数据安全方案.docx

1、数据安全方案数据安全方案一数据安全概念 数据安全存在着多个层次，如：制度安全、技术安全、运算安全、存储安全、传输安全、产品和服务安全等。对于计算机数据安全来说：制度安全治标，技术安全治本，其他安全也是必不可少的环节。数据安全是计算机以及网络等学科的重要研究课题之一。它不仅关系到个人隐私、企业商业隐私；而且数据安全技术直接影响国家安全。二. 公司概况 目前公司对于数据安全方面基本只是依赖于托管的机房和阿里云的基本安全保护，并没有我们自己的安全保护措施，或者只有基本的安全保护措施。 托管机房服务器众多，不会有特别完全的数据安全保护措施。另外，即便其提供系统的安全保护措施，其内部众多服务器不能保障全

2、部没有病毒或者黑客程序，其内部病毒依然需要防护。 至于阿里云，我们只是享有其基本的安全保护，其他比较有针对性或者高级的安全防护措施或者手段都跟服务器一样，需要我们每年缴纳相应的费用才会享有较高级的安全保护。三实际统计 宕机时间统计： 过去的一年里，济阳机房因硬件维护、网络维护及软件和系统维护等原因，总宕机时间大概在24小时以内，也就是说宕机率小于0.27%，服务器的可靠性是大于99.73%，这样的宕机率虽说不是很低了，但是在对数据安全方面就没有可靠性的保障了，这仅仅是建立在没有被恶意攻击的情况下。 对业务影响统计： 上面简单记述了一下宕机率，但是宕机或者软硬件维护等原因造成的对业务的影响就不是

3、和宕机率一致了，下面我们来简单分析一下： 每次宕机都会直接影响业务的连贯性，所以宕机时间会直接影响全部的业务系统，也就是说过去的一年里对业务的影响最少也是在24小时内，这仅仅是宕机造成的影响。再加上软件更新，系统维护，数据库，网络维护等造成的影响，这个时间远远大于24小时。经过仔细统计，预估业务影响将大于7天：宕机影响1天；网络维护1天；系统遭受攻击维护3天以上，主要原因是在虚拟化平台上各种服务器众多，网络监控机制较差造成；数据库系统等维护大于2天，原因数据库部分参数等更新重启，服务器系统监控机制较差，部分系统不能时时监控到位等。以上众多原因致使对各种业务影响总加起来的影响将大于7天。这样统计

4、下来，我们系统的业务影响率将会大于1.9%，这样可以看到我们系统应用的稳定性，可靠性都很低。 所有的业务平台都需要一个可靠稳定的后台来支撑，没有可靠稳定的后台，会对我们前台的业务发展产生很严重的影响。四. 安全结构框架 近期一直在考虑关于数据安全方面的各种事项，在数据安全方面，我们欠缺的还很多很多。从近一年的情况来看，我们最重要的是欠缺一个整体的安全管理体系，当然只是对于我们软件及服务器等运维方面来说的。近期我整合了一个关于数据安全的体系结构，下面我们来简单看一下，如下图就是我能想到的关于安全的一个体系结构的框架图。 上图是我根据一些资料以及我个人的想法建立的一个关于数据安全的一个框架图。数据

5、安全从大面来分我能想到的有这几个方面：制度安全、网络安全、物理安全、服务器安全、数据库安全以及产品和服务安全 这几个大面，也许每一个大面单独拿出来都可以从专业的角度去书写一本书，这里我就单独结合我们公司的情况简单说明一下每一个方面的事项。4.1 制度安全 制度安全指计算机拥有单位，为了保证其计算机以及计算机内存储的数据安全而制定的一套约束各工作人员和非工作的规章制度。在运维中，安全的管理制度也是重中之重，没有统一安全的管理制度，我们在所谓的安全架构安全体系都没有得到实际意义上的安全保障。拥有安全的制度，我们才能去管理和维护一个相对安全的系统。4.1.1 安全管理制度 建立安全的管理制度是所有安

