安全方案.docx
《安全方案.docx》由会员分享,可在线阅读,更多相关《安全方案.docx(24页珍藏版)》请在冰豆网上搜索。
安全方案
1.1安全方案设计
1.1.1系统安全的总体规划
XXX系统集成项目是一项复杂的系统工程,系统安全是整个系统成功与否的重要环节,系统建设和运行成功将对集成工作起到至关重要的作用,因此,XXX信息化系统的安全与运维体系是系统建设的重中之重。
安全保障体系的建设,将会使XXX信息化系统变成一个安全的、透明化、可管理、可控制、可持续、稳定的系统。
1.1.2系统安全分析及策略
XXX信息化系统应注意以下安全问题:
1、如何避免用户的非授权访问;
2、如何保证数据库系统的安全;
3、如何保证系统数据访问与传输安全。
为此,必须对整个业务系统安全保护进行考虑,在方案设计中,主要通过下述安全措施来实现XXX信息化系统的安全。
1.1.2.1系统层安全
系统层安全建设包括防病毒系统建设、入侵检测系统建设、漏洞扫描、安全审计和监控:
1、防病毒系统建设。
XXX信息化系统的网络建设中包含若干服务器系统,整个网络中信息点数百。
数据库、文件数据交换、电子邮件和Intranet等计算机应用技术大量应用于系统中,核心服务器的操作系统主要使用WindowsServer/UNIX/AIX等。
面对当前日益猖獗的计算机病毒,网络环境下的计算机系统安全运行面临着严竣挑战。
为了对XXX信息化系统所有关键服务器和用户工作站进行病毒监测,建立统一的病毒监测系统,监控和防范病毒在网络中的传播,需要建立严密的网络防病毒系统。
实现通过磁盘、可移动磁盘、光盘、网络所收发文件的病毒防护,并实现客户端与服务器端相配合的网络病毒防护构架。
采用网络版杀毒软件完成对整个网络的病毒防护工作,为网络系统提供100%的安全解决方案。
2、入侵检测系统建设。
网络型入侵检测与管理系统主要用于实时监控网络关键路径的信息。
它采用旁路方式全面侦听网上信息流,动态监视网络上流过的所有数据包,通过检测和实时分析,及时(甚至提前)发现非法或异常行为,并进行响应。
通过采取告警、阻断和在线帮助等事件响应方式,以最快的速度阻止入侵事件的发生。
网络型入侵检测与管理系统能够全天候进行日志记录和管理,进行离线分析,对特殊事件进行智能判断和回放。
3、漏洞扫描
就系统的安全状况而言,系统中存在着一定的漏洞,因此也就存在着潜在的安全威胁,但是,如果能够根据具体的应用环境,尽可能早地通过网络扫描来发现这些漏洞,并及时采取适当的处理措施进行修补,就可以有效地阻止入侵事件的发生。
应该就以下标准选用漏洞扫描工具
●是否通过国家的各种认证
●漏洞数量和升级速度
●产品本身的安全性
●是否支持CVE国际标准
●是否支持分布式扫描
4、安全审计和监控
安全监控审计系统作为解决网络安全问题的有力的工具,能够严格监控和记录XXX信息化系统内部各台计算机的使用情况,具有强大的屏幕快照、网络管理、实时跟踪、运行统计、历史归档,设备管理等功能。
根据管理员事先的设定,自动截取工作站的屏幕快照、应用程序运行和浏览互联网的情况,并可以根据用户需要回播这些记录来报告工作站的工作状况,可以让管理员随时了解系统内计算机用户的资源利用情况。
安全监控审计系统主要实现以下目标:
对网络用户进行安全监视和行为审计;从网络通信和外接设备等方面进行信息传输复制限制;管理系统资源防止受到攻击;加固系统,分发补丁。
防病毒系统建设、入侵检测系统建设、漏洞扫描、安全审计和监控已经在纳入XXX信息化系统机房整体建设当中。
1.1.2.2数据备份与恢复
XXX信息化系统特点:
多种运行环境,既有应用软件又有数据库软件。
出现故障要迅速即时恢复数据及业务。
基于以上系统特点设计采用Host-Based和Lan-Free方式对数据进行备份。
结构图如下:
Host-Base:
每个服务器都利用自身的操作系统命令将操作系统定期备份到磁带机上。
