OA安全性

通過(guò)對(duì)軟件，數(shù)據(jù)，硬件，網(wǎng)絡(luò)，環(huán)境各層次劃分，提供高可靠，高安全，監(jiān)控技術(shù)體系。

為了能完成既定的業(yè)務(wù)功能，要求計(jì)算機(jī)系統(tǒng)能夠穩(wěn)定、安全運(yùn)行，應(yīng)該在系統(tǒng)建設(shè)之初，為其建立完善的安全保障體系。

為了達(dá)到系統(tǒng)安全控制的目標(biāo)，應(yīng)在系統(tǒng)規(guī)劃、建設(shè)、運(yùn)行維護(hù)的整個(gè)生命周期中，按照以下安全原則，指導(dǎo)系統(tǒng)的安全工作：

1. 起點(diǎn)進(jìn)入原則：從系統(tǒng)建設(shè)開(kāi)始就考慮安全問(wèn)題，防止在系統(tǒng)設(shè)計(jì)的早期沒(méi)有考慮安全性，導(dǎo)致因?yàn)殄e(cuò)誤的選擇留下基礎(chǔ)安全隱患，以致在系統(tǒng)運(yùn)行期為保證系統(tǒng)安全付出更大的代價(jià)。

2. 長(zhǎng)遠(yuǎn)安全預(yù)期原則：對(duì)安全需求要有總體設(shè)計(jì)和長(zhǎng)遠(yuǎn)打算，包括為安全設(shè)置一些可能近期不會(huì)用到的潛在功能。

3. 遵照業(yè)界通行準(zhǔn)則原則：完全遵循國(guó)際上有關(guān)的金融數(shù)據(jù)安全標(biāo)準(zhǔn)；采用當(dāng)前先進(jìn)的數(shù)據(jù)安全技術(shù)和產(chǎn)品，并確保系統(tǒng)達(dá)到所設(shè)計(jì)的安全強(qiáng)度。

4. 公認(rèn)原則：參考當(dāng)前在基本相同的條件下通用的安全防護(hù)措施，據(jù)此做出適合本系統(tǒng)的選擇，系統(tǒng)所采用的產(chǎn)品是成熟、可靠的，系統(tǒng)能安全、穩(wěn)定地運(yùn)行。

5. 最小特權(quán)原則：不給用戶超出任務(wù)所需權(quán)力以外的權(quán)利。

6. 最小開(kāi)放原則：先禁止所有服務(wù)，只有限開(kāi)放需要使用服務(wù)。

7. 適度復(fù)雜與經(jīng)濟(jì)原則：在保證安全強(qiáng)度的前提下，考慮安全機(jī)制的經(jīng)濟(jì)合理性，盡量減少安全機(jī)制的規(guī)模和復(fù)雜度，使之具有可操作性。

8. 系統(tǒng)效率與安全性平衡原則：由于安全程度與效率成反比，在設(shè)計(jì)安全系統(tǒng)時(shí)，應(yīng)盡可能地兼顧系統(tǒng)效率的需求。

在工作中遵守了安全原則的情況下，可以使新運(yùn)營(yíng)管理系統(tǒng)具有以下幾個(gè)安全特性：

1. 機(jī)密性

確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程，系統(tǒng)應(yīng)該對(duì)用戶采用權(quán)限管理，防止信息的不當(dāng)泄漏。

2. 完整性

確保數(shù)據(jù)的準(zhǔn)確和完整合法，只有授權(quán)的實(shí)體或進(jìn)程才能修改數(shù)據(jù)，同時(shí)系統(tǒng)應(yīng)該提供對(duì)數(shù)據(jù)進(jìn)行完整性驗(yàn)證的手段，能夠判別出數(shù)據(jù)是否已被篡改。

3. 可審查性

使每個(gè)授權(quán)用戶的活動(dòng)都是唯一標(biāo)識(shí)和受監(jiān)控的，對(duì)其操作內(nèi)容進(jìn)行跟蹤和審計(jì)。為出現(xiàn)的安全問(wèn)題提供調(diào)查的依據(jù)和手段。

4. 可控性

可以控制授權(quán)范圍內(nèi)的信息流向及行為方式。