当前位置:主页 > 资讯 > 正文
网上学习超市网站运维与数据安全的探讨
来源:中国创氪网作者:中国创氪网2017-03-31 14:56:00

概述

 

1.1 引言

 

网站运维与数据安全是现阶段热门话题,国家专门出台了相关曾策来进行诠释和规范相关的概念与要求。

中国就加强信息安全方面做出了努力。例如,2010年出版的白皮书《互联网在中国》,就是中国于互联网使用上的一个早期政策指南。

总体来看,我国数据合规的立法已经基本确立,包括不限于《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《消费者权益保护法》、《网络安全法》、《民法总则》等,初步构建了民事、行政和刑事保护相结合的立体框架,与此同时,基础立法有待指引和标准化落地,在实施过程中接受实践检验。

本文基于对安全风险评估总体规划的分析,提出信息安全技术工作的总体规划、目标以及基本原则,并在此基础上从信息安全保障体系的视角描绘了未来的信息安全总体架构。

本文内容为信息安全技术体系、运维体系、管理体系的评估和规划,是信息安全保障体系的主体。

 

1.2 背景

 

网上学习超市是互联网细化分工的产物,在现今社会,知识的重要性是大家都预见到的,为了知识付费已经得到了大多数人的认同。学习超市涉及到有形资产,无形资产,知识产权,师生学习等方方面面。其中涉及到支付与知识产权的内容使网站的安全性要求显著提高。

Ø 国家等级保护要求

等级保护工作作为我国信息安全保障工作中的一项基本制度,对提高基础网络和重要信息系统安全防护水平有着重要作用,在《信息系统安全等级保护基本要求》中对信息安全管理和信息安全技术也提出了要求。

Ø 三个体系自身业务要求

在国家政策的引导下,近年来信息系统建设日趋完善,业务系统对信息系统的依赖程度逐渐增加,信息系统的重要性也逐渐提高,其安全保障就成为了重点。信息系统的重要组成部分包括MES系统、ERP系统、网站系统、工商协同营销系统、LIMS系统、OA系统及生产系统等。企业生产已经高度依赖于企业的信息化和各信息系统。

信息系统现阶段还无法达到完全的自动化和智能化运行。因此需要各级技术人员对信息系统进行运行和维护。

在整个信息系统运行的过程中,起主导作用的仍然是人,是各级管理员。设备的作用仍然仅仅停留在执行层面。因此信息系统的稳定运行的决定因素始终都在于人员的操作。

信息安全运维体系的作用是在安全管理体系和安全技术体系的运行过程中,发现和纠正各类安全保障措施存在的问题和不足,保证它们稳定可靠运行,有效执行安全策略规定的目标和原则。

当运行维护过程中发现目前的信息安全保障体系不能满足本单位信息化建设的需要时,就可以对保障体系进行新的规划和设计。从而使新的保障体系能够适应企业不断发展和变化的安全需求。这也仍遵循和完善了PDCA原则。

1.3 三个体系规划目标

 

Ø 安全技术和安全运维体系规划目标

建立技术体系的目的是通过使用安全产品和技术,支撑和实现安全策略,达到信息系统的保密、完整、可用等安全目标。按照P2DR2模型,行业信息安全技术体系涉及信息安全防护、检测、响应和恢复四个方面的内容:

1、防护:通过访问控制、信息系统完整性保护、系统与通信保护、物理与环境保护等安全控制措施,使信息系统具备比较完善的抵抗攻击破坏的能力。

2、检测:通过采取入侵检测、漏洞扫描、安全审计等技术手段,对信息系统运行状态和操作行为进行监控和记录,对信息系统的脆弱性以及面临的威胁进行评估,及时发现安全隐患和入侵行为并发出告警。

3、响应:通过事件监控和处理工具等技术措施,提高应急处理和事件响应能力,保证在安全事件发生后能够及时进行分析、定位、跟踪、排除和取证。

4、恢复:通过建立信息系统备份和恢复机制,保证在安全事件发生后及时有效地进行信息系统设施和重要数据的恢复。

Ø 安全管理体系规划目标

本次项目通过风险评估对自身安全管理现状进行全面了解后,对信息安全管理整体提出以下目标:健全信息安全管理组织,建立信息安全专业服务团队,建立完善的信息安全风险管理流程,完善信息安全制度与标准,建立规范化的流程。

1.4 技术及运维体系规划参考模型及标准

 

