系统安全解决方案.docx

1、系统安全解决方案系统安全解决方案1 系统概述1.1 系统应用领域及建设目标亚洲大药房网上药品交易平台，能通过互联网给用户提供用药咨询，产品销售。并致力打造中国健康方便的网上药品交易平台，给消费带来更多的选择。1.2 系统资产描述亚洲大药房网上药品交易平台目前的资产如下：硬件设备：IBM服务器一台。(CPU Xeon X3430 2.4GHz 4G内存，146G SAS硬盘2块)，同时做了raid 1 技术处理，保证数据的安全。软件资产：Windows 2003 r2操作系统,亚洲大药房网上交易平台 业务信息：客户档案信息、客户操作记录、安全信息和交易业务数据等； 1.3 系统业务描述通过互联网

2、向个人用户提供药品信息及对其进行网上药品销售。1.4 系统用户描述亚洲大药房网上药品交易平台平台的用户分为四类：(1) 前台管理员。（权限：查看所有交易信息的记录和日志）(2) 前台用户。（权限：包括下订单和修改、查询订单信息。）(3) 后台管理员。（权限：包括前台管理员的所有功能，并且有随时增加、修改和停止用户某些权限的功能。）(4) 监管员。(权限：查询所有订单记录和日志)2 安全需求分析2.1 总体安全需求安全需求和风险评估是制定网络系统安全策略的依据.风险分析,是指确定网络资产的安全威胁和脆弱性,并估计可能由此造成的损失或影响的过程.风险分析有两种基本方法:定性分析和定量分析.我们协助

3、制订业务网络安全策略的时候,是从全局进行考虑,基于风险分析的结果进行决策,建议究竟是加大投入,采取更强有力的保护措施,还是可以容忍一些小的风险存在而不采取措施.因此,我们采取了科学的风险分析方法对亚洲大药房网上药品交易平台平台的安全进行风险分析,风险分析的结果作为制定安全策略的重要依据之一。 根据安全策略的要求,我们协助选择相应的安全机制和安全技术,实施安全防御系统,进行监控与检测.我们认为亚洲大药房网上药品交易平台平台安全防御系统必须包括技术和管理两方面,涵盖物理层,系统层,网络层,应用层和管理层各个层面上的诸多风险类.安全防御系统搭建得完善与否,直接决定了亚洲大药房网上药品交易平台的安全程

4、度,无论哪个层面上的安全措施不到位,都可能是很大的安全隐患,都有可能造成业务网络中的后门。 响应与恢复系统是保障网络系统安全性的重要手段.我们协助采取检测手段,制订紧急事件响应的方法与技术.根据检测和响应的结果,可以发现防御系统中的薄弱环节,或者安全策略中的漏洞,进一步进行风险分析,修改安全策略,根据技术的发展和业务的变化,逐步完善安全策略,加强业务网安全措施。药品交易系统有以下几个主要特点：有待补充根据以上分析，亚洲大药房网上药品交易平台平台总体安全需求为：(1) 保证传输安全；(2) 保证数据存取安全；有效的机房管理；(3) 要具备大量并发处理能力；(4) 交易操作及数据要抗抵赖；(5)

5、保证数据不能被篡改，对交易的有效性要有严格的手段控制（多于两种措施）。在保证交易有效的前提下尽可能的保证业务不中断。(6) 采用以防为主的信息安全策略，把发生信息安全事件的可能性降到最低。2.2 物理安全需求分析物理安全是指各种服务器、路由器、交换机、工作站等硬件设备和通信链路的安全。风险的来源有：(1) 自然灾害：台风、地震、水灾、火灾、雷击等产生的破坏。(2) 环境事故：有害气体、电磁污染、电磁干扰、静电、鼠害以及其它环境事故的破坏。(3) 电源故障：包括电力供应的突然中断或电压的波动。(4) 人为操作失误或错误；人为的对设备的盗窃、毁坏。(5) 设备老化及意外故障，电磁泄露。(6) 数据

