1、應用系統安全防護方案建議書目 錄 TOC o 1-2 h z u HYPERLINK l _Toc3301620 第1章應用系統安全防護解決方案 PAGEREF _Toc3301620 h 2 HYPERLINK l _Toc3301621 1.1安全風險分析 PAGEREF _Toc3301621 h 2 HYPERLINK l _Toc3301622 1.2安全解決方案 PAGEREF _Toc3301622 h 2應用系統安全防護解決方案安全風險分析8.1.1物理安全風險物理安全風險主要包括環(huán)境安全風險、設備安全風險、記錄介質安全風險等。環(huán)境安全風險主要指物理設備所處環(huán)境的安全風險，例如

2、：機房周邊環(huán)境的安全風險、機房火險、機房水險、供配電異常、空調系統失靈、電磁干擾、地震、雷擊、靜電等等。設備安全風險主要是指設備的被盜、被損和不可用的安全風險。記錄介質安全風險主要是指各類記錄介質被盜、被損、非法拷貝等等。這些安全隱患都可能導致系統崩潰、數據丟失、信息泄漏等等，造成無法挽回的損失。8.1.2網絡安全風險由于我們搭建在內部網絡上，這里的風險主要是指內部網絡用戶基于內部的局域網環(huán)境，非法訪問主機系統和業(yè)務應用系統引起的系統工作異常甚至崩潰、信息數據泄密和破壞等風險。8.1.3系統安全風險操作系統本身的漏洞和缺陷、用戶權限設置不合理、一些不安全協議的使用等等這些因素都構成對系統的威脅

3、；應用系統漏洞及其設計缺陷等等也會引起系統的安全風險問題；病毒是威脅系統安全的一個主要方面；此外，系統備份認識不足也是系統安全隱患。8.1.4數據安全風險數據安全風險主要包括防止數據被破壞、竊取和非法使用等。數據安全風險和系統安全風險往往具有相關性。8.1.5管理安全風險安全意識淡薄、管理制度不健全等等都可能構成安全隱患。種種事件表明，多數公司機密泄漏事件是由于公司內部相關人員對個人密碼的保護上重視程度不夠，甚至在利益的驅使下直接將內部信息泄漏出去。安全解決方案8.2.1完善強大的系統管理功能系統管理是整個系統運行的基礎，提供了操作員管理、用戶組管理、權限管理、上機日志管理、系統維護等功能?？?/p>

4、以建立一個或多個系統管理員，按照分工或者職責的不同，對系統的不同的部分進行維護?？梢葬槍σ粋€單位增加操作員，也可以先增加操作員后與各單位建立關聯。這樣一個操作員就可以對多個單位的數據進行操作，并且只能對被賦予權限的單位的數據進行操作。用戶組的建立為操作員的管理和權限分配帶來很大方便。上機日志記載了每個操作員每一次操作的時間、操作的內容等數據。完整的上機日志為系統安全的管理提供了保證。8.2.2高度的安全性應用1）系統軟件安全保障數據傳遞采用RSA+DES算法，并且可以在傳輸層綁定各種協議?？蛻粽J證，全部在服務器上認證。并且每個用戶的密碼在數據庫內加密存放。密碼存放對一般用戶不是透明的。系統從功

5、能權限、數據權限、字段權限三個層次管理使用者，保證機密數據的安全。系統數據是放在數據庫中的，大型的數據庫本身有一套比較完善的安全體系。產品代碼全部放于服務器上，只有服務器管理人員才能更改代碼。客戶端的代碼是動態(tài)地下載到客戶端的，動態(tài)下載意味著誰也無法在客戶端修改客戶端的運行代碼。數據庫的管理只在服務器上，數據庫的訪問權控制在系統管理員手中。數據庫不用放在WEB服務器上，減少了服務器被攻擊的可能。系統采用三層結構，運行在服務器上的代碼可以直接訪問數據庫，客戶端不能直接訪問。有訪問權限的用戶也只能訪問WEB和應用服務器，而不能直接看到數據庫服務器。2）分級的權限管理機制功能權限：根據功能的劃分來為

