網上學習超市網站運維與數據安全的探討
1 概述
1.1 引言
網站運維與數據安全是現階段熱門話題,國家專門出臺了相關曾策來進行詮釋和規范相關的概念與要求。
中國就加強信息安全方面做出了努力。例如,2010年出版的白皮書《互聯網在中國》,就是中國于互聯網使用上的一個早期政策指南。
總體來看,我國數據合規的立法已經基本確立,包括不限于《全國人民代表大會常務委員會關于加強網絡信息保護的決定》、《消費者權益保護法》、《網絡安全法》、《民法總則》等,初步構建了民事、行政和刑事保護相結合的立體框架,與此同時,基礎立法有待指引和標準化落地,在實施過程中接受實踐檢驗。
本文基于對安全風險評估總體規劃的分析,提出信息安全技術工作的總體規劃、目標以及基本原則,并在此基礎上從信息安全保障體系的視角描繪了未來的信息安全總體架構。
本文內容為信息安全技術體系、運維體系、管理體系的評估和規劃,是信息安全保障體系的主體。
1.2 背景
網上學習超市是互聯網細化分工的產物,在現今社會,知識的重要性是大家都預見到的,為了知識付費已經得到了大多數人的認同。學習超市涉及到有形資產,無形資產,知識產權,師生學習等方方面面。其中涉及到支付與知識產權的內容使網站的安全性要求顯著提高。
? 國家等級保護要求
等級保護工作作為我國信息安全保障工作中的一項基本制度,對提高基礎網絡和重要信息系統安全防護水平有著重要作用,在《信息系統安全等級保護基本要求》中對信息安全管理和信息安全技術也提出了要求。
? 三個體系自身業務要求
在國家政策的引導下,近年來信息系統建設日趨完善,業務系統對信息系統的依賴程度逐漸增加,信息系統的重要性也逐漸提高,其安全保障就成為了重點。信息系統的重要組成部分包括MES系統、ERP系統、網站系統、工商協同營銷系統、LIMS系統、OA系統及生產系統等。企業生產已經高度依賴于企業的信息化和各信息系統。
信息系統現階段還無法達到完全的自動化和智能化運行。因此需要各級技術人員對信息系統進行運行和維護。
在整個信息系統運行的過程中,起主導作用的仍然是人,是各級管理員。設備的作用仍然僅僅停留在執行層面。因此信息系統的穩定運行的決定因素始終都在于人員的操作。
信息安全運維體系的作用是在安全管理體系和安全技術體系的運行過程中,發現和糾正各類安全保障措施存在的問題和不足,保證它們穩定可靠運行,有效執行安全策略規定的目標和原則。
當運行維護過程中發現目前的信息安全保障體系不能滿足本單位信息化建設的需要時,就可以對保障體系進行新的規劃和設計。從而使新的保障體系能夠適應企業不斷發展和變化的安全需求。這也仍遵循和完善了PDCA原則。
1.3 三個體系規劃目標
? 安全技術和安全運維體系規劃目標
建立技術體系的目的是通過使用安全產品和技術,支撐和實現安全策略,達到信息系統的保密、完整、可用等安全目標。按照P2DR2模型,行業信息安全技術體系涉及信息安全防護、檢測、響應和恢復四個方面的內容:
1、防護:通過訪問控制、信息系統完整性保護、系統與通信保護、物理與環境保護等安全控制措施,使信息系統具備比較完善的抵抗攻擊破壞的能力。
2、檢測:通過采取入侵檢測、漏洞掃描、安全審計等技術手段,對信息系統運行狀態和操作行為進行監控和記錄,對信息系統的脆弱性以及面臨的威脅進行評估,及時發現安全隱患和入侵行為并發出告警。
3、響應:通過事件監控和處理工具等技術措施,提高應急處理和事件響應能力,保證在安全事件發生后能夠及時進行分析、定位、跟蹤、排除和取證。
4、恢復:通過建立信息系統備份和恢復機制,保證在安全事件發生后及時有效地進行信息系統設施和重要數據的恢復。
? 安全管理體系規劃目標
本次項目通過風險評估對自身安全管理現狀進行全面了解后,對信息安全管理整體提出以下目標:健全信息安全管理組織,建立信息安全專業服務團隊,建立完善的信息安全風險管理流程,完善信息安全制度與標準,建立規范化的流程。
1.4 技術及運維體系規劃參考模型及標準
? 參考模型
目前安全模型已經從以前的被動保護轉到了現在的主動防御,強調整個生命周期的防御和恢復。PDR模型就是最早提出的體現這樣一種思想的安全模型。所謂PDR模型指的就是基于防護(Protection)、檢測(Detection)、響應(Reaction)的安全模型。上個世紀90年代末,ANS聯盟在PDR模型的基礎上建立了新的P2DR模型。該模型是可量化、可由數學證明、基于時間的、以PDR為核心的安全模型。這里P2DR2是策略(Policy)、防護(Protection)、檢測(Detection)、響應(Response)、恢復(Recovery)的縮寫。
策略(Policy)