6、媒体的损坏、出错。(7) 物理安全的威胁可以直接造成设备的损坏，系统和网络的不可用，数据的直接损坏或丢失等等。2.3 网络安全需求分析网络安全主要是指在局域网或者广域网中所面临的网络层面的攻击，风险的来源有：1) 内部网络暴露：TCP/IP通信协议将内部网络拓扑信息暴露给相连接的其它网络，为外部攻击提供了目标信息。2) 地址欺骗：源IP地址极易被伪造、更改以及IP地址鉴别机制的缺乏，使攻击者通过修改或伪造源IP地址进行地址欺骗和假冒攻击。3) 序列号攻击：TCP/IP协议中所使用的随机序列号是一个具有上下限的伪随机数，因而是可猜测的。攻击者利用猜测的序列号来组织攻击。4) 路由攻击：TCP/I

7、P网络动态地传递新的路由信息，但缺乏对路由信息的认证，因此伪造的或来自非可信源的路由信息就可能导致对路由机制的攻击。5) 拒绝服务：攻击者影响目标的可获得性，故意阻碍对信息，服务器或其它资源的合法访问。如故意加重服务器的接入访问流量使得其它用户无法访问该服务器，或是用大量的数据包阻塞某个网络地址。许多TCP/IP协议实现中的缺点都能被用来实施拒绝服务攻击，如邮件炸弹、TCP SYN flooding、ICMP echo floods等。6) 鉴别攻击：TCP/IP协议不能对用户进行有效的身份认证，因此无法鉴别登录用户的身份合法性。7) 地址诊断：运用TCP/IP协议的机器有一个用于局域网卡本地

8、诊断的特殊地址，它常常被攻击者操纵来实施攻击。8) 网络管理软件的缺陷：包括程序开发者有意或无意留下的后门、恶意代码等，同时，大部分网络管理软件的通信会话采用极为简单的会话鉴别机制，且使用“公共变量格式”传输和存储管理信息，攻击者一旦猜到会话口令，便能修改或删除管理信息，造成灾难性后果。9) 局域网内子网间的直接物理连接：局域网内各物理/逻辑子网之间存在着安全策略的差异，直接连接可能导致非授权访问或非法入侵。2.4 主机安全需求分析主机的安全风险主要是针对本系统中所采用的操作系统、数据库及相关商用产品的威胁分析。主要风险来源有：1) 漏洞或缺陷：操作系统在开发时由于对安全问题考虑不周而留下的漏

9、洞或缺陷，往往被攻击者利用来进行系统攻击。2) 后门：操作系统的开发者用于系统诊断、维护或其它目的而有意或无意留下的，攻击者可用此获得操作特权或对系统资源进行非授权访问或使用。3) 口令获取：包括通过偷窃、猜测、字典攻击和转让等手段获取系统口令，非法获得对系统的操作特权，导致信息系统的管理权转移。4) 特洛伊木马：是一种具有明显或实际有用功能的计算机程序，它又包含了附加的（隐藏的）能暗中利用合法授权的功能，以此破坏计算机安全与完整性的进程。一旦进入系统，在满足一定条件时便会危及系统。5) 病毒：一种将自己复制进入系统的程序，一旦执行被感染的程序，便会破坏系统的正常功能，甚至导致整个系统的崩溃。

10、2.5 应用安全需求分析对计算中的各系统成员,要共同完成任务.一般而言,管理员需要最高的可信度,他可以定义系统成员之间的信任关系策略,计算用户必须信任管理员的管理和服务。安全对系统中不同的成员有不同的含义.对计算用户而言,就是准确的把计算任务提交给系统,并从系统中获取正确的计算结果,对敏感的计算任务还需要确保内容不被泄漏.这就需要系统确保计算用户的应用程序,数据和结果在提交,执行和传输过程中不被篡改,泄露或截取.对用户而言,就是在本机上执行的应用程序不会对本地系统造成影响和伤害.这就需要系统确保对等计算程序中不会出现重大Bug,恶意代码和病毒,以及不会访问未授权的资源.对管理员而言,就是能够有

