一份全面的“安全概要设计”是怎样的？

产品的安全设计可以划分为以下几个部分：安全管理、安全评估、安全策略等，其中可以再细化为很多部分。笔者结合这些部分给出了自己关于安全概要设计的思考与分析，让我们来看看吧。

对于安全设计方面，我这里有一些自己的干货，写得不好，其中也有很多欠缺之处，愿朋友们看过之后能够给出很好的批评，咱们在这里相互学习、共同进步！

一、系统安全体系

系统的安全体系可用下图表示：

整个系统的安全取决于系统运行物理环境的安全性、服务器及网络的安全性、操作系统的安全性、应用系统的安全性及应用数据的安全性等，通过设计实施整体的安全策略，对安全策略的实施结果进行评估，及时采取修复补救措施，调整安全预防策略，综合动态地进行系统安全管理。

创新综合管理系统的信息数据安全主要实现在业务流程控制和代码的详细设计中，对系统权限设计应充分考虑整体策略安全性。

由于本系统建立在我行现有的物理环境和网络环境中，环境安全性很好，并将不断完善优化，因此，有关本系统的安全设计的主要对象是系统自身的应用安全、数据安全、服务器操作系统和数据库的安全管理维护。

二、系统面临的安全威胁

本系统需要考虑系统及数据可能面临的以下安全威胁：

• 非人为因素：服务器意外断电、损坏、硬盘出错或损坏，网络中断等；
• 人为因素：操作失误，恶意攻击，病毒破坏等；
• 信息泄露、信息窃取、假冒、抵赖等；
• 系统软件安全漏洞。

三、访问控制

对于网络资源保持有限访问的原则，信息流向可根据安全需求实现单向或双向控制。采用防火墙进行访问控制，安置在不同安全区域出入口，对进出网络的IP信息包进行过滤并按设定的安全策略进行信息流控制。

四、容错机制

利用RAID提供的磁盘存储产品，可以在硬盘故障的情况下不影响数据的有效和使用。

采用RAID（0+1）模式，利用RAID1的数据镜像实现数据冗余，同时与RAID0一起增加数据读取速度。

五、系统安全方案

针对上述安全威胁，系统的安全运行依赖网络和服务器系统的安全，系统本身需要设计相应的安全监控功能。

六、服务器及客户端系统安全

对于数据库系统，进行相应的安全配置维护管理，根据实际情况及时进行安全策略调整，定期进行数据库系统的有关备份。

由于客户端计算机用途很开放，很容易受到病毒感染、恶意攻击等，可能会进一步影响到服务器。因此，对客户端计算机也要采取安全措施，进行相应的安全配置管理，如设置有效的系统密码，设置较高的浏览器级别，及时打补丁，安装反病毒程序，定期查杀病毒，根据实际情况及时采取安全措施。

七、应用系统安全

1. 用户系统

该平台拥有灵活的用户体系，根据项目的实际需求，可创建不同的用户多用户角色，同时该角色可分配相应的操作权限。

用户登录方式图如下：

默认在微信中打开系统首页，通过微信授权后，初次授权系统默认为该用户创建账号，并填写相应的基本信息供管理审核。

2. 权限系统

权限系统一直以来是我们应用系统不可缺少的一个部分，若每个应用系统都重新对系统的权限进行设计，以满足不同系统用户的需求，将会浪费我们不少宝贵时间，所以花时间来设计一个相对通用的权限系统是很有意义的。

本系统的设计目标是对应用系统的所有资源进行权限控制，比如应用系统的功能菜单、各个界面的按钮控件等进行权限的操控。

权限颗粒：节点权限、模块入口权限、添加、删除、修改。

八、服务器设备配置规划

1. 需求规定

北横管理平台主要为阿里云服务器。

2. 服务配置表

3. 部署配置说明

九、网络安全设置

1. 需求规定

Internet 是自由开放的信息载体，对于网站群的建设不可避免的带来信息安全隐患。如果不设安全保护系统，Internet上的黑客很容易利用已存在的网络漏洞攻击系统内网的服务器，Internet上的病毒也会伺机入侵网站系统。

为了彻底解决网站群的安全性，确保其内网敏感信息不被泄漏、删除及篡改，要求网站群整体部署入侵防御系统、漏洞扫描系统、综合过滤网关系统、防病毒系统、网页防篡改及网站恢复系统，并制订相应的安全策略设计,在实际运行中最大程度上杜绝Internet带来的安全风险。

2. 网络安全规划设计

1. 综合过滤网关

综合过滤网关的连接方式如下图所示，安装在网络中心互联网出口，防火墙之后。采用透明模式，需要分配一个内网的管理地址进行管理配置，GE_1口上连H3C防火墙，GE_2口下连IPS的GE_1口，管理端口连接在H3C核心交换机上。

综合过滤网关实现以下主要功能：

（1）防病毒引擎

过滤网关采用自有防病毒引擎，以保证防病毒网关在使用过程中病毒库、蠕虫库等的可持续性升级和病毒库数量和质量的持续保障。

（2）病毒过滤

全面过滤网页访问（http）、文件下载（ftp）、电子邮件（smtp、pop3）等形式的病毒和恶意代码，智能识别处理可疑病毒和伪装形式病毒，防止多种传播方式的病毒入侵破坏。

