应用级别(II)是指公司基本建立完善的局域网系统,拥有并使用各种服务器,各种数据库联动运行。公司能够灵活利用互联网进行业务处理和客户服务,信息系统属于中等规模。
在这个情况下,公司应该重视的目标为保护顾客信息和各种重要数据、保护公司提供互联网服务的Web服务器的正常运转、公司各种信息应用内容的访问控制如图16—6所示。
应用级别(II)的安全对策除了包括(I)的各种措施以外,还必须做到监视基本认证系统和对非法访问进行控制。网络系统管理方面包括备份系统(系统的冗余性)、性能管理、运行监控以及设置UPS电源装置(系统)。
采用CGI进行网站的商品定购和针对顾客进行行情调查时,为了保护顾客的个人信息,必须通过SSL在通信途径当中进行信息加密。另外,在很多情况下必须24小时不间断地对非法访问活动进行监视。除了通常的运用以外,必须准备应急对策措施,要采取预备系统和双线路等冗余措施。当然也不能忽略各种系统和机器的性能管理和运转监视,作为电源故障对策设置无停电电源装备,以及建立明确责任制的安全体制,加强平时的突发事件反应能力的培养;对付病毒和黑客攻击的技术支援,系统恢复训练、恢复规程,恢复操作方法等。
应用级别(II)的最低限要求是:通过浏览器和web服务器之间的SSL,对互联网通信实施加密保护;采用入侵监测系统和7×24小时非法入侵监视体制;灾难恢复对策措施,恢复训练和任务分担。