策略是P2DR模型的核心,所有的防護、檢測、響應都是依據策略。它描述了系統中哪些資源要得到保護,以及如何實現對它們的保護等。
防護(Protection)
防護是主動防御的防御部分,系統的安全最終是依靠防護來實現的。防護的對象涵蓋了系統的全部,防護手段也因此多種多樣。
檢測(Detection)
檢測是動態響應和加強防護的依據。通過不間斷的檢測網絡和系統,來發現威脅。
響應(Response)
響應是主動防御的實現。根據策略以及檢測到的情況動態的調整防護,達到主動防御的目的。
隨著技術的進步,人們在P2DR模型以后又提出了APPDRR模型,即在P2DR模型中加入恢復(Recovery)手段。這樣一旦系統安全事故發生了,也能恢復系統功能和數據,恢復系統的正常運行。
? 參考標準
主要參考標準:
《信息保障技術框架v3.1》(IATF) 美國國家安全局
《信息系統安全管理指南》(ISO 13335) 國際標準化組織
《信息安全風險評估指南》(國標審議稿)中華人民共和國質監總局
其它參考標準:
AS/NZS 4360: 1999 風險管理標準
ISO/IEC 17799:2005 /BS7799 Part 1
ISO/IEC 27001:2005 /BS7799 Part 2
ISO/IEC 15408(CC)
GB17859-1999
等級保護實施意見(公通字[2004]66號)
《計算機信息系統安全保護等級劃分準則》GB 17859
GB/T 20274—2006 信息系統安全保障評估框架
GB/T 19715.1—2005 信息技術—信息技術安全管理指南第1部分:信息技術安全概念和模型
GB/T 19715.2—2005 信息技術—信息技術安全管理指南第2部分:管理和規劃信息技術安全
GB/T 19716—2005 信息技術—信息安全管理實用規則
ISO/IEC 27001:2005信息安全技術 信息系統安全管理要求
ISO/IEC 13335—1: 2004 信息技術 信息技術安全管理指南 第1部分:信息技術安全概念和模型
ISO/IEC TR 15443—1: 2005 信息技術安全保障框架 第一部分 概述和框架
ISO/IEC TR 15443—2: 2005信息技術安全保障框架 第二部分 保障方法
ISO/IEC WD 15443—3 信息技術安全保障框架 第三部分 保障方法分析
ISO/IEC PDTR 19791: 2004 信息技術 安全技術 運行系統安全評估
2 技術體系建設規劃
2.1 技術保障體系規劃
? 設計原則
技術保障體系的規劃遵循一下原則:
先進性原則
采用的技術和形成的規范,在路線上應與當前世界的主流發展趨勢相一致,保證依據規范建成的網絡安全系統具有先進性和可持續發展性。
實用性原則
具備多層次、多角度、全方位、立體化的安全保護功能。各種安全技術措施盡顯其長,相互補充。當某一種或某一層保護失效時,其它仍可起到保護作用。
可靠性原則
加強網絡安全產品的集中管理,保證關鍵網絡安全設備的冷熱備份,避免骨干傳輸線路的單點連接,保證系統7*24小時不間斷可靠運行。
可操作性原則
根據風險評估結果,制定出各具特色、有較強針對性和可操作性的網絡安全技術保障規劃,適用于XX公司信息安全的規劃、建設、運行、維護和管理。
可擴展性原則
規范應具有良好的可擴展性,能適應安全技術的快速發展和更新,能隨著網絡安全需求的變化而變化,網絡安全保護周期應與整個網絡的工作周期相同步,充分保證投資的效益。
? 技術路線
分級保護的思想
遵照《關于信息安全等級保護工作的實施意見》的要求,必須按照確定的安全策略,整體實施安全保護。
分層保護的思想
按照業務承載網絡的核心層、接入(匯聚)層、接入局域網三個層次,根據確定的安全策略,規范設置相應的安全防護、檢測、響應功能,利用虛擬專用網絡(例如MPLS VPN、IPSec VPN、SSL VPN)、公鑰基礎設施/授權管理基礎設施(PKI/PMI)、防火墻、在線入侵抵御、入侵檢測、防病毒、強審計、冷熱備份、線路冗余等多種安全技術和產品,進行全方位的安全保護。
分域保護的思想
控制大型網絡安全的另一種思想是把網絡劃分成不同的邏輯網絡安全域,每一個網絡安全域由所定義的安全邊界來保護。綜合考慮信息性質、使用主體等要素,XX公司網絡劃分為計算域、支撐域、接入域、基礎設施域四種類型安全域。
通過在相連的兩個網絡之間采用訪問控制措施來進行網絡的隔離和連接服務。其中,隔離安全服務包括身份認證、訪問控制、抗抵賴和強審計等;連接安全服務包括傳輸過程中的保密、完整和可用等。
動態安全的思想