对操作系统进行Host-Based的备份方式,数据量都不大,且由于系统一般变化较小,一般一季度进行一次即可。
系统一旦出现故障,先用传统的Host-Based方式恢复系统
LAN-Free:
将服务器对应的应用数据根据统一的备份策略备份到带库上。
因为业务数据大,一旦出现故障,可以通过SAN存储网络进行快速恢复。
对备份软件的要求:
备份管理软件能够实现定时自动备份、备份到磁带库和VTL系统、能实现全备份和增量备份等多种备份方式,每天能够进行TB级的数据备份,能够管理几十或上百TB的备份数据,具备高性能的介质信息管理数据库和适应各种主流数据库,支持磁带容灾能力,具备集中备份管理能力等。
1.1.2.3网络数据传输加密
证书系统即证书管理系统,该系统利用PKI公钥体系,是一种遵循既定标准的密钥管理平台,它是为所有网络应用提供加密和数字签名等密码服务的一种密钥和证书管理体系,建立公钥基础设施的目的是管理密钥和证书。
通过PKI对密钥和证书的管理,XXX信息化系统可以建立并维护可信赖的网络环境。
PKI使加密和数字签名服务得到广泛的应用。
XXX信息化系统采用的证书系统使用成熟的已经通过鉴定的服务器密码机和数据加密卡做加解密运算,保证高密级的信息安全。
系统认证中心的密钥均存储在加密设备内。
XXX信息化系统与银行存在资金结转,可以通过PKI/CA的交叉证书来保证资金安全,第三方CA的认证支持自建和托管的方式。
1.1.3系统安全解决方案
1.1.3.1安全风险分析
物理安全风险:
物理安全风险主要包括环境安全风险、设备安全风险、记录介质安全风险等。
环境安全风险主要指物理设备所处环境的安全风险,例如:
机房周边环境的安全风险、机房火险、机房水险、供配电异常、空调系统失灵、电磁干扰、地震、雷击、静电等等。
设备安全风险主要是指设备的被盗、被损和不可用的安全风险。
记录介质安全风险主要是指各类记录介质被盗、被损、非法拷贝等等。
这些安全隐患都可能导致系统崩溃、数据丢失、信息泄漏等等,造成无法挽回的损失。
网络安全风险:
主要从两个方面分析:
第一个方面是内部网络,主要是指内部网络用户基于内部的局域网环境,非法访问主机系统和业务应用系统引起的系统工作异常甚至崩溃、信息数据泄密和破坏等风险。
第二方面是办公网用户访问内部网络,由于本系统所提供的业务功能中允许办公网某些用户因业务需要访问本系统,内部网络与办公网存在物理上的连接,同时,办公网与Internet连接,增加了网络安全风险。
主要表现为:
①恶意攻击;②线路窃听;③会话窃夺;④IP地址欺骗等。
系统安全风险:
操作系统本身的漏洞和缺陷、用户权限设置不合理、一些不安全协议的使用等等这些因素都构成对系统的威胁;应用系统漏洞及其设计缺陷等等也会引起系统的安全风险问题;病毒是威胁系统安全的一个主要方面;此外,系统备份认识不足也是系统安全隐患。
数据安全风险:
数据安全风险主要包括防止数据被破坏、窃取和非法使用等。
数据安全风险和系统安全风险往往具有相关性。
管理安全风险:
安全意识淡薄、管理制度不健全等等都可能构成安全隐患。
种种事件表明,多数企业机密泄漏事件是由于企业内部相关人员对个人密码的保护上重视程度不够,甚至在利益的驱使下直接将企业内部信息泄漏出去。
1.1.3.2安全策略原则
安全策略的制定主要把握以下几个方面的基础原则:
1、可用性:
确保授权实体在需要时可以访问数据和进行操作。
防止因为系统本身资源出现问题或攻击者非法占用资源导致授权实体不能正常工作;
2、机密性:
确保信息不暴露给未授权的实体或进程。
应该对用户采用权限管理,防止信息的不当泄漏;
3、完整性:
只有授权实体或进程才能修改数据,并且能够对数据进行完整性验证,判别出数据是否已被篡改;
4、可审查性:
使每个授权实体的活动都是唯一标识和受监控的,对其操作内容进行跟踪和审计。
为出现的安全问题提供调查的依据和手段;
5、不可抵赖性:
不可抵赖性主要指数据的原发者对所发送的数据不可以否认。
