系統(tǒng)安全設計原則

1、精品系統(tǒng)安全設計和備份原則系統(tǒng)安全和系統(tǒng)備份是系統(tǒng)設計中非常重要的一個部分，主要包含以下幾個方面。系統(tǒng)安全設計項目對信息安全性主要關注三大方面：物理安全、邏輯安全和安全管理。1、物理安全是指系統(tǒng)設備及相關設施受到物理保護，使之免糟破壞或丟失。2、邏輯安全則是指系統(tǒng)中信息資源的安全, 它又包括以下三個方面：保密性、完整性、可用性。3、安全管理包括各種安全管理的政策和機制。針對項目對安全性的需要，我們將其分為5 個方面逐一解決：應用安全1、管理制度建設旨在加強計算機信息系統(tǒng)運行管理，提高系統(tǒng)安全性、可靠性。要確保系統(tǒng)穩(wěn)健運行，減少惡意攻擊、 各類故障帶來的負面效應，有必要建立行之有效的系統(tǒng)運行維護

2、機制和相關制度。比如，建立健全中心機房管理制度，信息設備操作使用規(guī)程，信息系統(tǒng)維護制度，網絡通訊管理制度，應急響應制度，等等。2、角色和授權要根據分工， 落實系統(tǒng)使用與運行維護工作責任制。要加強對相關人員的培訓和安全教育，減少因為誤操作給系統(tǒng)安全帶來的沖擊。要妥善保存系統(tǒng)運行、維護資料，做好相關記錄，要定期組織應急演練，以備不時之需。3、數(shù)據保護和隱私控制數(shù)據安全主要分為兩個方面：數(shù)據使用的安全和數(shù)據存儲的安全。數(shù)據保護旨在防止數(shù)據被偶然的或故意的非法泄露、變更、破壞，或是被非法識別和控感謝下載載精品制，以確保數(shù)據完整、保密、可用。數(shù)據安全包括數(shù)據的存儲安全和傳輸安全兩個方面。為了保證數(shù)據使用

3、過程的安全，建議在系統(tǒng)與外部系統(tǒng)進行數(shù)據交換時采用國家相關標準的加密算法對傳輸?shù)臄?shù)據進行加密處理，根據不同的安全等級使用不同的加密算法和不同強度的加密密鑰，根據特殊需要可以考慮使用加密機。數(shù)據的存儲安全系指數(shù)據存放狀態(tài)下的安全，包括是否會被非法調用等，可借助數(shù)據異地容災備份、密文存儲、設置訪問權限、身份識別、局部隔離等策略提高安全防范水平。為了保證數(shù)據存儲的安全可以使用多種方案并用，軟硬結合的策略。同城的數(shù)據同步復制，保證數(shù)據的安全性同城的數(shù)據同步復制，保證數(shù)據的安全性同場數(shù)據復制不但可以保證數(shù)據的備份的速度，同時可以支持數(shù)據的快速恢復。生產環(huán)境的數(shù)據存儲系統(tǒng)可以使用磁盤冗余陣列技術。當前的硬

4、盤多為磁盤機械設備，因生產環(huán)境對系統(tǒng)運行的持續(xù)時間有很高要求，系統(tǒng)在運行過程中硬盤一旦達到使用壽命就會出現(xiàn)機械故障，從而使等硬盤無法繼續(xù)工作。生產環(huán)境的數(shù)據存儲設備如果沒有使用磁盤冗余陣列技術，一旦硬盤出現(xiàn)機械故障將會造成將會生產環(huán)境數(shù)據的丟失，使得整個系統(tǒng)無法繼續(xù)運行。4、審計本項目的技術支撐技術提供了強大的審計功能，采用審計各種手段來記錄用戶對系統(tǒng)的各種操作，例如成功登錄，不成功登錄，啟動事務，啟動報表，登錄次數(shù)時間等等，這些信息全部記錄在系統(tǒng)日志中，沒有任何信息會記錄在客戶端，用戶可以根據需求隨時查看和分析這些信息。 應用支撐平臺還提供了其他手段來跟蹤指定用戶的操作以及對系統(tǒng)進行的變更,

