系统安全设计原则.docx

1、系统安全设计原则系统安全设计和备份原则系统安全和系统备份是系统设计中非常重要的一个部分，主要包含以下几个方面。系统安全设计项目对信息安全性主要关注三大方面：物理安全、逻辑安全和安全管理。1、物理安全是指系统设备及相关设施受到物理保护，使之免糟破坏或丢失。2、逻辑安全则是指系统中信息资源的安全, 它又包括以下三个方面：保密性、完整性、可用性。3、安全管理包括各种安全管理的政策和机制。针对项目对安全性的需要，我们将其分为5个方面逐一解决：应用安全1、管理制度建设旨在加强计算机信息系统运行管理，提高系统安全性、可靠性。要确保系统稳健运行，减少恶意攻击、各类故障带来的负面效应，有必要建立行之有效的系统

2、运行维护机制和相关制度。比如，建立健全中心机房管理制度，信息设备操作使用规程，信息系统维护制度，网络通讯管理制度，应急响应制度，等等。2、角色和授权要根据分工，落实系统使用与运行维护工作责任制。要加强对相关人员的培训和安全教育，减少因为误操作给系统安全带来的冲击。要妥善保存系统运行、维护资料，做好相关记录，要定期组织应急演练，以备不时之需。3、数据保护和隐私控制数据安全主要分为两个方面：数据使用的安全和数据存储的安全。数据保护旨在防止数据被偶然的或故意的非法泄露、变更、破坏，或是被非法识别和控制，以确保数据完整、保密、可用。数据安全包括数据的存储安全和传输安全两个方面。为了保证数据使用过程的安

3、全，建议在系统与外部系统进行数据交换时采用国家相关标准的加密算法对传输的数据进行加密处理，根据不同的安全等级使用不同的加密算法和不同强度的加密密钥，根据特殊需要可以考虑使用加密机。数据的存储安全系指数据存放状态下的安全，包括是否会被非法调用等，可借助数据异地容灾备份、密文存储、设置访问权限、身份识别、局部隔离等策略提高安全防范水平。为了保证数据存储的安全可以使用多种方案并用，软硬结合的策略。同城的数据同步复制，保证数据的安全性同城的数据同步复制，保证数据的安全性同场数据复制不但可以保证数据的备份的速度，同时可以支持数据的快速恢复。生产环境的数据存储系统可以使用磁盘冗余阵列技术。当前的硬盘多为磁

4、盘机械设备，因生产环境对系统运行的持续时间有很高要求，系统在运行过程中硬盘一旦达到使用寿命就会出现机械故障，从而使等硬盘无法继续工作。生产环境的数据存储设备如果没有使用磁盘冗余阵列技术，一旦硬盘出现机械故障将会造成将会生产环境数据的丢失，使得整个系统无法继续运行。4、审计本项目的技术支撑技术提供了强大的审计功能，采用审计各种手段来记录用户对系统的各种操作，例如成功登录，不成功登录，启动事务，启动报表，登录次数时间等等，这些信息全部记录在系统日志中，没有任何信息会记录在客户端，用户可以根据需求随时查看和分析这些信息。应用支撑平台还提供了其他手段来跟踪指定用户的操作以及对系统进行的变更,只有相应的

5、授权用户和管理员可以查看这些日志进行分析。根据用户的要求，应用平台可以记录各种谁、何时、作了什么的信息。每条记录均有用户ID，日期，输入的数据，本地时间等等。审计功能的中央监控模式可以将系统和业务数据作为监控源，同时利用标准接口，支持监控第三方系统，或者将审计功能集成到其他监控系统中。监控信息和日志可以被管理员以及相应的授权用户查看和分析。5、抗抵赖系统的日志管理功能对所有重要操作都有详细的记录，内容包含操作人员的登录ID、操作时间、IP地址、操作结果等信息。防止系统使用者为谋取不正当利益采取的否认操作的行为。协同安全1、认证联盟身份认证是当前信息系统需要解决的首要问题，目前很多系统都采用了自

6、行设计和开发自有身份认证系统，这样的身份认证系统不但安全没有保障，同时也不符合一定有标准规范，很难与其它系统进行集成。应用支撑平台的权限控制技术支持多种身份认证规范，可以很方便的与其它系统进行集成。2、消息安全数据传输交换过程中，传输的数据不法分子有可能被截获、破译、并有可能被篡改，应用支撑层的技术支持多种数据加密和数据签名技术，可以有效保证数据的安全性和可靠性。3、安全协同项目对系统间服务调用的完整性和机密性提出了很高的要求，应用支撑层的技术支持多种安全策略用以解决WEB服务调用的安全性问题。4、信任管理应用支撑层的技术支持PKI安全基础设施用户访问安全1、身份管理用户管理和身份认证是项目安