Ø 参考模型

目前安全模型已经从以前的被动保护转到了现在的主动防御,强调整个生命周期的防御和恢复。PDR模型就是最早提出的体现这样一种思想的安全模型。所谓PDR模型指的就是基于防护(Protection)、检测(Detection)、响应(Reaction)的安全模型。上个世纪90年代末,ANS联盟在PDR模型的基础上建立了新的P2DR模型。该模型是可量化、可由数学证明、基于时间的、以PDR为核心的安全模型。这里P2DR2是策略(Policy)、防护(Protection)、检测(Detection)、响应(Response)、恢复(Recovery)的缩写。

    策略(Policy)

策略是P2DR模型的核心,所有的防护、检测、响应都是依据策略。它描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等。

    防护(Protection)

防护是主动防御的防御部分,系统的安全最终是依靠防护来实现的。防护的对象涵盖了系统的全部,防护手段也因此多种多样。

    检测(Detection)

检测是动态响应和加强防护的依据。通过不间断的检测网络和系统,来发现威胁。

    响应(Response)

响应是主动防御的实现。根据策略以及检测到的情况动态的调整防护,达到主动防御的目的。

随着技术的进步,人们在P2DR模型以后又提出了APPDRR模型,即在P2DR模型中加入恢复(Recovery)手段。这样一旦系统安全事故发生了,也能恢复系统功能和数据,恢复系统的正常运行。

Ø 参考标准

主要参考标准:

《信息保障技术框架v3.1》(IATF) 美国国家安全局

《信息系统安全管理指南》(ISO 13335) 国际标准化组织

《信息安全风险评估指南》(国标审议稿)中华人民共和国质监总局

其它参考标准:

AS/NZS 4360: 1999 风险管理标准

ISO/IEC 17799:2005 /BS7799 Part 1

ISO/IEC 27001:2005 /BS7799 Part 2

ISO/IEC 15408(CC)

GB17859-1999

等级保护实施意见(公通字[2004]66号)

《计算机信息系统安全保护等级划分准则》GB 17859

    GB/T 20274—2006 信息系统安全保障评估框架

   GB/T 19715.1—2005 信息技术—信息技术安全管理指南第1部分:信息技术安全概念和模型

    GB/T 19715.2—2005 信息技术—信息技术安全管理指南第2部分:管理和规划信息技术安全

    GB/T 19716—2005 信息技术—信息安全管理实用规则

    ISO/IEC 27001:2005信息安全技术 信息系统安全管理要求

    ISO/IEC 13335—1: 2004 信息技术 信息技术安全管理指南 第1部分:信息技术安全概念和模型

    ISO/IEC TR 15443—1: 2005 信息技术安全保障框架 第一部分 概述和框架

    ISO/IEC TR 15443—2: 2005信息技术安全保障框架 第二部分 保障方法

    ISO/IEC WD 15443—3 信息技术安全保障框架 第三部分 保障方法分析

    ISO/IEC PDTR 19791: 2004 信息技术 安全技术 运行系统安全评估

技术体系建设规划

 

2.1 技术保障体系规划

 

Ø 设计原则

技术保障体系的规划遵循一下原则:

    先进性原则

采用的技术和形成的规范,在路线上应与当前世界的主流发展趋势相一致,保证依据规范建成的网络安全系统具有先进性和可持续发展性。

    实用性原则

具备多层次、多角度、全方位、立体化的安全保护功能。各种安全技术措施尽显其长,相互补充。当某一种或某一层保护失效时,其它仍可起到保护作用。

    可靠性原则

加强网络安全产品的集中管理,保证关键网络安全设备的冷热备份,避免骨干传输线路的单点连接,保证系统7*24小时不间断可靠运行。

    可操作性原则

根据风险评估结果,制定出各具特色、有较强针对性和可操作性的网络安全技术保障规划,适用于XX公司信息安全的规划、建设、运行、维护和管理。

    可扩展性原则

规范应具有良好的可扩展性,能适应安全技术的快速发展和更新,能随着网络安全需求的变化而变化,网络安全保护周期应与整个网络的工作周期相同步,充分保证投资的效益。

Ø 技术路线

    分级保护的思想

遵照《关于信息安全等级保护工作的实施意见》的要求,必须按照确定的安全策略,整体实施安全保护。

    分层保护的思想

按照业务承载网络的核心层、接入(汇聚)层、接入局域网三个层次,根据确定的安全策略,规范设置相应的安全防护、检测、响应功能,利用虚拟专用网络(例如MPLS VPN、IPSec VPN、SSL VPN)、公钥基础设施/授权管理基础设施(PKI/PMI)、防火墙、在线入侵抵御、入侵检测、防病毒、强审计、冷热备份、线路冗余等多种安全技术和产品,进行全方位的安全保护。