6、操作員設置權限。功能的權限不僅能夠設置到最末的一級菜單功能，而且能夠設置到每個功能中的各個按鈕。由于可以將權限明細到功能按鈕級，保證了功能權限的最明細化。數據權限：在功能權限的基礎上，針對具體的業(yè)務對象或者數據內容提供了更進一步的權限設置。數據權限又可以進一步細分為三類：數據對象權限：數據對象就是各個系統的所操作的主要業(yè)務對象，例如人員信息等內容。針對哪些數據對象設置權限可以進行自由設置，并且可以設置某個操作員對這些數據對象的使用權，沒有被賦予權限的數據對象不能被當前的操作員操作。在功能權限的基礎上，通過數據對象權限的進一步控制，可以滿足企事業(yè)更加嚴密、精細的權限要求。業(yè)務字段權限：針對某頁面

7、上的各個字段，或者信息查詢與統計分析所輸出的各個字段，設置更加明細的操作權限，沒有被賦予權限的字段不能被當前操作員操作。字段范圍權限：針對某頁面上各個字段，或者查詢與統計分析所輸出的各個字段，按照取值范圍設置權限，只有在被賦予權限的取值范圍內，操作員才能操作。業(yè)務權限：功能權限和數據權限全部是針對操作員進行設置的，而業(yè)務權限則是針對兩個業(yè)務對象來進行設置的，通過設置兩個業(yè)務對象之間的關系，來完成相應的業(yè)務約束。3）安全認證方案通過INTERNET進行網上在線結算，不僅需要保證用戶身份的保密性，而且還要保證從客戶端到服務器的通信傳輸鏈路的安全。要實現這一點，就要利用PKI技術并結合身份認證、訪問

8、控制、數據加密以及數字簽名技術來構建一個完整的安全體系。（注：該方案只適用于B/S結構。）安全認證總體構架首先，需要為每個客戶頒發(fā)不同的CA證書?？梢酝ㄟ^自建CA中心或使用第三方CA證書管理中心（如CFCA）提供的證書服務。CA中心的職能是為用戶進行數字證書的簽發(fā)、生成和注銷，建立系統中的相互認證體系和用戶管理辦法。其次，用戶的證書保存在硬件的加密模塊里（如IC卡，USB電子鑰匙），傳輸中的加密通過硬件加密模塊實現，并通過密碼進行保護。建議對關鍵用戶采用USB電子鑰匙。然后，WEB服務器和客戶端之間通過證書身份認證后，在公共網絡上建立SSL/TLS安全通信通道，對所有通信數據進行加密傳輸。最后

9、，采用身份控制的登錄方式訪問被授權的網頁（不同的用戶登錄不同的網頁），建立加密的安全通道，用戶需要在表單上做數字簽名操作，然后返回數字簽名是否被驗證成功的結果。CA認證及密鑰管理利用數字證書進行用戶身份認證和信息加密是網絡結算系統的安全基石。證書的作用：證書是由CA中心頒發(fā)的，包含擁有者的信息及秘鑰的數字文件。它的作用簡而言之就是數字簽名和加密（解密），來保證信息的完整性、機密性和不可抵賴性。用戶端證書的存放：為了保證證書的安全，證書通常存放于專用硬件中，如IC卡、電子鑰匙。（注：采用電子鑰匙，需要用戶端計算機帶有USB接口。）智能卡技術的應用智能卡或電子鑰匙與瀏覽器直接相結合的方法是當前世界

10、上公認的商業(yè)網絡安全通信中最好的客戶端解決方案，它具有一些其他方法所不具備的獨特優(yōu)點：把用戶的重要信息，包括證書、密鑰、口令、個人信息等，存放于智能卡內安全保管。卡內產生密鑰，加密處理在卡內完成，密鑰等信息是不允許從卡中讀出的，從而最大限度地保障安全。每張智能卡存放的內容都是獨特的，是不可替代的，具有代表使用者身份的意義，提供對安全責任的可管理性。智能卡的擁有者可以方便地攜帶它，可以到任何地點的計算機上去完成電子商務操作，不僅安全而且比其它方法更方便。此外，它還有同一張卡片支持多種應用、可以與多種通信軟件和卡片應用設備配合使用等顯著優(yōu)點。數字簽名及驗證系統利用密碼學的原理，數字簽名及驗證系統可