5、只有相應的授權用戶和管理員可以查看這些日志進行分析。根據用戶的要求，應用平臺可以記錄各種誰、何時、作了什么的信息。感謝下載載精品每條記錄均有用戶ID ，日期，輸入的數(shù)據，本地時間等等。審計功能的中央監(jiān)控模式可以將系統(tǒng)和業(yè)務數(shù)據作為監(jiān)控源，同時利用標準接口，支持監(jiān)控第三方系統(tǒng)， 或者將審計功能集成到其他監(jiān)控系統(tǒng)中。監(jiān)控信息和日志可以被管理員以及相應的授權用戶查看和分析。5、抗抵賴系統(tǒng)的日志管理功能對所有重要操作都有詳細的記錄，內容包含操作人員的登錄ID 、操作時間、 IP地址、操作結果等信息。防止系統(tǒng)使用者為謀取不正當利益采取的否認操作的行為。協(xié)同安全1、認證聯(lián)盟身份認證是當前信息系統(tǒng)需要解決的

6、首要問題，目前很多系統(tǒng)都采用了自行設計和開發(fā)自有身份認證系統(tǒng)， 這樣的身份認證系統(tǒng)不但安全沒有保障，同時也不符合一定有標準規(guī)范，很難與其它系統(tǒng)進行集成。應用支撐平臺的權限控制技術支持多種身份認證規(guī)范，可以很方便的與其它系統(tǒng)進行集成。2、消息安全數(shù)據傳輸交換過程中，傳輸?shù)臄?shù)據不法分子有可能被截獲、破譯、并有可能被篡改，應用支撐層的技術支持多種數(shù)據加密和數(shù)據簽名技術，可以有效保證數(shù)據的安全性和可靠性。3、安全協(xié)同項目對系統(tǒng)間服務調用的完整性和機密性提出了很高的要求，應用支撐層的技術支持多種安全策略用以解決WEB 服務調用的安全性問題。4、信任管理感謝下載載精品應用支撐層的技術支持PKI 安全基礎設

7、施用戶訪問安全1、身份管理用戶管理和身份認證是項目安全部分的重要組成部分，我們建議采用集中式的用戶管理方式。 因為生產環(huán)境用戶訪問量非常大，原始的、 采用數(shù)據庫查詢的認證方式顯然無法滿足性能的要求，我們建議采用LDAP 目錄服務器做為身份認證信息的存儲服務器。因為LDAP自身的技術特點， 可以很好的解決查詢的性能問題，利用應用支撐層的技術開發(fā)的輔助功能，可以最大限度的優(yōu)化身份管理和認證的速度。2、認證和單點登陸項目是一個有著復雜接入方式的系統(tǒng)，同時要求提供多種身份認證方式，應用支撐層的技術支持基本于LDAP 服務器的查詢式身份權限認證，也支持基于證書的身份權限認證，同時支持其它標準的身份認證規(guī)

8、范。應用支撐層的技術支持單點登陸，身份權限信息統(tǒng)一維護，用戶只需登錄一次即可完成各子系統(tǒng)的身份認證信息的審核，無需多次登錄系統(tǒng)。3、訪問控制按用戶身份及其所歸屬的某預定義組來限制用戶對某些信息項的訪問，或限制對某些控制功能的使用。 訪問控制通常用于系統(tǒng)管理員控制用戶對服務器、目錄、 文件等網絡資源的訪問。架構安全1、物理安全旨在保護計算機服務器、數(shù)據存貯、 系統(tǒng)終端、網絡交換等硬件設備免受自然災害、人為破壞，確保其安全可用。制定物理安全策略，要重點關注存放計算機服務器、數(shù)據存貯設感謝下載載精品備、核心網絡交換設備的機房的安全防范。其選址與規(guī)劃建設要遵循GB9361 計算機場地安全要求和 GB2