（3）蠕虫过滤

可以实现蠕虫过滤（过滤静态蠕虫扩散、阻断蠕虫动态攻击）。为修复漏洞和改进网络安全状况赢得宝贵时间。

（4）垃圾邮件过滤

通过垃圾邮件特征分析、规则库、黑白名单等技术，全面实现垃圾邮件双向过滤。

（5）非法内容过滤

通过关键字识别方法，对邮件头、正文、附件进行内容过滤，并支持URL过滤和网页脚本过滤。

（6）网络防御保护

可根据IP地址、端口、协议、连接频率和速率等对网络数据包进行控制，防止非法的网络访问活动。

（7）自动更新

根据预定义的更新频率与策略，可通过Internet自动实时更新特征码，并可实现系统内核的在线升级。

2. 入侵防御系统

入侵防御系统的连接方式如上图（网络安全设备连接图）所示，安装在网络中心的互联网出口，过滤网关之后。采用透明模式，需要分配一个内网的管理地址进行管理配置，GE_1口上连过滤网关的GE_2口，GE_2口下连光电转换器的千兆电口，管理端口连接在H3C核心交换机上。

入侵防御系统入侵检测就是对发生在计算机系统或者网络上的事件进行监视、分析是否出现入侵的过程。

入侵防御系统按照检测目标环境可分为两类：网络型入侵检测系统和主机型入侵检测系统，二者可独立应用也可协同作战。

网络型入侵检测系统主要用于实时监控网络关键路径的信息，如同大楼内无处不在的电子监控系统，它采用旁路方式全面侦听网上信息流，动态监视网络上流过的所有数据包，进行检测和实时分析。从而实时甚至提前发现非法或异常行为，并且执行报警、阻断等功能，对事件的响应提供在线帮助，以最快的方式阻止入侵事件的发生。并且能够全面的记录和管理日志，进行离线分析，对特殊事件提供智能判断和回放功能。

主机入侵检测系统是基于对主机的审计系统的信息进行监测，及时发现系统级用户的非法操作行为，可以用来实时监视可疑的连接、系统日志检查、非法访问的闯入等，并且提供对典型应用的监视，如Web服务器，电子邮件服务器等。

3. 网络漏洞扫描系统

网络漏洞扫描系统的连接方式如上图（网络安全设备连接图）所示，该设备与核心交换机H3C 9500相连，其中NIC_1端口作为扫描端口，NIC_2端口作为网管端口。

网络漏洞扫描系统对整个网络进行安全扫描，以发现网络潜在的安全漏洞和薄弱环节，为整体的网络安全作出评估和测试。另外，当网络的配置发生变化或者有其它的升级操作时，也应该进行同样的操作，防止网络发生变化时产生安全漏洞，给非法入侵者造成机会。

网络漏洞扫描系统通常包括功能相对独立的三部分：

（1）全面地扫描每个网络设备的安全漏洞并自动推荐合适的校正措施，呈现一张所有网络设备安全漏洞的全方位视图；

（2）从操作系统的角度检测专用主机的整个安全性，允许管理员任意从远程自动更正分散网络上的安全漏洞；

（3）通过网络快速、方便地扫描数据库，去检查数据库特有的安全漏洞，全面评估所有的安全漏洞和认证、授权、完整性方面的问题。

4. 网络防病毒系统

网络防病毒系统部署在服务器（应用服务器）上。

网络防病毒系统能实现以下主要功能：

（1）网络防病毒集中管理和部署

强大、灵活的管理和任务调度手段，允许管理员通过中心控制台，集中地实现全网范围内防毒策略的定制、分发和执行。

管理员通过控制台，集中地实现所有节点上防毒软件的监控、配置、查询等管理工作。

病毒扫描引擎和代码库的更新，并能将此扫描引擎和代码库自动提供给各种服务器和工作站。

提供出色的事件报警、汇总、统计等辅助决策功能，可以随时对网络中病毒发生的情况进行查询统计，能按时间（日、周或任意时间段）、按IP地址、机器名、按病毒名称、病毒类型进行统计查询；使管理人员随时了解网络及病毒的宏观概况。

灵活的管理方式，可以支持集中和分布式管理，分布式管理可以跨越广域网，跨广域网时需要有效地利用带宽。

提供对手提电脑移动用户离开办公室后病毒防治的方案，包括病毒库的升级。

（2）网络防病毒处理能力

发现病毒后，有多种处理方法，例如清除、删除或隔离，以清除为主；采用伪指令技术，杀毒无需专杀工具。

支持邮件客户端防病毒，如：Outlook、foxmail邮件客户端；对SMTP、POP3进出邮件进程病毒监控。

全面监控所有病毒入口，对来自Internet、E-mail或是光盘、软盘移动存储、网络这些病毒入口，无论是宏病毒、特洛伊木马、黑客程序和有害程序全面进行实时监控。

支持查杀多种压缩格式的文件，同时不限压缩层数，能清除常见格式的压缩文件中的病毒。

（3）及时更新和响应

提供占用网络通讯流量最小的增量病毒定义码、引擎的更新升级方式；

提供多种方式的更新升级方法。

5.网页防篡改及恢复系统

网页防篡改及恢复软件系统部署在服务器（应用服务器）上。

网页防篡改及恢复系统能够完全保护网站不发送被篡改的页面，主要功能目标如下：

（1）动态网页脚本保护

采用核心内嵌技术的系统，可以直接从Web服务器上得到动态网页脚本，不受变化的内容影响，因而能够象静态网页一样保护动态网页脚本。

（2）连续篡改攻击保护

有意进行恶意攻击的黑客可以利用外挂轮询技术的扫描间隔来进行连续的篡改攻击，即在网页被恢复后立即重新篡改网页。而系统在每次输出网页时都进行完整性检查，如有变化则阻断发送。无论连续攻击多么迅速，保证不让公众看到被篡改的网页。

另外请路过的朋友们多多支持哈，笔者在这里先谢谢了，以后会有更多优质的文章在这个平台上进行发布，请尽请期待呦！

本文由 @卧枕江山 原创发布于人人都是产品经理。未经许可，禁止转载

题图来自Unsplash，基于CC0协议