隨著網(wǎng)絡(luò)信息的不斷發(fā)展，軟件的安全等級(jí)保護(hù)工作也越來越受到重視，供熱行業(yè)也不例外，軟件系統(tǒng)的安全性也成為了日常維護(hù)中的一項(xiàng)重要工作。除了對(duì)于網(wǎng)絡(luò)層面的等級(jí)測(cè)評(píng)外，軟件應(yīng)用層面也包含其中。

作為一個(gè)產(chǎn)品設(shè)計(jì)人員從功能需求設(shè)計(jì)的角度上對(duì)產(chǎn)品的安全性考慮也是不斷的提出了新的要求。

身份驗(yàn)證

身份驗(yàn)證是保障軟件系統(tǒng)安全性的重要手段之一。軟件在設(shè)計(jì)之初，考慮到身份驗(yàn)證機(jī)制的設(shè)計(jì)和實(shí)現(xiàn)，確保只有經(jīng)過授權(quán)的用戶才能夠訪問和操作系統(tǒng)?？梢圆捎萌缑艽a驗(yàn)證、雙因素認(rèn)證、生物特征認(rèn)證等身份驗(yàn)證技術(shù)以保障安全性。在身份驗(yàn)證技術(shù)方面，需要保證密碼的復(fù)雜度，避免使用過于簡單的密碼，以免密碼被攻擊者通過字典暴力破解等方式破解。雙因素認(rèn)證可以采用Token口令等方式，提高用戶身份驗(yàn)證的安全性。生物特征認(rèn)證可以采用人臉識(shí)別、指紋識(shí)別等技術(shù)。

為提高系統(tǒng)訪問安全性，眾齊軟件產(chǎn)品增加了微信掃碼登錄功能，通過微信賬號(hào)進(jìn)行掃碼登錄，綁定系統(tǒng)內(nèi)賬戶進(jìn)行身份驗(yàn)證登錄，借助微信平臺(tái)的安全驗(yàn)證機(jī)制提高系統(tǒng)安全性。

在賬號(hào)密碼安全性上也進(jìn)行了進(jìn)一步的加固，復(fù)雜密碼且密文傳輸，新增了拼圖滑塊驗(yàn)證功能，后臺(tái)身份驗(yàn)證防止網(wǎng)絡(luò)攻擊解密。

數(shù)據(jù)加密

在日常軟件應(yīng)用當(dāng)中，非常關(guān)鍵的問題是保護(hù)數(shù)據(jù)隱私。系統(tǒng)當(dāng)中的敏感信息，如客戶數(shù)據(jù)、財(cái)務(wù)信息、人事檔案、密碼等等應(yīng)該采用加密技術(shù)來進(jìn)行保護(hù)。加密可以分為對(duì)傳輸過程和對(duì)數(shù)據(jù)持久存儲(chǔ)兩種情況。在數(shù)據(jù)傳輸過程中，可以采用如SSL/TLS等通信加密協(xié)議。在數(shù)據(jù)持久存儲(chǔ)方面，主要需要采用數(shù)據(jù)庫加密技術(shù)及文件加密技術(shù)等方法來實(shí)現(xiàn)。

通常對(duì)于用戶隱私等信息較為常見的處理方式為數(shù)據(jù)脫敏，眾齊軟件建立了對(duì)于不同類型客戶數(shù)據(jù)的不同脫敏規(guī)則進(jìn)行相應(yīng)的處理。

權(quán)限管理

在軟件系統(tǒng)當(dāng)中，為了保證用戶安全的信息和數(shù)據(jù)不被未經(jīng)授權(quán)的訪問，采用權(quán)限管理機(jī)制。權(quán)限管理機(jī)制的實(shí)現(xiàn)，需要實(shí)現(xiàn)賬戶用戶與各模塊權(quán)限的設(shè)定，具備不同角色的權(quán)限分配和限制操作權(quán)限等特點(diǎn)。

在權(quán)限管理方面，應(yīng)該采用最小權(quán)限設(shè)計(jì)原則，防止對(duì)于某些敏感數(shù)據(jù)的可讀與可寫被賦予過高的權(quán)限。同時(shí)，應(yīng)該也要考慮到超級(jí)管理員對(duì)于系統(tǒng)的權(quán)限分配和角色設(shè)定等管理功能，以滿足不同層級(jí)和職能的要求。

安全日志

安全日志是系統(tǒng)安全性的監(jiān)測(cè)、管理和回溯重要基礎(chǔ)。合理、規(guī)范、完整的安全日志記錄對(duì)于保障系統(tǒng)安全起到了不可替代的作用。對(duì)于代碼及系統(tǒng)操作等信息，應(yīng)該進(jìn)行完整、規(guī)范的日志記錄，以方便后期對(duì)于系統(tǒng)設(shè)備操作或者開發(fā)時(shí)產(chǎn)生的操作來進(jìn)行追溯與檢查。

不管是系統(tǒng)操作日志還是技術(shù)對(duì)接日志等，眾齊軟件產(chǎn)品都進(jìn)行了詳細(xì)的信息數(shù)據(jù)記錄。

應(yīng)急響應(yīng)

針對(duì)可能發(fā)生的安全事件，需要建立應(yīng)急響應(yīng)機(jī)制，確保在出現(xiàn)安全事件時(shí)能夠及時(shí)快速地處理和恢復(fù)，以減少損失和影響。

客戶數(shù)據(jù)為使用系統(tǒng)的核心也是最重要的部分，對(duì)于數(shù)據(jù)進(jìn)行定時(shí)備份，以及異地備份，保障數(shù)據(jù)安全性。

安全性測(cè)試

在軟件開發(fā)生命周期的不同階段，需要對(duì)系統(tǒng)進(jìn)行安全性測(cè)試并評(píng)估系統(tǒng)的安全性。安全性測(cè)試包括安全漏洞掃描、安全加固、安全審計(jì)等環(huán)節(jié)。只有不斷地進(jìn)行安全性測(cè)試才能確保系統(tǒng)的安全性。

?