9、887計算機場地技術條件，保證恒溫、恒濕，防雷、防水、防火、防鼠、防磁、防靜電，加裝防盜報警裝置，提供良好的接地和供電環(huán)境，要為核心設備配置與其功耗相匹配的穩(wěn)壓及UPS 不間斷電源。根據需要對機房的進行電磁屏蔽，防止電磁泄露， 預防主機受到外界的惡意電磁干擾和信息探測。2、網絡傳輸安全網絡傳輸安全分網絡訪問安全和網絡數(shù)據傳輸安全兩個部分。網絡訪問安全技術是為了有效保護物理網絡不被非法訪問而采取的保護技術。網絡訪問安全主要使用防火墻技術和代理技術，外部設備不能直接接入到物理網絡，必須經過防火墻或代理服務器才可以訪問網絡。數(shù)據安全不能只關心數(shù)據加身的加密問題，同時還應當關注數(shù)據傳輸途徑的的安全問題

10、。項目對數(shù)據傳輸安全提出很高的要求主，核心征管系統(tǒng)與外部系統(tǒng)進行數(shù)據交換時不但要使用數(shù)據加密技術加密數(shù)據本身，同時還應當使用SSL、SNC 等安全協(xié)議進行數(shù)據傳輸以保證數(shù)據的安全，預防網攻擊。3、平臺安全平臺安全是指項目所使用的系統(tǒng)級軟件的安全，主要包括操作系統(tǒng)安全、中間件安全、數(shù)據庫系統(tǒng)安全、病毒檢查等方面。4、系統(tǒng)安全系統(tǒng)安全是指系統(tǒng)間通信的安全問題，為保證系統(tǒng)間的通信安全建議使用SSL等安全協(xié)議進行數(shù)據通信。5、終端安全感謝下載載精品終端安全是訪問項目及其配套軟件、服務器的終端設備的安全。終端安全是整個系統(tǒng)安全中最薄弱的環(huán)節(jié)，建議采取以下措施來加強終端安全：1）控制接入網絡2）網絡訪問控

11、制3）驗證最低限度的信任4）只允許可信終端訪問系統(tǒng)5）對終端與系統(tǒng)交換的數(shù)據進行加密，采用安全協(xié)議進行通信。軟件生命周期安全1、安全開發(fā)軟件開發(fā)過程的安全管理主要體現(xiàn)在開發(fā)標準方面，主要手段包括： 開發(fā)規(guī)范和代碼檢查。2、默認安全配置默認安全配置是指為了保證系統(tǒng)運行的所需安裝的最少軟件和相關設置。3、發(fā)布安全SWORD 應用支撐的權限控制功能提供系統(tǒng)方案用于解決發(fā)布安全問題。4、變更安全管理旨在加強計算機信息系統(tǒng)運行管理，提高系統(tǒng)安全性、可靠性。要確保系統(tǒng)穩(wěn)健運行，減少惡意攻擊、 各類故障帶來的負面效應，有必要建立行之有效的系統(tǒng)運行維護機制和相關制度。比如，建立健全中心機房管理制度，信息設備操

12、作使用規(guī)程，信息系統(tǒng)維護制度，網絡通訊管理制度，應急響應制度，等等。要根據分工， 落實系統(tǒng)使用與運行維護工作責任制。要加強對相關人員的培訓和安全教育，減少因為誤操作給系統(tǒng)安全帶來的沖擊。要妥善保存系統(tǒng)運行、維護資料，做好相關記感謝下載載精品錄，要定期組織應急演練，以備不時之需。信息系統(tǒng)相對復雜的用戶、對信息系統(tǒng)依存度較高的用戶，簽訂系統(tǒng)服務外包合同，由其提供專業(yè)化的、一攬子安全護航服務，是個不錯的策略。數(shù)據傳輸安全采用https協(xié)議超文本傳輸協(xié)議HTTP 協(xié)議被用于在 Web 瀏覽器和網站服務器之間傳遞信息。HTTP 協(xié)議以明文方式發(fā)送內容，不提供任何方式的數(shù)據加密，如果攻擊者截取了Web 瀏