6、全意义上的一个重要的环节，拥有安全的管理制度，是其他安全的重要保障。4.1.1.1 用户管理 用户管理分为使用用户、系统用户、应用用户、数据用户等的管理，按照各种用户的不同身份不同等级清晰划分用户的各种使用权限及访问范围，通过各个用户的需求不一，使用不同的权限来限制用户的访问范围。 使用用户是指对应用、系统、数据等的使用者，或者对服务器、交换机等的使用者，这类用户需要根据其对这类事物的应用范围或者用量等合理安排其权利并作详细的使用记录或者留有操作日志等。 系统用户指操作系统的各个管理用户，在操作系统中，一般linux以root用户权限最大来管理其他全部用户及文件数据等。Root用户只有运维管理

7、人员或者系统管理员才可以使用这个用户，其他人员的使用可以根据需求来创建适合需求的用户来管理其用户的数据信息等。 应用用户指应用程序的使用用户，这里需要开发人员做好相应的程序控制，不同用户在我们应用程序中所接触的数据不一样。 数据用户我这里主要针对于数据库的操作用户。 数据库的各个用户根据不同的数据需求赋予其相应的角色或者用户权限，以达到对不同系统数据的保护和保密作用。 所有用户按照其特点统一管理，根据不同用户的属性划分使用者范围及用户管理人员。其他人员需要使用用户需要跟相关的管理人员作出申请，申请审核过后，经过登记以后方可使用其申请的用户权限，其他人员在XX的情况下不得随意使用或者在有可使用权

8、限以后不能直接告诉其他XX使用的人员。4.1.1.2 密码管理 用户密码和用户一致，都需要进行统一的管理。用户及密码的获取均需要提出相应申请经过审核通过后，由管理人员登记给出用户及密码。对于密码的安保性，管理人员更需要时刻注意防止密码的外泄，在需要的情况下，可以对秘密进行加密等手段进行保密处理。4.1.1.3 网络管理 网络管理包括网络设备及网络监控等的管理，要保障网络设备安全可靠稳定的运行，例如防毒墙、防火墙等软硬件，合理管理网络设备的IP地址，账号密码等不被泄漏，合理设置防毒墙、防火墙等软硬件的过滤规则和防护等级，合理划分管理区域层次，例如安全管理区域，办公区域，网络接入区，核心交换区，中

9、心服务区，数据管理区等。对于高安全性的数据保护措施还需要划分区域边界的安全，主要包括：边界访问控制、边界完整性检测、边界入侵防范以及边界安全审计等方面。安全管理平台应实现对网络设备的集中管理，实现网络设备的升级、网络设备工作状态监管、网络流量监管、网络设备漏洞分析与加固等功能，同时具备对网络设备访问日志的统一收集和分析。4.1.1.4 应用管理 应用管理需要加强应用开发，应用代码，应用服务等的安全管理。 应用开发过程中需要有相应的代码描述和注释，统一的代码书写规范及命名规范等。对于应用代码需要保证代码的安全性，例如防止代码丢失，代码外泄，代码混淆等问题一般比较常见，一般可以通过svn等工具可以

10、从一定程度上提高安全性，但是并不是一定的，也需要从制度上和习惯上的严格要求。应用服务需要控制好安全数据的私密性，个人隐私数据及保密数据需要做加密及解密措施，以防止隐私数据的透漏。4.1.1.5 数据管理 数据管理主要针对数据库内存储的数据管理，包括数据库用户，密码，数据表空间及表的管理。根据应用系统及存储数据的性质来分配应用使用的用户及密码，划分相应的数据库表结构及表空间。做到数据同一规划，数据存储形式一致，这样既可以保证存储数据的安全性，也可以使我们数据的存储有条理性。现状是数据存储较混乱，A用户的数据存在于B用户的表空间中，这样很容易使用户的数据轻易泄露。而且在数据库中这样也很容易造成各个

11、应用之间对数据的读取消耗很多资源，更严重的就是耗时较高，应用性能的整体降低。4.1.2 流程制度4.1.2.1 流程制度规划 下面我们来简单看一下下面的一个流程规划 上图我们可以看到将我们的整体环境划分为四个大的环境，这四个大环境分别有各自的作用： 开发环境：这个环境严格规范在公司的内部环境，在这里有开发人员做主，开发人员在这个环中可以做日常的开发测试。一般情况下开发人员的代码程序都是在其本地的电脑上，而开发环境中目前只有开发测试数据库。这个环境只作为开发人员开发测试程序使用。 测试环境：测试环境的要求就相对的要较高一些了。这里的测试环境不是开发测试，这里测试环境是专门用来给测试人员进行各种功