系统应能提供数据原发者的不可抵赖机制,约束和防止数据原发者的抵赖行为;
6、可控性:
可以控制授权范围内的信息流向及行为方式。
在具体的实施中主要遵循以下几个原则:
1、需求、风险、代价平衡的原则
对任何系统和网络,绝对安全难以达到,也不一定是必要的。
对面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
2、综合性、整体性原则
应用系统工程的观点和方法进行分析,一个较好的安全措施往往是多种方法适当综合的结果。
要从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。
3、使用简便原则
安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性,更重要的是措施的采用不能影响系统的正常运行。
1.1.3.3安全级别管理
安全级别管理主要负责安全级别的增加、删除、修改、保存操作,安全级别管理主要用于用户管理中用户安全级别的设置,是对用户密码的约束,主要包括缺省密码、最低长度、有效天数、密码过期策略、是否强制修改、有效提示天数及验证类等属性。
下面简要介绍各个属性意义。
缺省密码:
定义安全级别的默认密码,如果用户设置了安全级别,则自动将用户密码设为此安全级别的默认密码。
最低长度:
用户修改密码时使用,修改密码时密码长度必须大于安全级别设置的最低长度。
有效天数:
密码的有效天数,超过天数,系统将提示用户修改密码。
密码过期策略:
用户输入密码次数大于最多次数的处理策略,提供10分钟后可以重试、20分钟后重试、1小时后重试和锁定四种可选方式。
用户锁定后需要联系管理员将其解锁后用户才能登陆。
是否强制修改:
用户第一次登陆时,是否强制修改密码。
有效提示天数:
用户密码还差多少天到期开始提示用户修改密码。
验证类:
用户修改密码时,对输入密码的验证类。
例如要求密码必须为数据和字母的组合。
1.1.3.4系统登录安全、系统单点集成安全
用友门户集成业务系统后,通过门户登录应用系统。
满足:
1、登录支持USB-Key、能够防止暴力破解用户密码;
2、单点登录安全,密码传输过程被加密。
用友帮助江苏XXX公司通过实施建立企业级的单点登录系统和安全防护系统,为江苏XXX公司用户提供统一的信息资源认证访问入口,建立统一的、基于角色的和个性化的信息访问、集成平台;通过实施单点登录功能,使用户只需一次登录就可以根据相关的规则去访问不同的应用系统,提高信息系统的易用性、安全性、稳定性;在此基础上进一步实现企业用户高速协同办公和企业知识管理功能。
江苏XXX公司各个业务系统大都采用异构系统(在不同平台上建立不同应用服务器的业务系统)。
因此,在确保业务系统独立运行的前提下,要解决单点登录,需要满足如下需求:
1、对多个系统实现单点登录功能的需求;
2、业务系统可以在不同的硬件架构中的需求;
3、业务系统可以为异构系统,其运行的操作系统平台和应用服务器可以各部不同,客户端可以使用不同的浏览器的需求;
4、门户登录支持用户名/口令认证、CA证书认证、还能实现少数用户通过USBKEY等硬件认证的需求;
5、最少化改动现有的应用模式和业务系统的需求;
6、对后续的业务系统扩充和扩展有良好的兼容性的需求;
7、安全防护企业业务系统、以及内部网络用户的需求;
8、提供多方位的安全防护功能和审计功能的需求。
登录安全性方案
由于搭建门户系统后,所有的业务系统访问将从门户一点进入,为了保证门户登录的安全性,考虑部分重要用户登录门户采用Usb-key的方式。
要求Usb-key提供一个ActiveX控件,门户登录时后台生成挑战码(一串随机字符串)发送到前台,门户通过js代码调用ActiveX控件对挑战码进行加密,随用户名、密码一同发送到Portal服务器,门户调用后台的服务对加密后的挑战码进行解密,同时和保存在后台的原始挑战码进行对比,如果一致,认为在整个登录过程中没有对登录信息进行过篡改,登录过程安全。
