小议软件系统安全

这篇具有很好参考价值的文章主要介绍了小议软件系统安全。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

本文于2019年7月13日完成,发布在个人博客网站上。 考虑个人博客因某种原因无法修复,于是在博客园安家,之前发布的文章逐步搬迁过来。


安全很重要,安全也很花钱,耗费精力,体力。属于投资大,效果不明显的工作内容。

俗话说,道高一尺,魔高一丈。对于防守方来说,在安全上做的再多也不能保证完全安全,适用木桶效应和墨菲定律;对于攻击者来说,只要攻破一点,就能说明安全体系存在漏洞。

攻守双方地位不对等。

系统没有被攻破,并不能说明安全工作很到位,因为极有可能是系统自身价值不足,不值得被攻击。

同样,系统被攻破了,也不能说明安全工作一无是处,可能是某个短板没有识别到,被攻击者意外发现了。

因此,做安全类工作,千万不能抱有侥幸心理,否则现实会分分钟打脸,教自己做人。

世上没有绝对的安全,防守方安全工作的要义在于:

  1. 缩小系统暴露的攻击面。
  2. 提高攻击的门槛。
  3. 提高攻击操作的代价,比如时间,人力,物力等的成本。
  4. 攻击操作产生后,快速识别,快速处置。
  5. 发现攻击后,诱骗攻击者,提供虚假信息给攻击者,让攻击者陷入信息的汪洋大海而不能自拔。
  6. 完善的管理制度,不被内部攻破。
  7. 完整有效的权限认证,鉴权,授权系统。
  8. 记录详细的安全日志,操作日志。

将安全管理融入到日常工作,管理业务的流程和动作中。梳理

  1. 业务资产
  2. 业务流程
  3. 参与角色,岗位和职责
  4. 参与人员等

针对上述方面,分级分类,制定不同的策略和措施。
按照事前,事中,事后,设计管理和技术的管控方案和稽核方案。

按照业务重要性,比如可划分为核心和非核心业务。

核心业务与其它业务要严格隔绝,包括但不限于机房,电源,网络,计算,存储,软件,人员,以及物料,并且做好备份资源的建设和储备,保证业务中断后可在容许范围内恢复。

核心业务与非核心要从物理上做到隔离,二者之间的通信严格受控。

对于核心业务:

  1. 使用的物料清单,包括硬件物料,软件物料。
  2. 采购和废弃的物料。
  3. 物料应用到哪些业务,何时采购,何时退出。
  4. 保存的数据。
  5. 接触数据和使用的人。

上述信息需要及时维护,并定期审视。

对于软件系统的安全:

  1. 通信层安全。
    1)系统之间最小化通信,比如IP,端口,账号等,可使用黑白名单控制。
    2)使用安全信道。
    3)使用更好的硬件。
  2. 操作系统层安全。
    1)使用安全稳定的版本,及时打补丁。
    2)安装系统软件的安全版本,卸载非必要软件。
    3)关闭非必要服务和端口。
    4)控制系统资源的使用配额。
    5)控制账号权限,控制root账号的分发和使用。
    6)控制系统文件和系统软件的访问权限。
    7)监控异常行为,异常现象发生时及时阻断等。
  3. 应用层安全。
    1)使用安全版本,及时修复安全问题。
    2)最小化使用,尽可能使用低权限账号运行应用。
    3)控制应用软件自身文件的访问权限。
    4)控制应用对外开放的账号和用户。
    5)完善应用账户的认证,鉴权,授权能力。
  4. 业务安全。业务流程符合安全要求。

前面的描述有点啰嗦,按照道法术器来分别展开探讨,可能条理性会更好一些。文章来源地址https://www.toymoban.com/news/detail-777051.html

到了这里,关于小议软件系统安全的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【信息安全案例】——系统软件安全(学习笔记)

    📖 前言:操作系统是管理系统资源、控制程序执行、提供良好人机界面和各种服务的一种系统软件,是连接计算机硬件与上层软件和用户之间的桥梁。因此,操作系统是其他系统软件、应用软件运行的基础,操作系统的安全性对于保障其他系统软件和应用软件的安全至关重