動態網絡安全的思想,一方面是要安全體系具備良好的動態適應性和可擴展性。威脅和風險是在不斷變化的,安全體系也應當根據新的風險的引入或風險累積到一定程度后,適時進行策略調整和體系完善;另一方面是在方案的制定和產品的選取中,注重方案和產品的自愈、自適應功能,在遭遇攻擊時,具有一定的自動恢復和應急能力。
2.2 信息安全保障技術體系規劃
? 安全域劃分及網絡改造
安全域劃分及網絡改造是系統化安全建設的基礎性工作,也是層次化立體化防御以及落實安全管理政策,制定合理安全管理制度的基礎。此過程保證在網絡基礎層面實現系統的安全防御。
目標規劃的理論依據
安全域簡介
安全域是指同一系統內有相同的安全保護需求,相互信任,并具有相同的安全訪問控制和邊界控制策略的子網或網絡,相同的網絡安全域共享一樣的安全策略。
相對以上安全域的定義,廣義的安全域概念是指:具有相同和相似的安全要求和策略的IT要素的集合。這些IT要素包括但不僅限于:物理環境、策略和流程、業務和使命、人和組織、網絡區域、主機和系統……
? 總體架構
本次建議的劃分方法是立體的,即:各個域之間不是簡單的相交或隔離關系,而是在網絡和管理上有不同的層次。
網絡基礎設施域是所有域的基礎,包括所有的網絡設備和網絡通訊支撐設施域。
網絡基礎設施域分為骨干區、匯集區和接入區。
支撐設施域是其他上層域需要公共使用的部分,主要包括:安全系統、網管系統和其他支撐系統等。
計算域主要是各類的服務器、數據庫等,主要分為一般服務區、重要服務區和核心區。
邊界接入域是各類接入的設備和終端以及業務系統邊界,按照接入類型分為:互聯網接入、外聯網接入、內聯網接入和內網接入。
相對于ISO 13335定義的接入類型,分別有如下對應關系:
ISO 13335
實際情況
組織單獨控制的連接
內部網接入(終端接入,如辦公網);業務邊界(如核心服務邊界)
公共網絡的連接
互聯網接入(如Web和郵件服務器的外部接入,辦公網的Internet接入等)
不同組織間的連接
外聯網接入(如各個部門間的接入等)
組織內的異地連接
內聯網接入(如XXX單位接入等其他部門等通過專網接入)
組織內人員從外部接入
遠程接入(如移動辦公和遠程維護)
邊界接入域威脅分析
由于邊界接入域是XX公司公司信息系統中與外部相連的邊界,因此主要威脅有:
黑客攻擊(外部入侵)
惡意代碼(病毒蠕蟲)
越權(非授權接入)
終端違規操作
……
針對邊界接入域的主要威脅,相應的防護手段有:
訪問控制(如防火墻)用于應對外部攻擊
遠程接入管理(如VPN)用于應對非授權接入
入侵檢測與防御(IDS&IPS)用于應對外部入侵和蠕蟲病毒
惡意代碼防護(防病毒)用于應對蠕蟲病毒
終端管理(注入控制、補丁管理、資產管理等)對終端進行合規管理
二、計算域
計算域的劃分
計算域是各類應用服務、中間件、大機、數據庫等局域計算設備的集合,根據計算環境的行為不同和所受威脅不同,分為以下三個區:
一般服務區
用于存放防護級別較低(資產級別小于等于3),需直接對外提供服務的信息資產,如辦公服務器等,一般服務區與外界有直接連接,同時不能夠訪問核心區(避免被作為攻擊核心區的跳板);
重要服務區
重要服務區用于存放級別較高(資產級別大于3),不需要直接對外提供服務的信息資產,如前置機等,重要服務區一般通過一般服務區與外界連接,并可以直接訪問核心區;
核心區
核心區用于存放級別非常高(資產級別大于等于4)的信息資產,如核心數據庫等,外部對核心區的訪問需要通過重要服務區跳轉。
重要服務區
重要服務區用于存放級別較高(資產級別大于3),不需要直接對外提供服務的信息資產,如前置機等,重要服務區一般通過一般服務區與外界連接,并可以直接訪問核心區;
核心區
核心區用于存放級別非常高(資產級別大于等于4)的信息資產,如核心數據庫等,外部對核心區的訪問需要通過重要服務區跳轉。
計算域威脅分析
由于計算域處于信息系統的內部,因此主要威脅有:
內部人員越權和濫用
內部人員操作失誤
軟硬件故障
內部人員篡改數據
內部人員抵賴行為
對外服務系統遭受攻擊及非法入侵
針對計算域主要是內部威脅的特點,主要采取以下防護手段:
應用和業務開發維護安全
基于應用的審計
身份認證與行為審計
同時也輔助以其他的防護手段:
對網絡異常行為的檢測
對信息資產的訪問控制
三、支撐設施域
支撐設施域的劃分
將網絡管理、安全管理和業務運維(業務操作監控)放置在獨立的安全域中,不僅能夠有效的保護上述三個高級別信息系統,同時在突發事件中也有利于保障后備通訊能力。
其中,安全設備、網絡設備、業務操作監控的管理端口都應該處于獨立的管理VLAN中,如果條件允許,還應該分別劃分安全VLAN、網管VLAN和業務管理VLAN。
支撐設施域的威脅分析
支撐設施域是跨越多個業務系統和地域的,它的保密級別和完整性要求較高,對可用性的要求略低,主要的威脅有:
網絡傳輸泄密(如網絡管理人員在網絡設備上竊聽業務數據)
非授權訪問和濫用(如業務操作人員越權操作其他業務系統)
內部人員抵賴(如對誤操作進行抵賴等)
針對支撐設施域的威脅特點和級別,應采取以下防護措施:
帶外管理和網絡加密
身份認證和訪問控制
審計和檢測
網絡基礎設施域
網絡基礎設施域的劃分
網絡基礎設施域的威脅分析
主要威脅有:
網絡設備故障
網絡泄密
物理環境威脅
相應的防護措施為:
通過備份、冗余確保基礎網絡的可用性
通過網絡傳輸加密確保基礎網絡的保密性
通過基于網絡的認證確保基礎網絡的完整性
2.3 網站運維的特殊安全設計
對于網站來講,安全有著其特殊性,關于數據安全的方向這里不再贅述,這里主要談談網站運維的安全性設計。
網站最主要的是對內容的防護以及對攻擊的防護。目前對端口的掃描攻擊已經起不到作用,最普通的管理員也能做出端口屏蔽的防護,主要集中于各種DDOS攻擊,以及溢出攻擊,跨站攻擊。或者利用http協議進行防護。
網站安全問題可以說是現在最引人關注的問題,有關服務器安全、用戶隱私安全、企業數據安全各個方面,僅僅針對服務器系統本身的防護是不夠的,還需要有一個更全局的視角和防范思路。需要關注數據加密傳輸、子網劃分、災難備份等多個方面的內容。
網站用戶的身份認證 :
密碼驗證,確認用戶登錄身份,并根據數據庫中預設的權限,向用戶展示相應的界面。 驗證用戶提供的證書,從而對用戶身份認證,并確保交易的不可抵賴性。證書的提供可以采用兩種方式:文件證書或是USB設備存儲的證書。
網站數據的加密傳輸 :
Web瀏覽器的網上系統應用,采用SSL+數字證書結合的方式(即HTTPS協議),保證通信數據安全。
用戶賬號使用行為的日志記錄及其審計:
做到發現用戶賬號的盜用、惡意使用等問題,盡早進行處理。
惡意用戶流量的檢測、過濾及阻斷 :
IDS入侵檢測系統、IPS入侵防護系統、防火墻等設備,或者部署目前高效、流行的(統一威脅管理)設備,對惡意用戶采用的各種攻擊手段進行檢測和防護,重點過濾惡意流量。
對非正常應用請求的過濾和處理:
尤其是數據庫服務器端,應該通過配置和增加對用戶非常長應用請求的過濾和處理模塊,SQL注入攻擊等。
合理的子網劃分及流量分割:
Web服務器、FTP服務器、郵件服務器等,為而引起的攻擊后果擴散,并最終導致其他服務器也發生“雪崩”,則需要通過子網隔離(比如VLAN劃分)、DMZ區域的設定等方式來將這些服務器放置在不同的安全區域。
負載均衡及負載保護機制 :
服務器端的設備基本上都需要有多臺服務器進行業務分擔,這樣才能提高性能,對各服務器的業務流量進行有效地分擔,可按照Round Robin、LRU等方式來進行負載均衡,負載保護機制需要實時地對每臺服務器的CPU資源、內存資源等進行評估,如果一旦超過設定的閾值
80%或者以上),將馬上進行過載保護,從而保證服務器自身的安全。
災難備份及恢復:
需要考慮在遭受攻擊或者是經受自然災害后的備份恢復工作,需要著重選擇合適的備份策略,做好提前備份,包括全備份、差分備份、增量備份等等。
選擇合適的備份介質,包括磁帶、光盤、RAID磁盤陣列等。
選擇合適的備份地點,包括本地備份、遠程備份等等 (電腦自動關機)。
選擇合適的備份技術,包括NAS、SAN、DAS等等。
作好備份的后期維護和安全審計跟蹤。
管理規范化 :
嚴格劃分管理人員的角色及其對應的權限,避免一權獨攬,引起安全隱患。
3 系統安全設計
項目應提供標準的身份認證功能,確保只有合法用戶才能登錄系統,結合招標人身份認證系統的推行進度,引入人員數字證書身份驗證機制,確保系統運行安全。系統提供權限管理功能,用以增加、修改、刪除用戶、用戶組,設置用戶、用戶組的功能權限和數據權限。對系統關鍵敏感數據,需要進行加密存儲的,應提供加密存儲功能。
項目對信息安全性主要關注三大方面:物理安全、邏輯安全和安全管理。
1、物理安全是指系統設備及相關設施受到物理保護,使之免糟破壞或丟失。
2、邏輯安全則是指系統中信息資源的安全, 它又包括以下三個方面:保密性、完整性、可用性。
3、安全管理包括各種安全管理的政策和機制。
針對項目對安全性的需要,我們將其分為5個方面逐一解決:
a) 應用安全
1、管理制度建設
旨在加強計算機信息系統運行管理,提高系統安全性、可靠性。要確保系統穩健運行,減少惡意攻擊、各類故障帶來的負面效應,有必要建立行之有效的系統運行維護機制和相關制度。比如,建立健全中心機房管理制度,信息設備操作使用規程,信息系統維護制度,網絡通訊管理制度,應急響應制度,等等。
2、角色和授權