    分域保护的思想

控制大型网络安全的另一种思想是把网络划分成不同的逻辑网络安全域,每一个网络安全域由所定义的安全边界来保护。综合考虑信息性质、使用主体等要素,XX公司网络划分为计算域、支撑域、接入域、基础设施域四种类型安全域。

通过在相连的两个网络之间采用访问控制措施来进行网络的隔离和连接服务。其中,隔离安全服务包括身份认证、访问控制、抗抵赖和强审计等;连接安全服务包括传输过程中的保密、完整和可用等。

    动态安全的思想

动态网络安全的思想,一方面是要安全体系具备良好的动态适应性和可扩展性。威胁和风险是在不断变化的,安全体系也应当根据新的风险的引入或风险累积到一定程度后,适时进行策略调整和体系完善;另一方面是在方案的制定和产品的选取中,注重方案和产品的自愈、自适应功能,在遭遇攻击时,具有一定的自动恢复和应急能力。

2.2 信息安全保障技术体系规划

 

Ø 安全域划分及网络改造

安全域划分及网络改造是系统化安全建设的基础性工作,也是层次化立体化防御以及落实安全管理政策,制定合理安全管理制度的基础。此过程保证在网络基础层面实现系统的安全防御。

目标规划的理论依据

    安全域简介

安全域是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,相同的网络安全域共享一样的安全策略。

相对以上安全域的定义,广义的安全域概念是指:具有相同和相似的安全要求和策略的IT要素的集合。这些IT要素包括但不仅限于:物理环境、策略和流程、业务和使命、人和组织、网络区域、主机和系统……

Ø     总体架构

本次建议的划分方法是立体的,即:各个域之间不是简单的相交或隔离关系,而是在网络和管理上有不同的层次。

网络基础设施域是所有域的基础,包括所有的网络设备和网络通讯支撑设施域。

网络基础设施域分为骨干区、汇集区和接入区。

支撑设施域是其他上层域需要公共使用的部分,主要包括:安全系统、网管系统和其他支撑系统等。

计算域主要是各类的服务器、数据库等,主要分为一般服务区、重要服务区和核心区。

边界接入域是各类接入的设备和终端以及业务系统边界,按照接入类型分为:互联网接入、外联网接入、内联网接入和内网接入。

相对于ISO 13335定义的接入类型,分别有如下对应关系:

ISO 13335

实际情况

组织单独控制的连接

内部网接入(终端接入,如办公网);业务边界(如核心服务边界)

公共网络的连接

互联网接入(如Web和邮件服务器的外部接入,办公网的Internet接入等)

不同组织间的连接

外联网接入(如各个部门间的接入等)

组织内的异地连接

内联网接入(如XXX单位接入等其他部门等通过专网接入)

组织内人员从外部接入

远程接入(如移动办公和远程维护)

边界接入域威胁分析

由于边界接入域是XX公司公司信息系统中与外部相连的边界,因此主要威胁有:

黑客攻击(外部入侵)

恶意代码(病毒蠕虫)

越权(非授权接入)

终端违规操作

……

针对边界接入域的主要威胁,相应的防护手段有:

访问控制(如防火墙)用于应对外部攻击

远程接入管理(如VPN)用于应对非授权接入

入侵检测与防御(IDS&IPS)用于应对外部入侵和蠕虫病毒

恶意代码防护(防病毒)用于应对蠕虫病毒

终端管理(注入控制、补丁管理、资产管理等)对终端进行合规管理

二、计算域

计算域的划分

计算域是各类应用服务、中间件、大机、数据库等局域计算设备的集合,根据计算环境的行为不同和所受威胁不同,分为以下三个区:

一般服务区

用于存放防护级别较低(资产级别小于等于3),需直接对外提供服务的信息资产,如办公服务器等,一般服务区与外界有直接连接,同时不能够访问核心区(避免被作为攻击核心区的跳板);

重要服务区

重要服务区用于存放级别较高(资产级别大于3),不需要直接对外提供服务的信息资产,如前置机等,重要服务区一般通过一般服务区与外界连接,并可以直接访问核心区;

核心区

核心区用于存放级别非常高(资产级别大于等于4)的信息资产,如核心数据库等,外部对核心区的访问需要通过重要服务区跳转。

 

重要服务区

重要服务区用于存放级别较高(资产级别大于3),不需要直接对外提供服务的信息资产,如前置机等,重要服务区一般通过一般服务区与外界连接,并可以直接访问核心区;

核心区

核心区用于存放级别非常高(资产级别大于等于4)的信息资产,如核心数据库等,外部对核心区的访问需要通过重要服务区跳转。

计算域威胁分析

由于计算域处于信息系统的内部,因此主要威胁有:

    内部人员越权和滥用

    内部人员操作失误

    软硬件故障

    内部人员篡改数据

    内部人员抵赖行为

    对外服务系统遭受攻击及非法入侵

针对计算域主要是内部威胁的特点,主要采取以下防护手段:

    应用和业务开发维护安全

    基于应用的审计

    身份认证与行为审计

    同时也辅助以其他的防护手段:

    对网络异常行为的检测

    对信息资产的访问控制

三、支撑设施域

支撑设施域的划分

将网络管理、安全管理和业务运维(业务操作监控)放置在独立的安全域中,不仅能够有效的保护上述三个高级别信息系统,同时在突发事件中也有利于保障后备通讯能力。

其中,安全设备、网络设备、业务操作监控的管理端口都应该处于独立的管理VLAN中,如果条件允许,还应该分别划分安全VLAN、网管VLAN和业务管理VLAN。

支撑设施域的威胁分析

支撑设施域是跨越多个业务系统和地域的,它的保密级别和完整性要求较高,对可用性的要求略低,主要的威胁有:

网络传输泄密(如网络管理人员在网络设备上窃听业务数据)

非授权访问和滥用(如业务操作人员越权操作其他业务系统)

内部人员抵赖(如对误操作进行抵赖等)

针对支撑设施域的威胁特点和级别,应采取以下防护措施:

带外管理和网络加密

身份认证和访问控制

审计和检测

网络基础设施域

网络基础设施域的划分

网络基础设施域的威胁分析

主要威胁有:

    网络设备故障

    网络泄密

    物理环境威胁

相应的防护措施为:

    通过备份、冗余确保基础网络的可用性

    通过网络传输加密确保基础网络的保密性

    通过基于网络的认证确保基础网络的完整性

2.3 网站运维的特殊安全设计

对于网站来讲,安全有着其特殊性,关于数据安全的方向这里不再赘述,这里主要谈谈网站运维的安全性设计。

网站最主要的是对内容的防护以及对攻击的防护。目前对端口的扫描攻击已经起不到作用,最普通的管理员也能做出端口屏蔽的防护,主要集中于各种DDOS攻击,以及溢出攻击,跨站攻击。或者利用http协议进行防护。

网站安全问题可以说是现在最引人关注的问题,有关服务器安全、用户隐私安全、企业数据安全各个方面,仅仅针对服务器系统本身的防护是不够的,还需要有一个更全局的视角和防范思路。需要关注数据加密传输、子网划分、灾难备份等多个方面的内容。

网站用户的身份认证

密码验证,确认用户登录身份,并根据数据库中预设的权限,向用户展示相应的界面。 验证用户提供的证书,从而对用户身份认证,并确保交易的不可抵赖性。证书的提供可以采用两种方式:文件证书或是USB设备存储的证书。

网站数据的加密传输

Web浏览器的网上系统应用,采用SSL+数字证书结合的方式(即HTTPS协议),保证通信数据安全。

用户账号使用行为的日志记录及其审计:

做到发现用户账号的盗用、恶意使用等问题,尽早进行处理。

恶意用户流量的检测、过滤及阻断

IDS入侵检测系统、IPS入侵防护系统、防火墙等设备,或者部署目前高效、流行的(统一威胁管理)设备,对恶意用户采用的各种攻击手段进行检测和防护,重点过滤恶意流量。 

对非正常应用请求的过滤和处理:

尤其是数据库服务器端,应该通过配置和增加对用户非常长应用请求的过滤和处理模块,SQL注入攻击等。

合理的子网划分及流量分割:

Web服务器、FTP服务器、邮件服务器等,为而引起的攻击后果扩散,并最终导致其他服务器也发生“雪崩”,则需要通过子网隔离(比如VLAN划分)、DMZ区域的设定等方式来将这些服务器放置在不同的安全区域。

负载均衡及负载保护机制

服务器端的设备基本上都需要有多台服务器进行业务分担,这样才能提高性能,对各服务器的业务流量进行有效地分担,可按照Round Robin、LRU等方式来进行负载均衡,负载保护机制需要实时地对每台服务器的CPU资源、内存资源等进行评估,如果一旦超过设定的阈值

80%或者以上),将马上进行过载保护,从而保证服务器自身的安全。

灾难备份及恢复:

需要考虑在遭受攻击或者是经受自然灾害后的备份恢复工作,需要着重选择合适的备份策略,做好提前备份,包括全备份、差分备份、增量备份等等。

选择合适的备份介质,包括磁带、光盘、RAID磁盘阵列等。

选择合适的备份地点,包括本地备份、远程备份等等 (电脑自动关机)。

选择合适的备份技术,包括NAS、SAN、DAS等等。

作好备份的后期维护和安全审计跟踪。

管理规范化  

严格划分管理人员的角色及其对应的权限,避免一权独揽,引起安全隐患。

系统安全设计

项目应提供标准的身份认证功能,确保只有合法用户才能登录系统,结合招标人身份认证系统的推行进度,引入人员数字证书身份验证机制,确保系统运行安全。系统提供权限管理功能,用以增加、修改、删除用户、用户组,设置用户、用户组的功能权限和数据权限。对系统关键敏感数据,需要进行加密存储的,应提供加密存储功能。

项目对信息安全性主要关注三大方面:物理安全、逻辑安全和安全管理。

1、物理安全是指系统设备及相关设施受到物理保护,使之免糟破坏或丢失。

2、逻辑安全则是指系统中信息资源的安全, 它又包括以下三个方面:保密性、完整性、可用性。

3、安全管理包括各种安全管理的政策和机制。

针对项目对安全性的需要,我们将其分为5个方面逐一解决:

a) 应用安全

1、管理制度建设

旨在加强计算机信息系统运行管理,提高系统安全性、可靠性。要确保系统稳健运行,减少恶意攻击、各类故障带来的负面效应,有必要建立行之有效的系统运行维护机制和相关制度。比如,建立健全中心机房管理制度,信息设备操作使用规程,信息系统维护制度,网络通讯管理制度,应急响应制度,等等。

2、角色和授权

要根据分工,落实系统使用与运行维护工作责任制。要加强对相关人员的培训和安全教育,减少因为误操作给系统安全带来的冲击。要妥善保存系统运行、维护资料,做好相关记录,要定期组织应急演练,以备不时之需。

3、数据保护和隐私控制

数据安全主要分为两个方面:数据使用的安全和数据存储的安全。

数据保护旨在防止数据被偶然的或故意的非法泄露、变更、破坏,或是被非法识别和控制,以确保数据完整、保密、可用。数据安全包括数据的存储安全和传输安全两个方面。

为了保证数据使用过程的安全,建议在系统与外部系统进行数据交换时采用国家相关标准的加密算法对传输的数据进行加密处理,根据不同的安全等级使用不同的加密算法和不同强度的加密密钥,根据特殊需要可以考虑使用加密机。

数据的存储安全系指数据存放状态下的安全,包括是否会被非法调用等,可借助数据异地容灾备份、密文存储、设置访问权限、身份识别、局部隔离等策略提高安全防范水平。

为了保证数据存储的安全可以使用多种方案并用,软硬结合的策略。同城的数据同步复制,保证数据的安全性

同城的数据同步复制,保证数据的安全性

同场数据复制不但可以保证数据的备份的速度,同时可以支持数据的快速恢复。

生产环境的数据存储系统可以使用磁盘冗余阵列技术。

当前的硬盘多为磁盘机械设备,因生产环境对系统运行的持续时间有很高要求,系统在运行过程中硬盘一旦达到使用寿命就会出现机械故障,从而使等硬盘无法继续工作。生产环境的数据存储设备如果没有使用磁盘冗余阵列技术,一旦硬盘出现机械故障将会造成将会生产环境数据的丢失,使得整个系统无法继续运行。

4、审计

本项目的技术支撑技术提供了强大的审计功能,采用审计各种手段来记录用户对系统的各种操作,例如成功登录,不成功登录,启动事务,启动报表,登录次数时间等等,这些信息全部记录在系统日志中,没有任何信息会记录在客户端,用户可以根据需求随时查看和分析这些信息。应用支撑平台还提供了其他手段来跟踪指定用户的操作以及对系统进行的变更,只有相应的授权用户和管理员可以查看这些日志进行分析。

根据用户的要求,应用平台可以记录各种谁、何时、作了什么的信息。

每条记录均有用户ID,日期,输入的数据,本地时间等等。

审计功能的中央监控模式可以将系统和业务数据作为监控源,同时利用标准接口,支持监控第三方系统,或者将审计功能集成到其他监控系统中。监控信息和日志可以被管理员以及相应的授权用户查看和分析。

5、抗抵赖

系统的日志管理功能对所有重要操作都有详细的记录,内容包含操作人员的登录ID、操作时间、IP地址、操作结果等信息。防止系统使用者为谋取不正当利益采取的否认操作的行为。

b) 协同安全

1、认证联盟

身份认证是当前信息系统需要解决的首要问题,目前很多系统都采用了自行设计和开发自有身份认证系统,这样的身份认证系统不但安全没有保障,同时也不符合一定有标准规范,很难与其它系统进行集成。