12、能测试及性能测试的环境。环境要求至少需要生产环境减半的配置，或者最少是符合生产要求的独立环境。这个环境不涉及其他任何，只做为测试使用，这样至少保障测试环境的测试结果符合生产环境的要求。只有经过严格测试的应用，排除了大量的bug和性能问题的应用，才能说是较稳定的应用。这样这个应用才能上线。 演示环境这个环境可以适当的降低配置，但是需要保障环境的稳定运行。这个环境的主要作用是公司领导可以在公司内外跟客户做程序的演示时使用。其次测试后的正式应用一定要先都部署在这个环境中，经过领导演示，客户认可，领导审核通过以后，应用产品才可以正式上线。未审核通过的应用经过提出问题或者变更以后，由开发修正测试通过后，

13、再次在演示环境中由领导检验审核。最后全部通过的程序，才能在正式的生产环境中上线。 生产环境这个环境要求一定是能够承载5年业务数据增长量的一个可靠稳定的应用环境。并且环境的要求及软硬件的配置都需要有可靠稳定的保障。在之前的安全架构中的规划只是针对与这个环境的初步规划。生产环境的可靠稳定主要依靠前面的流程严格保障，另外就是环境软硬件的合理规范化配置。通过稳定可靠的软硬件支持及相应的技术保障生产环境的安全可靠及稳定。 4.1.2.2 规范流程 有了相应的管理，就需要去规范其管理流程，包括之前提到的用户管理，密码管理，网络管理，应用管理以及数据管理等，需要哪些资源或者权限，需要相关人员给与书面或者文字

14、性的申请审核流程，经过审核后方可确认使用。 通过流程的规范包括从开发环境到生产环境的流程，都必须按照流程来规范我们的应用程序的开发及上线，这样我们的后台环境才能有一个稳定安全的基础。4.1.2.3 流程管理 确定了流程的事项，就要严格的管理流程，相关的负责人或者部门经理要做到流程管理者的带头和监督的作用。定制了流程就要安装流程来进行，除非某种特殊的情况出现。当然，我们并不希望特殊情况的出现，毕竟无规则不成方圆。只有规则制度起了作用我们才能拥有一个健康的管理后台。4.1.3 制度申请及执行 制度的制定需要向制度监管人或者部门提出申请，审核通过后方可执行。由于之前这一块儿的欠缺，致使这部分的管理松

15、散，也造成我们后台的各种不必要的麻烦，甚至导致影响安全的生产环境。后台的安全管理必须要有相关的安全制度的建立。4.2 网络安全 在整个数据安全体系中，网络安全是最重要的一环，也是安全的第一个重要关卡大门，所有的数据信息都是通过网络来传输交互的，网络的安全是安全体系中的最重要的一环。4.2.1 传输安全4.2.1.1 网络分区根据应用部署要求和新一代数据中心建设的原则，考虑网络安全的实施，数据中心内划分为如下几个区域：1、数据管理区：集中存储、管理所有应用系统的数据。2、业务应用区：部署总局端的业务应用系统。3、支撑平台应用区：部署平台支撑应用系统（集中认证平台、电子服务平台、客户端升级系统、S

16、ession集中系统、分布式缓存系统、分布式任务调度系统）。4、数据交换区：部署电子业务平台，以供各外挂系统接口使用。5、公共服务区：部署公共服务、WEB服务和安全管理所需要的各种设置和应用系统。6、安全接入区：用于实现与互联网的安全连接和逻辑隔离，包括各种安全保障设施，以及直接向互联网用户提供服务的应用系统。7、IT管控区：用于实现对ECIQ主干系统的网络管理、安全管理、运维管理，包括各种安全保障设施和管控平台。 安全接入区域、数据管理区域、应用服务区域、IT管控区域，采用身份鉴别：主机身份鉴别和应用身份鉴别；访问控制；系统安全审计；入侵防范；主机恶意代码防范；软件容错； 数据完整性与保密性