是否插入Usb-key由门户系统检测,由Usb-key厂商负责提供探测的方法,如果检测到插入Usb-key才对挑战码进行加密,否则按照默认的方式提交用户名和密码。
B/S架构系统单点集成方案
Portal最有价值的应用之一就是系统集成,NC-Portal提供了完善的第三方系统集成方案,如下图所示,可以根据第三方系统的要求提供各种方式和安全级别的集成方案。
如下图所示:
用友Portal基于B/S架构的主要集成关键内容包括:
基于凭证式的高安全级别
Portal的SSO方案是基于凭证的思想设计。
对于portal集成的每个第三方系统都有一个制作凭证的页面,该页面用于当前登录的portal用户输入对应的第三方系统的用户信息,在正常情况下,该制作凭证的页面最多出现一次。
当用户输入的第三方系统登录信息进行验证后,会自动在portal系统的数据库中建立一对凭证槽和凭证信息,这对信息记录了portal用户在特定的portal布局和特定的portlet下,与该第三方系统的身份对应关系。
当该用户之后登录portal并进入被集成第三方系统时,portal系统负责获取之前成功建立的对应第三方系统身份信息,并用该身份信息进行第三方系统的身份认证。
这一切的操作对当前登录用户来说都是透明的,他们看到的是没有输入任何身份信息而以正确的身份进入了第三方系统。
另外,在用户每次登录第三方系统时,都会根据第三方系统的要求进行身份认证,因此这个登录过程是安全的。
制作凭证的高安全级别集成:
“凭证”就是portal系统的用户和被集成的系统的用户之间的一个对照关系,当第一次登录被集成的系统时,portal会自动查询是否存在该凭证关系,如果不存在portal集成框架会根据配置的单点登录信息弹出如下界面,要求输入第三方系统的登录信息进行凭证的制作。
下次登录该系统,如果凭证存在,会直接进入该系统。
Portal集成框架在每次进入第三方系统前会负责将第三方系统的用户名和密码及登录要求的信息传给第三方系统配置的认证地址做用户认证,如果该用户认证通过,第三方系统会返回给Portal集成框架一个成功标示,那么即可直接进入第三方系统,否则无法进入。
在这个过程中,如果第三方系统对安全级别的要求比较高,那么当用户认证通过后第三方系统可以维护一个令牌,并将该令牌返回给Portal,并且可以设置持有该令牌在一定的时间内访问本系统有效(比如:
10秒),Portal系统会获取在单点登录信息中配置的gateUrl并且必须持有该令牌串才能安全进入第三方系统。
如果安全级别稍低,那么返回一个无时间限制的令牌,Portal系统会获取在单点登录信息中配置的gateUrl并且拼接该令牌串进入第三方系统。
基于企业服务总线(ESB)高安全级别
门户系统和ESB无缝集成,可以轻松搭建基于ESB的企业信息门户完成单点登录过程。
一、总体认证流程
1、客户机向集成子系统发出认证请求;
2、应用系统获取用户的帐户和密码信息后,调用企业服务总线的认证服务接口,进行用户身份认证;
3、认证接口确定用户身份信息后,生成用户令牌(一个固定长度的字符串,在本次会话的过程中可以在参与应用集成的系统范围内唯一的标识用户的身份);
4、集成子系统可以通过用户身份令牌,调用企业服务总线的用户信息获取服务接口;
5、总结确认用户令牌后,返回用户的帐户信息;
6、集成系统通过用户的帐户信息,找到该用户的对应权限,引导用户进入系统。
二、集成系统统一身份认证改造
将原有的认证逻辑,改为调用企业服务总线上的用户帐户认证服务接口。
用户帐户数据获取改为调用服务总线上的用户身份获取接口。
三、单点登录流程
1、用户进入门户系统后,请求进入其它系统;
2、门户系统引导用户进入其它系统;
3、其它系统接收用户身份令牌信息;
4、其它系统使用用户身份令牌向服务总线的用户信息获取服务接口请求用户帐户信息;
5、总线接口返回帐户信息;
6、系统获取用户权限后,引导用户登录进入系统。