13、覽器和網站服務器之間的傳輸報文，就可以直接讀懂其中的信息，因此HTTP 協(xié)議不適合傳輸一些敏感信息，比如信用卡號、密碼等。為了解決 HTTP 協(xié)議的這一缺陷，需要使用另一種協(xié)議：安全套接字層超文本傳輸協(xié)議HTTPS 。為了數(shù)據傳輸?shù)陌踩?，HTTPS 在HTTP 的基礎上加入了SSL協(xié)議， SSL依靠證書來驗證服務器的身份，并為瀏覽器和服務器之間的通信加密。HTTPS 和 HTTP 的區(qū)別主要為以下四點：https 協(xié)議需要到 ca申請證書，一般免費證書很少，需要交費。http 是超文本傳輸協(xié)議，信息是明文傳輸，https 則是具有安全性的ssl 加密傳輸協(xié)議。http 和https 使用的是完

14、全不同的連接方式，用的端口也不一樣， 前者是 80 ，后者是 443 。http 的連接很簡單，是無狀態(tài)的；HTTPS 協(xié)議是由 SSL+HTTP 協(xié)議構建的可進行加密傳輸、身份認證的網絡協(xié)議，比http 協(xié)議安全。 SSL 加密傳輸SSL（ Secure Sockets Layer安全套接層），及其繼任者傳輸層安全(Transport LayerSecurity ，TLS)是為網絡通信提供安全及數(shù)據完整性的一種安全協(xié)議。TLS與 SSL在傳輸層對網絡連接進行加密。感謝下載載精品SSL 為 Netscape所研發(fā)，用以保障在Internet上數(shù)據傳輸之安全，利用數(shù)據加密(Encryption)

15、技術， 可確保數(shù)據在網絡上之傳輸過程中不會被截取及竊聽。目前一般通用之規(guī)格為 40 bit 之安全標準，美國則已推出128 bit 之更高安全標準，但限制出境。只要3.0 版本以上之 I.E.或 Netscape瀏覽器即可支持SSL。當前版本為 3.0 。它已被廣泛地用于Web 瀏覽器與服務器之間的身份認證和加密數(shù)據傳輸。SSL協(xié)議位于 TCP/IP 協(xié)議與各種應用層協(xié)議之間，為數(shù)據通訊提供安全支持。SSL協(xié)議可分為兩層： SSL記錄協(xié)議（ SSL Record Protocol）：它建立在可靠的傳輸協(xié)議（如TCP）之上，為高層協(xié)議提供數(shù)據封裝、壓縮、加密等基本功能的支持。SSL握手協(xié)議（ S

16、SLHandshake Protocol）：它建立在 SSL記錄協(xié)議之上，用于在實際的數(shù)據傳輸開始前，通訊雙方進行身份認證、協(xié)商加密算法、交換加密密鑰等。SSL協(xié)議提供的服務主要有哪些1）認證用戶和服務器，確保數(shù)據發(fā)送到正確的客戶機和服務器2）加密數(shù)據以防止數(shù)據中途被竊取3）維護數(shù)據的完整性，確保數(shù)據在傳輸過程中不被改變。SSL協(xié)議的工作流程服務器認證階段：1）客戶端向服務器發(fā)送一個開始信息“Hello ”以便開始一個新的會話連接；2）服務器根據客戶的信息確定是否需要生成新的主密鑰，如需要則服務器在響應客戶的“ Hello ”信息時將包含生成主密鑰所需的信息；3）客戶根據收到的服務器響應信息，

