系統(tǒng)安全設(shè)計(jì)原則

系統(tǒng)安全設(shè)計(jì)和備份原則系統(tǒng)安全和系統(tǒng)備份是系統(tǒng)設(shè)計(jì)中非常重要的一個(gè)部分，主要包含以下幾個(gè)方面?！到y(tǒng)安全設(shè)計(jì)項(xiàng)目對(duì)信息安全性主要關(guān)注三大方面：物理安全、邏輯安全和安全管理。1、物理安全是指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù)，使之免糟破壞或丟失。2、邏輯安全則是指系統(tǒng)息資源的安全,它又包括以下三個(gè)方面：性、完整性、可用性。3、安全管理包括各種安全管理的政策和機(jī)制。針對(duì)項(xiàng)目對(duì)安全性的需要，我們將其分為5個(gè)方面逐一解決：——應(yīng)用安全1、管理制度建設(shè)旨在加強(qiáng)計(jì)算機(jī)信息系統(tǒng)運(yùn)行管理，提高系統(tǒng)安全性、可靠性。要確保系統(tǒng)穩(wěn)健運(yùn)行，減少惡意攻擊、各類(lèi)故障帶來(lái)的負(fù)面效應(yīng)，有必要建立行之有效的系統(tǒng)運(yùn)行維護(hù)機(jī)制和相關(guān)制度。比如，建立健全中心機(jī)房管理制度，信息設(shè)備操作使用規(guī)程，信息系統(tǒng)維護(hù)制度，網(wǎng)絡(luò)通訊管理制度，應(yīng)急響應(yīng)制度，等等。2、角色和授權(quán)要根據(jù)分工，落實(shí)系統(tǒng)使用與運(yùn)行維護(hù)工作責(zé)任制。要加強(qiáng)對(duì)相關(guān)人員的培訓(xùn)和安全教育，減少因?yàn)檎`操作給系統(tǒng)安全帶來(lái)的沖擊。要妥善保存系統(tǒng)運(yùn)行、維護(hù)資料，做好相關(guān)記錄，要定期組織應(yīng)急演練，以備不時(shí)之需。3、數(shù)據(jù)保護(hù)和隱私控制數(shù)據(jù)安全主要分為兩個(gè)方面：數(shù)據(jù)使用的安全和數(shù)據(jù)存儲(chǔ)的安全。數(shù)據(jù)保護(hù)旨在防止數(shù)據(jù)被偶然的或故意的非法泄露、變更、破壞，或是被非法識(shí)別和控制，以確保數(shù)據(jù)完整、、可用。數(shù)據(jù)安全包括數(shù)據(jù)的存儲(chǔ)安全和傳輸安全兩個(gè)方面。為了保證數(shù)據(jù)使用過(guò)程的安全，建議在系統(tǒng)與外部系統(tǒng)進(jìn)行數(shù)據(jù)交換時(shí)采用國(guó)家相關(guān)標(biāo)準(zhǔn)的加密算法對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理，根據(jù)不同的安全等級(jí)使用不同的加密算法和不同強(qiáng)度的加密密鑰，根據(jù)特殊需要可以考慮使用加密機(jī)。數(shù)據(jù)的存儲(chǔ)安全系指數(shù)據(jù)存放狀態(tài)下的安全，包括是否會(huì)被非法調(diào)用等，可借助數(shù)據(jù)異地容災(zāi)備份、密文存儲(chǔ)、設(shè)置訪問(wèn)權(quán)限、身份識(shí)別、局部隔離等策略提高安全防水平。為了保證數(shù)據(jù)存儲(chǔ)的安全可以使用多種方案并用，軟硬結(jié)合的策略。同城的數(shù)據(jù)同步復(fù)制，保證數(shù)據(jù)的安全性同城的數(shù)據(jù)同步復(fù)制，保證數(shù)據(jù)的安全性同場(chǎng)數(shù)據(jù)復(fù)制不但可以保證數(shù)據(jù)的備份的速度，同時(shí)可以支持?jǐn)?shù)據(jù)的快速恢復(fù)。生產(chǎn)環(huán)境的數(shù)據(jù)存儲(chǔ)系統(tǒng)可以使用磁盤(pán)冗余陣列技術(shù)。