要根據分工,落實系統使用與運行維護工作責任制。要加強對相關人員的培訓和安全教育,減少因為誤操作給系統安全帶來的沖擊。要妥善保存系統運行、維護資料,做好相關記錄,要定期組織應急演練,以備不時之需。
3、數據保護和隱私控制
數據安全主要分為兩個方面:數據使用的安全和數據存儲的安全。
數據保護旨在防止數據被偶然的或故意的非法泄露、變更、破壞,或是被非法識別和控制,以確保數據完整、保密、可用。數據安全包括數據的存儲安全和傳輸安全兩個方面。
為了保證數據使用過程的安全,建議在系統與外部系統進行數據交換時采用國家相關標準的加密算法對傳輸的數據進行加密處理,根據不同的安全等級使用不同的加密算法和不同強度的加密密鑰,根據特殊需要可以考慮使用加密機。
數據的存儲安全系指數據存放狀態下的安全,包括是否會被非法調用等,可借助數據異地容災備份、密文存儲、設置訪問權限、身份識別、局部隔離等策略提高安全防范水平。
為了保證數據存儲的安全可以使用多種方案并用,軟硬結合的策略。同城的數據同步復制,保證數據的安全性
同城的數據同步復制,保證數據的安全性
同場數據復制不但可以保證數據的備份的速度,同時可以支持數據的快速恢復。
生產環境的數據存儲系統可以使用磁盤冗余陣列技術。
當前的硬盤多為磁盤機械設備,因生產環境對系統運行的持續時間有很高要求,系統在運行過程中硬盤一旦達到使用壽命就會出現機械故障,從而使等硬盤無法繼續工作。生產環境的數據存儲設備如果沒有使用磁盤冗余陣列技術,一旦硬盤出現機械故障將會造成將會生產環境數據的丟失,使得整個系統無法繼續運行。
4、審計
本項目的技術支撐技術提供了強大的審計功能,采用審計各種手段來記錄用戶對系統的各種操作,例如成功登錄,不成功登錄,啟動事務,啟動報表,登錄次數時間等等,這些信息全部記錄在系統日志中,沒有任何信息會記錄在客戶端,用戶可以根據需求隨時查看和分析這些信息。應用支撐平臺還提供了其他手段來跟蹤指定用戶的操作以及對系統進行的變更,只有相應的授權用戶和管理員可以查看這些日志進行分析。
根據用戶的要求,應用平臺可以記錄各種誰、何時、作了什么的信息。
每條記錄均有用戶ID,日期,輸入的數據,本地時間等等。
審計功能的中央監控模式可以將系統和業務數據作為監控源,同時利用標準接口,支持監控第三方系統,或者將審計功能集成到其他監控系統中。監控信息和日志可以被管理員以及相應的授權用戶查看和分析。
5、抗抵賴
系統的日志管理功能對所有重要操作都有詳細的記錄,內容包含操作人員的登錄ID、操作時間、IP地址、操作結果等信息。防止系統使用者為謀取不正當利益采取的否認操作的行為。
b) 協同安全
1、認證聯盟
身份認證是當前信息系統需要解決的首要問題,目前很多系統都采用了自行設計和開發自有身份認證系統,這樣的身份認證系統不但安全沒有保障,同時也不符合一定有標準規范,很難與其它系統進行集成。
應用支撐平臺的權限控制技術支持多種身份認證規范,可以很方便的與其它系統進行集成。
2、消息安全
數據傳輸交換過程中,傳輸的數據不法分子有可能被截獲、破譯、并有可能被篡改,應用支撐層的技術支持多種數據加密和數據簽名技術,可以有效保證數據的安全性和可靠性。
3、安全協同
項目對系統間服務調用的完整性和機密性提出了很高的要求,應用支撐層的技術支持多種安全策略用以解決WEB服務調用的安全性問題。
4、信任管理
應用支撐層的技術支持PKI安全基礎設施
c) 用戶訪問安全
1、身份管理
用戶管理和身份認證是項目安全部分的重要組成部分,我們建議采用集中式的用戶管理方式。因為生產環境用戶訪問量非常大,原始的、采用數據庫查詢的認證方式顯然無法滿足性能的要求,我們建議采用LDAP目錄服務器做為身份認證信息的存儲服務器。因為LDAP自身的技術特點,可以很好的解決查詢的性能問題,利用應用支撐層的技術開發的輔助功能,可以最大限度的優化身份管理和認證的速度。
2、認證和單點登陸
項目是一個有著復雜接入方式的系統,同時要求提供多種身份認證方式,應用支撐層的技術支持基本于LDAP服務器的查詢式身份權限認證,也支持基于證書的身份權限認證,同時支持其它標準的身份認證規范。
應用支撐層的技術支持單點登陸,身份權限信息統一維護,用戶只需登錄一次即可完成各子系統的身份認證信息的審核,無需多次登錄系統。
3、訪問控制
按用戶身份及其所歸屬的某預定義組來限制用戶對某些信息項的訪問,或限制對某些控制功能的使用。訪問控制通常用于系統管理員控制用戶對服務器、目錄、文件等網絡資源的訪問。
d) 架構安全
1、物理安全