11、以保證信息傳輸的完整性和抗抵賴性。在客戶端，使用智能卡安全通信套件配合數字簽名模塊，可以對Web網頁所攜帶的表單和交易信息進行數字簽名。在服務器端，使用數字簽名驗證服務器對數字簽名進行驗證，以保證交易數據的正確性和交易的抗否認性。實現數字簽名需要對WEB應用程序進行少量修改，使得用戶提交的表單和交易信息經過數字簽名認證后再存入數據庫中。數字簽名驗證服務器提供相關API接口，供應用程序調用。（注：實現數字簽名需要一臺專用的數字簽名驗證服務器。）采用SSL安全通信通道安全套接層（SSL）是在WEB服務器與用戶瀏覽器之間的安全通道，它通過客戶端與服務器端的雙向身份認證及密鑰協商功能，來保證數據傳輸的

12、安全，目前，大多數Web服務器（如微軟IIS、Oracle Web logic）都支持SSL技術。4）審計與監(jiān)控審計是記錄用戶使用計算機網絡系統進行所有活動的過程，它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統，還能指出系統正被怎樣地使用。對于確定是否有網絡攻擊的情況，審計信息對于確定問題和攻擊源很重要。同時，系統事件的記錄能夠更迅速和系統地識別問題，并且它是后面階段事故處理的重要依據。另外，通過對安全事件的不斷收集與積累并且加以分析，有選擇性地對其中的某些站點或用戶進行審計跟蹤，以便對發(fā)現或可能產生的破壞性行為提供有力的證據。在ECM系統中，主要是通過以下幾個方面滿足企業(yè)審計與監(jiān)控的需

13、求：1、系統內的日志管理能夠記錄用戶進入某個功能節(jié)點的時間和用戶退出某個功能節(jié)點的時間，并提供用戶對日志的管理功能。上機日志使用戶對系統的使用情況有了詳細的了解，同時增強了系統的安全性。在系統中單擊【客戶化】-【系統維護】的子菜單【上機日志】，輸入查詢條件后，系統將彈出上機日志的主窗口。該窗口分左右兩個部分,左側是日志類型樹狀列表(登錄NC日志，進入節(jié)點日志，點擊按鈕日志，業(yè)務日志以及管理員日記)，右側是左側選中日志類型所對應的上機日志。如下圖：2、NC中間件提供專門的日志服務：以文本方式存取。對系統所有操作以及ECM系統發(fā)生問題的錯誤記錄。如下圖:3、ECM系統提供專門的監(jiān)控記錄管理，人員信

14、息發(fā)生變化后，都可以在系統中查詢出人員變化前后的信息。如下圖：5）網絡安全方案公司提供的安全方案來搭建網絡安全體系。系統建立好之后，用戶的訪問先經過防火墻過濾、身份驗證，防止非法用戶訪問公司數據。有訪問權限的用戶也只能訪問WEB和應用服務器，WEB和應用服務器上面安裝兩塊網卡并禁止IP轉發(fā)，一塊連接公司內部網絡，另一塊單獨連接數據庫服務器。保證沒有用戶能直接訪問到數據庫服務器。本系統采用四層保密機制：1通過防火墻及其他安全措施，保證網絡、WEB服務器的安全。將WEB服務器與應用服務器安裝于一臺物理服務器，將數據庫服務器安裝為一臺服務器。數據庫服務器放在防火墻后面，外界無法知道數據庫服務器的IP

15、，無法直接訪問數據庫服務器，保障了數據庫服務器的安全。因為所有的數據都存放在數據庫服務器中，因而，數據庫服務器是系統中最重要的機器。其安全性也最為重要。應用服務器與數據庫服務器通過標準的JDBC連接相連。而工作站無法直接連接到數據庫服務器，只能連接到應用服務器，通過中間件操作，因此應用服務器的安全也比較關鍵。首先，可以通過應用服務器的配置限制IP訪問，對于遠程用戶，可以通過設置電話回拔限制遠程電話拔號訪問。以此控制非系統內人員的訪問，對系統內人員的訪問，則主要通過應用程序的權限設置。這便要求其系統管理員的口令高度保密。而對于一般操作人員，絕對不要賦予其不必要的權限。另外，如有異常，可通過操作日

16、志了解操作員的操作情況。進行事后的追蹤。2、JAVA語言在安全方面做了嚴格的限制，保證瀏覽器操作的安全。登錄到系統的客戶無法利用象C語言的指針類似的后門來進行破壞，因為JAVA語言取消了容易產生安全問題的指針操作。另外，JAVA語言取消了直接對存儲器的存取操作，也保證了工作站不能破壞服務器的硬盤。3、大型關系型數據庫具有良好的安全性，保證數據的安全。數據庫將操作系統和數據庫的權限相結合，可對用戶授予數據庫級或表級的權限，表的授權可由一般用戶和超級用戶代理。嚴格避免前臺直接對數據庫操作?？梢酝ㄟ^數據庫權限設置、操作系統權限設置，讓一般用戶不能直接訪問服務器，而只能登錄到軟件來訪問，如此，可將操作