11、效地控制和管理系统,使系统有序高效的运行.这就需要系统对用户,程序的管理提供支持,包括计算用户和对等计算程序的标识,认证,授权以及计算资源的访问控制和使用审计.综上所述,对等计算应用的安全需求主要包括:(1)系统中各成员之间的信任关系管理(2)对用户信息的保护:主要指保证运行和提交过程中的代码,数据以及结果的正确性,完整性和保密性.(3)对用户的管理:系统中的所有用户必须进行标识,认证,并对计算用户访问系统资源进行授权.(4)对程序的管理:系统中的应用程序应该进行标识和认证,并确保它的执行不会对用户的安全产生影响.2.6 数据安全需求安全不是绝对的，没有哪种产品的可以做到百分之百的安全，但我们

12、的许多数据需要绝对的保护。最安全的、最保险的方法是对重要数据信息进行安全备份，通过网络备份与灾难恢复系统进行定时自动备份数据信息到本地或远程的磁带上，并把磁带与机房隔离保存于安全位置。如果遇到系统来重受损时，可以利用灾难恢复系统进行快速恢复。1) 数据篡改：数据遭受以未授权方式所做的修改或未授权的使用，包括对数据值的删除、修改和插入另外的数据；改变数据存在的方式，包括数据的创建或删除。2) 数据毁坏：发生其它不可预料的事件导致数据损坏。2.7 安全管理需求分析安全管理是一个广泛理念，系统中出现的安全问题并非全部可以通过技术本身解决，相反更多需要通过非技术手段进行解决。安全管理是整个安全体系结构

13、中不可缺少的重要组成部分，涵盖了与安全技术措施相配套的风险分析与评估、法规制度、机构与人事管理以及安全测评等多个方面。安全管理的不健全，同样可以影响整个系统的安全。例如：1) 管理不当造成的口令及密钥丢失或泄露。2) 制度遗漏造成信息系统的无序运行，严重时导致雪崩式的安全漏洞和脆弱性。3) 人事管理漏洞：指对系统管理员、秘密信息管理员和存储介质管理员等的审查、录用、素质和道德培养以及调离、解聘各个环节中，管理制度及执行中出现漏洞和疏忽。这些漏洞和疏忽可导致人为操作错误，有意破坏信息和信息系统的可用性，以及直接窃取信息等安全事故。4) 审计不力或无审计：指信息系统未建立或不全建立审计岗位、审计制

14、度和审计系统。这可导致不能及时发现信息系统运行中的故障或安全隐患，出现事故时无据可查或无追踪、审查能力，无法落实安全责任和责任人。5) 系统管理者的失误、失职或人为对系统的蓄意破坏。2.8 信息安全目标我们知道传统的信息安全有7个属性，即保密性Confidentiality）、完整性（Integrity）、可用性（Availability）、真实性（Authenticity）、不可否认性（Nonreputiation）、可追究性（Accountability）和可控性/可治理性（Controllability/Governability）。信息安全的目标是要确保全局的掌控，确保整个体系的完整性

15、，而不仅限于局部系统的完整性；对于安全问题、事件的检测要能够汇总和综合到中央监控体系，确保可追究性是整个体系的可追究性。SOC的出现就是为了确保对全局的掌控，实现全面支撑信息安全管理目标。可控性是信息安全7个属性中最重要的一个，可控性最重要的体现是全局监控、预警能力和应急响应处理能力。全局预警就是要建立全局性的安全状况收集系统，对于新的安全漏洞和攻击方法的及时了解，针对体系内局部发生的安全入侵等事件进行响应。我们通常用水桶效应来描述分布式系统的安全性问题，认为整个系统的安全性取决于水桶中最薄弱的一块木条。SOC就像是这个水桶的箍，有了这个箍，水桶就很难崩溃，即使出现个别的漏洞，也不至于对整个体