旨在保護計算機服務器、數據存貯、系統終端、網絡交換等硬件設備免受自然災害、人為破壞,確保其安全可用。制定物理安全策略,要重點關注存放計算機服務器、數據存貯設備、核心網絡交換設備的機房的安全防范。其選址與規劃建設要遵循GB9361計算機場地安全要求和GB2887 計算機場地技術條件,保證恒溫、恒濕,防雷、防水、防火、防鼠、防磁、防靜電,加裝防盜報警裝置,提供良好的接地和供電環境,要為核心設備配置與其功耗相匹配的穩壓及UPS不間斷電源。
根據需要對機房的進行電磁屏蔽,防止電磁泄露,預防主機受到外界的惡意電磁干擾和信息探測。
2、網絡傳輸安全
網絡傳輸安全分網絡訪問安全和網絡數據傳輸安全兩個部分。
網絡訪問安全技術是為了有效保護物理網絡不被非法訪問而采取的保護技術。網絡訪問安全主要使用防火墻技術和代理技術,外部設備不能直接接入到物理網絡,必須經過防火墻或代理服務器才可以訪問網絡。
數據安全不能只關心數據加身的加密問題,同時還應當關注數據傳輸途徑的的安全問題。
項目對數據傳輸安全提出很高的要求主,核心征管系統與外部系統進行數據交換時不但要使用數據加密技術加密數據本身,同時還應當使用SSL、SNC等安全協議進行數據傳輸以保證數據的安全,預防網攻擊。
3、平臺安全
平臺安全是指項目所使用的系統級軟件的安全,主要包括操作系統安全、中間件安全、數據庫系統安全、病毒檢查等方面。
4、系統安全
系統安全是指系統間通信的安全問題,為保證系統間的通信安全建議使用SSL等安全協議進行數據通信。
5、終端安全
終端安全是訪問項目及其配套軟件、服務器的終端設備的安全。終端安全是整個系統安全中最薄弱的環節,建議采取以下措施來加強終端安全:
1)控制接入網絡
2)網絡訪問控制
3)驗證最低限度的信任
4)只允許可信終端訪問系統
5)對終端與系統交換的數據進行加密,采用安全協議進行通信。
e) 軟件生命周期安全
1、安全開發
軟件開發過程的安全管理主要體現在開發標準方面,主要手段包括:開發規范和代碼檢查。
2、默認安全配置
默認安全配置是指為了保證系統運行的所需安裝的最少軟件和相關設置。
3、發布安全
SWORD應用支撐的權限控制功能提供系統方案用于解決發布安全問題。
4、變更安全管理
旨在加強計算機信息系統運行管理,提高系統安全性、可靠性。要確保系統穩健運行,減少惡意攻擊、各類故障帶來的負面效應,有必要建立行之有效的系統運行維護機制和相關制度。比如,建立健全中心機房管理制度,信息設備操作使用規程,信息系統維護制度,網絡通訊管理制度,應急響應制度,等等。
要根據分工,落實系統使用與運行維護工作責任制。要加強對相關人員的培訓和安全教育,減少因為誤操作給系統安全帶來的沖擊。要妥善保存系統運行、維護資料,做好相關記錄,要定期組織應急演練,以備不時之需。
信息系統相對復雜的用戶、對信息系統依存度較高的用戶,簽訂系統服務外包合同,由其提供專業化的、一攬子安全護航服務,是個不錯的策略。
4 數據傳輸安全
a) 采用https協議
超文本傳輸協議HTTP協議被用于在Web瀏覽器和網站服務器之間傳遞信息。HTTP協議以明文方式發送內容,不提供任何方式的數據加密,如果攻擊者截取了Web瀏覽器和網站服務器之間的傳輸報文,就可以直接讀懂其中的信息,因此HTTP協議不適合傳輸一些敏感信息,比如信用卡號、密碼等。
為了解決HTTP協議的這一缺陷,需要使用另一種協議:安全套接字層超文本傳輸協議HTTPS。為了數據傳輸的安全,HTTPS在HTTP的基礎上加入了SSL協議,SSL依靠證書來驗證服務器的身份,并為瀏覽器和服務器之間的通信加密。
HTTPS和HTTP的區別主要為以下四點:
https協議需要到ca申請證書,一般免費證書很少,需要交費。
http是超文本傳輸協議,信息是明文傳輸,https則是具有安全性的ssl加密傳輸協議。
http和https使用的是完全不同的連接方式,用的端口也不一樣,前者是80,后者是443。
http的連接很簡單,是無狀態的;HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議,比http協議安全。
b) SSL加密傳輸
SSL(Secure Sockets Layer 安全套接層),及其繼任者傳輸層安全(Transport Layer Security,TLS)是為網絡通信提供安全及數據完整性的一種安全協議。TLS與SSL在傳輸層對網絡連接進行加密。
SSL 為Netscape所研發,用以保障在Internet上數據傳輸之安全,利用數據加密(Encryption)技術,可確保數據在網絡上之傳輸過程中不會被截取及竊聽。目前一般通用之規格為40 bit之安全標準,美國則已推出128 bit之更高安全標準,但限制出境。只要3.0版本以上之I.E.或Netscape瀏覽器即可支持SSL。
當前版本為3.0。它已被廣泛地用于Web瀏覽器與服務器之間的身份認證和加密數據傳輸。