7、全部分的重要组成部分，我们建议采用集中式的用户管理方式。因为生产环境用户访问量非常大，原始的、采用数据库查询的认证方式显然无法满足性能的要求，我们建议采用LDAP目录服务器做为身份认证信息的存储服务器。因为LDAP自身的技术特点，可以很好的解决查询的性能问题，利用应用支撑层的技术开发的辅助功能，可以最大限度的优化身份管理和认证的速度。2、认证和单点登陆项目是一个有着复杂接入方式的系统，同时要求提供多种身份认证方式，应用支撑层的技术支持基本于LDAP服务器的查询式身份权限认证，也支持基于证书的身份权限认证，同时支持其它标准的身份认证规范。应用支撑层的技术支持单点登陆，身份权限信息统一维护，用户只

8、需登录一次即可完成各子系统的身份认证信息的审核，无需多次登录系统。3、访问控制按用户身份及其所归属的某预定义组来限制用户对某些信息项的访问，或限制对某些控制功能的使用。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。架构安全1、物理安全旨在保护计算机服务器、数据存贮、系统终端、网络交换等硬件设备免受自然灾害、人为破坏，确保其安全可用。制定物理安全策略，要重点关注存放计算机服务器、数据存贮设备、核心网络交换设备的机房的安全防范。其选址与规划建设要遵循GB9361计算机场地安全要求和GB2887 计算机场地技术条件，保证恒温、恒湿，防雷、防水、防火、防鼠、防磁、防静电，加装

9、防盗报警装置，提供良好的接地和供电环境，要为核心设备配置与其功耗相匹配的稳压及UPS不间断电源。根据需要对机房的进行电磁屏蔽，防止电磁泄露，预防主机受到外界的恶意电磁干扰和信息探测。2、网络传输安全网络传输安全分网络访问安全和网络数据传输安全两个部分。网络访问安全技术是为了有效保护物理网络不被非法访问而采取的保护技术。网络访问安全主要使用防火墙技术和代理技术，外部设备不能直接接入到物理网络，必须经过防火墙或代理服务器才可以访问网络。数据安全不能只关心数据加身的加密问题，同时还应当关注数据传输途径的的安全问题。项目对数据传输安全提出很高的要求主，核心征管系统与外部系统进行数据交换时不但要使用数据

10、加密技术加密数据本身，同时还应当使用SSL、SNC等安全协议进行数据传输以保证数据的安全，预防网攻击。3、平台安全平台安全是指项目所使用的系统级软件的安全，主要包括操作系统安全、中间件安全、数据库系统安全、病毒检查等方面。4、系统安全系统安全是指系统间通信的安全问题，为保证系统间的通信安全建议使用SSL等安全协议进行数据通信。5、终端安全终端安全是访问项目及其配套软件、服务器的终端设备的安全。终端安全是整个系统安全中最薄弱的环节，建议采取以下措施来加强终端安全：1）控制接入网络2）网络访问控制3）验证最低限度的信任4）只允许可信终端访问系统5）对终端与系统交换的数据进行加密，采用安全协议进行通

11、信。软件生命周期安全1、安全开发软件开发过程的安全管理主要体现在开发标准方面，主要手段包括：开发规范和代码检查。2、默认安全配置默认安全配置是指为了保证系统运行的所需安装的最少软件和相关设置。3、发布安全SWORD应用支撑的权限控制功能提供系统方案用于解决发布安全问题。4、变更安全管理旨在加强计算机信息系统运行管理，提高系统安全性、可靠性。要确保系统稳健运行，减少恶意攻击、各类故障带来的负面效应，有必要建立行之有效的系统运行维护机制和相关制度。比如，建立健全中心机房管理制度，信息设备操作使用规程，信息系统维护制度，网络通讯管理制度，应急响应制度，等等。要根据分工，落实系统使用与运行维护工作责任

12、制。要加强对相关人员的培训和安全教育，减少因为误操作给系统安全带来的冲击。要妥善保存系统运行、维护资料，做好相关记录，要定期组织应急演练，以备不时之需。信息系统相对复杂的用户、对信息系统依存度较高的用户，签订系统服务外包合同，由其提供专业化的、一揽子安全护航服务，是个不错的策略。 数据传输安全采用https协议超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息。HTTP协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息，因此HTTP协议不适合传输一些敏感信息，比如信用卡号、密码等。为了解决HTT

