2 安全方案设计思想

　　2.1 安全建设原则

　　网站安全是一项动态的、整体的系统工程。从技术上来说，一个网站所应采用的相应安全技术主要包括：防病毒、防火墙、入侵检测、漏洞扫描与检测、网站实时监控与恢复、安全事件紧急响应体系等。本期针对房地产管理局网站安全解决方案主要遵循以下几个原则：

　　n 应用安全产品符合信息系统安全的国际标准和国家标准;

　　n 对安全产品要采取硬、软结合的方针;

　　n 应用安全产品的部署不能成为信息系统运行的瓶颈;

　　n 应用安全能覆盖房地产管理局相关的WEB应用;

　　n 完整性：应用安全建设必需保证整个防御体系的完整性。一个较好的安全措施往往是多种方法适当综合的应用结果。单一的安全产品对安全问题的发现处理控制等能力各有优劣，从安全性的角度考虑需要不同安全产品之间的安全互补，通过这种对照、比较，可以提高系统对安全事件响应的准确性和全面性。

　　n 动态性：随着WEB应用脆弱性的改变和威胁攻击技术的发展，使WEB应用安全变成了一个动态的过程，静止不变的产品根本无法适应WEB应用安全的需要。所选用的安全产品必须及时地、不断地改进和完善，及时进行技术和设备的升级换代，只有这样才能保证系统的安全性。

　　n 专业性：攻击技术和防御技术是信息安全的一对矛盾体，两种技术从不同角度不断地对系统的安全提出了挑战，只有掌握了这两种技术才能对系统的安全有全面的认识，才能提供有效的安全技术、产品、服务，这就需要从事安全的公司拥有大量专业技术人才，并能长期的进行技术研究、积累，从而全面、系统、深入的为用户提供服务。

　　n 易用性：安全措施要由人来完成，如果措施过于复杂，对人的要求过高，一般人员难以胜任，有可能降低系统的安全性。

　　2.2 安全实施策略

　　本期安全方案重点是对某高校校园网站及一卡通系统的安全提出合理、有效的安全建议。因此，拟从以下两个方面着手：

　　n 从如何全面掌握某高校校园网站及一卡通系统的安全问题，制定合理的风险规避措施的角度出发;

　　n 从如何确保某高校校园网站及一卡通系统的安全运行、实时阻挡来自恶意者的攻击、降低网站及内部WEB应用运行风险的角度出发;

　　通过以上的几个指导原则，我们在实际实施的时候采用如下策略：

　　n 使用不同等级的安全产品进行集成，根据网站和应用系统的不同安全等级需求，选用合适的安全产品，可以有效的减少系统投资。

　　n 在产品选型时，需要厂家可以提供客户化支持服务产品。只有这样才能保证系统的安全是可以用户化的，才能有针对的为用户的应用和业务提供安全保证。国内具有自主知识产权的安全产品可以随时根据用户的要求对产品进行相应的改进。使产品更加适合用户的实际需要，而不是一般的通用性产品。

　　n 采用可提供本地化服务的厂家的产品。可以提供本地化服务产品对用户的安全至关重要，可以及时提供应急安全响应服务，如在黑客入侵事件发生的时候，可以在第一时间进行响应，最大程度的保护用户利益。

　　n 在选择产品时需要保证符合相应的国际、国内标准，尤其是国内相关的安全标准。

　　n 产品在使用上应具有友好的、全中文支持的用户界面，使用户在管理、使用、维护上尽量简单、直观。