系统安全性设计方法

　　为使系统满足规定的安全性要求，可采用相应的安全找施，以消除和控制危害或者减少危害的影响。在采用这些安全措施及方法时，按其功能和实效性，选用的顺序可列为：能量控制，固有安全设计，隔离，闭锁，锁定及连锁，故障安全设计，故障最小设计，安全系数，警示装置，安全标志，损伤抑制，应急及救援，薄弱环节设计等。

　　1 能量控制

　　在研究安全性的问题时，无论任何事故及其影响的大小都以直接与其所含能量相关的原理为基础，进而提出通过控制能量来保证安全的方案。

　　2 固有安全设计

　　固有安全性是产品设计本身所赋予的安全性。进行固有安全性的设计是避免事故发生的最有效的、最本质的方法。它可以通过消除危害或控制风险的设计方法和工程方法，确保系统的固有安全水平。

　　3 隔离

　　隔离是采用物理分离，隔板、栅栏或机械方式等措施，将已确认的危害同人员及设施隔离，从而避免接触危害或将风险降低到最低水平，控制危害的影响。

　　4 闭锁、锁定及连锁

　　闭锁、锁定及连锁是一种常用的安全措施。这些措施的功能是防止不相容事件接连发生，或防止事故在不正确的时间中发生或者以错误的顺序发生。常见的例子，如冲床及其他一些机器的安全保护装置。

　　5 故障安全设计

　　故障-安全设计应保证故障不影响系统，或使系统不会造成损害。在大多数实践中，这种设计使系统发生故障时停止工作。在任何情况下，故障-安全设计的基本原则是：

　　(1) 保护人员的安全;

　　(2) 保护环境，避免引发爆炸、火灾等灾害;

　　(3) 防止设备损坏;

　　(4) 防止降低或丧失使用性能。

　　6 故障最少设计
　　减少故障的方法有降低故障率(如采用冗余技术等)、监控、中断与修复、加大安全系数和预报、预警等方法。
　　7 安全系数法
　　采用安全系数以尽量减少结构及材料的故障，是一种经典的方法。在能量及状态控制措施中，也把这种设计思想作为保证安全的一种重要措施。
　　8 警示装置
　　警示装置用于向有关人员通告危险、设备故障问题及其他值得注意的状态，以使有关人员警惕并采取相应的纠正措施，避免事故发生。警示装置按接收讯号人员的感觉可分为视觉、听觉等类型。
　　9 标志
　　标志是一种特殊的目视告警和说明手段，它按要求或标准来设计并置放在特定的位置。标志包括文字、颜色和图样，以满足示警的特殊要求。
　　10 损伤抑制
　　采用物理隔离，如防火墙、隔离沟等是抑制伤害的一类方法。此外，防护设备、器具也是抑制损伤的重要手段，在后面的章节中，还会专门讲述。
　　11 逃逸、救生和救援
　　逃逸及救生是指人们使用现场的资源自身救护的方法;救援是指其他人员救护在紧急情况下受到威胁的人员和环境的行动。这些行动的有效性往往取决于事先的救援方案、设计、培训和演练。

　　12 薄弱环节设计
　　所谓薄弱环节是指系统中最容易出故障的部分。安全工程师利用薄弱环节来限制故障、偶然事件或事故所造成的损伤。例如，熔断器(保险丝)，用于防止持续过载而引起的火灾或其他贵重设备等的损坏。
　　系统安全性设计
　　系统安全性设计可以划分为如下几个层次：
　　程序设计安全性
　　程序部署及操作系统安全性
　　数据库安全性
　　网络安全性
　　物理安全性
　　就程设计的安全性,针对现在大多系统的分布式结构,因为同时要面向不同地理位置，不同网络地址，不同级别，不同权限的用户提供服务，稍不留神就可能产生潜在的安全隐患，
　　如下是最常见的由设计不当产生的安全漏洞分类：
　　1、输入验证漏洞：嵌入到查询字符串、表单字段、cookie 和 HTTP 头中的恶意字符串的攻击。这些攻击包括命令执行、跨站点脚本(XSS)、SQL 注入和缓冲区溢出攻击。
　　2、身份验证漏洞：标识欺骗、密码破解、特权提升和未经授权的访问。
　　3、授权漏洞：非法用户访问保密数据或受限数据、篡改数据以及执行未经授权的操作。
　　4、敏感数据保护漏洞：泄露保密信息以及篡改数据。
　　5、日志记录漏洞：不能发现入侵迹象、不能验证用户操作，以及在诊断问题时出现困难。
　　对于以上的漏洞，可用的防范措施有：
　　1、针对输入验证漏洞，在后台代码中必须验证输入信息安全后，才能向服务层提交由用户输入产生的操作。
　　2、针对身份验证漏洞，程序设计中，用户身份信息必须由服务器内部的会话系统提供，避免通过表单提交和页面参数的形式获取用户身份。
　　3、针对授权漏洞，在访问保密数据或受限数据时，一定要根据用户身份和相应的权限配置来判断操作是否允许。
　　4、针对敏感数据漏洞，在储存敏感数据时，一定要采用合适的加密算法来对数据进行加密。
　　5、针对日志记录漏洞，程序设计中，对改变系统状态的操作，一定要记录下尽可能详细的操作信息，以便操作记录可溯源。

　　就程序部署及操作系统安全性而言，可用以下的防范措施：
　　1、无论部署于何种操作系统，需要保证操作系统在部署前，安装了全部的安全升级补丁，关闭了所有不需要的系统服务，只对外开放必须的端口
　　2、定期查看所部署服务器系统安全通告，及时安装安全补丁。
　　3、定期检查系统日志，对可疑操作进行分析汇报。
　　4、应用服务器程序在服务器中文件系统中的目录结构位置应该尽量清晰。目录命名需要尽可能的有意义。
　　5、应用服务器程序不能以具有系统管理员权限的操作系统用户运行。最好能建立专门的操作系统用户来运行应用服务器。
　　就数据库安全性而言，可用以下的防范措施：
　　1、数据库监听地址要有限制，只对需要访问的网络地址进行监听。
　　2、定数据库备份制度。定期备份库中的数据。
　　3、数据库操作授权限制，对表一级及其以上级别的数据库操作授权不应对应用服务器开放。
　　就网络安全性而言,可用以下的防范措施：
　　1、选用企业级防火墙。
　　2、根据具体网络环境，制定尽可能周密的防火墙规则。
　　3、需要在外网中传输的数据，应选用合适的加密算法进行加密。
　　就物理安全性而言，可用以下的防范措施：
　　1、服务器应部署于专业的数据机房，做好机房管理工作。
　　2、对于支持热插拔的各种接口，需要在部署前在系统BIOS中关闭。服务器在运行过程中，应该做好各种防护措施。

全文下载：