17、產生一個主密鑰，并用服務器的公開密鑰加密后傳給服務器；感謝下載載精品4）服務器恢復該主密鑰，并返回給客戶一個用主密鑰認證的信息，以此讓客戶認證服務器。用戶認證階段在此之前， 服務器已經通過了客戶認證，這一階段主要完成對客戶的認證。經認證的服務器發(fā)送一個提問給客戶，客戶則返回（數(shù)字）簽名后的提問和其公開密鑰，從而向服務器提供認證。數(shù)字簽名通過數(shù)字簽名技術從所傳輸?shù)闹匾獢?shù)據中生成一個128 位的散列值（或數(shù)據摘要），并用自己的專用密鑰對這個散列值進行加密，形成發(fā)送方的數(shù)字簽名；將這個數(shù)字簽名將作為傳輸數(shù)據的附件和數(shù)據本身一起發(fā)送給接收方，即本系統(tǒng)的后臺應用程序；后臺應用程序首先從接收到的原始加密數(shù)

18、據中計算出128 位的散列值（或數(shù)據摘要），接著再用發(fā)送方的公開密鑰來對數(shù)據附加的數(shù)字簽名進行解密。若兩個散列值相同，那么后臺應用程序就能確認該數(shù)字簽名是發(fā)送方的。通過數(shù)字簽名能夠實現(xiàn)對原始數(shù)據的鑒別和不可否認性，最終達到對重要數(shù)據在傳輸過程中的加密。數(shù)據存儲安全數(shù)據備份數(shù)據備份是容災的基礎，是指為防止系統(tǒng)出現(xiàn)操作失誤或系統(tǒng)故障導致數(shù)據丟失，而將全部或部分數(shù)據集合從應用主機的硬盤或陣列復制到其它的存儲介質的過程。傳統(tǒng)的數(shù)據備份主要是采用內置或外置的磁帶機進行冷備份。但是這種方式只能防止操作失誤等人為故障，而且其恢復時間也很長。隨著技術的不斷發(fā)展，數(shù)據的海量增加，不少的單位開始采用網絡備份。網絡

19、備份一般通過專業(yè)的數(shù)據存儲管理軟件結合相應的硬件和存儲設備來實現(xiàn)。本次感謝下載載精品項目可考慮采用以下的備份方式：定期磁帶遠程磁帶庫、光盤庫備份。即將數(shù)據傳送到遠程備份中心制作完整的備份磁帶或光盤。遠程關鍵數(shù)據+ 磁帶備份。采用磁帶備份數(shù)據，生產機實時向備份機發(fā)送關鍵數(shù)據。數(shù)據庫備份就是在與主數(shù)據庫所在生產機相分離的備份機上建立主數(shù)據庫的一個拷貝。網絡數(shù)據備份這種方式是對生產系統(tǒng)的數(shù)據庫數(shù)據和所需跟蹤的重要目標文件的更新進行監(jiān)控與跟蹤，并將更新日志實時通過網絡傳送到備份系統(tǒng)，備份系統(tǒng)則根據日志對磁盤進行更新。遠程鏡像通過高速光纖通道線路和磁盤控制技術將鏡像磁盤延伸到遠離生產機的地方，鏡像磁盤數(shù)

20、據與主磁盤數(shù)據完全一致，更新方式為同步或異步。數(shù)據備份必須要考慮到數(shù)據恢復的問題，包括采用雙機熱備、磁盤鏡像或容錯、備份磁帶異地存放、 關鍵部件冗余等多種災難預防措施。這些措施能夠在系統(tǒng)發(fā)生故障后進行系統(tǒng)恢復。 但是這些措施一般只能處理計算機單點故障，對區(qū)域性、毀滅性災難則束手無策，也不具備災難恢復能力。備份策略選擇了存儲備份軟件、存儲備份技術（包括存儲備份硬件及存儲備份介質）后，首先需要確定數(shù)據備份的策略。備份策略指確定需備份的內容、備份時間及備份方式。要根據自己的實際情況來制定不同的備份策略。目前被采用最多的備份策略主要有以下三種。1、完全備份（full backup）每天對自己的系統(tǒng)進行