只要用户进入了门户系统,他就可以不需要再次认证直接进入其它任何参与了单点登录改造的系统。
此次设计采用了以门户系统为中心,进行单点登录的改造方案,以减小对其它系统的影响。
基于IFramePortlet中安全级别
采用IFramePortlet进行中安全级别系统集成:
像一些企业内部论坛系统,仅需要提供员工号,或者输入员工名即可进入的系统,可以采用IFramePortlet来集成。
采用如下形式:
?
name=[name]&password=[password]&staffcode=[staffcode],管理员在Portlet管理中加入IFramePortlet,url属性配置为此种形式,并且禁止该Portlet编辑,添加该Portlet到相应的布局中,在进入该系统时,Portal会负责把[name]替换为当前Portal用户的用户名,[password]替换为当前Portal用户的密码,[staffcode]替换为当前Portal用户的员工号,这样该url请求的系统即可呈现出来。
低安全级别
采用IFramePortlet进行低安全级别系统集成:
像一些简单的企业内部web系统,是不受权限控制的,可以采用该portlet,通过简单配置url属性的方式进行快速的集成。
1.1.3.5用户权限管理安全
用户管理
提供用户、组织、角色、权限等数据模型的维护和服务;通过一致的引擎接口可以达到完成获得和维护用户信息、用户相关的组织信息、岗位信息、角色信息等。
●组织机构:
建立机构同时对所建立的基本信息进行维护。
●职务级别:
建立基本信息,同时对所建立的基本信息进行维护。
●岗位名称:
定义岗位,同时对所建立的基本信息进行维护。
●人员权限:
定义人员基本信息和权限,包含用户标识、登录口令、用户名称、年龄、性别、电子邮箱、单位、部门、职位等。
同时对所建立的人员进行权限的定义。
●自定义组:
根据工作需要可以将人员进行组合,形成工作组。
●支持在权限范围内管理用户帐号增加、开通与关闭、初始化权限、初始化密码、角色赋予、修改和删除等操作。
●支持员工自由修改密码;支持用户把自己拥有的职责和管理权限逐级分配给下属。
按照组织机构、岗位、角色、用户等综合权限配置,可以方便快捷的对权限进行强大分级处理。
●员工可以设定自己当前或即将工作状态,如工作、请假、休假、出差等,能让其他同事知道该员工的状态以方便工作交流。
新员工入职登录系统后,可对自己的个人可修改的信息(如联系方式等)进行修改或添加;支持新员工对系统模块的实习操作。
权限管理
●系统合法用户等级及权限可精确到组织结构、数据库表、操作对象的范围,可精确到每一个数据项的只读、删除、添加、修改等功能的设定,达到有效分级、分类管理的目的。
●<强调分级授权体系>
●系统允许建立多个管理员账号,对于不同的管理员可以有不同操作权限和范围。
●可以对系统中不同员工可以赋予不同操作权限。
●为简化权限管理操作,系统应支持角色管理,并提供角色授权功能。
●具备数据库备份功能及系统恢复、初始化的功能,维护数据的工作灵活、简便、安全。
●系统应实现上级单位根据管理需要批量为下级单位制订权限的功能。
应提供对系统中现有权限列表打印的功能
1.1.3.6安全审计
安全审计采用平台提供的应用系统监控软件实现对应用系统用户活动的监控,对用户访问环境统计业务系统的行为进行跟踪,并记录在用户行为日志里面,为应用系统的排错提供重要的信息,系统管理员可以设置用户行为审核的策略,包括错误日志审核、成功日志审核。
1.1.3.7网络安全
一、网络数据流
UFIDAUAP提供SSL机制对在网络上传输的数据进行加密,提供数据流的认证、机密性和完整性,以防敏感数据在传输过程中被泄露及篡改。
使用SSL,可进行客户端与服务端的双向认证。
SSL使用RSA加密算法来对通信双方进行认证;使用对称加密算法对传输的数据进行成批的加密;使用加密散列函数加入完整性检查方式来保护每个数据报。
二、访问控制
