电系统工程主要指通讯自动化、楼宇自动化、办公自动化、消防自动化和保安自动化,当然信息化技术发展至今,弱电系统已远不止于此,具体可以看看这篇文章:什么是弱电智能化系统集成?主要包括哪些系统?本篇众平给各位说说一般信息化系统中的安全性设计。

https://www.zzptech.com/discussion/intelligent-building-weak-current-engineering/
弱电项目中的安全性设计:网络安全、系统安全、物理安全和数据安全

网络安全设计要求

在弱电系统规划设计环节应结合信息安全需求,落实必要的安全防护和技术保障措施。

系统自身安全功能

账号权限设计。按照系统安全要求,本系统采用角色-模块化-权限-功能四位一体的方案来实现账号权限管理,具体如下:

  • 角色:如系统管理员角色,系统操作员角色,普通用户角色;不同的角色,其访问权限是不同的,即可访问的模块(界面)集合是不同的;角色的权限等级也不同,权限等级如:公司领导、部分领导、普通员工;
    • 模块:(界面)模块就是指具体的界面,每个模块上又有不同的操作,如增删改查;
      • 访问权限:确定角色可以访问的模块(界面)集合;
      • 操作权限:确定可以在各模块(界面)上进行的操作集合,如增删改查;
      • 权限等级:即确定角色可以访问的范围。
  • 口令设计

口令长度最短8位;由数字、大小写字符和特殊符号组成;口令有效期90天;修改口令时不得使用5次内的旧口令;连续输入口令3次失败,短时间内锁定该帐号登录。

在安全审计方面,系统中部署了完整的日志模块,记录并保存了全量的事件与操作信息。系统具备记录3个月内用户操作的能力,通过SYSLOG方式向日志审计系统开放日志接口。

  • 账号口令的存储

系统中账号口令通过加密方式保存,在服务端部署了账号密码加hash保存密码存储,客户端所有的验证都需要调用服务端的验证机制。

系统安全加固

本项目系统中使用的Windows 11操作系统、数据库、中间件、网络设备(路由器、交换机、防火墙)、主机等均按照要求进行安全配置,并在入网前进行安全基线检查与加固。

系统自身安全功能

账号权限设计。按照系统安全要求,本系统采用“角色、模块化、权限、功能”四位一体的方案来实现账号权限管理,具体如下:

  1. 角色:如系统管理员角色,系统操作员角色,普通用户角色;不同的角色,其访问权限是不同的,即可访问的模块(界面)集合是不同的;角色的权限等级也不同,权限等级如:系统管理员、管理员、一般用户;
  2. 模块:(界面)模块就是指具体的界面,每个模块上又有不同的操作,如增删改查;
  3. 访问权限:确定角色可以访问的模块(界面)集合;
  4. 操作权限:确定可以在各模块(界面)上进行的操作集合,如增删改查;
  5. 权限等级:即确定角色可以访问的范围,如:

角色1:权限等级为系统管理员,则可以查看和操作系统所有模块;

角色2:权限等级为一般用户,则只可以查看部分模块和进行查询操作。

口令设计:密码设置上强制限制了8位以上,且大小写字符和特殊符号组成。每次登录时对上次密码初始化时间进行检测,以达到密码有效期只有90天。同时设置错误登录限制次数6次,以防止账号密码被爆破。

日志审计:在安全审计方面,系统中部署了完整的日志模块,记录并保存了全量的事件与操作信息,同时通过SYSLOG方式对外提供日志接口。

密码保存:在服务端部署了账号密码加盐 hash 保存密码存储,客户端所有的验证都需要调用服务端的验证机制。

系统物理安全

  • 机房安全,可以看看这个机房建设整体解决方案,有比较完整的描述
  • 进入机房必须进行有效的身份认证;
  • 有完善的进出记录、监控视频等。
  • 是否有其他的途径进入机房。
  • 设备安全
  • 计算机是否在UPS 保护下保证稳定的电源;
  • 网络电缆是否暴露;
  • 设备是否采用密码保护;
  • 用户在离开时是否有习惯锁住屏幕或注销登陆机器;
  • 数据备份是否在安全的,专用的恢复数据的地方;
  • 是否把敏感的信息都锁在抽屉里;
  • 是否有销毁敏感的打印输出和磁带;
  • 是否把密码或者密码提示书写在桌子上;
  • 是否细心使用xauth / xhost命令,防止别人读取自己的屏幕;
  • 不要放置欢迎的横幅,只有授权的才允许进入。

灾难备份及恢复

  • 冗余系统、冗余设备及冗余链路要求
  • 网络单节点的灾难不应导致其他节点的业务提供发生异常;单一地区范围的灾难不应导致其他地区的业务提供发生异常;
  • 网络灾难恢复的恢复时间应满足行业管理、网络和业务运营商应急预案的相关要求。
  • 冗余路由要求
  • 应有网络路由设计的冗余性;
  • 支持流量负荷分担。
  • 备份数据要求
  • 关键数据(如计费数据、用户数据、网络配置数据、管理员操作维护记录)应有本地数据备份;
  • 关键数据的备份范围和时间间隔、采取的备份方式、数据恢复能力应符合相关要求。、