21、完全備份。例如，星期一用一盤磁帶對整個系統(tǒng)進行備份，星期感謝下載載精品二再用另一盤磁帶對整個系統(tǒng)進行備份，依此類推。 這種備份策略的好處是：當發(fā)生數(shù)據丟失的災難時，只要用一盤磁帶（即災難發(fā)生前一天的備份磁帶），就可以恢復丟失的數(shù)據。然而它亦有不足之處，首先，由于每天都對整個系統(tǒng)進行完全備份，造成備份的數(shù)據大量重復。這些重復的數(shù)據占用了大量的磁帶空間，這對用戶來說就意味著增加成本。其次，由于需要備份的數(shù)據量較大，因此備份所需的時間也就較長。對于那些業(yè)務繁忙、備份時間有限的單位來說，選擇這種備份策略是不明智的。2、增量備份 (incremental backup)星期天進行一次完全備份，然后在接下

22、來的六天里只對當天新的或被修改過的數(shù)據進行備份。 這種備份策略的優(yōu)點是節(jié)省了磁帶空間，縮短了備份時間。但它的缺點在于，當災難發(fā)生時，數(shù)據的恢復比較麻煩。例如，系統(tǒng)在星期三的早晨發(fā)生故障，丟失了大量的數(shù)據，那么現(xiàn)在就要將系統(tǒng)恢復到星期二晚上時的狀態(tài)。這時系統(tǒng)管理員就要首先找出星期天的那盤完全備份磁帶進行系統(tǒng)恢復，然后再找出星期一的磁帶來恢復星期一的數(shù)據，然后找出星期二的磁帶來恢復星期二的數(shù)據。很明顯，這種方式很繁瑣。另外，這種備份的可靠性也很差。在這種備份方式下，各盤磁帶間的關系就象鏈子一樣，一環(huán)套一環(huán)，其中任何一盤磁帶出了問題都會導致整條鏈子脫節(jié)。比如在上例中， 若星期二的磁帶出了故障，那么管

23、理員最多只能將系統(tǒng)恢復到星期一晚上時的狀態(tài)。3、差分備份 (differential backup)管理員先在星期天進行一次系統(tǒng)完全備份，然后在接下來的幾天里，管理員再將當天所有與星期天不同的數(shù)據（新的或修改過的）備份到磁帶上。 差分備份策略在避免了以上兩種策略的缺陷的同時，又具有了它們的所有優(yōu)點。首先，它無需每天都對系統(tǒng)做完全備份，因此備份所需時間短，并節(jié)省了磁帶空間，其次，它的災難恢復也很方便。系統(tǒng)管理員只需兩盤磁帶，即星期天的磁帶與災難發(fā)生前一天的磁帶，就可以將系統(tǒng)恢復。感謝下載載精品在實際應用中， 備份策略通常是以上三種的結合。例如每周一至周六進行一次增量備份或差分備份，每周日進行全備份，每月底進行一次全備份，每年底進行一次全備份。4、日常維護有關問題備份系統(tǒng)安裝調試成功結束后，日常維護包含兩方面工作，即硬件維護和軟件維護。 如果硬件設備具有很好的可靠性，系統(tǒng)正常運行后基本不需要經常維護。一般來說， 磁帶庫的易損部件是磁帶驅動器， 當出現(xiàn)備份讀寫錯誤時應首先檢查驅動器的工作狀態(tài)。如果發(fā)生意外斷電等情況， 系統(tǒng)重新啟動運行后，應檢查設備與軟件的聯(lián)接是否正常。磁頭自動清洗操作一般可以由備份軟件自動管理，一盤 dlt 清洗帶可以使用 20 次，一般一