,可以發(fā)現(xiàn)防御系統(tǒng)中的薄弱環(huán)節(jié) ,或者安全策略中的漏洞 ,進(jìn)一步進(jìn)行風(fēng)險分析 ,修改安全策略 ,根據(jù)技術(shù)的發(fā)展和業(yè)務(wù)的變化 ,逐步完善安全策略 ,加強(qiáng)業(yè)務(wù)網(wǎng)安全措施 。在保證交易有效的前提下盡可能的保證業(yè)務(wù)不中斷。 物理安全需求分析 物理安全是指各種服務(wù)器、路由器、交換機(jī)、工作站等硬件設(shè)備和通信鏈路的安全。 (2) 環(huán)境事故：有害氣體、電磁污染、電磁干擾、靜電、鼠害以及其它環(huán)境事故的破壞。 (4) 人為操作失誤或錯誤；人為的 對設(shè)備的盜竊、毀壞。 (6) 數(shù)據(jù)媒體的損壞、出錯。 網(wǎng)絡(luò)安全需求分析 網(wǎng)絡(luò)安全主要是指在局域網(wǎng)或者廣域網(wǎng)中所面臨的網(wǎng)絡(luò)層面的攻擊，風(fēng)險的來源有： 1) 內(nèi)部網(wǎng)絡(luò)暴露： TCP/IP通信協(xié)議將內(nèi)部網(wǎng)絡(luò)拓?fù)湫畔⒈┞督o相連接的其它網(wǎng)絡(luò)，為外部攻擊提供了目標(biāo)信息。 3) 序列號攻擊： TCP/IP協(xié)議 中所使用的隨機(jī)序列號是一個具有上下限的偽隨機(jī)數(shù)，因而是可猜測的。 4) 路由攻擊： TCP/IP網(wǎng)絡(luò)動態(tài)地傳遞新的路由信息，但缺乏對路由信息的認(rèn)證，因此偽造的或來自非可信源的路由信息就可能導(dǎo)致對路由機(jī)制的攻擊。如故意加重服務(wù)器的接入訪問流量使得其它用戶無法訪問該服務(wù)器，或是用大量的數(shù)據(jù)包阻塞某個網(wǎng)絡(luò)地址。 6) 鑒別攻擊： TCP/IP協(xié)議不能對用戶進(jìn)行有效的身份認(rèn)證，因此無法鑒別登錄用戶的身份合法性。 8) 網(wǎng)絡(luò)管理軟件的缺陷：包括程序開發(fā)者有意或無意留下