13、P协议的这一缺陷，需要使用另一种协议：安全套接字层超文本传输协议HTTPS。为了数据传输的安全，HTTPS在HTTP的基础上加入了SSL协议，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。HTTPS和HTTP的区别主要为以下四点：https协议需要到ca申请证书，一般免费证书很少，需要交费。http是超文本传输协议，信息是明文传输，https则是具有安全性的ssl加密传输协议。http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。http的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网

14、络协议，比http协议安全。SSL加密传输SSL（Secure Sockets Layer 安全套接层），及其继任者传输层安全(Transport Layer Security，TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。SSL 为Netscape所研发，用以保障在Internet上数据传输之安全，利用数据加密(Encryption)技术，可确保数据在网络上之传输过程中不会被截取及窃听。目前一般通用之规格为40 bit之安全标准，美国则已推出128 bit之更高安全标准，但限制出境。只要3.0版本以上之I.E.或Netscape浏览器即可支

15、持SSL。当前版本为3.0。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层：SSL记录协议（SSL Record Protocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议（SSL Handshake Protocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。SSL协议提供的服务主要有哪些1）认证用户和服务器，确保数据发送到正确的客户机和服务器

16、2）加密数据以防止数据中途被窃取3）维护数据的完整性，确保数据在传输过程中不被改变。SSL协议的工作流程服务器认证阶段：1）客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接；2）服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息；3）客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器；4）服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。用户认证阶段在此之前，服务器已经通过了客户认证，这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户

17、，客户则返回（数字）签名后的提问和其公开密钥，从而向服务器提供认证。数字签名通过数字签名技术从所传输的重要数据中生成一个128位的散列值（或数据摘要），并用自己的专用密钥对这个散列值进行加密，形成发送方的数字签名；将这个数字签名将作为传输数据的附件和数据本身一起发送给接收方，即本系统的后台应用程序；后台应用程序首先从接收到的原始加密数据中计算出128位的散列值（或数据摘要），接着再用发送方的公开密钥来对数据附加的数字签名进行解密。若两个散列值相同，那么后台应用程序就能确认该数字签名是发送方的。通过数字签名能够实现对原始数据的鉴别和不可否认性，最终达到对重要数据在传输过程中的加密。数据存储安全数

18、据备份数据备份是容灾的基础，是指为防止系统出现操作失误或系统故障导致数据丢失，而将全部或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质的过程。传统的数据备份主要是采用内置或外置的磁带机进行冷备份。但是这种方式只能防止操作失误等人为故障，而且其恢复时间也很长。随着技术的不断发展，数据的海量增加，不少的单位开始采用网络备份。网络备份一般通过专业的数据存储管理软件结合相应的硬件和存储设备来实现。本次项目可考虑采用以下的备份方式： 定期磁带远程磁带库、光盘库备份。即将数据传送到远程备份中心制作完整的备份磁带或光盘。远程关键数据+磁带备份。采用磁带备份数据，生产机实时向备份机发送关键数据。 数据

19、库备份就是在与主数据库所在生产机相分离的备份机上建立主数据库的一个拷贝。 网络数据备份这种方式是对生产系统的数据库数据和所需跟踪的重要目标文件的更新进行监控与跟踪，并将更新日志实时通过网络传送到备份系统，备份系统则根据日志对磁盘进行更新。 远程镜像通过高速光纤通道线路和磁盘控制技术将镜像磁盘延伸到远离生产机的地方，镜像磁盘数据与主磁盘数据完全一致，更新方式为同步或异步。数据备份必须要考虑到数据恢复的问题，包括采用双机热备、磁盘镜像或容错、备份磁带异地存放、关键部件冗余等多种灾难预防措施。这些措施能够在系统发生故障后进行系统恢复。但是这些措施一般只能处理计算机单点故障，对区域性、毁灭性灾难则束手

20、无策，也不具备灾难恢复能力。备份策略选择了存储备份软件、存储备份技术（包括存储备份硬件及存储备份介质）后，首先需要确定数据备份的策略。备份策略指确定需备份的内容、备份时间及备份方式。要根据自己的实际情况来制定不同的备份策略。目前被采用最多的备份策略主要有以下三种。1、完全备份（full backup）每天对自己的系统进行完全备份。例如，星期一用一盘磁带对整个系统进行备份，星期二再用另一盘磁带对整个系统进行备份，依此类推。这种备份策略的好处是：当发生数据丢失的灾难时，只要用一盘磁带（即灾难发生前一天的备份磁带），就可以恢复丢失的数据。然而它亦有不足之处，首先，由于每天都对整个系统进行完全备份，造