SSL協議位于TCP/IP協議與各種應用層協議之間,為數據通訊提供安全支持。SSL協議可分為兩層:SSL記錄協議(SSL Record Protocol):它建立在可靠的傳輸協議(如TCP)之上,為高層協議提供數據封裝、壓縮、加密等基本功能的支持。SSL握手協議(SSL Handshake Protocol):它建立在SSL記錄協議之上,用于在實際的數據傳輸開始前,通訊雙方進行身份認證、協商加密算法、交換加密密鑰等。
SSL協議提供的服務主要有哪些
1)認證用戶和服務器,確保數據發送到正確的客戶機和服務器
2)加密數據以防止數據中途被竊取
3)維護數據的完整性,確保數據在傳輸過程中不被改變。
SSL協議的工作流程
服務器認證階段:
1)客戶端向服務器發送一個開始信息“Hello”以便開始一個新的會話連接;
2)服務器根據客戶的信息確定是否需要生成新的主密鑰,如需要則服務器在響應客戶的“Hello”信息時將包含生成主密鑰所需的信息;
3)客戶根據收到的服務器響應信息,產生一個主密鑰,并用服務器的公開密鑰加密后傳給服務器;
4)服務器恢復該主密鑰,并返回給客戶一個用主密鑰認證的信息,以此讓客戶認證服務器。
用戶認證階段
在此之前,服務器已經通過了客戶認證,這一階段主要完成對客戶的認證。經認證的服務器發送一個提問給客戶,客戶則返回(數字)簽名后的提問和其公開密鑰,從而向服務器提供認證。
c) 數字簽名
通過數字簽名技術從所傳輸的重要數據中生成一個128位的散列值(或數據摘要),并用自己的專用密鑰對這個散列值進行加密,形成發送方的數字簽名;將這個數字簽名將作為傳輸數據的附件和數據本身一起發送給接收方,即本系統的后臺應用程序;
后臺應用程序首先從接收到的原始加密數據中計算出128位的散列值(或數據摘要),接著再用發送方的公開密鑰來對數據附加的數字簽名進行解密。若兩個散列值相同,那么后臺應用程序就能確認該數字簽名是發送方的。
通過數字簽名能夠實現對原始數據的鑒別和不可否認性,最終達到對重要數據在傳輸過程中的加密。
5 數據存儲安全
a) 數據備份
數據備份是容災的基礎,是指為防止系統出現操作失誤或系統故障導致數據丟失,而將全部或部分數據集合從應用主機的硬盤或陣列復制到其它的存儲介質的過程。傳統的數據備份主要是采用內置或外置的磁帶機進行冷備份。但是這種方式只能防止操作失誤等人為故障,而且其恢復時間也很長。隨著技術的不斷發展,數據的海量增加,不少的單位開始采用網絡備份。網絡備份一般通過專業的數據存儲管理軟件結合相應的硬件和存儲設備來實現。本次項目可考慮采用以下的備份方式:
? 定期磁帶
遠程磁帶庫、光盤庫備份。即將數據傳送到遠程備份中心制作完整的備份磁帶或光盤。
遠程關鍵數據+磁帶備份。采用磁帶備份數據,生產機實時向備份機發送關鍵數據。
? 數據庫備份
就是在與主數據庫所在生產機相分離的備份機上建立主數據庫的一個拷貝。
? 網絡數據備份
這種方式是對生產系統的數據庫數據和所需跟蹤的重要目標文件的更新進行監控與跟蹤,并將更新日志實時通過網絡傳送到備份系統,備份系統則根據日志對磁盤進行更新。
? 遠程鏡像
通過高速光纖通道線路和磁盤控制技術將鏡像磁盤延伸到遠離生產機的地方,鏡像磁盤數據與主磁盤數據完全一致,更新方式為同步或異步。
數據備份必須要考慮到數據恢復的問題,包括采用雙機熱備、磁盤鏡像或容錯、備份磁帶異地存放、關鍵部件冗余等多種災難預防措施。這些措施能夠在系統發生故障后進行系統恢復。但是這些措施一般只能處理計算機單點故障,對區域性、毀滅性災難則束手無策,也不具備災難恢復能力。
b) 備份策略
選擇了存儲備份軟件、存儲備份技術(包括存儲備份硬件及存儲備份介質)后,首先需要確定數據備份的策略。備份策略指確定需備份的內容、備份時間及備份方式。要根據自己的實際情況來制定不同的備份策略。目前被采用最多的備份策略主要有以下三種。
1、完全備份(full backup)
每天對自己的系統進行完全備份。例如,星期一用一盤磁帶對整個系統進行備份,星期二再用另一盤磁帶對整個系統進行備份,依此類推。這種備份策略的好處是:當發生數據丟失的災難時,只要用一盤磁帶(即災難發生前一天的備份磁帶),就可以恢復丟失的數據。然而它亦有不足之處,首先,由于每天都對整個系統進行完全備份,造成備份的數據大量重復。這些重復的數據占用了大量的磁帶空間,這對用戶來說就意味著增加成本。其次,由于需要備份的數據量較大,因此備份所需的時間也就較長。對于那些業務繁忙、備份時間有限的單位來說,選擇這種備份策略是不明智的。
2、增量備份(incremental backup)