应用支撑平台的权限控制技术支持多种身份认证规范,可以很方便的与其它系统进行集成。

2、消息安全

数据传输交换过程中,传输的数据不法分子有可能被截获、破译、并有可能被篡改,应用支撑层的技术支持多种数据加密和数据签名技术,可以有效保证数据的安全性和可靠性。

3、安全协同

项目对系统间服务调用的完整性和机密性提出了很高的要求,应用支撑层的技术支持多种安全策略用以解决WEB服务调用的安全性问题。

4、信任管理

应用支撑层的技术支持PKI安全基础设施

c) 用户访问安全

1、身份管理

用户管理和身份认证是项目安全部分的重要组成部分,我们建议采用集中式的用户管理方式。因为生产环境用户访问量非常大,原始的、采用数据库查询的认证方式显然无法满足性能的要求,我们建议采用LDAP目录服务器做为身份认证信息的存储服务器。因为LDAP自身的技术特点,可以很好的解决查询的性能问题,利用应用支撑层的技术开发的辅助功能,可以最大限度的优化身份管理和认证的速度。

2、认证和单点登陆

项目是一个有着复杂接入方式的系统,同时要求提供多种身份认证方式,应用支撑层的技术支持基本于LDAP服务器的查询式身份权限认证,也支持基于证书的身份权限认证,同时支持其它标准的身份认证规范。

应用支撑层的技术支持单点登陆,身份权限信息统一维护,用户只需登录一次即可完成各子系统的身份认证信息的审核,无需多次登录系统。

3、访问控制

按用户身份及其所归属的某预定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。

d) 架构安全

1、物理安全

旨在保护计算机服务器、数据存贮、系统终端、网络交换等硬件设备免受自然灾害、人为破坏,确保其安全可用。制定物理安全策略,要重点关注存放计算机服务器、数据存贮设备、核心网络交换设备的机房的安全防范。其选址与规划建设要遵循GB9361计算机场地安全要求和GB2887 计算机场地技术条件,保证恒温、恒湿,防雷、防水、防火、防鼠、防磁、防静电,加装防盗报警装置,提供良好的接地和供电环境,要为核心设备配置与其功耗相匹配的稳压及UPS不间断电源。

根据需要对机房的进行电磁屏蔽,防止电磁泄露,预防主机受到外界的恶意电磁干扰和信息探测。

2、网络传输安全

网络传输安全分网络访问安全和网络数据传输安全两个部分。

网络访问安全技术是为了有效保护物理网络不被非法访问而采取的保护技术。网络访问安全主要使用防火墙技术和代理技术,外部设备不能直接接入到物理网络,必须经过防火墙或代理服务器才可以访问网络。

数据安全不能只关心数据加身的加密问题,同时还应当关注数据传输途径的的安全问题。

项目对数据传输安全提出很高的要求主,核心征管系统与外部系统进行数据交换时不但要使用数据加密技术加密数据本身,同时还应当使用SSL、SNC等安全协议进行数据传输以保证数据的安全,预防网攻击。

3、平台安全

平台安全是指项目所使用的系统级软件的安全,主要包括操作系统安全、中间件安全、数据库系统安全、病毒检查等方面。

4、系统安全

系统安全是指系统间通信的安全问题,为保证系统间的通信安全建议使用SSL等安全协议进行数据通信。

5、终端安全

终端安全是访问项目及其配套软件、服务器的终端设备的安全。终端安全是整个系统安全中最薄弱的环节,建议采取以下措施来加强终端安全:

1)控制接入网络

2)网络访问控制

3)验证最低限度的信任

4)只允许可信终端访问系统

5)对终端与系统交换的数据进行加密,采用安全协议进行通信。

e) 软件生命周期安全

1、安全开发

软件开发过程的安全管理主要体现在开发标准方面,主要手段包括:开发规范和代码检查。

2、默认安全配置

默认安全配置是指为了保证系统运行的所需安装的最少软件和相关设置。

3、发布安全

SWORD应用支撑的权限控制功能提供系统方案用于解决发布安全问题。

4、变更安全管理

旨在加强计算机信息系统运行管理,提高系统安全性、可靠性。要确保系统稳健运行,减少恶意攻击、各类故障带来的负面效应,有必要建立行之有效的系统运行维护机制和相关制度。比如,建立健全中心机房管理制度,信息设备操作使用规程,信息系统维护制度,网络通讯管理制度,应急响应制度,等等。

要根据分工,落实系统使用与运行维护工作责任制。要加强对相关人员的培训和安全教育,减少因为误操作给系统安全带来的冲击。要妥善保存系统运行、维护资料,做好相关记录,要定期组织应急演练,以备不时之需。