21、成备份的数据大量重复。这些重复的数据占用了大量的磁带空间，这对用户来说就意味着增加成本。其次，由于需要备份的数据量较大，因此备份所需的时间也就较长。对于那些业务繁忙、备份时间有限的单位来说，选择这种备份策略是不明智的。2、增量备份(incremental backup)星期天进行一次完全备份，然后在接下来的六天里只对当天新的或被修改过的数据进行备份。这种备份策略的优点是节省了磁带空间，缩短了备份时间。但它的缺点在于，当灾难发生时，数据的恢复比较麻烦。例如，系统在星期三的早晨发生故障，丢失了大量的数据，那么现在就要将系统恢复到星期二晚上时的状态。这时系统管理员就要首先找出星期天的那盘完全备份磁带

22、进行系统恢复，然后再找出星期一的磁带来恢复星期一的数据，然后找出星期二的磁带来恢复星期二的数据。很明显，这种方式很繁琐。另外，这种备份的可靠性也很差。在这种备份方式下，各盘磁带间的关系就象链子一样，一环套一环，其中任何一盘磁带出了问题都会导致整条链子脱节。比如在上例中，若星期二的磁带出了故障，那么管理员最多只能将系统恢复到星期一晚上时的状态。3、差分备份(differential backup)管理员先在星期天进行一次系统完全备份，然后在接下来的几天里，管理员再将当天所有与星期天不同的数据（新的或修改过的）备份到磁带上。差分备份策略在避免了以上两种策略的缺陷的同时，又具有了它们的所有优点。首先

23、，它无需每天都对系统做完全备份，因此备份所需时间短，并节省了磁带空间，其次，它的灾难恢复也很方便。系统管理员只需两盘磁带，即星期天的磁带与灾难发生前一天的磁带，就可以将系统恢复。在实际应用中，备份策略通常是以上三种的结合。例如每周一至周六进行一次增量备份或差分备份，每周日进行全备份，每月底进行一次全备份，每年底进行一次全备份。4、日常维护有关问题备份系统安装调试成功结束后，日常维护包含两方面工作，即硬件维护和软件维护。如果硬件设备具有很好的可靠性，系统正常运行后基本不需要经常维护。一般来说，磁带库的易损部件是磁带驱动器，当出现备份读写错误时应首先检查驱动器的工作状态。如果发生意外断电等情况，系

24、统重新启动运行后，应检查设备与软件的联接是否正常。磁头自动清洗操作一般可以由备份软件自动管理，一盘dlt清洗带可以使用20 次，一般一个月清洗一次磁头。软件系统工作过程检测到的软硬件错误和警告信息都有明显提示和日志，可以通过电子邮件发送给管理员。管理员也可以利用远程管理的功能，全面监控备份系统的运行情况。网络数据备份系统的建成，对保障系统的安全运行，保障各种系统故障的及时排除和数据库系统的及时恢复起到关键作用。通过自动化带库及集中的运行管理，保证数据备份的质量，加强数据备份的安全管理。同时，近线磁带库技术的引进，无疑对数据的恢复和利用提供了更加方便的手段。希望更多的单位能够更快地引进这些技术，

25、让系统管理员做到数据无忧。5、存储数据备份恢复随着各单位局域网和互联网络的深入应用，系统内的服务器担负着关键应用，存储着重要的信息和数据，为领导及决策部门提供综合信息查询的服务，为网络环境下的大量客户机提供快速高效的信息查询、数据处理和internet等的各项服务。因此，建立可靠的网络数据备份系统，保护关键应用的数据安全是网络建设的重要任务,在发生人为或自然灾难的情况下,保证数据不丢失。数据访问监控本系统可借助两种方式实现对数据访问的监控：1、通过支撑体系的日志管理和行为审核功能，对进行数据访问的功能日志进行查询，及时发现和排除安全隐患；2、通过专业的数据库监控软件对数据库连接、磁盘剩余空间、CPU占有率、进程数量等参数进行监控。关键数据加密系统的关键数据包括所有用户的登录密码、权限信息、重要的配置信息等。本系统在开发过程中将根据需要提供三种对关键数据的加密方式：1、在程序语言中先对数据进行加密后再把加密后的数据保存在数据库中；2、利用数据库本身的加密密码函数或加密程序包，在SQL代码中调用加密密码函数对数据进行加密后保存；3、编写扩展存储过程的外部DLL文件实现加密，然后由SQL代码调用加密功能实现数据加密。