16、系造成灾难性的破坏。SOC充分利用所掌握的空间、时间、知识、能力等资源优势，形成全局性的资源协调体系，为系统的全局可控性提供有力的保障。3 亚洲大药房网上药品交易平台网站代码安全防护方案3.1网站对于 跨站脚本攻击 命令注入防护 非法输入 本系统采用 自主研发 TPage（数据验证组件） 和 Shove （数据库操作组件）TPage对于系统每一个需要输入的数据进行 数据验证Shove 系统基层组件安全性极高对于任何 形式的安全 都具有相应的处理（已申请专利）系统所有数据操作都用shove 提供操作。保证数据的合法性以及稳定性。3.2验证登陆方式 采用本公司Shove.Web.UI安全验证组件对

17、于系统所有登陆安全处理生产 验证码Session 加密处理。延长处理，防止恶意登陆。2.3系统加密方式 密码采用 MD5加密敏感信息采用Shove加密组件支持加密解密支持密银。4 安全设计规划4.1 安全设计目标网络安全与保密的目标主要表现在系统的保密性、完整性、真实性、可靠性、可用性、不可抵赖性等方面。亚洲大药房网上药品交易平台平台信息安全的总体目标是降低系统的信息安全风险，以及在发生信息安全事件后能够做到可控、快速响应和恢复。4.2 设计原则需求、风险、代价平衡分析的原则对任何信息系统，绝对安全难以达到，也不一定是必要的。对一个信息系统要进行实际的研究(包括任务、性能、结构、可靠性、可维护

18、性等)，并对系统面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定系统的安全策略。综合性、整体性原则运用系统工程的观点、方法，分析系统的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业技术措施(访问控制、加密技术、认证技术、攻出检测技术、容错、防病毒等)。一个较好的安全措施往往是多种方法适当综合的应用结果。计算机信息系统的各个环节，包括个人(使用、维护、管理)、设备(含设施)、软件(含应用系统)、数据等，在网信息安全中的地位和影响作用，也只有从系统整体的角度去看待、分析，才可能得到有效、可行的措施。不同的安全

19、措施其代价、效果对不同系统并不完全相同。计算机信息系统安全应遵循整体安全性原则，根据确定的安全策略制定出合理的安全体系结构。一致性原则一致性原则主要是指信息系统安全问题应与整个系统的工作周期(或生命周期)同时存在，制定的安全体系结构必须与系统的安全需求相一致。安全的系统设计(包括初步或详细设计)及实施计划、验证、验收、运行等，都要有安全的内容及措施。实际上，在系统建设的开始就考虑系统安全对策，比在系统建设好后再考虑安全措施，不但容易，且花费也少得多。易操作性原则安全措施需要人去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性；其次，措施的采用不能影响系统的正常运行。适应性原则安全措施

20、必须能随着系统性能及安全需求的变化而变化，要容易适应、容易修改和升级。多重保护原则任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。4.3 设计依据本设计方案参考了以下标准文件：1. GB/T 22239-2008信息安全技术 信息系统安全等级保护基本要求2. GB/T 20984-2007信息安全技术 信息安全风险评估规范3. GB/T 18336-2001信息技术 安全技术 信息技术安全性评估准则4. GB/T 19716-2005信息技术 信息安全管理实用规则5. IATF 信息技术保障框架6. GB

21、/T 20269-2006信息安全技术 信息系统安全管理要求7. GB/T 20270-2006信息安全技术 网络基础安全技术要8. GB/T 20271-2006信息安全技术 信息系统通用安全技术要求9. GB/T 20272-2006信息安全技术 操作系统安全技术要求10. GB/T 20273-2006信息安全技术 数据库管理系统安全技术要求11. GB/T 20282-2006信息安全技术 信息系统安全工程管理要求5 安全系统实现5.1 安全网络系统系统安全设计网络拓扑如下：5.2 防病毒针对防病毒危害性极大并且传播极为迅速，必须配备从服务器到单机的整套防病毒软件，防止病毒入侵主机并扩

