51CTO下载-IT设备运维巡检操作指导书(16)

系统的可用性：不能访问的数据等于不存在，不能工作的业务进程也毫无用处。因此操作系统要加强应对攻击的能力，比如防病毒、防缓冲区溢出攻击等；

审计：审计是一种有效的保护措施，它可以在一定程度上阻止对信息系统的威胁，并对系统检测、故障恢复方面发挥重要作用。

4.数据库安全

数据库安全性问题应包括两个部分：一、数据库数据的安全。它应能确保当数据库系统DownTime时，当数据库数据存储媒体被破坏时以及当数据库用户误操作时，数据库数据信息不至于丢失；二、数据库系统不被非法用户侵入。它应尽可能地堵住潜在的各种漏洞，防止非法用户利用它们侵入数据库系统。

5.数据的传输安全

为保证业务数据在传输过程的真实可靠，需要有一种机制来验证活动中各方的真实身份。安全认证是维持业务信息传输正常进行的保证，它涉及到安全管理、加密处理、PKI及认证管理等重要问题。应用安全认证系统采用国际通用的PKI技术、X.509证书标准和X.500信息发布标准等技术标准可以安全发放证书，进行安全认证。当然，认证机制还需要法律法规支持。安全认证需要的法律问题包括信用立法、电子签名法、电子交易法、认证管理法律等。

6.应用身份鉴定

由于传统的身份认证多采用静态的用户名/口令身份认证机制，客户端发起认证请求，由服务器端进行认证并响应认证结果。用户名/口令这种身份认证机制的优点是使用简单方便，但是由于没有全面的安全性方面的考虑，所以这种机制存在诸多的安全隐患。可以采用：双因子认证和CA认证两种解决方案。

7.应用授权管理

权限管理系统是IT系统信息安全基础设施的重要组成部分，是ICDC信息系统授权管理体系的核心。它将授权管理和访问控制决策机制从具体的应用系统中剥离出来，采用基于角色的访问控制（RBAC，RoleBasedAccessControls）技术，通过分级的、自上而下的权限管理职能的划分和委派，建立统一的特权管理基础设施（PMI，PrivilegeManagementInfrastructure），在统一的授权管理策略的指导下实现分布式的权限管理。

权限管理系统能够按照统一的策略实现层次化的信息资源结构和关系的描述和管理，提供统一的、基于角色和用户组的授权管理，对授权管理和访问控制决策策略进行统一的描述、管理和实施，提供基于属性证书和LDAP的策略和授权信息发布功能，构建高效的决策信息库和决策信息库的更新、同步机制，面向各类应用系统提供统一的访