信息系统相对复杂的用户、对信息系统依存度较高的用户,签订系统服务外包合同,由其提供专业化的、一揽子安全护航服务,是个不错的策略。

数据传输安全

a) 采用https协议

超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息。HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此HTTP协议不适合传输一些敏感信息,比如信用卡号、密码等。

为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS。为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。

HTTPS和HTTP的区别主要为以下四点:

https协议需要到ca申请证书,一般免费证书很少,需要交费。

http是超文本传输协议,信息是明文传输,https则是具有安全性的ssl加密传输协议。

http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。

http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。

b) SSL加密传输

SSL(Secure Sockets Layer 安全套接层,及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。

SSL 为Netscape所研发,用以保障在Internet上数据传输之安全,利用数据加密(Encryption)技术,可确保数据在网络上之传输过程中不会被截取及窃听。目前一般通用之规格为40 bit之安全标准,美国则已推出128 bit之更高安全标准,但限制出境。只要3.0版本以上之I.E.或Netscape浏览器即可支持SSL。

当前版本为3.0。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。

SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层:SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。

SSL协议提供的服务主要有哪些

1)认证用户和服务器,确保数据发送到正确的客户机和服务器

2)加密数据以防止数据中途被窃取

3)维护数据的完整性,确保数据在传输过程中不被改变。

SSL协议的工作流程

服务器认证阶段:

1)客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接;

2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;

3)客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;

4)服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。

用户认证阶段

在此之前,服务器已经通过了客户认证,这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户,客户则返回(数字)签名后的提问和其公开密钥,从而向服务器提供认证。

c) 数字签名

通过数字签名技术从所传输的重要数据中生成一个128位的散列值(或数据摘要),并用自己的专用密钥对这个散列值进行加密,形成发送方的数字签名;将这个数字签名将作为传输数据的附件和数据本身一起发送给接收方,即本系统的后台应用程序;

后台应用程序首先从接收到的原始加密数据中计算出128位的散列值(或数据摘要),接着再用发送方的公开密钥来对数据附加的数字签名进行解密。若两个散列值相同,那么后台应用程序就能确认该数字签名是发送方的。

通过数字签名能够实现对原始数据的鉴别和不可否认性,最终达到对重要数据在传输过程中的加密。

数据存储安全

a) 数据备份

数据备份是容灾的基础,是指为防止系统出现操作失误或系统故障导致数据丢失,而将全部或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质的过程。传统的数据备份主要是采用内置或外置的磁带机进行冷备份。但是这种方式只能防止操作失误等人为故障,而且其恢复时间也很长。随着技术的不断发展,数据的海量增加,不少的单位开始采用网络备份。网络备份一般通过专业的数据存储管理软件结合相应的硬件和存储设备来实现。本次项目可考虑采用以下的备份方式:

Ø 定期磁带

远程磁带库、光盘库备份。即将数据传送到远程备份中心制作完整的备份磁带或光盘。

远程关键数据+磁带备份。采用磁带备份数据,生产机实时向备份机发送关键数据。

Ø 数据库备份

就是在与主数据库所在生产机相分离的备份机上建立主数据库的一个拷贝。

Ø 网络数据备份

这种方式是对生产系统的数据库数据和所需跟踪的重要目标文件的更新进行监控与跟踪,并将更新日志实时通过网络传送到备份系统,备份系统则根据日志对磁盘进行更新。

Ø 远程镜像

通过高速光纤通道线路和磁盘控制技术将镜像磁盘延伸到远离生产机的地方,镜像磁盘数据与主磁盘数据完全一致,更新方式为同步或异步。

数据备份必须要考虑到数据恢复的问题,包括采用双机热备、磁盘镜像或容错、备份磁带异地存放、关键部件冗余等多种灾难预防措施。这些措施能够在系统发生故障后进行系统恢复。但是这些措施一般只能处理计算机单点故障,对区域性、毁灭性灾难则束手无策,也不具备灾难恢复能力。

b) 备份策略

选择了存储备份软件、存储备份技术(包括存储备份硬件及存储备份介质)后,首先需要确定数据备份的策略。备份策略指确定需备份的内容、备份时间及备份方式。要根据自己的实际情况来制定不同的备份策略。目前被采用最多的备份策略主要有以下三种。

1、完全备份(full backup)