17、、 备份与恢复等安全保护措施。 详细见下图：计算机环境保护措施安全接入区域操作系统、应用安全加固CA认证系统 内控运维管理系统入侵防御系统IPS入侵检测系统IDS漏洞扫描系统补丁管理系统网络防病毒系统安全管理平台数据备份系统 数据管理区域操作系统、数据库、应用安全加固CA认证系统内控运维管理系统入侵防御系统IPS入侵检测系统IDS数据库审计系统漏洞扫描系统补丁管理系统网络防病毒系统安全管理平台数据备份系统备份应用服务区域操作系统、数据库、应用安全加固CA认证系统内控运维管理系统入侵防御系统IPS入侵检测系统IDS漏洞扫描系统补丁管理系统网络防病毒系统安全管理平台 数据备份系统IT管控区域操作系

18、统、数据库、应用安全加固内控运维管理系统 漏洞扫描系统补丁管理系统网络防病毒系统安全管理平台对安全接入区域边界、数据管理区域边界、应用服务区域边界、IT管控区域边界采用以下安全措施：边界访问控制、边界完整性检查、边界入侵防范、边界安全审计、外部边界恶意代码防范等。4.2.1.2 网络可靠性 网络高可靠性方面需要采用构建具备高可靠性的网络结构，我们需要建设的网络要可以对业务流量实现分流，也可以互为灾备，因此需要构建可靠的硬件冗余以及网络协议冗余，在网络出现单点故障时能够自动侦测到网络的可达性，并对全网络进行宣告，通过硬件切换或软件切换实现网络的可达性，保证网络正常运行。4.2.1.3 网络负载均

19、衡负载均衡运行，在网络层面，需要将日常的业务流量均衡至整个数据中心。数据中心内采用负载均衡设备对网络数据流量进行负载分担。对于业务流量，采用全局负载均衡设备对用户访问数据中心分流，根据策略或负载情况不同用户访问不同的数据中心，分散网络流量，减少网络拥塞，提高访问和服务质量。对于数据中心内部服务器数据流量，采用本地负载均衡把数据流量合理分配给服务器群内的服务器共同负担。4.2.2 网络结构安全网络结构的安全是网络安全的前提和基础，对于北京双中心主干系统核心路由和网络设备需要进行冗余部署，避免单点故障，并考虑业务处理能力的高峰数据流量，因此需要冗余空间满足业务高峰期需要；网络各个部分的带宽要保证接

20、入网络和核心网络满足业务高峰期需要。按照业务系统服务的重要次序定义带宽分配的优先级，在网络拥堵时优先保障重要业务服务器，合理规划路由，业务服务器之间建立安全路径绘制与当前运行情况相符的网络拓扑结构图：根据所涉及信息的重要程度等因素，划分不同的网段或VLAN。重要业务系统及数据的重要网段不能直接与外部系统连接，需要和其他网段隔离，单独划分安全区域。4.2.3 网络安全审计网络安全审计系统主要用于监视并记录网络中的各类操作，侦察系统中存在的现有和潜在的威胁，实时地综合分析出网络中发生的安全事件，包括各种外部事件和内部事件，通过网络监控功能及启用网络设备日志审计，并纳入安全管理平台统一监控管理实现。

21、4.2.4 网络设备防护为提高网络设备的自身安全性，保障各种网络应用的正常运行，对网络设备需要进行一系列的安全加固措施，包括：1、对登录网络设备的用户进行身份鉴别，用户名必须唯一；2、对网络设备的管理员登录地址进行限制；3、身份鉴别信息具有不易被冒用的特点，口令设置需3种以上字符、长度不少于8位，并定期更换；4、具有登录失败处理功能，失败后采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；5、启用SSH等管理方式，加密管理数据，防止被网络窃听。同时需要部署内控运维管理系统对设备管理用户登录认证和审计，确保经过授权的管理员通过可靠路径才能登录设备进行管理操作，并对所有操作过程进行

