网站的整体安全架构涵盖了应用安全、数据安全、隐私与权限保护、网络安全和物理安全等各个方面,如下图所示:
网站安全架构图
1、应用安全
网站实现统一权限管理机制和功能,实现不同部门拥有的访问控制功能,实现基于角色的权限控制,
2、数据安全
数据中心从数据存储、交换传输及访问等各个方面设计数据安全功能,包括按用户级别的访问控制,日志审计、数据加密、数据完整性保护等。
3、隐私与权限保护
主要敏感信息的保护,包括分级权限管理和角色管理。
4、网络安全(非本项目范畴)
主要依托网络中心的安全体系,包括防火墙、防病毒、入侵检测等网络安全措施。
5、物理安全(非本项目范畴)
物理环境的安全措施,包括人员控制,程序变更控制、软件变更控制、应用系统访问控制等。
6、安全管理制度(非本项目范畴)
建立安全管理制度,包括人员安全、文档安全、系统运行环境安全、系统运行安全、应用系统开发安全和应急安全等关联制度。