每天对自己的系统进行完全备份。例如,星期一用一盘磁带对整个系统进行备份,星期二再用另一盘磁带对整个系统进行备份,依此类推。这种备份策略的好处是:当发生数据丢失的灾难时,只要用一盘磁带(即灾难发生前一天的备份磁带),就可以恢复丢失的数据。然而它亦有不足之处,首先,由于每天都对整个系统进行完全备份,造成备份的数据大量重复。这些重复的数据占用了大量的磁带空间,这对用户来说就意味着增加成本。其次,由于需要备份的数据量较大,因此备份所需的时间也就较长。对于那些业务繁忙、备份时间有限的单位来说,选择这种备份策略是不明智的。

2、增量备份(incremental backup)

星期天进行一次完全备份,然后在接下来的六天里只对当天新的或被修改过的数据进行备份。这种备份策略的优点是节省了磁带空间,缩短了备份时间。但它的缺点在于,当灾难发生时,数据的恢复比较麻烦。例如,系统在星期三的早晨发生故障,丢失了大量的数据,那么现在就要将系统恢复到星期二晚上时的状态。这时系统管理员就要首先找出星期天的那盘完全备份磁带进行系统恢复,然后再找出星期一的磁带来恢复星期一的数据,然后找出星期二的磁带来恢复星期二的数据。很明显,这种方式很繁琐。另外,这种备份的可靠性也很差。在这种备份方式下,各盘磁带间的关系就象链子一样,一环套一环,其中任何一盘磁带出了问题都会导致整条链子脱节。比如在上例中,若星期二的磁带出了故障,那么管理员最多只能将系统恢复到星期一晚上时的状态。

3、差分备份(differential backup)

管理员先在星期天进行一次系统完全备份,然后在接下来的几天里,管理员再将当天所有与星期天不同的数据(新的或修改过的)备份到磁带上。差分备份策略在避免了以上两种策略的缺陷的同时,又具有了它们的所有优点。首先,它无需每天都对系统做完全备份,因此备份所需时间短,并节省了磁带空间,其次,它的灾难恢复也很方便。系统管理员只需两盘磁带,即星期天的磁带与灾难发生前一天的磁带,就可以将系统恢复。

在实际应用中,备份策略通常是以上三种的结合。例如每周一至周六进行一次增量备份或差分备份,每周日进行全备份,每月底进行一次全备份,每年底进行一次全备份。

4、日常维护有关问题

备份系统安装调试成功结束后,日常维护包含两方面工作,即硬件维护和软件维护。如果硬件设备具有很好的可靠性,系统正常运行后基本不需要经常维护。一般来说,磁带库的易损部件是磁带驱动器,当出现备份读写错误时应首先检查驱动器的工作状态。如果发生意外断电等情况,系统重新启动运行后,应检查设备与软件的联接是否正常。磁头自动清洗操作一般可以由备份软件自动管理,一盘dlt清洗带可以使用20 次,一般一个月清洗一次磁头。软件系统工作过程检测到的软硬件错误和警告信息都有明显提示和日志,可以通过电子邮件发送给管理员。管理员也可以利用远程管理的功能,全面监控备份系统的运行情况。

网络数据备份系统的建成,对保障系统的安全运行,保障各种系统故障的及时排除和数据库系统的及时恢复起到关键作用。通过自动化带库及集中的运行管理,保证数据备份的质量,加强数据备份的安全管理。同时,近线磁带库技术的引进,无疑对数据的恢复和利用提供了更加方便的手段。希望更多的单位能够更快地引进这些技术,让系统管理员做到数据无忧。

5、存储数据备份恢复

随着各单位局域网和互联网络的深入应用,系统内的服务器担负着关键应用,存储着重要的信息和数据,为领导及决策部门提供综合信息查询的服务,为网络环境下的大量客户机提供快速高效的信息查询、数据处理和internet等的各项服务。因此,建立可靠的网络数据备份系统,保护关键应用的数据安全是网络建设的重要任务,在发生人为或自然灾难的情况下,保证数据不丢失。

c) 数据访问监控

本系统可借助两种方式实现对数据访问的监控:

1、通过支撑体系的日志管理和行为审核功能,对进行数据访问的功能日志进行查询,及时发现和排除安全隐患;

2、通过专业的数据库监控软件对数据库连接、磁盘剩余空间、CPU占有率、进程数量等参数进行监控。

d) 关键数据加密

系统的关键数据包括所有用户的登录密码、权限信息、重要的配置信息等。

本系统在开发过程中将根据需要提供三种对关键数据的加密方式:

1、在程序语言中先对数据进行加密后再把加密后的数据保存在数据库中;

2、利用数据库本身的加密密码函数或加密程序包,在SQL代码中调用加密密码函数对数据进行加密后保存;

3、编写扩展存储过程的外部DLL文件实现加密,然后由SQL代码调用加密功能实现数据加密。


[责任编辑:陆熹]