22、审计、控制、记录，避免授权用户非法操作或误操作，保证对网络设备进行管理维护的合法性。4.2.5 通信完整性信息的完整性设计包括信息传输的完整性校验以及信息存储的完整性校验。对于信息传输和存储的完整性校验可以采用的技术包括校验码技术、消息鉴别码、密码校验函数、散列函数、数字签名等。对于信息传输的完整性校验应由传输加密系统完成，对于信息存储的完整性校验应由应用系统和数据库系统完成。4.2.6 通信保密性应用层的通信保密性主要由应用系统完成。在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证；并对通信过程中的敏感信息字段进行加密。对于信息传输的通信保密性由应用系统和数据库系统传输加密系

23、统完成。4.2.7 网络可信接入为保证网络边界的完整性，不仅需要进行非法外联行为，同时对非法接入进行监控与阻断，形成网络可信接入，共同维护边界完整性。可以将服务器的IP和MAC地址绑定，并禁止修改自身的IP和MAC地址。4.2.8 网络安全管理通信网络应当有网络安全监控、网络审计、网络备份冗余与故障恢复、网络应急处理、网络数据传输安全性保护以及可信网络设备接入，在本项目分别通过网络安全监测、网络安全审计、网络结构优化、设备加固、以及内控运维管理系统来完成。主干系统按照基本要求保护级别设计信息系统的保护环境模型，依据信息系统等级保护安全设计技术要求，按照安全计算环境、安全区域边界、安全通信网络和

24、安全管理中心等进行设计，结合管理要求，形成如下图所示的保护环境模型：4.3 物理安全在信息安全体系中，物理安全就是要保证信息系统有一个安全的物理环境，对接触信息系统的人员有一套完善的技术控制手段，且充分考虑到自然事件对系统可能造成的威胁并加以规避。简单的说，物理安全就是保护信息系统的软硬件设备、设施以及其他媒体免遭地震、水灾、火灾、雷击等自然灾害、人为破坏或操作失误，以及各种计算机犯罪行为导致破坏的技术和方法。在信息系统安全中，物理安全是基础。如果物理安全得不到保证，如计算机设备遭到破坏或被人非法接触，那么其他的一切安全措施就都只是空中楼阁。4.3.1 环境安全4.3.1.1 机房与设施安全要

25、保证信息系统的安全、可靠，必须保证系统实体有一个安全的环境条件。这个安全环境就是指机房及其设施，它是保证系统正常工作的基本环境，包括机房环境条件、机房安全等级、机房场地的环境选择、机房的建造、机房的装修和计算机的安全防护等。对系统所在环境的安全保护，如区域保护和灾难保护等在GB50174-93电子计算机机房设计规范、GA/T390-2002计算机信息系统安全等级保护通用技术要求、GB2887-2000电子计算机场地通用规范、GB9361-88计算站场地安全要求等标准中有详细的描述。4.3.1.2 环境与人员安全环境与人员安全通常是指防火、防水、防震、防振动冲击、防电源掉电、防温度湿度冲击、防盗

26、以及防物理、化学和生物灾害等，是针对环境的物理灾害和人为蓄意破环而采取的安全措施和对策。4.3.1.3 防其他自然灾害防其他自然灾害主要包括湿度、洁净度、腐蚀、虫害、振动与冲击、噪音、电气干扰、地震、雷击等。通常，当相对湿度低于40%时，被认为是干燥的；当相对湿度高于80%时，则被认为是潮湿的。过高或过低的相对湿度，对计算机的可靠性和安全性均有不利影响；洁净度主要是指空气中灰尘量和有害气体含量，它也是影响计算机可靠性和安全性的一个重要因素；计算机中的金属部分，如集成电路引脚、适配器以及各种电缆连接器、插头、接头等都会因受到腐蚀作用而损坏，包括化学物质的直接腐蚀或氧化、空气腐蚀或氧化、电解液腐蚀

27、等。鼠虫害也是造成设备故障的因素之一，窜入机房内的鼠虫会咬坏电缆，严重的会引起电源短路。据日本IECC对国内2000个用户的调查，在计算机事故中，有10%是鼠虫害造成的；振动、冲击也会带来各种各样的问题；干扰是由非预料之中的、不需要的或随机的电场、磁场、无线电信号或声音信号等造成的影响。干扰的来源有三个方面：噪音干扰、电气干扰和电磁干扰。大多数地震对计算机设施造成的损失是房屋倒塌和设备损坏，除此之外，还有人身安全威胁，应建立防灾组织和规章制度，保证地震发生后能尽快恢复正常工作。雷电损坏计算机设备也相当普遍，据报道，1983年美国很多计算机和通信设备遭到雷击损害，1985年一次雷电竟使美国一栋大