星期天進行一次完全備份,然后在接下來的六天里只對當天新的或被修改過的數據進行備份。這種備份策略的優點是節省了磁帶空間,縮短了備份時間。但它的缺點在于,當災難發生時,數據的恢復比較麻煩。例如,系統在星期三的早晨發生故障,丟失了大量的數據,那么現在就要將系統恢復到星期二晚上時的狀態。這時系統管理員就要首先找出星期天的那盤完全備份磁帶進行系統恢復,然后再找出星期一的磁帶來恢復星期一的數據,然后找出星期二的磁帶來恢復星期二的數據。很明顯,這種方式很繁瑣。另外,這種備份的可靠性也很差。在這種備份方式下,各盤磁帶間的關系就象鏈子一樣,一環套一環,其中任何一盤磁帶出了問題都會導致整條鏈子脫節。比如在上例中,若星期二的磁帶出了故障,那么管理員最多只能將系統恢復到星期一晚上時的狀態。
3、差分備份(differential backup)
管理員先在星期天進行一次系統完全備份,然后在接下來的幾天里,管理員再將當天所有與星期天不同的數據(新的或修改過的)備份到磁帶上。差分備份策略在避免了以上兩種策略的缺陷的同時,又具有了它們的所有優點。首先,它無需每天都對系統做完全備份,因此備份所需時間短,并節省了磁帶空間,其次,它的災難恢復也很方便。系統管理員只需兩盤磁帶,即星期天的磁帶與災難發生前一天的磁帶,就可以將系統恢復。
在實際應用中,備份策略通常是以上三種的結合。例如每周一至周六進行一次增量備份或差分備份,每周日進行全備份,每月底進行一次全備份,每年底進行一次全備份。
4、日常維護有關問題
備份系統安裝調試成功結束后,日常維護包含兩方面工作,即硬件維護和軟件維護。如果硬件設備具有很好的可靠性,系統正常運行后基本不需要經常維護。一般來說,磁帶庫的易損部件是磁帶驅動器,當出現備份讀寫錯誤時應首先檢查驅動器的工作狀態。如果發生意外斷電等情況,系統重新啟動運行后,應檢查設備與軟件的聯接是否正常。磁頭自動清洗操作一般可以由備份軟件自動管理,一盤dlt清洗帶可以使用20 次,一般一個月清洗一次磁頭。軟件系統工作過程檢測到的軟硬件錯誤和警告信息都有明顯提示和日志,可以通過電子郵件發送給管理員。管理員也可以利用遠程管理的功能,全面監控備份系統的運行情況。
網絡數據備份系統的建成,對保障系統的安全運行,保障各種系統故障的及時排除和數據庫系統的及時恢復起到關鍵作用。通過自動化帶庫及集中的運行管理,保證數據備份的質量,加強數據備份的安全管理。同時,近線磁帶庫技術的引進,無疑對數據的恢復和利用提供了更加方便的手段。希望更多的單位能夠更快地引進這些技術,讓系統管理員做到數據無憂。
5、存儲數據備份恢復
隨著各單位局域網和互聯網絡的深入應用,系統內的服務器擔負著關鍵應用,存儲著重要的信息和數據,為領導及決策部門提供綜合信息查詢的服務,為網絡環境下的大量客戶機提供快速高效的信息查詢、數據處理和internet等的各項服務。因此,建立可靠的網絡數據備份系統,保護關鍵應用的數據安全是網絡建設的重要任務,在發生人為或自然災難的情況下,保證數據不丟失。
c) 數據訪問監控
本系統可借助兩種方式實現對數據訪問的監控:
1、通過支撐體系的日志管理和行為審核功能,對進行數據訪問的功能日志進行查詢,及時發現和排除安全隱患;
2、通過專業的數據庫監控軟件對數據庫連接、磁盤剩余空間、CPU占有率、進程數量等參數進行監控。
d) 關鍵數據加密
系統的關鍵數據包括所有用戶的登錄密碼、權限信息、重要的配置信息等。
本系統在開發過程中將根據需要提供三種對關鍵數據的加密方式:
1、在程序語言中先對數據進行加密后再把加密后的數據保存在數據庫中;
2、利用數據庫本身的加密密碼函數或加密程序包,在SQL代碼中調用加密密碼函數對數據進行加密后保存;
3、編寫擴展存儲過程的外部DLL文件實現加密,然后由SQL代碼調用加密功能實現數據加密。
來源:IT時代網
IT時代網(關注微信公眾號ITtime2000,定時推送,互動有福利驚喜)所有原創文章版權所有,未經授權,轉載必究。
創客100創投基金成立于2015年,直通硅谷,專注于TMT領域早期項目投資。LP均來自政府、互聯網IT、傳媒知名企業和個人。創客100創投基金對IT、通信、互聯網、IP等有著自己獨特眼光和豐富的資源。決策快、投資快是創客100基金最顯著的特點。
熱門文章
精彩評論
小何華為現在牛的不只是設備商了,,華為的手機現在也是全球銷量不錯,國內也算是老大了,之前用小米,,現在都改華為了。。產品確實不錯。- 小何三星手機在中國還有市場嗎?看看現在滿大街的vivo和oppo ,,華為,,小米線下店,,就是知道三星的市場基本沒有了。。
- 小何滴滴打車現在也沒有之前那么火了,,補貼也少了。。
- 小何今日頭條要把騰訊的地方各頻道給霸占了。。