當(dāng)前的硬盤(pán)多為磁盤(pán)機(jī)械設(shè)備，因生產(chǎn)環(huán)境對(duì)系統(tǒng)運(yùn)行的持續(xù)時(shí)間有很高要求，系統(tǒng)在運(yùn)行過(guò)程中硬盤(pán)一旦達(dá)到使用壽命就會(huì)出現(xiàn)機(jī)械故障，從而使等硬盤(pán)無(wú)法繼續(xù)工作。生產(chǎn)環(huán)境的數(shù)據(jù)存儲(chǔ)設(shè)備如果沒(méi)有使用磁盤(pán)冗余陣列技術(shù)，一旦硬盤(pán)出現(xiàn)機(jī)械故障將會(huì)造成將會(huì)生產(chǎn)環(huán)境數(shù)據(jù)的丟失，使得整個(gè)系統(tǒng)無(wú)法繼續(xù)運(yùn)行。4、審計(jì)本項(xiàng)目的技術(shù)支撐技術(shù)提供了強(qiáng)大的審計(jì)功能，采用審計(jì)各種手段來(lái)記錄用戶對(duì)系統(tǒng)的各種操作，例如成功登錄，不成功登錄，啟動(dòng)事務(wù)，啟動(dòng)報(bào)表，登錄次數(shù)時(shí)間等等，這些信息全部記錄在系統(tǒng)日志中，沒(méi)有任何信息會(huì)記錄在客戶端，用戶可以根據(jù)需求隨時(shí)查看和分析這些信息。應(yīng)用支撐平臺(tái)還提供了其他手段來(lái)跟蹤指定用戶的操作以及對(duì)系統(tǒng)進(jìn)行的變更,只有相應(yīng)的授權(quán)用戶和管理員可以查看這些日志進(jìn)行分析。根據(jù)用戶的要求，應(yīng)用平臺(tái)可以記錄各種誰(shuí)、何時(shí)、作了什么的信息。每條記錄均有用戶ID，日期，輸入的數(shù)據(jù)，本地時(shí)間等等。審計(jì)功能的中央監(jiān)控模式可以將系統(tǒng)和業(yè)務(wù)數(shù)據(jù)作為監(jiān)控源，同時(shí)利用標(biāo)準(zhǔn)接口，支持監(jiān)控第三方系統(tǒng)，或者將審計(jì)功能集成到其他監(jiān)控系統(tǒng)中。監(jiān)控信息和日志可以被管理員以及相應(yīng)的授權(quán)用戶查看和分析。5、抗抵賴系統(tǒng)的日志管理功能對(duì)所有重要操作都有詳細(xì)的記錄，容包含操作人員的登錄ID、操作時(shí)間、IP地址、操作結(jié)果等信息。防止系統(tǒng)使用者為謀取不正當(dāng)利益采取的否認(rèn)操作的行為。——協(xié)同安全1、 認(rèn)證聯(lián)盟身份認(rèn)證是當(dāng)前信息系統(tǒng)需要解決的首要問(wèn)題，目前很多系統(tǒng)都采用了自行設(shè)計(jì)和開(kāi)發(fā)自有身份認(rèn)證系統(tǒng)，這樣的身份認(rèn)證系統(tǒng)不但安全沒(méi)有保障，同時(shí)也不符合一定有標(biāo)準(zhǔn)規(guī)，很難與其它系統(tǒng)進(jìn)行集成。應(yīng)用支撐平臺(tái)的權(quán)限控制技術(shù)支持多種身份認(rèn)證規(guī)，可以很方便的與其它系統(tǒng)進(jìn)行集成。2、 消息安全數(shù)據(jù)傳輸交換過(guò)程中，傳輸?shù)臄?shù)據(jù)不法分子有可能被截獲、破譯、并有可能被篡改，應(yīng)用支撐層的技術(shù)支持多種數(shù)據(jù)加密和數(shù)據(jù)簽名技術(shù)，可以有效保證數(shù)據(jù)的安全性和可靠性。3、 安全協(xié)同項(xiàng)目對(duì)系統(tǒng)間服務(wù)調(diào)用的完整性和性提出了很高的要求，應(yīng)用支撐層的技術(shù)支持多種安全策略用以解決WEB服務(wù)調(diào)用的安全性問(wèn)題。4、 信任管理應(yīng)用支撐層的技術(shù)支持PKI安全基礎(chǔ)設(shè)施——用戶訪問(wèn)安全1、 身份管理用戶管理和身份認(rèn)證是項(xiàng)目安全部分的重要組成部分，我們建議采用集中式的用戶管理方式。