1.物理安全:
機房應分為主機房和監控區兩部分。
機房應配備電子門禁系統、防盜報警系統和監控系統;
計算機房不應有窗戶,應配備專用氣體滅火和備用發電機;
2.網絡安全:
應繪制與當前操作壹致的拓撲圖;
交換機、防火墻等設備的配置要滿足要求,如Vlan劃分和Vlan的邏輯隔離、Qos流量控制策略、訪問控制策略、重要網絡設備和服務器的IP/MAC綁定等。
應配備網絡審計設備、入侵檢測或防禦設備;
交換機和防火墻的認證機制應滿足同等安全的要求,如用戶名和密碼的復雜性策略、登錄訪問失敗的處理機制、用戶角色和權限控制等。
網絡鏈路、核心網絡設備和安全設備需要提供冗余設計。
3.主機安全性:
服務器自身配置要符合要求,如身份認證機制、訪問控制機制、安全審計機制、防病毒等。如果需要,可以購買第三方主機和數據庫審計設備;
服務器(應用和數據庫服務器)要冗余,比如需要雙機熱備或者集群部署;
服務器和重要網絡設備在上線前需要進行漏洞掃描和評估,不能有中級以上的漏洞(如windows系統漏洞、apache等中間件漏洞、數據庫軟件漏洞、其他系統軟件和端口漏洞等。);
應配備專門的日誌服務器來保存主機和數據庫的審計日誌。
4.應用安全性:
應用程序本身的功能應滿足同等安全的要求,如身份認證機制、審計日誌、通信和存儲加密等。
應用部門應考慮部署網頁防篡改設備;
應用的安全評估(包括應用安全掃描、滲透測試和風險評估)應不存在中級和高級風險以上的漏洞(如SQL註入、跨站腳本、網站掛馬、網頁篡改、敏感信息泄露、弱密碼和密碼猜測、管理後臺漏洞);
應用系統生成的日誌應該保存在專用的日誌服務器上。
5.數據安全性:
應提供數據的本地備份機制,每天在本地備份,並在異地存儲;
如果系統中有核心關鍵數據,應提供遠程數據備份功能,通過網絡將數據傳輸到遠程地點進行備份;