    2024年02月02日
    浏览(44)
  • 软件与系统安全复习

    课程复习内容 其中 威胁模型 对于影响系统安全的所有信息的结构化表示 本质上,是从安全的视角解读系统与其环境 用于理解 攻击者 什么可信、什么不可信 攻击者的动机、资源、能力;攻击造成的影响 具体场景 接受客户端请求的Web服务器 可信:Web服务器 不可信:客户端

    2024年02月09日
    浏览(32)
  • macOS系统最佳清理软件CleanMyMac X 4.13功能介绍及如何激活解锁许可证激活

    2023-05-18 18:39 CleanMyMac X 4.13在软件功能列表中为MAC用户提供了常见的清理(系统垃圾、邮件附件、废纸篓)功能,还有保护(移除恶意软件、隐私)、速度(优化、维护)、应用程序(卸载器、更新程序、扩展)、文件(空间透镜、大型和旧文件、碎纸机)等功能。操作界面极

    2024年02月13日
    浏览(52)
  • 【软件与系统安全】笔记与期末复习

    西电网信院 网安实验班 软件与系统安全 学时: 48 (讲授40 + 线上8) 期末考试: 60% 栈溢出利用作业: 15% AFL的使用作业: 15% 线上学习成绩: 10% 【软件与系统安全笔记】一、引入_框架主义者的博客-CSDN博客 【软件与系统安全笔记】二、软件与系统安全基础_框架主义者的博客-CSDN博客

    2024年02月08日
    浏览(51)
  • 软件安全课程设计:高校科研管理系统

    1.系统管理 主要包括添加用户模块包括:为系统新用户设置用户名及口令。  修改密码模块包括:用于操作员更改自己的系统口令。 2.基本资料管理 项目参加人员管理模块包括:显示添加修改删除查询。  项目基本情况模块包括:显示添加修改删除查询。  项目获奖情况模块

    2024年02月08日
    浏览(41)
  • 【软件与系统安全】栈溢出利用的分析

    软件与系统安全的作业,写得不尽详尽,仍有问题未解决,欢迎反馈 **栈溢出利用的分析 ** 进行以下文献阅读、实验操作和代码(指令)分析,撰写分析报告。 阅读buffer_overflow.pdf 的第4.1~4.7 节,理解栈溢出攻击的原理。 按照README,运行exploit 程序,生成badfile。利用xxd 分析

    2023年04月27日
    浏览(40)
  • SaaS系统相比传统软件,为何数据更安全?

    随着云计算、5G等技术的不断进步,SaaS行业步入了快速发展的阶段,应用场景也日趋多元化。预计2023年底,中国SaaS行业市场规模将达到555.1亿元。 中研网对于SaaS发展态势预测这样评价: 当前,我国在多个维度上具备发展 SaaS 的独特优势的广阔前景。从现状看,我国是互联网

    2024年02月14日
    浏览(55)
  • [ 信息系统安全实验1 ] 软件安全:格式化字符串漏洞实验

    在缓冲区溢出漏洞利用基础上,理解如何进行格式化字符串漏洞利用。 C语言中的printf()函数用于根据格式打印出字符串,使用由printf()函数的%字符标记的占位符,在打印期间填充数据。格式化字符串的使用不仅限于printf()函数;其他函数,例如sprintf()、fprintf() 和scanf(),也使

    2024年02月06日
    浏览(54)
  • CRM软件系统对企业保护数据安全的重要性

    当下无论是国家层面,还是用户都越来越重视CRM数据安全,如果企业客户数据被泄露,会导致用户信任度下降、企业品牌声誉受损甚至还将面临市场监管的高额罚款。今天我们就来分享 CRM系统保护企业数据安全的重要性 。 当下企业正在承受巨大的数据合规性压力包括: 1.企

    2024年02月07日
    浏览(57)
  • 统信软件高级系统研发工程师:sysOM 在系统可靠性与安全上实践

    一、系统可靠性 SRE是判断系统是否可靠、可用、有效重要标准,它包括: 服务水平指标SLI:衡量服务使用情况量化指标。 比如IO读写速率、网络延迟。通常量化指标会转换为比率、平均值或百分比。 服务水平目标SLO:一段时间、区间内的目标。 SLO的表达式通常为: SLI = t

    2024年01月17日
    浏览(63)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包