28、楼15层内的计算机全部损坏。我国某气象中心从日本引进的M-170、160大型机两次受到雷击。1986年7月19日，太原某厂PDP-11/73计算机被雷击损坏。铁道部成都铁路局引进的VAX-11机，1985年7月因雷击损坏了主机1台、终端5台。沈阳铁路局1986年4月9日因雷击损坏微机3台。在国内外，类似事件已发生多起，因此为保障计算机系统的正常运行，避免遭到来自雷电的袭击，计算机安全机房应设置避雷针，并应以深埋地下且与大地良好相通的金属板作为接地点，避雷针的引线则应采用粗大的紫铜条，或者使整个建筑的钢筋自地基以下焊接连成钢筋网作为“大地”，与避雷针相连。4.3.2 设备安全 设备安全主要包括计

29、算机设备的防盗、防毁、防电磁泄漏发射、抗电磁干扰及电源保护等。4.3.2.1 防盗和防毁当计算机系统或设备被盗、被毁时，除了设备本身丢失或毁损带来的损失外，更多的损失则是失去了有价值的程序和数据。因此，防盗、防毁是计算机防护的一个重要内容。通常采取的防盗、防毁措施主要有：设置报警器在机房周围空间放置侵入报警器，侵入报警的形式主要有光电、微波、红外线和超声波；锁定装置在计算机设备中，特别是在个人计算机中设置锁定装置，以防犯罪盗窃；计算机保险在计算机系统受到侵犯后，可以得到损失的经济补偿，但是无法补偿失去的程序和数据，为此应设置一定的保险装置；列出清单或绘出位置图最基本的防盗安全措施是列出设备的详

30、细清单，并绘出其位置图。4.3.2.2 防止电磁泄漏发射抑制计算机中信息泄漏的技术途径有两种：一是电子隐蔽技术，二是物理抑制技术。电子隐蔽技术主要是用干扰、调频等技术来掩饰计算机的工作状态和保护信息；物理抑制技术则是抑制一切有用信息的外泄。物理抑制技术可分为包容法和抑源法。包容法主要是对辐射源进行屏蔽，以阻止电磁波的外泄传播。抑源法就是从线路和元器件入手，从根本上阻止计算机系统向外辐射电磁波，消除产生较强电磁波的根源。4.3.2.3 防电磁干扰电磁干扰是指当电子设备辐射出的能量超过一定程度时，就会干扰设备本身以及周围的其他电子设备的现象。计算机与各种电子设备和广播、电视、雷达等无线设备及电子仪

31、器等都会发出电磁干扰信号，计算机要在这样复杂的电磁干扰环境中工作，其可靠性、稳定性和安全性将受到严重影响。因此，实际使用中需要了解和考虑计算机的抗电磁干扰问题，即电磁兼容性问题。4.3.3 介质安全介质安全包括媒体本身的安全及媒体数据的安全。对媒体本身的安全保护指防盗、防毁、防霉等，对媒体数据的安全保护是指防止记录的信息不被非法窃取、篡改、破坏或使用。4.3.3.1 介质的分类对介质进行分类，是为了对那些必须保护的记录提供足够的保护，而对那些不重要的记录不提供过保护。计算机系统的记录按其重要性和机密程度，可分为以下四类。(1)一类记录关键性记录这类记录对设备的功能来说是最重要的、不可替换的，是火灾或其他灾害后立即需要，但又不能再复制的那些记录，如关键性程序、主记录、设备分配图表及加密算法和密钥等密级很高的记录。(2)二类记录重要记录这类记录对设备的功能来说很重要，可以在不影响系统最主要功能的情况下进行复制，但比较困难和昂贵，如某些程序、存储及输入、输出数据等均属于此类。(3)三类记录有用记录这类记录的丢失可能引起极大不便，但可以很快复制，已留有拷贝的程序就属于此类。(4)四类记录不重要记录这类记录在系统调试和维护中很少应用。各类记录应加以明显的分类标志，可以在封装上以鲜艳的颜色编码表