电系统工程主要指通讯自动化、楼宇自动化、办公自动化、消防自动化和保安自动化,当然信息化技术发展至今,弱电系统已远不止于此,具体可以看看这篇文章:什么是弱电智能化系统集成?主要包括哪些系统?本篇众平给各位说说一般信息化系统中的安全性设计。

https://www.zzptech.com/discussion/intelligent-building-weak-current-engineering/
弱电项目中的安全性设计:网络安全、系统安全、物理安全和数据安全

网络安全设计要求

在弱电系统规划设计环节应结合信息安全需求,落实必要的安全防护和技术保障措施。

系统自身安全功能

账号权限设计。按照系统安全要求,本系统采用角色-模块化-权限-功能四位一体的方案来实现账号权限管理,具体如下:

  • 角色:如系统管理员角色,系统操作员角色,普通用户角色;不同的角色,其访问权限是不同的,即可访问的模块(界面)集合是不同的;角色的权限等级也不同,权限等级如:公司领导、部分领导、普通员工;
    • 模块:(界面)模块就是指具体的界面,每个模块上又有不同的操作,如增删改查;
      • 访问权限:确定角色可以访问的模块(界面)集合;
      • 操作权限:确定可以在各模块(界面)上进行的操作集合,如增删改查;
      • 权限等级:即确定角色可以访问的范围。
  • 口令设计

口令长度最短 8 位;由数字、大小写字符和特殊符号组成;口令有效期 90 天;修改口令时不得使用 5 次内的旧口令;连续输入口令 3 次失败,短时间内锁定该帐号登录。

在安全审计方面,系统中部署了完整的日志模块,记录并保存了全量的事件与操作信息。系统具备记录 3 个月内用户操作的能力,通过 SYSLOG 方式向日志审计系统开放日志接口。

  • 账号口令的存储

系统中账号口令通过加密方式保存,在服务端部署了账号密码加 hash 保存密码存储,客户端所有的验证都需要调用服务端的验证机制。

系统安全加固

本项目系统中使用的 Windows 11 操作系统、数据库、中间件、网络设备(路由器、交换机、防火墙)、主机等均按照要求进行安全配置,并在入网前进行安全基线检查与加固。

系统自身安全功能

账号权限设计。按照系统安全要求,本系统采用“角色、模块化、权限、功能”四位一体的方案来实现账号权限管理,具体如下:

  1. 角色:如系统管理员角色,系统操作员角色,普通用户角色;不同的角色,其访问权限是不同的,即可访问的模块(界面)集合是不同的;角色的权限等级也不同,权限等级如:系统管理员、管理员、一般用户;
  2. 模块:(界面)模块就是指具体的界面,每个模块上又有不同的操作,如增删改查;
  3. 访问权限:确定角色可以访问的模块(界面)集合;
  4. 操作权限:确定可以在各模块(界面)上进行的操作集合,如增删改查;
  5. 权限等级:即确定角色可以访问的范围,如:

角色 1:权限等级为系统管理员,则可以查看和操作系统所有模块;

角色 2:权限等级为一般用户,则只可以查看部分模块和进行查询操作。

口令设计:密码设置上强制限制了 8 位以上,且大小写字符和特殊符号组成。每次登录时对上次密码初始化时间进行检测,以达到密码有效期只有 90 天。同时设置错误登录限制次数 6 次,以防止账号密码被爆破。

日志审计:在安全审计方面,系统中部署了完整的日志模块,记录并保存了全量的事件与操作信息,同时通过 SYSLOG 方式对外提供日志接口。

密码保存:在服务端部署了账号密码加盐 hash 保存密码存储,客户端所有的验证都需要调用服务端的验证机制。

系统物理安全

  • 机房安全,可以看看这个机房建设整体解决方案,有比较完整的描述
  • 进入机房必须进行有效的身份认证;
  • 有完善的进出记录、监控视频等。
  • 是否有其他的途径进入机房。
  • 设备安全
  • 计算机是否在 UPS 保护下保证稳定的电源;
  • 网络电缆是否暴露;
  • 设备是否采用密码保护;
  • 用户在离开时是否有习惯锁住屏幕或注销登陆机器;
  • 数据备份是否在安全的,专用的恢复数据的地方;
  • 是否把敏感的信息都锁在抽屉里;
  • 是否有销毁敏感的打印输出和磁带;
  • 是否把密码或者密码提示书写在桌子上;
  • 是否细心使用 xauth / xhost 命令,防止别人读取自己的屏幕;
  • 不要放置欢迎的横幅,只有授权的才允许进入。

灾难备份及恢复

  • 冗余系统、冗余设备及冗余链路要求
  • 网络单节点的灾难不应导致其他节点的业务提供发生异常;单一地区范围的灾难不应导致其他地区的业务提供发生异常;
  • 网络灾难恢复的恢复时间应满足行业管理、网络和业务运营商应急预案的相关要求。
  • 冗余路由要求
  • 应有网络路由设计的冗余性;
  • 支持流量负荷分担。
  • 备份数据要求
  • 关键数据(如计费数据、用户数据、网络配置数据、管理员操作维护记录)应有本地数据备份;
  • 关键数据的备份范围和时间间隔、采取的备份方式、数据恢复能力应符合相关要求。、
目 录
  1. 网络安全设计要求
  2. 系统自身安全功能
  3. 系统物理安全
  4. 灾难备份及恢复