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法访问和使用。
它是维护网络安全、保护网络资源的重要手段。
1、入网访问控制
入网访问控制为网络访问提供了第一层访问控制。
它控制谁、什么时间、在哪个工作站入网登录到服务器并获取网络资源。
用户的入网访问控制可分为三个步骤:
用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。
用户口令必须经过加密,加密的方法很多,其中最常见的方法有:
基于单向函数的口令加密,基于测试模式的口令加密,基于公钥加密方案的口令加密,基于平方剩余的口令加密,基于多项式共享的口令加密,基于数字签名方案的口令加密等等。
经过上述方法加密的口令,即使是系统管理员也难以得到它。
还可采用便携式验证器(如智能卡)来验证用户的身份。
此外,应限制用户入网的工作站数量、对所有用户的访问进行强审计,以及如果多次输入口令不正确,那么认为是非法用户入侵,应给出报警信息。
2、网络的权限控制
网络的权限控制是针对网络非法操作所提出的一种安全保护措施。
赋予用户和用户组一定的权限,控制用户和用户组可以访问哪些目录、子目录、文件和其他资源,指定用户对这些文件、目录、设备等能够执行哪些操作。
实现方式主要有两种:
权限管理者指派和继承权限屏蔽。
3、目录级安全控制
用户在目录一级指定的权限对所有子目录和文件有效,用户还可进一步指定对目录下的子目录和文件的权限。
对目录和文件的访问权限一般有八种:
(1)管理员权限(Supervisor)
(2)读权限(Read)
(3)写权限(Write)
(4)创建权限(Create)
(5)删除权限(Delete)
(6)修改权限(Modify)
(7)文件查找权限(FileScan)
(8)存取控制权限(AccessControl)
八种访问权限的有效组合可以让用户有效地完成工作,同时又能很好地控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。
4、属性安全控制
属性安全在权限安全的基础上提供更进一步的安全性。
当使用文件、目录和设备等时,应给文件、目录和设备等指定访问属性。
网络上的资源应预先标出一组安全属性。
同时,用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。
属性设置可以具有覆盖性。
属性安全控制还可以保护重要的目录和文件,防止用户对目录和文件的误操作。
5、网络服务器安全控制
网络允许在服务器控制台上执行一系列操作。
用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。
网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
6、网络监测和锁定控制
网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。
如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该帐户将被自动锁定。
7、网络端口和节点的安全控制
网络中服务器的端口使用自动回呼设备、静默调制解调器等加以保护,并以加密的形式来识别节点的身份。
自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。
网络还可对服务器端和客户端采取控制,在对用户的身份进行验证之后,才允许用户进入客户端,然后,用户端和服务器端再进行相互验证。
解决方案:
建立XXX网络访问控制程序规范,尤其是要加强对服务器的访问控制管理。
UFIDAUAP采用了基于用户角色和对象权限的访问控制。
把对象根据一些对象属性(表格中的行或字段)来分组,形成对象访问组。
定义合法访问对象组中元素所需的操作,形成
升级会员 