17、人員的范圍界定在財務操作人員，他們只能通過軟件來訪問服務器，而財務操作人員的口令一般只有局部權限，不會對系統造成破壞。4、用軟件提供了多層次的安全控制功能。包括用戶權限管理（模塊權限、功能權限、科目權限），操作日志監(jiān)控，數據的聯機備份、復制與恢復、數據傳輸加密等數據在網絡上傳輸時，進行了核心數據的加密設置（如憑證內容），系統采用DES算法，64位加密。加密算法在中間件實現。備份與恢復方案數據庫備份備份范圍1）基礎數據2）系統數據3）數據庫元數據4）系統/應用的配置信息備份方式數據庫的備份應保證系統的基礎數據以及用戶信息等資料不丟失，能夠在基礎數據系統遭到破壞時迅速恢復，盡量避免或減少數據的丟失

18、，將損失降低到最小程度。通常數據庫備份有以下三種：1）物理備份指在數據庫關閉的情況下對數據文件、控制文件等的備份。物理備份的特點是基本與數據庫操作無關，通?？梢岳矛F成的操作系統工具（如UNIX中的TAR命令）很方便地實現。2）邏輯備份在數據庫正常使用的情況下對數據庫對象進行的備份。日常進行邏輯備份的意義在于必要時可以進行“對象或行恢復”。例如如果有人誤刪除一個表或表中若干行時，很難從物理備份中恢復這個表或這些行，這時一個邏輯備份就是有益的和必要的。3）聯機備份在數據庫打開并且對用戶開放時對數據庫文件、控制文件等的備份，備份時數據庫可以繼續(xù)正常操作。采用靈活的備份方式，保證能夠將系統恢復到故障

19、點之前的狀態(tài)。應用軟件備份應用軟件的備份是為了保證在應用系統癱瘓時迅速恢復。應用軟件的備份可通過操作系統和內置磁帶機設備完成。考慮到應用軟件版本更新、升級頻繁，各部分程序模塊經常會有程度不同的修改，需要保留以前的舊軟件版本來保證應用軟件的安全性和高可恢復性，因此，在每次版本更新升級后都需要進行備份。同時，可以考慮配置版本管理軟件對軟件進行管理。備份周期備份周期指隔多長時間進行備份，即備份的頻率。若采取每天全備份，系統資源開銷較大，每天備份的時間長?？梢詫浞輧热葸M行分類，不同類型采用不同的備份周期和備份方式。對于數據加載服務器上的數據文件，每天全備份當天傳輸來的數據文件。對于數據庫中的數據，建

20、議至少每周全備份。當出現意外時，使用上周的數據備份恢復，再重復本周的數據加載操作。對于WEB服務器和應用服務器上的數據備份，推薦每周全備份，每天增量備份。當出現意外時，使用最近一次數據全備份和每天的增量備份恢復。對于系統/應用的配置文件的備份，建議在有變動時每月分別做一次全備份，在沒有變動時無須備份。備份時間備份時間應該避開最終用戶訪問時間、數據加載和處理時間。每天的備份與晚上的批處理操作對應；每周備份建議放在周末。備份實現方法數據備份應包含兩個部分，即應用程序代碼的備份和日常業(yè)務數據的備份。應用程序代碼的備份比較簡單，一般在應用程序代碼安裝完成后做一次備份，以后在代碼更新或升級前做一次備份?？蓪浞莸奈募坛晒獗P存放或存放到異地磁盤。為保障人力資源系統7*24小時工作，我們在硬件上可以通過RAC，磁盤陣列RAID的方式進行處理，但對于誤刪表空間或者數據等錯誤我們無法通過硬件冗余的方式解決。因此，必須為數據庫制定一個方便可靠的備份策略。備份恢復的要求：快速，不影響系統響應，備份結果集小，可靠。對應的備份策略：RMAN聯機增量熱備。每半年做一個數據庫的全備份（包括所有的數據和只讀表空間） 每一個月做一次零級備份（不包含只讀表空間）每個星期做一次一級備份、每天做一次二級備份按照以上備份策略，則每天的所需要備份