相关文章

  • 网络与信息安全管理制度(简版)

    网络与信息安全管理制度(简版)

    根据众平科技的经验,在一个基本的网络信息系统中,造成信息泄露或损害的原因,更多的是系统运维制度和人员的缺失,是网络安全体系的建设不足,相对而言其实网络信息安全设备更多的是个辅助。 本文是一个简版的网络与信息安全管理制度,内容比较少,但该有的都有了,各位在参考使用时注意把内文所涉用户信息删除。整理不易,投个币再下载吧,相关文章: 网络安全管理制度 网络机房管理制度 监控中心管理制度 信息系统建设的安全机制建设 网络与信息安全管理制度(简版) 第一章 目的 第一条 为规范重庆市XX网络信息系统安全管…

  • 信息系统工程实施管理

    信息系统工程实施管理

    第一章 目的 第一条 为了规范重庆XX中学信息系统建设管理和工程实施管理,在工程实施各个环节按照信息安全等级保护要求进行管理,特制定本管理规范。 第二章 范围 第二条 本规范适用于重庆XX中学信息系统建设管理和工程实施管理。 第三章 职责 第三条 网络安全办公室负责系统建设管理和工程实施管理。 第四章 管理细则 第四条 工程实施阶段的主要目的是将所有的模块(软硬件)集成为完整的系统,并且检查确认集成以后的系统符合要求。 第五条 本阶段应完成以下具体信息安全工作: 第六条 安全建设整改工程实施的组…

  • 信息安全方针及安全策略

    信息安全方针及安全策略

    本系列文章来自于此前的真实项目案例,是一个学校安全系统建设中部分服务的内容,是给该单位的一套《安全制度汇编》,本篇文章信息安全方针及安全策略,倒是契合当下网络安全态势。原文档开放下载中~ 第一章 目的 第一条 为了深入贯彻落实国家信息安全政策文件要求和信息安全等级保护政策要求,加强重庆XX中学的信息安全管理工作,增强重庆XX中学全员信息安全意识,切实提高重庆XX中学信息系统安全保障能力,特制定本方针。 第二章 范围 第二条 适用于重庆XX中学信息安全管理活动。 第三章 职责 第三条 由领导和各科…

  • 网络安全管理制度模板

    网络安全管理制度模板

    本《网络安全管理制度》是我司此前应用与一普通中学的弱电工程项目中,系作为机房建设服务内容的一部分。本网络安全管理制度通用性强,适合各种应用环境,做一块挂墙的展板刚刚合适……结合个人经验,我们认为再好的物理、设备环境,如果缺失了对应的管理制度,那么这个系统都不堪一击,要么逐渐臃肿失控,要么被攻击控制。 为了保护本单位网络安全、促进网络信息化办公的应用和发展、保证单位网络的正常运行和网络用户的使用权益,制定本安全管理制度。 一、网络管理人员负责监控办公网络的运行状态,随时了解网络运行情况,如有异常,…

  • 数据防泄密系统建设,大数据脱敏方案建设

    数据防泄密系统建设,大数据脱敏方案建设

    在我们的系统里面,存在着大量的敏感信息:如公民数据、业务数据等,业务系统软件开发的最后阶段,是需要尽量真实的数据来作为基础测试软件的一系列功能。尤其是用户系统这样的大型系统实施或开发的时候,对于基础数据的要求很严格,很多时候都是直接克隆生产环境的数据来进行软件系统的测试,但是随之而来的影响却是深远的…因此,应该重视数据的泄密和脱敏。 1 数据防泄密方案 根据数据的生命周期,在数据的产生阶段、使用阶段和销毁阶段都需对数据的安全进行保护: 2 大数据脱敏方案 在我们的系统里面,存在着大量的敏感信息:…

  • 数据中心如何部署漏洞扫描系统?有哪些功能

    数据中心如何部署漏洞扫描系统?有哪些功能

    通过部署漏洞扫描系统,可以对数据中心主机服务器系统(LINUX、数据库、UNIX、WINDOWS)、交换机、路由器、防火墙、入侵防御、安全审计、边界接入平台等等设备,实现不同内容、不同级别、不同程度、不同层次的扫描。对扫描结果,可以报表和图形的方式进行分析。实现了隐患扫描、安全评估、脆弱性分析和解决方案。 数据中心漏洞扫描系统功能如下: 1、能够对网络(安全)设备、主机系统和应用服务的漏洞进行扫描,指出有关网络的安全漏洞及被测系统的薄弱环节,给出详细的检测报告,并针对检测到的网络安全隐患给出相应…

- 联 系 我 们 -

+86 186-2315-0440

在线咨询:点击这里给我发消息

电子邮箱:i@zzptech.com

工作时间:7*24h,全年无休

关注微信