因?yàn)樯a(chǎn)環(huán)境用戶訪問(wèn)量非常大，原始的、采用數(shù)據(jù)庫(kù)查詢的認(rèn)證方式顯然無(wú)法滿足性能的要求，我們建議采用LDAP目錄服務(wù)器做為身份認(rèn)證信息的存儲(chǔ)服務(wù)器。因?yàn)長(zhǎng)DAP自身的技術(shù)特點(diǎn)，可以很好的解決查詢的性能問(wèn)題，利用應(yīng)用支撐層的技術(shù)開(kāi)發(fā)的輔助功能，可以最大限度的優(yōu)化身份管理和認(rèn)證的速度。2、認(rèn)證和單點(diǎn)登陸項(xiàng)目是一個(gè)有著復(fù)雜接入方式的系統(tǒng)，同時(shí)要求提供多種身份認(rèn)證方式，應(yīng)用支撐層的技術(shù)支持基本于LDAP服務(wù)器的查詢式身份權(quán)限認(rèn)證，也支持基于證書(shū)的身份權(quán)限認(rèn)證，同時(shí)支持其它標(biāo)準(zhǔn)的身份認(rèn)證規(guī)。應(yīng)用支撐層的技術(shù)支持單點(diǎn)登陸，身份權(quán)限信息統(tǒng)一維護(hù)，用戶只需登錄一次即可完成各子系統(tǒng)的身份認(rèn)證信息的審核，無(wú)需多次登錄系統(tǒng)。3、訪問(wèn)控制按用戶身份及其所歸屬的某預(yù)定義組來(lái)限制用戶對(duì)某些信息項(xiàng)的訪問(wèn)，或限制對(duì)某些控制功能的使用。訪問(wèn)控制通常用于系統(tǒng)管理員控制用戶對(duì)服務(wù)器、目錄、文件等網(wǎng)絡(luò)資源的訪問(wèn)?！軜?gòu)安全1、物理安全旨在保護(hù)計(jì)算機(jī)服務(wù)器、數(shù)據(jù)存貯、系統(tǒng)終端、網(wǎng)絡(luò)交換等硬件設(shè)備免受自然災(zāi)害、人為破壞，確保其安全可用。制定物理安全策略，要重點(diǎn)關(guān)注存放計(jì)算機(jī)服務(wù)器、數(shù)據(jù)存貯設(shè)備、核心網(wǎng)絡(luò)交換設(shè)備的機(jī)房的安全防。其選址與規(guī)劃建設(shè)要遵循GB9361計(jì)算機(jī)場(chǎng)地安全要求和GB2887計(jì)算機(jī)場(chǎng)地技術(shù)條件，保證恒溫、恒濕，防雷、防水、防火、防鼠、防磁、防靜電，加裝防盜報(bào)警裝置，提供良好的接地和供電環(huán)境，要為核心設(shè)備配置與其功耗相匹配的穩(wěn)壓及UPS不間斷電源。根據(jù)需要對(duì)機(jī)房的進(jìn)行電磁屏蔽，防止電磁泄露，預(yù)防主機(jī)受到外界的惡意電磁干擾和信息探測(cè)。2、網(wǎng)絡(luò)傳輸安全網(wǎng)絡(luò)傳輸安全分網(wǎng)絡(luò)訪問(wèn)安全和網(wǎng)絡(luò)數(shù)據(jù)傳輸安全兩個(gè)部分。網(wǎng)絡(luò)訪問(wèn)安全技術(shù)是為了有效保護(hù)物理網(wǎng)絡(luò)不被非法訪問(wèn)而采取的保護(hù)技術(shù)。網(wǎng)絡(luò)訪問(wèn)安全主要使用防火墻技術(shù)和代理技術(shù)，外部設(shè)備不能直接接入到物理網(wǎng)絡(luò)，必須經(jīng)過(guò)防火墻或代理服務(wù)器才可以訪問(wèn)網(wǎng)絡(luò)。數(shù)據(jù)安全不能只關(guān)心數(shù)據(jù)加身的加密問(wèn)題，同時(shí)還應(yīng)當(dāng)關(guān)注數(shù)據(jù)傳輸途徑的的安全問(wèn)題。項(xiàng)目對(duì)數(shù)據(jù)傳輸安全提出很高的要求主，核心征管系統(tǒng)與外部系統(tǒng)進(jìn)行數(shù)據(jù)交換時(shí)不但要使用數(shù)據(jù)加密技術(shù)加密數(shù)據(jù)本身，同時(shí)還應(yīng)當(dāng)使用 SSL、SNC等安全協(xié)議進(jìn)行數(shù)據(jù)傳輸以保證數(shù)據(jù)的安全，預(yù)防網(wǎng)攻擊。