22、散到全网，实现全网的病毒安全防护。并且由于新病毒的出现比较快，所以要求防病毒系统的病毒代码库的更新周期必须比较短。防病毒建立独立的防病毒服务器。网络防病毒软件主要考虑以下几个方面：1) 病毒查杀能力：也就是对实际流行病毒的查杀能力。查杀病毒的种数要包括可能染上的所有病毒。2) 对新病毒的反应能力：就是及时、有效地查杀新出现的病毒，这是一个防病毒软件好坏的重要方面。3) 病毒实时监测能力：目前的病毒传播途径都有一定的实时性，用户无法人为地了解可能感染的时间。因此，防病毒软件必须要具有实时监测能力。4) 快速、方便的升级能力：就是防病毒软件要能及时、方便地进行病毒代码和病毒查杀引擎的更新，尽可能地

23、减少人力的介入。5) 集中管理、远程安装：就是管理员可以在一台机器上对全网的机器进行统一安装，和针对性的设置，而且，安装时能够自动区分服务器与客户端，并安装相应的软件，大大减轻管理员“奔波”于每台机器进行安装、设置的繁重工作。6) 对现有资源的占用情况：防病毒程序进行实时监控都或多或少地要占用部分系统资源，这就不可避免地要带来系统性能的降低。7) 系统兼容性：防病毒软件有一部分常驻程序，如果跟其它软件不兼容将会带来更大的问题。8) 管理方便、日志记录：防病毒系统要有生成病毒监控报告等辅助管理功能，以方便管理员随时了解各台计算机病毒感染的情况，并借此制定或调整防病毒策略；也要有相应的权限管理功能

24、，如只能是对出现且只能是管理员从系统整体角度出发对各台计算机进行设置，如果各员工随意修改自己使用的计算机上防毒软件参数，可能会造成一些意想不到的漏洞，使病毒趁虚而入。因此，还必须具有完整的日志记录，以便安全审计。防病毒产品主要功能要求：1) 网络病毒防护产品必须包括中心控管系统及客户端、服务器端、邮件/群件防毒软件几个部份。2) 管理员可以通过防病毒系统执行针对该病毒的防范策略，如：在客户端/服务器端强制关闭病毒对应开放的未知端口及漏洞等等，并统一部署分发到客户端/服务器端/网关/群件；通过部署防范策略实现免疫功能。3) 防病毒厂商的防病毒系统具备病毒爆发防御功能。当新病毒爆发时，通过病毒爆发

25、防护策略OPP，在病毒代码未完成之前，通过爆发防护策略自动对企业网络中的各节点，客户端、服务端对病毒传播端口、共享、攻击的文件等进行关闭保护，切断病毒传播途径，预防最新病毒的攻击。4) 可自动下载，提供对常驻内存型病毒、木马程序、间谍软件等有害代码的清除功能，并能有效恢复被感染的系统文件及注册。5) 运用先进技术防范未知病毒、Internet恶意代码（Jave /Active X），可对未知病毒进行隔离。 6) 当网络中有异常流量产生时，可通知管理员，可对病毒数据包进行丢弃并隔离发包计算机，拒绝此计算机联入企业核心网络7) 对被感染网络病毒的计算机可实行远程自动和本地清除，并对注册表和系统文件

26、进行自动修复8) 发现病毒后，有多种处理方法，例如自动清除、删除或隔离。9) 病毒处理方式必须支持智能式的处理方式。根据不同的病毒类型，采取不同的处理策略。10) 对无法清除病毒的感染文件进行隔离，并能够得到相应的防病毒解决方案11) 防病毒厂商提供的防病毒产品必须要支持网络病毒识别码。防病毒软件必须提供两种病毒识别码（传统的病毒识别码、网络病毒识别码）。12) 防病毒软件具备远程病毒集中清除修复功能。可对网络中感染病毒的计算机进行远程自动清除修复，提供的病毒清除修复工具必须支持集中升级，病毒清除修复必须支持所有病毒的修复程序，管理员通过WEB管理控制台对企业内部的所有客户端执行自动修复功能。