相关文章

  • 信息系统授权及审批管理

    信息系统授权及审批管理

    为规范重庆 XX 中学信息安全管理各环节的审批流程和审批责任人,特制订本规范。本管理制度适用于重庆 XX 中学信息系统相关的所有授权和审批事项,明确各相关管理环节授权和审批的部门和责任人。 第一章 目的 第一条 为规范重庆 XX 中学信息安全管理各环节的审批流程和审批责任人,特制订本规范。 第二章 范围 第二条 本管理制度适用于重庆 XX 中学信息系统相关的所有授权和审批事项,明确各相关管理环节授权和审批的部门和责任人。 第三章 职责 第三条 网络安全办公室负责制订该规范并报信息安全领导小组审批…

  • 智慧医院建设项目解决方案:CA数字签名系统

    智慧医院建设项目解决方案:CA 数字签名系统

    为保障医院电子病历系统、住院系统、门诊系统、医学影像系统、实验室系统等系统的业务信息安全,需依据《卫生系统电子认证服务管理办法(试行)》及相关标准规范要求,建立全院统一的电子认证服务体系和业务应用安全支撑体系,实现“可信身份、可信数据、可信行为、可信时间”的目标,保证电子病历的真实可信和合法有效性。 本系列文章分享一个比较新(2023y)的智慧医院建设方案,原文系重庆某区县大三甲医院的智慧医院建设项目的真实案例,本篇介绍智慧医院中的安全系统部分。智慧医院建设项目文章列表: 建立我院统一的电子认证…

  • 网络机房管理制度模板

    网络机房管理制度模板

    本《网络机房管理制度》是我司此前应用与一普通中学的弱电工程项目中,系作为机房建设服务内容的一部分。本网络机房管理制度通用性强,适合各种应用环境,内容不多不少做一块挂墙的展板刚刚合适,各位同行可结合实际做一定的修改。 结合个人经验,我们认为再好的物理、设备环境,如果缺失了对应的管理制度,那么这个系统都不堪一击,要么逐渐臃肿失控,要么被攻击控制。 网络机房是重要基础设施。为规范管理,特制定本制度。 一、网络机房是重点消防安全场所,严禁携带易燃、易爆、易腐蚀、强磁物品及与工作无关物品进入机房,机房内严…

  • 网络安全服务项目的服务及质量需求(安全服务方案模板)

    网络安全服务项目的服务及质量需求(安全服务方案模板)

    为深入贯彻习近平总书记关于网络安全的重要指示精神,严格落实党中央、国务院和市委、市政府关于网络安全的决策部署,重庆市国资委下发了关于市属国有企业网络安全的通知。通知中指出,国有企业应当深刻认识到网络安全工作的重要意义、健全网络安全制度体系、健全风险评估与安全审计制度、建立重要岗位人员审查制度等要求。 1 网络安全服务项目服务管理 (1)服务交付计划制定:在整个服务期的开始时,根据采购人需求提供年度服务交付计划,并根据需要进行更新。 (2)季度服务报告:通过技术专家和客户相关人员的准备,与采购人管…

  • 制造业客户数据安全解决方案(终端安全/文件加密/介质管理等)

    制造业客户数据安全解决方案(终端安全/文件加密/介质管理等)

    针对前文制造业客户数据安全解决方案(数据防泄密需求分析)提到的泄密风险,本文详细介绍一套完整、合理的解决方案,通过该方案构建公司数据安全防护边界,自动加密、全方位保护数据安全。 1 电脑终端数据的保护 1.1 电脑图纸文件的自动加密,从源头保护数据 对于电脑终端核心数据文件会自动强制透明加密,比如通过 PRO/E,UG,CATIA 等软件从文档创建图纸文件开始即可自动加密保护。加密前后对于数据合法使用者无任何差异,不增加用户负担、不改变任何工作流程及使用习惯。文件的保存加密、打开解密完全由后台加…

  • 网络安全等级保护测评完整方案、等保项目实施细则

    网络安全等级保护测评完整方案、等保项目实施细则

    随着信息化技术的发展,重庆市乡村振兴局信息系统逐步完善,成为了全市扶贫工作的重要支撑。随着网络安全形势愈演愈烈,对信息系统安全防范能力和信息安全抗风险能力的要求越来越高。如何保证重庆市乡村振兴局的信息系统正常运行和信息安全已成为迫切需要关注的问题。 面对当前信息系统安全面临的复杂、严峻形势,基础信息网络和重要信息系统一旦出现大的信息安全问题,不仅仅影响本单位、本行业,而是直接威胁社会稳定、经济发展甚至国家安全。因此,扶贫信息系统有必要进一步完善和加强信息安全保障体系。信息安全建设重在安全保障体系…

- 联 系 我 们 -

+86 186-2315-0440

在线咨询:点击这里给我发消息

电子邮箱:i@zzptech.com

工作时间:7*24h,全年无休

关注微信