3、平臺(tái)安全平臺(tái)安全是指項(xiàng)目所使用的系統(tǒng)級(jí)軟件的安全，主要包括操作系統(tǒng)安全、中間件安全、數(shù)據(jù)庫(kù)系統(tǒng)安全、病毒檢查等方面。4、系統(tǒng)安全系統(tǒng)安全是指系統(tǒng)間通信的安全問(wèn)題，為保證系統(tǒng)間的通信安全建議使用協(xié)議進(jìn)行數(shù)SSL等安全據(jù)通信。5、終端安全終端安全是訪問(wèn)項(xiàng)目及其配套軟件、服務(wù)器的終端設(shè)備的安全。終端安全是整個(gè)系統(tǒng)安全中最薄弱的環(huán)節(jié)，建議采取以下措施來(lái)加強(qiáng)終端安全：1）控制接入網(wǎng)絡(luò)2）網(wǎng)絡(luò)訪問(wèn)控制3）驗(yàn)證最低限度的信任4）只允許可信終端訪問(wèn)系統(tǒng)5）對(duì)終端與系統(tǒng)交換的數(shù)據(jù)進(jìn)行加密，采用安全協(xié)議進(jìn)行通信。軟件生命周期安全1、安全開(kāi)發(fā)軟件開(kāi)發(fā)過(guò)程的安全管理主要體現(xiàn)在開(kāi)發(fā)標(biāo)準(zhǔn)方面，主要手段包括：開(kāi)發(fā)規(guī)和代碼檢查。2、默認(rèn)安全配置默認(rèn)安全配置是指為了保證系統(tǒng)運(yùn)行的所需安裝的最少軟件和相關(guān)設(shè)置。3、發(fā)布安全SWORD應(yīng)用支撐的權(quán)限控制功能提供系統(tǒng)方案用于解決發(fā)布安全問(wèn)題。4、變更安全管理旨在加強(qiáng)計(jì)算機(jī)信息系統(tǒng)運(yùn)行管理，提高系統(tǒng)安全性、可靠性。要確保系統(tǒng)穩(wěn)健運(yùn)行，減少惡意攻擊、各類(lèi)故障帶來(lái)的負(fù)面效應(yīng)，有必要建立行之有效的系統(tǒng)運(yùn)行維護(hù)機(jī)制和相關(guān)制度。比如，建立健全中心機(jī)房管理制度，信息設(shè)備操作使用規(guī)程，信息系統(tǒng)維護(hù)制度，網(wǎng)絡(luò)通訊管理制度，應(yīng)急響應(yīng)制度，等等。要根據(jù)分工，落實(shí)系統(tǒng)使用與運(yùn)行維護(hù)工作責(zé)任制。要加強(qiáng)對(duì)相關(guān)人員的培訓(xùn)和安全教育，減少因?yàn)檎`操作給系統(tǒng)安全帶來(lái)的沖擊。要妥善保存系統(tǒng)運(yùn)行、維護(hù)資料，做好相關(guān)記錄，要定期組織應(yīng)急演練，以備不時(shí)之需。信息系統(tǒng)相對(duì)復(fù)雜的用戶、對(duì)信息系統(tǒng)依存度較高的用戶，簽訂系統(tǒng)服務(wù)外包合同，由其提供專(zhuān)業(yè)化的、一攬子安全護(hù)航服務(wù)，是個(gè)不錯(cuò)的策略?！獢?shù)據(jù)傳輸安全——采用https協(xié)議超文本傳輸協(xié)議HTTP協(xié)議被用于在Web瀏覽器和服務(wù)器之間傳遞信息。HTTP協(xié)議以明文方式發(fā)送容，不提供任何方式的數(shù)據(jù)加密，如果攻擊者截取了Web瀏覽器和服務(wù)器之間的傳輸報(bào)文，就可以直接讀懂其中的信息，因此HTTP協(xié)議不適合傳輸一些敏感信息，比如信用卡號(hào)、密碼等。為了解決HTTP協(xié)議的這一缺陷，需要使用另一種協(xié)議：安全套接字層超文本傳輸協(xié)議HTTPS。為了數(shù)據(jù)傳輸?shù)陌踩?HTTPS在HTTP的基礎(chǔ)上加入了SSL協(xié)議，SSL依靠證書(shū)來(lái)驗(yàn)證服務(wù)器的身份，并為瀏覽器和服務(wù)器之間的通信加密。HTTPS和HTTP的區(qū)別主要為以