27、13) 具有全网集中监控和管理的功能，并要求实时监控；14) 是通过TCPIP的方式实现，必须支持远程浏览器（WEB）管理方式；15) 支持病毒源头查询机制，通过日志查找病毒源头；16) 支持目录和文件防修改、删除、写入保护功能。17) 可跨广域网进行管理；18) 事件驱动机制，对广域网带宽占用很小；19) 基于TCP/IP协议的通讯方式。20) 可以做到多级管理，而且有不同的权限设置。21) 防病毒策略的统一配置管理，能根据不同的防病毒需求分别制定和实施不同的防病毒策略；22) 具有分组（域）管理客户端防病毒策略和调度相关任务执行的能力。23) 具有单一节点集中报警和日志功能，能生成统计分析

28、报告。24) 提供占用网络通讯流量最小的增量病毒定义码、引擎的更新升级方式；25) 提供多种方式的更新升级方法；26) 能方便实现全网病毒定义码、引擎的统一更新升级；27) 提供客户端定时自动更新、升级功能；28) 提供手工的方式进行升级部署；29) 更新、升级后避免重启主机或关闭相关应用进程。30) 病毒定义码更新周期小于一周，当病毒爆发流行或其它紧急情况发生时，病毒定义码一定要及时更新，病毒定义码更新升级周期小于24小时。31) 对更新、升级中可能出现的错误具有可靠的预防和应急恢复措施。5.3 防火墙防火墙是网络安全最基本、最经济、最有效的手段之一,可以实现内部、外部网或不同信任域网络之间

29、的隔离，达到有效的控制对网络访问的作用。本方案中防火墙采用双机冗余设计。防火墙作为一个核心的关键安全设备，对性能、功能有较高的要求，将选用先进的防火墙，具体的要求如下：1) 千兆防火墙，要求配置至少4个千兆多模光纤接口和1个10/100M自适应电口；2) 标准机架式硬件结构；3) 网络吞吐率大于990Mbps；4) 防火墙并发连接数，大于120万；5) 防火墙网络延迟小于100s；6) 采用专用硬件平台和专用安全操作系统或者嵌入式安全操作系统；7) 防火墙自身安全性强，支持NSNMP网管协议，能通过第三方网管软件对防火墙进行监测；8) 防火墙具有高可用性，支持双机热备份,主从防火墙切换时已建立

30、连接不中断；9) 防火墙必须支持TRUNK工作模式；10) 隔离内外网络的通信，对进出的网络访问进行安全控制，严格控制外部用户非法进入内部专用网络，限制内部用户出访公网或互联网的站点和资源；11) 强大的日志记录和管理功能；12) 支持透明模式/路由模式/混合模式等接入方式；13) 具备双向NAT功能（静态、动态），支持内部网络主机和服务器采用私有地址，对外界隐藏内部网络拓扑；14) 有源、目地址路由功能，适应有多个网络出口的环境；15) 具有透明应用代理功能，支持FTP、HTTP、TELNET、PING、SSH、FTPDATA、SMTP、WINS、TACACS、DNS、TFTP、POP3、R

31、TELNET、SQLSERV、NNTP、IMAP、SNMP、NETBIOS、DNS、IPSECISAKMP、RLOGIN、DHCP、MS-SQL-（S、M、R）、RADIUS-1645、SQLNET1521、SQLNET1525、H.323、MSN、MYSQL、QQ、GRE等协议命令级的控制，实现对文件级的过滤；16) 支持众多网络通信协议和应用协议，如DHCP 、VLAN 、ADSL 、IPX 、RIP 、ISL 、802.1Q 、Spanning tree 、DECnet 、NETBEUI 、IPSEC 、PPTP 、AppleTalk 、H.323 、BOOTP 等，保证用户所需要的各种网络应用，包括：扩展IP 宽带接入、IP电话、视频会议、VOD 点播等，特别要求对视频有良好的支持；17) 具备针对对象配置安全策略功能，安全策略、安全对象分组功能；18) 具备审计能力，可提供对违规通信、安全事件的实时报警和处置能力；19) 采用基于策略的方式对防火墙设备进行配置；20) 具有安全策略配置向导，辅助用户建立有效的访问控制规则；21) 基于对象模式的全中文图形管理器界面，可对多台防火墙进行集中管理；22) 当发现违规事件时，管理员可以采取远程关闭外来连接或让防火墙得新启动等安全措施。23) 标准机架式